Les logiciels ransomware qui prennent en otage les données contenues sur un disque dur font de gros dégâts. La preuve avec un opticien qui voit 4000 dossiers de patients chiffrés par un pirate.
Les ransomwares agissent d’une manière sournoise et efficace. Il suffit qu’un utilisateur d’un ordinateur ou d’un smartphone (ordiphone) clique sur un fichier piégé (faux pdf, fausse mise à jour apparue sur Internet, …) pour que le contenu de leur machine soit pris en main par un pirate. Les fichiers sont chiffrés. Ils sont rendus à leur propriétaire légitime en contrepartie d’une rançon.
L’opticien américain Eye Care de Bartlesville indique sur son site Internet avoir été piégé par un CryptoLocker. Bilan, 4000 dossiers de patients ont été pris en otages. Dans son « communiqué de presse », imposé par la loi américaine, l’entreprise n’indique pas la demande de rançon qui permet de déverrouiller le disque dur impacté. Il n’indique pas non plus si des sauvegardes ont permis de retrouver les informations.
Les entreprises ont changé leur stratégie de fidélisation clients. Actuellement, elles optent pour le développement d’applications mobiles qui « captent » le client. Toutefois, si l’application est mal sécurisée, il en découle une perte d’utilisateurs et d’image corporative très difficile à récupérer, entraînant également des coûts élevés.
Immergées en pleine campagne promotionnelle, de nombreuses entreprises développent des applications comme stratégie de fidélisation clients. Toutefois, si cette App présente des failles et provoque des problèmes de lenteur, de distribution de malware ou cesse de fonctionner, elle sera tout simplement éliminée du téléphone portable. Ceci peut générer, selon les données récoltées par Zeedsecurity, une perte d’opportunité d’affaires pouvant représenter jusqu’à 30 % du CA.
Un utilisateur consulte son téléphone portable entre 40 et 70 fois par jour
Selon différentes études de neuromarketing, on estime qu’un utilisateur consulte son smartphone entre 40 et 70 fois par jour. Ceci en fait un excellent canal de communication et de fidélisation. Catalogues de points, présentation de collections de mode, nouveaux lancements de produits…, les entreprises utilisent les applications pour smartphones et tablettes dans le but d’augmenter le taux de conversion et de fidélisation clients.
Les cyber-attaques sur des dispositifs mobiles ont augmenté de 80% en 2014
Cependant, comme il est souligné par Zeedsecurity, chaque année le nombre de cyber-attaques sur les dispositifs mobiles augmente, obligeant ainsi les entreprises du secteur à renforcer le niveau de sécurité de leurs serveurs hébergeant une ou des applications. « Le nombre d’attaques de serveurs hébergeant des applications pour dispositifs mobiles ont augmenté d’environ 80% l’année dernière et on estime que ces attaques vont croître de façon exponentielle en 2015« , commente à DataSecurityBreach.fr Joel Espunya, Membre Fondateur de Zeedsecurity, il ajoute également « Avec une seule attaque sur un serveur, les hackers ont accès à des bases de données importantes d’utilisateurs dont ils peuvent retirer des informations d’une grande valeur« . Un serveur est un bon distributeur de virus et de malware et pourra être utilisé ultérieurement pour des attaques mieux individualisées.
Une attaque malveillante d’application est beaucoup plus grave qu’une attaque d’un site internet
Durant une campagne, les effets d’une attaque malveillante sur le serveur d’une application mobile, impacteront plus lourdement les résultats, que lors d’une attaque sur le site web de l’entreprise. Quand un utilisateur pense qu’il a été attaqué à travers son App, non seulement il émet un commentaire négatif auprès de ses 10 ou 15 amis les plus proches, mais 80% d’entre eux émettent aussi un commentaire sur les réseaux sociaux, sur les forums ou dans les commentaires dédiés à la propre App sur le store. Ce marketing viral propage très rapidement une image négative de l’entreprise et de son produit avec les conséquences financières qui en résultent. Zeed Security
En 2014, France iT, le réseau national des clusters numériques, lançait le premier Label Cloud français, pensé par les TPME du Cloud pour les TPME du Cloud.
Après une phase de déploiement opérationnel, le Label Cloud concrétise ses ambitions avec la première vague de labellisation. Le premier Comité d’Attribution du Label (CATLab) s’est réuni le 30 mars 2015 dans les locaux de CINOV-IT à Paris pour attribuer ses premiers labels. Cegedim Activ et Inforsud Diffusion se sont ainsi vus décernés le Label Cloud qui récompense un haut niveau d’exigence et une expertise en matière de sécurité et d’efficience.
Un processus indépendant et expert
Le Comité d’Attribution du Label (CATLab) est l’organisme indépendant en charge de délivrer le Label Cloud. Il est composé d’entreprises ayant participé à l’étude du label, d’auditeurs indépendants et de représentants d’organisations professionnelles.
Le jury du 30 mars était composé de Stéphane Coirre (Vice-Président de Cinov-IT) et Henry-Michel Rozenblum (Délégué Général Eurocloud et Rédacteur en chef de la lettre du SaaS) représentants les organisations professionnelles, Philippe Rosé (Rédacteur en Chef de Best Practices) représentant les journalistes de la presse professionnelle et Renaud Brosse (CEO de Timspirit) représentant les experts.
Le label Cloud se décline sur 3 niveaux : initial, confirmé et expert. Une auto-évaluation gratuite est disponible en ligne. L’exigence est ainsi rendue croissante quant à l’implémentation des bonnes pratiques au sein des entreprises. Un audit est systématiquement mis en place (qui peut aller jusqu’à un audit sur site poru le niveau le plus élevé) pour toute candidature. Le CATLab est le décisionnaire final quant à l’attribution du label. L’évaluation repose sur un processus en 5 étapes qui va du téléchargement du dossier de candidature, en passant par l’auto-évaluation en ligne, la soumission du dossier, l’instruction du dossier par un auditeur indépendant , la soutenance par la société candidate devant le CATLab, qui statue sur la délivrance du Label.
Cegedim Activ et Inforsud Diffusion, les 2 premiers labellisés
Ainsi ce sont 2 entreprises qui se sont vues octroyées le label ce lundi 30 mars. Cegedim Activ, niveau 3 – expert, pour ses solutions SaaS dans le secteur de la santé (Gestion du régime Obligatoire de santé, et Gestion du régime Complémentaire en santé et prévoyance) ; Inforsud Diffusion, niveau 2 – confirmé pour son offre d’hébergement (PaaS), et de messagerie (SaaS).
Le réseau de sécurité partagé s’est servi de la plateforme de surveillance vidéo Milestone pour l’intégration d’une solution multifournisseur durant le Marathon de New York. 40 agences locales (police, Fbi, …) ont ainsi surveillé les flux de vidéos afin d’assurer la sécurité des coureurs et des spectateurs.
Le logiciel de gestion vidéo à plateforme ouverte (VMS) Milestone Systems XProtect(R) a été déterminant dans le cadre de la collaboration entre l’équipe du marathon de New York 2014 et de nombreuses agences locales. Cette solution réseau a intégré des composants provenant des meilleurs fournisseurs de systèmes de sécurité IP et réseau sans fil, notamment la technologie mobile et à distance, ce qui a permis de résoudre les problèmes liés à la vision d’ensemble, essentielle pour assurer la sécurité de cet énorme événement.
Pour les milliers de coureurs qui ont repoussé les limites de leur endurance physique, la ligne d’arrivée du marathon de New York représentait l’achèvement de toute une vie. Mais pour les responsables de la sécurité, cette même ligne d’arrivée présentait plusieurs défis. En effet, les grands arbres bordant les routes sinueuses et les sentiers de Central Park ne permettent pas une bonne visibilité des coureurs. Souvent, ces derniers sont hors de vue du personnel médical et de la sécurité, qui sont tenus de réagir en cas d’urgence.
Avec un total de 50 530 coureurs ayant terminé la course et environ 2 millions de spectateurs, le marathon de New York 2014 fut le plus grand événement de ce genre dans le monde. L’entreprise Tata Consulting Services (TCS) en fut le sponsor en titre, mais c’est l’organisation des New York Road Runners (NYRR) qui a préparé le marathon, comme c’est le cas depuis de nombreuses années.
NYRR a engagé une solide équipe de partenaires majeurs dans le domaine de la sécurité. VIRSIG LLC a configuré et déployé un réseau sans fil au sein même et autour de Central Park, et notamment au niveau de la ligne d’arrivée. Ce réseau était composé des toutes dernières caméras de vidéosurveillance sur réseau de Sony, ainsi que de transmetteurs Ethernet fournis par Network Video Technologies (NVT). Ces composants étaient connectés aux noeuds du réseau maillé sans fil Firetide, qui transmettait ainsi les données son et image en toute sécurité au centre de contrôle de la course, qui utilisait alors l’application Milestone XProtect(R) Smart Wall pour afficher simultanément les images de 36 caméras différentes. Le logiciel de gestion vidéo (VMS) Milestone servait de plateforme pour la lecture en direct et la relecture des données. Centennial Security Integration a participé à l’installation afin de transformer l’architecture à noeuds multiples en système homogène et unifié.
Le logiciel à plateforme ouverte Milestone
L’architecture à plateforme ouverte du logiciel de gestion vidéo Milestone permet la configuration et le déploiement d’un réseau assez étendu et flexible pour fonctionner avec fiabilité pour plus de personnes et en différents endroits. La sortie était assurée par les moteurs IPELA des caméras réseau à portée dynamique et ultra-large de Sony, avec notamment des modèles fixes dotés d’un système d’analyse vidéo intégré et d’une vue à 360 degrés. Ces appareils ont été gérés et exploités grâce à Milestone XProtect(R) Corporate VMS, conçu pour des déploiements à grande échelle en toute sécurité. Le centre de contrôle disposait ainsi d’une vision d’ensemble des opérations grâce au logiciel XProtect(R) Smart Wall projeté sur un écran de 140 cm, tandis que le personnel sur le terrain pouvait surveiller l’événement avec le client Milestone Mobile.
Glenn Taylor, directeur exécutif chez VIRSIG LLC, explique : « Si la plateforme ouverte de Milestone nous a permis de fournir un réseau d’une grande disponibilité et d’une haute performance, c’est justement grâce à la grande disponibilité et à la haute performance du système de gestion vidéo. »
Une vision d’ensemble des opérations
Le Dr Stuart Weiss est directeur médical chez les New York Road Runners. Le jour du marathon, il était en charge de la tente située à proximité de la ligne d’arrivée, qui était entièrement équipée pour faire face aux urgences médicales. L’objectif était de traiter le plus grand nombre de coureurs nécessitant des soins médicaux et que l’on pouvait ensuite renvoyer chez eux. Weiss a déclaré que les possibilités apportées par la vidéo ont été un élément essentiel pour permettre à son équipe d’être au courant de la situation à tout moment. Il a ainsi pu prendre des décisions en surveillant la ligne d’arrivée, les zones de passage, Central Park et autres lieux stratégiques le long de la course.
En observant les coureurs à la fin de la course, l’équipe pouvait aussi identifier ceux qui avaient besoin d’aide et quels types de soins apporter pour les blessures qu’ils pouvaient traiter sur place. En raison du nombre de personnes présentes, il était difficile de suivre les événements au moment où les coureurs finissaient la course avant de rejoindre la zone où se trouvaient leur famille et leurs amis. C’est pourtant cette période de récupération après la course qui est la plus susceptible d’engendrer des traumatismes.
« Le logiciel Milestone nous a aidé à intégrer tous les flux de caméras en un seul écran, que l’on pouvait facilement observer pour voir ce qu’il se passait dans toute la zone » explique Weiss à DataSecurityBreach.fr. » Nous l’avons ainsi utilisé pour prendre des décisions essentielles au cours de cette journée. »
Le contrôleur de la course pouvait aussi surveiller les 5 tentes médicales et décider lesquelles avaient besoin de plus de personnel et lesquelles pouvaient accueillir davantage de blessés. À un moment de la course, le courant s’est éteint sur l’un des poteaux soutenant une caméra, et une personne du service technique a pu utiliser le client Milestone Mobile sur un smartphone pour envoyer des images de l’incident au centre de contrôle.
Une plus grande portée pour une meilleure sécurité
L’avenue Central Park West est l’un des endroits où il aurait été difficile de déployer le réseau sans un système sans fil. Glenn Taylor déclare que la capacité de la plateforme ouverte Milestone à prendre en charge un grand nombre d’appareils sans fil a permis d’augmenter la portée du déploiement. Il explique que la plupart des équipements sans fil nécessitent une bonne visibilité, un véritable luxe dans ce lieu célèbre pour ses routes sinueuses et sa végétation dense. VIRSIG a pu résoudre ce problème en installant des appareils de transmission sans fil au sommet de poteaux électriques de 42 mètres afin de recevoir les signaux en provenance de caméras IP apportant les données aux serveurs, et dont les images permettaient d’augmenter grandement la vision d’ensemble du marathon.
« Ce réseau sans fil a permis d’étendre le réseau dans des zones où il est habituellement impossible d’en déployer« , commente-t-il. » Nous avons créé une plateforme que tout le monde pouvait partager afin de faire de ce marathon un événement plus sûr et sécurisé. «
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) et la CGPME (Confédération générale du patronat des petites et moyennes entreprises) viennent de publier un guide commun de sensibilisation aux bonnes pratiques de la sécurité informatique à destination des TPE et des PME. Face à la recrudescence des cyberattaques, les deux organisations se sont associées afin d’apporter une expertise adaptée aux réalités des petites structures qui représentent, selon Guillaume Poupard, Directeur Général de l’ANSSI, 90% des entreprises françaises.
Douze conseils illustrés par des exemples concrets sont mis en avant dans ce guide parmi lesquels le choix méticuleux des mots de passe, la mise à jour régulière des logiciels ou encore le suivi attentif des comptes utilisateurs, sans oublier les prestataires/consultants externes qui ont accès au réseau et qui représentent des failles potentielles.
La mise en place d’un guide de sensibilisation aux bonnes pratiques est une excellente initiative pour les TPE et PME qui n’ont ni les mêmes besoins, ni les mêmes moyens que les grandes entreprises pour leur stratégie de sécurisation des données. L’ANSSI et la CGPME mettent en exergue des conseils simples qui constituent la base de la sécurité ; assurer la complexité des mots de passe et la sécurisation des comptes utilisateurs et administrateurs demeurent par exemple des points essentiels dans les bonnes pratiques de sécurité.
Le mot de passe représente la base de la sécurisation de n’importe quel compte, qu’il soit personnel ou professionnel, et ce indépendamment de la taille de l’entreprise. Il permet en effet d’authentifier l’utilisateur sur le réseau. Un mot de passe trop simple de type « 123456 » ou resté trop longtemps inchangé représente une menace potentielle pour l’organisation. Une personne malveillante – hacker ou ex-employé par exemple – peut installer un malware sur le réseau et rester tapis dans l’ombre un certain temps afin de dérober des informations critiques de l’organisation au moment opportun sans être détecté. Le mot de passe complexe reste le rempart initial contre les tentatives d’intrusion et le vol de données ; il ne doit ni être utilisé sur plusieurs comptes à la fois, ni réutilisé ultérieurement. Le guide rappelle l’importance de sensibiliser les collaborateurs à ne pas conserver les mots de passe dans des fichiers ou sur des post-it laissés à la portée de tous ; bien que cela semble évident, ces bonnes pratiques ne sont toujours pas généralisées et l’erreur humaine reste une des failles principales de sécurité de nombreuses organisations.
Au-delà des mots de passe, les entreprises doivent connaître l’activité informatique de l’ensemble des utilisateurs et prestataires externes ayant des accès aux systèmes et comptes de l’entreprise. Cela inclut également les comptes administrateurs qui servent à intervenir sur le fonctionnement global de l’ordinateur, notamment la gestion des comptes utilisateurs, la modification de la politique de sécurité, l’installation ou la mise à jour des logiciels. L’utilisation de ces comptes administrateurs doit être gérée attentivement car contrairement aux comptes utilisateurs, ils ne sont pas nominatifs et peuvent être utilisés par plusieurs personnes, internes ou externes, ou machines qui interagissent entre elles, ce qui augmente la complexité de surveillance. En outre, des procédures strictes doivent être mises en place afin d’encadrer les arrivées et les départs des collaborateurs et veiller à l’application des droits d’accès aux systèmes d’information mais surtout s’assurer qu’ils sont révoqués, lors du départ de la personne afin d’éviter toute action malveillante à posteriori. En effet, si le service informatique prend du retard et met une semaine à fermer les accès dans le cloud d’anciens employés, ceux-ci pourraient être utilisés à mauvais escient. Cela équivaudrait à donner les clés de l’entreprise à n’importe qui !
Des campagnes gouvernementales régulières de sensibilisation aux bonnes pratiques de sécurité telles que celle de l’ANSSI et de la CGPME restent essentielles pour assurer la sécurité optimale des données, notamment pour rappeler aux employés les règles de base en matière de gestion des accès, les employés ignorant souvent qu’ils peuvent être l’élément déclencheur d’une faille informatique, voire d’une attaque. Pour en garantir l’efficacité, chaque organisation doit à présent garder en tête qu’elle peut être confrontée à une cyberattaque à tout moment – que la menace soit interne ou externe. (Par Olivier Mélis, Country Manager France chez CyberArk)
