Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, IOT, Mise à jour, Securite informatique, Téléphonie

DeepMasterPrints : Des chercheurs réussissent à hacker des systémes biométriques

DeepMasterPrints : Des chercheurs de la New York University et de l’Université du Michigan ont trouvé le moyen de piéger des systèmes biométriques à partir de 6 000 empreintes digitales existantes.

DeepMasterPrints, le doigt dans l’œil de la biométrie. Des chercheurs (New York University et Université du Michigan) trouvent le moyen de piéger des systèmes biométriques. Comment ? à partir de 6 000 empreintes digitales existantes. Les étudiants ont créé à partir de ces 6 000 vraies empreintes, des empreintes digitales artificielles. Elles ont pu tromper les systèmes de sécurité proposés dans les ordiphones (smartphones). Une attaque baptisée « DeepMasterPrints ».

L’étude explique que les empreintes digitales inventées pour l’occasion font illusion une fois sur cinq. Leur « passe-partout » est capable d’usurper plusieurs personnes à la fois, alors que la biométrie est sensée être unique pour chaque individu. La société Counterpoint Research explique que 50% des smartphones vendus 2017 étaient équipés d’un systéme biométrique. 7 téléphones sur 10 seront « biométrie » d’ici la fin d’année 2018. Soit plus d’un milliard de téléphones portables intelligents.

La société expliquait l’année dernière que la fiabilité du capteur d’empreintes digitales était un problème majeur. « la plupart des capteurs d’empreintes digitales capacitifs sont faillibles.« . Cependant, avec les derniers capteurs d’empreintes digitales, avec une détection directe des doigts ou utilisant la technologie de détection par empreinte digitale à ultrasons pour créer une image 3D des empreintes digitales sont potentiellement plus efficace.

DeepMasterPrints

Pour fonctionner, les DeepMasterPrints tirent parti de deux propriétés des systèmes d’authentification par empreintes digitales. La première est que, pour des raisons ergonomiques, la plupart des lecteurs d’empreintes digitales ne lisent pas l’ensemble du doigt en même temps, mais plutôt la numérisation de la partie du doigt qui touche le scanner.

La seconde est que certaines caractéristiques des empreintes digitales sont plus courantes que d’autres. Cela signifie qu’une fausse empreinte contenant de nombreuses caractéristiques très communes est plus susceptible de correspondre à d’autres empreintes digitales que le pur hasard ne le laisserait penser.

Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Securite informatique

Six étapes pour empêcher la perte ou le vol de données

Avec le déclin du périmètre réseau traditionnel, il est désormais essentiel d’adopter une stratégie de sécurité axée sur les données afin de protéger les informations de l’entreprise contre la fuite ou le vol.

Nous assistons depuis plusieurs années à la dissolution du périmètre réseau identifiable. Le personnel mobile et les télétravailleurs, qui ont besoin d’un accès universel aux informations et aux ressources pour organiser leur collaboration, ont rendu entièrement obsolète le concept de périmètre réseau traditionnel — celui qui était auparavant défini par les limites géographiques et technologiques des serveurs et appareils de l’entreprise. L’écosystème mondial de l’information se bâtit désormais sur un modèle de collaboration ouverte, de confiance et de flux constants d’informations — précisément les caractéristiques qui sont actuellement exploitées par les cybercriminels.

Dans un monde numérique sans frontières, il est impératif de redéfinir l’approche de la sécurité. Il est important de s’éloigner d’une simple protection du périmètre réseau pour se concentrer sur la sécurisation des données, où qu’elles passent et où elles se trouvent. Voici six étapes permettant de mener cette opération à bien avec efficacité.

1. Identifier et classer les données sensibles

La première étape de toute stratégie de sécurité des données efficace consiste à déterminer la sensibilité de vos données et à repérer où elles résident, que ce soit dans le cloud, sur des disques partagés, des bases de données ou les trois à la fois. Il vous faut ensuite décider si ces données nécessitent une protection ou pas, et dans quelle mesure. La classification des données sert tout d’abord à identifier les données, où qu’elles se trouvent. Elle trie ensuite les données dans des catégories appropriées, en fonction de leur sensibilité et d’autres critères, et crée des politiques pour déterminer qui sont les employés autorisés à accéder à ces données, et les façons dont ils peuvent les utiliser. La classification des données peut constituer une aide précieuse pour les entreprises en matière de gouvernance, de conformité et de mandats de réglementation tels le PCI DSS et le RGPD, ainsi que dans le cadre de la protection de la propriété intellectuelle.

2. Attention à la menace interne accidentelle

Les employés font peser un grand risque sur les données internes, en dépit de la classification des données et des contrôles d’accès en vigueur. Les équipes informatiques doivent mener un audit et mettre en place une approche visant à définir un niveau de risque associé à chaque employé en fonction de ses possibilités d’accès aux données de l’entreprise. En effet, certains employés présentent un risque supérieur aux autres. Par exemple, les employés possédant des identifiants d’administrateur réseau posent un risque bien plus élevé que ceux qui n’ont qu’un accès utilisateur local. Les employés des services financiers, d’un autre côté, peuvent constituer une cible tentante pour les cybercriminels en raison des données lucratives qu’ils traitent. Comprendre quels employés posent les plus grands risques pour vos données et adapter vos défenses en fonction peut permettre à vos équipes informatiques de réduire considérablement la menace interne.

3. Ne pas se fier qu’à des technologies ponctuelles

La plupart des outils de sécurité actuels sont axés sur la visibilité et cherchent à faire barrage au point d’entrée pour protéger les systèmes. Ils balaient les fichiers à un moment précis pour déterminer s’ils sont malveillants. Mais des attaques avancées peuvent survenir à tout moment du jour ou de la nuit et en quelques secondes, exposant les actifs les plus sensibles des entreprises. Des technologies de détection en temps réel fournissent une vigilance constante et démontrent le sérieux de la stratégie mise en œuvre en matière de protection des données.

4. Comprendre les subtilités de la DLP

Bien que les cybercriminels représentent effectivement une menace pour les entreprises, le risque de perte de données accidentelle n’est pas à sous-estimer. Prenez par exemple un employé qui envoie un email confidentiel au mauvais destinataire, ou oublie une clé USB dans un train. Sans la DLP, ces actions pourraient entraîner une fuite de données et une violation des normes de conformité. Les technologies de DLP sécurisent les données en fonction des politiques prédéfinies et de la sensibilité des données. Si les données sont extrêmement sensibles et qu’un employé ne possède pas les autorisations d’accès nécessaires, il ou elle ne pourra pas copier ces données. Si la copie est autorisée, les données seront chiffrées pour garantir leur sécurité, où qu’elles soient transportées.

La DLP vient compléter la stratégie de sécurité d’une entreprise. L’approche réseau suffisait jusqu’ici. Maintenant que les informations voyagent sur de grandes distances, il est beaucoup plus facile de pénétrer à l’intérieur du périmètre étendu d’une entreprise. Sans la DLP, l’attaquant aurait accès à une manne de données sensibles. Avec la DLP en place, même en cas de faille dans le périmètre, l’attaque a bien moins de possibilités de nuire et de voler des données sensibles, ou quoi que ce soit d’ailleurs. En associant la sécurité réseau, la DLP et des mesures de sécurité comme la protection avancée contre les menaces, une entreprise peut rendre le vol de ses données presque impossible.

5. Au-delà de la conformité

Bien que de nombreuses industries et régions soient soumises à des exigences de conformité, notamment HIPAA, PCI et RGPD, ces normes ne sont qu’une première étape dans la protection des données sensibles. Elles forment une base solide, mais il faut poursuivre la démarche pour assurer la sécurité des données sensibles critiques, au-delà des numéros de cartes bancaires et de sécurité sociale. Pour véritablement vous assurer que la sécurité de vos données est parfaitement étanche, vous devez penser la conformité et la sécurité au-delà de simples cases à cocher.

6. Comprendre la diversité des menaces ciblant les données

Les outils que vous choisissez pour la sécurité doivent être réactifs et tenir compte des menaces externes comme les programmes malveillants et les attaques par force brute. Beaucoup de solutions de DLP se concentrent sur les fuites de données accidentelles — la menace interne — mais n’ont pas la possibilité de prendre en compte les menaces externes qui font également peser un risque sur les données. Les solutions de DLP intelligentes tiennent compte de la possibilité de vol d’identifiants par des attaques externes pour pénétrer le réseau sous l’identité d’un employé. Il devient capital de bénéficier d’un service de renseignement sur les menaces. Supposons qu’un pirate corrompe le compte d’un administrateur. Une solution intelligente et complète empêchera l’administrateur de déplacer des données ou du moins les chiffrera, en raison du caractère inhabituel de ce comportement ou de l’emplacement d’où a lieu la connexion.

Beaucoup de produits de sécurité prétendent protéger les données alors qu’ils ne sont pas dynamiques et ne tiennent pas compte du contexte.

Pour empêcher la perte ou le vol des données, il convient de prendre en compte l’évolution du périmètre réseau traditionnel et adopter une combinaison de solutions de sécurité régies par politiques et de sensibilisation des employés. En identifiant les emplacements où résident les données sensibles, en définissant des politiques pour les gérer et en mettant en œuvre des contrôles d’accès appropriés, les entreprises se placent en position de force pour se défendre contre les menaces internes et externes. Avec le déclin du périmètre réseau traditionnel, il est essentiel d’adopter une solution de sécurité avec un axe sur les données pour protéger les informations de l’entreprise contre la fuite ou le vol. (Par Jan van Vliet, Responsable EMEA, Digital Guardian)

Banque, BYOD, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fraude au président, Fuite de données, Mise à jour, Securite informatique

P4R4Risque, un support ludique dédié à la sensibilisation cybersécurité

C’est à Quebec que j’ai rencontré Christopge Jolivet le concepteur d’un support de sensibilisation à la cybersécurité baptisé P4R4Risque. Un support de sensibilisation sous la forme d’un jeu de plateau efficace.

S’il fallait définir rapidement P4R4Risque, je pourrai le traduire comme un jeu de plateau dédié à la cybersécurité. Des cases, des pions, des cartes et des dés. Mais la comparaison s’arrêtera là.

Christophe Jolivet indique que son support est dédié à la sensibilisation par le jeu. Un mode ludique pour parler d’une thématique cybersécurité au sein de son entreprise. « Par des séances de sensibilisation, explique l’auteur, vous stimulerez l’interaction entre les participants en les confrontant à des situations réelles« . Et c’est toute la force de P4R4Risque.

Des questions reprenant des situations que peuvent vivre les entreprises, les salariés, … Les participants sont dans la peau d’une compagnie fictive qui possède des actifs. Parmi ces actifs, l’information stratégique ou confidentielle (renseignements personnels) des clients. L’objectif est de protéger adéquatement l’information de votre compagnie contre les scénarios de risques qui se présenteront à vous à tour de rôle par l’acquisition et la mise en place de mesures stratégiques, tactiques, opérationnelles et complémentaires.

22 scénarios proposés. Ils regroupent 7 familles de risques d’affaires. Il n’y a pas de gagnant ni de perdant ! La finalité étant que ce support ludique déclenche des échanges entre les employés. L’auditoire comprend ce qu’est la gestion de risques (accepter, mitiger, transférer). Il comprend que ces mesures S/T/O/C atténuent les risques et qu’elles ne sont pas gratuites.

Une vision internationale de la gestion de risques basée sur ISO27005 et ISO31000. Vous pouvez y retrouver aussi, par exemple, une version RGPD ou encore PCI-DESS. P4r4risque est commercialisé à partir de 99 $ canadiens (66€).

Communiqué de presse, Cybersécurité, Justice, loi, Mise à jour, RGPD, Securite informatique

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle, Securite informatique

Espionnage des conducteurs de voiture via leur autoradio

Les habitudes d’écoute de milliers de conducteurs de voitures surveillées, sans consentement, durant 3 mois. But final, diffuser des publicités ciblées !

Environ 90 000 conducteurs de véhicules General Motors ont été surveillés par le constructeur de voitures. Les propriétaires et leurs passagers ont été surveillés durant 3 mois alors qu’ils voyageaient sur les routes de Chicago et de Los Angeles. C’est l’équipe Detroit Free Press qui a révélé cet espionnage qui s’est déroulé en 2017. General Motors a confirmé cette « écoute » qui aurait été mis en place dans le cadre de son programme de suivi de radio. La société a reconnu collecter des données afin de les utiliser manière intelligente. Bref, traduisez par la diffusion de publicités ciblées. Vous comprenez maintenant pourquoi le fait de savoir que Renault a choisi Google comme moteur de recherche peut inquiéter les utilisateurs. Google connaîtra l’ensemble des comportements des conducteurs de voiture de la marque française. Qwant aurait été parfait pour éviter ce ciblage.

Via le Wi-Fi des voitures

Pour général Motors, lors de son test de trois mois, l’espionnage a utilisé le Wi-Fi proposé dans les voitures pour suivre les habitudes de certains de ses conducteurs dans l’espoir de voir s’il existait un lien entre ce que les conducteurs écoutent et ce qu’ils achètent. GM, avec 10 millions de voitures en circulation, est l’un des premiers constructeurs à entreprendre une telle étude. A noter que les 90 000 conducteurs de Los Angeles et de Chicago impactés avaient accepté de participer à une « proof of concept » sans connaitre la finalité de cette preuve de concept. « Les données sont ensuite agrégées et anonymisées. Les résultats obtenus sur un très grand échantillon et n’incluent aucune information personnellement identifiable » indique General Motors.

Espionnage dans nos voitures

L’espionnage, via les automobiles, n’est pas une nouveauté. Je vous passe les contenus que sont capables de stocker les « clés » sans fil des voitures. En 2015, Chevrolet proposait aux parents un logiciel d’espionnage, Teen Driver, intégré dans ses voitures. Raison invoquée, permettre aux parents de suivre leurs enfants conducteur ! Mais aussi être averti si la vitesse est dépassée (vitesse choisie par les parents). Recevoir des rapports sur les véhicules. Limiter le volume audio de l’auto radio.

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Fuite de données, Securite informatique

Élaborer une stratégie de sécurité des données – pourquoi les acteurs du marché doivent collaborer

D’ici 2025, près de 90 % des données créées dans le monde nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées.

L’augmentation de l’influence des données sur nos données personnelles, nos vies personnelles et professionnelles au cours des dernières années a été plus rapide que ce que l’on pouvait imaginer. Le rythme du changement devrait se poursuivre : selon le rapport Data Age 2025 d’IDC et de Seagate, d’ici 2025, le volume de données mondial pourrait atteindre 163 zettaoctets et 90 % de ces données nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées. Face aux cas de violation de données et de cybercriminalité qui font beaucoup parler d’eux dans les médias, les entreprises de différents secteurs, tels que la finance, le transport, la santé et la distribution, reconnaissent le besoin urgent d’investir dans la sécurité des données.

Comme on pouvait s’y attendre, ce regain d’intérêt pour les produits de sécurité des données n’a pas échappé au marché de la sécurité. Celui-ci est à présent sous de nouvelles offres de produits et solutions qui prétendent répondre aux préoccupations des entreprises et aux nouvelles réglementations gouvernementales, telles que le règlement général sur la protection des données (RGPD) de l’Union européenne. Selon un récent rapport de MarketsandMarkets, le marché mondial de la cybersécurité pourrait atteindre 231 milliards de dollars d’ici 2022.

Manque de vision d’ensemble

Bien que l’augmentation des dépenses puisse être une bonne chose pour la sécurité des données, il est à craindre que, dans la course visant à être le premier à commercialiser de nouveaux produits et services, les fournisseurs du secteur de la sécurité n’aient pas de vision d’ensemble. La sécurité est un cercle et non une ligne : il incombe à chaque acteur impliqué dans la gestion et le traitement des données de garantir leur sécurité. Concrètement, cela implique de recentrer l’attention sur les domaines de la protection matérielle et logicielle qui n’ont jamais été au centre des préoccupations ou fait l’objet d’importants investissements de la part des entreprises, la sécurité au niveau des disques étant à cet égard un parfait exemple.

Un problème de silos

Comme pour bon nombre d’autres questions liées aux technologies de l’information, le problème commence par les silos. Aujourd’hui, les données se déplacent fréquemment, ce qui augmente les problèmes de sécurité. Pour le moment, tous ceux impliqués dans la gestion et le traitement des données – des opérateurs de réseaux aux fabricants de matériel en passant par les éditeurs de logiciels Cloud – ont chacun leurs propres techniques pour sécuriser leur petite partie de la chaîne de valeur des informations et vont rarement plus loin.

Cela devient un réel problème à l’heure où l’environnement mondial des données gagne en complexité. Nous assistons à l’essor de l’IdO, des systèmes embarqués, de l’apprentissage automatique et de l’analyse en temps réel, qui peuvent tous être en fonction dans des systèmes complexes tels que les véhicules autonomes et les drones. Plus il y a d’étapes dans le transfert de données, plus il y a de risques d’infiltration de malfaiteurs dans le système.

Pour fournir à leurs clients les environnements les plus fiables, les fournisseurs du secteur de la sécurité devront garder une longueur d’avance sur plusieurs aspects : la manière dont les entreprises mettent en œuvre leurs technologies, quels sont les autres produits utilisés dans la même pile et comment ces différents produits peuvent fonctionner ensemble pour créer une boucle de protection des données des clients.

Données personnelles : sécurité au niveau des disques

Dans un monde où les propriétaires d’informations sont constamment sous les attaques de type WannaCry, il est important de s’assurer que chaque maillon de la chaîne de sécurité est en place et que tous les éléments matériels et logiciels qui gèrent des contenus sensibles disposent de fonctions de sécurité adéquates. Selon un récent rapport Thales Data Threat, les outils de protection des données inactives sont systématiquement considérés comme le meilleur moyen de protéger les données après l’infiltration d’attaquants. Le chiffrement des données inactives fonctionne comme une dernière ligne de défense : si un malfaiteur parvient à violer des couches de sécurité externes en utilisant des informations d’identification piratées ou frauduleuses, le chiffrement au niveau du matériel peut protéger l’entreprise contre le vol de données.

Cependant, malgré les avantages évidents, ce type de chiffrement est en retard sur d’autres domaines, tels que la sécurité des réseaux et des terminaux, en termes d’investissement. Selon le rapport Thales Data Threat mentionné précédemment, en 2016, la sécurité des données inactives figurait au bas de l’échelle de l’augmentation des dépenses : +44 %, contre +62 % pour la sécurité des réseaux et +56 % pour la sécurité des terminaux.

Données personnelles : boucler la boucle

Selon l’étude Cost of Cybercrime d’Accenture, le nombre de violations de données a augmenté de 27,4 % en 2017 par rapport à 2016. Il devient de plus en plus difficile de se protéger contre ce type d’attaques.

Pensons, par exemple, à la multitude d’entreprises qui utilisent des services hébergés dans un Cloud. Compte tenu de l’augmentation des données stockées dans le Cloud, les entreprises doivent se préparer à faire face à des problèmes de sécurité majeurs en cas de défaillance de la technologie du Cloud. Et il y en a de nombreux exemples. De même, le développement rapide de la technologie de la chaîne de blocs (blockchain) et les attaques de logiciels malveillants tels que WannaCry présentent des menaces beaucoup plus graves que celles auxquelles les entreprises s’habituent.

Il n’y a pas de réponse unique à ces différentes menaces, et c’est vraiment le point le plus important. À l’époque où nous vivons, la sécurité dans cette nouvelle ère exige que plusieurs systèmes de défense complexes fonctionnent harmonieusement les uns avec les autres. Ces systèmes, y compris le chiffrement au niveau des disques, doivent communiquer entre eux et former une boucle de sécurité autour des données sensibles. Les acteurs du marché de la sécurité doivent collaborer et être compétitifs pour pouvoir servir efficacement leurs clients. (Par Raghavan Srinivasan, directeur de l’entité Enterprise Data Solutions chez Seagate Technology pour DataSecurityBreach)

Chiffrement, cryptage, Cybersécurité, double authentification, Emploi, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Securite informatique

Californie : une loi interdit les mots de passe trop légers

Finis les mots de passe de type 123456, password, admin, 000 … C’est ce que vient de décider l’Etat de La Californie via une loi qui contraint les entreprises à fournir des mots de passe sérieux dés la sortie d’usine.

La Californie vient de décider que toutes les entreprises capables de proposer des objets connectés (IoT) seront dans l’obligation de le faire avec un mot de passe sérieux dès la sortie d’usine. A partir de 2020, ce qui laisse le temps aux sociétés locales de régler leurs configurations respectives, fini les mots de passe de type 123456, 0000, admin, welcome, password ou… rien.

Les nouvelles règles de ce projet de loi décidé par le gouverneur Jerry Brown indiquent que chaque appareil sera équipé d’un mot de passe unique, préprogrammé. L’autre option, la plus rapide à mettre en place, obliger les utilisateurs à mettre en place un mot de passe fort.

Peu de détails supplémentaires sur la façon dont spécifiquement les vendeurs vont devoir s’y prendre pour sécuriser leurs produits. Petit détail, de taille, la loi n’oblige pas les fabricants à publier de nouvelles améliorations pour accroître la sécurité de leur technologie, par exemple en envoyant régulièrement des correctifs de sécurité faciles à installer pour les vulnérabilités connues.

Pour conclure, saluons quand même ce premier pas vers une sécurisation des comportements des consommateurs qui oublient bien trop souvent de modifier leurs identifiants de connexion.

Parmi les autres obligations, la Loi sur l’amélioration de la cybersécurité de l’internet des objets, qui obligerait les entreprises à fournir certaines assurances quant à la sécurité des appareils IoT vendus au gouvernement fédéral. En 2016, la société GData avait analysée 12 000 routeurs domestiques en 2016 a démontré que 15% des périphériques utilisaient des mots de passe particulièrement faibles.

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, ransomware, Securite informatique

Cybersécurité : les PME examinent seulement une alerte de sécurité sur deux

Étonnant chiffre que j’ai vu passer dans un communiqué de presse diffusé par Cisco. Une PME sur deux se pencherait sur une alerte de sécurité informatique.

Les petites et moyennes entreprises (PME) sont devenues des cibles attractives pour les cybercriminels, qu’elles soient victimes ou le point initial d’attaques plus vastes. Bon nombre de ces organisations n’ont pas les moyens d’y faire face. Leurs infrastructures et politiques de sécurité sont moins sophistiquées et les collaborateurs formés pour réagir aux menaces restent peu nombreux. Car dans le paysage actuel, toute organisation, quelle que soit sa taille, est en danger. Étonnamment, de nombreuses PME commencent seulement à se rendre compte qu’elles sont exposées aux mêmes menaces que les autres entreprises. Des prises de conscience qui ont bien souvent lieu après une attaque. D’après Cisco, plus de la moitié (54 %) des cyberattaques entraînent des dommages de plus de 500 000 Euros. Assez pour mettre hors d’opération une petite/moyenne entreprise non préparée, de façon permanente.

Plus de la moitié des moyennes entreprises ont été victimes d’une faille

Cisco dévoile, via une enquête à partir de 1 816 PME interrogées dans 26 pays que les PME/PMI ne sont pas prêtes. Selon le rapport, 53% des répondants ont été victimes d’une faille. Ces atteintes à la protection des données ont souvent des répercussions financières durables sur l’entreprise. Interessant de savoir ce qu’entendent les répondants par faille. Les PME font face à moins de 5 000 alertes de sécurité par jour. Les PME examinent 55.6 % des alertes de sécurité. Les attaques ciblées contre les employés telles que le phishing (79 %), les menaces persistantes avancées (77 %), les logiciels de rançon (77 %), les attaques DDoS (75 %) et la prolifération du BYOD (74 %) sont les cinq principaux problèmes de sécurité des PME. Plus de la moitié de ces organisations font appel à des partenaires externes pour obtenir des conseils et services, des interventions en cas d’incident et de la simple surveillance. Le site référence en matière d’actualités liées à la cybersécurité ZATAZ propose un service pour mettre sous surveillance des données proposées. Une veille dans le black market et autres réseaux pirates afin de contrer l’utilisation d’informations volées, piratées …

Optimiser l’efficacité de la sécurité

Si les entreprises de taille moyenne disposaient des ressources en personnel nécessaires, elles seraient plus susceptibles d’investir dans : la mise à niveau de la sécurité de leurs endpoints vers une protection avancée plus sophistiquée contre les logiciels malveillants/EDR – la réponse la plus courante à 19% ; la protection des applications Web contre les attaques Web (18 %) ; le déploiement de la prévention des intrusions, toujours considérée comme une technologie essentielle pour arrêter les attaques réseau et exploiter les tentatives (17 %).

Alors, que peuvent faire de plus les PME ?

Le risque zéro n’existe pas. Les organisations peuvent prendre des mesures pour rendre leur entreprise « sensible à la sécurité ». Pour cela, une série d’initiatives : transmettre aux employés les connaissances de base nécessaires. Le mois de la cybersécurité démarre et c’est l’occasion idéale d’informer les employés sur les vecteurs d’attaques les plus répandus et ce qu’ils peuvent faire pour les éviter. Passer en revue leurs polices d’assurance pour assurer la couverture des pertes d’affaires découlant d’une cyberattaque. Anticiper les messages de communication en cas de crise, pour contribuer à une récupération plus rapide et limiter les atteintes à leur réputation.

Cyber-attaque, Cybersécurité, double authentification, Entreprise, Facebook, Fuite de données, ID, Identité numérique, Leak, Mise à jour, Particuliers, Piratage, Securite informatique, Social engineering, Vie privée

Piratage de Facebook : 400 000 infiltrations + 400 000 + 400 000 …

Facebook vient d’expliquer le piratage qu’a subi la plateforme de réseautage. Il n’y aurait eu que 400 000 personnes impactées. vraiment ?

Facebook a diffusé, ce 13 octobre, un communiqué de presse expliquant son piratage. Si la société avait annoncé entre 30 et 50 millions de comptes impactés, Facebook parle aujourd’hui de 400 000 utilisateurs véritablement infiltrés. Les pirates ont pu se servir de leur compte personnel.

15 millions d’utilisateurs ont perdu leur véritable identité et coordonnées. Pour 14 millions de personnes, les assaillants ont eu accès aux deux mêmes types d’informations, ainsi qu’à d’autres détails figurant dans leur profil. Cela incluait le nom d’utilisateur, le sexe, le lieu / la langue, le statut de la relation, la religion, la ville d’origine, la ville actuelle déclarée, la date de naissance, les types d’appareils utilisés pour accéder à Facebook, au travail, les 10 derniers lieux dans lesquels ils ont ouvert ou ajouté des tags, site Web, les personnes ou les pages qu’ils suivent et les 15 recherches les plus récentes.

Pour 1 million de personnes, les attaquants n’ont eu accès à aucune information.

400 000 + 400 000 + 4000 000 …

En lisant le communiqué de presse, la formulation est floue. Un flou qui ne semble pas être un hasard. Je m’explique. En comptant tous les amis, le nombre de conversations accessibles, … on se retrouve avec des millions de personnes impactés. Bien plus que les 30 millions indiquées. Le paragraphe concernant l’accès aux messages devrait faire réfléchir : « Message content was not available to the attackers, with one exception. If a person in this group was a Page admin whose Page had received a message from someone on Facebook, the content of that message was available to the attackers. » Bref, les amateurs de fractals commencent à comprendre mon interrogation. Cela en fait des informations et des messages « privés » si j’additionne les amis, des amis, des amis de mes amis !

Dernier point, il est intolérable que les pages « sécurité » dont celle dédiée à ce piratage ne soient pas traduite dans les langues des utilisateurs. De nombreuses personnes inquiètes ne comprennent ni le vocabulaire « juridique » employé, ni la langue de Shakespeare.