Archives de catégorie : Emploi

Cybersécurité, Emploi, Entreprise, Linux, Mise à jour, Patch, Propriété Industrielle

L’open source : L’innovation et la sécurité par la transparence

Le contraste entre les logiciels propriétaires et open source est aussi vieux que l’industrie de l’informatique elle-même. Dans presque toutes les catégories, des logiciels sont disponibles soit auprès de fournisseurs qui développent et commercialisent eux-mêmes leur code, soit auprès de communautés de développeurs travaillant avec du code ouvert.

Au cours de la dernière décennie, l’aversion envers l’utilisation des logiciels libres, particulièrement dans les entreprises, a pris un tournant majeur. Les managers ont réalisé que si même les géants de l’informatique comme Facebook, Google et Amazon font appel à l’open source, les entreprises ordinaires devraient pouvoir le faire aussi. Les avantages de l’open source sont bien connus : les coûts inférieurs (à noter que coûts inférieurs ne veut pas forcément dire gratuits), la qualité supérieure et la sécurité qui découlent d’une grande communauté de développeurs et l’absence de dépendance à un fabricant sont des arguments de poids. Dans certains domaines, les produits open source sont déjà leaders de leur catégorie. Linux, Firefox et WordPress, par exemple, sont d’énormes réussites auprès des particuliers. MySQL, Apache, Free BSD, Zimbra et Alfresco se retrouvent fréquemment dans les environnements d’entreprise.

Toutefois, la distinction n’est pas aussi claire qu’on pourrait le penser : il n’est pas possible de diviser simplement les logiciels en catégories (ouvert ou fermé, libre ou non-libre, open source ou propriétaire). Il existe toutes sortes de sous-catégories, ce qui donne lieu à d’importantes différences dans les conditions de licence. Pour les entreprises, toutefois, il est pertinent de s’intéresser aux catégories de logiciels open source et propriétaires, et c’est la combinaison des deux, sous la forme de logiciels open source commerciaux, qui offre de fait le meilleur des deux mondes.

Un changement culturel global est en cours en faveur de l’open source. Par exemple, l’UE et le gouvernement des États-Unis investissent de grosses sommes d’argent pour augmenter leur utilisation de l’open source. Et au CERN (l’Organisation européenne pour la recherche nucléaire), qui a longtemps été un pionnier de l’informatique, les scientifiques sont encouragés à mener leurs recherches à l’aide de solutions libres de nouvelle génération. La tendance ne se limite plus désormais aux logiciels. Le « matériel libre » se répand : le Raspberry Pi, le Kano, l’Arudion, le MatchStick basé sur Firefox, le NAO et le Hummingboard sont tous des exemples démontrant le dynamisme des projets libres, qui font naître de nouvelles tendances comme l’Internet des Objets. Et pourtant l’open source n’est pas quelque chose de réellement nouveau. La plateforme informatique open source ultime reste le mainframe, qui était également le noyau de l’ordinateur personnel actuel et a donc toujours représenté une communauté open source considérable.

Des solutions open source commerciales : un système donnant-donnant

Le modèle de développement open source permet aux entreprises de prendre en charge leur projet avec des technologies adaptées, évolutives et un code ajusté à leurs exigences, et par là même de renvoyer l’ascenseur à la communauté. Dans les logiciels open source commerciaux, tout nouveau code passe par un processus strict d’assurance qualité pour garantir la sécurité des entreprises clientes et de leurs utilisateurs finaux. Les changements pouvant bénéficier à un ensemble plus large d’entreprises clientes sont contrôlés et la communauté les ajoute ensuite à son code de base. Pour pouvoir utiliser tous les avantages de l’open source, il faut une relation étroite avec un fournisseur de solutions open source commerciales. C’est essentiel pour promouvoir la créativité et les contributions au sein de la communauté. Les entreprises peuvent également fournir du code pour prendre en charge leurs activités. Les fournisseurs de solutions open source commerciales ne fournissent que l’assistance et le processus strict de développement du produit, comprenant les tests avec les bases de données, les conteneurs et l’assurance qualité qui font normalement partie du développement des logiciels propriétaires.

Des soucis de sécurité avec l’open source ? Au contraire !

Avec l’acceptation croissante des logiciels open source, les logiciels propriétaires purs perdent du terrain sur le marché. Beaucoup d’utilisateurs doutent de la souplesse des logiciels propriétaires dans les années à venir et beaucoup considèrent leur dépendance par rapport à leur fournisseur comme une restriction indésirable. Lorsqu’elles envisagent le futur des services numériques, qu’il s’agisse de ceux des entreprises ou des administrations, des entreprises comme Facebook et Google considèrent l’open source comme indispensable. La plupart des fournisseurs utilisent d’ailleurs déjà l’open source dans divers domaines de leurs opérations informatiques. Les solutions open source fournissent, en particulier, une plateforme pour une technologie prête à l’emploi pouvant être personnalisée pour différents produits. Néanmoins, malgré l’acceptation grandissante de l’open source, les entreprises gardent des inquiétudes à propos de leur fiabilité et de leur sécurité. Mais quels sont les arguments derrière ces inquiétudes ?

Le préjugé menant à penser que les logiciels open source ne sont pas sécurisés ne se vérifie absolument pas. Le réseau international de développeurs, d’architectes et d’experts de la communauté open source est de plus en plus reconnu en tant que ressource majeure. La communauté fournit un retour professionnel d’experts du secteur qui peuvent aider les entreprises à produire du code plus robuste, à créer des correctifs plus vite, et capables de développer des innovations et des améliorations à de nouveaux services. Dans un modèle propriétaire, la qualité du logiciel est limitée à celle du petit ensemble de développeurs qui y travaillent. Les entreprises qui font appel à des vendeurs tiers pour leurs logiciels propriétaires peuvent avoir un sentiment de sécurité plus fort, mais elles se bercent d’illusions : au nom de la propriété intellectuelle propriétaire, les éditeurs peuvent facilement empêcher leurs clients professionnels de savoir s’il existe des failles de sécurité dans leur code – jusqu’à ce que des pirates les exploitent. Nous avons vu récemment de nombreux exemples de ce fait, qui ont entraîné des problèmes pour de nombreux clients.

En raison du haut degré de transparence au sein de la communauté open source, le travail de ce réseau d’experts est d’une grande qualité ; ses membres attachent une importance extrême au maintien de leur réputation. Personne ne peut se permettre de mettre sa crédibilité en jeu lorsque toute la communauté peut voir le code publié sous son nom et le commenter. Par conséquent, les membres de la communauté soumettent tout code nouvellement compilé à un long travail de vérification avant de le publier. Cela devrait dissiper les craintes injustifiées concernant les failles de sécurité.

Une architecture ouverte et une évolutivité sans limite pour des solutions fiables

Les médias sociaux, le cloud, les big data, la mobilité, la virtualisation et l’Internet des Objets révolutionnent constamment l’informatique. Les technologies existantes peinent à suivre le rythme de ces changements. Les entreprises et les institutions doivent fournir leurs services sur de nombreux canaux tout en garantissant une sécurité totale des données. Avec des systèmes propriétaires rigides, cela est pratiquement impossible, et la communauté open source démontre tous les jours que les produits utilisant du code open source sont plus que prêts à gérer des services importants. Apache est déjà le numéro un. MySQL en prend le chemin ; tôt ou tard, il est très probable qu’OpenStack deviendra le logiciel de référence pour la gestion des centres informatiques et OpenAM est l’un des meilleurs produits pour les droits d’accès reposant sur les identités numériques. Les entreprises qui refusent d’utiliser l’open source courent le risque de prendre du retard sur l’étendue et la puissance des fonctions, et de ne pas être en mesure de proposer à leurs clients une expérience utilisateur numérique complète.

La réussite de l’open source se mesure par sa capacité à garantir un haut degré de sécurité et d’innovation. Si les logiciels développés de façon libre n’étaient pas sûrs, la sécurité et l’innovation ne seraient pas possibles. L’open source offre donc la sécurité grâce à sa transparence, ce que les logiciels propriétaires ne peuvent pas se permettre. Les entreprises feraient bien de garder un œil sur les solutions open source. (Par Ismet Geri, vice-président Europe du Sud chez ForgeRock)

Banque, Base de données, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Leak, Paiement en ligne, Piratage, ransomware, Social engineering

Le prix de vente des données volées sur le marché noir

Retour sur l’économie souterraine du Dark Web ainsi que sur les pratiques et les coûts du Cybercrime-as-a-Service.

Le nouveau rapport d’Intel Security, intitulé The Hidden Data Economy, porte sur le marché noir des données volées en ligne, ou ‘Dark Web’. Il révèle la manière dont ces dernières sont compilées, ainsi que les prix auxquels elles sont revendues en ligne. Dans ce dernier, le McAfee Labs d’Intel Security dévoile les prix fixés sur le Dark Web pour l’achat de cartes de débit et de crédit, d’identifiants de comptes bancaires et de services de paiement en ligne et d’accès aux comptes de fidélité.

« Comme toute économie non réglementée et performante, l’écosystème de la cybercriminalité a très vite évolué pour offrir de nombreux outils et services à toute personne aspirant à un comportement malfaisant », déclare à DataSecurityBreach.fr Raj Samani, CTO EMEA d’Intel Security. « Le marché du Cybercrime-as-a-Service a été le principal moteur à la fois de l’explosion, de l’ampleur, de la fréquence et de la gravité des cyberattaques. Aujourd’hui, nous constatons une véritable prolifération des modèles économiques conçus pour revendre les données volées et rendre les cyberattaques très lucratives pour les hackers. »

Depuis des années, l’équipe du McAfee Labs coopère avec les principaux acteurs concernés, organisations policières nationales et internationales, éditeurs de logiciels de sécurité informatique, etc., pour identifier et démanteler les multiples sites web, forums et autres plateformes, communautés et marchés en ligne où les transactions illégales ont lieu. En s’appuyant sur ces expériences, les chercheurs du McAfee Labs sont désormais en mesure de fournir une évaluation globale du statut de « l’économie de la cybercriminalité », avec des illustrations de cas typiques et de prix par catégorie de données et par région.

Les cartes de paiement
Les données des cartes bancaires sont sans doute le type de données le plus volé et vendu sur le Dark Web. Les chercheurs du McAfee Labs ont constaté des variations de prix en fonction du conditionnement des données. Une offre standard, soit un « Random » dans le jargon de cybercriminels, comprend l’identifiant de carte valide, généré par un logiciel, qui combine un numéro de compte primaire (PAN), une date d’expiration et un cryptogramme CVV2. Les logiciels générant des numéros de carte de crédit valides peuvent également être achetés ou trouvés gratuitement en ligne.

Les prix augmentent lorsque l’offre comprend des informations supplémentaires donnant accès à davantage de possibilités d’exploitation des données. Dans certaines offres plus complètes sont également inclus : le numéro d’identification de compte bancaire (IBAN / BIC), la date de naissance de la victime et des informations plus confidentielles classées « Fullzinfo », comme par exemple, l’adresse de facturation utilisée pour ses commandes en ligne, le code PIN de sa carte, son numéro de sécurité sociale, le nom de jeune fille de sa mère, voire son nom d’utilisateur et son mot de passe utilisés pour accéder, gérer et modifier les configurations de son compte bancaire.

Le tableau suivant illustre les prix moyens pratiqués sur le Dark Web pour la vente de cartes de crédit et de débit par région et en fonction des données disponibles :

« Un criminel possédant l’équivalence numérique d’une carte de crédit est en mesure de faire des achats ou des retraits jusqu’au moment où la victime contacte sa banque pour faire opposition et mettre en place des mesures de vérification », poursuit Raj Samani à datasecuritybreach.fr. « Or, en possédant de nombreux renseignements personnels sur la victime, le cybercriminel pourrait très bien justifier qu’il est le propriétaire de la carte bancaire, voire accéder au compte en ligne et en changer les paramètres de configuration. L’accès aux données personnelles peut ainsi augmenter de manière significative les potentiels préjudices financiers pour l’individu ».

Les comptes de services de paiement en ligne
En ce qui concerne les données relatives aux comptes de services de paiement en ligne, les conditions et les possibilités d’utilisation limitées influenceraient les prix qui semblent être dictés uniquement par le solde du compte piraté. L’accès à des comptes créditeurs de 350 à 900 € est estimé entre 17 et 43 €, tandis que le prix d’achat des identifiants de comptes avec un crédit de 4 400 à 7 000 € peut s’étendre de 175 à 260 €.

Les identifiants de comptes bancaires en ligne
Les cybercriminels peuvent acheter des identifiants de comptes bancaires leur permettant de faire des virements à l’international de manière anonyme. Selon McAfee Labs, un compte créditeur de 2 000 € peut être acquis en ligne pour un prix de 170 €. Le prix d’accès à un compte bancaire en ligne avec une fonctionnalité de virements internationaux anonymes peut varier de 440 € pour un compte avec un crédit de 5 300 € jusqu’à 1 000 € pour un compte créditeur de 17 500 €.

Services de contenu premium
Le rapport examine également les prix fixés sur le Dark Web pour l’acquisition de codes d’accès à des services de contenu en ligne tels que le streaming de vidéo (de 0,5 à 0,9 €), de chaînes câblées (6,50 €), de chaînes sportives (13 €) ou à des bibliothèques de bandes dessinées premium en ligne (0,5 €). Ces tarifs relativement faibles suggèrent que les opérations de vol des identifiants ont été automatisées pour rendre ces modèles économiques rentables.

Les comptes de fidélité
Certains services en ligne, tels que l’accès à des programmes de fidélité dans l’hôtellerie ou à des sites d’enchères en ligne, pourraient sembler sans intérêt pour les cybercriminels. Pourtant, les chercheurs du McAfee Labs ont constaté que les données relatives à ces services sont également à vendre sur le marché noir. Elles permettraient à la fois aux acquéreurs d’acheter en ligne avec le compte de leurs victimes et de bénéficier de leur réputation en ligne. Le rapport présente d’ailleurs deux cas concrets de recèles, la vente d’un compte de fidélité de 100.000 points à 17 €, ainsi que celle d’un compte de réputation positive sur un service d’enchères de marques en ligne à plus de 1 200 € !

Ce rapport survole les possibilités du blackmarket. Des chiffres à prendre avec des pincettes. DataSecurityBreach.fr se « promène » dans une cinquantaine de black market différents. Les prix varient tellement, certains chaque heure, qu’il est impossible de fournir un chiffre, même une moyenne, exact. Le rapport ne prend pas en compte, non plus, les services tels que les fournitures de moyens pour des DDoS et autres Swatting. N’oublions pas non plus que ces études sortent au même moment que les nouveaux antivirus des producteurs de ces études.

Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle

Le coût moyen du cybercrime s’élèverait à 13.4M€ par entreprise

Une enquête annuelle révèle que le coût moyen du cybercrime s’élève à 13.4M€ par entreprise Cette sixième étude annuelle, résultat du partenariat entre HP et le Ponemon Institute, prouve l’intérêt pour les entreprises de réorienter leur stratégie en matière de sécurité

HP dévoile les résultats de la sixième enquête annuelle menée en partenariat avec le Ponemon Institute, qui détaille les impacts économiques des cyberattaques sur les organisations des secteurs public et privé. Les résultats attestent une augmentation du coût du cybercrime pour les entreprises et le changement d’approche qui engage les professionnels de la sécurité IT à réinventer leur façon d’appréhender les risques.

Menée par Ponemon Institute sous l’égide de HP Enterprise Security, l’étude Cost of Cyber Crime Study 2015 chiffre le coût annuel du cybercrime pour des entreprises aux États-Unis, au Royaume Uni, au Japon, en Allemagne, en Australie, au Brésil et dans la fédération de Russie. Sur l’échantillon d’organisations sélectionnées pour l’enquête réalisée aux US, les résultats montrent que le coût annuel moyen du cybercrime par entreprise s’élève à 15 millions d’US$ 1, ce qui représente une croissance proche de 20% par rapport à l’année dernière, et de 82% depuis la première édition de cette étude.

Les résultats montrent également que le délai moyen de résolution d’une cyberattaque – 46 jours – a augmenté d’environ 30% sur les 6 dernières années, et que le coût moyen global de résolution d’une attaque unique dépasse 1,9 million US$. « Une faille de sécurité peut impacter de façon significative la réputation de l’entreprise, ses performances financières, sa stabilité opérationnelle et sa capacité à innover » déclare à datasecuritybreach.fr Sue Barsamian, Sénior Vice-Président et Directeur Général de la division HP Enterprise Security Products. « Cette étude annuelle prouve clairement que les investissements stratégiques dans les solutions de sécurité, les technologies de chiffrement et les bonnes pratiques de gouvernance peuvent faire une différence substantielle dans la manière de protéger ce qui compte le plus pour l’entreprise – les interactions entre utilisateurs, les applications et les données – et lui permettre de garder un cran d’avance sur ses adversaires. »

Pour les entreprises, élargir leur surface digitale veut également dire s’exposer à davantage d’attaques périmétriques de la part des cybercriminels. Bien que les organisations s’efforcent de recourir à de nouvelles technologies pour protéger leur environnement soumis à des attaques toujours plus nombreuses, il devient urgent pour elles de faire évoluer leurs stratégies de sécurité et de contrôle du réseau vers la protection des utilisateurs, des applications et des données. L’étude ‘2015 Cost of Cyber Crime’ confirme ce besoin de changement, démontré par le fait que des organisations dépensent désormais 20% de leur budget de sécurité sur la sécurisation des applications, ce qui représente une croissance de 33 % en seulement deux ans.

Résultats marquants de l’étude 2015 Cost of Cyber Crime aux États-Unis ? Le coût du cybercrime reste très important : le coût annuel moyen du cybercrime pour une entreprise s’élève à 15 millions US$, avec une plage allant de 1,9 million US$ jusqu’à 65 millions US$ par an 1. Sur les 6 années de l’enquête, cela représente une augmentation globale de 82%.

Le coût du cybercrime varie selon la taille de l’organisation ciblée : les résultats montrent une nette corrélation entre le nombre d’ employés de l’entreprise et le coût annuel du cybercrime. Néanmoins, sur la base du nombre d’employés, l’enquête montre que les petites organisations subissent un coût par utilisateur plus important que les entreprises de taille plus importante.

Le temps pour remédier aux cyberattaques continue de croître : le délai moyen pour résoudre une cyberattaque est de 46 jours, avec un coût moyen de 1,9 million US$ durant cette période, selon les éléments fournis par les entreprises ayant répondu à l’enquête. Ceci représente une augmentation de 22% par rapport au montant moyen annuel estimé dans l’enquête de l’année dernière – environ 1,5 million US$ – basé sur une période de résolution évaluée alors à 32 jours.

Les résultats montrent que des attaques provenant d’utilisateurs internes malveillants peuvent prendre en moyenne 63 jours avant d’être circonscrites. Les coûts du cybercrime les plus importants. Les cyberattaques les plus coûteuses restent toujours liées au déni de service, aux utilisateurs internes malveillants et aux codes malicieux. Celles-ci ont représenté plus de 50% de toutes les attaques subies par une organisation pendant un an 1. Le vol d’informations continue de représenter le coût externe le plus important, suivi par les coûts liés à une interruption d’activité. Sur une base annuelle, le vol d’informations représente 42% des coûts externes globaux, alors que les coûts associés à une interruption de service ou à la perte de productivité totalise 36% des coûts externes (soit 4%de plus que la moyenne constatée il y a 6 ans). Les tâches de détection et de récupération constituent les coûts d’activités internes les plus importants, soit 55% des coûts totaux de l’activité annuelle interne. Les dépenses de trésorerie et de main-d’œuvre directe représentent la majorité de ces coûts.

La bonne technologie et les bonnes politiques de sécurité font la différence Les organisations, qui ont investi et utilisent des technologies de collecte d’informations sur la sécurité, ont été plus efficaces dans la détection et le cloisonnement des cyberattaques, réduisant ainsi les coûts qui auraient pu être encourus. ? Le déploiement de solutions SIEM (Security Information and Event Management) a permis aux organisations de réduire leurs dépenses de 3,7 millions US$ par an, par rapport aux entreprises n’ayant pas mis en œuvre de solutions de sécurité similaires. ? Un budget de sécurité suffisant peut faire économiser en moyenne 2,8 millions US$ de coûts induits par les actions mises en places pour y remédier et par la gestion des attaques. ? L’emploi de personnels certifiés et/ou experts de sécurité peut réduire le budget d’une entreprise de 2,1 millions US$ à une entreprise. ? L’embauche d’un responsable sécurité de haut-niveau peut faire économiser 2 millions US$ à l’entreprise.

« Avec des cyberattaques de plus en plus fréquentes et graves de conséquences, la compréhension globale de l’impact financier encouru peut aider les organisations à déterminer la quantité appropriée d’investissement et de ressources nécessaires pour prévenir ou atténuer les conséquences d’une attaque« , a déclaré à DataSecurityBreach.fr le Dr Larry Ponemon, Président et Fondateur du Ponemon Institut. « Comme on le voit dans l’étude de cette année, le retour sur investissement pour les organisations déployant des systèmes de renseignement de sécurité, tels que les SIEM, a permis de réaliser en moyenne des économies annuelles de près de 4 millions US$ et prouve la capacité de minimiser les impacts en détectant et en contenant plus efficacement les cyberattaques.« 

État des lieux de la sécurité dans des agences gouvernementales locales, régionales et nationales Afin de mieux comprendre les enjeux auxquels la sécurité de l’IT et les professionnels de la sécurité IT doivent faire face pour sécuriser les agences gouvernementales, HP a également dévoilé les résultats d’une nouvelle étude menée en partenariat avec le Ponemon Institute. L’étude « 2015 State of Cybersecurity in Local, State & Federal Goverment » fait état de découvertes sur la fréquence des attaques ciblant le secteur public à l’échelle locale, régionale ou nationale, des difficultés rencontrées dans la recherche des bonnes compétences en matière de sécurité, et sur les capitaux informationnels les plus exposés au risque. Des informations détaillées peuvent être consultées sur le site.

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle, ransomware, Sauvegarde, Scada, Social engineering

Quand les incidents de sécurité coûtent cher aux entreprises

Il est souvent difficile pour les victimes elles-mêmes d’estimer le coût total d’un incident de sécurité en raison de la diversité des dommages. Mais une chose est sûre, l’addition monte vite.

Une enquête mondiale réalisée en 2015 par Kaspersky Lab auprès de 5 500 entreprises, en coopération avec B2B International révèle également que les fraudes commises par les employés, les cas de cyber espionnage, les intrusions sur le réseau et les défaillances de prestataires extérieurs représentent les incidents de sécurité les plus coûteux. Selon ce rapport, le budget moyen nécessaire aux grandes entreprises pour se remettre d’un incident de sécurité serait de 551 000 et 38 000 dollars pour les PME.

« Définir le coût d’une attaque est une tâche très difficile à réaliser car le périmètre d’impact est variable d’une entreprise à l’autre. Cependant, ces chiffres nous rappellent que les coûts d’une attaque ne se limitent pas au remplacement du matériel, et nous obligent à nous interroger sur son impact à long terme. A noter également que toutes les entreprises ne sont pas égales : certaines attaques visent à stopper l’activité commerciale d’une entreprise quand d’autres ciblent l’exfiltration de données secrètes, par exemple. Il ne faut pas oublier non plus que l’onde de choc générée par l’annonce publique d’une attaque ou d’une fuite de données à des conséquences directes sur la réputation d’une entreprise, et ce qui est alors perdu est souvent inestimable » explique à DataSecurityBreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Facture moyenne d’un incident pour une entreprise :

  • Services professionnels (informaticiens, gestion du risque, juristes) : il existe 88% de chance d’arriver à une facture pouvant atteindre jusqu’à 84 000 dollars
  • Perte d’opportunités commerciales : dans 29 % cela peut représenter jusqu’à 203 000 dollars
  • Interruption d’activité : jusqu’à 1,4 million de dollars, soit 30 %
  • Total moyen : 551 000 dollars
  • Dépenses indirectes : jusqu’à 69 000 dollars
  • Atteinte à la réputation : jusqu’à 204 750 dollars

Les PME et les grandes entreprises ne sont pas logées à la même enseigne

Neuf entreprises sur dix ayant participé à notre enquête ont fait état d’au moins un incident de sécurité. Cependant, tous les incidents n’ont pas le même niveau de gravité et n’aboutissent pas à la perte de données sensibles. Le plus souvent, un incident grave résulte d’une attaque de malware ou de phishing, de fuites imputables à des employés ou de l’exploitation de vulnérabilités dans des logiciels. L’estimation des coûts permet de considérer la gravité des incidents de sécurité informatique sous un nouvel angle et fait apparaître une perspective légèrement différente entre les PME et les entreprises.

Les grandes entreprises encourent un préjudice nettement plus élevé lorsqu’un incident de sécurité est le fait d’une défaillance d’une tierce partie, les autres types d’incidents coûteux étant liés à des fraudes commises par les employés, des cas de cyber espionnage ou des intrusions sur le réseau. Les PME tendent à subir un préjudice important sur pratiquement tous les types d’incidents, qu’il s’agisse d’espionnage, d’attaques DDoS ou de phishing.

Pour télécharger le rapport complet sur le coût des incidents de sécurité, cliquez ici.

Base de données, Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle

Si c’est gratuit, c’est vous le produit, AVG le confirme

L’éditeur de la solution de sécurité informatique AVG vient de changer ses conditions d’utilisation et indique clairement que sa version gratuite lui permet de collecter des informations sur les utilisateurs. Données qui seront revendues.

L’éditeur Tchèque AVG, créateur de l’antivirus éponyme, propose une version gratuite de son antivirus utilisé par des millions de personnes. L’entreprise vient d’annoncer qu’elle avait modifié ses conditions d’utilisation. Des conditions qui ont le mérite d’être claires.

Dans sa version anglaise, les conditions d’utilisation indiquent qu’AVG peut revendre les données que la société collecte « Nous recueillons des données non personnelles pour faire de l’argent via nos offres gratuites afin que nous puissions les garder gratuites » [We collect non-personal data to make money from our free offerings so we can keep them free].

Après Windows 10, AVG est une nouvelle entreprise à jouer totale transparence sur les informations quelle collecte : informations sur les applications installées dans votre machine; la façon dont ces applications sont utilisées; l’identifiant publicitaire qui vous est associé; votre navigation et votre historique, y compris les métadonnées; le type de connexion Internet que vous utilisez pour vous connecter.

Cette nouvelle politique entrera en vigueur à partir du 15 octobre 2015. A noter que la page française de la « Politique de Confidentialité » d’AVG n’a pas été modifiée.

Mise à jour : AVG souhaite clarifier la situation et apporter plus de précisions sur ce sujet, via un billet posté sur le blog de la société. A la suite de notre article, l’éditeur a fait une petite marche arrière et a précisé, dans un nouveau post, la méthode pour « Comprendre la nouvelle politique de confidentialité de AVG« . L’éditeur explique que sa politique de confidentialité a été effectuée via la « mise en place d’une page, facile à lire, de la politique de confidentialité pour nos clients. Elle donne l’information dont ils ont besoin, plutôt qu’un long document, légalement écrit, est difficile à comprendre. » Le document indique aujourd’hui que « Lors de la création de notre nouveau format de cette politique, nous avons décidé que nos clients devaient avoir la possibilité de choisir, si oui ou non, ils souhaitaient participer à notre programme de collecte de données anonymisées« . Changement de ton, donc. « Exit » la ligne qui indiquait clairement que les données seraient revendues pour permettre à la version gratuite d’AVG de perdurer. Dorénavant, la collecte est une option « et nous pouvons confirmer qu’aucun partage des données ne se passera jusqu’à ce que nos clients soient en mesure de faire ce choix« . Bref, l’utilisateur de l’outil gratuit pourra accepter, ou non, de fournir ses données.

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fraude au président, Fuite de données, Mise à jour, Paiement en ligne, Patch, Propriété Industrielle

Pourquoi il est vital de développer une culture de sécurité numérique en entreprise

Au moment où les décideurs prennent conscience de l’importance vitale du développement d’une culture sécurité, il est indispensable de travailler sur une approche verticale de la sensibilisation. Par Michel Gérard, DG de Conscio Technologies

La plupart des outils utilisés pour la mise en œuvre de campagnes en ligne, que sont les intranets ou les « learning management systems » ne permettent clairement pas de travailler comme il faut dans l’objectif du développement d’une culture de sécurité numérique. D’après une étude de PWC, les entreprises qui développent cette culture font une économie de 72% sur le coût des incidents de sécurité !

Une approche verticale de la sensibilisation permet un travail sur les trois aspects de la sensibilisation : sensibilité au sujet, connaissance et compréhension des enjeux et des bonnes pratiques, comportements réellement adoptés. Tout en s’adaptant aux spécificités du monde de l’entreprise.

Un public interne hétérogène
Hétérogène en âge, en sexe, en métier, en culture, en langue… La stratégie de sensibilisation doit donc tenir compte de cette homogénéité en diversifiant le contenu en fonction des profils.

Une communication à adapter
Les salariés n’attendent pas le lancement d’une campagne comme celui de la prochaine saison de « Games of Thrones ». Il est donc impossible de se contenter de mettre à disposition un contenu de référence et ensuite d’attendre que les collaborateurs viennent par eux même. La solution utilisée doit donc permettre de lancer des invitations et de programmer des relances, voire de communiquer et de commenter le déroulement de la campagne sur toute sa durée.

Doser et cadencer l’information
Vouloir faire ingurgiter en une seule fois tout un corpus de connaissances et de règles peut s’avérer contre productif. L’expérience nous a montré qu’il était bien plus efficace de mettre à disposition des contenus plutôt courts mais de façon répétée. N’oublions pas non plus l’effet de halo qui veut que lorsqu’on parle de certains thèmes de cybersécurité, on sensibilise globalement les salariés au sujet dans son ensemble.

Placer le contenu au cœur de la sensibilisation
Le contenu de la campagne est au coeur du succès de l’opération de sensibilisation. Il est donc important de pouvoir disposer de contenus génériques que l’on peut amender et enrichir en fonction de la politique de sécurité bien sûr mais aussi en fonction de l’environnement, et des particularités de la population cible. L’actualité étant telle sur ces sujets qu’il peut être nécessaire de réagir au plus vite. Là encore, la solution choisie doit permettre les modifications des contenus proposés et la possibilité de les mettre à jour de façon permanente.

Réduire le coût de incidents de sécurité
D’après une étude de PWC, les entreprises qui développent cette culture fond une économie de 72% sur le coût des incidents de sécurité. Il est donc important de mesurer l’impact de ce que l’on fait ainsi que le chemin parcouru.

En conclusion, les derniers incidents de sécurité les plus graves subis par les entreprises dans le monde le démontrent, il est absolument vital de développer une culture de sécurité numérique dans nos organisations. Cette tâche doit être prise très au sérieux dans les entreprises et les objectifs fixés doivent être précis. On ne doit pas se résoudre à une seule obligation de moyens. Les résultats doivent être au rendez-vous. Pour cela il faut en revanche se donner les bons moyens.

A noter que l’équipe de Data Security Breach propose des ateliers de sensibilisations à la sécurité informatique en entreprise, associations, territoriales, … n’hésitez pas à nous contacter.

backdoor, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Leak, Paiement en ligne, Piratage, Propriété Industrielle

Le vol d’identité, en tête des avidités pirates

Les vols d’identité arrivent en tête de la cybercriminalité, avec 53 % des failles de données enregistrées, selon une étude de Gemalto.

Gemalto, spécialiste des solutions de sécurité informatique, vient de publier les résultats de l’étude Breach Level Index pour le premier semestre 2015. L’étude fait apparaître 888 failles de données signalées au cours de cette période, compromettant ainsi 246 millions d’enregistrements de données dans le monde.

Les failles de sécurité ont augmenté de 10 % par rapport au premier semestre de l’année précédente, alors que le nombre d’enregistrements de données compromis diminuait de 41 % au cours des six premiers mois. Cette nette amélioration peut être attribuée à la diminution du nombre de méga-failles à très grande échelle ayant touché le commerce de détail et la distribution, comparativement à la même période de l’année écoulée.

Malgré la diminution du nombre de données compromises, les failles les plus importantes ont touché des volumes considérables d’informations personnelles. L’incident le plus important constaté au cours du premier semestre – niveau 10 sur l’échelle de gravité du Breach Level Index –, a concerné un vol d’identité dont a été victime l’assureur-santé Anthem Insurance aux États-Unis, qui a impacté 78,8 millions de fichiers, soit le tiers (32 %) de l’ensemble des fichiers de données volés au cours du premier semestre. Parmi les autres failles notables recensées au cours de la période d’analyse, il faut citer une attaque touchant 21 millions de fichiers de l’US Office of Personnel Management (9,7 sur l’échelle BLI) ; une attaque touchant 50 millions de fichiers de la Direction générale de la population et des affaires de la citoyenneté en Turquie (9,3 sur l’échelle BLI) ; et une défaillance affectant 20 millions de fichiers du site de rencontre russe Top Face (9,2 sur l’échelle BLI). Les dix principales cyber-attaques ont représenté 81,4 % de l’ensemble des fichiers compromis.

« Nous sommes obligés de constater le fort retour sur investissement des attaques sophistiquées que mènent les pirates, qui affectent des volumes considérables de données. Les cybercriminels continuent de s’approprier, la majeure partie du temps en toute impunité, des jeux de données extrêmement précieux. A titre d’exemple, les failles qui ont touché le secteur de la santé au cours du premier semestre leur ont permis de recueillir en moyenne plus de 450 000 fichiers de données, soit une augmentation de 200 % par rapport à la même période de 2014 », explique Jason Hart, vice-président et directeur de la technologie, en charge du pôle protection des données chez Gemalto.

Incidents par source
Le nombre d’attaques conduites à l’instigation ou avec la bénédiction d’un État ou d’un service gouvernemental n’ont représenté que 2 % de l’ensemble des incidents enregistrés. Le nombre de fichiers affectés par ces épisodes représente toutefois 41 % de l’ensemble des fichiers compromis, en raison notamment de l’attaque ayant ciblé Anthem Insurance et l’US Office of Personnel Management. Alors qu’aucune des dix principales failles enregistrées au premier semestre 2014 n’était le résultat d’une action soutenue par un État, trois des principaux incidents recensés cette année ont été menés à l’instigation de services gouvernementaux – et notamment les deux premiers en termes de sévérité.

Les intrusions malveillantes menées à titre individuel ont cependant été la principale cause des failles de données enregistrées au premier semestre 2015, représentant 546 ou 62 % des attaques informatiques, contre 465 ou 58 % au premier semestre de l’année écoulée. 116 millions (soit 46 %) des fichiers affectés globalement l’ont été en raison d’intrusions malveillantes, ce qui constitue un net recul sur les 298 millions d’incidents (71,8 %) répertoriés en 2014.

Incidents par type
Le vol d’identité demeure, au premier semestre, la principale cible des cybercriminels, représentant 75 % de tous les fichiers affectés, et un peu plus de la moitié (53 %) des failles de données enregistrées. Cinq des dix principales failles, y compris les trois premières – toutes trois classées au niveau « catastrophique » sur l’échelle BLI –, ont porté sur des vols d’identité, contre sept sur dix au cours du premier semestre 2014.

Incidents par secteur
De tous les domaines d’activité recensés, les secteurs gouvernementaux et de la santé ont payé le plus lourd tribut à la cybercriminalité, puisqu’ils représentent environ les deux tiers (31 % et 34 % respectivement) des fichiers de données compromis. La santé ne représente toutefois que 21 % des atteintes informatiques enregistrées cette année, contre 29 % au cours du premier semestre de l’année précédente. Le secteur du commerce de détail et de la distribution connaît une nette diminution du nombre de fichiers volés, représentant seulement 4 %, contre 38 % au cours de la même période de l’année écoulée. En termes de localisation géographique, les États-Unis sont le pays le plus touché, avec plus des trois quarts (76 %) des failles de données enregistrées, et près de la moitié (49 %) de l’ensemble des fichiers affectés par des attaques. La Turquie représente 26 % des compromissions de données, avec notamment une attaque massive ciblant la Direction générale de la population et des affaires de la citoyenneté, au cours de laquelle quelque 50 millions de fichiers numériques ont été forcés dans le cadre d’une intrusion malveillante.

Le niveau de chiffrement utilisé pour protéger les données exposées – capable de réduire considérablement le nombre et l’impact des failles de données –, a légèrement augmenté et se situe à 4 % pour toutes les attaques enregistrées, contre 1 % au cours du premier semestre 2014.

« Malgré la fluctuation du nombre de failles de données, la question reste la même : il ne s’agit pas de savoir ‘si’ vous allez être victime d’un vol de données, mais ‘quand’. Les données collectées dans le cadre de l’étude Breach Level Index montrent que la majeure partie des sociétés ne sont pas en mesure de protéger leurs données dès lors que leur défense périmétrique a été mise à mal. Alors même qu’un nombre croissant d’entreprises procèdent à un chiffrement de leurs données, elles ne le font pas au niveau requis pour réduire l’ampleur et la gravité de ces attaques », explique Jason Hart. « Les entreprises doivent adopter une vision de la menace numérique centrée sur les données, à commencer par l’instauration de techniques de gestion des identités et de contrôle d’accès beaucoup plus efficaces, qu’il s’agisse de procédures d’authentification multifactorielle ou du chiffrement des données, pour rendre inutilisables les informations dérobées. »

Selon le cabinet Forrester, l’habileté et la sophistication croissantes des cybercriminels se traduisent par une érosion de l’efficacité des contrôles et techniques de sécurité classiques, essentiellement basées sur un contrôle périphérique. La mutation constante du paysage de la cybercriminalité nécessite donc de nouvelles mesures défensives, avec notamment la généralisation des technologies de chiffrement. Dans l’avenir, les sociétés procéderont par défaut à un chiffrement dynamique de leurs données, mais aussi lorsque leurs systèmes et leurs données seront au repos. Cette approche de la sécurité centrée sur les données s’avère beaucoup plus efficace pour lutter contre des cybercriminels déterminés. En adoptant le chiffrement des données sensibles, qui les rend inutilisables, les sociétés incitent les cybercriminels à aller chercher des cibles beaucoup moins bien protégées. Le chiffrement est appelé à devenir la clé de voûte de la sécurité informatique. Ce sera donc un élément stratégique central pour les responsables de la sécurité et de la gestion des risques au sein des entreprises.1

La synthèse complète des incidents et failles répertoriés au premier semestre 2015, par secteur, source, type et région, est disponible sur : 1H 2015 Breach Level Index Report.

Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Leak, Piratage, Propriété Industrielle

Opération et gestion des crises en cyber défense à Saint-Cyr Coëtquidan

Les écoles militaires de Saint-Cyr Coëtquidan viennent d’ouvrir, ce 31 août, le premier mastère spécialisé « Opération et gestion des crises en cyber défense ».

Le Ministère de la Défense indique que cette toute nouvelle formation a pour but d’appréhender les dimensions stratégiques et politiques d’une crise cyber. « Ce nouvel espace de bataille numérique nécessite une approche globale pour planifier et conduire les opérations tout en appréhendant les dimensions stratégiques et politiques d’une crise cyber« . Unique en son genre et accrédité par la conférence des grandes écoles, un mastère spécialisé « Opération et gestion des crises en cyber défense », doit permettre aux armées de disposer de spécialistes capables d’être l’interface entre les techniciens cyber et les chefs militaires.

Cette formation est inscrite dans le pacte cyber 2014-2016. 532 heures de formation pour 16 stagiaires des 3 armes. Au mois de juillet 2016, après un stage de quatre mois en entreprise ou dans leur future affectation, chaque étudiant rédigera un mémoire professionnel. A noter que pour les « civiles », un master cyber défense vient d’ouvrir ses portes à Valenciennes. Il est baptisé Master CDSI – Cyberdéfense des Systèmes d’Informations. Un licence, sur ce même sujet, est dispensé à l’IUT de Maubeuge : Licence Professionnelle Cyber défense, anti-intrusion des systèmes d’information. (MinDéf)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Social engineering

L’importance d’identifier ses données sensibles

Une récente étude conduite par le Ponemon Institute révèle que 64% des professionnels de l’IT déclarent que leur principal défi en matière de sécurité est de ne pas savoir où se trouvent les données sensibles de leur organisation sur site et dans le cloud. Ils estiment en effet que cette tâche est d’autant plus difficile qu’ils ne sont pas non plus en mesure de déterminer si ces données sont vulnérables à une attaque ou une faille de sécurité. Par Jean-François Pruvot, Regional Director France chez CyberArk pour DataSecurityBreach.fr.

La gestion et la sécurisation efficaces des données sensibles passent par la mise en place de comptes administratifs ou individuels privilégiés pour surveiller et contrôler les accès – quel que soit l’emplacement des données. En effet, les organisations possèdent en moyenne trois à quatre fois plus de comptes à hauts pouvoirs que d’utilisateurs, ce qui rend les comptes à privilèges plus compliqués à gérer et à identifier. Ces derniers sont souvent utilisés par des cyber attaquants pour gagner l’accès au réseau d’une organisation et attaquer insidieusement le cœur de l’entreprise en visant les données et systèmes sensibles. Les hackers se déplacent latéralement à l’intérieur de l’entreprise tout en élevant les privilèges leur donnant accès à l’ensemble du réseau, et peuvent rester virtuellement non détectés pendant de très longues périodes.

Par conséquent, si la majorité des équipes IT ne parviennent pas à tracer les mouvements de leurs données, et n’ont pas non plus suffisamment de visibilité sur les comptes administrateurs permettant d’y accéder, il est indispensable de mettre en place les outils nécessaires pour identifier rapidement les personnes ou machines qui accèdent aux données sensibles – et l’utilisation qui en est faite – pour protéger et renforcer l’efficacité des stratégies de sécurité. « Le fait que 64% des professionnels de l’IT ne pensent pas être capables d’identifier l’emplacement des données sensibles de leur organisation démontre des faiblesses dans les systèmes de protection. Un tel constat confirme la nécessité de sensibiliser les organisations sur le renforcement des mesures de contrôle pour sécuriser l’accès aux données et adhérer à des politiques de sécurité strictes. Avant d’envisager le déploiement de solutions de sécurité, il est essentiel de mettre en place une stratégie dédiée à la gestion de ces données – et en particulier des solutions permettant de mieux gérer, surveiller et contrôler les accès. Que ce soit sur site ou dans le cloud, les entreprises doivent savoir ce qu’elles sécurisent à tout moment et quelles que soient les actions en cours sur les infrastructures afin de protéger ce que de potentiels hackers peuvent dérober. »

Un programme stratégique de sécurisation des comptes à privilèges commence par l’identification de l’emplacement des comptes à hauts pouvoirs et identifiants associés. Sont inclus les comptes administrateurs des machines et postes de travail de l’entreprise, ainsi que les identifiants qui permettent la communication entre applications et entre machines. Les organisations doivent mettre en place les fondements de base de la sécurité incluant des patchs, la mise à jour régulière des systèmes et la rotation fréquente des mots de passe. Sans une vigilance accrue de leur gestion, une personne extérieure, ou un employé n’étant pas censé intervenir sur ces comptes dans le cadre de ses fonctions, pourrait accéder aux données de l’entreprise et en compromettre la sécurité de manière accidentelle ou malveillante.

Ainsi, afin de réduire au maximum les risques de vol ou de pertes de données, l’identification et la cartographie des données est indispensable pour élaborer une stratégie de sécurité parfaitement adaptée aux contraintes de sécurité liées à l’accès au réseau des organisations, et particulièrement dans les environnements virtualisés. Par conséquent, de même qu’on règle son rétroviseur et qu’on attache sa ceinture avant de prendre le volant, les organisations doivent avoir une visibilité complète de leurs données, de leur emplacement et contrôler qui accède aux informations où et quand, afin de les sécuriser de la manière la plus adaptée ; elles peuvent ainsi se prémunir contre les attaques et les infiltrations insidieuses dans leurs systèmes, que les données soient stockées sur site ou dans le cloud.

Banque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données

Les employés en vacances posent-ils un risque pour la sécurité des données d’entreprise ?

Beaucoup d’employés ont du mal à déconnecter pendant leurs congés. En dehors des accès via des connexions parfois non protégées, la perte ou le vol d’un terminal peuvent porter préjudice à la sécurité des données de l’entreprise. Comment en optimiser la protection ? Par Xavier Dreux, Responsable Marketing chez Prim’X

Comme DataSecurityBreach.fr vous le prouvait en 2013, un trop grand nombre d’employés utilisent encore de trop leurs données professionnelles durant leurs vacances. Nous sommes au milieu des congés estivaux et comme chaque année beaucoup de dirigeants et cadre d’entreprises ont du mal à déconnecter. Certains continueront à se connecter à distance à leur messagerie et ou aux serveurs de leur entreprise, d’autres emmèneront tout simplement leur portable sur leur lieu de vacances « au cas où » sans penser ou en sous-estimant les conséquences que cela peut avoir pour la sécurité des données de leur entreprise. Plusieurs solutions s’offrent néanmoins à l’entreprise pour garantir la protection de ses données.

Les fondamentaux

Premièrement, il peut paraître utile de rappeler aux employés et notamment aux cadres que les vacances servent à déconnecter et à se couper avec le stress du quotidien pendant plusieurs jours. En effet, si l’on en croit les résultats d’une étude menée par Roambi et Zebaz, 93% des cadres dirigeants français consultent leurs données professionnelles durant leurs vacances.

Il paraît plus que pertinent d’un point de vue gestion des ressources humaines de transmettre les fondamentaux et d’inciter les employés à gérer leur absence avec les collègues qui resteront présents. Faire une passation de dossiers et prévoir un « testament » avec les points à suivre et les coordonnées des personnes capables d’apporter un soutient en cas d’urgence est déjà un bon début pour partir serein et couper le cordon. Certaines entreprises commencent également à prendre des mesures drastiques d’un point de vue technique en coupant tout simplement les accès des employés pendant la durée de leur absence.

Sensibiliser aux risques

Nous le rappelons constamment chez DataSecuritybreach.fr, le maillon faible de la sécurité c’est l’humain. La sensibilisation doit être renouvelée régulièrement pour être efficace. La période estivale est une excellente opportunité pour transmettre aux salariés une note rappelant quelques-uns des principes de base et les mesures clés pour assurer la sécurité de ses données lorsque l’on est en dehors de l’entreprise.

On peut ainsi souligner les différents risques qui peuvent porter préjudice aux données de l’entreprise : s’assurer que l’on tape le mot de passe de son terminal à l’abri des regard, que la connexion utilisée est sécurisée, ne pas laisser ses terminaux sans surveillance ou les mettre sous clé, etc. Plusieurs actualités ont récemment rappelé les risques liés à l’utilisation des hotspots WiFi publics (gares, aéroports, hôtels, lieux de restauration).

En mars, c’est le magazine Wired qui révélait les risques de sécurité liés à un problème de sécurité des routeurs WiFi utilisés par 8 des 10 plus grandes chaines hôtelières au niveau mondial. En avril, c’est une étude d’Avast Software qui soulignait que 66% des français préfèrent se connecter au Wi-Fi public non sécurisé au risque de perdre leurs données personnelles. Quand on sait que nombre d’employés accèdent à leur messagerie sur le terminal personnel, le risque n’est pas anodin.

Bien entendu les risques de pertes et ou de vols du terminal viennent s’ajouter à celui des connexions. Il est donc opportun de rappeler qu’il faut impérativement protéger son terminal avec un mot de passe adéquat et s’assurer que celui-ci soit à l’abri lorsque vous devez vous en séparer lorsque l’on va à la plage par exemple (coffre fort de chambre, consigne d’hôtel, proches, etc.). Qu’une connexion ne peut se faire sans VPN.

Dans le cadre des meilleures pratiques, c’est à l’entreprise de mettre à disposition de ses salariés et dirigeants des moyens pour protéger leurs terminaux et sécuriser les échanges de données. Sans ce type d’outils, l’employé sera tenté de passer outre les règles de sécurité ou bien de mettre en œuvre des solutions de protection par ses propres moyens, sous réserve qu’il ait été sensibilisé aux problématiques de sécurité. Aucune de ces solutions n’est souhaitable. L’entreprise doit conserver la responsabilité de la sécurité L’important n’est pas uniquement de rester opérationnels mais surtout de ne pas mettre en péril l’entreprise et son patrimoine informationnel. Et comme nous l’avons vu, il existe aujourd’hui plusieurs moyens simples de protéger les données présentes sur un terminal emmené en congé par les professionnels.

Dernier point, savoir se déconnecter pendant ses vacances, une vraie preuve de professionnalisme !