Articles

[Résumé] Veille Cyberprotect Juillet 2016

Pour les vacanciers de retour au bureau, voici notre veille du mois de Juillet !

Les Faits Marquants

La cybercriminalité toujours aussi active -> lire 

Manque de personnel qualifié : première cause d’échec de la stratégie en cybersécurité -> read

Connaissez-vous tous les coûts cachés d’une cyberattaque ? -> lire 

Le temps : facteur essentiel dans la réponse à incident -> lire

Autour du chiffre 80…

80% des cyberattaques ciblent les PME -> lire

80% des entreprises ne peuvent détecter leurs failles internes -> lire

88% des ransomwares sont détectés dans le secteur de la santé -> read

Avant de partir en vacances, faites le point cybersécurité…

La check-list des vacances en infographie avec Cyberprotect ! -> lire

 

Venez échanger avec nous sur nos réseaux ! TwitterLinkedInFacebook

Cybercriminalité : les entreprises ciblées et leurs points faibles

Avec la hausse du nombre de cyberattaques, leur diversification et leur évolution constante, la cybersécurité et la gestion du risque sont devenues des problématiques incontournables pour les entreprises aujourd’hui. En effet, dans le dernier rapport MIPS du CLUSIF, il est constaté, par exemple, une hausse de 31% de la mise en place de solutions de sécurité et 69% des entreprises ont formalisé une PSSI.

Pour autant, la classification des données sensibles et la réalisation d’analyses de risques représentent toujours un point faible. A cela s’ajoute un autre point faible qui n’est malheureusement pas nouveau : la cybersécurité dans les TPE/PME.

Il faut savoir qu’actuellement, près de 80% des cyberattaques ciblent les PME.

Pourquoi les TPE/PME sont-elles des cibles ?

Tout d’abord, parce qu’elles représentent plus des ¾ des entreprises en France. Aussi la probabilité qu’une PME souffre d’une cyberattaque est plus importante.

De plus, ces entreprises qui manquent souvent de budget et qui se concentre donc sur leur cœur d’activité pour réaliser de la croissance, ne sont pas protégées ou trop peu. Elles se rendent ainsi vulnérables à toute intrusion ou cyberattaque.

Le piratage des données 

Selon le rapport du CLUSIF, les infections par virus arrivent en tête à 44%, les fraudes informatiques et télécoms (11%), le chantage ou extorsion informatique (11%)… Les pirates s’attaquent ainsi aux données (vol, détention contre rançon, altération etc), aux finances de l’entreprise (fraude au président), réalisent de l’espionnage économique, ou encore sabote le réseau. Pour cela, ils exploitent non seulement les failles techniques (logiciels et systèmes) mais également les failles humaines (social engineering).

Le réseau d’entreprises

Enfin, ces petites et moyennes entreprises sont la cible privilégiée des cyberattaques car elles constituent une passerelle vers une autre entreprise, une autre potentielle victime : ses clients, ses fournisseurs, ses partenaires…

Plus les entreprises sont connectées entre elles et plus le risque de cyberattaque grandit. Une entreprise mal protégée représente un chemin vers d’autres entreprises qu’il est facile aux pirates de suivre. Ils n’ont plus qu’à se balader d’entreprise en entreprise et exercer leurs méfaits.

Finalement, les grandes entreprises ne sont pas plus ciblées que les PME. Ce qui compte pour un pirate informatique c’est bien 1) la valeur des données de l’entreprise et 2) son interconnexion avec d’autres.

Protégez son entreprise et son réseau contre les cyberattaques est aujourd’hui une priorité essentielle et vitale pour l’économie. En plus des bonnes pratiques à mettre en oeuvre en entreprise, des services tels que Cyberprotect garantissent l’efficacité de votre cybersécurité au quotidien.

 

 

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cécile FIORE – CM & Marketing – Cyberprotect

[Résumé] Veille Cyberprotect Mai 2016

Si vous avez passé votre mois de mai à essayer de « décryptolocker » votre PC, Cyberprotect vous propose sa veille !

Les faits marquants

Les pirates sont toujours aussi actifs… : exemple du site météo france -> lire
… et piège doublement leurs victimes ! -> lire
Infographie : SIEM, Cyberprotect, quelle différence ? -> lire
Infographie : la gestion d’une malveillance inconnue -> lire
Les administrations publiques : oubliées de la cybersécurité mais pas des pirates informatiques ! -> lire
SWIFT : cyberattaques contre des banques -> lire
Cybersécurité et cadres dirigeants : Wall Street s’alarme ! -> lire

Les chiffres

Le Référentiel Général de Sécurité (RGS): moins de 15% des collectivités en ont pris connaissance -> lire
2200 milliards de dollars : c’est le poids du marché des systèmes intelligents en 2020 -> lire
La cybersécurité : une priorité pour seulement 8% des dirigeants EMEA (11% en France) -> lire 

Ce qui nous a fait rire

Cela commence très tôt… !

Cyber assurance : pourquoi choisir Cyberprotect ?

Depuis quelques années, les malveillances et la cybercriminalité touchant les entreprises augmentent. Il y a encore quelques temps, les risques encourus par une société était une intrusion dans les locaux, le vol de matériel (ordinateurs, clés…), le vol de documents confidentiels etc. Aujourd’hui, les entreprises sont victimes de cyberattaques : vol de données, pénétration dans le réseau informatique, envoi de courriels infectés…. La cible des attaques est devenue immatérielle. Et cette cybercriminalité croissante coûte très chère aux entreprises. Surtout pour les PME qui risquent jusqu’à la faillite tellement l’impact financier d’une cyberattaque est important, comme cette PME à Pau.

C’est pourquoi les entreprises ont besoin d’être assurées contre tous ces risques : c’est là qu’interviennent les cyber-assurances. La question se pose alors : qu’est ce qui peut être couvert ? Sachant que la cybercriminalité évolue rapidement et de façon continue, identifier le risque encouru devient très difficile.

Premièrement, définissons ce qu’est un risque :

risque

Si la vulnérabilité est forte et que la menace est forte, alors la cause est forte. Mais si la conséquence (ou l’impact) est faible, alors finalement le risque est faible. Si, au contraire, l’impact est fort, alors le risque est fort. De même si la cause est faible (vulnérabilité faible et menace faible) et que la conséquence est forte, alors le risque sera tout de même faible ou modéré.

Le tableau ci-dessous résume le paragraphe précédent :

Poids de la vulnérabilitéPoids de la menacePoids de l’impactNiveau de risque
FORTEFORTEFAIBLEFAIBLE
FAIBLEFAIBLEFORTFAIBLE OU MODERE

 

Aujourd’hui les conséquences directes d’un cyber-risque sont connues et la principale est la perte totale ou partielle du système d’information (SI). Ce qui engendre l’impossibilité pour les employés de travailler, de facturer, de communiquer ou encore de produire car les machines industrielles peuvent également être paralysées par une malveillance.

Une deuxième conséquence directe est le vol, la perte, la destruction ou encore l’altération de données qui les rend inexploitables et qui paralyse l’activité de l’entreprise.

Les conséquences indirectes sont celles qui portent préjudice à l’image et à la réputation de l’entreprise, ce qui induit perte de confiance et perte de clients.

L’impact est souvent fort pour les entreprises victimes de cyberattaque (impossibilité d’agir directement sur les conséquences d’un cyber-risque).

C’est pourquoi cette partie est prise en charge par les assureurs à condition d’apporter la preuve que le sinistre provient bien d’une malveillance. C’est-à-dire prouver que les contre-mesures et les outils nécessaires étaient mis en place et étaient opérationnels pour réduire les causes du risque.

Comment réduire les causes du risque ?

Pour traiter les menaces, l’entreprise défini et applique un système de sécurité de l’information (SSI), apportant ainsi une contre mesure à la menace. En revanche, les menaces évoluant tous les jours, la sécurité doit également être revue tous les jours pour être adaptée et donc efficace.

Les vulnérabilités proviennent d’une mauvaise mise en application ou conception d’un protocole de communication et souvent d’un oubli (voulu ?) d’appliquer les bonnes pratiques d’un développement sécurisé. En d’autres termes, la vulnérabilité d’une application est souvent liée au facteur humain.

Mais mettre à jour pose parfois problème :

  • Il faut avoir du temps et penser à les faire (surtout penser à le faire)
  • Mise à jour impossible !

Le 1er cas peut être résolu par une mise à jour automatique mais peut engendrer des problématiques de compatibilité.

Le 2ème cas peut être illustré par cet exemple : pour mettre à jour une vulnérabilité détectée dans un logiciel de paie, il faudrait revoir tout le processus métier : refaire les test, recettage, validation… Ce qui implique un coût important.

Mais si la menace pouvant exploiter cette vulnérabilité est faible, alors le risque encouru par l’entreprise est faible et mettre à jour cette vulnérabilité n’est pas la priorité.

C’est cette analyse des risques qui permet à l’entreprise d’identifier le risque qu’elle encourt et qui lui permet alors de le gérer en mettant en place les outils et les actions nécessaires.

L’important est d’effectuer tous les jours ce contrôle et d’étudier la corrélation vulnérabilité/menace pour pouvoir adapter la sécurité au jour le jour et mettre en place les outils de correction des vulnérabilités pour réduire le risque.

C’est la mission de Cyberprotect, service 24H/24 et 7J/7 de veille, de prévention et de contrôle au jour le jour de la cybersécurité en entreprise.

Sa particularité est son mécanisme d’analyse comportementale qui utilise les compétences d’une intelligence artificielle complétées par les compétences humaines de ses équipes. Cette analyse permet à Cyberprotect d’apporter des recommandations personnalisées et adaptées au contexte du client et à son activité opérationnelle.

Grâce à ces recommandations, le risque est réduit et maintenu à un niveau modéré, acceptable. Il est donc transférable aux compagnies d’assurance. Ce risque est appelé risque résiduel : c’est ce qui subsiste après la réponse au risque ou après l’application de mesures d’atténuation du risque.

De plus, Cyberprotect dispose d’une CPBox, capteur non intrusif, qui remonte régulièrement les événements sur l’état des menaces et de vulnérabilités de la cybersécurité du client.

Ce module permet une traçabilité passive, c’est-à-dire que le traceur est indépendant des logs (événements) générés par les équipements de sécurité. En effet, en cas d’attaque, la première opération des cybercriminels est de désactiver les logs des équipements de sécurité. Or si les logs sont corrompus, comment faire la preuve de l’attaque ? D’où l’intérêt de ce traceur indépendant qui enregistre les incidents de la même manière que la boîte noire d’un avion et qui dresse ainsi un historique en cas de sinistre.

La traçabilité de cette CPBox et le service Cyberprotect étant reconnue contractuellement par les compagnies d’assurance, l’entreprise cliente n’a plus à faire la preuve. Tout est géré par Cyberprotect, par son laboratoire et son équipe CERT CYBERPROTECT. Ainsi, en cas de sinistre, le délai de prise en charge est fortement réduit car la preuve est fournie, le dédommagement est rapidement traité par l’assurance et le retour à l’activité pour l’entreprise est réduit.

Plus que la cybersécurité, vivez la cybersérénité.

Les Objets connectés : futures cibles de la cybercriminalité

Plusieurs études s’accordent à dire que d’ici 2020, plus de 30 milliards d’objets seront branchés sur le réseau.  L’IDATE (Institut de l’audiovisuel et des télécommunications en Europe) estime qu’il y aurait à l’heure actuelle 15 milliards d’objets connectés à internet (IoT – Internet of Things) contre 4 milliards seulement en 2010. Pour autant, le concept semble rester « flou » pour beaucoup d’internautes. D’après une enquête réalisée par l’institut d’études Havas media, 81% des internautes (15/49 ans) aurait déjà entendu parler des objets connectés mais seulement 55% d’entre eux sont capables de les définir.

L’internet des objets connectés est un réseau de réseaux permettant la transmission de données entre objets physiques et virtuels par connexion directe (wifi par ex), par l’intermédiaire de smartphones (en bluetooth par exemple ou autres protocoles de communication).
Les objets connectés se définissent comme étant des objets dont la vocation première n’est pas d’être un périphérique informatique. Toutefois ces objets prennent une valeur supplémentaire en termes de fonctionnalité, d’information ou encore d’interaction dès qu’une connexion Internet leur est ajoutée. On retrouvera parmi ces objets les wearable technology à savoir les montres cardio, les lunettes connectées Google Glass… On notera également la lampe DAL, premier objet connecté de Violet, commercialisée en 2003.

Attention, les objets connectés sont à distinguer des interfaces d’accès au web. Celles-ci peuvent prendre la forme d’un objet connecté mais n’en sont pas. Exemple un smartphone, un PC (fixe ou portable), une tablette…

Plusieurs domaines ont profité de l’opportunité représentée par l’IoT comme la santé et la domotique. Pour la santé, l’impact financier est considérable : à titre d’exemple les balances connectées représentaient 8 millions d’euros en 2015, soit 13.3% des parts de marché du segment des objets connectés, ou encore les montres connectées qui en représentaient 46%, soit un volume de ventes de 28 millions d’euros.

La domotique connaît un essor important grâce aux objets connectés, notamment les objets de sécurité connectés, les objets intelligents de gestion d’énergie (société Nest récemment rachetée par Google) ou encore de gestion de l’éclairage (ampoule « Hue » de Phillips). Le marché des objets connectés pourrait représenter 15 milliards d’euros en 2020.

Les objets connectés sont donc accessibles à tous : particuliers, clients, entreprises, employés…

C’est pourquoi l’IoT a aujourd’hui pris tant d’ampleur. Et si bon nombre d’entreprises reconnaissent aujourd’hui construire des stratégies autour de l’IoT, beaucoup confient se sentir en insécurité face à la croissance importante des objets connectés en leur sein dont le manque de protections, de sécurité pourrait leur porter défaut.

Par exemple, un dispositif IoT branché à un ordinateur de bureau peut, s’il possède des failles de sécurité, donner un accès total au réseau de l’entreprise à un cybercriminel.

La menace réelle pour l’entreprise c’est l’objet au sein de l’environnement de l’IoT, plus que les informations contenues dans l’objet.

Le problème de la sécurité des objets connectés comprend plusieurs éléments :

  • le coût ;
  • les industriels et les jeunes entreprises qui se lancent dans les objets connectés mais qui n’ont pas forcément la culture de la sécurité informatique ;
  • l’accroissement rapide et la constante évolution des objets connectés (à terme ces objets devraient pouvoir interagir de manière autonome comme par exemple un réveil connecté à un smartphone programmé par l’agenda électronique de l’utilisateur).

Aujourd’hui, on estime à 80% le nombre d’objets connectés présentant des failles de sécurité, soit 4 milliards d’appareils… Ce ne sont plus seulement des objets design et innovants avec de nouvelles fonctionnalités attractives, ce sont également de nouvelles portes d’entrée pour les hackers qui mettent en péril la sécurité des entreprises. Et la surface d’attaque augmentera avec chaque nouvel objet connecté.

Encore une fois, l’usage qu’en fait le particulier, autrement dit, le comportement adopté par l’utilisateur (plus ou moins informé des mesures de sécurité s’appliquant à l’entreprise) impacte la sécurité de l’entreprise (confidentialité de ses données clients, disponibilité du SI…).

De plus, il n’y a pas encore de cadre juridique précis, seulement des recommandations de la CNIL.

La question se pose alors : que faire en cas de dommages, de préjudices liés aux objets connectés ?

En 2005, Cyberprotect a fait le pari de répondre aux enjeux des dommages et préjudices en matière de systèmes d’information des entreprises. De la même façon et d’un point de vue technique et assurantiel, les experts Cyberprotect travaillent déjà sur le sujet de l’IoT.

Cécile FIORE – CM & Marketing – Cyberprotect

Les intranets, nouvelle cible des cryptolocker

Il y a quelques jours (le 1er mars 2016), Kaspersky révélait qu’une nouvelle évolution de CTB-Locker (locky…) s’attaquait maintenant au serveur web…

Lutte contre la cybercriminalité: Signature d’un accord de coopération stratégique entre l’ENISA et Europol

Les dirigeants de l’ENISA et d’Europol ont signé aujourd’hui, dans les locaux du siège d’Europol à La Haye, un accord de coopération stratégique qui facilitera la collaboration et les échanges d’expertise dans le domaine de la lutte contre la cybercriminalité.

PORTÉE

L’accord a pour but de renforcer la coopération entre Europol, son Centre européen de lutte contre la cybercriminalité (EC3) et l’ENISA, afin de soutenir les Etats membres et les institutions de l’UE dans la prévention et la lutte contre la cybercriminalité. L’accord ne comprend par les échanges de données personnelles.

La coopération pourra notamment comprendre :

des échanges d’expertise et de connaissances spécialisées, la production de rapports de situation d’ordre général, des rapports découlant d’analyses stratégiques et de bonnes pratiques, le renforcement des capacités de ces institutions, grâce à des formations et des campagnes de sensibilisation, afin d’assurer la sécurité des réseaux et de l’information au niveau européen.

L’ENISA fait partie du comité au programme du centre EC3. Le centre EC3 fait à son tour partie du groupe permanent des parties prenantes de l’ENISA qui conseille le directeur de l’Agence quant au programme de travaille annuel et quant à ses priorités. L’ENISA et le centre EC3 ont toujours travaillé main dans la main au profit du renforcement de la cybersécurité et de la lutte contre la cybercriminalité à l’échelle européenne. A titre d’exemples, cette collaboration a jusqu’à présent inclus : la production conjointe d’un document sur l’atténuation des attaques de botnets (armées de robots logiciels), la participation des deux entités au Mois européen de la cybersécurité, des exercices cybernétiques tels que propose CyberEurope, la production d’un manuel de bonnes pratiques pour les CERT ainsi que le renforcement de la coopération entre ces dernières et les institutions policières au travers d’ateliers et de conférences.

Le directeur exécutif de l’ENISA, le professeur Udo Helmbrecht et le directeur d’Europol, Rob Wainwright, ont publié une déclaration commune : « Cet accord est une étape importante de la lutte contre des cybercriminels toujours plus doués et qui investissent toujours plus de temps, d’argent et de personnel sur des attaques ciblés. Il prouve notre profond engagement à apporter une contribution commune dans nos domaines d’expertise respectifs et à se soutenir les uns les autres quant à notre objectif de sécurisation des réseaux internet européens. Les pertes induites par la cybercriminalité sur l’économie mondiale sont estimées à plus de 400 milliards de dollars par an. Par une coopération plus étroite et l’échange d’expertise, nous renforçons les capacités de lutte contre la cybercriminalité de l’Europe ».

 

Retrouvez ce communiqué sur le site de l’ENISA [ici]

Les services Web : une cible privilégiée

Depuis que Akamai procède à l’analyse des attaques, c’est la première fois en 5 ans qu’il est constaté que le port le plus scanné n’est plus le port 445 (Service de partage de fichiers Windows). Le port 445 rétrograde même à la 3ème place.

Les attaquants se sont réorientés vers les ports 80 (HTTP) et 443 (HTTPS), c’est-à-dire de manière globale : les services Web. Il est d’ailleurs étonnant que cette tendance soit nouvelle.

En effet, la grande majorité des interactions qui se font sur Internet se font à travers les services Web, il est donc logique de privilégier cette voie. Ce sont également les ports les plus ouverts sur l’extérieur.

Compromission de sites Internet, intrusion dans les systèmes d’information, connexion à des services de messagerie… La sécurisation est généralement mise en second plan, on privilégie surtout le coté pratique pour les utilisateurs. Les services Web sont donc la porte d’entrée entrouverte qui permet le plus facilement d’entrer dans les systèmes d’information.

Autre changement notable dans le rapport du second trimestre 2013, l’Indonésie remplace la Chine à la tête des pays d’où les attaques sont originaires.

[Source]

Cyber-attaques: le Parlement Européen adopte des sanctions communes plus strictes

Les cybercriminels seront soumis à des peines européennes plus strictes, conformément à un projet de directive adopté par le Parlement ce jeudi. Les nouvelles règles font déjà l’objet d’un accord informel avec les États membres. Elles visent également à faciliter la prévention et à renforcer la coopération policière et judiciaire en la matière. Dans le cas d’une cyber-attaque, les pays de l’Union devront répondre aux demandes d’aide urgentes dans un délai de huit heures.

Le texte exige que les États membres fixent une peine de prison maximale au minimum à deux ans pour les crimes suivants: l’accès illégal aux systèmes d’information ou interférence illicite dans ces systèmes, l’interférence illicite dans des données, l’interception illégale de communications ou la production et la vente intentionnelle d’outils utilisés pour commettre ces délits. Les cas « mineurs » sont exclus, mais il appartient à chaque État membre de déterminer la définition de cas « mineur ». La résolution rédigée par Monika Hohlmeier (PPE, DE) a été adoptée par 541 voix pour, 91 contre et 9 abstentions.

 

« Réseaux zombies »

Le projet de directive introduirait également une peine d’au moins trois ans d’emprisonnement pour l’utilisation de « réseaux zombies », visant à établir un contrôle à distance d’un nombre significatif d’ordinateurs en les infectant de maliciels par le biais de cyber-attaques ciblées.

 

Attaques d’infrastructures critiques

La peine maximale d’emprisonnement pour des attaques contre des infrastructures critiques, telles que des centrales nucléaires, des réseaux de transport et gouvernementaux, pourrait être d’au moins cinq ans. La même peine s’applique si une attaque est commise par une organisation criminelle ou si elle cause de sérieux dommages.

 

Délai de huit heures pour les demandes urgentes

Les points de contacts désignés par les États membres seront tenus de répondre aux demandes urgentes dans un délai de huit heures en cas de cyber-attaques, afin de rendre la coopération policière plus efficace.

 

Responsabilité des personnes morales

Les personnes morales, telles que les entreprises, seraient responsables des infractions commises pour leur compte (par exemple pour avoir engagé un pirate informatique afin d’obtenir l’accès à une base de données d’un concurrent). Mettre fin à l’octroi d’un avantage ou d’une aide publics ou fermer l’établissement concerné font partie des sanctions envisagées.

 

Prochaines étapes

Le texte adopté devrait rapidement être adopté formellement par le Conseil. La nouvelle directive repose sur des règles qui sont en vigueur depuis 2005. Une fois adoptée, les États membres auront deux ans pour la transposer dans le droit national.

 

Retrouvez ce communiqué de presse sur le site du Parlement Européen [ici]

Chameleon : un botnet coûtant plus de 4,6 millions d’euros aux annonceurs publicitaires

L’entreprise de sécurité Spider.io a identifié un réseau Botnet, surnommé Chameleon, qui permet aux cybercriminels de générer plus 4,6 millions d’euros de revenus publicitaires.

Le botnet Chameleon est remarquable par la taille de son incidence financière: un coût pour les annonceurs de plus de 4,6 millions de dollars par mois, il est au moins 70 fois plus couteux que le botnet Bamital, qui a été stoppé le 6 Février 2013 par Microsoft et Symantec. Toutefois, le botnet Chameleon est sans doute plus connu pour le fait que c’est le botnet d’abord trouvé à avoir des répercussions sur les annonceurs d’affichage à l’échelle (par opposition au texte-lien annonceurs).

Plus de 120.000 machines hôtes ont été identifiées à ce jour. 95% de ces machines accèdent au Web à partir d’adresses IP publiques localisées aux États-Unis.

Selon Spider.io, le botnet cible au moins 202 sites avec un fort impact. Sur les 14 milliards d’impressions publicitaires totales enregistrées sur ces sites chaque mois, au moins 9 milliards d’euros sont générés par le botnet. C’est-à-dire que 65% du trafic est produit par le botnet.

Chameleon est un botnet sophistiqué, il ne se contente pas de générer des clics pour augmenter les revenus mais il simule également les mouvements de la souris pour se confondre avec le comportement d’un internaute lambda qui visiterait un site.

Retrouvez l’analyse complète de Spider.io [ici]