Archives de catégorie : Fuite de données

Communiqué de presse, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Social engineering

L’humain, maillon faible de la cybersécurité

« Le Facteur Humain 2017 » indique que les cybercriminels se reposent de plus en plus sur l’humain plutôt que sur les failles logicielles pour installer des programmes malveillants, dérober des informations confidentielles et transférer des fonds.

Pas vraiment une nouveauté, le piratage informatique s’est toujours d’abord reposé sur le facteur humain. Le social engineering en est une preuve. Dans son rapport, Proofpoint spécialiste en sécurité et conformité, a interrogé plus de 5000 entreprises en 2016. Bilan, les indicateurs sur les attaques par le biais des emails, mobiles et réseaux sociaux, donne une tendance des clients de cette société.

« Cette tendance d’exploitation du facteur humain, qui a vu le jour en 2015, s’accélère, et les cybercriminels multiplient désormais les attaques générées par les clics des utilisateurs plutôt que par des logiciels d’exploitation vulnérables, conduisant ainsi les victimes à exécuter elles-mêmes les attaques », a déclaré Kevin Epstein, Vice-Président du centre d’opération des menaces de Proofpoint. « Il est essentiel que les entreprises mettent en place une protection avancée pour arrêter les cybercriminels avant qu’ils puissent atteindre leurs potentielles victimes. La détection anticipée des contenus malveillants dans la chaîne d’attaques permettra de les bloquer, de les canaliser et de les supprimer plus facilement. »

  • Les messages d’attaques BEC (Business Email Compromise – attaques de la messagerie d’entreprise) relatifs aux emails contenant des chevaux de Troie bancaires sont passés de 1 % en 2015 à 42 % fin 2016. Les attaques BEC ont coûté plus de 5 milliards de dollars aux entreprises dans le monde. Elles utilisent des messages sans malware, incitant les destinataires à envoyer des informations confidentielles ou à transférer des fonds aux cybercriminels. Ce type d’attaque affiche la croissance la plus rapide.
  • Près de 90 % des clics sur des URL malveillantes ont lieu dans un délai de 24 heures après la remise de l’email. 25 % de ces clics se produisent en seulement 10 minutes et près de 50 % en une heure. Le temps de clic moyen (le temps passé entre l’arrivée de l’email et le clic) est plus court pendant les heures de travail, soit entre 8h00 et 15h00.
  • Plus de 90 % des emails contenant des URL frauduleuses redirigent les utilisateurs vers des pages de phishing (hameçonnage). 99 % des attaques à la fraude financière par email sont provoquées par les clics humains plutôt que par des logiciels d’exploitation automatisés visant à infecter les systèmes. Les messages de phishing destinés à dérober les identifiants Apple ont été les plus envoyés, mais les liens de phishing Google Drive sont ceux ayant reçu le plus de clics.
  • La moitié des clics sur des URL malveillantes est effectuée à partir de terminaux ne relevant pas de la gestion des postes de travail de l’entreprise. 42 % des clics sur des URL frauduleuses ont été effectués depuis des terminaux mobiles, doublant ainsi le taux, longtemps maintenu à 20 %. De plus, 8 % des clics sont effectués sur des versions potentiellement vulnérables de Windows, pour lesquelles les correctifs de sécurité ne sont plus disponibles.
  • Le phishing des comptes de réseaux sociaux a augmenté de 150 % en 2016. Au cours de ces attaques, les cybercriminels créent un compte sur un réseau social imitant celui d’un service client d’une marque de confiance. Lorsqu’une personne demande de l’aide à une entreprise par le biais d’un tweet par exemple, le cybercriminel intervient.
  • Surveillez de près votre boîte de réception le jeudi. On observe un pic de croissance de plus de 38 % du nombre de pièces jointes frauduleuses le jeudi, par rapport au volume moyen en semaine. Les hackers utilisant des ransomwares (rançongiciels) privilégient l’envoi de messages malveillants entre le mardi et le jeudi. D’autre part, on observe un pic pour les chevaux de Troie bancaires le mercredi. Les campagnes sur les points de vente (PDV) sont envoyées presque exclusivement le jeudi et le vendredi, tandis que les keyloggers et les backdoors préfèrent le lundi.
  • En adéquation avec les habitudes des usagers, les cybercriminels envoient la plupart des emails dans un délai de 4 à 5 heures après le début de la journée de travail, provoquant ainsi un pic d’activité à l’heure du déjeuner. C’est au cours de cette période que les utilisateurs américains, canadiens et australiens ont tendance à cliquer, tandis que les clics français ont lieu aux alentours de 13 heures. Les utilisateurs suisses et allemands n’attendant pas l’heure du déjeuner pour cliquer; on observe un pic de clics dès les premières heures de travail. Le rythme des clics au Royaume-Uni est régulier au cours de la journée, avec une nette baisse après 14 heures.

Pour télécharger le rapport « Le Facteur Humain2017 » de Proofpoint, rendez-vous sur le site https://www.proofpoint.com/fr/resources/white-papers/human-factor-report

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Piratage

Fireball, un malware aux 250 millions d’ordinateurs piégés

Fireball : une opération d’infiltration qui aurait infecté plus de 250 millions d’ordinateurs dans le monde et 20% des réseaux d’entreprises.

Le logiciel malveillant, appelé Fireball, agit comme un navigateur mais peut être transformé en un logiciel de téléchargement de logiciels malveillants. Fireball est capable d’exécuter n’importe quel code sur les machines victimes, ce qui entraîne une large gamme d’actions : voler des informations, suppression de logiciels, … Les principaux pays infectés sont l’Inde (10,1%) et le Brésil (9,6%).

Fireball, ennemi de masse 

Du piratage informatique de masse ! La portée de la distribution de logiciels malveillants est alarmante. Selon l’analyse, plus de 250 millions d’ordinateurs dans le monde ont été infectés: en particulier, 25,3 millions d’infections en Inde (10,1%), 24,1 millions au Brésil (9,6%), 16,1 millions au Mexique (6,4%) et 13,1 millions en Indonésie ( 5,2%). Les États-Unis, 5,5 millions d’infections (2,2%).

Basé sur ses capteurs, Check Point affiche que 20% de tous les réseaux d’entreprises sont affectés. Les taux de succès aux États-Unis (10,7%) et en Chine (4,7%) sont alarmants, mais l’Indonésie (60%), l’Inde (43%) et le Brésil (38%) ont des taux beaucoup plus graves.

Un autre indicateur du taux d’infection incroyablement élevé est la popularité des faux moteurs de recherche de Rafotech, la société derrière cette infiltration. Selon les données de trafic Web d’Alexa, 14 de ces faux moteurs de recherche figurent parmi les 10 meilleurs sites Web, dont certains arrivent occasionnellement aux 1000 premiers.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Patch

Règlement eiDAS, 2017 année charniére

Règlement eiDAS : 2017, une année charnière pour l’identification et la confiance numérique.

Grâce au règlement eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques), l’Union européenne se distingue comme la première région mondiale à disposer d’un cadre juridique pour les transactions numériques transnationales visant à renforcer la confiance des échanges électroniques. Cela constitue un défi autant qu’une promesse dans un marché qui rassemble plus de 500 millions d’habitants. La mise en place de l’eIDAS, qui a débuté en 2015 avec une phase d’accompagnement et de précision des modalités d’application de ce règlement, s’échelonnera sur une période de 5 ans.

2017 sera une année charnière, marquée par les premières notifications des schémas d’identités numériques par des Etats membres au sein de l’Union européenne. C’est aussi une année importante pour le développement des services de confiance numérique qualifiés en Europe, le régime de transition cessant dès juillet prochain.

Un des aspects les plus novateurs et aussi des plus attendus du règlement est la possibilité d’accéder à de nombreux services presque partout en Europe, avec la même identité numérique nationale, qu’elle soit publique ou privée à condition que celle-ci soit officialisée par les autorités du pays où elle est actuellement utilisée. Les entreprises pourront également bénéficier de règles communes pour la reconnaissance mutuelle des signatures électroniques, des cachets ou des certificats numériques en s’appuyant sur un réseau de prestataires de confiance qualifiés, permettant de réduire les barrières aux transactions numériques et d’augmenter l’adoption de nouveaux services à travers les frontières.

Le Règlement de la confiance numérique, eIDAS introduit ainsi des bénéfices et des avancées sur le plan national pour presque tous les Etats membres. Un point important car la volumétrie des échanges numérique à l’intérieur des Etats reste pour l’instant largement supérieure à celle des flux transfrontières de l’UE. Concrètement, le dialogue initié par les acteurs économiques nationaux pour s’adapter aux exigences du règlement peut amener des améliorations significatives en particulier dans 4 domaines :

  1. 1.   1. Le renforcement d’une identité numérique nationale pour pouvoir s’authentifier avec fiabilité et signer numériquement
  1.  2. La modernisation de l’architecture des échanges numériques
  1. 3.  3.L’accélération du déploiement des services numériques utilisables. Cette démarche peut aussi favoriser une meilleure complémentarité et des synergies dans l’usage des infrastructures numériques entre secteur public et privé.
  1. 4.  4. La mise en place des signes de reconnaissance d’une confiance qualifiée assurant une garantie pour des échanges électroniques formels, caractéristique essentielle pour que les utilisateurs tirent pleinement avantage des services proposés.

Les citoyens et résidents pourront maintenant bénéficier de la reconnaissance aisée du nouveau label européen de confiance, instauré par le règlement dans le but de signaler les prestataires de services qualifiés. Ce label augmente la transparence du marché et apporte une présomption de valeur légale permettant de s’assurer de la sécurité maximale juridique et technique des échanges réalisés ou des services utilisés.

Les entreprises devront donc disposer de solutions compatibles avec le règlement eIDAS et les actes d’implémentation qui en découlent, afin de se mettre en conformité et ainsi bénéficier de solutions éprouvées.

Si vous souhaitez approfondir le sujet, vous trouverez ci-dessous le communiqué complet proposé par Gemalto : Règlement eIDAS : 2017 l’année charnière pour l’identification numérique

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Piratage, RGPD, Sauvegarde

RADWARE’S HACKERS CHALLENGE 2017

RADWARE’S HACKERS CHALLENGE 2017 : Radware’s et CISCO organisent un ethical hacking challenge. A gagner, entre autres, un voyage tout frais payé à au Black Hat Europe 2017.

Vouloir découvrir la sécurité informatique par le biais d’un concours, voilà une idée qui fait son chemin. Vous avez envie de vous tester à la sécurité informatique, vous avez envie d’accrocher à votre CV un concours d’ethical hacking ? Le RADWARE’S HACKERS CHALLENGE 2017, organisé par Radware’s et CiSCO, est fait pour vous. Il se déroulera le mardi 20 juin 2017 au Karé à Boulogne-Billancourt. Inscription et participation gratuite. Il est même possible de venir en simple spectacteur. ZATAZ.COM propose de découvrir les règles du jeu et le scénario.

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Sécurité informatique : six Faiblesses dans les installations Industrielles

FireEye annonce avoir identifié six faiblesses majeures que des individus mal intentionnés peuvent utiliser pour saboter le fonctionnement d’installations industrielles. Les entreprises industrielles telles que les fournisseurs d’électricité, les compagnies pétrolières et les industries lourdes investissent lourdement dans des systèmes de contrôle industriels (ICS) pour faire fonctionner des processus industriels de façon efficace, fiable et sûre. Sans les technologies présentes dans leurs usines, leur activité n’existerait pas. Mais les administrateurs, les dirigeants et les responsables de la sécurité n’ont souvent pas conscience que les technologies qui gèrent le moteur économique de leurs entreprises sont perméables à des attaques non détectées.

Protocoles non authentifiés : Lorsqu’un protocole ICS n’est pas authentifié, n’importe quel ordinateur sur le réseau peut envoyer des commandes qui altèrent les processus industriels. Ceci peut mener à des processus incorrects, endommageant des biens, détruisant des équipements, blessant du personnel ou dégradant l’environnement. Matériels obsolètes: Les matériels des systèmes de contrôle peuvent être opérationnels depuis des décennies. Ils peuvent fonctionner de façon trop simpliste ou ne pas disposer de la puissance de traitement et de la capacité mémoire nécessaires pour gérer l’environnement de menaces qui caractérise les technologies  réseau d’aujourd’hui. Authentification des utilisateurs trop faible : Les faiblesses en matière d’authentification des utilisateurs dans les systèmes de contrôle traditionnels comprennent souvent des mots de passe statiques programmés en dur, des mots de passe faciles à craquer, des mots de passe stockés dans des formats facilement récupérables, et des mots de passe envoyés en clair. Un attaquant qui obtient ces mots de passe peut souvent interagir à sa guise avec les processus sous contrôle. Contrôles insuffisants de l’intégrité des fichiers : L’absence de ‘software signing’ permet aux attaquants d’abuser les utilisateurs, qui installent à leur insu des logiciels qui ne proviennent pas de leur fournisseur légitime. Elle permet aussi aux attaquants de remplacer des fichiers légitimes par des fichiers malicieux. Systèmes d’exploitation Windows vulnérables : Beaucoup de systèmes industriels fonctionnent souvent sous des systèmes d’exploitation Windows non patchés, ce qui les expose à des vulnérabilités connues. Relations avec des tiers (fournisseurs, partenaires…) peu ou mal documentées : Beaucoup de fournisseurs de systèmes de contrôle industriels peuvent ne pas connaître parfaitement les composants utilisés par des tiers, ce qui rend difficile pour eux d’informer leurs propres usagers des vulnérabilités sous-jacentes. Des assaillants au courant de ce manque d’information peuvent cibler un logiciel que l’industriel n’a même pas conscience d’utiliser.

Installations industrielles

Les sites industriels dépendent de plus en plus de systèmes connectés et de capteurs pour assurer leur bon fonctionnement, mais la cyber sécurité sur la plupart de ces sites n’est pas du tout ce qu’elle devrait être. Une compréhension claire des faiblesses communes aux environnements industriels aide les dirigeants et les responsables informatiques à aborder le sujet de la sécurité en toute connaissance de cause, à se poser les bonnes questions, et à investir à bon escient” déclare Sean McBride, Attack Synthesis Lead Analyst chez FireEye.

 

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT

Transfert de contenu sécurisé

LockSelf, expert dans le domaine de la cybersécurité, présente LockTransfer, une solution de transfert de contenu sécurisé.

A l’heure actuelle, tous les types de sociétés sont sujets à des cyberattaques. Les entreprises ont réalisé un travail colossal pour protéger leurs serveurs et toutes les voies d’accès externes à leur entreprise. C’est pourquoi les hackers ont décidé d’attaquer le cœur même des sociétés : les employés. Le meilleur moyen pour cela est de jouer sur la faille humaine et donc sur le facteur humain pour pénétrer et pirater les données sensibles. En amont de la loi 2018, LockSelf prend de l’avance et propose une solution en parfaite adéquation avec la future réglementation.

Transfert de contenu sécurisé
LockTransfer est une solution qui paramètre tous les documents depuis n’importe quel type de support. L’envoi, chiffré avec un mot de passe spécifique, va bénéficier de la meilleure politique de sauvegarde et de protection possible. De plus, grâce au plugin Microsoft Outlook, l’utilisateur a la possibilité de joindre des fichiers à ses collaborateurs de façon sécurisée au sein même de l’email.

La solution LockTransfer va alors vous permettre de stocker vos fichiers partagés dans l’environnement LockSelf en fonction de votre organisation ; partager de manière sécurisée vos fichiers depuis n’importe quel support (smartphone, tablette, ordinateur) et d’envoyer vos fichiers directement depuis votre messagerie via un plugin sécurisé et contrôler et de tracer l’utilisation de vos fichier partagés grâce à un système d’historisation précis et détaillé. LockTransfer va vous permettre de mettre en place un paramétrage instantané du niveau de sécurité en fonction de la criticité du fichier.

backdoor, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Du matériel IBM infiltré par un code malveillant dès l’usine

Un outil pirate découvert dans du materiel IBM destiné à certains serveurs du géant de l’informatique. Une fois branchée, elle télécharge un logiciel d’espionnage.

Ambiance espionnage numérique dans les bureaux d’IBM. Le géant de l’informatique vient d’alerter ses clients que des clés USB fournies avec les systèmes IBM Storwize V3500, V3700 et V5000 Gen 1 contiennent un fichier qui a été infecté par un code malveillant. Ni les systèmes de stockage IBM Storwize, ni les données stockées sur ces systèmes ne sont infectés par ce code malveillant. En attendant, dès qu’elle est connectée cette clé USB télécharge un cheval de Troie, un logiciel d’espionnage.

Lorsque l’outil d’initialisation est lancé depuis le lecteur flash USB, ce dropper (logiciel qui va télécharger un autre programme, NDR) se reproduit dans un dossier temporaire sur le disque dur du bureau ou de l’ordinateur portable en fonctionnement normal. Avec cette étape, le fichier malveillant est copié avec l’outil d’initialisation vers le dossier temporaire suivant:

Sur les systèmes Windows:% TMP% \ initTool
Sur les systèmes Linux et Mac: / tmp / initTool

IBM propose de contrer le code malveillant en détruisant « le lecteur flash USB afin qu’il ne puisse pas être réutilisé. » ou en réinstallant les utilitaires contenu sur ce dernier. Les éditeurs d’antivirus ont baptisé le code pirate sous les noms de Pondre, Torjan Dropper, Windex.

Apache, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Piratage

299 failles corrigées par Oracle

Oracle corrige un total de 299 failles dont la vulnérabilité Struts dévoilée par les pirates de la NSA, Shadow Brokers.

Un total de 299 nouveaux correctifs de sécurité viennent d’être publiés par Oracle pour l’ensemble de ses gammes de produits. Cette mise à jour de sécurité corrige 25 instances de la tristement célèbre vulnérabilité qui sévissait au sein du composant Apache Struts et permettait à un attaquant distant de prendre le contrôle total du serveur exécutant Struts. Le correctif pour Struts a été appliqué à 19 instances de cette vulnérabilité qui affectaient Oracle Financial Services Applications ainsi que WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail.

Oracle a également publié le patch 25878798 pour Solaris 10 et 11.3 pour corriger l’exploit EXTREMEPARR (CVE-2017-3622), la deuxième vulnérabilité dévoilée par le groupe de pirates Shadow Brokers. Si elle est exploitée avec succès, la vulnérabilité EXTREMEPARR, avec un score de sévérité CVSS de 7,8 sur 10, facilite une élévation de privilèges locaux dans le composant « dtappgather ». L’autre vulnérabilité CVE-2017-3623 dévoilée par Shadow Brokers, baptisée « Ebbisland » ou « Ebbshave », a déjà été corrigée par Oracle lors de plusieurs distributions de patches pour Solaris 10, diffusées depuis le 26 janvier 2012 et elle n’affecte pas Solaris 11.

Sur un ensemble de 299 correctifs, MySQL, Financial Services, Retail et Fusion Middleware se taillent la part du lion des correctifs. La majorité des vulnérabilités au sein de Financial Services, Retail et Fusion Middleware étaient exploitables via le protocole HTTP, les attaquants pouvant prendre le contrôle total du système à distance sans avoir besoin d’aucun certificat.

Concernant les bases de données, le volume de vulnérabilités MySQL a sensiblement augmenté par rapport au serveur de base de données Oracle. Il en va de même pour la mise à jour des 39 correctifs pour MySQL, dont 11 exploitables à distance sans authentification. Soit un nombre important de failles par rapport aux 3 seuls problèmes affectant le serveur de base de données. Toutes les vulnérabilités pour MySQL étaient exploitables via le protocole MySQL utilisé par les systèmes clients pour se connecter au serveur de bases de données. Les entreprises devraient donc dresser un inventaire détaillé de leurs serveurs MySQL concernant leur exposition, que ce soit à l’intérieur ou à l’extérieur de l’entreprise.

Java SE a bénéficié de 8 correctifs de sécurité, notamment pour 7 vulnérabilités exploitables à distance sans authentification. AWT, JCE ainsi que d’autres composants réseau Java étaient affectés et susceptibles d’être exploités via FTP, SMTP et de nombreux autres protocoles. 21 produits Sun Systems ont été corrigés dont Solaris, l’appliance de stockage Sun ZFS et Solaris Cluster. Parmi ces derniers, 8 vulnérabilités étaient exploitables à distance. Le composant le plus affecté dans Oracle Linux était la solution de virtualisation Oracle VM Virtual Box avec 6 vulnérabilités exploitables à distance.

(Cf tableau – liste de vulnérabilités exploitables à distance et résolues par le pack de correctifs).

En résumé, il s’agit d’une mise à jour de sécurité d’envergure avec 299 correctifs publiés pour toute la gamme de produits Oracle, corrigeant la vulnérabilité Apache Struts embarquée dans certains produits, ainsi que 162 vulnérabilités exploitables à distance. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde

N’utilisez plus les outils US, Trump va vendre vos informations

Le Congrès Américain vient de donner le feu vert qui permet aux opérateurs télécoms US de vendre vos informations.

Vous utilisez un service Télécom/Internet américain ? Souriez, vos historiques concernant les sites que vous avez visité, les applications que vous avez utilisé, vos recherches dans un moteur de recherche ou encore le contenu de vos mails, santé et data financières pourront être revendues aux plus offrants.

Les fournisseurs d’accès à Internet n’attendent plus qu’une signature du président Trump avant qu’ils ne soient libres de prendre, de partager et même de vendre votre historique 2.0… sans votre permission. La résolution a été adoptée par le sénat, la semaine dernière. Le Président élu Trump n’a plus qu’à finaliser le massacre. Car, comme l’explique The Verge, les FAI le faisaient déjà de manière « discrète », voici une loi qui valide définitivement ce pillage et la revente des informations.

« Les fournisseurs de services comme AT & T, Comcast, etc. pourront vendre les renseignements personnels au meilleur enchérisseur sans votre permission« , a déclaré la représentante Anna Eshoo (D-CA).

Autant dire que les données que les utilisateurs non américains laissent sur des services hébergés par des entreprises de l’Oncle Sam sont purement et simplement en danger de finir dans des mains tierces sans même que vous le sachiez.

Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Social engineering

Stratégie de cyber sécurité : la moitié des entreprises en retard sur l’implémentation

Intel Security et le think-tank CSIS (Center for Strategic and International Studies) dévoilent les résultats de leur étude “Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity« . Ce rapport met en évidence les principales faiblesses dans l’approche des entreprises à la cyber-sécurité et leur propose d’adopter certaines pratiques des pirates afin d’éviter 3 incohérences majeures.

1. Les structures d’entreprise rigides versus la liberté d’action des cybercriminels
Le rapport d’Intel Security décortique les raisons qui ont permis aux pirates de prendre une longueur d’avance sur les spécialistes de la cyber-sécurité, dont l’agilité. Alors que le marché du cyber crime est fortement dynamique, les entreprises doivent souvent agir sous contrainte de la hiérarchie et des processus établis qui les mettent davantage en position réactive de défense face aux pirates.

« Le marché du cyber-crime ne connaît pas la crise. Notamment grâce à sa propre structure, qui récompense rapidement les innovations et promeut les outils les plus performants », commente Fabien Rech, Directeur Général d’Intel Security France. « Afin de faire face aux pirates, les cyber-professionnels ont besoin d’être aussi agiles que les cybercriminels mais également de maintenir les motivations au sein de toute leur équipe informatique. »

2. Un décalage entre la stratégie de cyber-sécurité définie et sa mise en place
Comme le démontre le rapport, il ne suffit pas simplement d’avoir établi une stratégie de cyber-sécurité pour être protégé, les surprises arrivent souvent lors de sa mise en œuvre. Alors que plus de 90 % des entreprises affirment avoir une stratégie de cyber-sécurité, plus de la moitié avouent ne pas l’avoir totalement mise en place. 83 % admettent même avoir déjà constaté des brèches de sécurité malgré leur stratégie de protection, révélant ainsi une rupture entre la stratégie et l’implémentation.

« C’est facile d’élaborer une Stratégie de cyber sécurité, mais l’étape la plus complexe est surtout sa mise en place », explique Denise Zheng, directrice adjointe chez CSIS. « La manière dont les gouvernements et les entreprises adressent les possibles dissonances dans leur approche de la cyber sécurité va déterminer l’efficacité de toute leur stratégie de cyber défense. La question n’est plus de savoir ce qui devrait être fait, mais plutôt pourquoi tout n’est pas fait et surtout comment mieux le faire. »

3. Un manque d’alignement entre l’équipe dirigeante et les personnes en charge de l’implémentation des mesures de sécurité
Les motivations des cyber professionnels ne sont pas aussi fortes que celles des cybercriminels, ce qui met en porte à faux l’ensemble de la stratégie de cyber-sécurité de l’entreprise. Par ailleurs, les dirigeants manquent souvent d’objectivité quand il s’agit d’évaluer l’efficacité des mesures incitatives envers leur équipe IT. Par exemple, 42 % des membres des équipes informatiques jugent qu’il n’existe aucune forme d’encouragement dans leur entreprise, tandis que 82 % des cadres exécutifs et 92 % des dirigeants sont persuadés de l’inverse.

Stratégie de cyber sécurité : Les autres faits saillants du rapport :

  • Les entreprises du secteur public ont le plus de mal à implémenter une stratégie de cyber sécurité dans son intégralité (38 %). En parallèle, ce secteur constate un financement inadapté d’une grande partie de ses institutions (58 %) ainsi qu’une pénurie de compétences (63 %). Ces proportions sont moins marquées dans le secteur privé (respectivement 33 % et 43 %).
  • Malgré le manque d’encouragement en interne, 65 % des professionnels reconnaissent être personnellement motivés pour renforcer la cyber sécurité de leur entreprise.
  • Les employés sont mieux placés que leur hiérarchie pour constater des insuffisances de financement et de pénurie d’effectif, à la source d’obstacles à la mise en place de stratégie de cyber sécurité réussie.
  • 95 % des entreprises ont déjà expérimenté les conséquences de brèches de sécurité, incluant des perturbations/interruptions de leur opération, la perte d’adresse IP, des attaques directes à l’image de la marque, etc. Or, seules 32 % ont constaté une perte de revenu ou de bénéfice liée à ces brèches, ce qui peut fausser le sentiment de sécurité.

Les bonnes pratiques issues du cyber crime à adopter en entreprise :

  • Opter pour une approche de Security-as-a-Service pour contrer le Cybercrime-as-a-Service ;
  • S’appuyer sur une communication publique pour adresser les vulnérabilités de ses produits et services ;
  • Garantir une plus grande transparence grâce au partage des informations sur les menaces ;
  • Faciliter le recrutement de jeunes talents dans le domaine de la cyber sécurité ;
  • Aligner les mesures incitatives à la cyber sécurité au sein de toute l’entreprise.

Pour les auteurs du rapport, de nombreuses entreprises reconnaissent la gravité du problème et sont prêtes à investir dans une stratégie de cyber sécurité. Aujourd’hui, les outils ne suffisent plus pour combattre les pirates ; il faudra déterminer également la bonne répartition entre les indicateurs de performance et les incentives dans chaque entreprise. Il est crucial que les secteurs public et privé dépassent leur vision de la cyber-sécurité comme étant une source de dépense, et qu’ils réinventent leurs approches pour reprendre une longueur d’avance sur les cybercriminels. [Rapport]