Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

BYOD au 0Day : sécurité, une année bissextile à l’autre

Vous avez peut-être remarqué que le 29 février figurait dans notre calendrier, cette année : 2016 est en effet une année bissextile ! En matière de cybersécurité, beaucoup de choses ont changé, comme l’arrivée du BYOD, au cours des quatre dernières années. Voici quatre évolutions majeures intervenues depuis 2012, soit une moyenne d’une par an.

Sécurité du cloud : de l’adoption à la redéfinition des frontières
2012 : les experts prévoyaient une hausse de l’adoption de solutions de sécurité des données dans le cloud ; cette hausse était censée affecter l’approche des entreprises en la matière, ainsi que les modes de fourniture des éditeurs. Le cloud hybride commençait à émerger en raison de ses avantages en matière d’agilité et de sécurité. En outre, suite à l’explosion en 2011 des APT (menaces persistantes avancées) à l’encontre de grandes sociétés ou d’administrations publiques, on s’attendait à une recrudescence de ces attaques ciblées en 2012.

2016 : entre l’invalidation de l’ancien cadre Safe Harbor et la création du nouveau cadre baptisé E.U.-U.S. Privacy Shield, les réglementations en matière de résidence et de souveraineté sur les données ont été des sujets de conversations majeurs. Et à la suite de la révélation au grand jour d’affaires de surveillance/d’espionnage, des législations de plus en plus rigoureuses sont à prévoir. En outre, avec le développement des nouvelles technologies et l’évolution des solutions de sécurisation des applications dans le CLOUD (CASB), les frontières entre les applications et processus opérationnels compatibles avec le cloud et les autres feront l’objet d’une nouvelle délimitation. Les entreprises utiliseront plus volontiers le cloud là où cela aurait été considéré comme inconcevable il y a quelques années.

Le débat sur la cybersécurité à Washington
2012 : le projet de loi Cybersecurity Act de 2012, soit la législation la plus complète en la matière à l’époque, est rejeté par le Sénat à l’issue d’un vote à 52 voix contre 46. À ce moment, nombreux sont ceux qui pensent que ce rejet empêchera l’adoption de la moindre législation en matière de cybersécurité pour le reste de l’année, voire pour les années à venir.

2016 : nous sommes maintenant en 2016, et l’atmosphère à Washington est clairement différente. En octobre 2015, le Sénat a adopté à 74 voix contre 21 le projet de loi sur le partage d’information de sécurité informatique. De plus, en 2016, la Maison Blanche a dévoilé un plan d’actions national en matière de cybersécurité (CNAP) afin de renforcer les systèmes de protection numérique des États-Unis.

Des failles de plus en plus grandes   
2012 : cette année-là, de très grandes entreprises ont été victimes de piratages affectant des millions de personnes. Des enseignes commerciales pour le grand public et de grandes sociétés de cartes de crédit ont connu des fuites de données qui ont donné le ton pour l’avenir. À cette époque, les pirates ciblaient principalement les informations relatives aux cartes de crédit, qu’ils obtenaient et revendaient ensuite sur le marché noir.

2016 : en quatre ans, les attaques ont considérablement évoluées. Les secteurs des services financiers et de santé sont désormais durement touchés. En outre, les types d’informations dérobées par les pirates ont également changé. Les données des dossiers médicaux ont une durée de vie largement supérieure et peuvent être utilisées pour des usurpations d’identité. Contrairement aux données financières, qui deviennent inexploitables une fois que la victime s’aperçoit de la fraude et fait opposition sur sa carte, un numéro de sécurité sociale peut difficilement être changé, tandis que des dossiers médicaux et pharmaceutiques sont permanents. Il existe également un marché important pour la fraude et l’arnaque à l’assurance santé, une opportunité bien cernée par les pirates.

Sécurité du BYOD vs. sécurité de l’IdO
2012 : il y a quatre ans, le BYOD devenait sans cesse plus populaire sur le lieu de travail et connaissait son plus bel essor. À l’époque, les acteurs du secteur étaient obsédés par les problèmes de compatibilité que provoquerait cette tendance croissante, ainsi que par les risques de sécurité liés au fait que des employés accèdent à des données professionnelles privées sur leurs appareils personnels.

2016 : bien que le BYOD suscite toujours plus d’inquiétudes sur le plan de la sécurité, les experts prêtent davantage attention à la recrudescence des attaques par des machines « zombies ». Le cabinet de recherche Gartner prévoit que 6,8 milliards d’appareils connectés seront utilisés en 2016, soit une hausse de 30 % par rapport à 2015. Le nombre important d’appareils connectés, ou le phénomène de l’« Internet des Objets », représente une opportunité sans précédent pour les pirates, et beaucoup pensent que le problème va s’aggraver en raison de l’exposition croissante des consommateurs.

Etude : quel est l’impact de la cybersécurité sur la finance et la réputation des entreprises ?

La prévention des fuites de données passe par la collaboration, le partage des connaissances et la définition de critères de réussite, avant que des changements réglementaires ne s’opèrent.

Une nouvelle étude de Palo Alto Networks révèle qu’il reste encore beaucoup à faire dans les domaines de la collaboration et du partage de responsabilités pour ce qui est de la prévention des cyberfailles – deux démarches pourtant cruciales que doivent adopter les entreprises en France si elles veulent éviter de lourdes pénalités financières et préserver leur réputation.

Le principal enseignement de cette étude d’envergure européenne est que l’essentiel des responsabilités repose exclusivement sur les épaules des professionnels de l’informatique, puisque près de la moitié (46 %) des décideurs estiment que la protection d’une entreprise contre les risques de cybersécurité est en définitive du ressort du service informatique. Les effectifs de ce service admettent d’ailleurs, dans une proportion significative (57 %), être seuls compétents pour assurer cette sécurité.

Ces conclusions interviennent alors même que l’Union européenne est en passe de finaliser son Règlement général sur la protection des données, qui obligera les entreprises à se conformer à certaines spécifications de pointe en matière de cybersécurité. Ces dernières les aideront à prévenir les risques de non-conformité et, ce faisant, à éviter des amendes de l’ordre de 10 à 20 M€ (jusqu’à 2 à 4 % de leur chiffre d’affaires annuel mondial). En cas de fuite avérée, ce règlement engage également la responsabilité de quiconque a accès aux données – depuis le service clients jusqu’à la direction en passant par les informaticiens.

Nombre de décideurs ont toujours bien du mal à appréhender la cybersécurité
Ces résultats semblent indiquer que la pierre d’achoppement, s’agissant de la répartition inégale des responsabilités, pourrait être la conséquence d’une méconnaissance de la cybersécurité au niveau de la direction. Plus d’un décideur sur dix (13 %), parmi les participants explicitement interrogés à ce sujet, avoue cerner « à peu près » ce qui constitue un risque pour la sécurité en ligne de l’entreprise, mais « devoir malgré tout faire appel à Google pour obtenir des éclaircissements ».

Si les participants prennent de plus en plus la mesure des cyber-risques auxquels sont confrontées les entreprises, un salarié sur dix demeure convaincu que les dirigeants de sa société n’ont pas une idée suffisamment précise ou exacte des problématiques de cybersécurité actuelles pour mettre obstacle aux cyberattaques, et éviter ainsi qu’elles ne portent atteinte à l’environnement informatique.

La définition des critères de « réussite » indispensable à l’attribution des rôles
Divers règlements et dispositifs normaliseront les critères de réussite déterminant l’efficacité de la cybersécurité ; néanmoins, dans l’intervalle, un accord interne doit être trouvé permettant de définir les rôles et responsabilités de chacun, et de parvenir à un consensus sur une approche unifiée entre entreprises.

Les résultats de l’étude mettent en exergue le fait que les évaluations de sécurité réalisées par les entreprises ne prennent pas en compte la totalité des éléments composant le risque. À l’heure actuelle, une entreprise sur quatre (25 %) mesure l’efficacité de la cybersécurité en fonction du nombre d’incidents bloqués par sa politique de cybersécurité ; une sur cinq (21 %) se réfère à la durée de résolution des incidents. Elles sont 13 % à prendre en compte la date du dernier incident. Des mesures préemptives et en temps réel, comme la capacité d’une entité à superviser la totalité du trafic sur son réseau, doivent être prises en compte pour évaluer précisément les risques encourus.

« Les nouvelles réglementations de l’UE obligeront les entreprises à intensifier leurs pratiques en matière de cybersécurité, et il s’agira là d’une opportunité ou d’un risque, selon l’approche qu’elles auront choisie. En définitive, il est essentiel que les décideurs admettent que la cybersécurité relève de la responsabilité de chacun – car il ne s’agit plus ici d’un artifice obscur, mais d’une pratique quotidienne à laquelle aucun échelon de l’entreprise ne peut se soustraire », commente Arnaud Kopp, Directeur Technique Europe du Sud chez Palo Alto Networks

Recommandations aux entreprises européennes
Palo Alto Networks recommande aux entreprises de prendre les mesures suivantes pour consolider leurs environnements informatiques et mieux les protéger des cyberattaques :

1.     Élaborer une stratégie de cybersécurité axée sur la prévention des cyberattaques à chaque stade du cycle de vie des attaques, en sensibilisant et responsabilisant les collaborateurs.

2.     Faire appel à une technologie de sécurité automatisée de pointe qui, non seulement, se conforme aux réglementations, mais donne également aux collaborateurs les moyens de travailler efficacement avec les outils qui leur sont indispensables.

3.     Sensibiliser tous les acteurs de l’entreprise au rôle qui doit être le leur afin de prévenir la menée à bien des cyberattaques à son encontre.

Méthodologie de l’étude : L’étude a été réalisée en ligne par Redshift Research en octobre 2015. Elle a été menée auprès de 765 décideurs dans des entreprises comptant au moins 1 000 salariés, implantées au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

Technique et légalité des émulateurs de jeux vidéo

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique !

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique, celui de l’informatique et des jeux vidéo n’est pas en reste. Alors que les grandes entreprises informatiques et éditrices de jeux vidéo comme Sony ou Nintendo investissent des sommes colossales en R&D afin de mettre au point des appareils de haute technologie, il se développe un marché moins officiel qui est celui des logiciels émulateurs destinés à faire revivre des vieux jeux vidéo « abandonnés » par leurs éditeurs ou qui sont devenus commercialement obsolètes. L’émulateur est défini comme le logiciel ou programme permettant de simuler sur une machine le fonctionnement d’une autre. Plusieurs sites Internet proposent de rendre compatibles des ordinateurs récents avec d’anciens jeux vidéo. Les jeux vidéo d’une ancienne console qui ne fonctionnaient qu’avec des ordinateurs de l’époque (environnement MS-DOS) deviendront compatibles avec par exemple des périphériques graphiques, carte son et écran fonctionnant sous Windows XP.

Quid de la légalité des émulateurs au regard du droit d’auteur
Le développement de ce marché caché a fait si l’on peut dire des émules puisque Nintendo lui-même a stratégiquement choisi d’intégrer des émulateurs dans sa Wii, permettant à cette console d’accueillir des jeux édités pour d’anciennes consoles Nintendo. Mais si Nintendo dispose du droit de modifier ses propres logiciels, il n’en va pas de même du développeur qui sans aucun droit sur le jeu vidéo ou logiciel présent à l’intérieur de la console créé un programme permettant de simuler les composants du logiciel d’une console. En effet, modifier le Bios d’un logiciel constitue un acte de contrefaçon aux droits d’auteur portant sur ce logiciel. Cela est particulièrement vrai depuis l’arrêt de l’Assemblée plénière de la Cour de cassation du 7 mars 1986 considérant que le logiciel était une œuvre de l’esprit protégeable (protection du droit à la paternité et à l’exploitation de l’œuvre).

Mais qui sont les bénéficiaires de cette protection contre les actes de contrefaçon et ici singulièrement contre les logiciels émulateurs ?
Le droit d’auteur français étant un droit personnaliste, l’œuvre de l’esprit est relativement bien protégée et sauf les exceptions du droit à la décompilation, des logiciels libres ou lorsqu’il y a eu renoncement aux droits d‘auteur, ces œuvres ne sont jamais libres de droits durant le temps de protection prévu par l‘article L.123-1 du Code de la propriété intellectuelle (qui est de 70 ans après le décès de l’auteur de l‘œuvre).

Peu importe par conséquent les doutes récurrents en jurisprudence sur la qualification juridique à retenir du logiciel. Qu’il s’agisse d’une œuvre collective (bien souvent une personne morale en est l’instigatrice) ou d’une œuvre de collaboration entre plusieurs auteurs, les droits d’auteur sur le logiciel sont garantis pendant 70 ans après le décès de l’auteur. Ce droit d’exclusivité profitera donc aux ayants droits de chacun des auteurs en cas de qualification d’œuvre de collaboration du logiciel. Ce droit de protection bénéficiera également en cas de qualification d’œuvre collective du logiciel aux associés d’une entreprise ayant cessé son activité pour une raison quelconque (départ en retraite du dirigeant, liquidation etc…).

Il en résulte donc que les développeurs d’émulateurs ne pourront pas en cas de contentieux, invoquer devant le juge le décès de l’auteur ou l’abandon par une société éditrice de ses droits sur le logiciel reproduit. Tout acte de reproduction du logiciel ou de ses composants est  normalement soumis à l’autorisation de l’éditeur en vertu de l‘article L.122-6 du Code de la propriété intellectuelle.

Justification de l’émulateur par l’exclusivité de décompilation ?
La seule possibilité envisageable en cas de litige reste celle de l’exclusivité de décompilation prévue à l’article L.122-6-1 du CPI, exception légale aux droits d’auteur prévue afin de garantir une concurrence saine entre éditeurs de logiciels en permettant une interopérabilité entre différents logiciels. Les conditions de mise en œuvre de ce droit à décompilation sont très strictes et il est peu probable que les émulateurs de logiciels puissent entrer dans cette exception.

Décompiler un logiciel (ou ingénierie inverse) consiste à le désassembler afin d’en connaître les données et les instructions qui en permettent le fonctionnement, en vue de retraduire le code objet pour remonter au code source. Toutefois, entre les différentes phases de conception et les éléments qui composent le logiciel, il est difficile de déterminer ce qui est protégeable par le droit d’auteur. Si les fonctionnalités d’un logiciel ne sont pas protégeables selon la Cour européenne (CJUE, 2 mai 2012,  SAS Institute Inc. c/ World Programming Ltd), les travaux préparatoires de conception du logiciel tels que les plans électroniques sont eux susceptibles d’une protection par le droit d’auteur.

L’une des conditions essentielles pour décompiler légalement est d’être un utilisateur légitime du logiciel. La cour d’appel de Paris a rappelé que les développeurs de linkers, dispositifs permettant de lire des jeux vidéo piratés sur la console DS de Nintendo, étaient responsables d’actes de contrefaçon au motif pris qu’ils n’étaient pas des utilisateurs légitimes (Paris, 26/09/2011 affaires Nintendo).

L’émulateur de logiciel n’est donc pas en harmonie avec le droit d’auteur sauf lorsque les auteurs, éditeurs ou les ayants droits de ces derniers ont manifesté leur volonté de ne plus exploiter leurs droits et hormis ce cas, on est en présence d’actes de contrefaçon en cas de reproduction du logiciel ou de décompilation à d’autres fins que celle d’interopérabilité. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Classification des données : la première étape pour sécuriser votre propriété intellectuelle

Le piratage médiatisé du site Ashley Madison devrait inciter toute entreprise hébergeant des données (à vrai dire, toutes les entreprises de la planète) à se pencher sérieusement sur la sécurité de leurs données. Dès lors que vous saisissez des informations d’une personne dans la base de données de votre entreprise, vous devez vous assurez que ces dernières restent privées et confidentielles. Cette exigence fait partie des bonnes pratiques, et, dans certains pays, elle est même réglementaire.  En cas de piratage et de divulgation de ces données, vous pourriez bien encourir des poursuites judiciaires et des pénalités… sans compter la mauvaise presse qui ternira l’image de votre entreprise.

Les entreprises soumises aux réglementations les plus strictes, dans les métiers de la finance et des soins de santé par exemple, connaissent plutôt bien les informations dont elles disposent, ainsi que leur niveau de confidentialité. Mais de nombreuses autres entreprises ne sont pas forcément au fait de leurs obligations en matière de sécurité de leurs bases de données. A titre d’exemple, un point de vente est susceptible de détenir des informations personnelles liées à un programme de fidélité, tandis qu’un acteur de la vente par correspondance gère des centaines ou des milliers de numéros de carte de paiement. Autant de données qui exigent d’être parfaitement sécurisées.

Et il ne s’agit pas que des informations personnelles : toute ressource ou donnée confidentielle ou propriétaire (propositions commerciales, rapport de gestion de la relation clients, plans stratégiques, et autres), bien que ne relevant pas forcément de la réglementation en matière de confidentialité des données, doit néanmoins rester à l’abri des regards indiscrets.  Et pour compliquer les choses, dès que vous stockez les données dans le Cloud ou dans des centres de données tiers, vous perdez quelque peu le contrôle sur la gestion de ces données. Pas simple et clair de connaître précisément vos obligations et responsabilités.

Les métadonnées, essentielles à la protection des données
L’une des étapes clé lorsque vous sécurisez vos bases de données est de classifier ces données. Toutes les données ne représentent pas la même valeur pour votre entreprise. Certaines, d’ordre financière, ou portant sur des informations clients ou personnelles, exigent une protection optimale. D’autres éléments, à l’image de documents internes généralistes ou de brochures marketing ne sont pas aussi sensibles. Il est donc pertinent de ne pas traiter toutes vos données de la même façon. La hiérarchisation des données peut également impacter le stockage. Certaines données peuvent être stockées en mémoire pour un accès rapide, tandis que d’autres trouveront leur place sur des bandes magnétiques.

Le concept essentiel qui sous-tend cette approche est celui de la métadonnée. C’est une information à propos d’une information. Une métadonnée descriptive, lorsque formulée de manière appropriée, présente un réel atout pour votre stratégie de sécurité de données. Les métadonnées peuvent contenir des champs dédiés au niveau de la confidentialité (public ou privé, secret, très sensible, etc.), la date de recueil des données, le détail des traitements réalisés sur les données, les niveaux d’accès (rôles et profils pouvant accéder à cette donnée) et, très important, le délai à partir duquel ces données peuvent être supprimées.

Arbitrer le coût de la sécurité/du stockage des données et leur valeur
Les audits de données gagnent en importance et témoignent de la lutte menée par les organisations pour sécuriser et stocker des bases de données toujours plus volumineuses. Avec la business intelligence, les référentiels de données et le Big Data, les organisations se contentent de recueillir les données une fois, pour ensuite les propager sur l’ensemble de leur parc systèmes. Le stockage et la sécurité des données sont onéreux et les meilleures pratiques incitent à évaluer vos investissements de sécurité et de stockage compte tenu de la valeur de chaque profil de données pour votre organisation. Les métadonnées forment ainsi un levier qui permet d’effectuer des audits de données efficaces et exhaustifs.

Logiciel pour identifier des victimes de la guerre du Vietnam

Un projet d’identification des victimes de la guerre du Vietnam va utiliser le logiciel de comparaison des profils ADN Bonaparte.

SMART Research BV a signé un contrat pour la fourniture du système logiciel de comparaison des profils ADN Bonaparte et de services de soutien connexes avec le gouvernement du Vietnam. Cette fourniture s’inscrit dans le cadre d’un projet d’une durée de 10 ans qui vise à identifier au moins 80 000 des 650 000 victimes non identifiées de la guerre du Vietnam.

Initié par le Premier ministre vietnamien Nguyen Tan Dung, « Project 150 » sera le plus important projet d’identification d’ADN jamais mené. Trois laboratoires seront modernisés avec des technologies de police scientifique de pointe provenant de fournisseurs tels que Qiagen et Eppendorf, tandis que des services de conseil et de formation seront fournis par BioGlobe et la Commission internationale des personnes disparues (ICMP) en Bosnie. Avec la signature de ce contrat, SMART Research BV est fière de rejoindre désormais l’équipe du projet.

Les algorithmes de comparaison indirecte à la pointe de la technologie du système Bonaparte fourniront aux laboratoires du gouvernement vietnamien les puissantes capacités de recherche familiale et axée sur le lien de parenté nécessaires à cet ambitieux projet. Le système Bonaparte permet d’identifier des dépouilles inconnues en se basant sur l’ADN de référence des membres de la famille à l’aide d’arbres généalogiques arbitraires.

Il a été déployé à de nombreuses occasions dans des travaux d’identification dans le monde réel, et a joué un rôle important dans l’identification des victimes de la catastrophe aérienne de 2010 à Tripoli et de celles du vol MH17 de Malaysia Airlines en Ukraine en 2014.

Le système Bonaparte a été commandé en 2007 par l’Institut de police scientifique des Pays-Bas (NFI), avant d’être davantage développé et amélioré par SNN et sa filiale SMART Research BV, en étroite collaboration avec le NFI.

SMART Research BV est l’entreprise commerciale dérivée de SNN, la Fondation néerlandaise pour les réseaux neuronaux de l’université Radboud de Nimègue, aux Pays-Bas. SMART Research prend en charge le développement, le maintien et l’assistance pour Bonaparte. SMART Research se spécialise dans l’application de technologies avancées d’apprentissage statistique et d’intelligence artificielle pour résoudre des problèmes dans le monde réel. Ces technologies constituent également la base du système Bonaparte.

Un bug sur Instagram trahit la vie privée des utilisateurs

La nouvelle mise à jour de l’outil de socialisation Instagram emporte avec lui un bug particulièrement gênant capable de révéler la vie privée des utilisateurs exploitant l’option multi comptes.

Partager son compte Instagram n’est pas une bonne idée, surtout si vous sélectionner l’option « Multicompte« . Une nouveauté qui permet de partager son espace avec un ami, collègue, … sauf que dans ce cas, l’ami en question recevra vos informations personnelles, et vous recevrez les siennes. Les utilisateurs partageurs recevront les notifications de compte personnel et du compte mis en commun par cette nouvelle possibilité. Selon Android Central, Instagram travaille sur la correction de cette petite fuite, qui pourrait devenir gênante, si vous partagez des informations avec l’Instagram de votre entreprise par exemple.

Quel enseignement pour la cyber-sécurité ?

Enseignement complexe et désormais stratégique, la sécurité informatique n’est pas une simple spécialisation des études d’ingénieur, mais une vaste culture qui requiert une pédagogie adaptée. Quels choix sont faits par les écoles qui forment les professionnels de demain ? (Par Richard Rey, Enseignant, Directeur-Adjoint et RSSI du Laboratoire Confiance Numérique et Sécurité – ESIEA).

Selon une étude Gartner, la moitié des entreprises mondiales serait dans l’obligation, à horizon 2018 de recourir aux services d’un professionnel pour gérer le risque informatique. La principale raison : l’avènement du Cloud et des objets connectés, dont il est, de l’avis des experts, trop facile d’exploiter les vulnérabilités. Dans ce contexte, les entreprises s’intéressent de très près aux étudiants des écoles possédant une expertise en Cyber-sécurité. La discipline est en effet sensible en raison de son double aspect ; car qui parle de sécurisation doit aussi évoquer son autre versant : l’attaque. Former des professionnels de la sécurité est une responsabilité pour les écoles d’ingénieurs et toutes ne s’y emploient pas de la même façon.

Comment enseigne-t-on aujourd’hui ?
Le véritable enseignement en sécurité informatique, c’est-à-dire doté d’intitulés spécifiques, n’existe généralement qu’en troisième année d’études d’ingénieur. À cela une raison simple : c’est à ce moment que de nombreux étudiants rejoignent les écoles après des formations bac+2, pour y poursuivre leurs études supérieures. Or, il est important de comprendre que la sécurité informatique n’est pas un enseignement comme les autres. Les écoles qui ont à cœur de former les experts de demain ne peuvent pas se contenter d’une spécialisation de fin de cursus et doivent au contraire, sensibiliser au plus tôt à ce domaine et participer à la diffusion des connaissances en matière de sécurité. Cela implique de former, non seulement des spécialistes, mais aussi des professionnels capables d’évoquer ce sujet en restant intelligibles à tous les publics.

Un enseignement indissociable d’autres enseignements informatiques
Certaines écoles choisissent, pour cela, d’aborder le sujet plus tôt, dès la première année post Bac via des exercices cryptographiques au sein de modules de mathématiques et avec des travaux pratiques orientés sécurité. En deuxième et troisième années, l’enseignement des systèmes et du réseau est là aussi, l’occasion d’évoquer des questions liées au risque : que ferait une personne malintentionnée, quels accès lui seraient possibles, etc. Pourquoi un tel choix ?
Ces exercices précoces qui incitent à adopter le point de vue d’un attaquant ou d’un adversaire, comme on le ferait dans un jeu d’échec, sont essentiels : ils font prendre conscience que la sécurité est une discipline qui concerne l’ensemble des autres enseignements. Il est en vérité difficile d’imaginer une formation pointue en sécurité informatique avant quatre années d’études supérieures. La culture qui la sous-tend est extrêmement large : maîtriser plusieurs langages de programmation, s’y connaître en architecture web, en technologies des réseaux, en systèmes (Linux, Windows, Android, MacOS), en virtualisation, en Big data, Cloud, etc. Ce qui s’avère impossible en un cycle court. Une étape essentielle consiste à démontrer aux étudiants que, parvenus à un certain niveau, 90% de ce qu’ils trouvent sur internet est souvent obsolète, incomplet, voire faux.

La sécurité informatique, une culture autant qu’une spécialisation
En troisième et quatrième année, les cours dédiés à la sécurité permettent aux étudiants, sans être encore des spécialistes, de disposer de solides connaissances, quelle que soit leur spécialisation ultérieure. Lorsqu’en cinquième année, les cours de spécialisation arrivent, on est ainsi assuré que tous les futurs ingénieurs (et pas seulement les futurs spécialistes) disposent de connaissances indispensables en matière de sécurité. À savoir que tous peuvent évoluer dans l’entreprise avec une conscience aigüe de ce qu’impliquent et signifient les risques ; lors de choix techniques, ils sauront avoir une vision d’ensemble propre à éviter les mauvaises décisions. Former à la sécurité tout au long des cinq années d’un cursus d’ingénieur, participe ainsi à une meilleure connaissance des enjeux de sécurité au sein de toutes les entreprises, et pas seulement des grands groupes.

Un enseignement soumis à confidentialité
Le cursus « sécurité » en cinquième année d’études d’ingénieur peu têtre très dense, (jusqu’à  60% d’un Mastère Spécialisé (Bac+6)) avec un tiers de cours et deux tiers de projets opérationnels, de cas concrets. Dans le cas des écoles bénéficiant de la proximité d’un laboratoire de recherche, il va de soi que les questions de confidentialité se posent très tôt. Les cas soumis par ses membres, des enseignants qui sont aussi des opérationnels, souvent mandatés par des entreprises, par l’État ou des organismes dits d’importance vitale (énergie, transports, etc.), sont confidentiels. Il arrive que l’on confie aux laboratoires et à leurs étudiants un PC, un téléphone portable, avec pour objectif de récupérer ses données, et de découvrir tout ce qui est exploitable. La sécurité réclame des profils de hackers responsables (aussi dénommés « white hats »). On comprendra que son enseignement ne peut se faire sans y adjoindre une solide formation humaine et éthique. Or il est difficile de parler d’éthique à de très jeunes gens dans de vastes promotions. Ce n’est possible qu’en petits effectifs. Plus tard dans leur cursus, des cours dédiés à ces questions les informeront du cadre juridique existant en France et en Europe, des aspects relatifs à l’organisation de la sécurité de l’État, aux agréments, réglementations, à leur histoire, etc. Comment aussi, ils peuvent être soumis, même pendant leurs études, à des enquêtes de moralité et ce que cela implique. Mais au-delà de ces informations, ce sont des valeurs et de l’intelligence qui doivent être transmises très tôt. Cela rend indispensable une formation humaine présente tout au long des études (tout l’inverse de la geek-attitude). C’est aussi une formation qui en leur « apprenant à apprendre » les prépare à l’exercice de leur métier et à une certaine humilité : tout ce que peut dire un expert en sécurité peut être remis en question du jour au lendemain. Ses connaissances demandent une constante mise à jour, (un poste d’expert en sécurité devra obligatoirement comporter 30% de temps consacré à la veille technologique). Les responsables hiérarchiques en ont bien conscience.

L’avenir de la sécurité au féminin ?
C’est aussi une des raisons pour lesquelles les écoles essaient autant d’attirer des jeunes femmes. On leur prête une plus grande maturité, et surtout, plus tôt. On remarque notamment que les entreprises, lorsqu’elles proposent des postes d’expert sécurité légèrement atypiques, qui impliquent entre autres une vision de l’orientation de la politique de sécurité, des rapports avec les fournisseurs, veulent en priorité des femmes dont elles considèrent qu’elles sont les seules à avoir la hauteur de vue nécessaire. Un autre sexisme, mais qui cette fois opère en faveur des jeunes femmes ! Est-ce dire qu’avec plus de jeunes filles, l’enseignement de la sécurité pourrait changer ? Oui.

On constate par exemple que face à une problématique technique, elles privilégient les premiers instants consacrés à la réflexion et à la construction intellectuelle. Ainsi, les solutions proposées sont plus abouties mieux « ficelées » (on parle d’élégance technologique). Il faut le reconnaître, aujourd’hui les filles sont « chouchoutées » dans les formations liées au numérique et plus spécifiquement à la cyber-sécurité ; tout est fait pour entretenir leur motivation et les convaincre que la discipline est passionnante. Seul hic : trop d’entre elles ignorent encore aujourd’hui qu’elles y sont attendues.

Tendances 2016 de la sécurité des réseaux

Aux prémices de 2016, Shehzad Merchant, Chief Technology Officer chez Gigamon, spécialiste de la visibilité réseau, a fait le bilan de l’année 2015 et identifié les cinq tendances principales en matière d’infrastructures réseaux et de sécurité pour l’année 2016.

Démocratisation croissante des Malwares-as-a-Service (MaaS) – Ces deux dernières années, de nombreuses failles de sécurité sophistiquées ont été révélées et avec elles, c’est tout un « écosystème » de MaaS qui a vu le jour avec la mise à disposition d’une large gamme d’offres packagées de virus prêtes à l’emploi et accessibles à tous, augmentant de fait la quantité d’acteurs en mesure de perpétrer des cyberattaques. Toutefois, la démocratisation des malwares tend à réduire leur niveau de sophistication, et bien que certaines menaces persistantes avancées restent de haut niveau, une majorité des attaques perpétrées par ce moyen seront plus faciles à détecter et à stopper, car les pirates qui auront choisi de se connecter aux systèmes existants ne pourront y intégrer qu’une quantité limitée de zones d’ombre.

Généralisation de la sécurité prédictive – 2016 verra une croissance des cybermenaces de type « polymorphes », c’est-à-dire que chaque instance du malware se manifestera sous une apparence et un fonctionnement différents tout en gardant une base commune. Par conséquent, de nombreuses variantes sont susceptibles de passer outre les systèmes de détection traditionnels tels que les pare-feu ou les solutions anti-virus. Afin de mieux détecter ces menaces polymorphes, les entreprises auront besoin de solutions d’analyse prédictive visant à contrôler l’ensemble des données de l’entreprise dans le but d’identifier toute anomalie ou activité inhabituelle sur le réseau. Elles fourniront ainsi des indicateurs clés de menaces potentielles au sein de l’organisation pour détecter plus rapidement l’empreinte et l’activité du malware, et permettre un confinement plus rapide.

Perte de vitesse du Software-Defined Networking (SDN) – Malgré l’engouement du marché pour les technologies SDN, les tests ont démontré qu’elles n’étaient pas suffisamment matures pour une utilisation optimale par les entreprises. Cette année verra l’émergence de technologies « marginales » mais solides, qui, fortes des bonnes pratiques du SDN, ont su trouver leur place sur le marché. Bien qu’elles ne répondent pas aux standards technologiques, elles se concentrent sur la résolution du problème et font preuve de plus de maturité sur un marché fortement concurrentiel. Ainsi, face à ces pure players émergents, certaines technologies SDN risquent de se retrouver hors-jeu car encore trop immatures par rapport aux attentes du marché.

Ralentissement du Network Function Virtualisation (NFV) – Cette année, le NFV sera confronté, dans sa phase de déploiement, à de nouveaux défis qui toucheront particulièrement la vitesse et la performance. Le passage du format matériel dédié des fonctions réseau à une offre virtualisée risque en effet de causer des ralentissements. La normalisation du NFV peut pallier ce problème notamment avec l’ajout de davantage de serveurs de type x86 afin de multiplier les nœuds et permettre ainsi de répartir la charge. Ces serveurs sont en effet valorisés pour leur interopérabilité et leur prix abordable, et leur facilité à être intégrés et supprimés. Toutefois, un tel procédé comporte son lot de défis, en particulier en ce qui concerne le maintien de l’état, de la gestion de la distribution et de l’équilibre de charge du trafic, à travers des fonctions ne nécessitant pas de très haut débit, de performance ou de redimensionnements. Cependant, l’augmentation constante des besoins de bande passante, fera émerger les systèmes logiciels en mesure de gérer avec précision la capacité d’équilibrage de charge et l’état du réseau, ou bien ceux capables d’extraire chaque parcelle de performance dans des environnements NFV. Néanmoins, si les entreprises qui déploient des solutions basées sur ces environnements ne forment pas des équipes internes capables de gérer ces logiciels de A à Z, elles seront confrontées tôt ou tard à des obstacles les obligeant à ralentir.

Rationaliser la transition vers le cloud – Ces dernières années, de nombreuses organisations ont suivi le mouvement de l’adoption du cloud. Les DSI étaient encouragés à adopter et à investir dans le cloud sous toutes ses formes : Software, Platform ou Infrastrustrure as-a-service. L’IaaS a particulièrement séduit les entreprises par sa souplesse, sa capacité de dépassement et sa simplicité de provisioning. Celles-ci l’ont toutefois adopté sans analyser les coûts dans le détail ou sans tenir compte des questions de sécurité. La gestion d’applications connectées en permanence, pendant plusieurs années, génèrent des quantités massives de données dans le cloud, ce qui peut s’avérer très onéreux sur le long terme ; or, le basculement du cloud vers une solution sur-site peut l’être encore plus en raison du coût de réversibilité. En 2016, le DSI sera mieux informé et aura toutes les cartes en main pour comparer les modèles disponibles et trouver ainsi le bon équilibre entre l’offre cloud, le modèle purement hybride offrant à la fois des applications clés et données hébergées sur site ou une capacité de dépassement favorisée par une offre de cloud. Et ce, en disposant d’un meilleur contrôle sur les coûts.

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

Le disque dur de votre imprimante HP peut cacher un logiciel malveillant

Un problème de sécurité informatique visant certaines imprimante HP permet à un pirate de cacher dans la machine des logiciels malveillants.

Chris Vickery, chercheur en sécurité informatique, a découvert un problème dans le fonctionnement de certaines imprimantes HP. La faille concerne les imprimantes HP LaserJet. Il a été révélé que les imprimantes HP LaserJet peuvent être facilement abusés par des pirates informatiques.

Vickery a indiqué que les disques durs de l’imprimante HP LaserJet peuvent être utilisés par des pirates informatiques comme une unité de stockage de données. En cause, le réglage par défaut de l’imprimante qui peut mettre en place un serveur FTP via le Port 9100. Bilan, via l’adresse http://l’ip de l’imprimante/hp/device/nom du fichier les actes malveillants peuvent débuter sans que personne ne puisse s’en rendre compte.

Autant dire qu’il est fortement conseillé de regarder du côté des paramétrages de la machine et du firewall qui protège votre infrastructure. Fermer le port 9100 ne fera pas de mal. Selon Shodan, 20 000 imprimantes sont ainsi exposées de part le monde.