Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité

64% des entreprises ont plus de 1 000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre

Voici un nouveau rapport qui permet de comprendre l’un des gros malaises au sein de nos entreprises. Six entreprises sur 10 laisseraient accés à l’ensemble de leurs employés à plus de 1 000 dossiers sensibles.

Ce rapport vise les risques liés aux systèmes de fichiers. Un volume énorme, on parle ici de de quatre milliards de fichiers dans 56 grandes organisations en France, USA, Angleterre ou encore Allemagne. Le secteur financier compte parmi les plus matures en matière de cybersécurité, mais il n’en demeure pas moins que les entreprises de services financiers sont parmi les plus visées par des cyberattaques, indique le rapport de Varonis, du fait des données sensibles qu’elles collectent auprès de leurs clients.

Cette étude met en lumière que les données des sociétés questionnées sont encore très largement exposées à des failles, menaces internes ou encore des attaques par ransomware. Des données qui mettent également sous la pression d’une non-conformité aux réglementations, telles que le RGPD, ou encore la norme PCI-DSS spécifique au monde bancaire.

Des données, comme les courriels, qui peuvent trés rapidement, dans les mains de pirates, finir en pourriel/spam (définition du spam) ou encore en spear phishing, un hameçonnage de données ciblées.

Dans les organisations analysées, en moyenne 10,8 millions de dossiers sont accessibles à tous les employés. Cela atteint jusqu’à 20 millions dans les plus grands groupes (plus de 1500 employés). En moyenne, un(e) employé(e) d’une société de services financiers a accès à 13% du total des dossiers de l’entreprise. Dans les petites entreprises (entre 1 et 500 employés pour ce rapport), un employé a en moyenne accès à plus d’un demi-million de fichiers, et ainsi une liberté illimitée de consulter, copier, déplacer et modifier les données qu’ils contiennent. Le problème est d’autant plus grave que plus de 20% de ces fichiers comportent des données sensibles sur des employés ou clients.

Au sein de ces dossiers, se trouvent de nombreuses données sensibles : 64% des entreprises analysées ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre. En moyenne, 69 % des données au sein de sociétés du secteur financiers sont « obsolètes », c’est-à-dire non consultées depuis plus de 90 jours. Ces données incluent souvent des données critiques, et elles sont ainsi tout autant exposées à des failles, et devraient faire l’objet d’une gestion appropriée (archivage sécurisé, suppression). Autre chiffre important : dans 59% des entreprises analysées, Varonis a identifié plus de 500 mots de passe qui n’expirent jamais. (le rapport)

Mise à jour, Patch

112 vulnérabilités dont 17 critiques affectant notamment les codecs Windows, le système NFS de fichiers en réseau et les postes de travail, ainsi que des correctifs Adobe

Le Patch Tuesday de ce mois de novembre 2020 traite 112 vulnérabilités dont 17 classées comme critiques. Ces 17 vulnérabilités critiques concernent les codecs Windows, le système NFS de fichiers en réseau, Sharepoint, le spouler d’impression Windows ainsi que les postes de travail. De son côté, Adobe a publié des correctifs pour Acrobat Connect et Adobe Reader pour Android.

Corriger les vulnérabilités affectant les codecs Windows, GDI+, les navigateurs, Office et Exchange Server sont une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

RCE dans SharePoint

Microsoft a corrigé six vulnérabilités dans SharePoint dont l’une est susceptible de déclencher une exécution de code à distance.(CVE-2020-17061). Trois de ces vulnérabilités ((CVE-2020-17016, CVE-2020-17015 et CVE-2020-17060) provoquent des problèmes d’émulation tandis que deux autres (CVE-2020-16979, CVE-2020-17017) entraînent des divulgations d’informations. La dernière (CVE-2020-17061) est une vulnérabilité par exécution de code à distance. Pour cette raison, il est hautement recommandé de privilégier l’application de ces correctifs sur tous les déploiements SharePoint.
Élévation de privilèges au sein du noyau Windows

Même si elle n’est indiquée que comme importante, une vulnérabilité est exploitée de manière active (CVE-2020-17087) dans Microsoft Windows. Cette vulnérabilité facilitant l’élévation de privilèges a été divulguée publiquement par Google fin octobre. Selon Mateusz Jurczyk et Sergei Glazunov, chercheurs en sécurité de l’équipe Project Zero de Google, ce bug permet à un attaquant de remonter des privilèges dans Windows. Ce correctif doit être déployé en priorité sur tous les équipements Windows.

RCE dans le système de fichiers en réseau (NFS) de Windows

Microsoft a corrigé une vulnérabilité (CVE-2020-17051) dans le système NFS (Network File System) de Windows. Cette CVE, qui a obtenu une score CVSS de 9,8, se caractérise par une attaque peu complexe à lancer et ne nécessitant pas l’interaction de l’utilisateur. Cette vulnérabilité peut éventuellement se propager sous la forme de ver et doit donc être résolue en priorité.
RCE dans le service de spouleur d’impression

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-17042) dans le spouleur d’impression qui est susceptible d’entraîner une élévation de privilèges. L’exploitation de cette vulnérabilité exige l’interaction de l’utilisateur, mais elle se caractérise par une attaque de faible complexité, ce qui augmente le risque de compromission. Ce correctif doit être déployé en priorité.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités au sein du Reader pour Android et d’ Adobe Connect. Les patches pour Reader et Connect sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Cybersécurité

Télétravail & confinement : la sauvegarde et la protection des données doivent aller de pair

Nous devons faire à nouveau face à une période difficile de confinement. Malgré une généralisation du télétravail sur l’ensemble du territoire, beaucoup d’entreprises se déchargent encore de la responsabilité du respect de la protection des données des télétravailleurs. Grâce à des formations, à des règles claires et à certaines mesures IT, les risques liés au télétravail peuvent être considérablement réduits.

En France, les départements IT de nombreuses entreprises ont fait passer les collaborateurs en télétravail dans un délai particulièrement court. Cependant, la hâte avec laquelle ces équipes ont dû développer de nouvelles méthodes de travail à partir de rien a généré de nouveaux risques numériques pour les employés et leurs données. Par conséquent, deux tendances ont émergé suite à la mise en place du télétravail. Premièrement, le nombre d’attaques visant les nouveaux modèles de travail sont de plus en plus nombreuses[1]. Ensuite, les responsables chargés de la protection des données indiquent que les télétravailleurs respectent rarement les règles dédiées à la protection de données que ce soit par volonté ou encore par manque de moyens techniques.

En effet, leur domicile devenant leur nouveau lieu de travail, certains collaborateurs n’ont pas les ressources nécessaires pour stocker, sécuriser, ou encore transférer les données. De plus, il leur est parfois difficile de respecter les réglementations mises en place par les entreprises en matière d’emplacement de sauvegarde des données ou de gestion de données confidentielles dans un contexte familial, par exemple. Le manque de connaissance des risques et des règles montre que les employés ne sont ni suffisamment informés de la marche à suivre, ni formés aux bonnes pratiques.

Comme il est impossible pour les entreprises de contrôler le comportement de leurs collaborateurs en télétravail, des formations, un rappel des règles clair et la mise en place de solutions techniques simples semblent être les outils les plus appropriés pour assurer une bonne gestion de données. Car en effet, rappelons que l‘entreprise reste responsable du respect de la protection des données et des exigences légales (RGPD) et peut être condamnée à une amende en cas de violation.

Des improvisations qui ouvrent la voie aux attaques

Le manque de temps et d’équipements (en ordinateurs portables notamment) ont obligé les entreprises à tolérer la connexion d’appareils privés au réseau de l’entreprise. Mais cela n’est malheureusement pas sans conséquences. En effet, le niveau de sécurité des appareils privés est généralement inférieur à celui du réseau d’entreprise, notamment parce que les logiciels et le matériel n’y sont pas normalisés et que les programmes ne font pas l’objet de correctifs ou de mises à jour uniformes. De plus, milieu professionnel et privé ont désormais des frontières bien plus floues : les employés utilisent des données et des services privés en parallèle de ceux mis à disposition par l’entreprise sur les dispositifs professionnels, qui plus est sur des dispositifs généralement situés en dehors de l’environnement sécurisé. Dans ces conditions, le risque d’infection et de perte de données est plus important.

Une récente mise en garde communiquée par Interpol souligne l’intérêt des hackers à utiliser le contexte du coronavirus et du télétravail pour arriver à leurs fins. Ils utilisent par exemple des noms trompeurs et en lien avec l’épidémie dans le titre des pièces jointes pour inciter les collaborateurs à cliquer et à ouvrir la porte à un logiciel malveillant comme un ransomware. Les acteurs malveillants recherchent spécifiquement les points faibles des nouveaux outils de communication afin d’attaquer les systèmes des entreprises, des autorités et des universités. Avec un nombre de télétravailleurs plus important que jamais, les services informatiques sont à nouveau fortement sollicités et réagiront certainement plus lentement en cas d’urgence, malgré les apprentissages tirés de la première vague de l’épidémie – et du premier confinement.

Chaque nouvelle application numérique génère un nombre important de nouvelles données et duplique par conséquent la quantité de lieux de stockage. Cet aspect, loin d’être anodin, a d’importantes conséquences sur l’IT : l’absence de règles claires concernant l’endroit et la manière de stocker les données combinés à un concept de gestion et à une sécurité des données non adaptés – induisant une grande disparité des lieux de stockage de données, favorisent l’apparition d’angles mort au sein du paysage informatique.

À l’heure actuelle, une entreprise ne connaît le contenu que d’environ la moitié de ses données. Alors, il y a de fortes chances que cette même entreprise ne soit pas en mesure d’identifier celles ayant pu lui être volées en cas d’attaque. Pour éviter une telle situation, quelques de règles de bases sont à mettre en place :

  • Les collaborateurs ont besoin de règles claires quant au lieu et à la manière dont ils doivent stocker les données importantes. Ils comprendront, notamment au cours de formations dédiées, qu’il est indispensable de stocker les données de valeur sur des systèmes de stockage mis en place par l’entreprise dans le cloud et que celles-ci ne doivent être conservées que dans des endroits sécurisés.
  • Il n’existe pas d’alternative à la connaissance des employés sur les risques d’attaque par ransomware et à celle de la conduite à tenir dans ce type de situationLes attaques évoluant de façon perpétuelle, ces connaissances doivent être actualisées à intervalles réguliers.
  • Les hackers arrivent parfois à leurs fins, malgré un système de défense rodé et perfectionné. En connaissance du risque, les équipes IT doivent avoir une réelle visibilité et connaissance des données, leur lieu de stockage et selon quelles exigences réglementaires elles doivent être conservées. Ces aspects sont d’autant plus importants que l’environnement est de plus en plus numérique et que le télétravail favorise les échanges de données en dehors du réseau de l’entreprise.
  • Un système de restauration est indispensable, que ce soit pour palier une attaque ou encore une mauvaise manipulation des employés (suppression, falsification, etc.). Une sauvegarde des données menée par une plateforme unique permettra la prise en compte de l’ensemble des dispositifs de stockage et par conséquent une récupération des données plus efficace. (par Jean-Pierre Boushira, Vice President South Region chez Veritas Technologies)
Securite informatique

+ 605 % de cyberattaques liées au Covid-19 au 2e trimestre 2020

Un nouveau rapport sur les activités cybercriminelles liées aux logiciels malveillants et l’évolution des cybermenaces au cours du 2e trimestre 2020 affiche des chiffres qui ont de quoi inquiéter sur l’appétit grandissant des pirates informatiques.

Pendant cette période, une moyenne de 419 nouvelles menaces par minute et une augmentation de 11,5 % de nouveaux logiciels malveillants. Une importante prolifération d’attaques malveillantes utilisant des fichiers offices malveillant Donoff ont été observé, augmentant de ce fait le nombre d’attaques utilisant PowerShell de 117%. L’influence mondial du Covid-19 a incité les cybercriminels à adapter leurs campagnes pour attirer les victimes avec des thèmes liés à la pandémie et exploiter le contexte d’une main-d’œuvre travaillant à domicile.
 
« Le deuxième trimestre de 2020 a vu l’évolution continue de menaces innovantes utilisant PowerShell. Par ailleurs l’adaptation rapide des cybercriminels au contexte actuel a permis un ciblage des organisations par le biais des employés travaillant à distance, déclare Raj Samani, fellow et chief scientist chez McAfee. Ce qui ne représentait au début qu’une poignée de campagnes de phishing et d’applications malveillantes s’est rapidement transformé en un déluge d’URL piratés, d’attaques sur les utilisateurs de services cloud et d’acteurs malveillants capables de tirer parti de la soif mondiale d’informations sur le Covid-19 comme porte d’entrée dans les systèmes informatiques du monde entier ».
Chaque trimestre, la société de cybersécurité évalue l’état du paysage de la cybermenace sur la base de recherches approfondies, d’analyses d’enquêtes et de données sur les menaces. Ces renseignements sont recueillis par la plateforme cloud Global Threat Intelligence, à partir de plus d’un milliard de capteurs répartis sur plusieurs vecteurs de menace dans le monde.
Les campagnes cybercriminelles sur le thème du Covid-19
Après un 1er trimestre qui a vu le monde plonger dans la pandémie, le 2e trimestre a vu les entreprises continuer à s’adapter à un nombre sans précédent d’employés travaillant à domicile, avec les challenges de cybersécurité qui accompagnent cette nouvelle norme.
En réponse à cela, un Tableau de Bord des Menaces Covid-19 McAfee pour aider les RSSI et les équipes de sécurité à comprendre comment les acteurs malveillants utilisent des techniques de plus en plus sophistiquées pour cibler les entreprises, les gouvernements, les écoles et une main-d’œuvre qui doit faire face aux restrictions liées au Covid-19 et aux vulnérabilités potentielles de la sécurité des dispositifs à distance et de bande passante. Au cours du T2, une augmentation de 605 % des détections d’attaques liées au Covid-19 par rapport au T1.
Le malware Donoff
Les fichiers Donoff Microsoft Office agissent comme des « TrojanDownloaders » en utilisant le système de commande Windows pour lancer PowerShell et procéder au téléchargement et à l’exécution de fichiers malveillants. Donoff a joué un rôle essentiel dans l’augmentation de 689 % de codes PowerShell malveillant au premier trimestre 2020.
Au second trimestre, la croissance des logiciels malveillants liée à Donoff a ralenti mais demeure constante, entraînant une hausse de 117 % de code malveillants PowerShell et contribuant à une augmentation de 103 % de l’ensemble des nouveaux logiciels malveillants utilisant Microsoft Office. En 2019, le nombre total d’échantillons de malwares PowerShell a augmenté de 1 902 %.
Attaques sur les utilisateurs de services cloud
7,5 millions d’attaques externes sur les comptes d’utilisateurs cloud. Ce chiffre est basé sur l’agrégation et l’anonymisation des données d’utilisation du cloud de plus de 30 millions d’utilisateurs mondiaux au cours du T2 2020. Cet ensemble de données représente des entreprises de tous les grands secteurs d’activité mondiaux, notamment les services financiers, la santé, le secteur public, l’éducation, le commerce, la technologie, l’industrie, l’énergie, les services publics, le secteur juridique, l’immobilier, les transports et les services aux entreprises.
Paysage des menaces au 2e trimestre 2020
  • Les logiciels malveillants. 419 nouvelles menaces par minute au cours du T2 2020, soit une augmentation de près de 12 % par rapport au trimestre précédent. La croissance des rançongiciels est restée constante par rapport au T1 2020.
  • Les Coinminer malwares. Après avoir augmenté de 26 % au T1, les nouveaux logiciels malveillants faisaint du mining de cryptomonnaies ont augmenté de 25 % par rapport au trimestre précédent.
  • Les malwares mobiles. Après une augmentation de 71 % des nouveaux échantillons de malwares mobiles au T1, la tendance s’est ralentie de 15 % au T2, malgré une forte augmentation des logiciels publicitaires Android Mobby.
  • IoT. Les nouveaux logiciels malveillants IoT n’ont augmenté que de 7 % au cours du T2, mais le domaine a enregistré une activité importante des menaces Gafgyt et Mirai, qui ont toutes deux entraîné une croissance de 22 % des nouveaux logiciels malveillants Linux au cours de la période.
  • Vecteurs d’attaque. Dans l’ensemble, les logiciels malveillants sont en tête des vecteurs d’attaque signalés, représentant 35 % des incidents dévoilés publiquement au T2. Les détournements de comptes et les attaques ciblées ont représenté respectivement 17 % et 9 %.
  • Activité sectorielle. Les incidents divulgués détectés au cours du T2 2020 et visant le secteur scientifique et technologique ont augmenté de 91 % par rapport au trimestre précédent. Les incidents dans le secteur industriel ont augmenté de 10 %, mais les événements dans le secteur public ont diminué de 14 %.
double authentification, Entreprise

Faire face à l’augmentation des attaques par ingénierie sociale visant les télétravailleurs

Avec le reconfinement et le télétravail à nouveau imposé aux entreprises par le gouvernement au minimum jusqu’au 1er décembre prochain, la deuxième vague de la pandémie réunit une nouvelle fois les conditions propices à différents types d’attaques d’ingénierie sociale. En France et au niveau international, de nombreux rapports et avertissements d’organismes publics et d’entreprises privées réputées font état de l’augmentation des attaques liées au coronavirus, allant du phishing au vishing (hameçonnage par téléphone), en passant par le ransomware, alors que le monde entier évolue vers le télétravail et s’adapte aux risques qui y sont associés.

Les attaques deviennent de plus en plus sophistiquées, cependant les cybercriminels capitaliseront toujours sur le facteur humain. L’incertitude, la peur, la distraction, l’isolement et la confusion sont autant de facteurs qui contribuent à accroître la vulnérabilité des utilisateurs. Et tandis que l’actualité évolue rapidement, il est difficile, voire impossible, d’anticiper le prochain rebondissement de la pandémie ou événement majeur que des pirates informatiques opportunistes exploiteront.

Les experts s’attendent à ce que la distanciation sociale se poursuive et que les interactions virtuelles se multiplient bien après la fin de la crise sanitaire. Cela signifie que les entreprises doivent s’appuyer sur une authentification forte pour se prémunir contre l’augmentation des attaques par ingénierie sociale. Par ailleurs, avec un environnement de travail de plus en plus décentralisé et la baisse de confiance dans les systèmes de sécurité, il est essentiel de regagner la confiance des utilisateurs.

Dans ce contexte, bien qu’elle soit essentielle, la sensibilisation des employés à la détection des escroqueries liées au Covid-19 ne constitue pas une réponse pleinement satisfaisante. Quel que soit le degré de sensibilisation des utilisateurs au phishing ou à l’ingénierie sociale, certains cybercriminels parviendront tout de même à leurs fins. Tant que la participation des utilisateurs sera nécessaire et que l’on comptera sur eux pour identifier le phishing et les attaques de type « man-in-the-middle » (qui a pour objectif d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter de la compromission du canal de communication), les vulnérabilités continueront à poser problème.

Des solutions modernes d’authentification forte capables de réduire à zéro l’impact d’attaques de type phishing existent, telles les clés de sécurité basées notamment sur l’usage de clés asymétriques, sujettes ni à la fatigue de l’utilisateur ni à son niveau de sensibilisation à la cybersécurité. C’est la raison pour laquelle les organisations ont tout intérêt à revoir leur stratégie d’authentification. Elles ne peuvent en effet plus se permettre de reposer éternellement la sécurité des réseaux via de simples mots de passe, des questions de récupération ou une authentification de base à deux facteurs pour se protéger contre de futures attaques d’ingénierie sociale. Ces méthodes ont prouvé à maintes reprises qu’elles n’étaient pas à la hauteur face aux logiciels malveillants mobiles, au SIM Swapping ou encore aux attaques de phishing. Les cybercriminels sont aujourd’hui de mieux en mieux préparés, et les entreprises doivent suivre la même voie.

De plus, l’expérience de l’utilisateur est essentielle pour garantir la sécurité d’une organisation. Dans un monde où les télétravailleurs se trouvent physiquement éloignés de leurs collègues et de l’équipe IT, et où ils essayent de concilier vie professionnelle et vie privée, l’authentification forte doit fonctionner sur une multitude d’appareils, d’applications métiers critiques et dans différents environnements. En effet, plus l’expérience de l’utilisateur est optimale, plus il est facile de déployer et de sécuriser l’entreprise — contrairement aux solutions ponctuelles complexes qui ne protègent qu’un ensemble d’utilisateurs.

Ainsi, la recrudescence des attaques liées au Covid-19 représente un danger réel et bien présent. Toutefois, il ne s’agit pas seulement de menaces temporaires ou propre à la pandémie. Il est aujourd’hui davantage question de prendre des mesures opérationnelles et matérielles afin de limiter au maximum les vulnérabilités malgré l’intensification des attaques d’ingénierie sociale. (Par Laurent Nezot, Sales Director France chez Yubico)

 

Cybersécurité

Protéger les informations confidentielles du secteur industriel

L’importance d’une cybersécurité efficace dans le secteur industriel et propose une série de conseils pour aider chaque entreprise à la concrétiser.

La cybersécurité est importante dans tous les secteurs, mais nulle part plus que dans le secteur industriel, où la quantité considérable d’informations confidentielles détenues par les entreprises en fait des cibles extrêmement attrayantes pour les criminels.

Les cybermenaces modernes peuvent prendre de nombreuses formes, allant de l’espionnage commandité par des États aux gangs criminels organisés, en passant par des tiers mécontents et même des initiés imprudents dans l’entreprise, commettant des erreurs en toute honnêteté. Mais en fin de compte, tous ces acteurs représentent un grave danger pour la sécurité des données, qui peut entraîner de graves conséquences sur le plan de la réputation, de la concurrence et des finances en cas de violation.

Pour les industriels aux chaînes d’approvisionnement complexes, les données les plus importantes relèvent de leur propriété intellectuelle (PI), notamment les formules, les conceptions et les brevets exclusifs, pour n’en nommer que quelques-uns. Garder cette PI hautement sensible à l’abri des regards indiscrets peut être la clé du succès à long terme d’une entreprise. C’est pourquoi il est essentiel de mettre en place une cybersécurité efficace pour la protéger. Cet article abordera une série de conseils en matière de cybersécurité. Beaucoup sont très faciles à mettre en œuvre. Ils peuvent améliorer considérablement la posture de sécurité de toute entreprise et contribuer à protéger les données sensibles.

1. L’importance d’agir pour la protection des données

En matière de protection des données, il est étonnant de voir le nombre d’entreprises qui en parlent beaucoup sans pour autant agir sur cette question. Les dirigeants aiment à citer la productivité des travailleurs et la fluidité du flux d’informations pour justifier l’absence de programmes de sécurité significatifs, qui, selon eux, nuirait à ces aspects. Mais ces idées sont dépassées. Il existe aujourd’hui une pléthore d’excellentes solutions de sécurité qui offrent un excellent équilibre entre la protection nécessaire et des niveaux optimaux en matière de productivité et d’innovation. En fin de compte, aucun programme de protection des données ne décollera sans un soutien de la direction, c’est pourquoi c’est un premier pas si fondamental vers la réussite.

2. Identifier et localiser les informations précieuses

Une fois que l’engagement en matière de protection des données a été pris, l’étape suivante consiste à identifier exactement les actifs à protéger et, surtout, à les localiser. Trop souvent, les organisations n’ont aucune idée de l’endroit où toutes leurs précieuses données sont réellement stockées, ni de qui y a accès, ce qui les rend vulnérables au vol. Bien que la tâche puisse paraître complexe, ce n’est pas nécessairement le cas. Commencez par la propriété intellectuelle la plus précieuse de l’entreprise. Par exemple, les industriels pourraient commencer par leurs designs et formules propriétaires. Une fois qu’ils ont tous été identifiés et localisés sur le réseau, passez à la fonction organisationnelle suivante et recommencez.

3. Étiqueter les actifs sensibles puis y ajouter des couches de sécurité si nécessaire

Dès que des données sensibles ont été identifiées, elles doivent avant toute chose être étiquetées comme telles. Étiqueter les actifs comme « confidentiels » semble basique, mais c’est le moyen le plus rapide et le plus simple de s’assurer que quiconque y accède en est immédiatement informé. Une fois cela effectué, vous pouvez ajouter des couches de sécurité supplémentaires si nécessaire. Du chiffrement à la gestion des droits numériques, en passant par l’étiquetage persistant des documents et la protection des données pilotée par des politiques, de nombreuses approches peuvent garantir que les données circulent librement, mais sur la base du besoin d’information uniquement, ce qui réduit considérablement les risques de vol.

4. Veillez à ce que les employés soient formés à la sécurité

Quelle que soit l’efficacité du programme de sécurité d’une entreprise sur le plan technologique, le maillon le plus faible sera invariablement l’élément humain : ses employés. Des cadres aux réceptionnistes, il suffit que quelqu’un clique sans se méfier sur un lien ou une pièce jointe compromis et les vannes peuvent s’ouvrir. Heureusement, la solution est à la fois simple et efficace. Une formation régulière permet non seulement de garder la sécurité à l’esprit des employés, mais aussi de les garder informés de toutes les dernières méthodes et tactiques d’ingénierie sociale utilisées par les criminels. Dans la mesure du possible, les sous-traitants, les fournisseurs et les partenaires doivent également être invités à participer, pour contribuer à réduire le risque de brèche ailleurs dans la chaîne d’approvisionnement.

6. Etre préparé à un éventuel incident

Même avec la meilleure volonté du monde, aucune entreprise ne peut éliminer complètement le risque de violation, c’est pourquoi il est important de toujours disposer d’un plan détaillé de réponse aux incidents. Avec un peu de chance, il ne sera jamais utilisé, mais il est beaucoup plus prudent d’en avoir un et de ne pas en avoir besoin que l’inverse. Si le pire doit arriver, un plan clair garantira que chacun connaît ses rôles et responsabilités, pour atténuer la violation le plus rapidement possible, en évitant, espérons-le, la perte de données critiques.

Les cybercriminels d’aujourd’hui sont plus créatifs, plus agiles et plus motivés que jamais, il est donc avantageux d’être préparé. C’est particulièrement vrai dans le secteur industriel, où la propriété intellectuelle sensible joue un rôle prédominant dans la réussite ou l’échec de nombreuses entreprises. Une stratégie de cybersécurité n’a pas besoin d’être coûteuse, mais elle nécessite l’adhésion des plus hauts cadres de l’entreprise, une attention aux détails et la juste combinaison d’outils et de formations pour être performante. (Tim Bandos, vice-président de la cybersécurité chez Digital Guardian)

Bitcoin

Bitcoin : le réseau prendra prochainement en compte les adresses Tor

Le réseau de cryptomonnaie Bitcoin va connaître une mise à jour de sécurité majeure. Elle permettra de sécuriser davantage la blockchain, grâce à des adresses Tor.

Tout le monde connaît maintenant Tor, ce réseau de paiement décentralisé mondial, qui s’est fait connaître grâce à son navigateur anonyme. Le réseau Bitcoin est également décentralisé, et il est développé par une implémentation majeure : Bitcoin Core.

C’est cette version qui sera bientôt compatible avec les nouvelles adresses Tor. La manœuvre a été rendue possible par le « Bitcoin Improvement Proposal (BIP) 155 ». Les BIP sont des propositions qui permettent aux développeurs de mettre à jour le réseau de paiement, afin qu’il continue à être sécurisé.

En juillet dernier, les développeurs du réseau Tor avaient annoncé que la deuxième version de leurs adresses (V2) était maintenant obsolète. Elles seront mises au placard définitivement en octobre 2021. Ce sont les nouvelles adresses V3 qui les remplaceront. Développées depuis 2015, elles ont permis d’intégrer les dernières découvertes de la science en matière de chiffrement et de mathématiques.

Intégration de la fonctionnalité « gossiping »

La mise à jour permettra également d’intégrer la fonctionnalité « gossiping » de Tor. Elle permet aux nœuds cachés du réseau de chercher et trouver d’autres nœuds, afin de s’y connecter. Concernant le Bitcoin en particulier, cela permet à un nœud de trouver un service caché qui fait tourner un nœud de la cryptomonnaie, sans que cela soit visible pour les observateurs.

Bitcoin : la plus sécurisée des cryptomonnaies ?

Le réseau Bitcoin fait figure d’ancêtre en ce qui concerne les cryptomonnaies, car il date maintenant de plus d’une décennie. Pour autant, sa technologie continue d’être considérée comme la plus sécurisée, face à d’autres réseaux de paiement alternatifs.

Bitcoin fait en effet usage de la « Preuve de Travail », un protocole de vérification des transactions particulièrement gourmand en énergie, mais aussi particulièrement sécurisé. D’autres protocoles, comme la « Preuve d’Enjeu » sont également efficaces… Mais au prix d’une plus grande centralisation du réseau de paiement.

Il faut cependant noter que l’intégration des adresses V3 de Tor à Bitcoin ne rend pas le réseau plus anonyme. Comme l’explique Cryptonaute, pour acheter du Bitcoin (BTC) il faut d’abord s’inscrire sur un broker comme Capital.com ou eToro. Puis il faut dépenser de l’argent par virement ou carte bancaire, avant d’obtenir des BTC. La manœuvre est donc traçable.

Des moyens de se procurer des Bitcoins de manière plus anonyme existent, mais il faut noter que toute transaction est enregistrée dans les registres distribués de Bitcoin, qui eux sont consultables par n’importe qui. Les utilisateurs qui souhaitent effectuer des transactions entièrement anonymes doivent donc faire usage d’outils annexes, comme le portefeuille Wasabi par exemple.

Les blockchains sont par nature très sécurisées, c’est pourquoi elles prennent de plus en plus d’ampleur dans le secteur de la cybersécurité. Il faut également noter que Bitcoin est un des rares réseaux de paiements cryptographiques à ne pas avoir connu de faille de sécurité au cours de son existence. Il devrait donc continuer à dominer en matière de fiabilité.

double authentification

Mise en place de la 2FA à la suite d’un ransomware

La commune américaine de Keizer, située dans le comté de Marion dans l’Oregon, a été victime d’une attaque de ransomware. Son administration, composée de plusieurs divisions telles que les patrouilles de police, les travaux publics, le développement communautaire, etc s’est retrouvée coincée par la cyber attaque. La ville traite des données extrêmement sensibles et doit donc en assurer la protection et l’accès sécurisé.

Pour aider la ville à se protéger contre de nouvelles attaques, une stratégie de sécurité renforcée a été mise en place. En haut de la liste des priorités figurait l’implémentation de l’authentification à deux facteurs (A2F).

Pour les patrouilles de police, les réglementations exigeaient déjà l’utilisation de deux facteurs pour s’identifier. Pour être conforme, le département avait installé Duo A2F, mais la solution n’avait pas été considérée comme simple à mettre en place ou intuitive. Pour cette raison, Bill Hopkins, administrateur réseau, recherchait une nouvelle solution qui pourrait être facilement déployée sur tous les comptes utilisateurs et administratifs, de tous les départements. Une étude de cas proposée par la société IS Decisions.

Securite informatique

Les hébergeurs web sont-ils sécurisés ?

Des centaines d’entreprises par le monde proposent d’héberger sites et applications web. Les États-Unis accaparent la moitié du business. Mais qu’en est-il de la sécurité de celui qui va vous héberger ? Voici les points primordiaux à contrôler avant de se lancer dans l’aventure.

Les propriétaires de site web vivent une vie secrète. Un webmaster marié vit avec une maîtresse qu’il ne peut ignorer, oublier, … Son hébergeur. Un hébergeur permet d’installer son site web, ses applications, … Un gros hangar qui, sur le papier, se charge uniquement de vous proposer de quoi installer vos informations. Mais comment choisir cet hébergeur ? Quelles sont les règles à mettre en place pour sécuriser son bien.

Avec un business pris en main par les Etats-Unis, 50,8% de part de marché liés à l’hébergement dans le monde (11,5 pour l’Allemagne ; 3,30% pour la France ; 2,5% pour le Canada), choisir son hébergeur doit d’abord prendre en compte plusieurs points, dont les diverses réglementations (États-Unis, France, Europe, …) : RGPD, California Consumer Privacy Act, … Prendre en compte cet élément n’est pas négligeable. Vous ne pourrez pas stocker, utiliser, les données fournies par vos visiteurs comme bon vous semble.

Vient ensuite les sécurités à vérifier avant même de parler hébergement. Quels sont les outils mis en place par l’hébergeur ? A-t-il un espace d’administration ? A-t-il une gestion de la double authentification pour vous y connecter ? Pouvez-vous recevoir une alerte (courriel, SMS, …) lors de la connexion à votre administration ? Pouvez-vous créer des sous-comptes sécurisés, avec la gestion des droits pour chaque utilisateur de votre administration ? Voilà quelques questions à se poser. Perdre l’accès à son administration d’hébergement à la suite d’un piratage, par exemple, c’est perdre votre espace numérique et son contenu. Les attaques sont multiples, allant de la recherche d’un mot de passe un peu trop faible ou facilement récupérable (OSINT, SE, …), hameçonnage, mots de passe retrouvés dans d’autres bases de données de sites piratés.

A noter que le phishing est un élément qui fait grand mal. Une méthode qui a permis de piéger des milliers d’entreprises (via des employés mal ou pas formés). La propagation mondiale de la COVID-19 a changé le paysage des menaces.

Votre hébergeur est-il « humain »

Aussi idiot que cela puisse paraître, votre hébergeur est-il « humain ». Par cela, comprenez : « êtes-vous capable de joindre un employé, le SAV, le Service Technique, … par téléphone, par mail, rapidement ?« . Bref, avoir un support 24/7 est obligatoire. « Indispensable confirme PlanetHoster. En cas de problème, vous êtes assuré d’avoir une assistance personnalisée selon vos besoins.« 

Vient ensuite les règles internes à l’entreprise. A-t-elle une politique cyber sécurité ? Une assurance. Pour l’hébergeur cité plus haut, une « assurance erreur et omission » vous protège jusqu’à 2 000 000 $ par incident. Panne, piratage, … Ont-ils des partenariats sécurité, par exemple, avec des entreprises liées au chiffrement (LetsEnrypt, …), aux certificats SSL, … Point important, n’hésitez jamais à poser des questions : les équipes sont-elles formées aux nouvelles attaques ? Aucun doute que oui, mais montrer que vous avez une réflexion sur le cyber sécurité permet de ne pas être le cocu d’un mariage qui pourrait mal tourner.

Les pirates se sont attaqués ces dernières semaines à de nombreux hébergeurs, mettant à mal les clients et les données de ces derniers.

RGPD, California Consumer Privacy Act, Convention 108

Si le RGPD, le Règlement Général de la Protection des Données Personnelles, est entré dans toutes les têtes (ou presque), c’est oublier l’ensemble des autres règles dédiés à la sécurité des données personnelles. Nous vous parlions plus haut de l’importance de choisir son hébergeur en prenant compte sa localisation géographique.

Pour rappel, la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde.

Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi.

À ce jour, 55 pays (Belgique, France, Irlande, Luxembourg, Ukraine, …) ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.

Cybersécurité

L’importance de garder un oeil sur les menaces internes

Beaucoup d’entreprises modernes sont tellement préoccupées par la nécessité de protéger leurs réseaux sensibles contre les adversaires malveillants qu’elles en oublient un autre danger, potentiellement encore plus grand, celui des menaces internes.

Chaque année, le rapport Verizon Data Breach Investigations (DBIR) offre un examen approfondi des dernières tendances en matière d’incidents de cybersécurité. Le rapport de 2019 a révélé que les incidents de type menaces internes ont de nouveau augmenté au cours des quatre dernières années et sont désormais responsables de 34 % de l’ensemble des violations de données. Il suffit de découvrir l’histoire rocambolesque entre un pirate Russe et sa tentative de détourner un employé de Tesla pour se dire que le danger interne a encore de beaux jours devant lui.

Les menaces internes englobent autant des employés distraits que des tiers mécontents, les organisations doivent donc être extrêmement vigilantes face à tout signe d’irrégularité. Cependant, la plus grande menace vient peut-être d’un sous-groupe plus précis : celui des employés quittant l’entreprise. Il existe plusieurs moyens de répondre aux questions de sécurité les plus courantes concernant les départs d’employés, notamment, les risques qu’ils posent, leurs motivations et surtout, ce que peuvent faire les organisations pour limiter cette menace.

Attention aux employés sur le départ

Les employés qui partent ont toujours posé de gros problèmes aux organisations de toutes tailles, mais pourquoi ? Car ils ont les droits d’accès et connaissent de l’emplacement des données sensibles, et dans de nombreux cas, ils ont également un motif pour agir. Bien sûr, tous les motifs ne sont pas de nature malveillante. Dans certains cas, il peut simplement s’agir d’un désir de prendre des copies de leur travail avec eux pour la postérité, mais dans d’autres cas, il peut s’agir de donner ou de vendre des informations à un concurrent ou alors de les divulguer aux médias. Quel que soit le motif, toute forme de perte de données aux mains d’un employé quittant l’entreprise peut être extrêmement préjudiciable, autant sur le plan financier que sur celui de la réputation.

Malheureusement, en raison des variables inconnues impliquées, les organisations sont fortement désavantagées face à ce type de menace. C’est pourquoi il est important de surveiller les activités et les comportements révélateurs qui pourraient trahir une potentielle menace d’initié avant qu’il ne soit trop tard.

Surveiller les mouvements des fichiers et données

Les meilleures approches combinent les bonnes technologies et un processus robuste. Avant tout, il est impératif d’avoir une visibilité sur les terminaux ainsi que sur les données qui quittent l’entreprise ou sont transférées en son sein. Au minimum, les entreprises doivent être en mesure de suivre tous les types de mouvements de fichiers et de sortie de données afin de fournir une piste d’audit des activités de chaque employé avant son départ. De cette façon, le comportement d’un employé entre le moment où il remet son préavis et son départ peut être surveillé de près et même présenté lors de son entretien de sortie pour explication ou clarification si nécessaire.

Identifier les signaux révélateurs d’une menace interne

Plusieurs signes à rechercher peuvent révéler qu’un employé sur le départ représente une menace interne. L’un des plus courants concerne les pics de volume des mouvements de données. Par exemple la sortie massive de données vers des appareils de type USB ou des sites de stockage cloud comme Dropbox ou Google Drive. Si une entreprise dispose d’une solution de prévention de la perte de données (DLP), il est possible de classifier les fichiers en fonction de leur niveau de sensibilité, ce qui lui permet alors d’évaluer facilement la confidentialité des données prises. Par exemple, si des fichiers confidentiels sont joints à des e-mails et envoyés vers un domaine personnel comme Gmail ou Hotmail en infraction avec la stratégie de l’entreprise, la DLP le signalera. Un analyste de sécurité peut alors enquêter sur l’incident pour établir l’intention de la personne qui envoie le fichier et la sensibilité de son contenu.

Plus récemment, les fournisseurs de sécurité ont commencé à tirer parti de l’apprentissage automatique de leurs solutions afin de soulager les analystes, qui, par le passé, devaient enquêter manuellement sur chaque alerte créée. L’apprentissage automatique a également un autre avantage : la possibilité de créer un comportement de référence pour un individu ou un ordinateur au fil du temps. Une fois ce comportement créé, tout élément déviant de l’activité « normale » de cet employé ou de cet ordinateur sera automatiquement signalé pour déclencher une analyse approfondie. Cela permettra aux équipes de sécurité d’éliminer plus rapidement les comportements suspects.

Évidemment, il est également important de se rappeler que la taille ne fait pas tout et que la sortie de grandes quantités de données n’est pas toujours alarmante. Souvent, cela peut simplement s’expliquer par les sauvegardes des données de l’entreprise. D’un autre côté, de nombreux secrets commerciaux sensibles peuvent être volés via un seul fichier. C’est pourquoi il est si important de déterminer exactement qui ou quoi accède à ce type d’informations afin de garantir le bon niveau de protection autour de ces données.

Heureusement, les tactiques utilisées par les employés qui quittent leur entreprise ont peu changé au cours des 15 dernières années. Bien qu’il puisse arriver qu’un employé malhonnête possède le savoir-faire technique pour cacher les données volées dans un fichier image et utiliser la stéganographie pour les exfiltrer, de tels cas sont extrêmement rares. En l’état, avec les protections et mécanismes adéquats en place pour surveiller les comportements révélateurs et tester les employés si nécessaire, les entreprises de toutes les formes et tailles peuvent faire de grands progrès vers la réduction, voire l’élimination de la menace posée par ce type de personnes. (Tim Bandos, vice-président Digital Guardian)