Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Social engineering, Vie privée

Le paradoxe de la sécurité

Les salariés adoptent des pratiques à risques, alors qu’ils s’estiment sensibilisés sur la sécurisation des données.

Près de 3/4 des actifs interrogés se considèrent bien sensibilisés à la protection des données professionnelles, pourtant une majorité d’entre eux ont toujours des pratiques risquées. Les techniques de protection sophistiquées (changement de mot de passe régulier, système de cryptage des données) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble de ces appareils fournis par leur entreprise. Le partage de fichiers en ligne via un service de cloud n’est pas jugé dangereux par la majorité des répondants (54%). Bien que les mots de passe soient imposés dans la majorité des entreprises (9/10), on observe de grandes disparités quant à leur élaboration et leur mise à jour, 63% laissent leur ordinateur allumé lorsqu’ils quittent le bureau en fin de journée ou ne le verrouillent pas en quittant leur poste.

De nombreuses études confirment l’influence des appareils mobiles sur le rétrécissement des frontières entre les sphères professionnelles et personnelles. Mais qu’en est-il de leur impact sur la sécurité des données des entreprises ? Les salariés sont-ils suffisamment sensibilisés sur les risques inhérents à ces nouveaux usages et mettent-ils en pratique les règles de sécurité ? Hiscox, en collaboration avec l’institut IFOP, s’est penché sur le sujet et les résultats de cette étude illustrent un important décalage entre le sentiment de connaître les consignes de sécurité et des pratiques à risques largement répandues dans les entreprises.

Des pratiques jugées sans risque par les salariés, mais qui exposent la sécurité de l’entreprise
72% des actifs interrogés se considèrent bien sensibilisés quant à la nécessité de protéger les données professionnelles. Ces actifs sont pourtant les mêmes à adopter des pratiques qui peuvent s’avérer dangereuses pour les données de l’entreprise. Les salariés équipés d’au moins un appareil mobile professionnel sont les plus concernés par ces pratiques risquées puisqu’ils sont 77% à déclarer transporter des fichiers professionnels sur une clé USB ou un disque dur externe (contre 63% pour l’ensemble du panel) et la moitié (53%) partage des fichiers en ligne via un service de cloud (contre 39% pour l’ensemble du panel).

Ces usages ne sont pourtant pas jugés risqués par les répondants : en effet, 54% estiment que le partage de fichiers via le cloud n’a pas d’incidence sur la sécurité et 57% ne voient aucun danger à transporter des données professionnelles sur une clé USB. De même, 63% des actifs laissent leur ordinateur allumé lorsqu’ils quittent le bureau ou ne le verrouillent pas en quittant leur poste. Moins de la moitié seulement perçoit cette pratique comme potentiellement imprudente.

Les petites entreprises plus vulnérables… Et friandes de solutions mobiles
Les salariés des petites entreprises (0 à 49 employés) font partie des publics qui identifient le moins ces pratiques comme pouvant mettre en péril la sécurité des données des entreprises. Des attitudes pourtant risquées quand on sait que les travailleurs « mobiles » et les salariés des très petites entreprises (moins de 10 salariés) sont également ceux disposant de la plus grande latitude en termes d’achats et d’opérations bancaires impliquant l’entreprise. 65% des employés travaillant dans des structures de moins de 10 salariés sont en effet amenés à effectuer des achats en ligne à titre professionnel contre 46% pour l’ensemble des actifs interrogés.

L’utilisation des appareils professionnels dans la sphère personnelle est un autre vecteur de menace pour la sécurité des données des entreprises. Les salariés des petites structures (moins de 10 employés) sont les mieux équipés en appareils mobiles. Ils font aussi partie de ceux  qui utilisent le plus leur matériel professionnel à titre personnel. 82% des salariés de ces entreprises se connectent à Internet au moins une fois par semaine pour des raisons personnelles à partir de leur appareil professionnel (contre 72% de l’ensemble des actifs).

Des usages qui pèsent d’autant plus sur la sécurité de ces entreprises qu’elles ne disposent pas de services informatiques ou de services généraux pour assurer le contrôle et la gestion des appareils mobiles.

Des disparités dans la mise en place des techniques de sécurisation
Pour se prémunir des risques auxquels elles sont exposées et assurer la protection de leurs ordinateurs fixes, 9 entreprises sur 10 s’appuient sur la mise en place d’un mot de passe. Cependant, la fréquence de mise à jour exigée n’est pas la même partout. Seuls 18% des actifs doivent changer leur mot de passe tous les mois quand 34% déclarent devoir le changer moins de 2 fois par an. Une disparité également observée dans son élaboration : 62% des entreprises imposent un nombre minimum de caractères, 56% demandent à leurs salariés de choisir un mot de passe incluant des chiffres et des caractères spéciaux et 57% interdisent de réutiliser un ancien mot de passe. De manière globale, 70% des entreprises imposent au moins une règle à leurs salariés pour le choix du mot de passe mais cette proportion chute à 51% dans les structures de moins de 10 salariés.

Parmi les autres techniques, 35% des actifs interrogés déclarent disposer d’outils de cryptage des données mais 22% ne savent pas s’ils peuvent bénéficier de cette technique dans leur entreprise. De même, si les accès au réseau sont contrôlés dans 61% des entreprises, 16% des actifs ne connaissent pas la politique utilisée par leur entreprise dans ce domaine.

Sur les appareils mobiles, le mot de passe est également le mode de protection le plus répandu. Il concerne en effet 81% des actifs disposant d’appareils mobiles. Les techniques plus sophistiquées (changement de mot de passe tous les 3 mois, système de contrôle d’accès renforcé de type Token, données cryptées non accessibles) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble des appareils que leur fournit leur entreprise.

Au delà de revoir leur méthode de sensibilisation des salariés aux risques informatiques, les entreprises doivent également faire évoluer leurs dispositifs techniques de sécurité pour les adapter aux nouveaux usages.

« L’explosion des appareils et solutions mobiles dans les entreprises soulève plus que jamais des problématiques de sécurité importantes. La mesure préventive la moins onéreuse consiste à sensibiliser le personnel à l’importance de la sécurité des données. Les connaissances en la matière sont souvent limitées, surtout dans les petites entreprises, et le recours à un expert pour en expliquer les bases peut représenter l’un des meilleurs investissements d’une entreprise » conseille François Brisson, Responsable marché Technologie-Média-Télécom chez Hiscox. « Néanmoins en cas de problème, les sociétés doivent disposer d’un plan de réaction rapide afin de limiter les dommages et de prouver qu’elles prennent toutes les mesures nécessaires. Dans ce cadre, elles sontparfois amenées à faire appel à des spécialistes en gestion de crise, voire à des conseillers en relations publiques. Notre assurance Data Risks permet de couvrir ces coûts et de réduire les conséquences d’une violation de données ».

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Code malveillant dans les caisses enregistreuses

Alors que la chaîne américaine de magasins The Home Depot vient d’annoncer le vol de 53 millions d’adresses emails de clients* (en plus des 56 millions de données de cartes bancaires déjà déclarés en septembre), le G DATA SecurityLabs a découvert une nouvelle variante de FrameworkPOS, le code ayant ciblé cette entreprise. Nouveauté de ce code : il exfiltre les données volées par requêtes DNS (Domain Name System).

Cette analyse montre comment les cyber criminels travaillent à l’heure actuelle. La variante découverte envoie les données extraites via des requêtes DNS, ce qui est une technique très aboutie. Pour détecter ce type d’attaque, G Data conseille aux entreprises équipées de systèmes d’encaissement de mettre en place un système de DNS passif. Une analyse des requêtes facilite la détection de ce type d’attaque.

Qu’est-ce qu’un système PoS ?
Un système PoS (Point of Sales en anglais – Point de Vente en français) se compose en règle générale d’une caisse enregistreuse et d’un appareil pour lire les cartes de crédit. L’appareil POS enregistre les ventes des clients mais pas uniquement. Il sert également à l’inventaire, aux entrées et sorties de stocks.

Qu’est-ce qu’un DNS?
DNS signifie “Domain Name System”. Il s’agit du carnet d’adresse Internet. L’adresse d’un site internet est traduite en une adresse technique utilisant le système DNS. Il s’agit d’une combinaison de numéros appelée adresse IP (par exemple : 208.80.154.224). Un DNS passif est un système qui enregistre les requêtes DNS dans une base de données. Ainsi, on peut observer quelle valeur (adresse IP) un domaine a (ou inversement, quel nom/domaine est lié à telle adresse IP). (G Data)

* Le communiqué de presse de The Home Depot.

* ZATAZ Web TV du 09 novembre revient sur cette attaque informatique pas comme les autres.

Cybersécurité, Entreprise, Fuite de données, Logiciels

Attaques à l’encontre de serveurs SMTP

Depuis plusieurs jours, des pirates s’attaquent à certains serveurs SMTP avec la faille de sécurité Shellshock. Le mystére le plus complet plane sur cette attaque informatique.

Le CERT Renater, en charge de la sécurité informatique des établissements scolaires et universitaires s’est inquiété, le 4 novembre dernier, d’une mystérieuse attaque numérique visant des serveurs SMTP vulnérables à la faille Shellshock (Bash). L’objectif serait d’intégrer les serveurs faillibles à un réseau de botnet.

Un bot IRC écrit en PERL serait installé dans les serveurs piégés. Le CERT Renater indique que la France serait visée par ces tentatives d’infiltrations. La charge d’attaque est dissimulée dans des champs d’entête de courriers électroniques spécialement formatés (To, From, CC, Subject, Date, Comments, Keywords, Resent-Date, Resent-From, Message-ID, …). Les méthodes curl, wget, fetch sont invoquées pour récupérer le bot IRC via l’ip 178.254.31.165. « On ne trouve pas d’information pour l’instant sur la porte d’entrée recherchée par les attaquants » souligne le CERT. Le serveur SMTP sur lequel ce type d’attaque pourrait fonctionner reste un mystère. (Binary Defense)

 

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Particuliers

Piratage de carte bancaire NFC

5 commentaires

Intercepter les données d’une carte bancaire NFC, de la science fiction indique les lobbyistes des banques ? Un Français avait expliqué les dangers du NFC. Des chercheurs britanniques démontrent comment voler de l’argent risque de devenir un jeu d’enfant.

Les cartes sans contact permettent d’acheter des biens sans taper le moindre mot de passe. Il suffit juste de passer la carte à quelques centimètres d’un lecteur dédié pour payer (moins de 20€). Des cartes bancaires qui « balancent » dans les airs, via des ondes radios, données bancaires et validation de la transaction.

En France, Renaud Lifchitz, chercheur en sécurité informatique français mondialement connu et reconnu, avait mis à mal la sécurité du sans fil de nos CB. Depuis peu, une équipe de l’Université de Newcastle, au Royaume-Unis, a mis à jour une faille de sécurité considérée comme grave dans le système sans contact.

Lors de la conférence ACM (Conference on Computer and Communications Security) les ingénieurs ont expliqué comment il est facile de mettre en place un faux terminal de point de vente à partir d’un téléphone mobile (un concept qu’avait déjà démontré Renaud Lifchitz). A partir de ce « point de vente », les chercheurs ont montré qu’il était possible de créer une opération financiére pouvant atteindre 999,999.99 dollars, soit bien loin des 20€ normalement autorisés. « Il a fallu moins d’une seconde pour que la transaction soit approuvée » explique l’équipe britannique.

Pour contrer ce genre d’attaque, nous vous conseillons fortement de vous équiper d’un espace de protection que vous installez dans votre porte-feuille. La société Stop-RFID.fr propose plusieurs solutions de sécurisation physique de votre CB.

Visa, montré du doigt dans cette alerte, indique de son côté qu’il n’y a aucune cause d’inquiétude. « Nous avons examiné les conclusions de Newcastle dans le cadre de nos efforts constants sur la sécurité et la fraude des paiements. Les chercheurs ne tiennent pas compte des nombreuses mesures de protection mises en place par Visa« . Pour Visa, cette attaque ne fonctionne qu’en laboratoire, pas dans la vraie vie. (BBC)

BYOD, Cloud, Cybersécurité, DDoS, Entreprise, Mise à jour, Patch, Piratage

Faille pour les Linksys SMART WiFi

Les routeurs wifi Linksys SMART victimes de plusieurs failles qui pourraient permettre à un pirate de s’inviter dans les informations sensibles des boitiers.

Kyle Lovett, chercheur en sécurité informatique, a mis la main sur plusieurs failles ont été découvertes dans les routeurs de la marque Linksys. Le firmware des routeurs sont montrés du doigt. Un pirate, à distance,  peut être en mesure de lire ou de modifier les informations sensibles contenus dans les boitiers. Les linksys sensibles font parti de la gamme des EA. Les versions 2700, 3500, 4200v2, 4500, 6200, 6300, 6400, 6500, 6700 et 6900 sont faillibles.

Le problème a été découvert en juillet 2014. L’alerte officielle a été diffusée fin octobre par le KB Cert. Un attaquant non authentifié sur le réseau local (LAN) peut lire le fichier .htpassword du routeur en lançant la simple commande http://<router_ip>/.htpasswd. Le fichier .htpasswd contient le mot de passe de l’administrateur, chiffré en MD5. Même sanction pour les JNAP http://<router_ip>/JNAP/.

Une commande qui, dans certaines mesures, permet de lire et/ou modifier les informations sensibles sauvegardés sur le routeur. Deux ports ouverts ouvrent l’administration du routeur sans avoir besoin d’être authentifié : 100080 et 52000. LinkSys vient de diffuser une mise à jour qui est fortement conseillé d’installer. (nvd.nist.gov)

http://support.linksys.com/en-us/support/routers/E4200
http://support.linksys.com/en-us/support/routers/EA4500
http://support.linksys.com/en-us/support/routers/EA6200
http://support.linksys.com/en-us/support/routers/EA6300
http://support.linksys.com/en-us/support/routers/EA6400
http://support.linksys.com/en-us/support/routers/EA6500
http://support.linksys.com/en-us/support/routers/EA6700
http://support.linksys.com/en-us/support/routers/EA6900

Pendant ce temps…
Pensez aussi à protéger votre LinkSys des attaques du virus Moon. Ce malware « La Lune » a affecté certains Routeurs sélectionnés et anciens de série E de Linksys, et sélectionnés certains anciens points d’accès et routeurs Sans fil-N. Un correctif de micrologiciel est prévu au cours des prochaines semaines. Le malware The Moon contourne l’authentification sur le routeur en se connectant sans connaître les références de l’administrateur. Une fois infecté, le routeur commence à inonder le réseau avec des ports 80 et 8080 du trafic sortant. Bilan, ça rame ! Pour vous protéger, sélectionnez l’option « disabled » dans la partie Remote Managament Access dans votre administration de votre routeur. Assurez-vous aussi que l’option de Filter Anonymous Internet Requests sous Internet Filter est coché.

Cybersécurité, DDoS, Entreprise, Piratage

Se protéger des attaques DDoS

Un commentaire

Les organisations doivent arrêter de compter sur leurs fournisseurs de services Internet pour les protéger des attaques DDoS et doivent prendre les choses en main. (Par Christophe Auberger, Directeur Technique France chez Fortinet pour datasecuritybreach.fr)

Les attaques par Déni de Services Distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers s’est adaptée et est devenue beaucoup plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachées dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivie de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS: politique, de représaille et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accords avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même – votre réseau et services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

Méfiez-vous des attaques DDoS avancées visant la couche applicative
Il existe de nombreux types d’attaques DDoS largement utilisés aujourd’hui, allant des anciennes méthodes des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisées pour surcharger les connexions réseau ou les serveurs derrière les pare-feux et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseau des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérer comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaques DDoS basiques.

Les options en matière de protection DDoS
La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inonder lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS, dont la protection de la couche applicative. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Les fournisseurs de services DDoS: Il existe beaucoup de solutions hébergées DDoS basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu couteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offre des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Pare-feu ou IPS: Presque tous les pare-feux et système de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les pare-feux nouvelles générations avancés  (NGFW) offrent des services DDoS et IPS et peuvent protéger de nombreuses attaques DDoS. Avoir un dispositif pour le pare-feu, IPS et DDoS est plus facile à gérer, mais peut être submergé par des attaques volumétriques DDoS, et peut ne pas avoir les mécanismes sophistiqués de détection pour la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entrainant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Appliances dédiées à la protection d’attaques DDoS: Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, elles peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles car le coût est fixé quelque soit la fréquence des attaques, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse, et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures.

Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales – celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très couteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent habituellement pour les modèles entreprises qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100% des couches 3, 4 et 7 ou peuvent être utilisés pour compléter une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont généralement beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et ensuite surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/d’apprentissage a l’avantage de protéger les utilisateurs des attaques zero-days inconnues puisque que le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou petites. Les menaces potentielles et volumes augmentent à mesure que de plus en plus d’appareils, y compris les téléphones mobiles, accèdent à Internet. Si votre organisation a une propriété Web, la probabilité de subir une attaque n’a jamais été aussi élevée. La nature évolutive des attaques DDoS signifie que les entreprises ne peuvent plus compter uniquement sur leur FAI pour se protéger. Les organisations doivent commencer à effectuer des changements dès à présent pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les services au niveau des applications et du réseau.

BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Les entreprises privilégient la performance, à la sécurité de leur réseau !

Les administrateurs système avouent désactiver leur firewall pour répondre à la problématique d’une performance applicative insuffisante

McAfee, filiale d’Intel Security, annonce la publication d’un nouveau rapport intitulé ‘Network Performance and Security’. Ce dernier met en évidence les défis auxquels les entreprises sont confrontées lors du déploiement de solutions de protection afin de maintenir une performance optimale de leur infrastructure réseau. Présenté lors de l’événement FOCUS 14 de McAfee, le rapport révèle que plus de la moitié des entreprises désactivent les fonctionnalités de leur firewall (54 %) afin d’éviter une dégradation significative de la performance de leur réseau.

Plus de 500 DSI ont été interrogés dans le cadre de ce rapport et 60 % d’entre eux avouent que la conception de leur réseau a été gouvernée par la sécurité. Paradoxalement, plus d’un tiers ont également admis avoir déjà suspendu certaines options de leur firewall ou refuser la mise en œuvre de certaines fonctionnalités de sécurité juste pour augmenter la performance de leur réseau.

« Il est regrettable que la désactivation d’importantes propriétés de pare-feu commence à devenir une pratique courante en raison de problèmes de performance », déclare à Data Security Breach Thierry Bedos, Managing Director France de McAfee, filiale d’Intel Security. « Chez McAfee, nous trouvons cela inadmissible et estimons que les entreprises ne devraient tout simplement pas à avoir à choisir entre sécurité et performance réseau. »

Selon le rapport, les fonctionnalités les plus couramment désactivées par les administrateurs réseau sont l’analyse en profondeur de paquets (DPI), l’anti-spam (29 %), l’anti-virus (28 %) et l’accès au VPN (28 %). Le DPI, option la plus souvent désactivée (31 %), assure la détection d’activité malveillante dans le réseau et prévient des intrusions en bloquant le trafic visé avant que des dommages se produisent. Il est une composante essentielle d’une défense efficace contre les menaces, ainsi qu’un élément clé des firewalls de prochaines générations, qui représentent aujourd’hui 70 % des achats de pare-feu1.

« Quand j’entends que les directeurs de systèmes d’information sont contraint de suspendre partiellement leur système de sécurité, qu’ils ont payé, en raison de baisse de performance réseau, cela me dérange », commente Ray Murer, Chief Technology Officer – Perket Technologies à datasecuritybreach.fr. « Pourquoi devraient-ils négliger la sécurité au nom de la performance ? »

De nombreuses entreprises choisissent d’arrêter leur DPI en raison des exigences de débit élevé qu’il impose aux ressources réseau. Selon le cabinet d’études Miercom, un DPI pourrait dégrader jusqu’à 40 % les performances de débit d’une entreprise2, en fonction de la solution en place. D’après les tests réalisés par Miercom, McAfee Next Generation Firewall est compatible avec une activation de l’ensemble des fonctionnalités de sécurité et permet ainsi de favoriser et de maintenir une performance haut débit optimale. Les autres produits du marché testés présenteraient 75 %, voire plus, de dégradation des performances des outils de sécurité (DPI, anti-virus et contrôle applicatif)2.

« Avec le nombre de violations de données identifiées, en augmentation de plus de 200 % par rapport à l’année précédente, il n’a jamais été autant capital pour les entreprises d’adopter les mesures de protection avancées proposées aujourd’hui par les firewalls de nouvelle génération3 », poursuit Thierry Bedos. « Chez McAfee, nous souhaitons faciliter le déploiement et l’usage de technologies de sécurité, à leur potentiel maximal, pour éviter aux entreprises de sacrifier leur productivité. »

[1]  Gartner finding cited in “Next Generation Firewalls and Employee Privacy in the Global Enterprise,” SANS Institute, September 21, 2014.

[2] “Throughput and Scalability Report, McAfee NGFW 5206, v5.8,” Miercom, October 9, 2014.

[3] Verizon, 2014 Data Breach Investigations Report (DBIR).

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Fin du support pour Windows Server 2003 : il faut agir d’urgence

3 commentaires

La fin est imminente: le support de Windows Server 2003 par Microsoft se terminera mi-2015. Par conséquent, les entreprises ne disposent plus que de 286 jours pour migrer vers un nouveau système d’exploitation de serveur et concevoir une infrastructure fiable pour l’avenir. transtec voit à cet égard principalement deux solutions envisageables : le remplacement physique des serveurs et la virtualisation.

À partir du 15 juillet 2015, Microsoft ne mettra plus à disposition de nouvelle mise à jour, ni de patchs de sécurité ou de hotfix, que ce soit pour les éditions de Windows Server 2003, Windows Server 2003 R2 ou pour Microsoft Small Business Server (SBS) 2003. Si une entreprise continue alors à miser sur ces systèmes d’exploitation, le risque de perte de données dues à des Hackers ou des virus est quasiment programmé d’avance.

 » C’est justement dans de nombreuses petites et moyennes entreprises que Windows Server 2003 continue à être utilisé. C’est là qu’il est extrêmement urgent d’agir, ne fût-ce que pour respecter les exigences légales et réglementaires, les directives de conformité et les règles internes de sécurité « , explique Michael Hohl, responsable  » Datacenter Solutions  » de la société transtec.  » Presque 300 jours pour introduire un système d’exploitation actualisé semblent certes représenter beaucoup de temps, mais  même Microsoft part du principe que la durée moyenne d’une migration est supérieure à
200 jours. « 

De manière générale, il y a une chose qu’on ne peut pas perdre de vue, c’est que dans la migration, il ne s’agit pas seulement du remplacement d’un système d’exploitation. Le paysage des applications est au moins tout aussi complexe et problématique, car celles-ci ne sont souvent pas compatibles 64 bits et fréquemment, les éditeurs de logiciels ne proposent plus aucune assistance.

Concrètement, transtec voit pour les entreprises deux solutions possibles pour introduire un système d’exploitation actualisé : l’acquisition de nouveaux matériels ou la mise en oeuvre d’une virtualisation des serveurs. transtec propose des solutions adaptées aux deux variantes: d’une part des serveurs complètement intégrés en tant que solution autonome, se composant du matériel et des logiciels sous licence OEM, et d’autre part des bundles hyper-V préconfigurés.

Selon transtec, un système d’exploitation actuel tel que Windows Server 2012 R2 offre de nombreux avantages auxquels les entreprises ne devraient plus renoncer à l’avenir. transtec cite à cet égard :

– la construction aisée d’un serveur de fichiers scale-out de haute performance et d’une grande fiabilité avec les fonctionnalités natives de Windows.
– la possibilité de réalisation d’une solution étendue Terminal Server l’hyperviseur  » hyper-V  » offrant des fonctionnalités de haut niveau est gratuitement inclus dans le prix de la licence
– l’évolution facile vers un cluster de haute disponibilité.
– la possibilité d’intégrer des machines virtuelles avec des systèmes d’exploitation Linux.
– l’automatisation des travaux de maintenance grâce aux outils intégrés
– l’intégration dans des outils d’administration comme Microsoft System Center.

Sans oublier qu’une entreprise avec un nouveau système d’exploitation est parfaitement préparée pour une mise en oeuvre future de modèles Cloud, par exemple d’un Cloud hybride, avec utilisation d’un Cloud privé dans son propre Datacenter et d’un Cloud public.

Cybersécurité, Drupal, Entreprise, Fuite de données, Joomla, Logiciels, Mise à jour, Patch, Propriété Industrielle, Sécurité, Wordpress, Wordpress

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

BYOD, Cybersécurité

Un projet big data pour sécuriser les voies ferrées, fausse bonne idée ?

Renforcer la sécurité et améliorer la surveillance des installations est une problématique constante pour la SNCF et réseau ferré de France (RFF), sociétés en charges des voies ferrées françaises.

Pour répondre à cette problématique, le projet « vigirail » a été lancé suite à aux accidents ayant marqués l’année 2013, et notamment le déraillement en juillet 2013 de Brétigny-sur-Orge, ayant fait 61 blessés et 7 morts. La SNCF et RFF ont ainsi décidé d’investir 410 millions d’euros dans des technologies de pointe avec le plan vigirail, commencé cette année, et qui prendra fin en 2017. Le but est simple : mettre à profit les nouvelles technologies et industrialiser les process pour fournir des informations en temps réels sur l’état des infrastructures et ainsi éviter d’autres drames. Mais cet investissement pourrait se révéler infructueux, voire dommageable, si l’anticipation n’est pas au rendez-vous.

Ce plan se décompose en trois grandes catégories :
–         La mise en place progressive dès janvier 2015 d’engins chargés de la surveillance des installations, grâce à la présence sous le train de caméras HD. Via ces prises de vues, les anomalies sur les voies seront automatiquement détectées et répertoriées.

–         Le lancement, en juillet 2014, de la plateforme « Alerte express » permettant de signaler les anomalies techniques sur les voies ferrées, anomalies qui seront par la suite mise en forme et envoyées aux agents automatiquement

–         Les applications à destination des agents sur le terrain. A terme une dizaine d’applications seront déployées sur les 13 000 smartphones et tablettes des agents dès mars 2015 afin qu’ils puissent répertorier toutes les informations utiles.

Compte tenu de l’ampleur des installations à observer, environ 29 000 kilomètres de rails, et le nombre d’agents équipés, on imagine aisément la quantité importante de données à traiter, dans des délais parfois courts. Quantité à laquelle s’ajoutent les données déjà présentes sur le réseau permettant le bon fonctionnement de l’entreprise.

De plus, la SNCF et RFF disposant de nombreux sites physiques sur toute la France, la gestion des données sera sans aucun doute multi-sites, augmentant ainsi le traffic de données et par conséquent la possibilité de dysfonctionnements. Ce surplus de données, s’il n’est pas anticipé et géré convenablement, rendra vain le projet vigirail et pourra même impacter négativement l’ensemble de l’infrastructure informatique.

Les nouvelles technologies sont une aubaine en termes de sécurité, mais pour avoir un impact  positif il faut s’assurer que le réseau puisse gérer toutes ces informations en temps réel, et qu’elles soient disponibles pour tous et à tout moment. Pour cela, pas de mystère, en plus d’une analyse poussée des besoins, il faut impérativement anticiper et mettre en place un outil de gestion et de monitoring réseau. Un outil efficace répond à deux impératifs :

–                    Une interface unifiée : Les entreprises accumulent bien souvent au fil du temps les outils de contrôle réseau, or ces derniers ne sont pas toujours capables de communiquer entre eux. L’administrateur n’a donc pas une vision globale du réseau, les risques de bug informatiques et le temps passé à surveiller le réseau sont donc accrus.

–                    Des alertes et réparations automatiques : La disponibilité réseau doit être continue. Les éventuels problèmes de performance et leurs causes doivent donc être repérées à l’avance, ce qui permettra la mise en place d’alertes et de réparations automatiques.  L’anomalie sera alors réparée avant même que le réseau aient pu être impacté par un quelconque ralentissement.

Ces avancées technologiques pourraient considérablement faciliter l’entretien et la surveillance des voies ferrées, améliorant ainsi la sécurité. Cependant, sans un monitoring réseau efficace, toutes ses données pèseront lourd sur le système informatique et risque de saturer ce dernier, qui sera donc indisponible, entrainant autant de désagrément pour les passagers que pour les employés de la SNCF. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc pour DataSecurityBreach.fr)