Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Securite informatique

Comment vérifier que votre box internet est piratée ?

Disposer d’une connexion internet est indispensable de nos jours. En effet, grâce à internet, il est possible de réaliser une multitude de taches du quotidien facilement. Et pour en avoir, la meilleure option est de disposer d’une box internet. Avec le développement de l’internet et la prolifération des hackers, il n’est pas rare de subir un piratage de votre box. Et lorsque cela arrive, dans le meilleur des cas, le pirate se contente d’utiliser votre connexion internet. Mais dans le pire des cas, il pourrait commettre des actes illégaux. Pour éviter cela, découvrez dans cet article comment vérifier que votre box internet est piraté.

Vérifier votre connexion internet

Vérifier votre connexion internet est la première étape si vous voulez découvrir si votre box a été piratée. Il est possible que pendant les jours de forts vents ou de pluie, la connexion puisse être affectée. Ce qui entraîne par moment une certaine lenteur de votre navigation par rapport aux autres jours. Cependant, vous devriez savoir que de manière générale, le Wifi fonctionne toujours correctement. Alors, si vous commencez par constater que votre connexion est plus lente que d’habitude, il pourrait s’agir d’une utilisation de votre réseau par quelqu’un d’autre. À cet effet, effectuez ce test de débit ici par exemple.

En dehors de la vitesse de votre connexion, vous pouvez également vérifier au niveau de la lumière de votre routeur destinée au Wifi (ou WLAN). Observez si elle clignote après que vous ayez éteint tous les appareils, y compris les smartphones. Si c’est le cas, cela indique clairement que quelqu’un utilise votre réseau.

Utiliser des outils en ligne

Il existe des outils en ligne et disponibles pour Windows, ainsi que Mac, qui peuvent vous permettre de détecter une présence inconnue sur votre réseau internet. Pour Microsoft Windows et Apple, vous avez le réseau wireless watcher et gestionnaire de réseau Microsoft. Pour mobiles Android, vous avez les dispositifs Fingdécouverte du réseau et scan du réseau. Pour mobiles iOS, il s’agit également de Fing. À celui-ci s’ajoutent scanner du réseau IP et iNet.

Toutefois, il faut noter un défaut avec ces outils. Ils ne sont pas en mesure de détecter les ordinateurs qui sont connectés au réseau. Aussi, il n’y a aucune possibilité d’accéder à une liste d’autres adresses IP qui ont pu se connecter à votre réseau sans fil.

Consulter votre retour

Le retour est un dispositif qui dispose d’un dossier qui vous permettra de savoir si une autre personne que vous est connectée à votre réseau en ce moment. Pour ce faire, vous devez entrer dans l’interface de gestion de votre routeur. Ensuite, cliquez sur votre adresse IP dans la barre de navigation (sur le même routeur). Vous verrez une boîte s’ouvrir et vous y entrez le code : ipconfig/all. Après, cliquez sur « intro », et vous verrez une adresse apparaître dans la barre du navigateur. Copiez-la et l’interface de votre routeur s’ouvrira. Il vous demandera le nom d’utilisateur et un mot de passe. Ils sont disponibles dans le manuel de votre routeur ou sur l’autocollant.

Recherchez l’historique de votre dispositif relié au Wifi. Elle apparaît souvent dans la section DHCP. Ainsi, vous verrez toutes les adresses IP connectées à votre routeur.

cyberattaque, VPN

45 millions de données de clients d’un VPN diffusées sur le web

Tout aurait pu se passer tranquillement entre un lanceur d’alerte et la société ActMobile. Une menace plus tard, et 45 millions de données sont diffusées sur Internet.

L’américain ActMobile est une société spécialisée dans les services VPN. Elle permet à ses clients de surfer de manière sécurisée, anonymat entre le client et les sites visités.

Un chercheur a expliqué, dernièrement, avoir trouvé un stockage ActMobile mal sécurisé, laissant ainsi la possibilité à qui sait chercher de mettre la main sur les données internes du service. ActMobile précise dans son mode d’emploi ne stocker aucune information sur ses clients.

Seulement, c’est mal connaître les pirates qui ont trouvé, eux aussi, le dit serveur fuiteur. Bilan, les informations copiées du cloud mal sécurisé ont été mis en ligne.

45 millions de lignes de logs avec, entre autres : IP du client ; IP du VPN utilisé ; nom de l’appareil ; version Android / iOS ; Etc. 1 577 970 courriels uniques dont 3 185 @yahoo.fr ; 8 797 @mail.ru ou encore 698 737 @gmail.com.

Le chiffre aurait pu être plus important, mais fort heureusement, le nom des utilisateurs et les adresses e-mails sont dorénavant hachés.

Cybersécurité, Paiement en ligne

Les douanes vous réclament de l’argent ! Vraiment ?

Plusieurs dizaines de lecteurs ont alerté DataSecurityBreach.fr de la réception d’un courriel aux couleurs des Douanes françaises. Vous devez payer une taxe pour recevoir un colis.

Lors d’un achat en ligne, très peu d’internautes connaissent les règles liées aux potentielles taxes douanières. Si votre colis est expédié depuis un pays hors de l’Union européenne, il s’agit d’une importation sur le territoire national. Ce colis est soumis à des formalités douanières (droits de douane et taxes). De nombreux escrocs ont compris l’intérêts de cette méconnaissance des consommateurs et sautent sur l’occasion pour piéger les clients.

Depuis quelques jours, une nouvelle vague d’un courriel aux couleurs des Douanes françaises a fait son apparition dans des boites mails de clients SFR. Fait intéressant, les mêmes qui ont reçu un courriel se faisant passer pour la police/gendarmerie, voilà quelques jours.

Le faux courriel de la Douane explique qu’un « colis expédiée le [date, NDR] est en cours de traitement, Afin de nous permettre la livraison du votre colis des frais de TVA seront refacturés à l’importateur (…) Conformément à la règlementation douanière en vigueur, toute importation en provenance d’un pays hors communauté européenne d’une valeur commerciale supérieure à 400 EUR est taxable, quelle que soit la nature de la marchandise« .

L’escroc, pour parfaire le contenu de sa missive fournit un texte de loi qui doit renforcer la véracité de ses dires : « Article 154-I et II-1° du CGI : LOI n°2018-1511 du 03 mai 2018 – art. 98 (V) la validation du solde Paysafecard pour règlement des frais de dédouanement est valable. » texte qui évolue depuis une dizaine d’année comme le montre mes captures écrans.

Le pirate explique ensuite qu’afin de permettre la livraison du colis l’internaute doit « régulariser les frais douanière impayés en suivant les étapes vous permettant la finalisation de la livraison de votre colis« .

Le voleur 2.0 réclame entre 50 et 100€ (selon les courriels, Ndr) qu’il faut payer via le service Paysafecard. Bien entendu la Douane ne réclame pas d’argent via ce type de site et service web. A noter que derrière l’adresse électronique proposée par le pirate (confirmation-colis@service-public.fr) se cache ne fait servicenews@airmail.cc

Pour en savoir plus sur les questions que vous pourriez vous poser sur vos achats en ligne, visitez le site officiel douane.gouv.fr (pour la France) ; (Belgique) ;  (Canada).

backdoor, Cybersécurité

1 011 domaines pirates contre les youtubeurs

Selon Google, les créateurs de chaînes YouTube sont de plus en plus souvent victimes d’attaques de phishing utilisant des logiciels malveillants pour voler des mots de passe et des cookies.

Les logiciels malveillants détectés lors de ces attaques comprennent des souches de masse telles que RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad et Kantal, ainsi que des programmes open-source tels que Sorano et AdamantiumThief.

Ce malware est utilisé pour voler les informations d’identification du navigateur et les cookies, ce qui permet aux attaquants de détourner les sessions d’autorisation des utilisateurs.

Google a identifié au moins 1 011 domaines associés à ces attaques et environ 15 000 comptes de membres créés spécifiquement pour cette campagne.

VPN

Augmentation des attaques de pirates informatiques contre les entreprises : Comment se protéger ?

Vous avez peut-être pris la résolution de renforcer votre cybersécurité en 2020, mais vous comprenez aussi que de nombreuses menaces à la cybersécurité échappent souvent à votre contrôle. Malgré tout, comme beaucoup de français, vous souhaitez probablement prendre des mesures pour protéger ce qui vous appartient, comme vos appareils, votre identité, votre vie privée en ligne, votre famille et votre domicile. C’est pourquoi il est judicieux de contribuer à la protection de vos appareils connectés à l’internet et de protéger vos informations personnelles sensibles.

En quoi les cyberattaques et les violations de données sont-elles différentes ?

Une cyberattaque se produit lorsque des cybercriminels tentent d’accéder illégalement à des données électroniques stockées sur un ordinateur ou un réseau. L’intention peut être d’infliger une atteinte à la réputation ou un préjudice à une entreprise ou à une personne, ou de voler des données précieuses. Les cyberattaques peuvent viser des individus, des groupes, des organisations ou des gouvernements.

Une violation de données est un type d’incident de sécurité. Elle se produit lorsque des informations sont consultées sans autorisation. Il peut s’agir d’informations personnelles telles que des numéros de sécurité sociale, des mots de passe et des numéros de comptes financiers. Les informations divulguées sont parfois vendues ou échangées sur le dark web et peuvent être utilisées pour commettre des crimes tels que le vol d’identité.

Adoptez des habitudes de cybersécurité intelligentes

Utilisez des mots de passe forts : Faites en sorte que vos mots de passe soient forts et uniques. Un mot de passe fort doit contenir 12 caractères au minimum, dont des lettres en majuscule et minuscule, des chiffres et des symboles spéciaux. Évitez d’utiliser le même mot de passe sur plus d’un compte.

Utilisez un VPN : Un réseau privé virtuel – mieux connu sous le nom de VPN – peut vous aider à vous protéger contre les menaces en ligne. Un VPN vous garantit la sécurité de vos données et l’anonymat en ligne. Cela se fait en créant un réseau privé à partir d’une connexion Internet publique. Essayez donc un logiciel VPN rapide pour Windows et vous allez bénéficier d’une connexion rapide et sécurisée. Vous êtes moins susceptible d’être attaqué par des inconnus que sur une connexion publique.

Restez à jour : Il est bon de se tenir au courant des cybermenaces, en partie parce qu’elles continuent d’évoluer. Se tenir au courant des nouvelles et des développements est un moyen de se préparer à réagir aux nouvelles cybermenaces.

Que dois-je faire pour me protéger avant une cyberattaque ou une violation de données ?

Il est judicieux d’acquérir de solides habitudes de cybersécurité pour se préparer à une cyberattaque ou à une violation de données. Des attaques et des violations à grande échelle peuvent se produire dans de grandes organisations, mais il est également important de sécuriser vos informations personnelles et vos réseaux. Voici trois mesures que vous pouvez prendre.

Protégez vos fichiers et vos appareils

Maintenez vos logiciels à jour : Gardez votre logiciel de sécurité, votre navigateur web et votre système d’exploitation à jour. Il est indispensable de télécharger les dernières mises à jour qui corrigent les bugs de sécurité que les cybercriminels pourraient utiliser pour atteindre vos informations personnelles.

Sécurisez vos fichiers : Vous pouvez choisir un ou plusieurs moyens de sauvegarder vos documents importants. Vous pourriez avoir recours à des disques durs externes, à des lecteurs flash, à des services de sauvegarde ou au « cloud ».

Cryptez vos appareils : Vous avez probablement des informations personnelles sensibles sur vos appareils, y compris les ordinateurs portables, les tablettes et les smartphones. Envisagez de crypter ces fichiers. Le chiffrement brouille le texte lisible, de sorte que seule une personne possédant la clé de déchiffrement peut y accéder et le lire.

Utilisez l’identification multifactorielle : L’identification multifactorielle (également appelée authentification à deux facteurs) peut empêcher les cybercriminels d’accéder à vos comptes. Prenez une mesure de sécurité supplémentaire pour activer l’authentification multifactorielle sur tout compte nécessitant des identifiants de connexion. Souvent, un code de sécurité sera envoyé sur votre smartphone pour compléter le processus de connexion.

backdoor, Chiffrement, cyberattaque

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)

Cybersécurité

Cybersécurité : les différences entre un VPN pour particuliers et entreprises

Aujourd’hui, avec l’augmentation du nombre de personnes qui travaillent à distance, mais aussi avec la nécessité de transmettre des informations par le biais d’un réseau externe ou interne, la question de la sécurité des réseaux est devenue une véritable priorité. Le VPN assure la sécurité entre les différents appareils connectés aux serveurs.

Choisir un VPN : l’utilité d’un comparateur en ligne

Le réseau virtuel privé ou un Virtual Private Network (VPN) permet aux entreprises comme aux particuliers d’accéder à un réseau sécurisé, surtout lorsqu’ils travaillent à distance. En effet, l’utilisation d’un réseau non sécurisé peut conduire au piratage des données sensibles d’entreprises ou aux données personnelles des utilisateurs. Les VPN permettent d’améliorer et de sécuriser le trafic entre l’utilisateur et le serveur. Ils offrent en outre la possibilité de contourner les blocages de certains sites ou réseaux sociaux dans certains pays en préservant l’anonymat des utilisateurs. Il existe plusieurs types de VPN, d’où l’utilité d’un comparateur de VPN avant de choisir celui qui correspond à vos besoins.

Le VPN entreprise pour lutter contre les phishings et l’espionnage

L’utilisation d’un VPN entreprise présente des différences avec celle d’un VPN particulier. En effet, il est important de rappeler qu’un VPN entreprise est destiné à protéger l’entreprise des piratages de données en les chiffrant. Un paramètre important dans un contexte où le télétravail a pris de l’ampleur avec la pandémie. Le VPN entreprise a pour objectif de protéger les données de l’entreprise contre les phishings. Si vous consultez vos comptes sur des réseaux sociaux, vous ne bénéficierez pas de la protection du VPN entreprise.

Le VPN particulier pour la préservation de la vie privée des usagers

Un VPN pour particulier est spécifiquement destiné à protéger la vie privée des utilisateurs contre les hackers. Ainsi, si vous travaillez depuis chez vous, les échanges entre votre ordinateur et le serveur de votre entreprise seront protégés par le VPN professionnel, tandis que les sites personnels que vous consultez le seront par un VPN particulier. La navigation privée et les données personnelles ne pourront être ni vues ni enregistrées par les fournisseurs de VPN, conformément au RGPD en vigueur.

Le VPN particulier gratuit pour un usage peu intensif

Le VPN particulier peut être gratuit tant que l’usage qui en est fait n’est pas trop intensif, que vous n’avez pas à manipuler une masse importante de données, et que vous n’avez pas besoin de connecter plusieurs appareils à la fois (cela est valable pour tous les appareils qui nécessitent une connexion, comme vos systèmes d’alarmes et de vidéosurveillance, la gestion de l’ouverture ou de la fermeture des portes, des volets…).

Le VPN d’entreprise pour une connexion optimale, et un meilleur contrôle

Un VPN professionnel fournira des services plus pointus. La vitesse de connexion est plus élevée, plus puissante, sans limite, au niveau de la bande passante. Plusieurs centaines d’employés seront connectés en simultané, où qu’ils se trouvent dans le monde. Les employés pourront alors accéder à une adresse IP unique. Par ailleurs, un VPN professionnel donnera la possibilité aux entreprises d’apposer un contrôle sur les connexions des salariés et d’en homogénéiser l’utilisation pour l’ensemble de l’entreprise.

Cybersécurité, Entreprise

Les cyberattaques de type DDoS prennent de l’ampleur en 2021 en France et en Belgique

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’Internet vient de publier les tendances du second trimestre 2021 concernant les attaques DDoS. Ce panorama révèle que les cyberattaques envers les sites publiques ont augmenté de presque 500%.

Bien que la menace DDoS ne soit pas nouvelle, à partir du premier trimestre de 2021, les dernières attaques contre des sites et serveurs allant des établissements vinicoles, des équipes sportives professionnelles, des services de ferry et des hôpitaux l’ont fait passer du simple bruit de fond aux gros titres affectant notre vie quotidienne. En fait, les récentes attaques ont propulsé les ransomwares et les attaques DDoS au sommet du programme de sécurité nationale du président américain Biden.

Des attaques toujours plus puissantes

Plus de plus de 11% des clients Cloudflare qui ont été victimes d’une attaque DDoS au cours des 6 premiers mois de l’année 2021, ont reçu des menaces ou des demandes de rançons.

Cela représente 1 client sur 10. Des attaques qui s’expliquent notamment par l’importante part qu’a pris le numérique au sein de notre société afin de s’adapter à la crise sanitaire.

Un secteur public davantage ciblé

Les attaques DDoS visant les services aux consommateurs sont une fois de plus omniprésentes et ont augmenté de 684% par rapport au trimestre précédent. Les sites d’administrations publiques et de secteur public représentent le second secteur le plus ciblé avec des attaques DDoS HTTP qui ont augmenté de 491%.

L’hexagone n’est pas le seul dans ce cas, puisque l’on observe également cette tendance en Belgique avec plus de 200 organisations dont les sites web gouvernementaux et autres ont été touchés par des attaques DDoS.

Cette recrudescence des attaques envers le secteur public s’explique notamment par l’importance qu’on prit les services de santé ces dernières semaines dans la lutte contre la crise sanitaire.

La Chine reste le pays avec le plus d’activités DDoS provenant de l’intérieur de ses frontières – 7 requêtes HTTP sur 1 000 provenant de Chine faisaient partie d’une attaque HTTP DDoS ciblant des sites Web, et plus de 3 octets sur 100 ont été ingérés dans nos données. Les centres en Chine faisaient partie d’une attaque DDoS de la couche réseau.

Les données observées au deuxième trimestre de 2021 suggèrent que les organisations aux États-Unis et en Chine étaient les plus ciblées par les attaques HTTP DDoS. En fait, une requête HTTP sur 200 destinée à des organisations basées aux États-Unis faisait partie d’une attaque DDoS.

Les menaces émergentes comprenaient des attaques DDoS d’amplification qui abusaient du protocole Quote of the Day (QOTD) qui a augmenté de 123 %.

De plus, à mesure que l’adoption du protocole QUIC continue d’augmenter, les attaques sur QUIC augmentent également, enregistrant une énorme augmentation de la QoQ de 109 % au deuxième trimestre de 2021.

Le nombre d’attaques DDoS au niveau de la couche réseau dans la plage de 10 à 100 Gbit/s a augmenté de 21,4 %.

La société visée était Hypixel, un spécialiste US du jeu. Hypixel est resté en ligne sans temps d’arrêt ni pénalité de performances pour ses utilisateurs gamers, même sous une campagne d’attaque DDoS active supérieure à 620 Gbps.

DDoS et rançon

Les pirates se prétendant être « Fancy Lazarus », « Fancy Bear », « Lazarus Group » et « REvil » lancent à nouveau des attaques par ransomware et ransom-DDoS contre les sites Web et l’infrastructure réseau des organisations, à moins qu’une rançon ne soit payée avant un délai donné.

Dans le cas des menaces DDoS, avant la demande de rançon, une petite attaque DDoS est généralement lancée à titre de démonstration. L’attaque de démonstration se déroule généralement sur UDP et dure environ 30 à 120 minutes.

La demande de rançon est généralement envoyée aux alias de messagerie de groupe communs de l’entreprise qui sont accessibles au public en ligne, tels que noc@ , support@ , help@ , legal@ , abuse@ , etc. Dans plusieurs cas, elle s’est retrouvée dans le spam.

Dans d’autres cas, nous avons vu des employés ignorer la demande de rançon en tant que spam, augmentant le temps de réponse de l’organisation, ce qui a entraîné des dommages supplémentaires à leurs propriétés en ligne. (Rapport Cloudflare)

Cybersécurité, Entreprise

La sécurité des entreprises, un point essentiel à renforcer

En ce qui concerne la mise en place d’un programme mature de sensibilisation à la sécurité, l’argent n’est pas toujours le plus gros défi. Trop souvent, le véritable problème est le temps, car il n’y en a jamais assez. Cela a sans aucun doute été le cas pour beaucoup d’entre nous au cours de l’année écoulée, et c’est particulièrement vrai pour les défenseurs sur le front qui tentent de mettre en place des programmes de sensibilisation à la sécurité interne dans les entreprises du monde entier.

La sensibilisation à la sécurité est censée être une tâche essentielle, qui fait partie de leurs fonctions. Pourtant, selon des études récentes, de moins en moins de ces employés sont en mesure de consacrer le temps nécessaire au lancement et au fonctionnement efficace de ces programmes.

En effet, les conclusions du 2021 SANS Security Awareness Report (rapport 2021 du SANS sur la sensibilisation à la sécurité) doivent résonner comme un signal d’alarme pour toute organisation qui souhaite s’améliorer sur l’aspect humain du cyber-risque.

Les bénéfices d’une sécurité mieux appliquée

À partir d’une analyse détaillée des comportements de plus de 1 500 professionnels de la sécurité issus de 91 pays différents, le rapport du SANS Institute révèle que plus de 75 % des professionnels de la sécurité déclarent consacrer moins de la moitié de leur temps à la sensibilisation à la sécurité.

Accaparés par une multitude de demandes contradictoires, ces professionnels confirment qu’il n’y a littéralement pas assez d’heures dans la journée pour assumer leurs responsabilités en matière de sensibilisation à la sécurité. Par conséquent, la sensibilisation à la sécurité représente au mieux un travail à temps partiel de leur part.

Cela nous amène à la deuxième problématique la plus souvent signalée comme un obstacle à la capacité des entreprises à maintenir un programme mature de sensibilisation à la sécurité : le manque de personnel dûment certifié pour travailler sur le programme et le mettre en œuvre.

Enfin, le manque de budget a été identifié comme le troisième obstacle majeur qui empêche de nombreuses entreprises de mettre en œuvre une stratégie globale de sensibilisation à la sécurité.

Il est clair que de nombreuses entreprises ont encore des obstacles importants à surmonter en ce qui concerne leurs démarches de sensibilisation à la sécurité.

Heureusement, il existe quelques mesures clés que les organisations peuvent prendre pour accélérer leur programme.

D’abord, assurer les effectifs et les moyens

Pour combler ce fossé entre les aspirations et la réalité, le rapport du SANS indique que la clé du succès consiste à disposer d’au moins trois employés équivalents temps plein (ETP) chargés de gérer le programme de sensibilisation à la sécurité. Mais il est tout aussi important de s’assurer que ces rôles sont assumés par les bonnes personnes, disposant des compétences nécessaires.

En effet, les résultats de l’étude du SANS révèlent que trop souvent les responsabilités en matière de sensibilisation à la sécurité sont déléguées à du personnel aux antécédents très techniques, qui n’ont pas toujours les compétences nécessaires pour communiquer avec le personnel en des termes faciles à comprendre.

Pour optimiser la réussite du programme, les organisations doivent plutôt chercher à nommer des personnes qui, en plus d’être des cyberspécialistes compétents, maîtrisent les compétences interpersonnelles et non techniques nécessaires pour transmettre ou « vendre » efficacement les priorités stratégiques de l’organisation en matière de sécurité de façon pragmatique.

Ensuite, placer des responsables en modèles à suivre

Ces dernières années, la sensibilisation à la sécurité, qui était l’apanage des RH ou des équipes chargées des questions juridiques et de conformité, est devenue la principale préoccupation des directeurs informatiques. Toutefois, le rapport du SANS recommande de confier de plus en plus la responsabilité première de la sensibilisation à la sécurité et de la gestion de la confiance au responsable de la sécurité informatique (RSSI).

Chargé d’aider le conseil d’administration à comprendre les problèmes de sécurité potentiels et responsable de la gestion des cyberrisques de l’entreprise, le RSSI occupe une position idéale pour veiller à intégrer la sensibilisation à la sécurité dans la stratégie de sécurité générale. C’est pourquoi le SANS recommande que les programmes de sensibilisation soient gérés par une personne dédiée à plein temps qui fasse partie de l’équipe de sécurité et soit placée sous les ordres directs du RSSI.

Le message clé ici est que la personne chargée de la sensibilisation à la sécurité doit faire partie de l’équipe de sécurité et en être le prolongement, et ne pas être déconnectée des autres démarches de sécurité.

Les clés du succès

À la lumière des récents changements opérationnels rapides mis en œuvre en réponse à la COVID-19, l’investissement dans la sensibilisation à la sécurité est vital si les organisations renforcer l’efficacité de leur gestion du risque humain. Recruter un nombre suffisant de personnes, dotées des compétences appropriées pour mettre en œuvre le programme, n’est qu’un début.

Pour parvenir à des améliorations significatives, les membres du conseil d’administration doivent se faire les principaux défenseurs de leurs programmes de sensibilisation à la sécurité et prioriser un financement proportionné en regard des autres efforts déployés en matière de sécurité. Il sera ensuite essentiel de veiller à ce que des personnes suffisamment haut placées pour bénéficier d’une autorité et d’une connaissance réelles des priorités de sécurité les plus stratégiques de l’organisation assument la responsabilité finale de l’élaboration du programme en fonction des besoins de sécurité en constante évolution de l’entreprise. (Tim Bandos, RSSI chez Digital Guardian)

cyberattaque, Cybersécurité

Cyberattaques : l’immobilisation des entreprises coûte bien plus cher qu’on ne le pense

Il faudra s’y habituer, la digitalisation croissante amène avec elle son lot de problèmes et parmi ceux-ci se trouvent les cyberattaques. Leur puissance et leur structure varient selon la cible choisie mais la conséquence est identique pour toutes les victimes : une immobilisation totale ou partielle de l’appareil productif pour une durée indéterminée. S’en suit alors un véritable chemin de croix pour les structures qui cherchent à se remettre de ces attaques.

Cyberattaque : une méthodologie précise et difficilement détectable

A l’origine de telles attaques se trouve, encore et toujours, l’argent comme principale motivation. Qu’il soit réclamé via une demande de rançon ou obtenu par la revente de données entreprises, il est toujours au centre des préoccupations des hackers. Pour parvenir à leurs fins, ces derniers doivent donc déployer une stratégie qui nécessite parfois plusieurs mois de préparation selon la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et mettent leurs programmes en dormance via la technique de l’obfuscation. Ils peuvent ainsi effacer leurs traces et déclencher leur attaque quelques semaines/mois plus tard.

Au cœur de la méthodologie d’une cyberattaque, la première étape est celle de la reconnaissance, elle consiste à récupérer un maximum d’informations – mails, téléphones, noms – sur une ou plusieurs personnes de l’entreprise. Cette phase de social engineering permet de trouver un point d’entrée qui est, dans la majorité des cas, celui de l’email. Qu’il s’agisse d’employer la méthode du phishing, l’installation de malware ou en ayant recours aux arnaques au président, l’objectif, une fois à l’intérieur des systèmes d’informations, est d’effectuer des mouvements latéraux permettant aux hackers d’infiltrer et de toucher d’autres éléments du réseau de l’entreprise. L’attaque se déploie plus largement et capte ainsi davantage de données et paralyse les serveurs internes.

Une production durement et durablement touchée

L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’informations pour limiter la casse et éviter que l’attaque ne se propage davantage en interne. Un réflexe de survie qui leur permet d’organiser une riposte et d’accélérer le retour à une situation normale. Si les directions des systèmes d’information, pour les entreprises qui en disposent, sont sur le pied de guerre pour colmater les brèches, elles ne peuvent cependant que constater les dégâts causés.

Et ces derniers peuvent avoir un impact très important sur la production et la mener à son immobilisation pendant un certain temps. En témoigne la récente cyberattaque dont a été victime Colonial Pipeline, un important réseau d’oléoducs qui transporte près de 45% des carburants de la côte Est des Etats-Unis, et qui a provoqué un arrêt de l’approvisionnement durant plusieurs jours. Cela a généré des mouvements de panique au sein de la population qui ont eu pour conséquence des pénuries dans certaines stations essence. En fin de compte, la société a dû verser près de 4,4 millions de dollars de rançon aux hackers.

Des exemples comme celui-ci montrent qu’une immobilisation de la production, même de courte durée, peut entraîner de lourdes pertes financières pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.

Prévention des cyberattaques : un défi humain

Dans un processus de retour à la normale, il est possible que certaines entreprises décident de payer immédiatement une rançon contrairement à d’autres qui tentent de contrer l’intrusion dans leur système d’information. Dans les deux cas, il n’est jamais tout à fait certain que ce type d’attaque ne se reproduise pas. Il est donc utile de s’assurer en interne qu’il existe une stratégie de prévention comme les plans de reprise d’activité (PRA) qui se déclenchent à la suite d’un sinistre. Cela revient également à investir dans des solutions de protection d’application ainsi que dans celles qui visent à détecter les attaques et à les bloquer en amont. En somme, Il ne s’agit pas de savoir si le système d’information sera touché, mais plutôt quand il le sera.

Malgré toutes les dispositions technologiques prises, de nouvelles attaques toujours plus puissantes et vicieuses parviendront à contourner les nombreux systèmes de sécurité mis en place par les entreprises. L’un des enjeux de ces prochaines années se situe donc au niveau de la prévention humaine. L’idée d’un firewall humain n’est possible que si les collaborateurs d’une entreprise sont formés à reconnaître les signes d’une cyberattaque. Cet aspect sera d’autant plus important que la transition digitale des entreprises s’est largement accélérée depuis la crise du Covid-19 et avec elle le nombre de cyberattaques qui a été multiplié par quatre entre 2019 et 2020 en France. Il est donc essentiel et urgent d’instaurer un système de responsabilité partagée qui permettra, à défaut d’atteindre le risque zéro, de préparer au mieux les entreprises à de futures attaques.