Archives quotidiennes :

Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Securite informatique

Six étapes pour empêcher la perte ou le vol de données

Avec le déclin du périmètre réseau traditionnel, il est désormais essentiel d’adopter une stratégie de sécurité axée sur les données afin de protéger les informations de l’entreprise contre la fuite ou le vol.

Nous assistons depuis plusieurs années à la dissolution du périmètre réseau identifiable. Le personnel mobile et les télétravailleurs, qui ont besoin d’un accès universel aux informations et aux ressources pour organiser leur collaboration, ont rendu entièrement obsolète le concept de périmètre réseau traditionnel — celui qui était auparavant défini par les limites géographiques et technologiques des serveurs et appareils de l’entreprise. L’écosystème mondial de l’information se bâtit désormais sur un modèle de collaboration ouverte, de confiance et de flux constants d’informations — précisément les caractéristiques qui sont actuellement exploitées par les cybercriminels.

Dans un monde numérique sans frontières, il est impératif de redéfinir l’approche de la sécurité. Il est important de s’éloigner d’une simple protection du périmètre réseau pour se concentrer sur la sécurisation des données, où qu’elles passent et où elles se trouvent. Voici six étapes permettant de mener cette opération à bien avec efficacité.

1. Identifier et classer les données sensibles

La première étape de toute stratégie de sécurité des données efficace consiste à déterminer la sensibilité de vos données et à repérer où elles résident, que ce soit dans le cloud, sur des disques partagés, des bases de données ou les trois à la fois. Il vous faut ensuite décider si ces données nécessitent une protection ou pas, et dans quelle mesure. La classification des données sert tout d’abord à identifier les données, où qu’elles se trouvent. Elle trie ensuite les données dans des catégories appropriées, en fonction de leur sensibilité et d’autres critères, et crée des politiques pour déterminer qui sont les employés autorisés à accéder à ces données, et les façons dont ils peuvent les utiliser. La classification des données peut constituer une aide précieuse pour les entreprises en matière de gouvernance, de conformité et de mandats de réglementation tels le PCI DSS et le RGPD, ainsi que dans le cadre de la protection de la propriété intellectuelle.

2. Attention à la menace interne accidentelle

Les employés font peser un grand risque sur les données internes, en dépit de la classification des données et des contrôles d’accès en vigueur. Les équipes informatiques doivent mener un audit et mettre en place une approche visant à définir un niveau de risque associé à chaque employé en fonction de ses possibilités d’accès aux données de l’entreprise. En effet, certains employés présentent un risque supérieur aux autres. Par exemple, les employés possédant des identifiants d’administrateur réseau posent un risque bien plus élevé que ceux qui n’ont qu’un accès utilisateur local. Les employés des services financiers, d’un autre côté, peuvent constituer une cible tentante pour les cybercriminels en raison des données lucratives qu’ils traitent. Comprendre quels employés posent les plus grands risques pour vos données et adapter vos défenses en fonction peut permettre à vos équipes informatiques de réduire considérablement la menace interne.

3. Ne pas se fier qu’à des technologies ponctuelles

La plupart des outils de sécurité actuels sont axés sur la visibilité et cherchent à faire barrage au point d’entrée pour protéger les systèmes. Ils balaient les fichiers à un moment précis pour déterminer s’ils sont malveillants. Mais des attaques avancées peuvent survenir à tout moment du jour ou de la nuit et en quelques secondes, exposant les actifs les plus sensibles des entreprises. Des technologies de détection en temps réel fournissent une vigilance constante et démontrent le sérieux de la stratégie mise en œuvre en matière de protection des données.

4. Comprendre les subtilités de la DLP

Bien que les cybercriminels représentent effectivement une menace pour les entreprises, le risque de perte de données accidentelle n’est pas à sous-estimer. Prenez par exemple un employé qui envoie un email confidentiel au mauvais destinataire, ou oublie une clé USB dans un train. Sans la DLP, ces actions pourraient entraîner une fuite de données et une violation des normes de conformité. Les technologies de DLP sécurisent les données en fonction des politiques prédéfinies et de la sensibilité des données. Si les données sont extrêmement sensibles et qu’un employé ne possède pas les autorisations d’accès nécessaires, il ou elle ne pourra pas copier ces données. Si la copie est autorisée, les données seront chiffrées pour garantir leur sécurité, où qu’elles soient transportées.

La DLP vient compléter la stratégie de sécurité d’une entreprise. L’approche réseau suffisait jusqu’ici. Maintenant que les informations voyagent sur de grandes distances, il est beaucoup plus facile de pénétrer à l’intérieur du périmètre étendu d’une entreprise. Sans la DLP, l’attaquant aurait accès à une manne de données sensibles. Avec la DLP en place, même en cas de faille dans le périmètre, l’attaque a bien moins de possibilités de nuire et de voler des données sensibles, ou quoi que ce soit d’ailleurs. En associant la sécurité réseau, la DLP et des mesures de sécurité comme la protection avancée contre les menaces, une entreprise peut rendre le vol de ses données presque impossible.

5. Au-delà de la conformité

Bien que de nombreuses industries et régions soient soumises à des exigences de conformité, notamment HIPAA, PCI et RGPD, ces normes ne sont qu’une première étape dans la protection des données sensibles. Elles forment une base solide, mais il faut poursuivre la démarche pour assurer la sécurité des données sensibles critiques, au-delà des numéros de cartes bancaires et de sécurité sociale. Pour véritablement vous assurer que la sécurité de vos données est parfaitement étanche, vous devez penser la conformité et la sécurité au-delà de simples cases à cocher.

6. Comprendre la diversité des menaces ciblant les données

Les outils que vous choisissez pour la sécurité doivent être réactifs et tenir compte des menaces externes comme les programmes malveillants et les attaques par force brute. Beaucoup de solutions de DLP se concentrent sur les fuites de données accidentelles — la menace interne — mais n’ont pas la possibilité de prendre en compte les menaces externes qui font également peser un risque sur les données. Les solutions de DLP intelligentes tiennent compte de la possibilité de vol d’identifiants par des attaques externes pour pénétrer le réseau sous l’identité d’un employé. Il devient capital de bénéficier d’un service de renseignement sur les menaces. Supposons qu’un pirate corrompe le compte d’un administrateur. Une solution intelligente et complète empêchera l’administrateur de déplacer des données ou du moins les chiffrera, en raison du caractère inhabituel de ce comportement ou de l’emplacement d’où a lieu la connexion.

Beaucoup de produits de sécurité prétendent protéger les données alors qu’ils ne sont pas dynamiques et ne tiennent pas compte du contexte.

Pour empêcher la perte ou le vol des données, il convient de prendre en compte l’évolution du périmètre réseau traditionnel et adopter une combinaison de solutions de sécurité régies par politiques et de sensibilisation des employés. En identifiant les emplacements où résident les données sensibles, en définissant des politiques pour les gérer et en mettant en œuvre des contrôles d’accès appropriés, les entreprises se placent en position de force pour se défendre contre les menaces internes et externes. Avec le déclin du périmètre réseau traditionnel, il est essentiel d’adopter une solution de sécurité avec un axe sur les données pour protéger les informations de l’entreprise contre la fuite ou le vol. (Par Jan van Vliet, Responsable EMEA, Digital Guardian)

Communiqué de presse, Cybersécurité, double authentification, IOT, Securite informatique, Social engineering

Fake news lors du Forum de la Gouvernance de l’Internet 2018

Le programme du OFF met la lutte contre les fake news à l’honneur.

En parallèle du Forum de la Gouvernance de l’Internet, qui se tient à Paris du 12 au 14 nombre prochain, l’Internet Society France co-organise un OFF, qui sera l’occasion de mettre en lumière certaines préoccupations des parties-prenantes. Le OFF référence ainsi plus d’une vingtaine d’événements du numérique qui ont lieu pendant le Forum. L’Internet Society France s’engage sur le sujet de la désinformation en ligne.

Un hackathon sur le thème des troubles informationnels pour des solutions concrètes

Nicolas Chagny, président de l’Internet Society France, commente : « les fake news sont un défi majeur de la gouvernance de l’Internet. Les solutions autoritaires sont tout aussi démagogues que les auteurs de fake news ; pour cette raison, nous souhaitons proposer une réponse collective à ces défis ». Organisé par l’Agence France Presse, Renaissance Numérique et Savoir*Devenir et l’Internet Society France, le hackathon a pour thème les troubles informationnels à l’ère numérique et les propos haineux. Il rassemblera experts, chercheurs, associations, développeurs, journalistes, et étudiants pour apporter des solutions multidisciplinaires à ces problématiques, alliant à la fois sciences sociales mais aussi le développement informatique.

3 jours de travail, 3 parcours de réflexion

Le hackathon autour de trois parcours : lutte contre les propos haineux sur Internet ; fausses vidéos et troubles informationnels ; éducation aux médias et au numérique.

Ce hackathon sera l’occasion d’aborder l’amélioration du projet InVID porté par l’Agence France Presse, qui ambitionne de fournir un outil de vérification des images et vidéos, et aussi l’internationalisation de la plateforme Seriously (www.Seriously.ong), outil de lutte contre les discours de haine sur Internet conçu par Renaissance Numérique.

Inscription au hackaton : https://igf2018-leoff.paris/hackathon

Android, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Securite informatique, Smartphone, Téléphonie, Vie privée

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch

Craquer un mot de passe Wi-Fi WPA2 n’a jamais été aussi facile

Il n’est pas toujours facile de sécuriser un réseau domestique, même quand toutes les précautions possibles sont prises. Beaucoup de facteurs entrent en jeu et l’un d’entre eux est bien sûr le routeur. Jusqu’à présent, tout ce qu’il vous fallait était un mot de passe assez fort et un chiffrement WPA2. Mais les choses ont changé. Les chercheurs ont découvert un nouveau moyen apparemment très facile de pirater les réseaux Wi-Fi compatibles WPA/WPA2 PSK.

Cette nouvelle méthode de piratage des mots de passe Wi-Fi a apparemment été découverte par hasard : les chercheurs en sécurité travaillant sur Hashcat, un outil de craquage de mot de passe très populaire, essayaient en fait de trouver de nouvelles façons de craquer le protocole de sécurité sans fil WPA3 lorsqu’ils sont tombés sur cette nouvelle méthode WPA2. La nouvelle méthode pourrait permettre aux pirates d’obtenir la clé pré-partagée (pre-shared key, PSK) pour le Wi-Fi, ce qui leur donnerait accès au réseau. La grande différence par rapport aux méthodes précédentes est apparemment que les cybercriminels n’ont pas besoin de capturer un 4-Way Handshake complet. Au lieu de cela, la nouvelle attaque est menée sur le RSN IE (l’élément d’information réseau de sécurité robuste) d’une seule trame EAPOL.

Selon les chercheurs, l’attaquant qui communique maintenant directement avec le point d’accès n’a plus besoin qu’un utilisateur se connecte au réseau cible pour capturer ses données de connexion (ce qui était nécessaire auparavant). Cette attaque sans client apporte quelques autres avantages : plus d’éventuels mots de passe invalides, plus de trames EAPOL perdues à cause d’un point d’accès trop éloigné des cybercriminels, plus de formats de sortie spéciaux pour les données finales.

La plupart des routeurs modernes sont vulnérables

Bien que les chercheurs ne sachent pas encore avec certitudes quels fournisseurs et quels modèles de routeurs seront affectés par cette technique, les perspectives ne sont pas réjouissantes : tous les réseaux 802.11i/p/q/r avec des fonctions d’itinérance activées pourraient être sensibles à la nouvelle attaque ; par conséquent, cela affecterait la plupart des routeurs modernes. Malgré cette triste réalité, il y a deux choses que vous pouvez faire pour vous assurer de rester le plus en sécurité possible jusqu’à l’arrivée sur le marché de WPA3, qui est immunisé contre cette attaque :

Utiliser un mot de passe fort : Même avec cette attaque, le pirate devra attaquer votre mot de passe en force brute. Choisissez donc un mot de passe Wi-Fi fort, très fort. En cas de doute, vous pouvez toujours compter sur un gestionnaire de mots de passe pour faire le travail à votre place. Mettre à jour votre routeur : Mettez à jour votre routeur dès que des mises à jour sont disponibles. Si vous avez un très vieux routeur qui ne reçoit plus de mises à jour, il est recommandé d’en acheter un nouveau, au plus tard dès que les nouveaux routeurs WPA3 seront disponibles. (Par Nicole Lorenz, Avira)

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch, santé

Pirater des cerveaux pour manipuler et voler des souvenirs : la technologie de base existe

Organe en perpétuelle évolution, le cerveau et son fonctionnement posent de nombreuses questions. Ainsi, les scientifiques travaillent sur la découverte du mode de création des souvenirs dans le cerveau pour pouvoir les cibler, les restaurer et les enrichir au moyen d’ implants, et les technologies nécessaires existent d’ores et déjà sous la forme de dispositifs de stimulation profonde du cerveau.

Néanmoins, à l’avenir, des cyberattaques pourraient exploiter des implants mémoriels pour voler, espionner, modifier ou contrôler des souvenirs humains, même si les menaces les plus extrêmes ne se profileront pas avant plusieurs décennies. Il existe donc, dans les logiciels et le matériel connectés, des vulnérabilités qu’il importe de traiter pour nous préparer aux menaces qui nous attendent, selon une nouvelle étude réalisée par des chercheurs de Kaspersky Lab et le Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, publiée à l’occasion du sommet annuel Kaspersky NeXT à Barcelone.

Des implants de stimulation cérébrale, utiles à la médecine, mais vulnérables aux cyberattaques.

Les chercheurs ont associé une analyse pratique et théorique afin d’explorer les vulnérabilités actuelles des implants utilisés pour la stimulation cérébrale profonde. Appelés générateurs d’impulsions implantables (IPG) ou neurostimulateurs, ces dispositifs envoient des impulsions électriques vers des cibles spécifiques dans le cerveau pour le traitement de troubles tels que la maladie de Parkinson, le tremblement essentiel, la dépression majeure ou les TOC (troubles obsessionnels compulsifs). La dernière génération en date de ces implants s’accompagne de logiciels de gestion pour les médecins comme les patients, installés sur des tablettes et smartphones professionnels. La connexion entre les différents appareils repose sur le protocole standard Bluetooth.

Les chercheurs ont établi un certain nombre de scénarios de risques existants et potentiels, dont chacun pourrait être exploité par des attaques :
· Exposition des infrastructures connectées : les chercheurs ont découvert une vulnérabilité grave et plusieurs mauvaises configurations préoccupantes dans une plate-forme de gestion en ligne très répandue parmi les équipes chirurgicales, des failles susceptibles de conduire un intrus vers des données sensibles et des procédures de traitement.

· Le transfert de données non sécurisées ou non cryptées entre l’implant, le logiciel de programmation et les réseaux associés pourrait permettre la manipulation malveillante des implants d’un patient, voire de groupes entiers de patients connectés à la même infrastructure. Il risquerait d’en résulter la modification de réglages entraînant une douleur, une paralysie ou encore le vol de données personnelles, privées et confidentielles.

· En raison de contraintes de conception, la sécurité des patients prend le pas sur celle des données. Par exemple, un implant médical doit pouvoir être contrôlé par les médecins dans les situations d’urgence, notamment lorsque le patient est hospitalisé loin de son domicile. Cela exclut l’utilisation de tout mot de passe qui ne soit pas largement connu du personnel médical. En outre, cela implique que ces implants soient dotés par défaut d’un « backdoor » (un accès dérobé).

· Comportement non sécurisé du personnel médical : des logiciels critiques conservent souvent leurs mots de passe par défaut, utilisés pour l’accès à Internet ou à des applications complémentaires téléchargées.

Des méthodes scientifiques et médicales en perpétuelle évolution, qui nécessitent un accompagnement en cybersécurité

Il est indispensable de remédier à ces vulnérabilités car les chercheurs estiment qu’au cours des prochaines décennies, des neurostimulateurs plus avancés et une compréhension plus approfondie de la formation et de la mémorisation des souvenirs dans le cerveau humain vont accélérer le développement et l’utilisation de ce type de technologies et susciter de nouvelles possibilités de cyberattaques.

Dans les cinq années à venir, des scientifiques pensent pouvoir enregistrer sous forme électronique les signaux cérébraux qui créent les souvenirs, puis les enrichir voire les réécrire avant de les réimplanter dans le cerveau. D’ici une dizaine d’années pourraient apparaître sur le marché les premiers implants commerciaux destinés à stimuler la mémoire et, dans une vingtaine d’années, la technologie pourrait avoir suffisamment progressé pour permettre une prise de contrôle poussée des souvenirs.

Parmi les nouvelles menaces qui en découleront pourrait notamment figurer la manipulation de masse de populations par l’implantation ou l’effacement de souvenirs relatifs à des événements politiques ou à des conflits, tandis que des cybermenaces « réorientées » pourraient cibler de nouvelles opportunités de cyberespionnage ou bien le vol, la suppression ou le « verrouillage » de souvenirs (par exemple pour l’extorsion d’une rançon en échange de leur déblocage).

Au sujet des résultats de l’étude, Dmitry Galov, chercheur junior en sécurité au sein de l’équipe GReAT de Kaspersky Lab, commente : « Les vulnérabilités actuelles sont à prendre au sérieux car la technologie existant aujourd’hui préfigure ce qui verra le jour à l’avenir. Même si aucune attaque visant des neurostimulateurs n’a encore été observée, il existe des faiblesses qui ne seront pas difficiles à exploiter. Il nous faut réunir les professionnels de santé, les spécialistes de la cybersécurité et les fabricants pour étudier et corriger toutes les vulnérabilités potentielles, qu’elles soient déjà visibles actuellement ou qu’elles apparaissent dans les années à venir. »

Laurie Pycroft, chercheuse doctorale au sein du Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, ajoute : « Les implants mémoriels sont une perspective bien réelle et passionnante, offrant des bienfaits considérables pour la santé. Si l’idée de pouvoir modifier et enrichir nos souvenirs à l’aide d’électrodes paraît relever de la science-fiction, elle repose sur des fondements scientifiques solides qui existent dès à présent. L’arrivée de prothèses mémorielles n’est qu’une question de temps. La collaboration afin de cerner et de traiter les risques et vulnérabilités qui arrivent, et ce alors que cette technologie est encore relativement neuve, se révèlera payante à l’avenir. »

L’étude, intitulée The Memory Market: Preparing for a future where cyber-threats target your past, est disponible ici.

Banque, BYOD, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fraude au président, Fuite de données, Mise à jour, Securite informatique

P4R4Risque, un support ludique dédié à la sensibilisation cybersécurité

C’est à Quebec que j’ai rencontré Christopge Jolivet le concepteur d’un support de sensibilisation à la cybersécurité baptisé P4R4Risque. Un support de sensibilisation sous la forme d’un jeu de plateau efficace.

S’il fallait définir rapidement P4R4Risque, je pourrai le traduire comme un jeu de plateau dédié à la cybersécurité. Des cases, des pions, des cartes et des dés. Mais la comparaison s’arrêtera là.

Christophe Jolivet indique que son support est dédié à la sensibilisation par le jeu. Un mode ludique pour parler d’une thématique cybersécurité au sein de son entreprise. « Par des séances de sensibilisation, explique l’auteur, vous stimulerez l’interaction entre les participants en les confrontant à des situations réelles« . Et c’est toute la force de P4R4Risque.

Des questions reprenant des situations que peuvent vivre les entreprises, les salariés, … Les participants sont dans la peau d’une compagnie fictive qui possède des actifs. Parmi ces actifs, l’information stratégique ou confidentielle (renseignements personnels) des clients. L’objectif est de protéger adéquatement l’information de votre compagnie contre les scénarios de risques qui se présenteront à vous à tour de rôle par l’acquisition et la mise en place de mesures stratégiques, tactiques, opérationnelles et complémentaires.

22 scénarios proposés. Ils regroupent 7 familles de risques d’affaires. Il n’y a pas de gagnant ni de perdant ! La finalité étant que ce support ludique déclenche des échanges entre les employés. L’auditoire comprend ce qu’est la gestion de risques (accepter, mitiger, transférer). Il comprend que ces mesures S/T/O/C atténuent les risques et qu’elles ne sont pas gratuites.

Une vision internationale de la gestion de risques basée sur ISO27005 et ISO31000. Vous pouvez y retrouver aussi, par exemple, une version RGPD ou encore PCI-DESS. P4r4risque est commercialisé à partir de 99 $ canadiens (66€).