Archives quotidiennes :

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise

Sécurité du Cloud : quelles tendances en 2016 ?

Ravij Gupta, Co-fondateur et PDG de Skyhigh Networks, éditeur de solutions de sécurité des données dans les applications Cloud (« Cloud Access Security Broker » – CASB), fait le point sur les dernières tendances autour du Cloud et formules ses prédictions pour 2016.

  1. Les entreprises vont commencer à réduire leur retard sur la sécurité du Cloud. De plus en plus d’entreprises ont pris le virage du Cloud, mais souvent au détriment de la sécurité. Il y a un écart entre le niveau actuel des budgets de sécurité du cloud et celui où il devrait être par rapport à l’ensemble des dépenses de sécurité. Selon le Gartner, les entreprises ne consacrent que 3,8 % de leurs dépenses cloud à la sécurité, alors que cela représente 11 % pour les budgets informatiques en général. En 2016, les budgets alloués à la sécurité du Cloud dépasseront ceux des dépenses générales de sécurité informatique afin que les entreprises rattrapent leur retard.

  1. Les tarifs ​​des assurances pour la sécurité informatique vont doubler. En 2015 les compagnies d’assurance ont pris en charge des coûts massifs liés aux cyberattaques. En réponse, les taux et les primes vont augmenter. Les entreprises rechigneront et paieront à contrecœur et certaines auront même besoin de souscrire des contrats à des conditions défavorables afin d’obtenir une couverture : Anthem a dû s’engager à débourser 25 millions de dollars sur des coûts futurs afin de bénéficier de 100 millions de dollars de couverture. De nombreux assureurs limiteront leur couverture maximum à 75 ou 100 millions de dollars – bien en dessous du coût d’un piratage majeur, qui peut atteindre un quart de milliard de dollars.

 

  1. OneDrive deviendra l’application de partage de fichiers Cloud la plus populaire. Actuellement à la quatrième place en terme de volume de données téléchargées, OneDrive va faire un bond au niveau du classement du fait que les entreprises évoluent vers le Cloud avec Office 365. Les entreprises ont déjà montré la confiance qu’elles accordaient à ​​la plate-forme Cloud de Microsoft comme système d’enregistrement pour leurs informations sensibles. Elles y ont ainsi téléchargé près de 1,37 To par mois dont 17,4 % de fichiers contenant des données sensibles. Et il y a encore un énorme potentiel de croissance : 87,3 % des organisations ont au moins 100 employés utilisant Office 365, mais 93,2 % des employés utilisent encore les solutions Microsoft sur site. Microsoft a investi plus d’un milliard de dollars dans la sécurité, et a récemment publié une nouvelle API Office 365 destinée aux partenaires afin de leur permettre de surveiller et de sécuriser les contenus sensibles. Satya Nadella prend la sécurité du Cloud très sérieux et les entreprises qui étaient auparavant hésitantes migreront vers les offres de cloud de Microsoft.

  1. Les régulateurs européens vont ressusciter Safe Harbor. Les entreprises mondiales ont accordé une attention particulière lorsque la Cour de Justice de l’Union Européenne a annulé l’accord de transfert de données connu sous le terme Safe Harbor. Ce dernier permettait aux entreprises de stocker les données des Européens chez les fournisseurs de cloud américains. La décision de la CJUE a renforcer l’intérêt pour un point clé : les entreprises doivent se méfier des données sensibles non chiffrées transitant par les services de Cloud, en particulier ceux situés dans des pays ayant des politiques de confidentialité des enregistrements douteuses. Toutes les données ne sont pas sensibles, cependant, la disparition de Safe Harbor va imposer des restrictions inutiles et irréalistes aux activités Cloud. Les régulateurs feront des compromis pour faciliter l’accès mondial aux données.

 

  1. La majorité des incidents de sécurité Cloud viendront de l’interne chez les fournisseurs de services. Les fournisseurs de services Cloud ont tellement amélioré la sécurité que les failles seront de plus en plus rares. Cela aura pour conséquence de positionner les employés de l’entreprise comme le maillon faible. 90 % des entreprises font face à au moins une menace Cloud interne par mois. Que ce soit malveillant ou involontaire, les propres employés de l’entreprise représenteront la plus grande menace pour la sécurité du Cloud.
Argent, Arnaque, Banque, Contrefaçon, Cybersécurité, Emploi, Entreprise, escroquerie, Justice, Particuliers, Social engineering

Fraude : Pôle Emploi diffuse de fausses annonces

Devenir chauffeur, recevoir un chèque à débiter et renvoyer l’argent liquide par Wester Union ? Bienvenue dans les petites annonces pirates diffusées par Pôle Emploi.

Les fraudes à l’emploi, via Internet sont légions. Je vous en parle malheureusement très souvent. Elles prennent différentes formes : faux contrat de gestion de colis. Des objets volés ou acquis avec des CB piratées. Les colis sont à renvoyer à une adresse donnée (DropBox) au dernier moment, par le pirate. Gestion de fausses commandes. L’employé reçoit de l’argent sur son compte en banque. L’escroc explique qu’il provient de commandes de clients d’un « grand distributeur international de produits de créateurs ». Il s’agit surtout de fraudes bancaires [Phishing, CB piratée, cyber boutiques pillées…). Le pigeon doit renvoyer un pourcentage en liquide, par Western Union. Bref, la fausse offre d’emploi permet aux voleurs d’amadouer sa victime. Il lui communique un chèque à déposer en banque. La cible doit renvoyer la liquidité par un procédé choisi par le pirate. Le chèque est faux ou sans provision.

De la Mule à l’âne, il n’y a qu’un pas

En plus de devenir une « mule » en blanchissant de l’argent volé et de participer à une escroquerie en bande organisée, l’internaute piégé par ce type d’escroquerie met aussi ses informations personnelles en danger. En fournissant des renseignements privés comme son compte bancaire ou la photocopie de son passeport. L’activité de la « mule » consiste à accepter des transferts d’argent sur son compte personnel. La victime utilise ensuite les services de transfert de fonds comme la Western Union pour envoyer l’argent vers une supposée adresse d’entreprise, en Europe de l’Est, à Hong-Kong ou simplement en Belgique. L’ « employé » conserve un certain pourcentage sur le montant du transfert, généralement entre 3% et 5%, comme commission pour le service. L’opportunité d’embauche proposée dans ces emails est alléchante : travailler comme agent financier ou chef de transaction, pour quelques heures par semaine seulement et à partir de son domicile, contre une rémunération élevée. Une fois l’argent en route vers l’étranger, la victime escroquée n’a quasiment plus aucune chance de récupérer son argent. Lorsque la fraude est découverte, ce sont les blanchisseurs d’argent, les mules insouciantes, qui reçoivent les demandes de dommages et intérêts et/ou les lettres de l’accusation. Sans parler de la visite des « Amis du petit déjeuner« . Bref, de la Mule à l’âne, il n’y a qu’un pas.

Fausse annonce, faux chèque, vraie arnaque

C’est cette dernière possibilité qui a touché plusieurs demandeurs d’emploi du nord de la France. Un habitant de la région Lilloise a répondu, par exemple, à une petite annonce diffusée par Pôle emploi. La mission, devenir chauffeur de maître pour une famille Suisse qui doit s’installer quelques temps en France. L’arnaque est simple, mais efficace. Pour louer la voiture dédiée à ce travail, l’escroc envoie un chèque à sa victime. Le document bancaire, d’un montant variant de 2000 à 3000se, doit permettre de louer la voiture. La cible le dépose donc sur son compte en banque. Le surplus d’argent doit être renvoyé, par Wester union. Le voyou 2.0 vient de récupérer des euros sonnants et trébuchants. La personne piégée se retrouve avec un énorme trou dans son compte en banque. Sans parler de la location de la voiture, que les escrocs pourront récupérer et utiliser à d’autres fins que les vacances !

Comment les repérer ?

Pôle Emploi, qui dans le Nord de la France ne semble pas vérifier l’intégralité de ces offres comme l’indique la Voix du Nord du 5 janvier 2016, donne quelques clés pour ne pas être piégés. Parmi les propositions : Ne donnez jamais vos données personnelles à un inconnu (votre numéro de sécurité sociale, le numéro de permis de conduire, votre RIB, numéros de compte, de carte bancaire, accès de connexions, etc.). Tout recruteur qui vous demanderait ce type d’information, avant même de vous avoir rencontré, doit être considéré comme suspect ; protégez votre ordinateur ou votre périphérique en installant antivirus et pare-feu ; n’envoyez pas d’argent à un employeur potentiel ; Ne versez aucune somme d’argent en échange d’un contrat de travail potentiel ; N’acceptez aucune rétribution, de quelque nature que ce soit, de votre futur employeur tant que vous n’avez pas signé le contrat de travail [Attention, j’ai pu croiser de faux contrats de travail. Bannissez les entreprises inconnues, basées à l’étranger, NDR) ; Ne poursuivrez pas la communication si vous doutez de l’honnêteté de votre interlocuteur. « N’hésitez pas à demander toute précision qui vous semble utile afin de vous assurer que l’offre proposée est bien réelle et sérieuse » termine Pôle Emploi sur son site web.

Dans le quotidien nordiste, l’une des victimes indique cependant n’avoir reçu aucune réponse à ses demandes insistantes sur le sérieux d’une des annonces « J’ai contacté mon conseiller pour demander si une vérification est faite sur le sérieux des offres. Je n’ai jamais obtenu de réponse. »

En cas de fraude ou d’abus de ce type, n’hésitez pas à contacter la rédaction de ZATAZ.COM via leur protocole d’alerte sécurisé ou encore Info Escroquerie au 0 811 02 02 17 ou via le site Internet internet-signalement.gouv.fr.

Cybersécurité, Entreprise, Fraude au président, Fuite de données, Mise à jour, Social engineering

La signature de vos mails, porte d’accès pour pirate

Quoi de plus anodin qu’une signature dans un courrier électronique. Prenez garde, elle peut révéler beaucoup d’informations au premier pirate qui passe. DataSecurityBreach vous propose un mode d’emploi contre la collecte d’information via votre répondeur.

Dans le piratage informatique, la collecte d’informations sur la cible est primordiale. Avant d’attaquer un ordinateur, le pro de la malveillance informatique doit tout savoir sur l’humain et son environnement. Connaitre sur le bout des doigts la vie de l’objectif. Parmi les « espaces » de travail de l’espion : les poubelles (on se retrouve au FIC 2016 lors du challenge CDAISI, NDR) ; les bureaux ; les pages communautaires (Facebook, …) ainsi que les mails, les signatures et, surtout, le répondeur qui annonce votre absence.

Les réponses automatiques, l’ami de vos ennemis
Aussi bête que cela puisse paraître, j’ai pu constater depuis des années que les messages automatiques des répondeurs de nos boites mails étaient capables de fournir des informations sensibles, stratégiques pour celui qui sait les lires. Comme l’explique le site Internet dédié aux Professionnels de l’opérateur Orange « Au moment de paramétrer votre message d’absence pensez à faire figurer quelques informations comme » et l’entité historique des télécoms Français d’égrainer les données à fournir dans le message automatique : La durée de votre absence ; les coordonnées d’une personne à contacter en cas d’urgence... »

Aujourd’hui, ces informations ne sont plus à mettre. Imposez à votre direction une adresse électronique générique à mettre en place durant les absences. Paul.Abuba@Federalbank.gov.us n’est plus pensable dans un répondeur. Absence@Federalbank.gov ou informatique@Federalbank.gov (si vous officiez dans ce service, NDR) semble plus logique. Il ne faut plus communiquer la durée de l’absence, et encore moins l’identité de la personne à contacter en cas d’absence.

Social Engineering automatisé

Votre répondeur ne doit plus ressembler au message ci-dessus, mais à celui proposé ci-dessous. Un message qui aura pour mission de préserver les intérêts de votre entreprise et de votre vie numérique. De bloquer les tentatives de fraudes, de type Fraude au président par exemple. Il est aujourd’hui impératif d’éviter toute personnalisation. Un malveillant possédant l’identité de vos proches collaborateurs, d’un numéro de téléphone direct et de la date de votre absence à suffisamment de données pour piéger votre entreprise.

backdoor, Banque, Cybersécurité, Social engineering

Piratage d’entreprises au Japon : la moitié ne le savaient pas

Sur 140 entreprises privées et publiques japonaises interrogées, 75 organisations ne savaient pas que les données de leurs utilisateurs avaient été volées.

Le piratage informatique n’arrive pas qu’aux autres. Nous sommes toutes et tous susceptibles de finir dans les mains malveillantes de pirate informatique. Nos données sont tellement partagées par les entreprises qu’il est difficile, voire impossible, de les contrôler.

Au japon, par exemple, une étude intéressante vient d’être publiée par le Kyodo News. Sur les 140 entreprises interrogées, et ayant été piratées en 2015, 75 organisations ont confirmé qu’elles n’avaient pas remarqué l’attaque. Plus de la moitié avaient découvert la fuite de données après l’intervention de la police, ou d’une autre source. Sur ces 140 entreprises, 69 étaient du secteur privé, 49 étaient des agences gouvernementales et 22 universités.

Les 65 entreprises restantes ont indiqué s’être rendues compte, via des audits internes, de la fuite de leurs données. En 2015, les sociétés telles que Seki Co (267000 CB piratées) ; Chateraise CO (200000 données clients) ; Tamiya Inc (110000 données clients) ou encore Itochu Corp, l’Université de Tokyo, la Waseda University, l’association du pétrole japonais ont été touchés par un piratage informatique.

La plus grosse fuite aura touché le service des pensions de retraite du Japon (Japan Pension Service) avec 2,7 millions de données dans la nature. En 2014, Japan Airlines avait du faire face à la fuite de 750,000 données de son club de clients VIP. En 2013, Yahoo! Japan enquêtait sur le vol probable de 22 millions de comptes utilisateurs.