Articles

L’humain au cœur de la stratégie cybersécurité

Du smartphone personnel jusqu’au centre hospitalier en passant par un centre de traitement des eaux, tous les acteurs et secteurs sont touchés par des actes de cybercriminalités. Pour autant, malgré le coût direct et indirect de tels comportements malveillants et leur augmentation ces dernières années, le budget consacré à la cybersécurité dans les entreprises reste souvent insuffisant. Une politique de l’autruche ou des moyens limités ?

autruche

Aujourd’hui les entreprises ont compris l’intérêt d’investir en cybersécurité au niveau technique (antivirus, parefeu, antispam…), même si ces budgets restent insuffisants. Mais quels investissements sont faits au niveau humain ? En effet le facteur humain se retrouve très (trop) souvent la cause de vulnérabilités informatiques.
Une étude menée par Solucom montre que :

  • la moitié des collaborateurs (46%) ne connaissent pas les comportements à adopter face à l’ingénierie sociale (manipulation par voie informatique des failles humaines et sociales de l’entreprise pour obtenir déloyalement des informations clés) ;
  • seuls 47% utilisent les bonnes pratiques concernant les mots de passe ;
  • un peu moins de 40% ne connaissent pas les règles de bases sur la protection des données.

Investir dans l’humain c’est le sensibiliser et le former au sujet de la cybersécurité.

Une première démarche est d’établir une politique de sécurité des systèmes d’information (PSSI), mais beaucoup d’entreprises n’en rédigent pas car elles n’ont pas de temps ni de budget à y consacrer.

Par ailleurs, le budget dédié à la sécurité informatique n’est pas extensible. Par exemple, les collaborateurs sont formés sur une version d’un logiciel (pris pour acquis). Mais face aux évolutions rapides des cybermenaces, ce logiciel doit évoluer également et l’entreprise n’a pas un budget flexible pour effectuer la maintenance/mise à jour et pour reformer les collaborateurs.

Pourtant la formation est un pilier essentiel en sécurité informatique. En effet, elle permet aux acteurs sensibilisés et formés une utilisation sûre des produits, des objets et des services qui sont mis à disposition dans et en dehors de l’entreprise. Que vous soyez une PME, une entreprise internationale, un hôpital, ou plus largement, que vous utilisiez Internet : vous êtes concernés.

Vous avez bloqué l’accès à certains sites web au sein de votre entreprise ? Mais quel contrôle exercez-vous sur l’utilisation des smartphones que chacun de vos employés exerce au sein de l’entreprise ? Vos employés connaissent-ils les dangers de sécurité liés à l’IoT ?

Le budget n’est donc pas le seul obstacle pour sensibiliser à la cybersécurité. La communication est toute aussi importante mais elle doit être portée.

Premièrement, par la direction. Tant au niveau de la prise de conscience, que de l’application et de la volonté de faire adhérer à sa politique de sécurité informatique. Pour cela, une bonne pratique est de documenter et d’échanger avec les collaborateurs sur les différents types de menaces, leur nature et surtout leur fonctionnement (découvrez les explications et recommandations de Cyberprotect sur les malwares). En connaissant les méthodes utilisées par ces malveillances pour se répandre, les collaborateurs sauront mieux éviter les pièges.

Deuxièmement, par le service informatique. Mais cette communication doit se faire en prenant en compte que le langage informatique est souvent perçu comme compliqué et réservé à une élite de spécialistes. Si les interlocuteurs ne comprennent pas le langage, ils ne comprendront pas les enjeux ni les impacts et appliqueront encore moins les recommandations. L’important est de communiquer de façon à ce que le discours soit accessible et compréhensible par tous.

La sécurité des informations doit être une responsabilité partagée par tous les acteurs de l’entreprise, que ce soit les collaborateurs, les partenaires, les dirigeants… Beaucoup de bonnes pratiques sont simples à communiquer et à adopter, que ce soit dans le cadre professionnel ou personnel. Cyberprotect vous en propose concernant les mots de passe et les réseaux sociaux.
Côté formation, les Guides ANSSI sont à disposition des entreprises pour aborder le sujet.

Les organismes CERT (Computer Emergency Repsonse Team) sont également présents pour accompagner dans ces démarches de partage de l’information et de sensibilisation aux risques informatiques. Le CERT CYBERPROTECT  vous propose en plus une veille continue et une communication adaptée à tous les profils de l’entreprise.

En conclusion, si les entreprises développent une réelle conscience en matière de cybersécurité, et investissent en moyens technique et en humain, elles ne doivent pas sous-estimer une communication abondante et l’implication de tous les collaborateurs pour responsabiliser les usages et pratiques au quotidien en matière de cybersécurité.

hands

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

 

[Bulletin d’alerte Cyberprotect] Campagnes malveillantes visant les logiciels Java, Flash Player et Silverlight

Outre l’actualité particulière de la semaine dernière (http://labo.cyberprotect.fr/?p=1567), nous avons constaté la présence d’un script malveillant sur plusieurs sites légitimes français.

Cette injection de script a pour but de rediriger la navigation de l’utilisateur, à son insu, dans le but de télécharger des logiciels malveillants.

Après analyse du code malveillant par nos équipes, il s’avère que le script vérifie les versions des logiciels suivants : Java, Adobe Flash Player et Microsoft Silverlight.

Ainsi, si le poste de travail de l’utilisateur possède une version non à jour de l’un de ces logiciels, un exploit sera téléchargé par sa machine dans le but de la compromettre par des virus.

Ces étapes sont totalement transparentes pour l’utilisateur.

Nous vous rappelons qu’il est important de maintenir ces logiciels à jour, nous insistons encore sur la particularité de Java, Adobe Flash Player, et ici Microsoft Silverlight, qui sont des cibles privilégiées dans la compromission du réseau de l’entreprise.

Il est essentiel vérifier que vos postes utilisent bien les dernières versions de ces logiciels :

– Java 1.7.0_51 –> http://www.java.com/fr/download/
– Adobe Flash Player 13.0.0.182 → get.adobe.com/fr/flashplayer
– Microsoft Silverlight 5.1.20913.0 →  http://www.microsoft.com/silverlight/ (ou via Windows Update)

Ces logiciels ne sont pas toujours indispensables dans l’utilisation de services Web. Il est fortement recommandé de les désinstaller s’ils ne sont pas nécessaires à votre activité.

Nous recommandons également de bloquer les plages d’adresses IP suivantes :82.146.35.0/24 et 213.229.69.0/24 ainsi que le domaine suivant “jscriptload[point]com” sur vos équipements de sécurité périmétriques (pare-feu, proxy,…)

N’hésitez pas à diffuser ce bulletin d’alerte.

[MàJ 18/04/2013] – [Bulletin d’alerte Cyberprotect] Campagne d’infection en cours

MàJ 18/04/2013

La menace reste toujours extrêmement élevée à ce jour. Nous avons constaté une grande vague de publicités malveillants suite à la diffusion d’une newletter par email de la part de l’un des leader de la vente de chaussure en ligne.

Suite à un changement d’adresse IP des serveurs malveillants, nous vous recommandons de bloquer la plage d’adresse Ip publique suivante sur vos équipements de sécurité périmétriques (pare-feu/proxy…) : 193.0.178.0/24

Lire la suite

Campagne de malvertising, explications et retour d’expérience

Lors de la journée du 19/02/2013, nous avons relevé de nombreuses redirections vers des sites malveillants chez nos clients. La cause : une campagne de malvertising bien ficelée et qui se propage via des sites accueillant beaucoup de visiteurs. L’occasion de sensibiliser un peu plus les internautes sur ce danger.

Le principe du malvertising est simple, une publicité s’affiche sur un site légitime. La publicité peut tout à fait être légitime et elle peut rediriger sur un site de confiance. Toutefois, dans le code source de la publicité nous allons trouver un bout de code malveillant qui va rediriger l’internaute vers un site malveillant.

Selon un très récent rapport de Cisco, la publicité sur internet serait 182 fois plus susceptible de diffuser des programmes malveillants que les sites pornographiques. [source]

La manipulation est totalement transparente pour l’utilisateur puisque la redirection malveillante s’affiche dans une iframe aux dimensions “nulles” (hauteur et largeur = 0px).

Le but principal des redirections est, comme bien souvent, le téléchargement d’une archive Java ou d’un fichier PDF malveillant exploitant une vulnérabilité connue du logiciel.

malvertising

 

 

 

 

 

 

 

 

 

 

 

Parmi les sites d’origines notre laboratoire a trouvé : le site d’un salon international qui a lieu ces jours-ci à Paris, celui d’un autre grand salon parisien qui se déroulera en 2014, le site d’un vendeur de matériel informatique, un annuaire en ligne professionnel.

Prêt de 40% de nos clients ont été impactés par ces redirections.

Cependant, notre gestion préventive de la sécurité nous a permis de limiter au maximum les infections (une seule infection détectée et supprimée en 1h).

Bien que l’entreprise soit équipée de pare-feu et d’antivirus à jour, ces équipements ne sont pas à l’abri d’être contourné. Outils de bases de la sécurité, ces éléments sont indispensables mais ne suffisent plus à eux seuls.

En procédant à un audit permanent du parc informatique de l’entreprise, en analysant le trafic entrant et sortant, nous pouvons détecter les machines ne possédant pas la dernière version du logiciel Java. Aussi, dans le cas d’une infection, nous sommes capables d’alerter en moins d’une heure l’utilisateur en donnant le type de malware en cause.

Requêtes HTTP, DNS, code source des pages web, type de fichiers téléchargés, adresses IP contactées, noms de domaines appelés, structures des URI,… tout est analysé en temps réel et comparé à notre base de connaissances afin de détecter un comportement non légitime et anormal.

En moins de deux heures, nous faisons l’analyse des évènements qui se sont déroulés sur la machine compromise et comprendre l’origine, la méthode d’infection et analyser le fichier malveillant pour comprendre qu’elles ont été les vulnérabilités exploitées.

Dans le même temps, notre laboratoire et notre Centre d’Opérations enrichissent le moteur d’intelligence en temps réel afin de réaliser un profil comportementale des infections et pouvoir protéger nos clients. L’analyse comportementale se fait pré et post infection.

Safer Internet Day 2013 : Sensibilisons les plus jeunes !

Aujourd’hui, mardi 5 février,  est déclaré « journée pour un Internet plus sûr ». Profitons en pour rappeler que le meilleur moyen de se protéger sur Internet est la prévention.

Cette année l’accent est mis sur les droits et les responsabilités des mineurs sur Internet, l’occasion pour rappeler que de nombreux sites accompagnes enfants, adolescents, parents, enseignants et médiateurs éducatifs dans la compréhension d’Internet et de ses dangers.

Alors voici quelques sites qui permettent à tous de comprendre et de se prémunir des dangers qu’il existe :

 

Les 10 priorités du rapport Bockel sur la Cyber-défense nationale

Priorité n°1 : Faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale, portée au plus haut niveau de l’Etat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire. S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives ;

Priorité n°2 : Renforcer les effectifs, les moyens et les prérogatives de l’Agence nationale de sécurité des systèmes d’information, ainsi que les effectifs et les moyens dédiés au sein des armées, de la direction générale de l’armement et des services spécialisés, et développer une véritable politique des ressources humaines ;

Priorité n°3 : Introduire des modifications législatives pour donner les moyens à l’ANSSI d’exercer ses missions et instituer un pôle juridictionnel spécialisé à compétence nationale pour réprimer les atteintes graves aux systèmes d’information ;

Priorité n°4 : Améliorer la prise en compte de la protection des systèmes d’information dans l’action de chaque ministère, en renforçant la sensibilisation à tous les niveaux, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse permettant de détecter les attaques, ainsi qu’en rehaussant l’autorité des fonctionnaires de sécurité des systèmes d’information ;

Priorité n°5 : Rendre obligatoire pour les entreprises et les opérateurs d’importance vitale une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives ;

Priorité n°6 : Renforcer la protection des systèmes d’information des opérateurs d’importance vitale, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse, en généralisant les audits, en rendant obligatoire la déclaration des processus et automates industriels connectés à Internet et en favorisant la mise en place, de manière sectorielle, de centres de détection communs ;

Priorité n°7 : Soutenir par une politique industrielle volontariste, à l’échelle nationale et européenne, le tissu industriel des entreprises françaises, notamment des PME, spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique et, plus largement, du secteur des technologies de l’information et de la communication, et renforcer la coopération entre l’Etat et le secteur privé ;

Priorité n°8 : Encourager la formation d’ingénieurs spécialisés dans la protection des systèmes d’information, développer la recherche et les activités de conseil, et accentuer la sensibilisation du public, notamment au moyen d’une campagne de communication inspirée de la prévention routière ;

Priorité n°9 : Poursuivre la coopération bilatérale avec nos principaux alliés, soutenir l’action de l’OTAN et de l’Union européenne, engager un dialogue avec la Chine et la Russie et promouvoir l’adoption au niveau international de mesures de confiance ;

Priorité n°10 : Interdire sur le territoire national et à l’échelle européenne le déploiement et l’utilisation de « routeurs » ou d’autres équipements de coeur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d’origine chinoise.

Source [Site du Senat]

Retrouvez le rapport complet [ici]

Deux nouveaux guides sécurité pour gérer les risques sur la vie privée

Après le guide sécurité destiné aux PME et présenté en 2010, la CNIL publie deux guides sécurité « avancés ». Ils se composent d’une méthode et d’un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l’intégration de la protection de la vie privée dans les traitements à l’aide d’une approche pragmatique, rationnelle et systématique.

La loi informatique et libertés prévoit, dans son article 34, de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Chaque responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d’adopter une vision globale et d’étudier les conséquences sur les personnes concernées.

Pour aider les PME dans cette étude, la CNIL a publié en 2010 un premier guide sécurité. Celui-ci présente sous forme de fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement de données à caractère personnel. Il atteint cependant ses limites lorsqu’il s’agit d’étudier des traitements complexes ou aux risques élevés.

Les deux nouveaux guides de la CNIL ont pour objectif d’aider à la mise en place d’une démarche d’analyse complète, permettant d’améliorer la maîtrise des traitements complexes. Ils s’adressent ainsi aux responsables de traitements, maîtrises d’ouvrage, maîtrises d’œuvre, correspondants « informatique et libertés » et responsables de la sécurité des systèmes d’information. Ils les aident à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité nécessaires et suffisantes.

Ils se composent :

  • d’une méthode pour identifier et traiter les risques que les traitements de données à caractère personnel peuvent faire peser sur les personnes ;
  • d’un ensemble détaillé de mesures et de bonnes pratiques destinées à traiter les risques identifiés.

L’enjeu : proposer un outil méthodologique pour appliquer la Loi informatique et libertés et des mesures pour traiter les risques

L’approche méthodologique décrit l’usage particulier de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité,) dans le contexte spécifique de la protection de la vie privée.

Pour apprécier les risques, il faut tout d’abord identifier les événements redoutés et les estimer en termes de gravité.

Si leur gravité est élevée, il convient alors d’identifier les menaces qui permettraient qu’ils se réalisent et d’estimer leur vraisemblance. Les risques ainsi appréciés peuvent alors être traités par des mesures adaptées.

Le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :

  • les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits…
  • les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données…
  • les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
  • les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…

Pour traiter un risque identifié et le réduire à un niveau acceptable, l’utilisateur des guides peut sélectionner une ou plusieurs mesures appropriées. Il est impératif d’adapter les mesures au risque et au contexte particulier du traitement considéré.

Une étude de cas sur la gestion des patients d’un cabinet de médecine du travail, réalisée par le Club EBIOS, illustre une application de ces outils.

 

Retrouvez les deux guides ici :

 

Retrouver l’article d’origine sur le site de la CNIL [ici]

Symantec perd 50 smartphones dans la nature

Les équipes de Symantec ont intentionnellement « perdu » 50 smartphones et ont constaté que les gens ne pouvaient pas s’empêcher d’être indiscrets. Mais deux mesures simples de sécurité peuvent protéger les données commerciales contenues dedans.

Toute personne qui perd son téléphone portable doit s’attendre à ce que les données soient consultées par celui qui le trouve, et les données d’entreprise ne font pas exceptions selon une étude publiée par Symantec.

Dans son projet « Smartphone Honey Stick Project », la firme de sécurité a « perdu » 10 téléphones dans 5 villes, en les laissant au dessus de boîtes à journaux, dans les restaurants ou encore les toilettes publiques. Dans 98% des cas, les gens qui ont trouvé le téléphone ont accédé aux données qu’il contenait. 83% ont accéder à des applications professionnelles (emails d’entreprise, outils d’administration à distance…). Plus de 4 personnes sur 10 ont même consulté l’application bancaire sur le terminal mobile.

On ne connait pas vraiment le but de cette fouille minutieuse, mais Kevin Haley directeur du groupe estime que si « on consulte l’application bancaire, ce n’est pas pour trouver le propriétaire de l’appareil ».

Deux mesures de sécurité simples peuvent protéger les données sur les téléphones mobiles.

  • Aucun des téléphones n’étaient verrouillés par un code. Bien que les mots de passe complexes soient les meilleurs moyens de se protéger, l’utilisation d’un simple code à quatre chiffres permettrait de prévenir les accès occasionnels.
  • En outre, l’installation d’un outil de gestion à distance peut aider à récupérer rapidement un téléphone perdu. Ces derniers permettent également de supprimer à distance les données du téléphone.

Retrouvez l’étude  » Smartphone Honey Stick Project » [ici]

Sites Internet piratés: les Webmasters en manque de sensibilisation à la sécurité

Les acteurs malveillants sont souvent en mesure de compromettre des sites internet légitimes à l’insu de leur propriétaire.

Plus de 90% des répondants, d’une étude menée par Commtouch et StopBadware, n’ontpas remarqué d’activité étrange en dépit du fait que leur site est été compromis (distribution de malwares, phishing, envoi de SPAM…). Près des deux tiers des Webmasters sondés ne savent pas comment s’est produite la compromission.

Autres faits saillants, de l’analyse des réponses de l’enquête, sont les suivants :

  • La moitié des propriétaires de sites ont découverte le piratage lorsqu’ils ont tentés de visiter leur propre site et qu’ils ont reçus un avertissement de leur navigateur.
  • 26% des propriétaires de sites n’avaient pas encore  compris comment résoudre le problème au moment où ils ont rempli le questionnaire.
  • 40% des répondants ont changé d’opinion sur leur fournisseur d’hébergement Web à la suite d’un piratage.

Selon Amir Lev, Chief Technology Officer chez Commtouch : « Les cybercriminels peuvent sensiblement améliorer leur ouverture et les taux de clics en distribuant des logiciels malveillants via des domaines légitimes. Beaucoup de propriétaires de sites ne sont pas au courant de la compromission ou bien ne savent pas éliminer l’infection ».

Il est évident qu’il y a non seulement un manque de compétence en matière de sécurité de la part des Webmasters (on retrouve souvent des CMS dont la mise à jour n’est pas effectuée), mais aussi un manque d’information car ces derniers ne savent pas comment réagir lorsque leur site est piraté.

Le rapport comprend plusieurs exemples de sites web piratés ainsi que les mails indésirables qui peuvent inciter les utilisateurs à visiter ces sites. Le rapport fournit des conseils pour aider les webmasters à empêcher leurs sites d’être piratés.

Retrouvez le rapport [ici]

Pour une politique de mots de passe plus stricte

La plupart des gens qui travaillent avec des informations sensibles veulent des politiques de sécurité plus strictes, mais ils prennent rarement la peine de changer les mots de passe par défaut.

La société spécialisée en récupération de mots de passe, ElcomSoft, a publié une étude menée auprès de ses clients au cours des derniers mois.

Fait étonnant, on constate que la plupart des personnes ont un comportement laxiste vis-à-vis des pratiques de base de la sécurité, pourtant dans ce sondage 69% des interrogés souhaiteraient que la politique de mots de passe de leur entreprise soit plus strictes !

Seulement 25% des personnes interrogées ont indiqué qu’elles changeaient régulièrement leurs mots de passe (14% ne le changent jamais).

A la question « En général, pourquoi oubliez-vous votre mot de passe »

Près de 31% des répondants déclarent n’avoir jamais oublié leur mot de passe, 28% parce qu’ils utilisent rarement le compte associé, 16% avouent que c’est dû au fait de ne pas l’avoir écrit et 13% dû à des prises de congés.

Retrouvez le rapport de l’enquête [ici] et les graphiques correspondants [ici]