Archives de catégorie : Mise à jour

Krack ou l’hypocrisie mondiale des maîtres du monde

L’annonce de la faille de sécurité baptisée Krack mettant en suspend toute la confiance du monde sur les réseaux Wifi domestiques et professionnels fait la une de la presse générale. Il s’agit de la fameuse clé WAP2, norme barbare améliorée du protocole de chiffrement Wifi WAP.

On découvre que plus aucun terminal connecté à un réseau Wifi n’est protégé, mieux on en devient tous vulnérable. Une partie de nos échanges chiffrés peuvent être captés par un tiers malveillant – comprenez un hacker – et que désormais, nous ne devrions plus utiliser nos Wifi. Il faut comprendre que si un hacker sait lire une “partie“ de vos fichiers, il sait en vérité tout lire. Il n’y pas de demie mesure sur ce point. Mais ne cédons pas à la panique d’autant que curieusement les agences de sécurité reconnaissent avoir identifié cette faille depuis des semaines et les éditeurs sont déjà en train de proposer des mises à jour de sécurité. Cela avant même la communication sur cette faille qui n’est finalement pas une trouvaille.

La bonne idée c’est que Mathy Vanhoef, chercheur à l’Université de Leuven en Belgique a trouvé un moyen de rejouer la faille par un programme automatisé. En clair, il est capable d’industrialiser l’attaque.

Mais nous savons, parce que c’est notre métier, que jamais aucun réseau Wifi n’est sécurisé. En 2008, les civils Martin Beck et Erik Tews avaient découvert une faille sur le format WAP. Né alors le WAP2 censé corriger l’algorithme du chiffrement, c’est de lui qu’il s’agit aujourd’hui.

L’avez-vous remarqué, je parle des chercheurs comme des civils ? En effet, il est salutaire de noter que sans ces femmes et ces hommes, notre résistance aux attaques cybernétique serait tout bonnement nulle. Et les États alors ? Et bien sachez que tous les États gardent pour eux les failles de sécurités qu’ils détectent par hasard ou non, et ceux pour tous les systèmes quels qu’ils soient. La raison est simple. Elle tend à renforcer les systèmes de défense et d’attaque du pays. L’atout et de savoir ce que l’autre ignore.

L’attaque de masse nommée Wannacry s’appuyait sur une faille Windows de Microsoft que la NSA avait gardé pour elle jusqu’à ce qu’un lanceur d’alerte la publie sur Wikileaks. Les mafias ou états étrangers n’avaient plus qu’à en prendre connaissance pour construire une attaque de masse. Comme quoi, avoir le savoir d’une attaque cybernétique d’ampleur vous met en situation temporaire de Maître du monde.

L’enjeu quand il n’est ni stratégique ni politique et simplement cupide. Et cette attaque extrêmement bien relayée par les médias pourrait changer l’internet de demain. La force du réseau internet est de laisser le maximum d’échange possible en clair. Si cette attaque invite tous les consommateurs d’internet à utiliser un VPN de trafic internet souverain, alors le Ad Marketing est mort entraînant dans sa chute Google en premier, les autres ensuite. Sans captation du trafic, le vôtre en l’occurrence, on ne peut pas savoir qui vous êtes, ce que vous faites et ce que vous consommez.

Criteo et consort disparaissent, Google ne sait plus positionner la pub au bon moment et sur la bonne page ! La rémunération disparaît alors. Fini Google, adieu Gmail, bye bye Facebook (tous gratuit), bref une nouvelle aire et un nouveau business model peut naître.

Peu probable car le consommateur est très attaché à ses habitudes et les changer est le dernier des efforts que l’homme apprécie faire, même si intrinsèquement c’est cette faculté qui lui a permis de construire l’internet et pas les ratons laveurs.

Qu’est-ce qu’un VPN de trafic souverain ? C’est une solution qui chiffre le trafic établi entre votre terminal et la borne Wifi ou 3G/4G et votre connexion à l’internet se fait depuis une adresse IP virtuelle dans un pays asservi par l’éditeur du logiciel. Les Finlandais sont les meilleurs pour cela d’autant que leur constitution politique est très attachée au secret de la vie privé. C’est ce qui rend la solution souveraine. On retrouve ces mêmes constitutions en Suisse, en Islande ou en Norvège. Les États-Unis comme Israël sont très rigides. Il suffit d’ailleurs de lire les Conditions Générale de Google pour comprendre combien vaut votre libre arbitre sur Internet. Avec un peu de recul vous comprendrez vite qu’il vaut une partie du revenu du GAFA.

Le Ad Marketing devra donc revoir le modèle si nous devenions tous consommateurs de ce chiffrement qui limite considérablement notre exposition face aux pirates. Seule l’histoire très prochaine nous donnera la tendance de cette attaque qui porte bien son nom. (par Frans Imbert-Vier PDG d’UBCOM pour DataSecurityBreach.fr)

Correctifs : Microsoft corrige 28 vulnérabilités critiques sur 62 patchées

Correctifs massifs ! Le Patch Tuesday d’octobre est pour Microsoft l’occasion de publier des correctifs pour résoudre 62 vulnérabilités dont 30 affectent Windows. Les correctifs traitant 28 de ces vulnérabilités sont définis comme critiques. 33 vulnérabilités peuvent entraîner l’exécution de code malveillant à distance (RCE). Selon Microsoft, une vulnérabilité dans Microsoft Office est actuellement exploitée de manière active en mode aveugle.

Priorité absolue pour des correctifs massifs donc à cette vulnérabilité CVE-2017-11826 dans Microsoft Office qui est classée comme « Importante » par Microsoft. Autre priorité, la résolution de CVE-2017-11771, une vulnérabilité au sein du service de recherche Windows. Depuis début 2017, c’est le quatrième Patch Tuesday qui traite une vulnérabilité dans ce service.

Comme les fois précédentes, cette vulnérabilité peut être exploitée à distance via le protocole SMB. Il facilite la prise de contrôle total d’un système. Elle peut impacter aussi bien des serveurs que des postes de travail. Même si un exploit lancé contre cette vulnérabilité peut s’appuyer sur SMB comme vecteur d’attaque, il ne s’agit pas d’une vulnérabilité au sein de ce protocole. SMB lui-même. Aucun rapport donc avec les vulnérabilités SMB récemment exploitées par EternalBlue, WannaCry et Petya.

À noter aussi deux vulnérabilités dans la bibliothèque de polices Windows, CVE-2017-11762 et CVE-2017-11763, pouvant être exploitées via un navigateur ou un fichier malveillant, ainsi qu’une vulnérabilité dans DNSAPI, CVE-2017-11779, grâce à laquelle un serveur DNS malveillant peut exécuter du code sur un système client.
Une vulnérabilité sur certaines puces TPM est résolue grâce à l’avis de sécurité ADV170012.

Localisée dans la puce TPM elle-même, et non pas dans Windows, cette vulnérabilité peut entraîner la génération de clés cryptographiques faibles. Ces clés sont utilisées pour BitLocker, l’authentification biométrique et d’autres domaines de Windows.

Les mises à jour fournissent une solution de contournement pour les clés faibles. Une option permettant d’utiliser des clés générées par le logiciel. Une remédiation complète exige une mise à jour du firmware fournie par le fabricant de l’équipement.

La majorité des vulnérabilités traitées ce mois-ci concernent le moteur de script qui peut impacter à la fois les navigateurs et Microsoft Office.

Corriger cette vulnérabilité est une priorité sur les systèmes de type bureautique qui utilisent un navigateur pour la messagerie et pour accéder à Internet.

Mercredi 18 octobre, les chercheurs de Proofpoint ont détecté une pièce jointe Microsoft Word malveillante. Elle exploitait une vulnérabilité récemment corrigée d’Adobe Flash [CVE-2017-11292].

Pour finir, cette attaque serait l’œuvre d’APT28 (également connu sous le nom de Sofacy), un groupe parrainé par l’État russe.  Plusieurs cyberattaques leurs ont été attribuées, notamment contre TV5 Monde en 2015.

Les données de ciblage pour cette campagne sont limitées. Certains emails ont été envoyés à des entités gouvernementales et à des entreprises du secteur privé dans l’industrie aérospatiale.

Le ciblage géographique connu semble large, y compris en Europe et aux États-Unis. Vous trouverez plus de détails sur ce sujet sur le blog anglais Threat Insight de Proofpoint. Les informations seront mises à jour quotidiennement en fonction de l’évolution de la menace. (Avec Jimmy Graham dans The Laws of Vulnerabilities Qualys)

Combattre le « credential stuffing » avec l’introduction de Bot Manager Premier

Credential stuffing, une technologie puissante d’analyse des comportements suspects capable de détecter des bots hyper sophistiqués mise en place par Akamai.

La société Akamai Technologies vient d’annoncer Bot Manager Premier et son credential stuffing. Dernière nouveauté de sa gamme de produits de sécurité dans le cloud, Bot Manager Premier. Il est conçu pour aider les entreprises à gérer l’impact des bots sur leur environnement numérique dans son ensemble. Première défense sur les sites et API Web et applications pour mobile.

Selon une étude récente menée par le Ponemon Institute pour le compte d’Akamai, 54 % des répondants indiquent que les attaques de type « credential stuffing » se multiplient. Ils sont de plus en plus graves. 68 % des personnes interrogées estiment avoir peu de visibilité sur les attaques de type « credential stuffing ». 70 % d’entre elles jugent que les solutions existantes ne permettent pas de prévenir et de contenir ces attaques. Dans ce contexte difficile, Bot Manager Premier a été spécialement conçu pour aider les commerces en ligne à résoudre plusieurs cas d’utilisation de bots sophistiqués. Ces situations incluent le vol d’identifiants, la consultation du solde des cartes-cadeaux/cartes de crédit. Des attaques à l’encontre des programmes de fidélité, l’achat automatisé de voyages…

Credential stuffing

Bot Manager Premier offre de nouvelles fonctionnalités d’analyse des comportements suspects qui ont démontré leur capacité à détecter une grande partie des bots sophistiqués connus. Intégrant la technologie issue de l’acquisition de Cyberfend, Bot Manager Premier est capable de détecter l’activité de bots tentant de simuler une interaction humaine, même si ces bots changent en permanence de comportement afin d’échapper à la détection tout en ciblant des pages de connexion ou de transaction. De plus, Bot Manager Premier gère avec efficacité d’autres types d’activités générées par les bots. Le scraping ou l’agrégation du contenu, y compris les activités de bots « bienveillants » susceptibles d’affecter d’autres aspects du site Web.

Chasse aux bots !

Parmi les entreprises qui bénéficient déjà des avantages des solutions de gestion des bots d’Akamai, la U.S. News & World Report, éditeur d’actualités et d’informations multi plates-formes. D’après Matt Kupferman, directeur principal de l’ingénierie, « Il est extrêmement bénéfique pour une entreprise comme la nôtre de savoir qui interagit avec notre site. Avoir une plus grande visibilité sur le trafic des bots. Avec Bot Manager, nous n’avions qu’à « appuyer sur un bouton » pour obtenir une visibilité immédiate. Pour une véritable intégration à la périphérie, c’est la seule chose qui ait fonctionné. »

Bot Manager Premier d’Akamai est destiné à répondre aux besoins du commerce en ligne en proposant :

La détection avancée des bots incluant l’analyse des comportements suspects dans le but de contrecarrer le vol d’identité, la consultation du solde des cartes-cadeaux et autres types d’actes frauduleux en ligne visant les pages de connexion et de transaction.

Un SDK mobile pour mieux protéger les API et applications pour mobile de l’activité des bots.

Des actions avancées et conditionnelles afin de fournir aux entreprises les outils pour gérer différents types de bots. Des bots scrapers, agrégateurs de contenu…

« Pour réussir aujourd’hui, une entreprise doit interagir avec ses clients en ligne. Explique Josh Shaul, Vice Président, Web Security, Akamai.

« Mais pour ce faire, elle est obligée d’exposer des pages de connexion et diverses pages de transaction susceptibles d’être détournées.« .

Le RGPD : 81% des entreprises ne seront pas en conformité en mai 2018

La course contre la montre a déjà commencé pour le RGPD… Dès le 25 mai 2018, la nouvelle règlementation européenne définie fin 2015 s’appliquera et viendra renforcer la protection des consommateurs au niveau européen. Le non-respect sera puni par des sanctions financières importantes. Elles s’insèrent dans une politique générale de la communauté européenne de définition d’un espace européen. Alors que seulement 19% des entreprises estiment pouvoir être en conformité en mai 2018, le RGPD constitue un enjeu majeur pour tous les acteurs du e-Commerce.

Le nouveau règlement européen s’applique à toute entreprise qui collecte, traite et stocke les données personnelles des ressortissants européens dont l’utilisation peut identifier une personne. Tous les acteurs économiques (entreprises, associations, administrations) doivent dès à présent mettre en œuvre les actions nécessaires pour se conformer aux règles. Le changement majeur réside dans l’obligation pour les entreprises de justifier l’ensemble des traitements de données qu’elles effectuent (récoltées au cours de création de comptes, d’inscriptions à une newsletter, de préférences de navigation…). Par exemple, lorsqu’un client se désabonne d’une newsletter ou change ses coordonnées téléphoniques sur son compte client, il appartiendra à l’entreprise de prouver que le changement a bien été effectué et de fournir le détail du traitement (heures, adresse IP…). Sur demande du particulier et à tout moment ses données pourront être supprimées, modifiées ou restituées. L’objectif est de rendre aux consommateurs la maîtrise de leur identité et de l’usage commercial de ses informations personnelles.

Enfin une protection renforcée pour les e-acheteurs !

Les consommateurs doivent comprendre clairement ce qu’ils acceptent comme traitements sur les sites e-commerce et la portée de leurs consentements. Les techniques modernes de marketing e-Commerce (retargetting, suggestions de produits…) doivent être explicitement acceptées par les particuliers. Ils disposent également d’un accès direct à leurs informations personnelles. En pratique, ils pourront demander la portabilité de leurs informations (données de commandes, listes d’envie…) et obtenir un double consentement pour leurs enfants.

En cas de fuite de données, l’internaute sera informé dans les 72 heures par l’entreprise, la responsabilité pouvant incomber au sous-traitant responsable de la fuite ou à l’hébergeur si ce dernier a été attaqué. Pour s’assurer du respect de ces nouveaux droits, le législateur a rendu possibles les actions collectives via des associations.

TPE/PME – La mise en œuvre du RGPD dans le e-Commerce

D’ici mai 2018 toutes les entreprises devront respecter la nouvelle réglementation. Cette mise en œuvre implique une bonne compréhension à la fois des obligations et des moyens d’y parvenir. Les sites e-Commerce devront assurer le plus haut niveau possible de protection des données. Pour garantir la sécurité des données personnelles de leurs clients les marchands devront déployer tous les moyens techniques et respecter des règles strictes : la mise en œuvre d’un registre de consentements, la conservation des données, la sécurisation des mails transactionnels, le cryptage des mots de passe…. Un délégué à la protection des données (DPO) sera désigné pour assurer la mise en place et le suivi de ces actions.

On passe dans une logique de responsabilisation totale de l’entreprise, une nécessité au regard des plus de 170 000 sites ne seront pas en conformité avec le règlement européen en mai 2018.

Rappelons que chaque jour des milliers d’attaques visent la totalité des acteurs du e-Commerce. La sécurité des données et des infrastructures techniques sont les enjeux majeurs du monde du web. Le nombre total de cyber-attaques a augmenté de 35% en l’espace d’un an. En France nous en avons recensé plus de 15 millions au 1er trimestre 2017 ce qui représente 4,4% des attaques mondiales.

Un cadre contraignant pour les entreprises et des impacts majeurs à court terme

Le baromètre RGPD démontre qu’à ce jour 44% des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. Les sanctions en cas de manquement aux obligations imposées par la règlementation sont financières et indexées sur le chiffre d’affaires de l’entreprise. Elles peuvent atteindre de 10 à 20 millions d’euros ou 2 à 4% du CA, la sanction la plus élevée sera retenue. Un nouveau concept émerge : le « Privacy By design », un gage de qualité et de réassurance pour les entrepreneurs à la recherche d’une sécurisation optimale des données clients. Un site conçu en « Privacy by Design » garantit qu’aucun module n’a été ajouté à la structure du site et que la solution a été élaborée avec la protection des données comme prérequis à chaque étape de la mise en ligne du site.

Mobile X-Ray, service gratuit pour tester la sécurité des applications mobiles

High-Tech Bridge, une société spécialisée dans la sécurité applicative, a annoncé aujourd’hui le service en ligne gratuit « Mobile X-Ray » destiné à tester la sécurité des applications mobiles ainsi que leur confidentialité.

Le nouveau service réalise une analyse dynamique (DAST), statique (SAST) et comportemental pour des applications natives ou hybrides d’Android et iOS. Il détecte rapidement tout types de faiblesse ou de vulnérabilités telles que Mobile Top 10 de l’OWASP, et fournit un rapport convivial avec un simple guide correctionnel. Récemment, une fonctionnalité suspecte de capture d’écran silencieuse a été découverte dans l’application mobile d’Uber. Juste avant cela, Equifax a dû retirer ses applications mobiles du marché car des données sensibles pouvait être interceptées. Désormais, chacun peut utiliser ce service gratuit pour détecter des problèmes similaires de façon proactive.

Ilia Kolochenko, CEO et fondateur de High-Tech Bridge, a déclaré : « Les applications mobiles font désormais partie intégrante de la vie professionnelle et privée de tous les jours. Réagissant à la quantité alarmante de failles de sécurité présente dans les applications mobiles, de nombreux rapports de recherche appellent vigoureusement à l’amélioration de la sécurité et de la confidentialité des applications mobiles. »

Malheureusement, la plupart des développeurs manquent tout simplement de ressources, de temps ou de budget pour pouvoir tester leurs applications avant que celles-ci ne soient publiées. High-Tech Bridge propose un service en ligne unique, bénéfique à la communauté de cybersécurité et aux développeurs.

Cependant, il faut se rappeler que les vulnérabilités les plus dangereuses résident principalement du côté « backend » de l’application.

La cyber-criminalité coûte de plus en plus d’argent aux entreprises

La cyber-criminalité coûte en moyenne 11,7 millions de dollars par an à chaque entreprise américaine, soit une hausse de 62 % en cinq ans, d’après une étude menée par Accenture et Ponemon Institute. Les infections par malware sont les cyber-attaques les plus coûteuses, avec 2,4 millions de dollars par incident en moyenne.

Partout dans le monde, des cyber-attaques sont commises avec un impact financier de plus en plus lourd pour les entreprises. Selon une nouvelle étude publiée par Accenture à l’occasion de l’ouverture des Assises de la sécurité, le coût moyen de la cyber-criminalité a atteint, à l’échelle mondiale, 11,7 millions de dollars par entreprise en 2017, soit une augmentation de 23 % par rapport à 2016 (9,5 millions de dollars) et de 62 % ces cinq dernières années. C’est aux États-Unis que le coût moyen est le plus élevé (21,22 millions de dollars par acte criminel), tandis que l’Allemagne enregistre la plus forte hausse du coût total de la cyber-criminalité (de 7,84 à 11,15 millions de dollars). Cette forte dégradation fait suite aux récentes attaques de grande ampleur telles que WannaCry et Petya, dont les préjudices causés à un certain nombre de grandes entreprises mondiales se chiffrent en centaines de millions de dollars.

Cette étude du coût de la cyber-criminalité (Cost of Cyber Crime Study) a été menée auprès de 2 182 spécialistes de la sécurité IT, issus de 254 organisations à travers le monde. Elle révèle que le nombre de cyber-attaques est en constante augmentation depuis que le Ponemon Institute a débuté ses recherches en 2009. Le rapport fait état d’un certain nombre d’enseignements :

En moyenne, une entreprise subit 130 violations de sécurité par an, soit une hausse de 27,4 % par rapport à 2016, et un quasi-doublement en l’espace de cinq ans. Une violation de sécurité (« breach ») est définie comme une infiltration au sein d’un réseau central ou d’un système d’entreprise.
Les secteurs les plus touchés sont les services financiers et l’énergie, avec respectivement un coût annuel moyen par entreprise de 18,28 et 17,20 millions de dollars.
On note également une augmentation de la durée nécessaire pour corriger les problèmes. Parmi les incidents les plus longs à traiter se trouvent ceux qui viennent de l’intérieur, avec une moyenne de 50 jours, contre un peu plus de 23 jours pour les attaques par ransomware.
Les attaques par malware et celles provenant du Web sont les plus coûteuses, nécessitant une dépense moyenne respective de 2,4 et 2 millions de dollars par entreprise.

« Les conséquences coûteuses et dévastatrices de la cyber-criminalité pour les entreprises soulignent l’importance croissante de la planification stratégique et d’un suivi rigoureux des investissements en matière de sécurité. L’étude donne une moyenne du coût de la cybercriminalité mais pour certaines entreprises les pertes peuvent être bien plus importantes », explique Eric Boulay, Directeur d’Accenture Security en France et au Benelux. « Pour continuer à résister à des attaques de plus en plus sophistiquées et extrêmement motivées, les entreprises doivent adopter une stratégie de sécurité dynamique et agile, permettant de construire la résilience de l’intérieur vers l’extérieur (au lieu de se focaliser exclusivement sur le périmètre pris en charge), avec une approche spécifique à l’activité pour protéger l’ensemble de la chaîne de valeur. »

Améliorer la répartition des dépenses en matière de technologies de sécurité

Sur les neuf technologies de sécurité évaluées, celle qui fait l’objet des dépenses les plus importantes est le contrôle de périmètre avancé. Or on constate que les entreprises qui ont déployé ces solutions de sécurité ont réalisé des économies opérationnelles (liées à l’identification et à la remédiation des cyber-attaques) qui s’élèvent à seulement un million de dollars, ce qui suggère un possible manque d’efficacité dans l’allocation des ressources. Parmi les catégories de dépenses les plus efficaces pour minimiser les pertes causées par les actes de cyber-criminalité se trouvent les systèmes de renseignement (security intelligence), définis comme des outils permettant d’ingérer des informations issues de multiples sources dans le but d’identifier et prioriser les menaces internes ou externes. Ces systèmes permettent de réaliser des économies substantielles (2,8 millions de dollars en moyenne), soit plus que tous les autres types de technologies couverts par l’étude. Les technologies d’automatisation, d’orchestration et d’apprentissage machine ont été déployées dans seulement 28 % des entreprises, (soit le pourcentage le plus faible parmi les technologies considérées), alors qu’elles arrivent en troisième position en termes d’économies opérationnelles liées aux technologies de sécurité, avec un total de 2,2 millions de dollars.

Les conséquences financières des cyber-attaques sont de plus en plus lourdes

Les chercheurs ont exploré quatre impacts principaux sur les organisations victimes d’une cyber-attaque : perturbation de l’activité, perte d’informations, perte de revenus et dommages matériels. Le type de dommages le plus préjudiciables est aujourd’hui la perte d’information, mentionnée par 43 % des personnes interrogées. Le coût de la perturbation de l’activité (défaillance des processus suite à une attaque, par exemple) est en revanche passé de 39 % en 2015 à 33 % cette année.

« Le cœur d’un programme de sécurité solide et efficace consiste à identifier et à « renforcer » les actifs les plus précieux de l’entreprise », explique le Dr Larry Ponemon, Président fondateur du Ponemon Institute. « Bien que des progrès réguliers aient été réalisés dans le domaine de la cyber-défense, les entreprises pourraient bénéficier d’une meilleure compréhension des coûts de la cyber-criminalité ; cela les aiderait à combler l’écart entre leurs vulnérabilités et l’inventivité sans fin (et le nombre croissant) des cyber-criminels. »

Le coût moyen par entreprise varie considérablement selon le pays et le type d’attaque
L’Australie affiche le coût moyen par cyber-attaque le plus faible (5,41 millions de dollars), tandis que le Royaume-Uni enregistre la plus faible évolution par rapport à l’an dernier (de 7,21 à 8,74 millions de dollars). Le Japon enregistre une augmentation des coûts de 22 % (10,45 millions de dollars), soit la troisième plus forte augmentation des pays couverts par l’étude.

Les coûts varient considérablement selon le type d’attaque. Les entreprises américaines sont celles qui consacrent le plus de dépenses de remédiation, tous types de cyber-attaque confondus, en particulier dans les domaines des attaques par malware et des attaques provenant du Web (3,82 et 3,40 millions de dollars par incident, respectivement). En Allemagne et en Australie, 23 % du coût total annuel lié à la cyber-criminalité est imputable à des attaques par malware. En France, 20 % du coût total annuel lié à la cyber-criminalité est imputable aux attaques provenant du Web. Les attaques par déni de service représentent 15 % du coût annuel total en Allemagne et au Royaume-Uni.

Recommandations pour renforcer l’efficacité des efforts de cyber-sécurité

En prenant les trois mesures suivantes, les entreprises peuvent renforcer l’efficacité de leur cyber-sécurité, en prévenant les actes cybercriminels et en minimisant leur impact :

Construire la cyber-sécurité sur des fondations solides – Les entreprises gagneraient à investir dans des éléments de base performants, notamment dans les domaines du renseignement en matière de sécurité et de la gestion avancée des accès, tout en reconnaissant la nécessité d’innover pour rester en avance sur les hackers.
Effectuer des tests de résistance extrêmes – Les entreprises ne doivent pas uniquement chercher à répondre aux impératifs de conformité pour améliorer leur profil sécuritaire : elles doivent également procéder à des tests de résilience extrêmement exigeants afin d’identifier leurs vulnérabilités de manière encore plus rigoureuse que les hackers les plus motivés.
Investir dans des innovations de rupture – Les entreprises doivent consacrer une partie de leur budget aux nouvelles technologies, en particulier aux solutions analytiques et à l’intelligence artificielle, pour améliorer l’efficacité et l’étendue de votre programme.

Méthodologie

L’étude, menée par le Ponemon Institute pour le compte d’Accenture, analyse un certain nombre de coûts associés aux cyber-attaques, dans des domaines tels que l’infrastructure IT, l’espionnage économique, la perturbation de l’activité, l’exfiltration de propriété intellectuelle ou encore la perte de revenus. Les données ont été collectées à partir de 2 182 entretiens conduits sur une période de dix mois, dont les participants étaient issus de 254 organisations dans sept pays (Etats-Unis, Royaume-Uni, Australie, Allemagne, Japon, France et Italie). L’étude permet d’établir le coût de tous les actes de cyber-criminalité subis sur une période d’un an. Cela inclut les coûts liés à la détection, à la récupération, aux investigations et aux réponses apportées aux incidents. Les coûts résultant des activités post-incident, visant à limiter des dépenses supplémentaires liées à la perturbation de l’activité et à la perte de clientèle, sont également pris en compte.

La taille des attaques DDoS a doublé, presque triplé

Attaques DDoS ! 31% des attaques au premier semestre 2016 atteignaient ou dépassaient 50Gbps, une mesure atteignant même dans certains cas 58,8 Gpbs. La plus forte du premier semestre 2015 était de 21 Gbps.

CDNetworks, fournisseur international de CDN et de Cloud Security, a dernièrement présenté ses observations liées aux attaques DDoS constatées sur ses serveurs et les résultats d’une étude réalisée auprès de 300 entreprises dans plusieurs pays européens. Pour l’entreprise, selon ses propres données, la grande tendance est à l’augmentation de la taille des attaques. CDNetworks rappelle qu’en 2014, les attaques DDoS ont augmenté en nombre.

Une hausse de 29%, en partie due à un ciblage du marché des jeux en ligne. En 2015, ces attaques ont été 200% plus nombreuses. Le secteur public et les services financiers rejoignant les jeux en ligne parmi les cibles privilégiées. En 2016, c’est la taille des attaques DDoS qui a explosé. L’attaque la plus importante du 1er semestre 2015 était de 21 Gigabits par seconde (Gbps).

Au 1er semestre 2016, une attaque atteignait 58,8 Gbps. Presque trois fois plus forte. De plus, sur ce 1er semestre 2016, 31% des attaques DDoS mesuraient 50 Gbps ou plus. Des tailles jamais atteintes un an plus tôt. Fin 2016, CDNetworks a vu une attaque DDoS géante dépasser 1 Térabit par seconde !

Montée en puissance des attaques DDoS

Face à cette montée en puissance des attaques DDoS, CDNetworks a voulu savoir comment les entreprises de plusieurs pays européens se préparaient en amont, à ce risque d’attaque, et a interrogé 300 entreprises.

Le constat est que les organisations se préparent. Le budget annuel moyen alloué à l’atténuation des attaques DDoS dépasse 27 000 euros. Près de la moitié (47%) des entreprises interrogées dépensant entre 17 000 et 45 000 euros et 20% d’entre elles allouant un budget supérieur. 29% allouent un budget variant entre 5600 et 17 000 euros. Seules 4% dépensent moins de 5600 euros par an.

9% des entreprises interrogées pensent investir pour la première fois dans les 12 prochains mois dans ce genre de protection. 64% pensent augmenter leurs dépenses dans de nouvelles technologies d’atténuation d’attaque DDoS. 25% y alloueront le même budget.

Cyberattaque d’octobre 2016

La grosse cyberattaque d’octobre 2016 contre Dyn impactant Twitter ou CNN a éveillé les consciences. 79% des personnes interrogées pensent pouvoir être la cible d’une attaque de manière probable ou presque certaine dans les 12 prochains mois. Les prévisions de budgets se répartissent entre l’atténuation managée d’attaques DDoS, la prévention DDoS couplée à un Web Application Firewall (WAF), les technologies libre-service d’atténuation, les audits de sécurité et la protection manuelle, cette dernière étant le premier choix pour les entreprises qui vont s’y mettre pour la première fois, ainsi que pour les sociétés ayant investi pour la première fois un an auparavant, associé à la réalisation d’un audit, ou encore pour les sociétés ayant investi il y a plus de 5 ans.

Face à ces investissements pour se protéger, 51% des sociétés estiment que leurs efforts sont suffisants, 44% pensent qu’elles ont sous-évalué le risque et voudraient pouvoir investir davantage dans la protection DDoS avec un WAF (48%), l’atténuation managée des attaques DDoS (43%), les technologies en libre-service (40%), la protection de plus de domaines (34%), la protection manuelle (30%)… La protection DDoS avec un WAF recueille les suffrages des dirigeants de l’entreprise et des administrateurs IT, les premiers voyant également d’un bon œil les technologies en libre-service, les seconds le passage du libre-service à un service managé. Quant aux Directeurs et Chefs de départements, la moitié d’entre eux aimerait investir davantage dans l’atténuation managée des attaques DDoS.

14% de sociétés n’ont pas subi d’attaque DDoS

Parmi les 300 sociétés constituant le panel interrogé, seules 14% n’ont pas subi d’attaque DDoS durant les 12 derniers mois. En moyenne, les autres ont recensé 6 attaques sur l’année. 8% ont subi plus de 50 attaques en un an. Toutes ces attaques n’ont pas forcément abouti, 64% des entreprises interrogées auraient subi au moins une attaque DDoS en partie réussie ces 12 derniers mois, trois par an en moyenne par entreprise.

Analyses des Cyber-menaces 2017

Nouveau rapport relatif à l’analyse des cyber-menaces enregistrées au cours du second trimestre 2017. Malwares, ransomwares, mobiles en pleine forme !

Le nouveau rapport dédié aux cyber-menaces baptisé McAfee Labs Threats Report : September 2017, revient sur les récentes attaques WannaCry et NotPetya, met en lumière la puissance de frappe du cheval de Troie Faceliker et révèle les secteurs d’activités les plus ciblés par les pirates informatiques. On y découvre que les campagnes de ransomware [WannaCry et NotPetya] n’ont pas tant échoué que cela. Raj Samani, Chief Scientist chez McAfee explique qu’il « est tout aussi probable que leur motivation première [les diffuseurs des deux ransomwares cités] n’ait pas été l’argent, mais de perturber. Auquel cas, les deux campagnes ont été incroyablement efficaces. Nous vivons désormais dans un monde où chaque motif derrière un ransomware n’est plus simplement de gagner de l’argent, mais dans l’univers du pseudo-ransomware. »

Au deuxième trimestre 2017, Facebook a émergé comme un vecteur d’attaques notable et lieu de cyber-menaces. Faceliker a contribué, à hauteur de 8,9 %, aux 52 millions d’échantillons de logiciels malveillants nouvellement détectés. Ce cheval de Troie infecte le navigateur d’un utilisateur lorsqu’il visite un site malveillant ou compromis. Il détourne alors les « j’aime » et favorise le contenu à l’insu de l’internaute. A grande échelle, le système peut générer d’importants revenus pour les malfaiteurs derrière Faceliker. Les clics détournés pouvant faire apparaître un contenu (article, vidéo, site Web ou annonce) plus populaire/fiable qu’il ne l’est vraiment.

Le secteur public a été le plus ciblé au cours du second trimestre 2017

L’analyse trimestrielle révèle que le secteur public a été le plus ciblé au cours du second trimestre 2017, et plus particulièrement en Amérique du Nord depuis un an et demi. Le rapport révèle également que le domaine de la santé est demeuré parmi les plus visés avec une hausse de 26 % enregistrée sur le deuxième trimestre. Cette tendance a commencé au premier trimestre 2016 lorsque de nombreux hôpitaux ont subi des attaques par ransomware. Ces dernières ont paralysé plusieurs services et ont contraint, dans certains cas, les hôpitaux à transférer des patients et à retarder des opérations. Si les fuites de données dans le domaine de la santé sont aussi probablement le résultat de diffusions accidentelles et d’erreurs humaines, le secteur continue d’enregistrer un nombre croissant de cyberattaques.

Les principaux faits marquants en matière de cyber-menaces

311 incidents de sécurité rendus publiques, soit une augmentation de 3% par rapport au trimestre précédent. Une grande majorité (78%) a eu lieu sur le continent américain. Cibles verticales. Les secteurs publics, de la santé et de l’éducation représentaient plus de 50% des incidents répertoriés. En Asie, c’est davantage le secteur public qui est ciblé, suivi par les domaines des services financiers et des technologies. En Europe, c’est le secteur public qui remporte la première place, suivi des domaines du divertissement, de la santé, des finances et des technologies.

Le détournement de compte fait figure du premier vecteur d’attaque le plus divulgué. Il est suivi des DDoS, des fuites de données, des attaques ciblées, des malwares et injections SQL. Le volume de nouveaux échantillons de logiciels malveillants découvert au second trimestre a atteint les 52 millions. Une augmentation de 67%. Une telle hausse est en partie due à une croissance significative des programmateurs de logiciels malveillants et de Faceliker.

Sur les 12 derniers mois, le nombre total d’échantillons de malwares a croit de 23 % plafonnant à près de 723 millions d’échantillons. Les nouveaux échantillons de ransomware ont encore fortement augmenté ce trimestre (+54%). Leur volume total s’est accru de 47% au cours des 4 derniers trimestres pour atteindre 10,7 millions d’échantillons. Depuis un an, le nombre de malware mobile augmente de 61% et représente 18,4 millions d’échantillons. Les appareils Apple ne sont pas oubliés. Les malwares ciblant Mac OS sont en hausse de 4%, avec 27 000 nouveaux échantillons.

Les cyber-menaces basées sur des scripts

Les chercheurs révèlent également l’augmentation notable de malware basé sur des scripts depuis ces deux dernières années. Le langage de script Microsoft est utilisé pour automatiser les tâches d’administration telles que l’exécution des commandes en arrière-plan, la vérification des services installés sur le système, la fin des processus et la gestion des configurations des systèmes et serveurs. Les scripts malveillants PowerShell arrivent habituellement sur le poste d’un utilisateur par un courrier indésirable, en s’appuyant sur l’ingénierie sociale plutôt que sur des vulnérabilités logicielles. Ils tirent ensuite partie des capacités des scripts pour compromettre le système. Cette tendance comprend également l’armement de JavaScript, VBScript et d’autres types de modules non exécutables utilisant .doc, PDF, .xls, HTML.

Transparence et la loyauté des plateformes numériques.

Bruno Le Maire, ministre de l’Economie et des Finances, et Mounir Mahjoubi, secrétaire d’État auprès du premier ministre chargé du Numérique renforcent la transparence et la loyauté des plateformes numériques.

A l’heure où les plateformes numériques sont devenues des acteurs déterminants de l’économie et jouent un rôle décisif dans les décisions que prennent les consommateurs, et au lendemain de la proposition portée par le Président de la République auprès de nos partenaires européens à Tallin le 29 septembre dernier de prendre une initiative européenne pour créer de la transparence sur le comportement des plateformes et inciter aux bonnes conduites, Bruno Le Maire et Mounir Mahjoubi ont signé trois décrets (voir ci-dessous), renforçant les obligations de transparence et de loyauté qu’elles doivent respecter.

Pris en application de la loi pour une République Numérique du 7 octobre 2016, ces décrets sont le fruit d’une large concertation au sein du conseil national de la consommation (CNC) ainsi qu’avec les représentants des entreprises des secteurs concernés.

D’ici à la fin de l’année 2017, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, tels que les moteurs de recherche, réseaux sociaux ou comparateurs, préciseront les critères de référencement et de classement qu’elles utilisent. Elles devront par exemple préciser dans quelle mesure le montant de leur rémunération entre en compte dans l’ordre de présentation des contenus.

Protéger les internautes

Alors qu’un internaute sur deux déclare consulter les avis en ligne avant un achat, les sites publiant des avis de consommateurs devront, de plus, préciser s’ils ont été vérifiés et, dans ce cas, de quelle manière cette vérification a été effectuée.

Par ailleurs, les places de marchés et sites d’économie collaborative devront fournir des informations essentielles qui peuvent orienter les choix des consommateurs et qui ne sont pas toujours facilement accessibles à ce jour : la qualité du vendeur (professionnel ou non), le montant des frais de mise en relation facturés par la plateforme, l’existence ou non d’un droit de rétraction, l’existence ou non d’une garantie légale de conformité ou encore les modalités de règlement des litiges.

Enfin , avant la fin de 2018, les plateformes les plus visitées, c’est-à-dire celles dont le nombre de connexions mensuelles est supérieur à 5 millions de visiteurs uniques, appliqueront des bonnes pratiques en matière de clarté, de transparence et de loyauté, qui devront être consultables en ligne.

Transparence et la loyauté des plateformes numériques.

Bruno Le Maire précise que « Les plateformes jouent un rôle majeur dans l’économie numérique, et sont un point d’accès à de nombreux services en ligne pour tous les français. Ces décrets permettront aux consommateurs d’accéder à des informations claires, objectives et transparentes, pour renforcer la confiance en l’information présentée sur ces plateformes. L’objectif est de mieux équilibrer les relations entre plateformes et utilisateurs. »

Pour Mounir Mahjoubi, « ces textes incarnent à la fois la volonté du gouvernement français de mettre en place une meilleure régulation des plateformes, mais visent également à traduire, en termes concrets, la proposition présentée par le Président de la République à nos partenaires européens à Tallin le 29 septembre dernier : développer et porter une initiative européenne pour créer de la transparence sur le comportement des plateformes, car le numérique ne doit pas être régi par la loi du plus fort. La France assume ainsi pleinement l’ambition de faire de l’espace numérique un lieu où les principes d’équité et de loyauté sont respectés. »

Décret n° 2017-1434 du 29 septembre 2017 relatif aux obligations d’information des opérateurs de plateformes numériques https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720908&dateTexte=&categorieLien=id

Décret n° 2017-1435 du 29 septembre 2017 relatif à la fixation d’un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720925&dateTexte=&categorieLien=id

Décret n° 2017-1436 du 29 septembre 2017 relatif aux obligations d’information relatives aux avis en ligne de consommateurs https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720935&dateTexte=&categorieLien=id

Accompagnement de cybersécurité au profit des structures de santé

Accompagnement de cybersécurité dans le monde de la santé ! Le ministère des Solidarités et de la Santé annonce la mise en place d’un dispositif national d’appui au profit des organismes concernés par la déclaration des incidents sur les systèmes d’information de santé : la Cellule Accompagnement Cybersecurite des Structures de Santé (Cellule ACSS).

Accompagnement de cybersécurité dans les établissement de santé ! La sécurité numérique est au cœur des préoccupations du ministère des affaires sociales et de la santé. L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : piratage, vols ou détournements de données, blocage des systèmes…

Au regard de l’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé, l’amélioration des actions de prévention et d’assistance portée devient prioritaire. La sécurité des systèmes d’information de santé permet que les données de santé soient disponibles, confidentielles, fiables, partagées et traçables. La protection des données de santé est indispensable pour assurer une meilleure coordination des soins et une prise en charge optimale des patients.

Un portail unique pour déclarer les incidents de sécurité à partir du 1er octobre 2017

A partir du 1er octobre 2017, les structures de santé concernées devront déclarer leurs incidents de sécurité via le portail de signalement des évènements sanitaires indésirables depuis l’espace dédié aux professionnels de santé : signalement.social-sante.gouv.fr

Celles-ci devront signaler toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de leurs systèmes d’information, une altération ou une perte de leurs données et plus généralement ayant un impact sur le fonctionnement normal de l’établissement.

Une cellule d’accompagnement de cybersécurité opérationnelle pour aider les structures de santé

Afin d’apporter un appui et un accompagnement aux organismes concernés par la déclaration de ces incidents, le ministère des solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’ASIP Santé, met en place un dispositif pour traiter les signalements d’incidents de sécurité de leurs systèmes d’information.

L’ASIP Santé est désignée comme le groupement d’intérêt public (GIP) en charge d’apporter un appui au traitement de ces incidents, au travers de la Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS), ouverte le 1er octobre 2017 et placée sous la responsabilité du Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) auprès du secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité (HFDS).

Les objectifs visés par ce dispositif d’accompagnement de cybersécurité vont permettre de :

  • renforcer l’analyse et le suivi des incidents pour le secteur santé ;
  • alerter et informer l’ensemble des acteurs de la sphère santé en cas de menaces ;
  • partager les bonnes pratiques sur les actions de prévention, ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.

Pour ce faire, un portail dédié à l’information et la veille sera également disponible à partir du 1er octobre 2017 à l’adresse suivante : https://www.cyberveille-sante.gouv.fr

Ce portail informera sur l’actualité SSI (Sécurité des Systèmes d’information), les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Il présentera des bulletins de veille sur certaines vulnérabilités logicielles critiques ou des menaces sectorielles, des fiches réflexes et des guides pour répondre à différents types d’incidents. Ce portail mettra également à disposition de la communauté SSI en santé un espace privé pour le partage entre spécialistes de la cybersécurité.

Ce nouveau dispositif national découle de l’article 110 de la loi de santé 2016 qui prévoit, pour les établissements de santé, les hôpitaux des armées, les centres de radiothérapie ainsi que les laboratoires de biologie médicale, l’obligation de signalement des incidents de sécurité de leurs systèmes d’information à compter du 1er octobre 2017.