Archives de catégorie : Cloud

Nos données de santé, source de convoitises pour les pirates

91% des entreprises de santé interrogées ont subi une violation de leurs données au cours de ces 2 dernières années selon l’étude « Privacy and Security of Healthcare Data » du Ponemon Institute et seulement 32% pensent avoir les ressources suffisantes pour parer ces incidents1. La majorité des entreprises de santé sont désarmées et ne sont absolument pas en mesure de répondre à la Réglementation européenne sur la Protection des Données qui devrait être mise en application très prochainement.

L’étude Ponemon montre que, pour la première fois, les attaques criminelles sont la première cause de violations de données de santé. Jusqu’alors, la perte ou le vol d’ordinateurs, de tablettes ou de smartphones par négligence avait conduit à des violations de données. Aujourd’hui, les choses ont évolué. Nous passons des violations de données accidentelles ou opportunistes aux violations de données intentionnelles. Une tendance qui s’affirme. Les cybercriminels ciblent de plus en plus les données médicales. Ils exploitent cette mine de renseignements personnels, financièrement lucratifs. Les centres hospitaliers, laboratoires d’analyses médicales, pharmacies… ne disposent malheureusement pas des ressources, des processus et des technologies pour prévenir et détecter les attaques contre les données sensibles qu’elles manipulent. Leur défaillance, régulièrement pointée du doigt par les médias, se traduit par la fuite des données sensibles de leurs patients. On se souvient par exemple, des centaines de résultats d’analyses médicales provenant d’une soixantaine de laboratoires, accessibles sur Internet à cause d’une faille2 ou de la publication du dossier médical de Michael Schumacher3.

Si l’on observe une légère hausse des investissements des organisations de santé pour protéger les informations médicales, ces efforts restent cependant insuffisants pour contrer les cyber-menaces qui évoluent très rapidement. La moitié des entreprises de santé ont peu confiance – parfois même pas du tout – dans leur capacité à détecter une perte ou un vol de données de leurs patients.

Une faiblesse en décalage avec les obligations légales
En France, les informations relatives à l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi Informatique et Liberté. La Réglementation générale sur la protection des données, en cours d’adoption par le Conseil de l’Union Européenne vient compléter la législation française. Les professionnels et les établissements de santé sont strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel. En pratique, les professionnels de la santé doivent prendre toutes les précautions nécessaires pour empêcher que ces données soient modifiées, effacées (par erreur ou volontairement) et que des tiers non autorisés y aient accès.

L’absence de mise en œuvre de mesures de sécurité est considérée comme une atteinte grave à la protection de la vie privée et peut être pénalement sanctionnée (amende et emprisonnement). Cependant, de nombreux professionnels ont des difficultés à se mettre en conformité avec la réglementation. En milieu hospitalier, par exemple, médecins, infirmiers et personnel administratif n’ont pas toujours été sensibilisés aux règles à respecter en matière de sécurité et de confidentialité des données.

Une réglementation unique pour toute l’Europe
La mise en œuvre de la future Réglementation sur la Protection des Données qui s’effectuera de manière identique dans tous les pays membres contrairement à la Directive actuelle, devrait avoir d’importantes conséquences sur l’organisation de l’entreprise. Comment respecter cette norme qui va engendrer des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données ?

Toute violation des données devra obligatoirement être déclarée. Concrètement, un système actif de surveillance des échanges et des flux de données devient nécessaire. Il convient en premier d’examiner avec attention le rôle et la responsabilité des différents acteurs de l’entreprise manipulant les dossiers médicaux. Il faut engager une sensibilisation forte au respect des bonnes pratiques, puis établir une politique de sécurité et de protection des données. On commence par évaluer les risques pour décider les actions à adopter, en fonction des faiblesses de l’établissement de santé. Le point clé est la visibilité sur la circulation des données au sein du réseau, compte tenu du risque que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l’accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les logs fournissent une vision complète et exacte de ce qui a été consulté. Informer rapidement les organismes de réglementation en cas de violation des données devient alors possible ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces
La communauté des entreprises de santé partage des données vulnérables et offrent une grande surface d’attaque avec de nombreux points d’accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Aussi convient-il de faire appel à des experts pour mettre en place dès à présent ces exigences en matière de sécurité et de conformité. On peut bien sûr penser que rien ne presse, la mise en œuvre effective de la réglementation étant prévue après une période de deux ans. L’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. (par Frédéric Saulet, pour DataSecurityBreach.fr, Directeur Régional Europe du Sud de LogPoint)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

Les organismes de services financiers EMEA de plus en plus touchés par des menaces de fraudes en ligne

Les décideurs IT de dix pays mettent en évidence les pertes financières et les préoccupations réglementaires liées à aux logiciels malveillants, au phishing, aux vols d’identifiants et aux piratages de profils d’employés.

Les organismes de services financiers de la zone EMEA sont de plus en plus exposés et préoccupés par l’augmentation des menaces de fraude en ligne, selon une enquête commandée par F5 Networks. Les décideurs informatiques révèlent qu’ils doivent constamment faire face à des attaques significatives ciblant les finances et la réputation de leur entreprise dues à des programmes malveillants, des campagnes de phishing, des attaques visant à s’accaparer des identifiants utilisateurs ou détourner leurs sessions. Cela a pour conséquence de générer un besoin croissant pour des solutions multi-couches de protection et de détection des fraudes en ligne et sur mobiles.

L’enquête a révélé que 48 % des organisations ont, au cours des deux dernières années, déjà subi des pertes financières allant de 70 000 € à 700 000 € et ayant pour origine des fraudes en ligne. 9 % de ces actes de malveillance ont permis de dérober des sommes supérieures à 700 000 € et 3 % supérieures à 1 000 000 €.

73 % ont cité les atteintes à la réputation comme étant la principale préoccupation liée à ces attaques, alors que 72 % craignent la perte de revenus et le fardeau de devoir effectuer des audits de sécurité complets. Parmi les autres impacts négatifs majeurs figurent la perte de la confiance et la fidélité des clients (64 %) et les amendes potentielles par les organismes de réglementation (62 %).

« Que ce soit des attaques de type phishing, Man-in-the-middle, Man-In-The-Browser ou d’autres activités basées Trojan comme des injections Web, des détournements de formulaire en ligne, des modifications de pages ou des modifications de transactions, les dangers de la fraude en ligne sont inévitables et vaste pour les entreprises quel que soit leur secteur », déclare à DataSecurityBreach.fr Gad Elkin, Directeur EMEA de la sécurité de F5. Plus que jamais, il est essentiel de comprendre la nature des menaces et de mettre en œuvre des solutions qui éliminent les attaques avant qu’elles ne puissent vraiment nuire. Ceux qui feront cela correctement seront récompensés par la fidélité de leurs clients et en retireront les bénéfices. »

Plus de 35% des répondants ont affirmé avoir subi des pertes liées à des fraudes ayant pour origine une large variété d’attaques en ligne. Les programmes malveillants ont été le principal coupable (75 %), suivie par le phishing (53 %), le piratage d’identifiants (53 %) et le piratage de session (35 %).

Lorsque les stratégies de défense ont été abordées, 37% des entreprises interrogées ont déclaré qu’elles préféraient la défense à fraude en ligne faisant appel à des solutions hybrides combinant des prestations et sur site ou en ligne. Le chiffre est plus élevé (59 % des répondants) pour les organisations de plus de 5.000 employés.

55 % des répondants affirment avoir adopté des solutions de prévention contre la fraude multi-couches. Les solutions embarquées sur les terminaux sont les plus populaires (62 %), suivie par l’analyse de navigation de page pour identifier les schémas de navigation suspects (59 %), et l’analyse des liens de relations entre les utilisateurs, les comptes et les terminaux pour détecter les activités criminelle et/ou les abus (59 »%). Les solutions fournissant une analyse comportementale de l’utilisateur et de comparaison pour des canaux spécifiques figurent également en bonne place (55 %).

Ce contexte explique les raisons pour lesquelles il y a une demande croissante pour des solutions en ligne bénéficiant de capacités de protection contre la fraude sans nécessité d’installer quoi que ce soit sur le poste. Ceux-ci permettent aux organisations d’équiper en temps réel tous les types de postes contre toutes les variétés de menaces en ligne sans que l’utilisateur ait à faire quoi que ce soit, écartant tout danger dans des situations telles que des injections de code HTML ou de script malveillants. Cela inclut les menaces les plus récentes telles comme le malware Dyre, qui dispose d’un large éventail de capacités qui en font l’un des chevaux de Troie bancaires les plus dangereux actuellement. « Les fraudeurs continuent d’évoluer et d’exploiter le maillon le plus faible : l’utilisateur final », conclut Gad Elkin.

250 employés ont été interrogés au Royaume-Unis, France, Allemagne, Italie, Espagne, Pays-Bas, Suède, Pologne et Arabie Saoudite.

Stratégies BYOD : sécuriser les données d’entreprise dans un monde mobile

Les environnements des entreprises évoluent rapidement. Dans ce contexte, les employés doivent pouvoir accéder à leurs informations professionnelles à tout moment en situation de mobilité, ceci afin d’améliorer leur productivité, leur niveau de satisfaction et les performances globales de leur entreprise. Souvent, les salariés veulent accéder à leurs messageries, calendriers, contacts, données clients et documents sensibles sur leurs appareils personnels, ce qui représente un potentiel cauchemar pour les départements informatiques, qui doivent s’assurer de la sécurité des informations professionnelles.

Selon les prévisions du Gartner, d’ici 2017, un employeur sur deux exigera de ses employés qu’ils utilisent leurs appareils personnels au travail. Les entreprises doivent donc impérativement prendre des mesures appropriées afin de s’assurer que la vague de smartphones et de tablettes pénétrant dans le périmètre de l’entreprise soit sécurisée. Pour cela, elles doivent mettre en œuvre des stratégies BYOD offrant de la flexibilité aux employés, et assurant dans le même temps la sécurité au niveau de l’entreprise. De telles stratégies peuvent faire toute la différence, car elles instaurent des règles strictes permettant de faire face à diverses problématiques essentielles : quels appareils et applications sont autorisés à accéder aux informations professionnelles ; qui est responsable des applications et des données ; quelles données doivent être en lecture seule / modifiables, ou disponibles hors ligne ; ou encore qui doit payer pour la consommation professionnelle de données et de voix.

Déterminer en quoi il est nécessaire de migrer vers le BYOD
La première étape dans la mise en œuvre d’un programme BYOD efficace est tout d’abord de définir en quoi celui-ci est nécessaire, et d’établir clairement des indicateurs de réussite. Un tel programme est-il nécessaire pour réduire les dépenses d’investissements et les frais ? L’objectif est-il de stimuler la productivité du personnel ? Lorsque l’on détermine la nécessité d’un programme BYOD pour une entreprise, il est important de s’assurer que le raisonnement adopté soit en accord avec les objectifs de l’entreprise. Une fois le but clairement défini, il sera plus facile pour les dirigeants de justifier un investissement continu dans un tel programme, et l’adoption de ce dernier devrait également s’en trouver renforcée dans l’entreprise.

Il est également essentiel de démontrer la valeur ajoutée du BYOD pour l’entreprise, et de présenter ses avantages et ses risques aux utilisateurs mobiles, ainsi que la façon dont le programme envisagé permettra d’en assurer la protection. Les équipes informatiques pourront faire l’objet d’un certain rejet lors d’un tel déploiement  : en effet, certains employés verront cela comme une excuse pour accéder aux appareils personnels, craindront de voir leurs informations personnelles effacées, ou encore que leur consommation personnelle de données et de voix augmente sur leurs forfaits mensuels. Cependant, les départements informatiques prenant le temps d’expliquer en quoi ce programme leur sera bénéfique et permettra de les protéger ont alors plus de chance de rencontrer de l’enthousiasme de la part des utilisateurs plutôt que l’inverse. Une stratégie BYOD pertinente implique que chacune des parties soit sur la même longueur d’onde dès le début pour que les organisations récoltent rapidement les fruits de leurs efforts.

Exposer les droits de la société en matière de gestion de données professionnelles sur des appareils personnels
Lors de la mise en œuvre d’un programme BYOD, un contrat de licence de l’utilisateur final (EULA) devrait clairement définir le comportement attendu des employés et promouvoir le respect volontaire des stratégies d’entreprise et de sécurité, tout en protégeant leur vie privée. Le cas échéant, la stratégie mise en œuvre devrait clairement préciser que l’entreprise se réserve le droit d’effacer ses données et applications lorsque nécessaire.

Beaucoup d’organisations se tournent vers une solution de conteneurisation garantissant une séparation nette entre les données professionnelles et personnelles. Une telle solution permet de satisfaire le besoin de confidentialité des employés mobiles, ainsi que les exigences des départements informatiques en matière de sécurité des données professionnelles. De cette façon, en cas de vol ou de perte de l’appareil, ou si un employé quitte l’entreprise, seules les données professionnelles seront effacées à distance, réduisant ainsi le risque de compromission de données sensibles. Pour les équipes informatiques, la conteneurisation est un gage de confiance quant à la sécurité des données. Ils peuvent ainsi promouvoir en toute sérénité l’utilisation d’informations professionnelles sur des appareils appartenant aux employés ou à l’entreprise dans le cadre de workflows mobiles. Du côté des employés, le fait que leurs messageries personnelles, photos et bibliothèques musicales soient inaccessibles et ne puissent pas être effacées par leur département informatique est une source supplémentaire de tranquillité quant au respect de leur vie privée.

Envisager des solutions de facturation partagée
Le BYOD est récemment devenu un point de discorde quant à l’identité de celui devant payer la facture mensuelle de services de téléphonie mobile. Ainsi, en 2014, la Cour suprême et la Cour d’appel de Californie se sont prononcées sur la question.

La facturation partagée peut faciliter la transition vers la gestion de la mobilité d’entreprise (EMM) pour les entreprises, en leur évitant des problématiques complexes d’indemnisation, de remboursement et d’attribution de crédits. Au lieu d’inclure les frais de données liées à une consommation professionnelle sur des forfaits mensuels personnels, l’accès aux applications fournies par l’entreprise peut être directement facturé à l’employeur et aux partenaires. Les remboursements peuvent ainsi être rationalisés en même temps que les questions de responsabilité des RH et juridique quant aux contenus des utilisateurs. Plus besoin d’enregistrer des notes de frais, de payer des frais cachés liés au traitement des remboursements, ou de gérer des questions fiscales liées à des indemnisations.

En intégrant un forfait de données professionnel et une facturation partagée à leurs stratégies BYOD, les dirigeants d’entreprise peuvent accélérer la transition de leur personnel vers la mobilité.

Impliquer également les employés
Malgré toutes les meilleures intentions du monde, les services juridiques et informatiques élaborent parfois une stratégie BYOD manquant de convivialité. Lorsqu’ils définissent et déploient une telle stratégie, les dirigeants doivent impliquer tous les services, y compris les RH, le service financier et juridique, les responsables de la sécurité et de la confidentialité, ainsi que les responsables informatiques. Ils pourront ainsi exposer à ces principaux acteurs un cadre de meilleures pratiques de BYOD structuré afin de favoriser une prise de décision rapide et collaborative.

La mobilité est essentielle pour lutter contre la concurrence. En donnant aux employés la possibilité de travailler sur les appareils de leur choix, il est possible d’accélérer les tâches quotidiennes et d’accroître ainsi la productivité des salariés et leur degré de satisfaction. Lors de la mise en œuvre de stratégies BYOD complètes, les dirigeants doivent clairement présenter les arguments en faveur du déploiement de tels programmes, et établir avec précision le droit de leur entreprise à gérer les données professionnelles stockées sur les appareils personnels. Ils doivent également envisager de mettre en place une solution de conteneurisation afin de séparer les données professionnelles et personnelles, et réfléchir à une solution de facturation partagée afin d’éviter les problématiques complexes d’indemnisation, de responsabilité quant au contenu de l’utilisateur final et de contrôle des notes de frais des employés.

Enfin, il est essentiel d’aborder le déploiement de stratégies et de solutions BYOD dans votre entreprise comme un effort commun à tous vos services. Créez une campagne de marketing interne proactive destinée aux utilisateurs d’appareils mobiles en vous assurant qu’elle soit engageante et facile à comprendre, comme avec des vidéos, des posters, des FAQ, ou des événements dédiés à des endroits stratégiques. Expliquez clairement les avantages, et comment votre stratégie et votre solution BYOD permettent de gérer les risques au niveau des données professionnelles. La clé d’une stratégie efficace est de s’assurer que le programme créé profite aux employés tout en renforçant la sécurité des données professionnelles. (Par Florian Bienvenu, pour datasecuritybreach.fr, vice-président UK, Europe Centrale, Europe du Sud et Moyen Orient de Good Technology)

Une nouvelle menace nommée Equation Group

En février dernier, la sphère de la cyber-sécurité a pris conscience des efforts déployés par Equation Group, organisation de cyber-espionnage de haut niveau qui exploite les firmwares HDD et SSD.

McAfee Labs a évalué les modules de reprogrammation exposés et a observé qu’ils pouvaient reprogrammés les firmwares des HDD et des SSD. Ainsi, les logiciels malveillants peuvent être rechargés et infecter l’ordinateur à chaque redémarrage du système : ils ne disparaissent pas, même en cas de reformatage du disque ou de réinstallation du système d’exploitation. Une fois infecté, le logiciel de sécurité ne peut plus détecter le malware qui est caché au sein du système. « Chez Intel Security, explique David Grout, nous avons suivi de près ces types de menaces hybrides software/hardware. En effet, bien que ces logiciels malveillants aient historiquement été déployés pour des attaques ciblées, les entreprises doivent se préparer à l’inévitable volet commercial que pourraient représenter de telles menaces à l’avenir ».

Il est nécessaire pour une entreprise de prendre des mesures pour renforcer la détection des menaces existantes telles que l’hameçonnage intégrant des liens frauduleux et les malwares infestant les périphériques USB, et d’envisager des solutions qui pourraient prévaloir l’exfiltration des données.

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Les Risques Cachés de l’Explosion du Trafic HTTPS

Si vous n’êtes pas préparé à une forte augmentation du trafic HTTPS, votre réseau est menacé !

Paradoxal, non ? HTTPS, après tout, est une bonne chose. Comme tout le monde le sait, HTTPS est la version sécurisée du Hypertext Transfer Protocol (HTTP), qui utilise le protocole SSL/TLS pour crypter et protéger le trafic web. Si vous souhaitez privatiser n’importe quelle action en ligne — qu’il s’agisse de l’achat de nouvelles chaussures ou du paiement d’une facture— HTTPS est ce qui protège vos communications des regards mal intentionnés.

Les professionnels de la sécurité ont toujours encouragé l’utilisation d’HTTPS par les applications web. Il semble que leurs vœux aient été exhaussés. Comme le confirme l’ouvrage The Cost of “S” in HTTPS, 50% des flux sur le web sont aujourd’hui sécurisés. En fait, beaucoup des plus grands sites web ont adopté HTTPS comme leur protocole par défaut, dont Google, Facebook et YouTube. Mieux encore, les fournisseurs de navigateurs tels que Google ont même commencé à considérer toutes les pages non HTTPS comme non sécurisées, un nouveau pas vers la standardisation par défaut d’HTTPS.

De nombreux facteurs contribuent à cette ruée vers HTTPS, dont le principal est probablement « l’effet Snowden. » Certes, les spécialistes ont toujours compris la facilité avec laquelle nos conversations sur Internet peuvent être interceptées, mais les documents secrets dévoilés par Edward Snowden n’ont pas seulement permis au grand public d’identifier le risque du ‘man-in-the-middle’ (MitM), mais ont prouvé que les gouvernements y ont participé activement depuis des années. Maintenant que nous savons que quelqu’un nous regarde, nous prenons la protection de nos conversations beaucoup plus sérieusement.

Au sens large, cet accroissement du trafic HTTPS est une bonne chose. Toutefois, sous la surface il dissimule deux écueils qui peuvent sérieusement affecter votre sécurité, si vous n’y êtes pas préparé. Spécifiquement,

1.      Les méchants utilisent aussi HTTPS,
2.      La sécurisation de ce trafic entraîne de nouvelles contraintes en matière de performances.

Les avantages que vous retirez d’HTTPS profitent également aux hackers. Les pirates veulent dissimuler leurs communications, qu’il s’agisse de leurs téléchargements de malware ou des canaux de commande et de contrôle (C&C) que leur malware utilise pour communiquer avec eux. HTTPS fournit un mécanisme très efficace pour faire précisément cela. Les méchants ont compris que HTTPS est typiquement un « trou noir » pour vos outils de sécurité réseau, et ont donc commencé à l’utiliser pour leurs activités malveillantes, afin de les masquer.

C’est la raison pour laquelle il est plus important que jamais de commencer à sécuriser HTTPS. Vous avez besoin de solutions de sécurité capables de “voir” à l’intérieur des communications HTTPS, et d’y appliquer les scans traditionnels de sécurité (IPS, antivirus, etc.).

Heureusement, il existe une solution à ce problème. De nombreuses solutions de sécurité réseau actuelles, telles que de nouvelles versions de boîtiers UTM, des firewalls de nouvelle génération (NGFW), et d’autres proxies de sécurité, disposent de passerelles sur la couche applicative ou de capacités d’inspection DPI pour HTTPS. En gros, ils effectuent une attaque MitM « amicale » sur HTTPS afin de le décrypter de façon temporaire et de mettre en œuvre les scans de sécurité. Le boîtier ré encrypte ensuite le trafic pour le délivrer au réseau. Ces outils nécessitent que vos clients acceptent un certificat numérique, afin de maintenir la confidentialité de la connexion HTTPS. En bref, ils vous permettent de potentiellement détecter des activités malicieuses dans un trafic normalement indéchiffrable, sans remettre en cause la vie privée de vos utilisateurs.

Toutefois, sécuriser le trafic HTTPS met en lumière et exacerbe le second problème – les contraintes d’HTTPS en matière de performances. En termes simples, encrypter quelque chose consomme des ressources de traitement et accroît le volume du trafic. Si vous désirez savoir dans quelle proportion, il vous suffit de consulter l’ouvrage que j’ai cité précédemment. En gros, les conséquences ne sont pas négligeables, mais nous disposons généralement des ressources processeur et réseau pour les gérer… Ceci, avant d’y ajouter les solutions de sécurité dont j’ai parlé plus haut.

Comme je l’ai mentionné précédemment, des solutions de sécurité peuvent maintenant décrypter le trafic HTTPS. Toutefois, ce décryptage double le temps de traitement d’HTTPS, le boîtier de sécurité devant décrypter puis ré encrypter avant de délivrer le trafic. De plus, dans l’environnement actuel riche de menaces, vous souhaiterez que plusieurs couches de sécurité (par exemple IPS, antivirus, détection C&C) contrôlent votre trafic HTTPS. Si vous avez mis en place un contrôle de sécurité séparé pour chaque couche, chacune d’entre elles nécessite un traitement, ce qui ralentit singulièrement le trafic. Si 50% du trafic Internet est en protocole HTTPS, cela représente un vrai goulet d’étranglement.

La solution ? Utiliser des contrôles de sécurité tout en un conçus pour traiter la charge HTTPS. Un des avantages des nouveaux boîtiers UTM et des firewalls de nouvelle génération est que leurs couches de sécurité sont toutes appliquées en un seul point. Ceci veut dire qu’ils n’ont à décrypter HTTPS qu’une seule fois. Cependant, si votre sécurité dépend à ce point d’un seul boîtier, mieux vaut être sûr qu’il sera capable de supporter la charge. Beaucoup de boîtiers UTM ou Next Generation Firewalls mettent en avant leurs performances firewall, qui ne tiennent pas compte des autres contrôles de sécurité et de l’inspection des paquets HTTPS. Il est donc très important d’examiner la performance du boîtier lorsque tous les contrôles de sécurité sont activés, et spécialement l’inspection des paquets HTTPS. Ce n’est qu’une fois cette vérification faite que vous saurez si votre boîtier sera capable ou non de traiter, et de sécuriser, l’explosion des flux HTTPS.

Pour résumer, l’usage accru du protocole HTTPS est une très bonne chose pour la sécurité du web. Toutefois, vous devez vous assurer que vos solutions de sécurité en place sont capables réellement d’identifier les menaces à l’intérieur d’HTTPS, et qu’elles peuvent supporter l’accroissement de la charge HTTPS induit par l’effet Snowden. (Par Pierre Poggy, Country Manager Watchguard France / TechDirt)

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

Virus Rombertik : rien de nouveau chez le malveillant

Suite à la découverte du malware Rombertik par les équipes de Cisco, il s’avère que le microbe n’a rien de bien nouveau. Il additionne les attaques.

Il n’y a rien de neuf dans ce que fait le malware Rombertik, donc ce n’est pas vraiment une « nouvelle génération » en tant que telle. Il s’agit surtout d’une compilation de plusieurs attaques simultanées « Le premier objectif du malware est de voler les données confidentielles utilisées dans le navigateur Internet. explique Christophe Kiciak, de chez Provadys. Dans le cas où il n’y arrive pas, il passe a son second objectif qui consiste à rendre le poste inutilisable« . Un petit souvenir du virus Leonard de Vinci ?

Rombertik est un spyware de navigateur polyvalent ; c’est également un malware conçu pour pirater les transactions du navigateur et lire des informations d’identification telles que les combinaisons noms d’utilisateurs/mots de passe de messagerie, de comptes bancaire ou d’autres systèmes, et de renvoyer ces informations d’identification au serveur des attaquants. Rombertik sabote le Master Boot Record (MBR) pour empêcher le redémarrage de l’ordinateur attaqué, ou à défaut, chiffre les données de l’utilisateur. Un blocage qui a le goût d’un ransomware, mais sans la rançon. Les données ne sont pas récupérables du tout.

Etant donné que Rombertik est très sensible à la traditionnelle sandboxing réactive, il est crucial d’utiliser des systèmes de défense modernes – prédictifs. Des systèmes qui n’attendent pas qu’un utilisateur clique pour déclencher un téléchargement potentiel de Rombertik. De plus, comme le malware peut être expédié via de multiples vecteurs – comme Dyre, via des URL ou des fichiers .doc ou .zip/exe etc. – il est crucial d’utiliser des systèmes qui examinent l’ensemble chaîne destructrice, et bloquent l’accès des utilisateurs aux URL et pièces jointes envoyées par emails avant ceux-ci ne cliquent dessus.

« Les aspects « autodestruction » de Rombertik étant susceptibles d’être déclenchés par les technologies telles que les antivirus, il est crucial que les entreprises utilisent des systèmes automatisés de réponse aux menaces » confirme à DataSecurityBreach.fr Charles Rami, responsable technique Proofpoint.

Des systèmes qui peuvent localiser et bloquer l’exfiltration de données par Rombertik – sans – déclencher d’action sur le PC, et alerter les équipes de sécurité pour répondre rapidement aux dommages pouvant être causés.

Bref, pour se protéger de Rombertik, ici aussi rien de nouveau sous les palmiers : ne pas cliquer sur n’importe quoi ; mettre l’ensemble de ses logiciels à jour ; ne pas utiliser l’ordinateur avec un compte administrateur. Cela vous évitera de donner l’ensemble de vos privilèges au pirate ; faire des sauvegardes et s’assurer qu’elles fonctionnent.

Hippon, solution française dédiée au chiffrement

La société Hippon propose une solution 100% française. Innovante, elle permet de se créer son réseau confiance pour ses échanges confidentiels.

Voilà une nouvelle solution à suivre de près. Son nom, Hippon. Cette solution de chiffrement et bien plus que cela. Hippon propose un réseau fermé dans lequel vous allez pouvoir échanger des tchats avec vos correspondants en ligne; diffuser des messages à un ou plusieurs destinataires; permettre la diffusion de pièces jointes. L’ensemble des échanges sont chiffrés. Cela permet ainsi de renforcer la confiance et la collaboration avec vos partenaires en vous prémunissant contre le vol ou l’interception de vos échanges sensibles. Un outil collaboratif qui permet de travailler dans une réelle fluidité. Le nombre des intervenants importe peu. L’utilisateur peut déployer son réseau de confiance et se prémunir contre le vol ou l’interception de ses échanges confidentiels.

Il suffit d’intégrer les personnes habilités à rejoindre le groupe. Un clic et la personne à révoquer ne peut plus joindre les informations et les interlocuteurs. Autant les utilisateurs commencent à faire (plus ou moins) attention à leurs données personnelles, autant ils considèrent que c’est à l’entreprise de le faire sans pour autant accepter de changer leurs habitudes. Hippon semble répondre à cette problématique. Une version test de 14 jours est disponible. En mode de test, Hippon est compatible uniquement dans les environnements de Microsoft.

Le système fonctionne parfaitement sur OSX sous virtualisation parallèle et est accessible en mode streaming vidéo depuis les tablettes IOS ou Android. A noter que comme l’exige la loi, les services SaaS proposés par la société Hippon étant fondés sur des clés composites de cryptage et compte tenu des contraintes inhérentes à la sécurité, conformément aux lois en vigueur en matière de moyens et de prestations de cryptologie, le Licencié (le client utilisateur, ndr) est informé que les autorités peuvent demander que les informations du Licencié hébergées par la société Hippon soient décryptées.

Augmentation des attaques par réflexion basées sur le protocole SSDP

Le rapport de NSFOCUS sur les menaces causées par les dénis de service distribué (DDoS) dévoile que les dispositifs connectés à l’Internet des objets contribuent à l’augmentation des attaques par réflexion basées sur le protocole SSDP.

NSFOCUS a publié son rapport semestriel sur les menaces causées par les DDoS qui dévoile les résultats sur les nouvelles attaques et les menaces croissantes dont les organisations devraient avoir conscience en 2015. Tandis que le volume des attaques par déni de service distribué continue à augmenter, l’expansion de l’Internet des objets (IdO) et l’arrivée massive de dispositifs connectés au réseau, tels que des webcams ou des routeurs, entraînent une plus grande intensité des attaques basées sur le protocole Simple Service Discovery Protocol (SSDP).

Les résultats des analyses statistiques et des principales observations sont fondés sur des données de véritables incidents causés par des attaques DDoS ayant eu lieu au deuxième semestre 2014. Ces données ont été recueillies auprès d’un ensemble de multinationales, de prestataires de services Internet, d’opérateurs régionaux de téléphonie et de fournisseurs d’hébergement Internet.

—  L’augmentation des dispositifs connectés à l’IdO est responsable de
la hausse des attaques par réflexion basées sur le SSDP : avec la
prolifération de l’Internet des objets, tout dispositif connecté au
réseau avec une adresse IP publique et un système d’exploitation
vulnérable va augmenter le nombre de dispositifs susceptibles d’être
utilisés pour lancer des attaques par réflexion basées sur le SSDP.
Ce type particulier d’attaque DDoS a été considéré comme la
deuxième menace principale, après les attaques basées sur le
protocole NTP, au cours du deuxième semestre 2014. Plus de 30 pour cent
des dispositifs mis en danger par des attaques SSDP étaient des
dispositifs connectés au réseau tels que des routeurs domestiques et
des webcams. Les résultats révèlent également qu’à l’échelle
mondiale, plus de 7 millions de dispositifs contrôlés par le protocole
SSDP pourraient potentiellement être utilisés.

—  Les attaquants sont de plus en plus rusés : alors que 90 pour cent des
attaques DDoS ont duré moins de 30 minutes, une attaque a duré 70
heures. Cette stratégie d’attaques plus courtes est utilisée pour
améliorer l’efficacité et détourner l’attention du personnel
informatique des véritables intentions d’une attaque : déployer des
logiciels malveillants et voler des données. Ces techniques indiquent
la tendance actuelle des attaquants à être de plus en plus rusés et
sophistiqués.

—  Les détaillants, médias et jeux en ligne restent les cibles
principales : alors que les détaillants et les sociétés de
divertissements et de jeux utilisent de plus en plus d’environnements en
ligne, les consommateurs demandent une qualité de service du plus haut
niveau. En ralentissant ou en inondant ces serveurs, les attaquants
cherchent à tirer parti des activités en ligne par toute une gamme de
moyens qui englobe le chantage, la concurrence déloyale et le vol
d’actifs.

Yonggang Han, directeur des opérations internationales de NSFOCUS, a déclaré à DataSecurityBreach.fr « Nous observons l’évolution des technologies d’attaque qui deviennent ni plus ni moins que des tactiques de ‘harcèlement’ (attaques par inondation) et de ‘profit tiré’ (épuisement des ressources) renforçant l’impact via l’utilisation de la bande passante du réseau. Pour contrer ces attaques, les organisations doivent se tourner vers des dispositifs qui nettoient le trafic et sont associés à d’autres protocoles de sécurité. »