Archives de catégorie : Firewall

APT, Chiffrement, cryptage, Cybersécurité, Entreprise, Firewall, Securite informatique

Pare-feux, la porte d’entrée de 90 % des ransomwares

Barracuda affirme que la majorité des ransomwares de 2025 a contourné la défense par l’endroit le plus attendu, le pare-feu, et parfois en seulement trois heures.

Selon le Barracuda Managed XDR Global Threat Report, 90 % des incidents de ransomware observés en 2025 ont exploité des pare-feux, via des logiciels non corrigés ou des comptes fragiles. Le rapport s’appuie sur l’ensemble de données Barracuda Managed XDR, plus de deux mille milliards d’événements informatiques collectés en 2025, près de 600 000 alertes, et plus de 300 000 actifs protégés, dont points de terminaison, pare-feu, serveurs et ressources cloud. L’étude décrit les chemins privilégiés par les attaquants, l’usage d’outils légitimes comme l’accès à distance, et les angles morts récurrents, chiffrement obsolète, protections désactivées, configurations dégradées. Un cas attribué à Akira illustre l’accélération, trois heures entre intrusion et chiffrement.

Quand le pare-feu devient le meilleur relais de l’attaquant

Le chiffre, 90 %, raconte une réalité opérationnelle plus qu’une surprise stratégique. Le pare-feu concentre les accès, les règles, et souvent la confiance implicite, ce qui en fait un pivot idéal dès qu’une CVE ou un compte vulnérable ouvre une brèche. Barracuda décrit un scénario classique, l’attaquant obtient un point d’appui, prend le contrôle du réseau, contourne les contrôles attendus, puis masque du trafic ou des actions malveillantes derrière des flux qui ressemblent au quotidien. Dans cette logique, l’attaque ne “force” pas la porte, elle se glisse dans le passage déjà prévu.

Le rapport insiste sur l’exploitation d’outils informatiques légitimes, notamment des solutions d’accès à distance. Le détail compte, car ces utilitaires, omniprésents, peuvent devenir un accélérateur, ils fournissent une interaction stable, une persistance discrète, et un moyen de se déplacer sans déclencher immédiatement des soupçons. Barracuda signale aussi des failles plus prosaïques, mais déterminantes, comme un appareil non autorisé apparu sans contrôle, un compte laissé actif après un départ, une application “endormie” non mise à jour, ou une fonction de sécurité mal paramétrée. La mécanique est toujours la même, une seule faiblesse suffit, et la défense découvre trop tard qu’elle gardait une façade, pas l’ensemble de la surface d’attaque.

L’exemple le plus brutal, cité dans l’étude, concerne Akira. Entre l’intrusion et le chiffrement, il n’aurait fallu que trois heures. Cette compression du temps bouleverse les habitudes, les équipes disposent de moins de marge pour qualifier une alerte, recouper des journaux, isoler une machine, ou même lancer une investigation complète. Ce qui relevait hier d’un sprint devient une course de vitesse. Pour les attaquants, chaque minute gagnée réduit la probabilité d’un arrêt net avant le point de non-retour.

Des failles anciennes, des exploits prêts, et le signal du mouvement latéral

Autre enseignement, 11 % des vulnérabilités détectées disposaient d’un exploit connu. Le message est direct, une part significative des failles repérées n’est pas seulement théorique, elle est déjà “outillée”. Barracuda y voit un encouragement involontaire pour les opérateurs, qui privilégient les chemins éprouvés et industrialisés, y compris via la chaîne d’approvisionnement. La hausse rapportée est nette, 66 % des incidents impliquaient un tiers ou un volet supply chain, contre 45 % en 2024. Dit autrement, l’attaque cherche la faille la moins défendue, parfois chez un prestataire, parfois dans une dépendance logicielle, puis remonte vers la cible principale.

Le rapport met aussi en avant un paradoxe inquiétant, la CVE la plus fréquemment détectée remonte à 2013. CVE-2013-2566 concerne un algorithme de chiffrement devenu obsolète, encore présent dans des environnements anciens, vieux serveurs, équipements embarqués, applications héritées. Le risque ne vient pas seulement de la vulnérabilité elle-même, mais de ce qu’elle révèle, l’existence de morceaux d’infrastructure difficiles à inventorier, compliqués à mettre à jour, parfois invisibles aux processus standards. Dans une lecture cyber et renseignement, ces reliques technologiques deviennent des points d’ancrage, stables, prévisibles, et donc exploitables.

Le signal d’alerte le plus clair, selon Barracuda, reste le mouvement latéral. Dans 96 % des incidents où cette étape était observée, l’histoire se terminait par un déploiement de ransomware. Le moment est décisif, l’attaquant, souvent dissimulé sur un point de terminaison insuffisamment protégé, cesse d’explorer et commence à agir. Le rapport cite des indicateurs qui doivent alerter, comportements de connexion atypiques, accès privilégiés inhabituels, désactivation d’une protection endpoint, ou encore usage anormal d’outils d’administration. L’enjeu n’est pas seulement de détecter, mais d’interrompre avant que la propagation ne se transforme en chiffrement généralisé.

Au fond, Barracuda décrit une bataille d’hygiène numérique et de visibilité, où l’ennemi gagne quand l’organisation ignore ses propres zones grises, et où le renseignement de sécurité naît d’une surveillance capable de relier signaux faibles et actions concrètes.

Chiffrement, cryptage, Cybersécurité, Firewall, Logiciels

Firewall applicatif : un premier rempart face aux pirates ?

Le filtrage applicatif par un firewall, un coupe feu numérique, permet-il aujourd’hui de filtrer les communications application de manière efficace ?

Pas de doute, aujourd’hui, faire l’impasse sur la sécurisation d’un réseau est une hérésie. Les exemples de piratages n’ont jamais été aussi nombreux. Il est temps aux entreprises, surtout pour les plus petites, de s’affranchir de l’idée que les problèmes de sécurité informatique n’arrivent pas qu’aux autres.  Gardez à l’idée que se n’est pas la taille qui compte pour le pirate, mais les données que vous possédez. Bref, parmi les sécurités à incorporer dans votre réflexion globale, un firewall applicatif, outil indispensable pour la sécurisation d’un réseau.

Pour en savoir plus, et vous orienter sur l’intérêt d’un tel outil, je vous invite à consulter les conseils proposés sur le site Advens. Vous y découvrirez comme fonctionne la prévention, par exemple des identifications automatiques des applications ou encore l’évaluation des risques, sans oublier les filtrages, les modèles de sécurité négatifs ou positifs et l’indispensable analyse comportementale.

« L’objectif de ce billet n’est pas de revenir sur les détails techniques des firewalls applicatifs, mais plutôt de faire le point sur leur usage en général et sur les bonnes questions à se poser pour en tirer un maximum de bénéfices. » Explique Advens. Un contenu qui revient sur les propositions des éditeurs de firewall « Ils proposent tous à peu près la même chose et mettent en avant les 5 bénéfices. » Des bénéfices que vous retrouverez sur l’analyse de l’entreprise spécialisée en sécurité informatique.

Bref, vous comprendrez rapidement l’intérêt d’être accompagné dans la mise en place de vos outils de sécurité informatique. Des hommes et des cerveaux, sont avant tout la meilleure des sécurités informatique. État des lieux, accompagnement, définition des politiques de filtrages. Bref, du pain sur la planche mais devenu indispensable aujourd’hui.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Firewall, Fuite de données, Logiciels, Mise à jour, Patch, Propriété Industrielle

Fonctions analytiques de sécurité

HP a annoncé pouvoir protéger les entreprises numériques avec de nouvelles fonctions analytiques de sécurité. De nouvelles solutions identifient rapidement les menaces à haut risques et les IoC (indicators of compromise) afin d’aider à protéger les échanges entre utilisateurs, applications et données.

A l’occasion de HP Protect, la conférence annuelle sur la sécurité informatique d’entreprise, HP a dévoilé de nouvelles solutions centrées sur l’analyse de données de sécurité conçues pour aider les entreprises à passer des méthodes traditionnelles de sécurité à une approche moderne basées sur la protection des interactions entre les utilisateurs, les applications et les données, et sécuriser ainsi leurs actifs les plus précieux.

Les entreprises sont quotidiennement submergées par des données portant sur la sécurité. Elles doivent réussir à traduire ces données en informations utiles pour gérer de manière proactive les menaces qui engendrent un risque certain. Face à la complexité et le volume croissants des données, une plate-forme de sécurité intelligente est donc essentielle. Celle-ci doit être en mesure d’exploiter la puissance des solutions de Security Information and Event Management (SIEM) et d’effectuer une surveillance active avec l’analyse de données de sécurité extraites de cas d’usages, et capables d’être dérivées en actions de prévention concrètes.

« La détection des failles de sécurité est la préoccupations principale des acheteurs de solutions de sécurité. Les fabricants des solutions techniques se vantant d’identifier les failles ou de détecter des attaques sophistiquées font toujours plus de bruit » déclare Eric Ahlm, directeur de recherches chez Gartner, dans un récent communiqué de presse. « Les plateformes d’analyse de données de sécurité s’efforcent de conduire à une prise de conscience des événements de sécurité en collectant et en analysant un ensemble de données toujours plus large, de façon à ce que les événements les plus nuisibles pour les entreprises soient détectés et classés par ordre de priorité avec une efficacité accrue.»

Tirer parti de l’analyse des données de sécurité pour automatiser l’analyse des menaces
Les entreprises reçoivent chaque semaine en moyenne 17 000 alertes de programmes malveillants, et dépensent chaque année en moyenne 1,27 million US$ en temps et en ressources pour répondre à des menaces 2 provenant de données imprécises ou erronées. En raison du volume de données que les professionnels de la sécurité d’entreprise doivent surveiller, on estime à environ quatre pour cent, seulement, les alertes de logiciels malveillants faisant l’objet d’investigations 2, laissant ainsi une faille importante dans la gestion des problèmes de sécurité. En outre, les solutions traditionnelles périmétrique et les actions manuelles ne sont pas capables d’intercepter toutes les infections critiques dues à des programmes malveillants et laissent ainsi les entreprises encore plus exposées aux risques.

Pour les aider à automatiser l’analyse des données relatives aux menaces, HP annonce HP DNS Malware Analytics (DMA), une solution unique conçue pour identifier les systèmes infectés en analysant le trafic sur les serveurs DNS de l’entreprise. Cette solution sans agent a été développée en partenariat avec les HP Labs, les laboratoires de recherche d’HP, et le centre interne HP Cyber Defense Center. Travaillant à partir d’algorithmes, elle répertorie les serveurs infectés sans logiciel installé sur les composants périmétriques, et aide les clients à détecter rapidement les menaces à haut risque, réduire l’impact des failles de sécurité et améliorer leur politique globale de sécurité.

« Aujourd’hui les organisations doivent faire face à des volumes croissants de données de sécurité. Sans avoir la possibilité de séparer les signaux réels du bruit ambiant, les entreprises peuvent être victimes d’attaques malveillantes non détectées aux conséquences graves à la fois en termes financiers et opérationnels » déclare Sue Barsamian, Senior Vice-Président et Directeur Général de l’entité HP Enterprise Security Products. « La nouvelle solution HP DNS Malware Analytics (DMA) utilise les techniques de traitement des données pour détecter des malwares à partir de larges volumes d’événements fournis par les serveurs DNS. HP DMA est une solution packagée simple et très efficace adaptée aux grandes et moyennes entreprises. Combinée à la plateforme HP ArcSight SIEM, elle apporte des fonctionnalités de nouvelle génération qui renforcent la protection de l’entreprise. »

HP DMA identifie rapidement les cibles infectées comme les serveurs, les postes de travail et les appareils mobiles, afin de pouvoir les isoler avant qu’ils ne se connectent au réseau. La solution propose un algorithme unique en son genre – ce qui la différencie de la plupart des offres bâties sur des règles – capable d’analyser un très grand nombre d’enregistrements DNS. Ceci permet la détection d’un nouveau malware inconnu tout en réduisant par 20 le nombre de faux positifs par rapport aux autres offres de détection de malware sur le marché 3. Les entreprises économisent ainsi du temps et des ressources IT, et peuvent répondre aux risques les plus élevés en fonction des priorités qu’elles auront définies.

Avec un paramétrage simple et un reporting dans le cloud, HP DMA peut être déployé rapidement pour offrir une vigilance permanente face aux menaces. La solution s’intègre de façon transparente avec la plateforme the HP ArcSight SIEM, ce qui permet d’exploiter la capacité des systèmes SIEM, en tirant parti des déploiements de ArcSight Enterprise Security Management (ESM) afin de corréler d’autres données contextuelles, de donner des alertes et de proposer des actions appropriées.

Intégrer les données de sécurisation des applications pour élargir la couverture de sécurité
En prolongement de son engagement sur les offres de sécurité basées sur l’utilisation de données, HP annonce également HP Fortify scan analytics, une technologie unique qui exploite la puissance des données de sécurité issues des applications afin d’améliorer l’acuité et l’efficacité des solutions de sécurisation des applications. En traitant un volume croissant d’enregistrements fournis par des scans applicatifs et en réduisant la quantité d’éléments demandant l’analyse d’un spécialiste, la solution permet aux entreprises de concentrer leurs ressources sur un nombre plus faible de tâches plus prioritaires. Cette technologie analytique s’intègre de façon transparente dans les workflows existants de tests de sécurité des applications, ce qui contribue à augmenter à la fois l’efficacité du processus d’audit de la sécurité des applications et la pertinence des résultats.

Tirer parti de l’analyse prédictive pour accélérer la détection de menaces internes
Les nouvelles offres analytiques HP DMA et Fortify renforcent les capacités analytiques d’HP autour de l’analyse comportementale annoncées au cours de cette année. HP User Behavior Analytics (UBA) offre aux clients une meilleure visibilité dans le comportement des utilisateurs afin d’identifier les plus négligents ou les plus malveillants, ou de détecter les attaques externes qui infectent les comptes des utilisateurs de l’entreprise. En classant les anomalies détectées et les risques associés, HP UBA permet aux clients de concentrer leurs efforts et leurs ressources sur les activités, les utilisateurs et les applications qui présentent les risques les plus élevés pour l’entreprise.

Cybersécurité, Entreprise, Firewall, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Social engineering

détection des menaces basé sur l’apprentissage automatique Machine Learning

Avast conçoit un système de détection des menaces basé sur l’apprentissage automatique Machine Learning. Sa collaboration avec Qualcomm permet de protéger les utilisateurs face aux attaques zero-day, aux logiciels malveillants et à la violation des données personnelles.

Avast Software, éditeur des solutions de sécurité PC et mobiles, a développé une solution de sécurité mobile au niveau du noyau. Avast collabore actuellement avec Qualcomm Technologies, Inc., une filiale de Qualcomm Incorporated, afin de mettre sur pied cette nouvelle technologie. Qualcomm Technologies est le concepteur de Qualcomm® SnapdragonTM Smart Protect, un outil conçu pour détecter et classifier en temps réel les attaques zero-day et les malwares transformés, grâce à une analyse des comportements basée sur l’apprentissage automatique qui permettra de renforcer la protection des données personnelles et la sécurité des appareils. Snapdragon Smart Protect devrait être disponible sur les appareils grand public d’ici 2016 et sera intégré au processeur Snapdragon 820.

« Étant donné leur expérience et leur renommée sur le marché de la sécurité mobile, Avast était pour nous un choix évident pour cette intégration, déclare Asaf Ashkenazi, directeur de la gestion des produits chez Qualcomm Technologies. Grâce à la technologie AV avancée et aux solutions de sécurité mobile d’Avast, les clients bénéficieront d’une sécurité et d’une protection de la vie privée plus performantes. »

« Chez Avast, nous sommes ravis de collaborer avec Qualcomm Technologies en vue d’élaborer une solution de sécurité matérielle qui sera intégrée aux processeurs Snapdragon et à leur firmware, déclare Vince Steckler, PDG d’Avast. Le nombre de menaces grandit chaque jour, raison pour laquelle les fabricants et opérateurs mobiles doivent protéger leurs utilisateurs en temps réel. Snapdragon Smart Protect offrira une sécurité matérielle au niveau du processeur, afin de protéger les consommateurs plus efficacement face aux applications malveillantes, aux attaques zero-day et aux rançongiciels. »

Une solution de sécurité traditionnelle est uniquement capable d’analyser et de surveiller les comportements des logiciels au niveau des applications et de la structure logicielle. Avast utilisera ici la technologie embarquée Snapdragon Smart Protect et son algorithme d’apprentissage automatique au niveau du processeur afin de contrer les attaques zero-day et de différencier les applications logicielles autorisées et malveillantes. Alors que les utilisateurs bénéficieront d’une protection optimisée, les fabricants et opérateurs mobiles pourront quant à eux limiter les risques de violations de données et d’attaques malveillantes au sein de leurs systèmes.