Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Entreprise, Espionnae, Fuite de données, loi, Particuliers, Social engineering

La stratégie Américaine de contre-espionnage pour 2016

Le National Counterintelligence Strategy des Etats-Unis d’Amérique revient sur son plan d’action pour l’année 2016. Mission, tenter de bloquer l’espionnage sur le sol de l’Oncle Sam.

La stratégie de contre-espionnage national des États-Unis d’Amérique 2016 a été élaborée  conformément à la Loi de mise en valeur de contre-espionnage de 2002 (n° 107-306 Pub.L., 116 Stat. 2 383 – 50 USC sec. 3383 (d) (2)). La stratégie établit la manière dont le gouvernement des États-Unis (US) permettra d’identifier, de détecter, d’exploiter, de perturber et de neutraliser toutes les menaces d’espionnages par des entités de renseignement étrangères (Foreign intelligence entity – FIE).

Le document fournit des conseils pour les programmes de contre-espionnage (counter intelligence – CI) et les activités du gouvernement américain visant à atténuer ces menaces. « Chaque ministère et organisme du gouvernement américain a un rôle dans la mise en œuvre de cette stratégie dans le contexte de sa propre mission et par l’application de ses responsabilités et des pouvoirs uniques, explique le document. Rien dans la présente stratégie doit être interprétée comme une autorisation de mener des activités de CI« .

Dans ce fichier, plusieurs points liées au numérique comme le « Cyber Effect » qui regroupe la manipulation, la perturbation, le déni, la dégradation ou la destruction d’ordinateurs, d’information ou de communication des systèmes, des réseaux , des infrastructures physique ou virtuel contrôlées par des ordinateurs ou des systèmes d’information, ou des informations qui y résident.

Base de données, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Les Services de Renseignements Danois se penchent sur la sécurité informatique

Dans son rapport baptisé « Intelligence Risk Assessment 2015 – An assessment of developments abroad impacting on Danish security« , le Danish Defense Intelligence Service, revient sur les problématiques rencontrés par les services secrets Danois.

Dans son dernier rapport en date, baptisé « Intelligence Risk Assessment 2015« , les Services de Renseignements Danois (DDIS) reviennent sur une année 2015 chargée. Le Danish Defense Intelligence Service s’inquiète de l’évolution des risques d’espionnage contre les institutions publiques et les entreprises privées danoises. « Le cybercrime constitue la plus grave des menaces au Danemark et pour les intérêts Danois » souligne le FE. « Ce type d’espionnage est principalement mené par des Etats et des groupes parrainés par des États« .

Au cours des dernières années, le cyber espionnage contre le Danemark a considérablement augmenté, et les méthodes et techniques employées par les auteurs sont devenues de plus en plus sophistiquée. « L’espionnage cybernétique contre les autorités danoises et les entreprises est très élevée » confirme DDIS. Pour le Danish Defense, il est fort probable que plusieurs États vont exploiter l’Internet à des fins offensives. DDIS cite d’ailleurs l’État islamique en Irak et le Levant (ISIL) et ses filiales régionales.

Le Service de Renseignement Danois termine son rapport sur le danger que peuvent être les prestataires de services. Un exemple, celui vécu par certains services de la police locale dont les serveurs avaient été attaqués par le biais d’un fournisseur de services. « Des dispositifs de faibles qualités constituent un risque que des acteurs malveillants savent exploiter, comme par exemple les routeurs qui sont exploités pour mener espionnage ou sabotage« .

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

BYOD, Cybersécurité

Ecoles, iPhones et objets connectés : nouveaux territoires de chasse pour les pirates

WatchGuard Technologies, un grand spécialiste des boîtiers de sécurité réseau intégrés multifonctions, annonce une série de dix prédictions en matière de cyber sécurité en 2016, qui comprennent entre autres l’arrivée de nouveaux ‘ransomwares’ ciblant des plates-formes alternatives ; et de nouveaux territoires de chasse pour les criminels en quête de vols d’identités.  

Le panorama des menaces de sécurité est en évolution constante, les cyber criminels déployant des méthodes à la fois anciennes et nouvelles pour étendre leur emprise, contaminer les utilisateurs et avoir accès à des données de valeur,” a déclaré Corey Nachreiner, le Directeur Technique chez WatchGuard. “Pour améliorer leurs défenses, nous recommandons à nos clients de suivre les meilleures pratiques en matière de sécurité ; de former leurs employés aux menaces et aux techniques d’attaques ; et de déployer les technologies de sécurité réseau les plus récentes afin qu’ils puissent identifier en temps réel et adresser la majorité des attaques que nous anticipons en 2016.

1.      Les Ransomwares Atteignent de Nouvelles Plates-formes
Les ransomwares ont grandi, avec de nouveaux malwares d’encryptage si puissants que beaucoup de victimes ont dû payer une rançon en 2015. Jusqu’à présent, les ransomwares ciblaient principalement Windows. L’année prochaine nous prévoyons que les cyber criminels vont développer des ransomware très efficaces pour des nouvelles plates-formes, dont les terminaux mobiles sous Android et les ordinateurs portables Apple.

2.      La crédulité Humaine Reste la plus Grande Menace:
Les failles de sécurité les plus récentes ont une chose en commun, elles ont toutes commence par le harponnage d’un utilisateur. Les cyber criminels ciblent des utilisateurs spécifiques avec des techniques de persuasion étudiées pour les inciter à délivrer leurs privilèges d’accès. Nous recommandons la mise en place d’un budget dédié consacré à la formation des employés à la détection des menaces, incluant les plus récentes techniques de persuasion.

3.      Les Failles de Sécurité des PME Reviennent aux Fondamentaux
La majorité des attaques réussies – spécialement celles qui ciblent les petites entreprises – exploitent des vulnérabilités de base. Excepté quelques cyber criminels adeptes de techniques sophistiquées, la plupart des attaques dans les PME exploiteront des manquements aux bonnes pratiques de sécurité de base. C’est un aspect positif. Si les entreprises mettent un point d’honneur à respecter les meilleures pratiques de sécurité les plus basiques, elles éviteront la majorité des attaques en 2016.

4.      Les Malwares sur iOS vont Augmenter
La stratégie de plate-forme ouverte de Google s’est traduite par un plus grand nombre de menaces contre Android que contre iOS d’Apple. Mais l’année dernière, des cyber criminels ont infecté la plate-forme de développement d’Apple. Nous pensons qu’ils continueront à exploiter cette faille pour glisser des malwares dans la boutique d’applications officielle d’Apple. L’année prochaine, nous assisterons à plus de lancements d’attaques ciblant iOS.

5.      Les Publicités Malveillantes Prolifèrent grâce à l’Encryptage
Les publicités malveillantes, ou ‘malvertising’, qui combinent une annonce publicitaire et un malware, sont un nouveau type d’attaque dans lequel des cyber criminels piègent un site web de bonne réputation avec un code malicieux en le glissant dans une publicité. Certains services et produits sont mieux armés pour détecter des publicités malveillantes, mais les criminels contre attaquent. En 2016, nous prévoyons que le nombre d’attaques de ce type va tripler, et qu’elles réussiront plus souvent via l’utilisation de HTTPS. Pour les entreprises qui ne disposent pas de systèmes de sécurité capable de contrôler HTTPS, nous recommandons une mise à niveau aussi vite que possible.

6.      L’Automatisation Fait Avancer la Sécurité d’un Grand Pas
Les attaques automatisées d’aujourd’hui parviennent à esquiver les défenses traditionnelles. Les solutions basées sur des signatures ne sont plus efficaces. Des analystes sont toujours capables d’identifier de nouvelles menaces en contrôlant des comportements suspects, mais les cyber criminels diffusent un tel volume de nouvelles menaces que l’esprit humain ne peut plus suivre le rythme. La solution ? L’Intelligence Artificielle et des machines qui apprennent continuellement et peuvent reconnaître et suivre des comportements malicieux. Les entreprises doivent s’orienter vers des défenses proactives, avec des technologies telles qu’APT Blocker qui identifie automatiquement des menaces et des malwares en fonction de comportements en non plus de signatures statiques.

7.      Les Cyber Criminels Retournent à l’Ecole pour Récupérer des Données
La sécurité de l’information est entièrement consacrée à la protection des données, donc les informations d’identification personnelle, ou identifiants nécessaires pour voler des données fournissant une identité complète sont de grande valeur. La quantité de données collectées sur nos enfants alors qu’ils sont étudiants est énorme et leurs bilans de santé sont parmi les éléments les plus intéressants à détourner. Ceci, combiné avec les environnements réseau ouverts que l’on trouve généralement dans les établissements universitaires, est la raison pour laquelle nous pensons que les systèmes informatiques des écoles et universités vont devenir la cible des cyber criminels. Aux organisations dans ce secteur, nous recommandons de mieux protéger leurs serveurs de base de données et de contrôler attentivement les applications web qui sont liées aux informations personnelles des étudiants.

8.      Les Firmwares Piratés Attaquent l’Internet des Objets
Lorsqu’un hacker pirate un ordinateur, son but est de s’assurer que son code malicieux reste sur la machine. En revanche, pirater l’Internet des Objets est une tout autre chose. La plupart des objets connectés n’ont pas de système de stockage interne et ont peu de ressources, donc les contaminer suppose de modifier leur firmware. L’année prochaine, nous prévoyons l’apparition d’attaques exploratoires visant à modifier et pirater en permanence le firmware d’objets connectés. En réponse, les fabricants devraient commencer à renforcer la sécurité de leurs objets en y intégrant des mécanismes sécurisés rendant plus difficile la modification de leur firmware par des attaquants. Nous recommandons aux fabricants de s’y intéresser activement.

9.      Les Fonctions de “Simplicité d’Utilisation” des Réseaux WiFi Ouvrent la Voie à la Prochaine Grande Faille de Sécurité
La prochaine vulnérabilité majeure des réseaux sans fil profitera de leurs fonctions de « simplicité d’utilisation » allant à l’encontre de la sécurité. Par exemple, la fonction Wi-Fi Protected Setup (WPS) en fait partie, en introduisant une faiblesse permettant à des attaquants de rentrer sur des réseaux WiFi. Cette année, les équipementiers réseau vont introduire de nouvelles fonctions de ce type, telles que Wi-Fi Sense de Microsoft. Nous pensons que la prochaine grande faille de sécurité des réseaux WiFi va profiter d’une telle fonction qui permet aux utilisateurs, et aux hackers, de rentrer facilement sur un réseau sans fil.

10.  Les Hacktivistes Piratent les Médias TV
A la différence des cyber criminels, qui restent sous le radar, les hacktivistes, c’est à dire les hackers à motifs politiques, aiment communiquer des messages choc conçus pour attirer l’attention du public. L’objectif majeur du cyber activisme est d’utiliser la technologie pour faire en sorte qu’un maximum de personnes remarque leur message, quel qu’il soit. Les vidéos des Anonymous sont un très bon exemple de ce type d’action. L’année prochaine, nous prévoyons une action de grande ampleur de ce type.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Sauvegarde, Social engineering

Fuite de données pour le service de réseautage Vixlet

Plusieurs centaines de milliers de comptes d’utilisateurs du service de réseautage Vixle accessible en quelques clics de souris.

La société Vixlet, anciennement Divide Nine LLC, est connue pour proposer des services de réseautage. Basée à Los Angeles, cette startup américaine propose des outils pour les réseaux sociaux à des clients tels que la ligue professionnelle de basket US ou encore l’ATP (Tennis).

Une faille a été découverte dans l’outil proposé par Wixlet. Elle permettait de mettre la main sur les informations des inscrits. Dans les données, mails, mots de passe et dates de naissance. Un serveur non protégé et le tour était joué pour accéder à la base de données. Les données des clients étaient sauvegardées dans un dossier baptisé VixLet prod. Un dossier de production contenant de vraies données… normale !

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, IOT, Social engineering

L’employés, le vilain petit canard de la données sensibles

Selon une étude réalisée par Kaspersky Lab et B2B International en 2015, 73 % des entreprises auraient été touchées par des incidents internes de sécurité informatique. La principale cause de fuites de données confidentielles reste les employés (42 %).

À mesure que l’infrastructure informatique d’une entreprise s’étend, il en va de même pour le paysage des menaces : à nouveaux composants, nouvelles vulnérabilités. La situation est aggravée par le fait que les employés – en particulier ceux ne possédant pas de connaissances spécialisées – ne sont pas tous en mesure de suivre les évolutions rapides de l’environnement informatique. C’est ce que confirme une récente enquête, révélant que 21 % des entreprises touchées par des menaces internes ont perdu de précieuses données, avec à la clé des conséquences sur leur activité. Il est utile de préciser que l’étude recense les cas de fuites accidentelles (28 %) et intentionnelles (14 %).

Les incidents internes, pas toujours des accidents
En dehors des fuites de données, les menaces internes concernent principalement la perte ou le vol des équipements mobiles des employés. 19 % des responsables interrogés reconnaissent égarer au moins une fois par an un mobile contenant certaines données de leur entreprise. Un autre facteur important concerne les fraudes au sein du personnel. 15 % des participants à l’enquête se sont retrouvés face à des situations où certaines ressources de leur société, notamment financières, ont été utilisées par des employés à des fins personnelles. Si ce pourcentage paraît faible, les pertes causées par ces incidents sont supérieures aux dommages résultant des fuites de données confidentielles dans les grandes entreprises. Les PME perdent jusqu’à 40 000$ euros en moyenne en raison d’activités frauduleuses de leurs employés, tandis que ce chiffre dépasse 1,3 million de dollars pour les grandes entreprises.

« Une solution de sécurité à elle seule ne suffit pas pour protéger les données d’une entreprise. Et c’est ce que confirment les résultats de cette étude », commente à DataSecurityBreach.fr Konstantin Voronkov, responsable des produits pour les postes de travail chez Kaspersky Lab. « Les entreprises ont besoin d’une approche intégrée à plusieurs niveaux, s’appuyant sur une veille de sécurité et d’autres mesures complémentaires. Ces mesures peuvent comprendre l’utilisation de solutions spécialisées et l’instauration de règles de sécurité, portant par exemple sur une restriction des droits d’accès. »

Etude menée auprès de 5500 spécialistes dans plus de 25 pays à travers le monde.

backdoor, Cyber-attaque, Cybersécurité, Justice, loi, Piratage, Virus

La police canadienne saisi un serveur diffuseur de Dorkbot

Les autorités américaines et canadiennes viennent de se féliciter du blocage de plusieurs points de départs de l’attaque du code malveillant Dorkbot. Des serveurs saisis.

Le Conseil de la radiodiffusion et des télécommunications canadiennes, le CRTC, vient d’indiquer qu’elle venait de faire saisir un serveur ayant était utilisé dans la diffusion du code malveillant Dorkbot. Une saisie qui rentre dans les obligations faites par la Loi anti-phishing du Canada. La machine, saisie chez un hébergeur de Toronto était utilisé comme un centre de commandes et de contrôle (C&C) pour permettre aux pirates acquéreurs (Dorkbot se loue, ndr) de faire fonctionner le logiciel d’espionnage partout dans le monde. Dorkbot agit sur la toile depuis 2010.

Il a été découvert un an plus tard, après avoir été utilisé contre les messageries de Facebook et Gmail. L’attaque, classique. Dorkbot est envoyé aux cibles via un courriel piégé par un lien de téléchargement. Cette opération a été coordonnée entre les autorités canadiennes, Interpol, Europol, le FBI et Microsoft. Plusieurs autres serveurs ont été bloqués et saisis en Amérique centrale, en Europe et en Asie. Le canada serait, selon Websense, la 8ème nation la plus utilisée par les pirates informatique.

Entre 2011 et 2013, les policiers canadiens ont observé une augmentation de 40% d’actes de cybercriminalité. Une police dédiée uniquement à la cyber criminalité est en cours de création dans le pays.

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Leak, Logiciels, Microsoft, Particuliers, Piratage, Social engineering

Dropbox utilisé par des pirates Chinois

Des pirates Chinois utiliseraient DropBox dans leurs attaques informatiques. Loin d’être une nouveauté, Dropbox est apprécié par les malveillants pour sa simplicité « cloudesque » !

La société américaine FireEye a annoncé avoir découvert une nouvelle attaque phishing lancée par un groupe de pirates Chinois. Ces derniers, comme des pirates que zataz a pu vous indiquer provenant d’Afrique ou de plusieurs pays de l’Est, utilisent Dropbox dans leur attaque.

Ces pirates utilisent le service de stockage pour sauvegarder leurs outils malveillants. Ils diffusent ensuite les liens Dropbox à leurs cibles. FireEye explique que depuis Août, ce « phishing » exploitant Dropbox aurait visé des militants tibétains, ainsi que des dizaines d’organisations basées au Bangladesh, au Népal, et au Pakistan.

Les pirates utilisent, entre autres, le RAT (logiciel espion) Poison Ivy. Dropbox a fait disparaître, depuis, les logiciel incriminés.

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Paiement en ligne, Patch

Un logiciel pour prédire le CVV de sa prochaine carte bancaire

Imaginez ! Vous avez une carte bancaire et vous êtes capables de prédire le code de sécurité (CVV) qui vous sera alloué au changement de votre prochain CB.

Quand vous possédez une carte bancaire, vous êtes en possession du plastique, de la puce, de la bande magnétique, des 16 chiffres de votre CB, de sa date de validité et du CVV, le code de sécurité de 3 à 4 chiffres inscrits au dos de votre carte bancaire. CVV baptisé aussi cryptogramme visuel de validation.

Ce Card Verification Value change, comme la date de validité de la CB, à chaque fois que vous recevez une nouvelle carte bancaire. Le chercheur bidouilleur Samy Kamkar vient de trouver un sacré bug dans le CVV des cartes American Express. Chez AE, on appelle cette sécurité le Card Identification Number. Même principe, 4 chiffres des informations d’usages. Samy Kamkar a trouvé le moyen de générer le CIN qui vous allez recevoir avec votre prochaine carte, celle que vous n’avez pas encore.

Le plus inquiétant, il a été capable de payer avec son moyen de paiement du moment et les 4 chiffres qui ne sont pas censés être en sa possession. Sa méthode a été simple. Il a d’abord demandé à ses amis de lui fournir leur CIN. Avec une formule mathématique de son cru, il a pu créer les prochains codes de sécurité et … la nouvelle date de validité attenante. A partir de sa découverte, il a créé une un petit boitier qui lui a coûté 10 $. MagSpoof, le nom de son invention, permet de simuler n’importe quelle bande magnétique de cartes bancaires et de connaitre les futures informations d’identification de la CB.

Mon petit doigt me fait dire que l’attaque semble être connue de petits coquins du black market des Pays de l’Est. Comme le souligne Korben, il va être intéressant de savoir si cette « technique » fonctionne pour les autres cartes. Samy Kamkar propose sa découverte sur GitHub.

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, IOT, Social engineering

Mieux sensibiliser le personnel pour mieux prévenir les cyberattaques

D’après les conclusions d’une enquête, un responsable européen sur sept fait courir des risques à son entreprise en connaissance de cause, malgré un budget « cybersécurité » se chiffrant en milliards.

Une nouvelle enquête vient de pointer le bout de ses chiffres sur la sécurité informatique en entreprise. Signée par Palo Alto, les conclusions sur les attitudes en matière de cybersécurité des dirigeants et des cadres des entreprises européennes pourraient inquiéter sur le comportement numérique de ces derniers. Un nombre alarmant d’employés haut placés fait sciemment courir des risques en matière de cybersécurité aux entreprises, les principales raisons invoquées étant la frustration engendrée par les politiques d’entreprise et la mauvaise compréhension des menaces en ligne.

Cette étude montre que les actions des décisionnaires mettent à mal le budget de 35,53 milliards de dollars que les entreprises européennes prévoient de consacrer à la cybersécurité à l’horizon 2019. De fait, 27 % des répondants reconnaissent avoir exposé leur entreprise à une cybermenace potentielle, sachant que 14 % déclarent en avoir eu conscience au moment des faits.

Trouver l’équilibre entre sécurité et fonctionnalité
Si, dans un cas sur quatre, les auteurs de ces actions ont affirmé ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne, la quasi-totalité des répondants (96 %) a néanmoins jugé que la cybersécurité devrait être une priorité pour leur entreprise. Le principal motif invoqué par les employés pour expliquer le non-respect des politiques d’entreprise est la nécessité de recourir à un outil ou à un service plus efficace que celui utilisé par l’entreprise, ou le fait que ces outils étaient considérés comme les meilleurs sur le marché. Cette tendance est confirmée par les 17 % de répondants indiquant que la politique de sécurité de l’entreprise est frustrante et les empêche d’accéder à des outils et à des sites qui contribueraient à accroître leurs performances professionnelles. L’éducation des employés est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair.

Non-respect des règles de sécurité par les cadres supérieurs
Les résultats de l’enquête indiquent que tout employé, quel que soit son service ou son degré d’ancienneté, est susceptible d’entreprendre des actions contestables ou de se forger une opinion erronée. Dans un cas sur dix, les répondants ont déclaré avoir été témoins du non-respect des lignes directrices de l’entreprise par un cadre ; et à cette question, un cadre supérieur sur quatre a effectivement reconnu avoir exposé son entreprise à une menace potentielle en connaissance de cause.

Responsabilité
D’après cette étude, un dirigeant sur cinq (18 %) ne considère pas avoir un rôle personnel à jouer dans les efforts de son entreprise en matière de cybersécurité ; et en cas d’attaque perpétrée avec succès, seul un sur cinq (21 %) pense que l’employé à l’origine de la faille devrait être tenu pour responsable, la majorité des répondants (40 %) estimant que la responsabilité devrait être rejetée sur le service informatique.

Les actions des employés n’ont pas forcément des répercussions visibles immédiatement, dans la mesure où les attaques se produisent souvent dans un deuxième temps. Aussi les entreprises peuvent-elles avoir du mal à en identifier l’origine. Étant donné que les deux tiers des employés n’ont pas encore conscience que chacun a un rôle à jouer dans la prévention des cyberattaques, il est évident que les entreprises doivent agir en 2016 sur le terrain de l’éducation en matière de cybersécurité.

« Ces conclusions suggèrent que les employés haut placés sont trop confiants et sont enclins à prendre des risques en partant du principe que “cela n’arrive qu’aux autres”. L’évolution des réglementations va faire la lumière sur ce qui se passe vraiment en Europe dans les prochaines années, et mettra ainsi un frein à ce type de comportement. Cela laisse également entendre que la cybersécurité est encore considérée par beaucoup comme une mesure prise pour l’entreprise, et non comme une ligne directrice qui doit être respectée par tous. », commente à DataSecurityBreach.fr Arnaud Kopp, Directeur Technique Europe du Sud, chez Palo Alto Networks

Cette enquête a été menée en ligne par Redshift Research, au mois d’octobre 2015, auprès de 765 décisionnaires travaillant dans des entreprises comptant plus de 1 000 employés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

A noter que Data Security Breach vous propose des ateliers et formations de sensibilisation à la sécurité informatique. Elles sont dispensées par Damien Bancal, expert en la matière. Pour en a savoir plus, n’hésitez pas à le contacter.