Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Cybersécurité, Entreprise

Confusions et approximations : l’approche bancale des dirigeants en matière de renseignement cyber

Dans un monde en proie aux bouleversements géopolitiques, environnementaux et économiques, il n’a jamais été aussi essentiel pour les entreprises de connaître la nature des menaces de cybersécurité. Pourtant, les dirigeants doivent souvent prendre des décisions cruciales sans vision claire du paysage des menaces et du risque encouru par leur organisation.

L’incompréhension du langage lié à la cybersécurité par les cadres dirigeants ainsi que d’autres freins majeurs nourrissent leurs lacunes en la matière

Les dirigeants français se trouvent souvent démunis face au jargon et aux termes techniques spécifiques. 46% d’entre eux admettent que le vocabulaire de base de la cybersécurité les laissent confus, des termes tels que « malware », « phishing » et « ransomware ». Les termes plus techniques tels que “Exploits Zero Day” (39,5%), YARA (44,5%) et “Suricata rules” (48,5%) ont pourtant suscité des niveaux de confusion similaires. Les dirigeants français se trouvent particulièrement en difficulté face à ce jargon, leur confusion est bien plus élevée que la moyenne européenne sur tous les termes sondés.

Parmi les autres freins majeurs soulevés par les dirigeants français, les restrictions budgétaires sont largement évoquées par 52% d’entre eux, suivies de près par le manque de formation (51,5%) mais également le manque d’outils (37,5%) et le manque de temps (35,5%).

Et pourtant, de nombreux cadres dirigeants français (46%) admettent que la cybercriminalité est devenue la plus grande menace auquelle leur entreprise est confrontée largement devant les aléas économiques tels que la hausse de l’inflation (37%) les catastrophes naturelles (36,5%) ou encore la concurrence (30%).

De nombreux responsables français (42%) se dirigent vers le dark web pour recueillir de la threat intelligence afin d’en discuter en réunion. Autant dire qu’ils ne voient que la partie la plus « visible ». Le Service Veille ZATAZ, par exemple, surveille pas moins de 300 000 espaces pirates.

Comprendre la menace

Parmi les sources d’informations utilisées, les dirigeants français déclarent tout de même en majorité se tourner vers des sources publiques (open source, réseaux sociaux, blogs sur la cybersécurité) (55%), mais aussi, vers des sources internes (48,5%), des sources privées de renseignement sur la menace (47%) et des sources de fournisseurs externes (35,5%).

Certains cadres dirigeants, bien conscients qu’ils ont besoin d’aide pour comprendre les menaces de cybersécurité auxquelles leurs entreprises sont confrontées chaque jour, cherchent de l’aide auprès d’experts

Selon les dirigeants français interrogés, les RSSI sont les plus susceptibles de présenter des informations sur les menaces lors des réunions de leur conseil d’administration (53,5%), suivis par les responsables informatiques (49,5%), les fournisseurs externes de cybersécurité (45%), les résumés exécutifs écrits non techniques (40,5%) et enfin, les partenaires (34%).

L’utilisation de ressources accessibles au public et l’augmentation du budget alloué aux formations contribuent à la sensibilisation. Toutefois, la réalité est que sans une expertise solide pour identifier, analyser et recouper les cybermenaces, les organisations ne s’arment qu’à moitié contre elles.

Au cœur d’une stratégie optimale, on trouve un interprète ou un partenaire capable non seulement de parler le langage du cybercrime, mais aussi de comprendre comment la confidentialité et l’anonymat qui protègent les criminels peuvent être utilisés contre eux pour établir un rapport et extraire des renseignements essentiels.

Vous lisez Data Security Breach, vous êtes déjà sur la bonne voie 🙂

Cybersécurité, Entreprise

10 améliorations cyber lorsque vos employés retournent au bureau

Selon les résultats d’un sondage, 77 % des décideurs informatiques aux États-Unis et au Canada pensent que leurs entreprises seront probablement confrontées à une violation de données au cours des trois prochaines années.

Les répondants à l’enquête ont classé la sécurité des données comme l’élément qui a le plus changé la donne en 2023, alors que les entreprises continuent de renforcer leur préparation à la cybersécurité : 68 % des responsables interrogés déclarent que leur entreprise a une division de cybersécurité et 18 % supplémentaires déclarent qu’ils sont en train d’en créer une. Seuls 6 % des répondants ont déclaré ne pas avoir de division de cybersécurité.

« L’augmentation des incidents de violation de données en Amérique du Nord est troublante et doit être priorisée alors que les employés continuent de retourner en personne à leur siège social« , explique Kuljit Chahal, responsable de la pratique, Sécurité des données chez Adastra North America.

« Pendant la pandémie, de nombreux employés ont été embauchés virtuellement et, en combinaison avec de longues absences des bureaux, les introductions et la re-familiarisation avec les protocoles de sécurité seront essentielles« , ajoute Chahal.

La sensibilisation des employés aux meilleures pratiques en matière de sécurité des données est essentielle. Selon le rapport Verizon Data Breach Investigations 2022, 82 % des violations de données sont causées par une erreur humaine et les entreprises de toutes tailles sont à risque.

Dans notre rôle d’experts en sécurité des données, nous avons constaté que certaines entreprises, en particulier les plus petites, peuvent être bercées par un faux sentiment de sécurité en pensant que les auteurs ne s’en soucieront pas – ce n’est absolument pas le cas.

Les résultats de cette enquête devraient rappeler que les entreprises de toutes tailles doivent investir dans la protection, les ressources et l’éducation en matière de sécurité des données, en particulier lorsque nous reprenons les activités au bureau.

Le coût d’une violation peut être important et bien supérieur à ce que coûtera un audit d’une entreprise de sécurité des données. Selon Statista, le coût moyen d’une violation de données aux États-Unis est passé à 9,4 millions de dollars en 2022, contre 9 millions de dollars l’année précédente.

10 améliorations de la sécurité des données

Menaces internes – rééducation des employés sur les systèmes et les protocoles

La divulgation non autorisée de données n’est pas toujours le résultat d’acteurs malveillants. Souvent, les données sont accidentellement partagées ou perdues par les employés. Tenez vos employés informés grâce à une formation sur la cybersécurité. Les employés qui passent régulièrement des tests de phishing peuvent être moins susceptibles d’interagir avec des acteurs malveillants par e-mail ou par SMS.

Connaissez votre inventaire

Un inventaire des actifs logiciels, matériels et de données est essentiel. Avoir le contrôle des actifs avec accès à votre environnement d’entreprise commence par un inventaire. Les inventaires peuvent faire partie du programme global de gestion des vulnérabilités pour maintenir tous les actifs à jour, y compris les systèmes d’exploitation et les logiciels.

De plus, un inventaire ou un catalogue de données identifie les données sensibles, ce qui permet de placer des contrôles de sécurité appropriés tels que le cryptage, les restrictions d’accès et la surveillance sur les données les plus importantes.

Supprimer les données redondantes

La réduction de votre empreinte globale de données peut être un moyen efficace de réduire les risques. Les données qui résident dans plusieurs emplacements peuvent ne pas bénéficier d’une protection égale dans chaque environnement. Comprendre quelles données sont nécessaires et ce qui peut être archivé aide à garder le contrôle sur les actifs de données.

Systèmes de détection précoce

La détection d’anomalies et d’activités suspectes peut résoudre les problèmes avant qu’ils ne deviennent une violation. Les systèmes XDR (détection et réponse étendues) et EDR (détection et réponse des terminaux) actuels incluent des réponses automatisées aux attaques courantes.

Par exemple, supposons qu’un employé télécharge une pièce jointe malveillante. Dans ce cas, le système EDR peut empêcher l’exécution du malware caché à l’intérieur et alerter le personnel de sécurité.

Ces systèmes de détection peuvent être surveillés par le personnel de cybersécurité interne ou surveillés par des sociétés de sécurité tierces qui peuvent alerter la direction des incidents au fur et à mesure qu’ils se produisent.

Une veille du web malveillant (darkweb, Etc.) est un outil indispensable. Le service veille ZATAZ a, par exemple, détecté pas moins d’un milliards de données volés par des pirates entre le 1er janvier 2023 et le 13 février 2023. Rien que les fuites Twitter et Deezer additionnent 500 millions d’informations d’usagers.

Sauvegardes de données

Disposer d’un plan de sauvegarde des données robuste et immuable peut aider une organisation à se remettre rapidement d’un incident. La fréquence de la sauvegarde des données dépend du risque que l’organisation est prête à prendre. « Pouvons-nous nous permettre de perdre une semaine de données ou une journée de données ?« 

Limiter l’accès du personnel

L’utilisation du principe du moindre privilège réduit le risque global en autorisant uniquement l’accès aux données et aux services nécessaires à l’exécution de tâches spécifiques. L’établissement de processus de provisionnement et de déprovisionnement de l’accès des utilisateurs avec des approbations, des pistes d’audit, des rapports et des attestations régulières peut limiter ce à quoi un attaquant peut être en mesure d’accéder en cas d’informations d’identification compromises.

Il n’est pas rare que les utilisateurs finaux disposent d’un accès administratif illimité à leurs ordinateurs portables. Cela permet aux utilisateurs d’installer des logiciels non autorisés ou d’être plus facilement la cible d’attaques de logiciels malveillants.

Engagez une entreprise tierce pour effectuer un audit de sécurité – connaissez vos vulnérabilités

Une évaluation externe de la posture de sécurité de votre organisation, basée sur des cadres de cybersécurité établis tels que NIST ou CIS , peut fournir une image plus claire des forces et des faiblesses et une feuille de route pour remédier à vos plus grandes vulnérabilités.

Établissez de nouveaux mots de passe avec une authentification à deux facteurs

Traditionnellement, les utilisateurs sont authentifiés par l’une des trois méthodes suivantes :

Ce que vous savez (mot de passe)
Ce que vous avez (carte d’accès ou code d’accès à usage unique)
Ce que vous êtes (biométrie)
L’ajout d’un deuxième facteur à l’authentification par mot de passe omniprésent ajoute une autre couche de sécurité pour l’accès.

Mettez à jour vos programmes informatiques avec les dernières fonctionnalités de sécurité

La plupart des violations de données se produisent parce qu’une vulnérabilité connue a été exploitée. La mise en place d’un programme de gestion des vulnérabilités qui analyse régulièrement les actifs logiciels et applique des correctifs est l’une des activités de sécurité les plus cruciales qu’une entreprise puisse effectuer.

Sécurité physique

Au fur et à mesure que les employés retourneront au bureau, il y aura des employés qui reviendront au bureau pour la première fois. Il peut être nécessaire de renforcer les politiques de bureau propre et de revoir les contrôles d’accès physique, y compris l’accès aux zones sécurisées, pour s’assurer que les actifs ne sont pas volés ou perdus.

Les employés travaillant à domicile qui possèdent des actifs de l’entreprise doivent être régulièrement formés à la sécurité de ces actifs lorsqu’ils sont à la maison, comme ils le feraient au bureau.

cryptomonnaie, Entreprise

Cryptojacking : du minage sans votre consentement

Le cryptojacking via des vulnérabilités existantes : un problème croissant. Les cybercriminels exploitent-ils souvent des vulnérabilités pour faire du minage ?

Les vulnérabilités non corrigées posent un sérieux problème aux utilisateurs, tout en attirant les cybercriminels qui les exploitent pour propager des activités malveillantes. Si l’on évoque souvent les ransomwares exploitant les vulnérabilités, le minage gagne également en popularité auprès des cybercriminels. En effet, on observe en 2022 une augmentation de la part de logiciels de minage diffusés par le biais de vulnérabilités bien connues, notamment Log4j.

Cette année, près d’une attaque sur sept exploitant de telles vulnérabilités était accompagnée d’une infection par minage. Au troisième trimestre, le minage s’est encore plus répandu que les portes dérobées (backdoor), qui sont restées le choix privilégié des cybercriminels tout au long du premier semestre 2022.

Pourquoi les cybercriminels ont-ils recours au cryptojacking ?

L’extraction de crypto-monnaies est un processus laborieux et coûteux, mais aussi très gratifiant, d’où l’intérêt que lui portent les cybercriminels. Gagner de l’argent en pratiquant le minage de crypto-monnaies est rentable pour les cybercriminels – ils ne paient pas d’équipement, ni d’électricité. Ils installent un logiciel de minage sur l’ordinateur de la victime pour utiliser sa puissance de traitement sans le consentement de l’utilisateur.

Cela ne nécessite pas beaucoup d’expertise technique spécialisée. En fait, tout ce que l’attaquant doit savoir, c’est comment placer un script de minage à l’aide d’un code source ouvert, ou savoir où en acheter un. Si le logiciel malveillant de cryptomining est installé avec succès sur l’ordinateur de la victime, il procure à son opérateur des revenus réguliers.

Pourquoi une société n’aurait-elle pas installé de correctif contre le L4S – est-ce si difficile dans certains cas dans le secteur public ?

La correction d’une vulnérabilité nécessite du temps et de l’argent. Certaines organisations sous-estiment les dommages potentiels causés par les attaques d’exploitation des vulnérabilités, espérant que les menaces ne les cibleront pas. En outre, il s’agit d’un travail répétitif et routinier (de nombreux correctifs doivent être installés manuellement) qui peut donner lieu à des erreurs. Tous ces facteurs peuvent affecter la sécurité des systèmes de l’organisation.

Log4j constitue-t-il toujours une menace pour les utilisateurs et les entreprises ?

Comme le montre notre télémétrie, les cybercriminels continuent d’exploiter la vulnérabilité Log4j à des fins malveillantes. Elle est exploitée à la fois par des acteurs de la menace avancée qui ciblent des organisations spécifiques, et par des hacktivistes simplement à la recherche de tout système vulnérable à attaquer. Nous demandons à tous ceux qui ne l’ont pas encore fait de se mettre à jour et d’utiliser une solution de sécurité forte pour se protéger.

Pour se prémunir contre cette nouvelle vulnérabilité, Dmitry Kondratyev, de chez Kaspersky recommande :
· D’installer la version la plus récente de la bibliothèque. Vous pouvez la télécharger sur la page du projet. Si vous utilisez la bibliothèque d’un produit tiers, vous devrez surveiller et installer les mises à jour d’un fournisseur de logiciels.
· En suivant les directives du projet Apache Log4j : https://logging.apache.org/log4j/2.x/security.html

Cybersécurité, Entreprise

Nouvelles formes d’attaques visant les entreprises et les instances publiques

L’entreprise japonaise TrendMicro estime que les acteurs de la menace vont intensifier les attaques à destination des installations soutenant le travail hybride, des chaînes d’approvisionnement logicielles et du cloud.

Le constat établi par les équipes de recherches dans leur rapport de prospective 2023, intitulé ‘Future/Tense’ ne laisse peu de place à un avenir sans piratage. « Le travail hybride est désormais répandu au sein des entreprises. Pour les acteurs de la menace cela représente une ouverture vers les systèmes informatiques et les données des organisations » commente Nicolas Arpagian, Director Cybersecurity Strategy de l’entreprise japonaise Trend Micro.

En 2023, ils cibleront les VPN non patchés, les appareils SOHO connectés, les infrastructures cloud privées, exploiteront des versions évolutives de rançongiciels et continueront la revente de données. Pour faire face à ces risques, les organisations privées et publiques devront renforcer leur capacité de détection et de supervision de leurs environnements numérisés ».

D’après les prédictions, les VPN représentent une cible particulièrement attrayante, car ils offrent un accès sur plusieurs réseaux d’entreprise. Les routeurs domestiques seront également pointés du doigt car ils sont souvent laissés sans correctif et non gérés par l’informatique centrale.

Tendances en 2023

Une menace croissante sur les chaînes d’approvisionnement venant des fournisseurs de services gérés (MSP), qui seront sélectionnés/ciblés parce qu’ils offrent un accès à un grand volume de clients en aval, maximisant ainsi le retour sur investissement des rançongiciels, des vols de données et autres attaques.

Les techniques « Living off the cloud » pourraient s’imposer comme la signature de groupes attaquant l’infrastructure cloud afin de les isoler/les protéger des outils de sécurité conventionnels. Ils pourraient, par exemple, utiliser les solutions de sauvegarde d’une victime pour télécharger les données volées vers une destination de stockage frauduleuse.

Les menaces liées aux voitures connectées, avec notamment le risque de ciblage des API cloud qui se trouvent entre les cartes SIM embarquées (eSIM) et les serveurs d’applications dorsales. Les API pourraient notamment servir d’accès aux véhicules. L’industrie des voitures connectées pourrait également être touchée par des logiciels malveillants dissimulés dans des référentiels de logiciels libres.

Les groupes de rançongiciel-as-a-service (RaaS) dont l’activité pour être révisée en fonction de l’impact de la double extorsion. Certains pourraient se concentrer sur le cloud, tandis que d’autres pourraient renoncer complètement aux rançongiciels et tenter de monétiser d’autres formes d’extorsion, comme le vol de données.

L’ingénierie sociale sera dynamisée par les offres de services de compromission de la messagerie professionnelle (BEC) et la montée en puissance des attaques BEC fondées sur les technologies deepfakes.

Toutefois, l’année 2023 devrait mettre en avant le fait que les entreprises seront mieux armées grâce à la mise en œuvre d’une stratégie permettant d’atténuer ces risques émergents de manière proactive. Pour cela, le choix d’une approche ‘Zero Trust’ construite selon le principe fondateur ‘ne jamais faire confiance, toujours vérifier’, pour minimiser les dommages sans sacrifier la productivité des utilisateurs. La formation des collaborateurs pour transformer un maillon faible de la chaîne de sécurité en une ligne de défense efficace.

La consolidation sur une plateforme de sécurité unique pour gérer la surveillance de la surface d’attaque ainsi que la détection et la réponse aux menaces. Cela permettra aux entreprises de mieux détecter les activités suspectes sur l’ensemble de leurs réseaux, de réduire la charge de travail des équipes de sécurité et de maintenir les défenseurs en alerte.

Des « stress tests » sur les infrastructures informatiques afin de s’assurer de la préparation aux attaques dans différents scénarios, en particulier ceux où une première intrusion n’a pu être empêchée. Une nomenclature logicielle (SBOM) pour chaque application, afin d’accélérer et d’améliorer la gestion des vulnérabilités en offrant une visibilité sur le code développé en interne, acheté auprès de sources commerciales sûres et construit à partir de sources tierces.

Cybersécurité, Entreprise

Les Services en Data Center, essentiel pour sa cybersécurité

Les normes cybersécurité n’ont jamais été aussi nombreuses et poussées. FinTechs, RegTechs, deux normes dédiées à la cybersécurité des données de votre entreprises. Imposant les règles les plus élevées afin de rendre disponible et sécuritaire les applications critiques.

Certification de protection des données (ISO 27001), certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, certification Tier IV (capable de fournir une disponibilité des services à hauteur de 99,995%). Bref, n’en demandez pas plus. Les outils pour protéger vos sauvegardes, vos outils de production, vos clients existent et ils sont indispensables dans votre stratégie cyber sécurité. Être accompagné en toute confiance, comment l’explique par exemple la société EBRC. Leurs services affichent, par exemple, un chiffre fou. Depuis la création de cet opérateur, en 2000, les centres de données n’ont jamais subi la moindre interruption.

ISO 27001, rappel !

Cette norme internationale vise la sécurité des systèmes d’information. Créée en octobre 2005, mise à jour huit ans plus tard, en 2013, se traduit par le petit nom de « Technologies de l’information, techniques de sécurité, systèmes de gestion de sécurité de l’information et exigences ». Dans son cadre, le SMSI, le système de management de la sécurité de l’information. Un recensement des mesures de sécurité, dans un périmètre concret et défini. Mission, trouver le juste milieu, pas trop sévère, mais ne pas être laxiste non plus. Les entreprises peuvent se baser sur les quatre piliers : établir, implémenter, maintenir, améliorer. Un plan de bataille en quelque sorte.

Par établir, qu’a donc besoin l’entreprise ? Dans quel périmètre. Quel niveau de sécurité ? Il va falloir évaluer les risques.

Ensuite, identifier les menaces, les actifs, les failles, les responsabilités, définir la probabilité des risques, estimer.

Traiter les risques, sans oublier les problématiques résiduelles. C’est d’ailleurs dans cette partie que la réflexion sur le transfert des responsabilités techniques est à prévoir (cloud, assurance, etc.)

114 mesures de l’ISO 27001

Parmi les 114 mesures de l’ISO 27001, la réflexion sur une solution de contrôle des accès à privilèges et des autorisations pour les serveurs sur site et dans le cloud peuvent être largement réfléchis. Par exemple, un workflow granulaire permet aux utilisateurs de demander une élévation de leurs privilèges afin d’exécuter des commandes spécifiques qui exigent habituellement des droits complets d’administrateur.

L’édition 2022 de l’étude VMWare Global Incident Response Threat Report révèle que dans 25 % des attaques des mouvements latéraux sont détectés. Pour ce faire, les cybercriminels exploitent des outils tels que les scripts hôtes, le stockage de fichiers et la synchronisation.

Cloud Suite apporte aux entreprises de robustes capacités qui contribuent à limiter l’impact d’une attaque potentielle et à réduire grandement le risque de mouvements latéraux. Par exemple, les équipes informatiques peuvent consolider les identités entre les annuaires d’entreprise et les prestataires cloud (Active Directory, Azure AD, AWS, Google Cloud), simplifier l’authentification et appliquer des contrôles granulaires des autorisations afin de mettre en place des meilleures pratiques suivant le principe de moindre privilège, renforçant ainsi les postures de sécurité.

Bref, vous l’aurez compris, se pencher sur l’ISO 27001, certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, ne se fait pas seul et sans l’approche et la connaissance d’expert du sujet.

Cybersécurité, Fuite de données

Tendances 2023 en matière d’identité numérique

Evolution législative, vérification de l’âge, digitalisation des échanges. Tendances 2023 en matière d’identité numérique.

Des évolutions législatives à l’échelle européenne : Le règlement européen eIDAS qui encadre l’identité numérique va évoluer en 2023. Désormais, un portefeuille numérique unique et sécurisé permettra de simplifier et homogénéiser les processus d’authentification des identités dans l’espace numérique européen.

Une généralisation du KYC : Initialement utilisé dans le secteur de la finance, le KYC s’étend à d’autres activités telles que les réseaux sociaux qui introduisent la vérification de l’âge des utilisateurs, les institutions publiques qui dématérialisent de plus en plus les procédures dans lesquelles il leur est nécessaire de vérifier l’identité des administrés ou encore certains secteurs du e-commerce.

Identité numérique en perpétuelle évolution

Une digitalisation des échanges toujours plus présente : La crise du COVID 19 a donné un coup d’accélérateur à la digitalisation des échanges. Cette tendance devrait se poursuivre en 2023 et amènera nécessairement des problématiques liées à l’identité.

La question de la fraude à l’identité : Pour lutter contre les arnaques aux comptes CPF, le gouvernement français a lancé France Connect +, une version plus sécurisée de sa plateforme. Avec la multiplication des opérations frauduleuses de tous types, la vérification poussée et en temps réel de l’identité devrait prendre de plus en plus d’ampleur. Une veille sur votre identité, vos données, votre entreprises doit devenir un reflexe. De nombreuses possibilités existent comme le service veille ZATAZ. Il permet de veiller, alerter, rassurer sur toutes fuites d’informations possibles pouvant vous concerner.

Cybersécurité, Entreprise

Les faux avis positifs, de faux amis pour les distributeurs et commerçants

69 % des consommateurs français estiment que c’est aux professionnels du secteur de la distribution que revient le soin de mettre en place des règles pour lutter contre les faux avis. Ceci alors que la directive Omnibus est entrée en vigueur le 28 mai 2022, renforçant l’arsenal des mesures contre ces avis tronqués.

C’est dans ce contexte qu’Amazon vient d’attaquer pénalement un courtier italien en faux avis en octobre 2022 : une première en Europe. Selon l’accusation, le courtier mettait en relation des vendeurs et des clients d’Amazon, publiant des avis notés cinq étoiles en échange du remboursement intégral du produit en faveur du client.

Ce procédé est non seulement illégal mais aussi contreproductif. La présence de faux avis positifs engendre une perte de confiance en la marque selon 38 % des personnes sondées par Bazaarvoice. Les consommateurs peuvent se détourner complètement des produits d’une marque s’ils détectent ne serait-ce qu’un avis frauduleux, qu’il soit positif ou négatif (23 %).

Cybersécurité, Entreprise

Augmentation des fausses applications Cloud

Un rapport sur les menaces révèle les nouvelles sources principales de renvois vers de fausses pages de connexion, ainsi que l’augmentation des fausses applications cloud tierces exploitées pour tromper les utilisateurs.

Une nouvelle étude explique comment la prédominance des applications cloud a changé la façon dont les cybercriminels livrent les attaques de phishing pour voler des données.

Le rapport « Netskope Cloud and Threat Report: Phishing » détaille les tendances relatives aux méthodes de diffusion du phishing, telles que les fausses pages de connexion et applications cloud tierces conçues pour imiter les versions légitimes. Il analyse également les cibles de ce type attaques ainsi que l’hébergement des contenus frauduleux.

Bien que l’email reste le principal moyen d’acheminer des liens de phishing vers de fausses pages de connexion dans le but de voler des noms d’utilisateur, des mots de passe ou encore des codes d’authentification multifacteur, le rapport révèle que les utilisateurs cliquent plus fréquemment sur des liens de phishing provenant d’autres canaux, notamment des sites internet et des blogs, des médias sociaux et des résultats de moteurs de recherche. Le rapport décrit également l’augmentation du nombre de fausses applications cloud tierces conçues pour inciter les utilisateurs à autoriser l’accès à leurs données et à leurs ressources dans le cloud.

Les nombreuses origines du phishing

Traditionnellement considérée comme la principale menace de phishing, seules 11 % des tentatives d’attaques proviennent de services de messagerie web, tels que Gmail, Microsoft Live et Yahoo. Les sites internet et les blogs, en particulier ceux hébergés sur des services gratuits, sont les sources les plus courantes en matière de phishing, avec 26 %. Le rapport a identifié deux techniques principales : l’utilisation de liens malveillants par le biais de spams sur des sites web et des blogs légitimes, et l’exploitation de sites internet et de blogs créés spécifiquement pour promouvoir le contenu frauduleux.

Les renvois de moteurs de recherche vers des pages de phishing sont également devenus courants, car les cybercriminels exploitent les vides de données. Ainsi, ils créent des pages centrées sur des termes de recherche peu courants et sur lesquelles ils peuvent facilement s’imposer dans les premiers résultats pour ces termes. Parmi les exemples identifiés par le Threat Labs de Netskope dans l’exploitation de cette technique, figurent le mode d’emploi de fonctionnalités spécifiques de logiciels connus, les réponses à des questionnaires pour des cours en ligne ou encore les manuels d’utilisation de divers produits pour les entreprises et les particuliers.

« Les employés des entreprises ont été formés à repérer les messages de phishing dans les emails et les SMS. Les cybercriminels ont donc adapté leurs méthodes et incitent les utilisateurs à cliquer sur des liens de phishing dans des endroits moins attendus,  explique Ray Canzanese, de chez Netskope. Même si nous ne pensons pas forcément à la possibilité d’une attaque de phishing en surfant sur internet ou sur notre moteur de recherche préféré, nous devons tous faire preuve du même niveau de vigilance et de scepticisme qu’avec les emails entrants. Cela suppose de ne jamais saisir d’informations d’identification ou de données sensibles dans une page après avoir cliqué sur un lien. Il faut toujours se rendre directement sur les pages de connexion.« 

La montée en puissance des fausses applications cloud tierces

Le rapport révèle une autre méthode de phishing importante, qui consiste à inciter les utilisateurs à autoriser l’accès à leurs données et leurs ressources dans le cloud par le biais de fausses applications cloud tierces. Cette tendance est particulièrement inquiétante car l’accès aux applications tierces est omniprésent et constitue une surface d’attaque considérable. En moyenne, les utilisateurs finaux des entreprises ont accordé à plus de 440 applications tierces l’accès à leurs données et applications Google, avec une entreprise ayant jusqu’à 12 300 plugins différents accédant aux données, soit une moyenne de 16 plugins par utilisateur. Tout aussi alarmant, plus de 44 % de toutes les applications tierces accédant à Google Drive ont accès soit à des données sensibles, soit à toutes les données de Google Drive d’un utilisateur, ce qui incite les cybercriminels à créer de fausses applications tierces pour le cloud.

La nouvelle génération d’attaques de phishing est à nos portes. Avec la prédominance des applications cloud et l’évolution de la nature de leur utilisation, des extensions Chrome ou d’applications, les utilisateurs sont invités à autoriser l’accès dans ce qui est devenu un vecteur d’attaque négligé.

Cette nouvelle tendance des fausses applications tierces est un phénomène que nous surveillons et suivons de près pour nos clients. Nous nous attendons à ce que ces types d’attaques augmentent au fil du temps. Les entreprises doivent donc s’assurer que les nouvelles voies exploitées, telles que les autorisations OAuth, sont limitées ou verrouillées. Les employés doivent également être conscients de ces attaques et examiner minutieusement les demandes d’autorisation de la même manière qu’ils examinent les emails et les SMS.

Les employés continuent à cliquer et à être victimes de liens malveillants

Il est largement admis qu’il suffit d’un seul clic pour compromettre gravement une organisation. Alors que la sensibilisation et la formation des entreprises au phishing ne cessent de gagner en importance, le rapport révèle qu’en moyenne 8 utilisateurs sur 1 000 dans l’entreprise ont cliqué sur un lien de phishing ou ont tenté d’accéder d’une autre manière à un contenu de phishing.

Les utilisateurs sont attirés par de faux sites internet conçus pour imiter les pages de connexion légitimes. Les cybercriminels hébergent principalement ces sites internet sur des serveurs de contenu (22 %), suivis par des domaines nouvellement enregistrés (17 %). Une fois que les utilisateurs ont entré des informations personnelles sur un faux site, ou lui ont accordé l’accès à leurs données, les cybercriminels sont en mesure de collecter les noms d’utilisateur, les mots de passe et les codes d’authentification multifacteur.

La situation géographique joue un rôle dans le taux d’accès au phishing. L’Afrique et le Moyen-Orient présentent le pourcentage le plus élevé d’utilisateurs accédant à des contenus de phishing; en Afrique ce taux est supérieur de plus de 33 % à la moyenne, et il est plus de deux fois supérieur à la moyenne au Moyen-Orient. Les cybercriminels utilisent fréquemment la peur, l’incertitude et le doute (FUD) pour mettre au point des appâts de phishing et tentent également de tirer parti des grands sujets d’actualité. Au Moyen-Orient en particulier, ils semblent réussir à concevoir des leurres qui tirent parti des problèmes politiques, sociaux et économiques de la région.

Cybersécurité, Entreprise

Vos anciens employés sont-ils partis avec vos données ?

Seuls 40% des dirigeants de PME en France sont certains que leurs anciens employés ne peuvent pas accéder aux actifs numériques de leur entreprise.

Une récente enquête sur le comportement des petites et moyennes entreprises en temps de crise montre que les réductions de personnel peuvent entraîner des risques supplémentaires en matière de cybersécurité. Preuve en est, seuls 40% des dirigeants d’entreprises françaises sont sûrs que leurs anciens employés n’ont pas accès aux données stockées dans le cloud de l’entreprise, et seulement 39% d’entre eux sont certains qu’ils ne peuvent plus utiliser les comptes de l’entreprise. En comparaison à la moyenne globale, s’élevant respectivement à 51% et 53% (des chiffres toujours insuffisants), la France fait figure de mauvaise élève.

Si les études ont montré que les entreprises se sont attachées à fidéliser leurs équipes au maximum pendant la pandémie, il n’en reste pas moins que nombre d’entre elles risquent encore de devoir recourir à des suppressions de postes afin de réduire les coûts en temps de crise. Kaspersky a interrogé plus de 1 300 dirigeants de petites et moyennes entreprises pour connaître les stratégies privilégiées pour maintenir les activités à flot, et quels risques cyber ces mesures pourraient entraîner.

Parmi les personnes interrogées, plus de la moitié des répondants et 6 Français sur 10 ont dit être incapable d’affirmer avec certitude que leurs ex-employés n’ont pas accès aux actifs numériques de l’entreprise. Sur la base de ces données, il apparaît que les réductions de personnel peuvent faire courir des risques supplémentaires à la sécurité des données de l’entreprise et à ses moyens d’existence. L’utilisation abusive de ces données par d’anciens employés dans le cadre d’un nouvel emploi ou pour se faire de l’argent est une préoccupation majeure pour les dirigeants d’entreprises. Les résultats de l’enquête suggèrent que la plupart d’entre eux s’inquiètent de voir d’anciens collaborateurs partager les données internes de l’entreprise avec de nouveaux employeurs (63% à l’international, 66% en France), ou qu’ils fassent usage de données corporate comme les bases de données de leurs prospects existants pour se lancer à leur compte (60%).

Dans l’ensemble, 31% des responsables interrogés considèrent les réductions d’effectifs comme une mesure à considérer pour réduire les coûts en cas de crise. Les chefs d’entreprise français sont moins disposés à envisager des réductions d’effectifs que la moyenne globale, avec seulement 20% des répondants estimant qu’il s’agit là d’une possibilité.

Les mesures de réduction des coûts les plus pratiquées en France incluent la diminution des dépenses marketing (41%) et des dépenses liées aux véhicules (34%), suivie par la diminution des coûts attribués à la formation du personnel (24 %). Quant à la cybersécurité, 14% des dirigeants de PME françaises sont susceptibles de réduire les sommes allouées à ce poste de dépense, c’est plus que la moyenne, et très au-dessus, par exemple, des 5% obtenus au Royaume-Uni !

« Tout accès non autorisé peut devenir un réel problème pour toutes les entreprises, car cela peut affecter la compétitivité d’une société lorsque les données de celles-ci sont transférées à un concurrent, vendues ou supprimées » explique Bertrand Trastour, directeur général de Kaspersky France. « Ce problème se complique lorsque les employés utilisent des services non professionnels (« shadow IT ») qui ne sont pas directement déployés ou contrôlés par les départements informatiques de l’entreprise. Si l’utilisation de ces services n’est pas maîtrisée après le licenciement d’un employé, il est fort probable que l’ex-employé ait toujours accès aux informations partagées via ces applications.« 

Sécurité de votre entreprise

Gardez le contrôle du nombre de personnes ayant accès aux données critiques de l’entreprise, en réduisant la quantité de données accessibles à l’ensemble des employés. Il est plus probable que les incidents adviennent dans des entreprises où trop d’employés manipulent des informations confidentielles qui peuvent être vendues ou utilisées d’une manière ou d’une autre.

Mettez en place une politique d’accès aux actifs de l’entreprise, notamment aux boîtes mail, aux dossiers partagés et aux documents en ligne. Tenez-la à jour et pensez à supprimer l’accès si un employé quitte l’entreprise. Utilisez un logiciel de sécurité d’accès au cloud pour gérer et surveiller l’activité des employés dans les services de cloud de votre entreprise, et vous aider à appliquer les politiques de sécurité.

Effectuez des sauvegardes régulières des données essentielles de l’entreprise pour garantir leur sécurité en cas d’urgence.

Effectuez une veille régulière des données essentielles de l’entreprise ayant pu fuite, comme la veille proposée par le service veille ZATAZ.

Donnez des directives claires quant à l’utilisation des services et des ressources externes. Les employés doivent savoir quels outils ils doivent ou ne doivent pas utiliser et pourquoi. Lors du passage à un nouveau logiciel de travail, il faut mettre en place une procédure pour que les services informatiques et les autres responsables puissent le valider en amont.

Encouragez les employés à avoir des mots de passe forts pour tous les services numériques qu’ils utilisent, et à en changer régulièrement.

Rappelez régulièrement au personnel l’importance de respecter les règles de base en matière de cybersécurité (gestion sécurisée des comptes, des mots de passe, des e-mails et bonnes pratiques en ligne). Un programme de formation complet permettra à vos travailleurs non seulement d’acquérir les connaissances nécessaires mais aussi de les mettre en pratique.

Cybersécurité, Entreprise

Les incidents de cybersécurité en troisième position des types de crise les plus difficiles à surmonter pour les PME françaises

Une récente enquête menée à l’international auprès de 1 307 dirigeants d’entreprises comptant entre 1 et 999 employés révèle que les incidents de cybersécurité engendrent presque les mêmes difficultés qu’une chute brutale des ventes. 13% des personnes interrogées dans les petites et moyennes entreprises considèrent que les cyberattaques sont les crises les plus difficiles à surmonter. En France, ils sont 11% à le penser, plaçant les risques cyber à la troisième position des aléas les plus durs à appréhender. Les résultats de la recherche suggèrent également que la probabilité d’être confronté à un incident de cybersécurité augmente avec le nombre d’employés travaillant dans l’entreprise.

Les petites et moyennes entreprises contribuent grandement à l’économie mondiale : selon l’Organisation mondiale du commerce, les PME représentent plus de 90 % de la totalité des entreprises. Cependant comme l’a montré la pandémie, ces entreprises peuvent être particulièrement vulnérables aux répercussions des crises.

Afin de mieux comprendre quels cas de figure représentent le plus de risques pour les PME, des dirigeants d’entreprises comptant entre 1 et 999 employés, issus de 13 pays différents ont été interrogés par un spécialiste de la cybersécurité . Bien que les données agrégées indiquent que les incidents relatifs à la cybersécurité constituent le deuxième type de crise le plus grave au niveau mondial (3e en France), derrière la chute brutale des ventes, ces deux types de crises sont jugées comme ayant une gravité égale, selon les dirigeants d’entreprises moyennes (50 à 999 employés) interrogées. Les problèmes liés aux loyers et à l’introduction de nouvelles réglementations sont cependant moins difficiles à gérer pour les PME.

Inquiétudes pour les PME françaises

En France, si les incidents de cybersécurité sont perçus comme critiques et complexes à maîtriser (11%), ils ne sont qu’en troisième position derrière les départs massifs d’employés (13%) et les désastres environnementaux (12%). Si l’on se concentre uniquement sur les moyennes entreprises, les incidents de cybersécurité arrivent en deuxième place (16%), après les démissions massives (20%).

Ces préoccupations en matière de sécurité informatique sont loin d’être infondées, d’autant plus que la probabilité d’être confronté à un problème de cybersécurité augmente à mesure que l’entreprise se développe. Alors que seulement 8% des organisations comptant 1 à 8 employés ont déclaré avoir été confrontées à une faille de sécurité informatique (3% en France), cette part passe à 30 % pour les entreprises comptant plus de 501 travailleurs (23% en France, mais ce chiffre monte à 33% pour le segment des entreprises comptant entre 250 et 500 employés).

« Aujourd’hui, les incidents de cybersécurité peuvent arriver aux entreprises de toutes tailles et affecter leurs opérations de manière significative, ainsi que leur rentabilité et leur réputation » commente Konstantin Sapronov, de chez Kaspersky. « Cependant, comme le montre notre rapport analytique sur la réponse aux incidents, dans la plupart des cas, les auteurs des attaques utilisent des lacunes évidentes dans la sécurité numérique d’une organisation pour accéder à son infrastructure et voler des fonds ou des données. Ce fait suggère que les mesures de protection de base, que même les petites entreprises peuvent facilement adopter, comme la mise en place d’une politique de mots de passe rigoureuse, des mises à jour régulières et la sensibilisation des employés à la sécurité, peuvent, si elles ne sont pas négligées, contribuer de manière significative à la cyber-résistance de l’entreprise« .

En France, on constate que les petites et les moyennes entreprises sont tout autant visées par les cyberattaques. Cependant, les petites entreprises ne considèrent pas le risque cyber avec autant de sérieux, ce qui dénote un énorme besoin de sensibilisation quant à l’importance de la cybersécurité pour les petites entreprises.

Recommandation pour que votre entreprise reste protégée même en temps de crise

  • Mettez en place une politique de mots de passe forte, en exigeant que le mot de passe d’un compte utilisateur standard comporte au moins huit lettres, un chiffre, des lettres majuscules et minuscules et un caractère spécial. Veillez à ce que ces mots de passe soient modifiés en cas de suspicion de piratage. La Commission Informatique et des Libertés (CNIL) vient de publier ses recommandations sur le sujet.

  • N’ignorez pas les mises à jour. Celles-ci apportent généralement de nouvelles fonctionnalités et des améliorations de l’interface, mais elles permettent également de combler des lacunes en matière de sécurité.

  • En plus de la mise à jour de tous les appareils, une autre étape importante consiste à mettre en place des sauvegardes hors ligne de vos données afin de pouvoir y accéder rapidement si l’un des fichiers de votre entreprise se retrouve crypté. Vos solutions de sécurité doivent être capables d’identifier et de bloquer les logiciels malveillants inconnus avant qu’ils ne soient exécutés, et doivent disposer d’une fonction qui déclenche la création automatique de copies de sauvegarde en cas d’attaque