Articles

Le contrôle en continu : élément clé d’une cybersécurité assurée

La cybersécurité est devenue un élément incontournable et essentielle à prendre en compte dans la vie d’une entreprise. Aujourd’hui, il existe de nombreuses solutions de sécurité afin de protéger les infrastructures d’éventuelles attaques. Cependant, ces solutions n’empêcheront jamais qu’un incident, mineur ou majeur, intervienne au sein des sociétés. Actuellement, une intrusion par un virus, un malware, … est détectée environ deux à trois mois après sa première intrusion. Pendant ce laps de temps, un certain nombre de données peuvent être récupérées ou compromises (mot de passe, données confidentielles, etc), ce qui est nuisible au bon fonctionnement et à la réputation des entreprises. Afin de répondre à ce problème, il est devenu nécessaire de pouvoir contrôler en continu l’ensemble des flux réalisés au sein des systèmes d’informations.

Un rôle réactif mais également préventif

Prenons l’exemple de l’hameçonnage (ou phishing). Lorsqu’une personne renseigne ses coordonnées bancaires sur un site non légitime ayant pris l’apparence d’un site officiel, le temps de détection de la fraude est bien trop long pour empêcher toutes actions du pirate informatique. De manière générale, et malgré l’augmentation des sensibilisations, il est devenu compliqué de corriger techniquement la faille humaine sans impacter le travail du personnel. Avec le contrôle des flux en continu, le temps de détection est considérablement réduit et les actions permettant de contrer les menaces peuvent rapidement être effectuées. De plus, le contrôle en continu peut également avoir un rôle préventif. Dans ce cas, il permet de détecter les failles présentes sur le réseau et de remonter l’ensemble des informations pour effectuer les corrections nécessaires avant qu’une attaque soit réalisée.

Retour d’expérience du CERT Cyberprotect

Pour continuer dans l’exemple précédent, le CERT Cyberprotect est intervenu sur une tentative d’hameçonnage ayant abouti chez un de ses clients. Le 12 juillet 2016 à 11h58, une personne, qui pensait visiter le site de sa banque, a saisie l’ensemble de ses informations de connexion (identifiant + mot de passe) et l’ensemble de ses informations bancaires (numéro de carte bancaire, cryptogramme visuel, numéro de compte, …). L’alerte est rapidement remontée par l’équipement présent chez le client, puis analysée par le CERT Cyberprotect. L’information de l’hameçonnage réussi est alors transmise au client à 12h27 pour que ce dernier puisse prendre les dispositions nécessaires auprès de son établissement bancaire. Dans ce cas de figure, le faux site internet avait repris, à l’identique, les mêmes pages internet que le site web d’origine. Seul l’url aurait pu permettre à la personne concernée de suspecter une tentative d’hameçonnage bien que l’url contenait le nom de la banque. Le contrôle en continu a permis une détection et une intervention rapide pour bloquer les prélèvements sur le compte bancaire concerné. De plus, le faux site bancaire a été signalé à « Phishing initiative » par le CERT Cyberprotect pour éviter que d’autres personnes ne renseignent leurs données sur ce site.

Schéma Cyberprotect

Le contrôle en continu par Cyberprotect

La gestion du risque par Cyberprotect

Pour répondre à ce besoin de contrôle, Cyberprotect a mis en place un service de gestion du risque pour les entreprises, à travers la surveillance et l’optimisation en continue de leur cybersécurité. A la différence des SIEM (voir l’article https://www.cyberprotect.fr/siem-vs-cyberprotect/),  Cyberprotect contrôle en continu, et de manière indépendante, la cybersécurité de ses clients afin de  détecter si le système d’information est victime d’une cyberattaque. En cas de connexion suspecte, les équipes du CERT Cyberprotect procèdent alors à une levée de doute, et en cas de forte suspicion ou d’infection, fournissent les mesures nécessaires à l’éradication de la menace. A travers des solutions telles que Cyberprotect, qui utilise et exploite le contrôle des flux en continu, les entreprises bénéficient d’un niveau de service leur permettant d’assurer leur cybersécurité, et par conséquent, le bon fonctionnement de leur entreprise.

Yoann JOUVENT – Coordinateur au CERT Cyberprotect

 

Cybercriminalité : les entreprises ciblées et leurs points faibles

Avec la hausse du nombre de cyberattaques, leur diversification et leur évolution constante, la cybersécurité et la gestion du risque sont devenues des problématiques incontournables pour les entreprises aujourd’hui. En effet, dans le dernier rapport MIPS du CLUSIF, il est constaté, par exemple, une hausse de 31% de la mise en place de solutions de sécurité et 69% des entreprises ont formalisé une PSSI.

Pour autant, la classification des données sensibles et la réalisation d’analyses de risques représentent toujours un point faible. A cela s’ajoute un autre point faible qui n’est malheureusement pas nouveau : la cybersécurité dans les TPE/PME.

Il faut savoir qu’actuellement, près de 80% des cyberattaques ciblent les PME.

Pourquoi les TPE/PME sont-elles des cibles ?

Tout d’abord, parce qu’elles représentent plus des ¾ des entreprises en France. Aussi la probabilité qu’une PME souffre d’une cyberattaque est plus importante.

De plus, ces entreprises qui manquent souvent de budget et qui se concentre donc sur leur cœur d’activité pour réaliser de la croissance, ne sont pas protégées ou trop peu. Elles se rendent ainsi vulnérables à toute intrusion ou cyberattaque.

Le piratage des données 

Selon le rapport du CLUSIF, les infections par virus arrivent en tête à 44%, les fraudes informatiques et télécoms (11%), le chantage ou extorsion informatique (11%)… Les pirates s’attaquent ainsi aux données (vol, détention contre rançon, altération etc), aux finances de l’entreprise (fraude au président), réalisent de l’espionnage économique, ou encore sabote le réseau. Pour cela, ils exploitent non seulement les failles techniques (logiciels et systèmes) mais également les failles humaines (social engineering).

Le réseau d’entreprises

Enfin, ces petites et moyennes entreprises sont la cible privilégiée des cyberattaques car elles constituent une passerelle vers une autre entreprise, une autre potentielle victime : ses clients, ses fournisseurs, ses partenaires…

Plus les entreprises sont connectées entre elles et plus le risque de cyberattaque grandit. Une entreprise mal protégée représente un chemin vers d’autres entreprises qu’il est facile aux pirates de suivre. Ils n’ont plus qu’à se balader d’entreprise en entreprise et exercer leurs méfaits.

Finalement, les grandes entreprises ne sont pas plus ciblées que les PME. Ce qui compte pour un pirate informatique c’est bien 1) la valeur des données de l’entreprise et 2) son interconnexion avec d’autres.

Protégez son entreprise et son réseau contre les cyberattaques est aujourd’hui une priorité essentielle et vitale pour l’économie. En plus des bonnes pratiques à mettre en oeuvre en entreprise, des services tels que Cyberprotect garantissent l’efficacité de votre cybersécurité au quotidien.

 

 

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cécile FIORE – CM & Marketing – Cyberprotect

Clé USB trouvé : la bonne attitude chez DSM

Une attaque (ciblée ?) a visé l’entreprise Néerlandaise DSM, spécialisée dans les sciences des matériaux et les sciences de la vie. Une tentative d’intrusion dans son Système d’Information a été faite à travers une clé USB abandonnée sur le parking de l’entreprise.

La tactique a échoué puisque la clé USB a été ramassée par un employé conscient des risques et qui l’a immédiatement apporté à son service informatique. Le logiciel malveillant a été rapidement détecté et analysé. Les adresses IP utilisées par le malware pour communiquer à l’extérieur ont été bloquées.

DSM estime avoir eu de la chance car la majorité des personnes aurait branchée directement la clé USB sur le poste de travail sans avoir un brin de soupçon sur ce qui pourrait se produire.

Il faut avouer que la méthode d’infection s’appuie sur la faille humaine et est particulièrement adaptée aux grandes entreprises puisque cela permet de contourner toutes les barrières techniques mises en place. L’Homme souvent décrié comme étant le maillon faible de la Sécurité, n’a pas failli face à cette menace.

[Source]

Une nouvelle variante de backdoor pour Mac OS X utilisée dans des attaques APT

Selon l’étude réalisée par Costin Raiu, les attaques APT détectées consistent en l’envoi d’e-mails ciblant des activistes ouïghours et comportant en pièce jointe un fichier ZIP. Ce fichier renferme une photo au format JPG mais aussi un logiciel malveillant de type « backdoor ». Il s’agit en fait d’une nouvelle version, encore essentiellement non détectée, du backdoor MaControl, qui s’attaque aussi bien aux Mac à processeurs i386 que PowerPC (les systèmes de Kaspersky Lab détectent celle-ci sous l’appellation « Backdoor.OSX.MaControl.b »). Lorsque l’application est lancée, le logiciel malveillant s’installe dans le système et se connecte à un serveur de commande et de contrôle pour recevoir ses instructions. Le backdoor permet à celui qui le pilote de consulter la liste des fichiers, d’en transférer et, plus généralement, d’exécuter des commandes sur la machine infectée.

Alors que les Mac sont de plus en plus utilisés, notamment par des cibles de renom, nous prévoyons une augmentation en conséquence du nombre des attaques APT sous Mac OS X. Les attaques précédentes exploitaient des failles de MS Office (Exploit.MSWord.CVE-2009-0563.a.). Celle décrite ici emploie des techniques de « social engineering » pour inciter l’utilisateur à exécuter le logiciel malveillant. Tout comme dans les malwares sur PC, la combinaison d’exploitation de vulnérabilités et de techniques de « social engineering » est généralement la plus efficace. Il ne serait donc pas surprenant d’assister prochainement à un pic de ce type d’attaques.

[Source : http://newsroom.kaspersky.eu/fr]

Les attaques ciblées ne visent plus uniquement les grandes organisations

Un nouveau rapport de Symantec montre que, si le nombre de vulnérabilités a diminué de 20%, le nombre d’attaques malveillantes a continué à monter en flèche avec une augmentation de 81%.

En outre, les violations de données sont en augmentation, et les attaquants se concentrent sur les menaces mobiles.

Le nombre de logiciels malveillants uniques est passé à 403 millions d’exemplaires en 2011.

Les attaques « avancées »

Traditionnellement, les attaques dites « avancées » se concentraient sur les organismes publics et visaient les personnels clés. Cette tendance tend à se modifier puisqu’aujourd’hui les attaques ciblées touchent des organisations de toutes tailles et toutes les catégories de personnel.

Plus de 50% de ces attaques ont visé des organismes de moins de 2500 employés, et près de 18% de moins de 250 salariés. Plusieurs raisons justifient le ciblage des sociétés modestes en taille, notamment du fait qu’elles font parties des partenaires des grandes entreprises et qu’elles sont moins bien protégées.

Selon les chiffres fournis dans le rapport, les attaques ciblées sont passées de 77 attaques par jour en 2010 à 82 par jour en 2011.

Ces attaques utilisent surtout l’ingénierie sociale et les logiciels malveillants dans le but de dérober des données sensibles.

Les employés ayant des fonctions dans les ressources humaines, les relations publiques ou les ventes sont une perspective intéressante pour les attaquants. Bien qu’ils n’aient pas un accès direct à l’information sensible recherchée, ces employées peuvent servir de rebond ou de contact. Une fois  compromis, les comptes de ces personnels pourront servir à propager des logiciels malveillants, ainsi, des mails acheminent des logiciels malveillants auront comme sources des personnes de confiances.

Les réseaux sociaux

Dans le même temps, le niveau de SPAM a diminué considérablement et le nombre de nouvelles vulnérabilités découvertes a baissé de 20%.

Ces statistiques démontrent un fait intéressant, les attaquants utilisent des outils effacent qui exploitent les vulnérabilités connues mais également le manque de réactivité des acteurs pour mettre leurs systèmes à jour.

Le SPAM se réduit mais les cybercriminels se tournent de plus en plus vers les réseaux sociaux pour lancer les attaques, le potentiel de propagation y est très fort. La nature même des réseaux sociaux invitent l’utilisateur à être à l’aise. Ce dernier suppose alors, à tort, qu’il n’y a pas de risque et on remarquera une baisse de vigilance.

Les fuites d’informations personnelles

Environ 1,1 millions d’identités ont été volées en moyenne par une fuite de données en 2011, soit une augmentation spectaculaire par rapport à ce qui été observé les autres années. Les incidents liés au piratage ont posé les plus grandes menaces, avec 187 millions d’identités exposées en 2011. Cependant, la cause la plus fréquente de fuite de données est la perte d’un support de stockage ou de transmission contenant des informations personnelles : ordinateur, smartphone, disque dur externe, clé USB…18,5 millions d’identités ont été impactées par des fuites de ce type.

La menace mobile

Etant donné que les tablettes et les smartphones continuent de mieux se vendre que les PC, des informations toujours de plus en plus sensibles seront disponibles sur les appareils mobiles. Les travailleurs apportent leurs smartphones et tablettes dans l’environnement d’entreprise tandis que les équipes IT ne parviennent pas à les gérer et à les sécuriser. Cela peut conduire à une augmentation des violations de données lors de la perte d’appareils mobiles ce qui représente un risque pour l’information de l’entreprise si cette information n’est pas correctement protégée. Des recherches récentes de Symantec montrent que 50% des téléphones perdus ne seront pas retournés et 96% (y compris ceux qui sont retournés) auront leur contenu lu.

Les vulnérabilités sur mobiles ont augmenté de 93% 2011. Dans le même temps, il y avait une augmentation des menaces ciblant le système d’exploitation Android. Avec le nombre de vulnérabilités dans l’espace mobile en hausse et les auteurs de malwares n’ont pas seulement transférés les malwares existant sur les appareils mobiles, mais ont créé des logiciels malveillants mobiles spécifiques, adaptés aux possibilités uniques des mobiles (comme par exemple l’exploitation des SMS surtaxés). 2011 a été la première année où les logiciels malveillants mobiles ont représenté une menace tangible pour les entreprises et les consommateurs.

Retrouvez le rapport complet [ici]

[Source]

Tendances 2012 de Kroll : augmentation des attaques ciblant les PME

Kroll annoncent les tendances en matière de cybercriminalité attendues pour 2012 : les cyber-escrocs vont cibler les PME, les attaques sur les médias sociaux seront plus fréquentes, et les menaces de sécurité mobile vont atteindre un niveau record.

Le cabinet spécialiste en intelligente économique a publié ses prévisions annuelles de sécurité, en soulignant que les organisations basent leurs mesures de protection sur l’hypothèse qu’elles ne sont pas une cible et pourtant l’année qui s’achève démontre que nul n’est exempt de toute attaque. Les entreprises doivent adopter une approche stratégique et agressive face aux menaces. Selon Alan Brill, Responsable de la division sécurité, « ignorer un problème ne garantie pas que le problème va vous ignorer ».

Parmi les 10 tendances retenues, il y a la cible PME. Les voleurs de données sont tout simplement à la recherche du chemin offrant le moins de résistance, c’est ainsi que les PME se retrouveront de plus en plus dans le collimateur des cybercriminels. Les modes d’attaques sont larges, de l’injection SQL à l’ingénierie sociale, les pirates profiteront également des mises à jours négligées ou tardives pour compromettre les systèmes.

Le social engineering : un nouveau défi pour les RSSI

La sécurité informatique demeure l’une des préoccupations majeures des entreprises. En effet, la cyber criminalité écrit chaque jour une nouvelle page en mettant en avant de nombreuses failles. Les exemples ne manquent pas. Parmi l’ensemble des actes de malveillances menées par les cybercriminels, nous assistons depuis peu à la montée en puissance d’une nouvelle forme de menace appelée « social engineering ». Mais qu’entend-on précisément sous cette définition ?

Le social engineering, aussi nommé « ingénierie sociale », a pour but d’obtenir de la part de sa victime une action ou une information demandée. Les actions peuvent être de désactiver un antivirus sur un poste ou d’effectuer un virement bancaire comme ce fut le cas en Aout dernier contre le groupe Quick et Scor. Les informations sont souvent de nature confidentielle, comme les informations sur un projet en cours, les identifiants de connexion, ou l’agenda du Président.

Le social engineering est une forme d’acquisition déloyale d’information et d’escroquerie. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est liée le système informatique visé. Utilisant ses connaissances, le hacker abuse de la confiance, de l’ignorance ou de la crédulité des personnes pour arriver à ses fins. Le social engineering est aussi appelée processus « d’élitisation ». Ce terme est souvent utilisé en informatique pour désigner un processus d’approche relationnel frauduleux.

Cette nouvelle menace est donc une forme très complexe à appréhender. Généralement, on distingue différentes formes de social engineering : lettre, téléphone… mais le plus souvent le mail est utilisé. Il est donc important que l’entreprise soit sensibilisée à ces pratiques et forme ses collaborateurs. De manière générale, de toutes les tentatives d’attaques, l’ingénierie sociale est la plus performante, car elle recouvre plusieurs formes et s’adresse à des utilisateurs variés et non sensibilisés à cette menace.

Un hacker pourra, par exemple, chercher à obtenir les logins des collaborateurs d’une entreprise en se présentant comme le responsable de l’administration du SI… Il pourra utiliser le nom des responsables hiérarchiques pour justifier de sa démarche… Tous ces éléments scénarisés permettent de mettre la personne sollicitée en confiance. Ainsi, un test réalisé auprès de 17 groupes américains a permis de démontrer que la majorité des employés contactés communiquent leurs mots de passe. Un point intéressant de cette étude montre également que les femmes semblent mieux résister aux différentes sollicitations.

L’affaire Hacker Croll est également un bon exemple et montre qu’il n’est plus nécessaire de disposer de compétences informatiques pointues pour se transformer en cyber criminel. Ainsi, ce jeune pirate a pu usurper l’identité de Barack Obama ou encore de Britney Spears sur leurs profils Twitter. Il a également pu mettre la main sur des documents confidentiels de Twitter…

Toutes les entreprises doivent donc prendre en compte ce nouveau danger et déployer des stratégies de formation pour lutter activement contre ce phénomène. Les collaborateurs doivent pouvoir anticiper et ne pas se laisser abuser par de tels stratagèmes. S’en protèger, nécéssite d’ajouter aux procédures classiques de sécurité informatique, la formation du personnel. C’est à cette condition que les entreprises pourront se prémunir de cette nouvelle menace.

Nicolas Dubois – Auditeur technique, expert du Cybercrime – SDN International & Cyberprotect