Archives quotidiennes :

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

La France toujours sous le feu des ransomware

Une nouvelle étude sur les ransomwares montre que l’impact des attaques est toujours aussi important en France et coûte cher aux entreprises.

Les résultats de la deuxième édition d’une étude mondiale présentant les conséquences des ransomwares sur les entreprises, réalisée en février 2018 par le cabinet Vanson Bourne en France, Allemagne, Royaume Uni, États-Unis a de quoi inquiéter sur le comportement des entreprises face aux Ransomwares. Cette étude, mise en place par SentinelOne, spécialiste des solutions autonomes de protection des terminaux, montre qu’en France, le nombre d’attaques a progressé, passant de 52 % en 2016 à 59 % pour les entreprises qui admettent avoir subi une attaque par ransomware au cours des 12 derniers mois. Les entreprises touchées ont dû faire face à une moyenne de 4 attaques durant cette période. A noter que l’Allemagne a vécu une année particulièrement mouvementée avec 79 % des organisations qui ont été ciblées au moins une fois par un ransomware contre 51 % en 2016.

En France, si dans 53 % des cas, l’attaque la plus réussie a permis aux attaquants de chiffrer des fichiers, cela s’est révélé sans conséquence pour l’entreprise soit parce qu’elle disposait de sauvegardes pour remplacer les données corrompues, soit parce qu’elle a été en mesure de déchiffrer les fichiers. 7 % des victimes n’ont pas trouvé de solution pour récupérer leurs données et 3 % ont préféré payer la rançon pour déchiffrer les données. A titre compartif, aux Etats-Unis, les entreprises ont davantage tendance à payer la rançon (11 % des victimes).

Des conséquences financières et réputationnelles considérables

Le coût direct de l’attaque ainsi que le temps de remédiation ne sont pas négligeables. Ainsi, le coût moyen estimé par les répondants français suite aux attaques par ransomware est de près de 650 000 euros. Le nombre moyen d’heures consacrées au remplacement des données chiffrées par des données de sauvegarde ou à la tentative de déchiffrement des fichiers est estimé à 42 heures (contre 33 heures en 2016).

Les entreprises françaises figurent parmi celles qui ont payé le montant de rançon le plus bas : ceux qui choisissent de payer ont dépensé en moyenne 31 500 euros en rançon, contre une moyenne mondiale de 38 900 euros au cours des douze derniers mois. Ces montants sont en baisse puisqu’en 2016 le montant moyen pour la France était de 85 900 euros et de 51 500 euros au niveau global.

L’ensemble des répondants français s’accordent pour dire que les ransomware ont eu un impact sur leur organisation. La conséquence la plus importante a consisté en une augmentation des dépenses de sécurité informatique (54 %) ainsi qu’un changement de stratégie de sécurité pour se concentrer sur l’atténuation (34 %). En outre, plus d’un répondant sur cinq rapporte que son organisation a connu une publicité négative dans la presse et 34 % que cela à nuit à la réputation de l’entreprise.

« On aurait pu croire qu’après les récentes attaques et l’impact qu’ont eu les ransomware au cours de l’année écoulée les entreprises auraient pris davantage de mesures, or ce n’est pas le cas », déclare Frédéric Benichou, directeur régional Europe du Sud de SentinelOne. « Pourtant, au vu de l’impact que peuvent avoir les ransomware sur l’activité économique et l’image d’une entreprise, c’est un risque qu’il peut être dangereux de prendre. »

Quelles sont les données ciblées ?

En France, les données financières sont particulièrement ciblées (dans 46 % des attaques), suivie des données clients (38 %) et celles relatives aux produits (32 %). Au niveau informatique, les matériels les plus touchés sont avant tout les PC (68 %), les serveurs (56 %) et les terminaux mobiles (31 %).

La sensibilisation des employés reste négligée

Dans 58 % des cas, les professionnels de la sécurité français déclarent que les cybercriminels ont accédé au réseau de leur organisation par le biais d’emails de phishing ou via les réseaux sociaux. 42 % ont indiqué que l’accès avait été obtenu grâce à la technique du drive-by-download déclenché lorsque l’on clique sur un lien menant à un site web compromis, et 39 % ont déclaré que l’attaque est arrivée via un poste de travail faisant partie d’un botnet. La France semble quand même relativement mieux sensibilisée sur le phishing que les autres pays puisque le phishing a permis l’accès dans 69 % des cas en moyenne sur l’ensemble des pays couverts par l’étude.

La sensibilisation reste néanmoins largement perfectible puisque pour 34 % des répondants français, si l’attaque a été couronnée de succès, c’est à cause de la négligence d’un employé. 44 % reconnaissent néanmoins que la faute revient en premier à un antivirus traditionnel inccapable de stopper ce type d’attaque. Il n’en reste pas moins que 39 % des employés français ont quand même décidé de payer la rançon sans intervention ou accord préalable de leur département informatique/sécurité.

« Le problème des ransomware est là pour durer », conclu Frédéric Bénichou. « Il est plus que temps pour les entreprises de prendre les mesures nécessaires pour faire face à ces attaques récurrentes que ce soit au niveau technologique ou humain. Cela implique de mettre en œuvre des solutions de lutte contre les menaces de nouvelles génération et de prêter davantage de considération à la sensibilisation et la formation dispensée aux employés, un point clé trop souvent négligé. »

Chiffrement, Communiqué de presse, Cybersécurité, double authentification, RGPD, Securite informatique

Atteintes à la vie privée

Atteintes à la vie privée : Les consommateurs français craignent un recul de leurs libertés individuelles.

Une étude publiée par The Economist Intelligence Unit (EIU) avec ForgeRock révèle les nombreux risques liés à la collecte et au partage des données personnelles, tels qu’ils sont perçus par les consommateurs du monde entier. Ces derniers demandent plus de transparence et de contrôle, ainsi que des engagements des autorités publiques et des industriels pour protéger leur vie privée.

What the Internet of Things means for consumer privacy (L’Internet des Objets et son impact sur la vie privée des consommateurs) est une étude menée par l’EIU avec Forgerock. Elle sonde les préoccupations et priorités des consommateurs mondiaux vis-à-vis de l’Internet des Objets (IoT). Elle est basée sur un sondage mené auprès de 1 629 personnes dans huit pays (Allemagne, Australie, Chine, Corée du Sud, États-Unis, France, Japon et Royaume-Uni). Les données utilisées ici sont les chiffres français, alignés sur les tendances observées dans les autres pays. (1)

Dans leur majorité, les consommateurs interrogés font part de nombreuses inquiétudes liées à la collecte et à la transmission de leurs données personnelles. Profilage comportemental, vol et usurpation d’identité, etc. : 73% des sondés s’inquiètent de voir ces petites intrusions dans leur vie privée affecter leurs libertés individuelles. 92% déclarent vouloir un contrôle sur les informations transmises dans les collectes automatiques des données, et ils sont 83% à vouloir être informés dans les points de ventes sur les capacités de collecte de l’objet connecté.

L’importance des actions suivantes en matière de protection des données personnelles transmises automatiquement par les objets connectés :
– Permettre aux utilisateurs de contrôler quelles informations sont collectées : 92%
– Informer les utilisateurs lors de la collecte : 90%
– Informer les utilisateurs des mises-à-jour de sécurité : 87%
– Informer les utilisateurs sur les capacités de collecte de l’objet connecté dans les points de vente : 83%

Malgré les efforts menés par les entreprises pour se conformer aux réglementations à venir, les consommateurs souhaitent que les droits relatifs aux données soient inclus dans le Règlement Général de Protection des Données de l’Union Européenne, qui entrera en vigueur en mai 2018. Ils sont 68% à considérer le droit d’effacer leurs données ( le « droit à l’oubli » ) comme prioritaire. Sur cette question, les français se montrent significativement plus sensibles que la moyenne de l’étude qui est de 57%. (2)

Les résultats de l’étude – complétés d’entretiens avec des experts – proposent des stratégies pour aider les entreprises à renforcer la confiance des consommateurs. Parmi celles-ci : la collaboration avec les autorités publiques, et des engagements fermes de la part des industriels pour protéger la vie privée de leurs clients.

Un contrôle rigoureux par les autorités de l’application des standards est essentiel : 89% des sondés demandent des sanctions accrues pour les entreprises qui violeraient les normes de confidentialité.

Ben Goodman, Vice-Président de ForgeRock en charge de la stratégie globale et de l’innovation : « Les consommateurs sont de plus en plus conscients des conséquences de leurs interactions numériques quotidiennes. Les entreprises doivent donc prendre à bras le corps ce sujet si elles veulent conserver la confiance des consommateurs. Cela fait des années que nous bénéficions tous gratuitement des services des plateformes sociales en échange de nos informations personnelles. À la lumière des récentes révélations concernant les politiques de traitement des données de Facebook, il est temps de reconsidérer ce qui relève du piratage et les comportements qui devraient être assimilés comme tels afin de mettre en place les mesures de protection appropriées. Doit-on par exemple considérer comme étant du piratage toute situation où une entreprise utilise la data de ses clients d’une manière inattendue ? Quel est le niveau acceptable de divulgation d’informations personnelles par un individu ? Toutes ces questions doivent faire l’objet d’un débat, d’autant plus que les technologies de l’IoT continuent de remodeler la vie quotidienne à la maison, au travail et les façons dont nous nous déplaçons« .

Nick Caley, Vice-Président de ForgeRock en charge des industries financières et de régulation : « 9 français sur 10 réclament des sanctions accrues pour les entreprises qui violent la vie privée des consommateurs. C’est un signal fort pour toute organisation qui traite et utilise les données de ses clients, et plus particulièrement les sociétés de services financiers. Au fur et à mesure que les entreprises adaptent leurs infrastructures et leurs pratiques pour se conformer à l’Open Banking, à la directive PSD2 ou au RGPD, ils doivent garder à l’esprit que les régulateurs ont fait du consentement la clé de voute de chacune de ces lois. Et à juste titre, l’étude montre clairement que les consommateurs attendent des organisations qu’elles sollicitent et obtiennent le consentement des individus avant de recueillir leurs données personnelles. »

Veronica Lara, rédacteur en chef de l’étude : « Les consommateurs sont inquiets à juste titre, car l’omniprésence de capteurs interconnectés via l’Internet des Objets génère des nouvelles couches de risques qui sont difficiles à appréhender. Le manque de transparence et l’impossibilité pour les consommateurs de contrôler leurs données exacerbent la perception des menaces pesant sur leur vie privée et leur sécurité. Les choses semblent évoluer, cependant, à mesure qu’ils exigent des garanties plus fortes et que le RGPD étend son influence au-delà des frontière de l’UE. »