Archives de catégorie : Communiqué de presse

Communiqué de presse

Stockage Cloud et sécurité : trois problèmes rencontrés par les PME

Le cloud, le nuage, a changé la façon dont les entreprises travaillent. Un tout nouveau monde de collaboration et de productivité s’est ouvert. Un environnement dont il devient très compliqué de ne pas utiliser les qualités… et subir les potentiels problèmes de cybersécurité.

Mais l’adoption du cloud continue de susciter des préoccupations en matière de sécurité dans les petites et moyennes entreprises (PME), notamment en matière de stockage. Naturellement, lors du stockage de données dans le cloud avec des services tels que Dropbox for Business, Google Drive, Microsoft OneDrive et Box, les entreprises peuvent avoir le sentiment que leurs données sont moins sécurisées et sujettes aux fuites. Confier vos données à un tiers est simplement risqué car vous n’en avez pas le contrôle.

La recherche d’IS Decisions prouve que ces préoccupations existent. 63% des PME pensent que les fournisseurs de stockage dans le cloud devraient faire davantage pour protéger leurs données. Mais quels sont exactement les problèmes spécifiques que les PME rencontrent avec les données dans le cloud?

1.    Ils ne peuvent pas détecter les accès non autorisés

La détection des accès non autorisés aux fichiers et aux dossiers sensibles de l’entreprise est l’une des principales préoccupations des entreprises en matière de sécurité dans le cloud.

Traditionnellement, lorsque les entreprises stockaient leurs données sur des serveurs de fichiers locaux, elles pouvaient être assurées que les données étaient «relativement» protégées de toute utilisation non autorisée. La raison pour laquelle elles sont supposées sécurisées est due à la nécessité d’être physiquement présent au bureau pour accéder à ces fichiers, ce qui crée une limite naturelle contre les accès non autorisés en dehors de l’organisation.

Même pour les employés et les partenaires tiers utilisant des réseaux privés virtuels (VPN), qui permettent un accès en dehors de cette limite, les données restent relativement sécurisées, car les équipes informatiques peuvent ne restreindre l’accès qu’à des périphériques spécifiques.

Mais avec le stockage dans le cloud, la facilité de partage des données entre les équipes, associée à la simplicité d’intégration de votre stockage avec d’autres applications dans le cloud, augmente considérablement le risque d’accès non autorisé, ce qui pose d’importants problèmes de sécurité aux équipes informatiques qui ont du mal à détecter les utilisations abusives. Sans les bons contrôles d’accès en place, si les informations de connexion d’un employé tombaient entre de mauvaises mains, son auteur pourrait, en théorie, accéder aux fichiers et dossiers sensibles de n’importe où dans le monde, avec n’importe quel appareil.

Les entreprises craignent que, faute de savoir qui accède à ces fichiers, ces informations se retrouvent entre de mauvaises mains. En fait, un sur cinq (21%) est allé jusqu’à dire qu’ils conservaient leurs données les plus sensibles stockées sur une infrastructure sur site, car ils ne faisaient pas confiance à sa sécurité dans le cloud.

2.    Ils luttent pour arrêter le vol de données en cours

Empêcher les employés qui quittent votre entreprise de voler des fichiers d’entreprise sensibles avant leur départ cause énormément de maux de tête aux équipes de sécurité du monde entier.

Avec le stockage sur site, le risque de repérer une personne qui tente de voler des informations sensibles est beaucoup plus grand, car ces informations sont stockées sur un ordinateur de bureau physique, plutôt que de pouvoir être consultées de l’extérieur.

Tandis que, avec le stockage dans le cloud, vous pouvez accéder aux données de n’importe où dans le monde, en utilisant n’importe quel appareil (même personnel), il est donc trop facile pour les anciens employés de voler des informations avant de partir. En fait, même lorsque cet employé quitte officiellement ses fonctions, il existe toujours un risque qu’il ait accès aux données de la société.

3.    La gestion d’environnements de stockage hybrides complexes est difficile

Ce problème est intrinsèquement lié aux deux premiers – et on peut affirmer que les environnements hybrides complexes aggravent beaucoup les problèmes des deux autres.

De nos jours, la plupart des entreprises utilisent une combinaison d’environnements de stockage, à la fois en termes de fournisseurs de stockage dans le cloud et de serveurs sur site. Et si cette approche hybride aide les employés à devenir productifs, elle rend très difficile la gestion de la sécurité des données stockées dans plusieurs environnements.

Chaque fournisseur de cloud dispose d’un système de gestion de la sécurité différent. Sans surveillance permanente de l’accès à chaque plate-forme, il est difficile de détecter toute activité malveillante et d’arrêter le vol de données. En effet, 56% des PME disent qu’il est difficile de gérer la sécurité des données stockées dans des infrastructures hybrides.

Comment faire?

Le moyen le plus efficace de protéger vos données, que ce soit dans le cloud ou sur un mélange de local et de cloud, consiste à investir dans une technologie qui enregistre, contrôle et consigne de manière proactive tous les accès aux fichiers et aux dossiers et vous en avertit en temps réel et alerte les équipes informatiques de l’activité de fichiers suspects au moment où elle se produit.

FileAudit offre une vue cohérente de la sécurité de vos données sur tous vos serveurs de stockage, à partir d’un outil et d’un tableau de bord consolidé. Avec une telle solution, vous pouvez être assuré que si quelqu’un d’autre qu’un employé autorisé tente d’accéder à vos données, vous serez le premier à en prendre connaissance et, par conséquent, à vous en occuper.

Communiqué de presse, Cybersécurité, IOT, Securite informatique

IQS, le premier label européen de sécurité des solutions connectées est Français

Pensé pour les utilisateurs, ce label permet aux acteurs de l’IoT de vérifier la sécurité d’une solution mettant en œuvre des objets connectés. Il constitue un indicateur fiable et indépendant pour les futurs acquéreurs ou usagers, professionnels comme particuliers.

La société digital.security, premier CERT européen dédié à la sécurité des objets connectés, annonce le lancement du programme de labellisation IoT Qualified as Secured (IQS), le premier programme de labellisation pour les acteurs de l’Internet des Objets (IoT) désireux de faire vérifier, par un tiers indépendant, la sécurité de leurs solutions IoT.

Avec plus de 14 milliards d’appareils IoT en circulation en 2019 et 25 milliards prévus d’ici 2021* les objets connectés sont devenus une cible privilégiée pour les cybercriminels. Ces derniers peuvent accéder physiquement à l’objet et mener des attaques sur les composants et les données personnelles ou sensibles, ou en prendre le contrôle à distance par le biais de la radio logicielle.

A qui s’adresse ce programme ?

IoT Qualified as Secured, ou IQS, permet aux industriels de l’IoT de vérifier la sécurité de leur solution mettant en œuvre des objets connectés. Matérialisé par le pictogramme IQS, c’est également un gage de sécurité pour les futurs acquéreurs ou usagers, entreprises comme particuliers.

Ses caractéristiques

Applicable à l’ensemble des secteurs économiques, le label IQS repose sur un référentiel intégrant à la fois les standards nationaux et internationaux de sécurité, les bonnes pratiques dites « d’hygiène de sécurité », et les exigences issues du retour d’expérience de digital.security.

Le cœur du label IQS est constitué d’une plate-forme d’évaluation de la sécurité des objets connectés -appelée EvalUbik – véritable banc de test permettant de mettre un objet connecté en condition d’utilisation paramétrable et contrôlée.

Deux niveaux de labellisation sont délivrés : standard et avancé.

Le label est délivré pour une durée de 2 ans aux solutions IoT (objets et services associés) respectant un ensemble d’exigences de sécurité publiées (entre 25 et 30 selon le niveau de labellisation).

La volonté de digital.security est de couvrir de façon objective et mesurable la grande majorité des exigences requises dans les pays de l’Union Européenne. La logique de millésime du label permet de le faire évoluer au rythme de la mise en place des règlements et des standards européens afin de permettre à tout acteur IoT d’inscrire sa démarche sécurité dans la durée.

Processus de labellisation

Le Comité de Labellisation, composé d’experts en cybersécurité indépendants de digital.security, confronte le rapport d’évaluation anonymisé au référentiel retenu pour accorder le certificat de labellisation.

Un référentiel d’exigences de sécurité adapté à l’IoT

Fruit des standards et des bonnes pratiques communément admises pour sécuriser les Systèmes d‘Information, complété du retour d’expérience des audits IoT réalisés par digital.security, le référentiel d’exigences de sécurité du label IQS couvre les thématiques suivantes :

  • La protection des échanges de données (PED)
  • Protection des socles techniques (PST)
  • La sécurisatoin de l’accès aux données (PAD)
  • Traçabilité (TRA)

L’ensemble des composants de la solution IoT candidate au label sont soumis au référentiel : les objets connectés, les protocoles de communication, les serveurs accessibles sur Internet et les applications fournies aux utilisateurs.

« Il n’y a pas d’innovation réussie sans maîtrise des risques », déclare Jean-Claude Tapia, président de digital.security. « Dans un marché mondial qui privilégie le time-to-market à un développement maîtrisé, il était essentiel pour nous de créer le premier label de référence sur la sécurité des objets connectés qui révolutionnent la façon dont les agents économiques et sociaux interagissent. Avec le lancement du label IQS, notre objectif, en tant que premier CERT IoT, est d’accompagner durablement cette révolution numérique pour le bénéfice de toutes les parties prenantes. », conclut Jean-Claude Tapia.

Communiqué de presse, Cybersécurité, double authentification, Mise à jour, Securite informatique

6 professionnels sur 10 voleraient des données en cas de départ de leur entreprise  

Une étude en dit beaucoup sur la gestion des accès et des identités au sein des entreprises : les confessions de professionnels mais aussi les difficultés rencontrées pour mettre en place des solutions IAM (Identity and Access Management) et PAM (Privileged Access Management) adaptées.

One Identity, une société spécialisée dans la gestion des identités et des accès (IAM), publie les résultats d’une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – la RSA conférence – sur leurs plus grands défis et préoccupations en matière de sécurité, ainsi que sur leurs comportements professionnels liés à l’accès au réseau et au système.

Et il semblerait que beaucoup de professionnels ne s’embarrassent pas toujours des protocoles et mesures de sécurité :

  • L’étude mené par One Identity révèle ainsi que près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.
  • Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait.
  • De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail. Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.

Difficiles à mettre en œuvre, les solutions IAM/PAM ne sont toujours pas une priorité 

Les résultats de l’étude révèlent une hétérogénéité dans l’utilisation des solutions d’IAM et de PAM  au sein des entreprises : certaines estiment qu’il s’agit d’une priorité, d’autres les négligent, exposant potentiellement leur organisation à des atteintes à la protection des données et à d’autres cyber-risques.

Parmi les résultats les plus significatifs de l’enquête :

  • 1/3 des répondants affirment que la gestion des accès à privilèges (PAM) est la tâche opérationnelle la plus difficile en matière de sécurité.
  • Seulement 16 % des répondants citent la mise en œuvre de pratiques adéquates d’IAM comme l’une des trois principales préoccupations lorsqu’il s’agit de protéger le Cloud.
  • Par ailleurs, seulement 14 % des répondants affirment qu’un meilleur contrôle de l’accès des employés aurait un impact significatif sur la cybersécurité de leur entreprise.

Ces résultats démontrent que les entreprises ont du mal à mettre en œuvre des processus, des pratiques et des technologies adéquats en matière d’IAM et de PAM, et qu’elles négligent peut-être complètement l’impact de ces disciplines sur leurs dispositifs de sécurité.

 Pour les professionnels, 3 tâches particulièrement complexes remontent en matière de gestion des accès et identités : 1 répondant sur 4 explique ainsi  que le plus compliqué est de gérer les mots de passe des utilisateurs ; pour 1 sur 5 la tâche la plus complexe est la gestion du cycle de vie des utilisateurs (c.-à-d. le provisionnement et le dé provisionnement des utilisateurs), alors que ce sont deux des exigences fondamentales en matière de gestion des identités.

De plus, 1 répondant sur 4 affirme que l’Active Directory (AD) est le système le plus difficile à sécuriser pour l’entreprise. Cela est particulièrement préoccupant étant donné la prévalence de l’AD dans la plupart des organisations.

L’IAM dans le Cloud est complètement négligé

Lorsqu’il leur a été demandé de partager leurs trois principales préoccupations en matière de sécurisation du Cloud, près de 3 répondants sur 4 ont cité la perte de données. 44 % ont cité la menace externe, et 44% également ont cité la menace interne !  En revanche, seulement 16 % ont déclaré que la mise en œuvre de pratiques adéquates d’IAM était une préoccupation majeure. Ces résultats sont paradoxaux étant donné que les pratiques d’IAM – telles que le contrôle d’accès des utilisateurs basé sur des politiques et l’authentification multifactorielle – peuvent aider à atténuer à la fois les risques internes et externes liés à la cyber information.

David Earhart, Président et Directeur Général de One Identity déclare : « Rien de tel qu’un sondage anonyme pour découvrir quelques pratiques inavouées… et apprendre à mieux se protéger. Les résultats de notre étude montrent les pratiques en matière de gestion des accès – à privilèges notamment – et des identités sous un autre jour. Si l’on considère l’ensemble de la situation, les entreprises sont inutilement confrontées à des défis majeurs en ce qui concerne les tâches liées à l’IAM et au PAM, étant donné la technologie et les outils disponibles aujourd’hui. Notre espoir est que cette étude allume une étincelle pour que les organisations fassent un effort concerté pour relever ces défis et améliorer leurs stratégies et pratiques d’IAM et de PAM afin d’éviter les pièges cyber ».

Une étude réalisée lors d’un important rendez-vous cybersécurité américain. 200 personnes interrogées.

Communiqué de presse, Cybersécurité, Securite informatique

Le coût moyen des attaques DNS a augmenté de 49% en 2018 et s’élève à près d’un million d’Euros

Une étude d’EfficientIP, en partenariat avec IDC, pointe que le nombre d’attaques – au niveau mondial – a augmenté de 34 % en 2018. En France, elles augmentent également pour un montant estimé à 937 000 euros par attaque.

EfficientIP, pépite française leader dans l’automatisation et la sécurité réseau qui assurent la continuité du service, la protection des utilisateurs et la confidentialité des données, annonce les résultats de son étude annuelle « Global DNS Threat Report 2019 » menée en partenariat avec IDC. Cette étude examine les causes et l’évolution des menaces DNS, ainsi que leurs effets potentiels sur les entreprises du monde entier.

L’année dernière, le nombre d’attaques DNS a augmenté en moyenne de 34 %, passant à 9,45 attaques au niveau mondial ; cette augmentation a coûté près d’un million d’euros par attaque à 20 % des entreprises concernées et provoqué l’indisponibilité d’applications pour 63 % d’entre elles. Ce constat confirme le rôle critique du DNS dans la sécurité globale des réseaux.

Cette 5ème édition de l’étude met l’accent sur le coût des attaques DNS qui a augmenté de moitié (49%), ainsi que sur l’évolution de la liste des attaques les plus courantes et leur grande diversité, allant des attaques volumétriques aux attaques qui génèrent des signaux faibles. Il s’agit notamment d’attaques de phishing (47%), d’attaques de logiciels malveillants (39%) et d’attaques DDoS classiques (30%). L’étude souligne également que les entreprises qui ne protègent pas le DNS contre toutes les attaques potentielles risquent plus que jamais de compromettre leur réputation et de perdre des clients.

FRANCE : Par rapport à l’an passé, la France affiche un coût par attaque en augmentation de 8%. Ce pourcentage est relativement faible si on le compare au Royaume Uni (+ 105%), Au Canada (+ 80%) ou encore aux EU (+72%).

Le DNS est un élément central du réseau qui, sans qu’on le sache, permet aux utilisateurs d’accéder à toutes les applications dont ils ont besoin au quotidien. La majorité du trafic réseau passe d’abord par un processus de résolution DNS, qu’il s’agisse d’une activité réseau légitime ou malveillante. Tout impact sur les performances du DNS a donc d’importantes répercussions sur l’entreprise.

Romain Fouchereau, responsable de la recherche sur la sécurité européenne chez IDC, déclare: «Avec un coût moyen de près d’un million d’Euros par attaque et une fréquence de plus en plus importante, les entreprises ne peuvent tout simplement pas se permettre d’ignorer la sécurité DNS et doivent la mettre en œuvre en tant que partie intégrante du dispositif stratégique pour protéger leurs données et leurs services. « 

Les principaux impacts des attaques DNS : réputation ternie et perte de chiffre d’affaires

Les cyberattaques très médiatisées telles que WannaCry et NotPetya ont porté atteinte à la réputation d’entreprises du monde entier et entraîné des pertes financières. L’impact des attaques ciblant le DNS est tout aussi important en raison de son rôle essentiel. Plus des trois quarts (82%) des entreprises sondées ont fait l’objet d’une attaque DNS. À l’échelle mondiale, le coût moyen par attaque DNS a augmenté de 49 % en un an, pour atteindre près d’un million d’Euros. Ce coût est le plus élevé en Europe : 1 061 900 euros.

Cependant, le coût par attaque et son augmentation varient d’un pays à l’autre

C’est le Royaume-Uni qui a enregistré la plus forte augmentation annuelle (105%) et le coût le plus élevé (1 460 000 €). En revanche, la France n’a augmenté que de 8% avec un coût estimé à 940 000 €. En Amérique du Nord, les entreprises ont le coût le plus élevé (1 005 000 €), mais les entreprises canadiennes enregistrent l’augmentation la plus forte (80%). En Asie-Pacifique, Singapour a le coût le plus élevé (825 000 euros par attaque) et l’augmentation la plus forte (30 %).

Les cinq attaques DNS les plus fréquentes en 2019

Les attaques DNS les plus courantes ont changé par rapport à l’année dernière. Le phishing (47%) est désormais préféré aux programmes malveillants (39%), suivis des attaques DDoS (30%), du déclenchement de fausses alertes (26%) et des attaques de domaine par blocage (26%).

Aucun secteur n’est à l’abri des attaques DNS cette année

Le secteur des services publics est celui dont le coût par attaque est le plus élevé, soit 25 % supérieur à 980 000 euros. Le secteur des services financiers a été le plus ciblé de tous les secteurs ; 88 % des entreprises sondées ont déclaré avoir été ciblées l’année dernière. À titre de comparaison, le secteur de la distribution a enregistré la perte de chiffre d’affaires la plus importante (35 %), particulièrement inquiétante dans le contexte commercial actuel. Les sites Web de la moitié des entreprises du secteur de la santé (50 %) ont été compromis par une attaque, ce qui a réduit l’accès des patients aux ressources en ligne. Encore plus inquiétant, les administrations ont enregistré le plus grand nombre d’informations sensibles volées (19 %) et ont mis plus de temps à corriger les vulnérabilités, 74 % ayant mis au moins deux jours.

David Williamson, Directeur Général d’EfficientIP commente : « L’importance du DNS est enfin largement reconnue par les entreprises. Toutefois, ces chiffres sont les pires que nous ayons vus depuis cinq ans. Les entreprises commencent seulement à utiliser le DNS comme un élément clé de leur stratégie de sécurité pour anticiper les menaces, contrôler les règles et automatiser les processus. Heureusement, en mettant l’accent sur les menaces DNS, comme le fait cette étude, les entreprises peuvent renforcer la sécurité d’Internet pour tous».

Confidentialité des données et conformité, un an après le RGPD

Depuis l’entrée en vigueur du RGPD en mai 2018, des entreprises de tous les pays ont réalisé d’importants investissements, notamment dans le renforcement de la sécurité des réseaux.

Un an après, les entreprises investissent dans l’analyse afin de renforcer la sécurité. Les entreprises sondées estiment que la sécurisation des extrémités du réseau (32 %) et l’amélioration de la surveillance du trafic DNS (29 %) sont les meilleurs moyens d’assurer la protection des données, outre l’ajout de pare-feux (22 %).

Chiffrement, Communiqué de presse, Cybersécurité, IOT, Securite informatique

IoT et cybersécurité : 40 % des ménages dans le monde possèdent au moins un objet connecté

40 % des ménages dans le monde possèdent au moins un objet connecté, selon une étude de l’éditeur Avast et l’Université de Stanford.

L’éditeur de solution de sécurité informatique, en collaboration avec l’Université de Stanford, a découvert qu’environ 40 % des ménages dans le monde possèdent au moins un appareil connecté. Aux Etats-Unis, ils sont près de 66 %, ce qui entraine une augmentation des risques liés à la cybersécurité.

Le rapport de l’étude a été présenté à l’occasion de la conférence Usenix Security Symposium 2019, dans un document intitulé « All Things Considered: An Analysis of IoT Devices on Home Networks » (Tout bien considéré : une analyse des dispositifs IoT sur les réseaux domestiques). Il s’agit de la plus vaste étude mondiale menée jusqu’à présent sur l’IoT. Avast a analysé 83 millions d’objets connectés au sein de 16 millions de foyers à travers le monde afin de comprendre la répartition et le profil de sécurité de ces appareils, par type et par fabricant. Les résultats ont ensuite été validés par les équipes en charge de la recherche chez Avast et par l’Université de Stanford.

« Les professionnels de la sécurité ont longtemps échangé sur les problèmes associés à l’émergence de l’IoT, confie Zakir Durumeric, professeur adjoint en informatique à l’Université de Stanford. Malheureusement, ces objets sont restés cachés derrière les routeurs domestiques et nous avons eu peu de données à grande échelle sur les types d’appareils réellement déployés dans les foyers. Les informations que nous avons obtenues nous aident à mieux comprendre cette adoption croissante de l’IoT, ainsi que les différentes problématiques auxquelles les utilisateurs sont confrontés en matière de sécurité. »

Répartition des fournisseurs d’IoT dans le monde

Les recherches révèlent une image complexe de l’écosystème IoT et des risques de cybersécurité qui en découlent chez les particuliers dans le monde entier. Les résultats clés sont les suivants :

L’Amérique du Nord présente la plus forte densité d’objets connectés, toutes régions du monde confondues, avec 66 % des foyers qui possèdent au moins un objet connecté, contre une moyenne mondiale de 40 % ;
Il existe plus de 14 000 fabricants d’appareils connectés à travers le monde, mais 94 % d’entre eux sont fabriqués par seulement 100 fournisseurs ;
Les protocoles obsolètes tels que FTP et Telnet sont encore utilisés par des millions d’appareils ; plus de 7 % de l’ensemble des objets connectés exploitent toujours ces protocoles, ce qui les rend particulièrement vulnérables ;

En France

En France, l’IoT représente 21,7 % de l’ensemble des appareils présents dans le foyer, contre 24 % pour les appareils mobiles, et 29,3 % pour les PC.

Les données de cette étude ont été collectées grâce aux utilisateurs de la solution Wi-Fi Inspector d’Avast qui analyse le réseau domestique afin d’identifier les éventuelles vulnérabilités et les problèmes de sécurité susceptibles de représenter une menace. Cette fonctionnalité vérifie l’état du réseau, les appareils connectés à celui-ci et les paramètres du routeur. Wi-Fi Inspector aide les utilisateurs à protéger leur réseau afin d’empêcher les pirates informatiques d’y accéder et d’exploiter leurs données à des fins malveillantes.

L’étude s’est intéressée à la répartition des fournisseurs d’appareils connectés au niveau mondial. Alors qu’ils sont plus de 14 000, seule une poignée domine le marché.

« L’une des conclusions principales de cette recherche est que 94 % des objets connectés ont été fabriqués par moins de 100 fournisseurs différents, et la moitié par seulement 10 d’entre eux, indique Rajarshi Gupta, Head of Artificial Intelligence, chez Avast. Cela met les fabricants dans une position unique pour garantir l’accès des consommateurs à des appareils dotés d’une protection de la vie privée et d’un niveau de sécurité élevés dès la conception. »

En durcissant les objets contre les accès non désirés, les fabricants peuvent contribuer à empêcher les hackers de compromettre ces appareils à des fins d’espionnage ou d’attaques par Déni de Service (DDoS).

D’importants cyber-risques non pris en compte

Dans le cadre de l’étude, Avast a identifié un nombre significatif d’appareils exploitant des protocoles obsolètes, parmi lesquels Telnet et FTP, à savoir 7 % de la totalité des objets connectés.

C’est également le cas pour 15 % des routeurs domestiques, véritables passerelles vers le réseau ; raison pour laquelle il s’agit d’un problème grave, car lorsque les routeurs ont des identifiants faibles, ils peuvent permettre d’accéder à d’autres périphériques et potentiellement à l’ensemble du foyer pour mener une cyberattaque.

En 2019, il y a peu de raisons pour que les objets connectés supportent le protocole Telnet. Cependant, l’étude montre que les appareils de surveillance et les routeurs prennent toujours en charge ce protocole, et qu’ils ont le profil Telnet le plus faible. Cela concorde avec certains piratages survenus par le passé, notamment le rôle de ce protocole dans les attaques sur les botnets Mirai, qui laissent penser que ces types de dispositifs sont à la fois nombreux et faciles à compromettre.

Le rapport complet en anglais de l’étude “All Things Considered: An Analysis of IoT Devices on Home Networks” est disponible ici.

Communiqué de presse

Gardez secrètes vos données d’entreprise grâce au VPN

Aujourd’hui, il n’est plus possible de faire vivre votre business sans utiliser l’informatique et l’Internet : emails, communications et échanges, recherches, utilisation d’outils de travail…. Pourtant, saviez-vous que vos données de navigation sont consultables à tout moment, de même que vos mots de passe ou votre historique ?

Que ce soit en travaillant à son bureau ou depuis chez soi, les questions de navigation et de protection des données sont essentielles pour votre entreprise !

Selon une étude Gfk menée sur les comportements personnels avec Internet, les GAFA détiendraient environ 70 000 données sensibles sur des enfants issues d’une même famille. La raison ? La surpublication sur les réseaux sociaux ou encore, des échanges via les réseaux non protégés. Dans le milieu professionnel, ce chiffre atteindrait 975 données pour chaque collaborateur. Des chiffres affolants, mais heureusement, il existe des solutions pour y remédier.

Les risques de la navigation web non protégée

C’est en voyant ces chiffres évoqués en introduction que l’on comprend bien le problème : Internet n’est pas un espace protégé, mais bien un lieu où, malgré le sentiment d’individualité et d’intimité au moment de la navigation, les internautes sont sous le regard permanent d’autres parties : gouvernements, hackers, spécialistes de la sécurité… De nos jours, le phishing ou les malwares sont tout autant à craindre pour votre entreprise que vos propres concurrents : ce n’est pas seulement votre sécurité qui est en jeu, mais aussi celles de vos consommateurs.

En effet, dans de nombreux secteurs, hautement concurrentiels, c’est la guerre de l’information. Que feriez-vous si votre concurrent principal sur le marché obtenait des informations sur vos contacts clients ? Ce serait catastrophique ! Le risque de piratage des données est beaucoup plus élevé dans le cadre d’un serveur ouvert, et plus encore si plusieurs personnes travaillent en réseau sur ces mêmes données.

Dès lors, utiliser un VPN (Virtual Private Network), autrement dit, un réseau de navigation privée, permet de contrecarrer ces défis de l’Internet.

L’intérêt d’un VPN pour votre société

Que vous soyez une petite PME ou une grande société, peu importe : la sécurité de vos données doit rester une priorité. Dans ce cadre, le VPN agit comme une barrière de protection, en permettant aussi la confidentialité des données grâce à un système de cryptage. Ainsi, personne ne peut vous géolocaliser, télécharger vos contenus échangés ou consulter vos historiques de conversation.

La surfer anonymement reste votre meilleur atout, pour permettre :

  • Le chiffrement et la confidentialité des données échangées au travail, aussi bien du côté de l’entreprise que des clients
  • Aux collaborateurs de se connecter au réseau privé, même à distance lors d’un déplacement
  • De tracer les authentifications, empêchant ainsi toute intrusion extérieure

Attention : un VPN est différent d’un proxy, qui ne permet que le changement d’une adresse IP durant la navigation internet, ce qui ne garantit pas la sécurité des données.

Surfez anonymement et en toute sécurité !

Sur le plan personnel, un VPN peut être très pratique pour changer votre localisation géographique afin d’accéder à des contenus d’Internet, souvent bloqués dans un pays, comme c’est le cas de LinkedIn en Russie ou de Facebook en Chine. Cela dit, dans le cadre d’une entreprise, le VPN est plus qu’un gadget, c’est un véritable outil de travail, surtout si vous travaillez en multisites ou avec des consultants extérieurs.

Avec la fluidification des échanges, la notion de secret professionnel est de plus en plus mise à l’épreuve : autant mettre tous les atouts de votre côté avec un VPN pour lutter contre la cybercriminalité !

Petit conseil : malgré l’utilisation d’un VPN, pensez à changer régulièrement vos mots de passe et assurez-vous d’adopter un comportement sécurisant sur Internet, en limitant les prises de risques.

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).

400 000 euros !

Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Conservation des données

Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)

Base de données, BYOD, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, RGPD, Sauvegarde, Securite informatique

Télétravail : risques de sécurité pour les entreprises

Télétravail  : Les résultats de l’enquête révèlent que seulement 11 % des PME se préoccupent des facteurs sécurité et informatique lorsqu’il s’agit du travail à distance de leurs employés.

Une étude vient de dévoiler les résultats d’une enquête sur le télétravail . Selon cette recherche, à partir de 586 répondants, les nouvelles pratiques de travail flexibles pourraient poser un risque pour la sécurité des petites entreprises. En effet, un employé sur cinq (9 %) estime être le plus productif lorsqu’il travaille dans des lieux publics comme un café ou une bibliothèque, mais seulement 11 % des employeurs sont préoccupés par les répercussions que cela pourrait avoir sur la sécurité de leur entreprise. Les PME doivent donc relever le défi de maintenir leur sécurité, tout en répondant aux besoins et aux attentes de leurs collaborateurs.

Une nouvelle norme

L’étude met en évidence les tendances et les attentes concernant le télétravail, plus d’un tiers (38 %) des personnes interrogées préférant accepter une réduction de salaire plutôt que de se limiter à travailler dans un bureau. Une autre tranche de 35 % choisirait la flexibilité du travail à domicile plutôt qu’une augmentation de salaire, même si on leur proposait une augmentation de 25 %. Alors que les entreprises se disputent les meilleurs talents, il sera vital de pouvoir attirer des personnes aptes à mettre en place des méthodes de travail modernes. Cependant, 38 % des répondants ont indiqué qu’ils ne reçoivent pas le soutien technologique ou l’expertise dont ils ont besoin lorsqu’ils travaillent à domicile ou dans un lieu public, faisant de la sécurité un problème croissant pour les petites entreprises qui ont recours au travail flexible.

« Le lieu de travail fonctionnant selon un horaire 9h – 17h appartient au passé, et les employés qui rejoignent le marché du travail aujourd’hui exigent une plus grande flexibilité en termes d’horaires, d’emplacement et d’avantages sociaux personnalisés, déclare Kevin Chapman, SVP et General Manager, chez Avast Business. Bien qu’il soit prouvé dans certains cas que ces pratiques augmentent la satisfaction et même la productivité des employés, il y a des problèmes de sécurité bien réels qu’il est nécessaire de résoudre. Les entreprises doivent être en mesure de fournir les outils qui leur permettent non seulement de faire preuve de flexibilité, mais aussi de le faire en toute sécurité. Il est également important de ne pas négliger les employés qui préféreraient conserver un environnement de bureau traditionnel. Il convient de trouver un équilibre pour permettre à tous de travailler de la manière qui leur est la plus bénéfique. »

Avantages du télétravail

Non seulement les PME seront en mesure d’attirer le meilleur personnel qui soit, mais le travail mobile semble présenter d’autres bénéfices. Interrogés sur les avantages que présente le télétravail pour les employés des petites entreprises, près d’un tiers d’entre eux (30 %) ont confié que cela les rendait plus heureux, et 31 % ont répondu que cela leur permettait d’apprécier leur travail. Cette étude a également révélé que la satisfaction des employés n’est pas la seule à augmenter : la flexibilité du travail pourrait avoir un impact positif sur sa qualité et sur la productivité ; 34 % des employés affirment être les plus productifs lorsqu’ils travaillent à domicile, contre 45 % au bureau.

Les petites entreprises qui souhaitent adopter de nouvelles pratiques de travail doivent relever de nombreux défis sécuritaires. Si le personnel accède à des données sensibles ou se connecte à des comptes professionnels via un réseau Wi-Fi non sécurisé, l’entreprise risque de subir une attaque. Il existe également un risque de violation de données si un employé enregistre des renseignements sensibles sur un ordinateur de bureau. Machine qui va disparaître. Les propriétaires de petites entreprises doivent prévoir des mesures de sécurité pour les travailleurs mobiles, telles que des solutions de réseau privé virtuel (VPN) à utiliser sur les connexions Wi-Fi ouvertes, et des logiciels anti-malware déployés aux points finaux sur tous les appareils personnels (BYOD – Bring Your Own Device) des employés. De plus, il convient de veiller à ce que les employés soient sensibilisés au rôle très important qu’ils ont à jouer dans la sécurité de l’entreprise.

Communiqué de presse, Cybersécurité, Justice

Délit d’usurpation d’identité numérique et liberté d’expression

Le cabinet LAZARÈGUE AVOCATS spécialisé dans la cybercriminalité et le droit de la presse a obtenu une décision importante en matière de liberté d’expression.

Selon Maître Lazarègue : « La rédaction confuse du délit d’usurpation d’identité numérique prévu dans le code pénal pouvait laisser entendre que le seul fait de « faire usage d’une ou plusieurs données de toute nature permettant d’identifier un individu en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération pouvait faire l’objet d’une condamnation d’un an d’emprisonnement et de 15 000 € d’amende ».

De nombreuses entreprises tentaient ainsi d’échapper aux contraintes de la loi sur la liberté de la presse (notamment à son délai de prescription limité à trois mois) en invoquant le délit d’usurpation d’identité numérique pour étouffer toute expression publique critique à leur égard.

Dans un jugement du 18 avril 2019, la 17e chambre du Tribunal de Grande Instance de Paris spécialisée dans les questions de presse et internet a réaffirmé son attachement à la liberté d’expression et la primauté de la loi sur la liberté de la presse en matière d’expression publique.

La 17e chambre a ainsi jugé que la loi pénale est d’interprétation stricte et l’interprétation de l’article 226-4-1 du code pénal au regard des travaux préparatoires de cette loi permet de restreindre le champ de l’infraction à celui d’une usurpation d’identité ou à une utilisation des données de toute nature permettant d’identifier quelqu’un dans le but de se faire passer pour cette personne, telle étant la volonté du législateur. »

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

SneakyPastes : une opération basique mais efficace du cybergang Gaza frappe des cibles liées au Moyen-Orient dans 39 pays

En 2018, le cybergang Gaza, dont nous savons désormais qu’il comprend plusieurs groupes plus ou moins sophistiqués, a lancé une opération de cyberespionnage ciblant des personnes et des institutions ayant un intérêt politique en lien avec le Moyen-Orient. La campagne, nommée SneakyPastes, utilisent des adresses e-mail jetables pour propager l’infection par phishing, avant de télécharger le malware par étapes successives depuis divers sites gratuits. Cette méthode peu coûteuse mais efficace a permis au groupe de frapper environ 240 victimes d’envergure dans 39 pays à travers le monde, notamment des responsables politiques, des diplomates, des activistes ou des médias.

Le cybergang Gaza est un collectif arabophone à motivations politiques, rassemblant des groupes malveillants étroitement liés qui ciblent activement le Moyen-Orient et l’Afrique du Nord, en particulier les Territoires palestiniens. Kaspersky Lab a identifié au moins trois de ces groupes ayant des objectifs et des cibles similaires – pour du cyberespionnage lié à des intérêts politiques dans la région – mais présentant des outils, techniques et niveaux de sophistication très différents. Il existe cependant des éléments communs à chacun d’entre eux.

Le cybergang Gaza

Parmi ces groupes, les plus avancés sont Operation Parliament et Desert Falcons, identifiés respectivement depuis 2018 et 2015, aux côtés d’un groupe sous-jacent moins complexe, également connu sous le nom de MoleRats, actif depuis au moins 2012. Au printemps 2018, ce groupe de base a lancé l’opération SneakyPastes.

SneakyPastes a commencé par des attaques de phishing autour de thèmes politiques, propagées à l’aide d’adresses e-mail et de domaines « jetables » (à usage unique). Les liens ou fichiers joints malveillants sur lesquels les destinataires cliquaient ou où qu’ils téléchargeaient installaient ensuite l’infection sur leur machine.

SneakyPastes

Afin d’échapper aux systèmes de détection et de masquer la localisation du serveur de commande et de contrôle (C&C), un malware supplémentaire était téléchargé sur les machines des victimes par étapes successives depuis divers sites gratuits, notamment Pastebin et Github. Les différents implants malveillants utilisaient PowerShell, VBS, JS et dotnet pour assurer leur résilience et leur persistance à l’intérieur des systèmes infectés. La dernière étape de l’intrusion était un cheval de Troie à accès distant (RAT), qui contactait le serveur C&C puis collectait, compressait, cryptait et transférait vers celui-ci un large éventail de documents volés (tableaux de chiffres, par exemple). L’opération SneakyPastes tire son nom de l’utilisation massive, par les auteurs de l’attaque, de sites de collage (paste) pour infiltrer progressivement le RAT dans les systèmes des victimes.

Les chercheurs ont collaboré avec les autorités afin de mettre au jour le cycle complet d’attaque et d’intrusion de l’opération SneakyPastes. Ces efforts ont permis d’aboutir, non seulement à une connaissance détaillée des outils, techniques, cibles, etc., mais aussi au démantèlement effectif d’une grande partie de l’infrastructure.

Territoires palestiniens, en Jordanie, en Israël et au Liban

L’opération SneakyPastes a connu son pic d’activité entre avril et mi-novembre 2018, se concentrant sur une liste restreinte de cibles constituées d’entités diplomatiques et gouvernementales, d’ONG et de médias. D’après les données télémétriques, il semble exister environ 240 victimes d’envergure – individus ou institutions – dans 39 pays à travers le monde, dont la majorité se trouve dans les Territoires palestiniens, en Jordanie, en Israël et au Liban. Il s’agit notamment d’ambassades, d’administrations, de médias et de journalistes, d’activistes, de partis politique ou de particuliers, ainsi que d’établissements dans les secteurs de l’éducation, de la banque et de la santé ou encore des organisations contractantes.

« La découverte de Desert Falcons en 2015 a marqué un tournant dans le paysage des menaces car il s’agissait alors de la première APT connue qui soit entièrement arabophone. Nous savons à présent que ses auteurs, le cybergang Gaza, ciblent activement des intérêts moyen-orientaux depuis 2012. Celui-ci s’appuyait au départ sur les activités d’une équipe assez peu sophistiquée mais acharnée, à l’origine de l’opération SneakyPastes en 2018. SneakyPastes montre que le manque d’infrastructures et d’outils avancés n’est pas un obstacle au succès. Nous nous attendons à voir les dommages causés par les trois groupes du cybergang Gaza s’intensifier et leurs attaques s’étendre à d’autres régions du monde qui sont également liées à la question palestinienne », commente Amin Hasbini, responsable du centre de recherche pour le Moyen-Orient au sein de l’équipe GReAT (Global Research & Analysis Team).