Archives par mot-clé : cybersécurité

Cybersécurité, Entreprise

Les équipes de sécurité mettent en moyenne 145 heures jours pour résoudre une alerte cybersécurité

Selon le nouveau Cloud Threat Report, les équipes de sécurité mettent en moyenne 145 heures, soit environ six jours, pour résoudre une alerte de cybersécurité.

Les chercheurs du groupe Unit 42 ont analysé plus de 210 000 comptes cloud de 1 300 organisations dans le monde pour parvenir à cette conclusion. À mesure que les organisations adoptent le cloud, elles sont confrontées à des risques de sécurité croissants, car toute configuration erronée peut être exploitée par des cybercriminels. Dans son rapport, Palo Alto Networks met en garde contre les dangers de l’authentification insuffisante, des correctifs inadéquats et des logiciels open source malveillants.

Les chercheurs ont également constaté que 76 % des organisations n’utilisent pas d’authentification multi-facteur pour les utilisateurs ayant des droits de contrôle et que 58 % n’ont pas d’authentification multi-facteur pour les gestionnaires d’accès administrateur. Unit 42 a également observé que 63 % du code de base en production présentent des failles critiques non corrigées, tandis que seulement 5 % des règles de sécurité sont responsables de 80 % des alertes dans la plupart des environnements cloud.

Palo Alto Networks conseille donc aux organisations de planifier des sauvegardes et de les stocker dans des emplacements isolés, ainsi que d’élaborer des plans stratégiques en cas d’incident. Les chercheurs prévoient également un glissement de la sécurité des terminaux vers des plates-formes protégeant directement les applications dans le cloud, connues sous le nom de Cloud-Native Application Protection Platforms (CNAPP). Selon le cabinet-conseil Gartner, la demande de solutions CNAPP a augmenté de 70 % en 2021-2022.

CNAPP, Kesako ?

Un CNAPP (Cloud-Native Application Protection Platform) est une plateforme de sécurité des applications dans le cloud. Les CNAPP sont conçues pour protéger les applications qui fonctionnent nativement dans des environnements de cloud computing, tels que les conteneurs et les microservices. Les plates-formes CNAPP sont également adaptées aux environnements de développement DevOps, où les applications sont fréquemment mises à jour et déployées rapidement. Les CNAPP fournissent des fonctionnalités telles que la gestion des identités et des accès, la détection et la réponse aux menaces, la conformité et la gouvernance, ainsi que la surveillance et la gestion des risques. L’utilisation de CNAPP est de plus en plus courante car elle permet de mieux sécuriser les applications dans le cloud, qui est devenu une cible de choix pour les cyberattaques en raison de l’augmentation de la migration des applications des entreprises vers le cloud.

Cybersécurité

Hébergement : penser budget cybersécurité

Planifier son budget cybersécurité ne doit plus être une option. Dans ce dernier, la ligne « hébergement » sécurisé doit y figurer parmi les premières places avec l’humain et les experts appropriés.

Les RSSI européens augmentent leurs investissements pour sécuriser la transition de leur organisation vers le cloud public et fournissent de plus en plus de contrôles de sécurité à partir du cloud. Qui dit cloud, dit hébergement, et qui dit hébergement impose obligatoirement de suivre des règles tels que le Règlement Général des Données Personnelles (RGPD), du pentest pour s’assurer de ne pas finir avec l’ensemble de ses données dans les méandres du web, etc… Pour vous pencher sur cette question cliquez ici pour avoir des pistes d’une sélection possible pour vos besoins.

Des dépenses stratégiques

Les responsables de la sécurité européens maintiennent également les changements antérieurs vers les dépenses des fournisseurs de services gérés et des sociétés de conseil pour les aider à réaliser leurs priorités stratégiques.

Forrester, dans sa dernière étude donne d’ailleurs un aperçu de la planification des budgets de cybersécurité en Europe pour 2021 et 2022. On y découvre, par exemple, que jusqu’à 15% des dirigeants interrogés ont décidé d’établir une stratégie cybersécurité pour le hébergement, leur cloud (laas, Paas, SaaS). 

Le référentiel Européen

L’enjeu de souveraineté numérique face aux géants du web (GAFAM) est plus qu’évidente. Choisir son hébergement face à cet élément stratégique, politique et sociétale est indispensable.  Choisir ses infrastructures et autres points d’accès web hors des murs européens, et encore mieux français ne doit plus être option pour le choix de son hébergement. Il en va de l’indépendance numérique de vos données et de celles de vos clients.

Pour finir,  l’objectif du gouvernement français de sécuriser à la fois les process, la technique et la gestion juridique des services d’hébergement et cloud des entreprises françaises est à prendre en compte. Le nouveau label “Label du Cloud de Confiance” est gage de qualité, de confiance et de cybersécurité. Seules les entreprises possédant déjà la qualification SecNumCloud peuvent espérer le recevoir. Ce label ++ démontre l’indépendance du récipiendaire vis-à-vis des lois non européennes, comme le très intrusif patriot act américain.

Cybersécurité

Les e-mails contrefaits mis en péril : DMARC

Pour lutter contre les fraudes par les e-mails, des technologies d’authentification ont été mises en place. Dans cet article, nous parlerons de l’une des technologies d’authentification les plus utilisées : le DMARC.

Le DMARC : qu’est-ce que c’est ?

DMARC est l’acronyme anglais pour Domain Based Authentication, Reporting, and Conformance. C’est une technologie mise en place afin de lutter contre les fraudes par e-mail. Il s’agit entre autres des e-mails contrefaits, des spams, du phishing, etc.

Petit historique de DMARC : des débuts à nos jours

Sous l’égide de dmarc.org et dmarc.fr, plusieurs organisations se sont mises ensemble pour élaborer le DMARC. On les catégorise en deux groupes : les émetteurs et les destinataires.

Au niveau des émetteurs, nous avons : Facebook, PayPal, Twitter, LinkedIn, Fidelity Investments, American Greetings, Bank of America, JPMorganChase, etc. Quant aux destinataires, il s’agit de Google, Yahoo, Microsoft, Yandex, AOL, Mail.Ru, Netease, Comcast.

Dès son élaboration, le DMARC a mis du temps à décoller. Les grandes entreprises sont longtemps restées réticentes quant à son adoption. Il s’agit notamment de certaines entreprises du Fortune 500, de Chine et bien d’autres à travers le monde.

Cependant, force est de constater qu’on assiste depuis quelques temps à une certaine prise de conscience, certes lente, des entreprises. En effet, le taux d’adoption de DMARC au niveau des entreprises a connu un regain ces deux dernières années.

Le taux d’adoption, aujourd’hui, est nettement supérieur à celui des années antérieures.

DMARC : comment marche ce processus d’authentification ?

DMARC est une spécification qui complète SPF et DKIM. Ainsi, elle entre en œuvre en cas d’échec de ces deux protocoles et permet de déterminer la meilleure politique à appliquer. Il existe 3 politiques parmi lesquelles DMARC identifie les cas de non-correspondance des e-mails :

None/aucun : dans ce cas, aucune action spécifique n’est recommandée. La politique locale est donc appliquée. L’e-mail est reçu et traité comme il le serait s’il n’y avait pas DMARC ;

Quarantine/quarantaine : L’e-mail est reçu par le destinataire, mais n’est pas directement placé dans la boite de réception. Il est plutôt placé dans les spams ou courriers indésirables ;

Reject/rejet : l’e-mail est tout simplement rejeté ou détruit par le serveur destinataire.

Comment configurer DMARC ?

Pour pouvoir configurer les paramètres d’authentification DMARC de votre domaine, il vous faut vous assurer que SPF et DKIM sont bien implémentés. Après cela, vous devez accéder aux enregistrements DNS de votre compte d’hébergement.

À ce niveau, il vous faut ajouter ou modifier l’enregistrement DNS auprès de votre fournisseur. Cela se présente sous la forme d’une ligne de texte de format .TXT dans laquelle vous définissez laquelle des 3 politiques doit être appliquée.

DMARC : importance et avantages

Le DMARC est une spécification technique qui fait suite à DKIM et à SPF. En effet, mettre en place le DMARC offre de multiples avantages aussi bien pour les expéditeurs que les destinataires. Il existe plusieurs niveaux de configuration du DMARC, et chaque niveau a ses avantages.

Lorsque DMARC n’est pas configuré sur votre domaine, ce dernier est vulnérable aux attaques des pirates et autres individus malintentionnés. Ils pourront alors facilement s’introduire dans votre réseau pour effectuer leurs méfaits.

Ils pourront, par exemple, se faire passer pour vous ou l’un des membres de votre organisation auprès de vos employés, de vos clients, de vos fournisseurs, etc.

DMARC vous permet de limiter les risques d’hameçonnage, de spams et de faux positifs pour le destinataire. Pour cela, il indique au destinataire la bonne conduite de sécurité à tenir en cas de doute sur la fiabilité du message. De plus, DMARC est gratuit et facile à configurer.

En quoi DMARC permet-il de lutter contre les e-mails contrefaits et les fraudes ?

Contrairement à ses prédécesseurs (SPF et DKIM), DMARC prend en compte dans son processus des informations sur les domaines des destinataires. Cela lui permet d’être plus efficace et de renforcer la sécurité lors des échanges d’e-mails.

L’expéditeur met en place le DMARC tout en précisant au destinataire la réaction à avoir vis-à-vis de tout e-mail qui ne respecterait pas ses normes (l’expéditeur). Il peut s’agir de la destruction ou de la mise en quarantaine de l’e-mail en question.

Cette politique permet également aux destinataires d’envoyer un rapport au domaine de l’expéditeur pour spécifier que les e-mails passent ou non.

Mise à jour, Patch

83 vulnérabilités dont 10 critiques, une vulnérabilité Zero Day et correctifs Adobe

Le premier Patch Tuesday de l’année permet de résoudre 50 vulnérabilités. Les 10 vulnérabilités critiques concernent les codecs Windows, Office, des extensions vidéo HEVC, le runtime RPC ainsi que les postes de travail. Pour sa part, Adobe a publié des correctifs pour Photoshop, Campaign Classic, InCopy, Illustrator, Captivate, Bridge et Animate.

Correctifs pour les postes de travail

Le déploiement de patches pour Office et Edge est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

Zero Day par exécution de code à distance dans Microsoft Defender

Microsoft corrige la vulnérabilité par exécution de code à distance (CVE-2021-1647) dans Defender en publiant un correctif pour Microsoft Malware Protection Engine. Microsoft a déclaré que cette vulnérabilité était exploitée avant que des correctifs ne soient disponibles. Ce correctif doit être déployé en priorité.

Élévation de privilèges avec le processus splwow64

Même si Microsoft précise que ce problème (CVE-2021-1648) concerne une vulnérabilité par élévation de privilèges, cette faille peut être exploitée pour divulguer des informations et plus particulièrement de la mémoire non initialisée. Microsoft a déclaré que cette vulnérabilité n’a pas été exploitée en mode aveugle, même si les détails la concernant sont disponibles publiquement.

Adobe

Adobe publie des correctifs pour de nombreuses vulnérabilités dans Adobe PhotoshopIllustratorAnimate, Campaign, InCopy, Captivate et Bridge. Les correctifs pour Adobe Campaign sont de Priorité 2 tandis que les autres patches sont de Priorité 3Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés. (Par Animesh Jain, Directrice des produits Signatures des vulnérabilités chez Qualys)

Cybersécurité

Protéger les informations confidentielles du secteur industriel

L’importance d’une cybersécurité efficace dans le secteur industriel et propose une série de conseils pour aider chaque entreprise à la concrétiser.

La cybersécurité est importante dans tous les secteurs, mais nulle part plus que dans le secteur industriel, où la quantité considérable d’informations confidentielles détenues par les entreprises en fait des cibles extrêmement attrayantes pour les criminels.

Les cybermenaces modernes peuvent prendre de nombreuses formes, allant de l’espionnage commandité par des États aux gangs criminels organisés, en passant par des tiers mécontents et même des initiés imprudents dans l’entreprise, commettant des erreurs en toute honnêteté. Mais en fin de compte, tous ces acteurs représentent un grave danger pour la sécurité des données, qui peut entraîner de graves conséquences sur le plan de la réputation, de la concurrence et des finances en cas de violation.

Pour les industriels aux chaînes d’approvisionnement complexes, les données les plus importantes relèvent de leur propriété intellectuelle (PI), notamment les formules, les conceptions et les brevets exclusifs, pour n’en nommer que quelques-uns. Garder cette PI hautement sensible à l’abri des regards indiscrets peut être la clé du succès à long terme d’une entreprise. C’est pourquoi il est essentiel de mettre en place une cybersécurité efficace pour la protéger. Cet article abordera une série de conseils en matière de cybersécurité. Beaucoup sont très faciles à mettre en œuvre. Ils peuvent améliorer considérablement la posture de sécurité de toute entreprise et contribuer à protéger les données sensibles.

1. L’importance d’agir pour la protection des données

En matière de protection des données, il est étonnant de voir le nombre d’entreprises qui en parlent beaucoup sans pour autant agir sur cette question. Les dirigeants aiment à citer la productivité des travailleurs et la fluidité du flux d’informations pour justifier l’absence de programmes de sécurité significatifs, qui, selon eux, nuirait à ces aspects. Mais ces idées sont dépassées. Il existe aujourd’hui une pléthore d’excellentes solutions de sécurité qui offrent un excellent équilibre entre la protection nécessaire et des niveaux optimaux en matière de productivité et d’innovation. En fin de compte, aucun programme de protection des données ne décollera sans un soutien de la direction, c’est pourquoi c’est un premier pas si fondamental vers la réussite.

2. Identifier et localiser les informations précieuses

Une fois que l’engagement en matière de protection des données a été pris, l’étape suivante consiste à identifier exactement les actifs à protéger et, surtout, à les localiser. Trop souvent, les organisations n’ont aucune idée de l’endroit où toutes leurs précieuses données sont réellement stockées, ni de qui y a accès, ce qui les rend vulnérables au vol. Bien que la tâche puisse paraître complexe, ce n’est pas nécessairement le cas. Commencez par la propriété intellectuelle la plus précieuse de l’entreprise. Par exemple, les industriels pourraient commencer par leurs designs et formules propriétaires. Une fois qu’ils ont tous été identifiés et localisés sur le réseau, passez à la fonction organisationnelle suivante et recommencez.

3. Étiqueter les actifs sensibles puis y ajouter des couches de sécurité si nécessaire

Dès que des données sensibles ont été identifiées, elles doivent avant toute chose être étiquetées comme telles. Étiqueter les actifs comme « confidentiels » semble basique, mais c’est le moyen le plus rapide et le plus simple de s’assurer que quiconque y accède en est immédiatement informé. Une fois cela effectué, vous pouvez ajouter des couches de sécurité supplémentaires si nécessaire. Du chiffrement à la gestion des droits numériques, en passant par l’étiquetage persistant des documents et la protection des données pilotée par des politiques, de nombreuses approches peuvent garantir que les données circulent librement, mais sur la base du besoin d’information uniquement, ce qui réduit considérablement les risques de vol.

4. Veillez à ce que les employés soient formés à la sécurité

Quelle que soit l’efficacité du programme de sécurité d’une entreprise sur le plan technologique, le maillon le plus faible sera invariablement l’élément humain : ses employés. Des cadres aux réceptionnistes, il suffit que quelqu’un clique sans se méfier sur un lien ou une pièce jointe compromis et les vannes peuvent s’ouvrir. Heureusement, la solution est à la fois simple et efficace. Une formation régulière permet non seulement de garder la sécurité à l’esprit des employés, mais aussi de les garder informés de toutes les dernières méthodes et tactiques d’ingénierie sociale utilisées par les criminels. Dans la mesure du possible, les sous-traitants, les fournisseurs et les partenaires doivent également être invités à participer, pour contribuer à réduire le risque de brèche ailleurs dans la chaîne d’approvisionnement.

6. Etre préparé à un éventuel incident

Même avec la meilleure volonté du monde, aucune entreprise ne peut éliminer complètement le risque de violation, c’est pourquoi il est important de toujours disposer d’un plan détaillé de réponse aux incidents. Avec un peu de chance, il ne sera jamais utilisé, mais il est beaucoup plus prudent d’en avoir un et de ne pas en avoir besoin que l’inverse. Si le pire doit arriver, un plan clair garantira que chacun connaît ses rôles et responsabilités, pour atténuer la violation le plus rapidement possible, en évitant, espérons-le, la perte de données critiques.

Les cybercriminels d’aujourd’hui sont plus créatifs, plus agiles et plus motivés que jamais, il est donc avantageux d’être préparé. C’est particulièrement vrai dans le secteur industriel, où la propriété intellectuelle sensible joue un rôle prédominant dans la réussite ou l’échec de nombreuses entreprises. Une stratégie de cybersécurité n’a pas besoin d’être coûteuse, mais elle nécessite l’adhésion des plus hauts cadres de l’entreprise, une attention aux détails et la juste combinaison d’outils et de formations pour être performante. (Tim Bandos, vice-président de la cybersécurité chez Digital Guardian)

Cybersécurité, Securite informatique

Citadelles : Les 5 piliers d’une cybersécurité efficace

Au Moyen-Âge, l’attaque d’un château-fort avantageait la défense. Du haut des remparts, on pouvait observer les assaillants de loin. Ils ignoraient la structure des fortifications. Quant à elle, l’architecture bien connue du château-fort par les défenseurs brisait de nombreuses stratégies d’attaque. Mais depuis que les citadelles sont devenues numériques, les batailles cyber sécuritaires, à l’inverse avantagent nettement les attaquants et désarment les défenses. Bien souvent, les défenseurs ignorent leurs failles.

Les fortifications, les citadelles d’Internet sont devenues floues depuis l’arrivée des nouveaux systèmes d’information. Les menaces sont moins visibles. Surtout, il est possible pour un attaquant de frapper par un point A, puis par un point B le lendemain, en n’éveillant jamais les soupçons. Dans un contexte où l’on manque énormément de visibilité, comment contrer ces menaces ? 5 piliers indispensables à mettre en place.

1 – La sécurité périmétrique

Dans un monde informatique sans périmètre où les frontières sont devenues plus floues, la sécurité périmétrique reste toujours le premier rempart à mettre en place. C’est un prérequis essentiel dont on ne peut faire l’économie. Elle consiste à protéger la frontière externe de l’entreprise des menaces extérieures pour éviter ou limiter les infections (malwares, cheval de Troie, etc.). Les réflexes de base à adopter sont de bien paramétrer ses firewalls et d’être très sélectif et granulaire dans les autorisations de flux.

2 – La sécurité Endpoint

Elle permet de combattre directement l’infection une fois détectée grâce à des antivirus ciblés. Auparavant, la capacité de détecter des virus était une activité relativement facile, il suffisait de comparer ces virus à des bases de signatures prédéfinies. Aujourd’hui, de nouveaux malwares ont pris le relai et sont capable de « muter » afin d’éviter d’être détecté. On voit aussi des États Nations développer des virus « intraçables » car utilisant des failles encore inconnues. Face à ces menaces invisibles, les entreprises doivent se doter de solution de type Endpoint Detection and Response – EDR. Comparer des signatures n’est plus suffisant. Depuis, beaucoup de mécanismes ont été inventé, dont l’analyse comportementale, du machine learning en pre-execution, du sandboxing, qui se révèlent plus efficaces dans la détection des nouvelles menaces.

3 – La détection de menaces sur le réseau

Si la sécurité Endpoint et périmétriques sont indispensables et gèrent autant les frontières externes et internes du système d’information ; on sait bien, qu’elles sont insuffisantes sans une approche d’analyse côté réseau. La sécurité sur le réseau, consiste à détecter des comportements non conventionnels et retrouver les traces d’un attaquant sur le réseau de l’entreprise (logs, données, IA, etc.).

Elle se fait surtout à l’aide d’outils à base d’intelligence artificielle et de machine learning qui sont capables d’écrémer et de ressortir des informations suspectes dans un lot gigantesque de données grâce à l’automatisation. La prise de décision finale reste à l’appréciation d’un humain, mais qui aura gagné énormément de temps sur sa prise de décision et la collecte d’informations.

4 – L’Active Directory

L’Active Directory ou l’annuaire d’entreprise comme partie intégrante d’une attaque, est largement sous-estimé. Et par conséquent, il est sous protégé alors que les cyberattaques suivent généralement le même schéma. Après avoir franchi les défenses périmétriques, les hackers ciblent le coeur de l’entreprise. L’Active Directory leur permet d’avoir accès aux comptes de l’ensemble de l’entreprise, administrateurs et grands patrons compris. Le but ? S’emparer des comptes à hauts-privilèges pour pouvoir, par exemple, diffuser un ransomware à l’ensemble de l’entreprise.

5 – La sensibilisation des utilisateurs

On dit souvent que les failles sécuritaires modernes se situent toujours entre l’écran et le clavier. C’est vrai. Les scénarios se suivent et se ressemblent. Monsieur tout le monde prend possession de son ordinateur, ouvre ses mails, clique sur une pièce jointe et contamine son entreprise. En effet, l’être humain demeure le premier facteur d’infection. En conséquence, chaque entreprise doit réduire les risques liés aux mauvais comportements des utilisateurs. La solution est simple : former les mauvais élèves « clique à tout » grâce à des mises en situations, questionnaires ou vidéos interactives.

La réalité est simple : il est difficile d’être proactif en défense et de devancer les attaques. La cybersécurité a souvent un temps de retard par rapport aux nouvelles menaces. C’est presque toujours face à de nouvelles attaques que la défense réagit et adapte ses systèmes de défense. D’où la nécessité dans ce contexte, d’assurer a minima ces arrières avec ces piliers, de sensibiliser et de réaliser un important travail de veille technologique pour limiter les pots cassés. (par David Clarys, NewTech Manager Europe du Sud chez Exclusive Networks)

Android, backdoor, Cybersécurité, Identité numérique

Une nouvelle campagne de ransomware Android propagée par le carnet d’adresses des victimes

Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Des chercheurs ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.

Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; Après avoir été alertés, les opérateurs ont retiré les messages malveillants.

La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon. Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse.

Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », explique Lukáš Štefanko de che ESET.

Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.

Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.

Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.

Chiffrement, Communiqué de presse, Contrefaçon, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Comment protéger son réseau et ses imprimantes professionnelles en 5 étapes ?

Les entreprises de toutes tailles doivent relever un certain nombre de défis pour assurer la sécurité de leurs réseaux. Pourtant, les vulnérabilités liées aux MFP et imprimantes connectées d’aujourd’hui sont souvent sous-estimées. Voici comment protéger votre réseau en 5 points.

Désormais, les pirates se servent des systèmes multifonction (MFP) et imprimantes des organisations pour dérober des informations confidentielles stockées sur des disques durs et d’autres périphériques connectés aux réseaux professionnels. Ces cybercriminels provoquent d’importants dégâts et perturbent les activités des entreprises. Selon un rapport d’IDC, 25 % des failles de cybersécurité à corriger impliqueraient des imprimantes. L’impact sur la productivité et la rentabilité des entreprises est donc énorme, alors même que risque lié aux MFP et imprimantes non sécurisés est souvent méconnu et ignoré.

1 : l’identification des utilisateurs et la gestion des autorisations

L’une des solutions les plus importantes pour sécuriser les réseaux consiste à n’autoriser que les utilisateurs connus à accéder aux périphériques tels que les imprimantes. Cet objectif peut être atteint grâce à une administration et à une gestion des autorisations cohérentes.

Identification des utilisateurs : il s’agit du processus grâce auquel les administrateurs ne donnent de droits d’accès aux MFP et imprimantes qu’aux utilisateurs enregistrés. Ces derniers peuvent être identifiés en interne en s’appuyant sur la liste d’utilisateurs locaux, ou via le réseau grâce à un serveur d’authentification. Les administrateurs doivent également décider qui appartient à quel groupe en créant un nom d’utilisateur et un mot de passe, et en mettant en place une stratégie de gestion de mots de passe sur mesure/unique.

Autorisation des utilisateurs : ce processus a pour but d’autoriser l’accès aux ressources des réseaux des organisations, et d’en contrôler l’utilisation. En fonction des identifiants de chaque utilisateur, il est possible de limiter l’accès à certains individus, le restreindre à certaines fonctions, ou le bloquer entièrement. L’administrateur peut également configurer l’accès aux périphériques à l’aide de cartes d’accès contenant des informations d’identification uniques pour chaque individu.

2 : sécuriser le réseau

L’ensemble des périphériques connectés au réseau sont aussi sécurisés que le point le plus vulnérable de ce réseau. Il est donc très important de contrôler l’utilisation des ports et protocoles. Grâce à une configuration intelligente, les administrateurs peuvent bloquer les activités indésirables et les attaques potentielles sur l’infrastructure. Parmi les techniques permettant de sécuriser les communications entre les périphériques du réseau :

Utiliser des fonctions de filtrage pour limiter l’accès à des adresses IP et MAC (Media Access Control) spécifiques. Le réseau et les canaux de communication sont ainsi protégés en limitant l’accès aux adresses ou plages d’adresses spécifiées.

Désactiver les ports non utilisés (afin que seuls ceux qui sont nécessaires fonctionnent) pour bénéficier d’une couche de sécurité supplémentaire et de davantage de contrôle sur le réseau en bloquant les accès non autorisés vers l’ensemble des actifs connectés.

S’assurer que les protocoles IPSec (le protocole Internet pour un échange de données sécurisé et chiffré de données), TLS (le protocole de sécurité de la couche de transport, qui chiffre la transmission de données) et HTTPS (le protocole de transfert hypertexte sécurisé, qui sécurisé les communications sur le réseau) sont configurés pour offrir le niveau de protection le plus élevé.

3 : protéger les données

Il y a deux façons de s’assurer que les données stockées sur les disques durs des MFP et imprimantes soient en permanence sécurisées :

Le chiffrement des données est la procédure ou fonctionnalité cryptant les documents à l’aide d’un algorithme complexe à 256 bits.

L’écrasement des données, qui permet d’effacer le disque dur d’un appareil. Cette stratégie garantit l’effacement définitif de l’ensemble des données déjà stockées sur le disque et des documents numérisés après avoir qu’elles aient été écrasées jusqu’à 10 fois.

4 : imprimer des informations confidentielles de façon sécurisée

Les documents confidentiels doivent être imprimés en suivant une procédure sécurisée évitant les accès et copies non autorisées. Ainsi, lorsqu’une tâche d’impression est soumise, elle est conservée sur le disque dur de l’appareil jusqu’à ce que l’utilisateur saisisse un code PIN, ou présente un jeton ou une carte d’authentification configurés au préalable. Une fois le document imprimé, l’ensemble des données sont automatiquement effacées du disque dur.

5 : assurer une supervision et un contrôle à distance

Mis en place correctement, les outils de sécurité des réseaux offrent aux administrateurs informatiques un contrôle total sur l’ensemble des appareils connectés au réseau, et ce directement depuis leurs postes de travail. Ils peuvent ainsi contrôler un parc entier de MFP et d’imprimantes, et découvrir et gérer à distance la plupart des menaces de sécurité potentielles. Le clonage des appareils permet également de rationaliser le travail des administrateurs, et offre encore plus de sérénité, tout changement au niveau des paramètres d’un équipement pouvant ainsi être reproduit sur l’ensemble du parc. (Par Tomasz Stefanski – Solutions and Applications Specialist chez Sharp Europe).

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Securite informatique

Le CAC 40 en tête des entreprises les plus dynamiques dans le monde

Les réglementations (loi de programmation militaire, RGPD…) et le besoin de confiance numérique ont incité les entreprises à développer une véritable culture du risque et à investir massivement dans des dispositifs de cybersécurité. Toutefois, si 100% des entreprises du CAC 40 agissent désormais en matière de cybersécurité, plaçant ainsi la France dans le peloton de tête des pays les plus actifs sur le sujet, la portée du risque sur l’activité des entreprises est encore sous-évaluée. Une réalité qui se constate aussi dans les innovations technologiques des entreprises, qui font souvent l’impasse sur la cybersécurité. C’est ce que révèle une étude du cabinet Wavestone sur les niveaux de maturité des entreprises dans le domaine de la cybersécurité. Pour cette nouvelle édition, les experts ont analysé les communications financières (notamment via leur rapport annuel et leur document de référence), publiés au 1er juin 2019, de 260 entreprises cotées dans le principal indice boursier des pays où Wavestone est présent : CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI. Les résultats de cette étude unique donnent un aperçu du niveau de maturité déclaré des entreprises et de son évolution, sur différents aspects : implication des comités exécutifs, investissements en cybersécurité, RGPD…

Cybersécurité : Le CAC 40 progresse encore…

Pour évaluer le niveau de maturité des entreprises dans le domaine de la cybersécurité, les équipes du cabinet ont mis au point le financial communication cybermaturity index. Celui-ci permet d’évaluer les enjeux et les risques, la gouvernance et la réglementation, ainsi que les actions de protection mises en place dans les entreprises. Sur la base de cet index, les entreprises du CAC 40, qui étaient en dessous de la moyenne en 2017, progressent en 2018 (10,07/20 + 1,07 VS 2017).

Ainsi, ce sont 100 % des entreprises du CAC 40 qui mentionnent les enjeux de sécurité dans leur rapport annuel et qui se mobilisent sur le sujet de la protection des données personnelles (RGPD) (+42 points VS 2017). Ce sujet majeur pour les entreprises concerne désormais une majorité des comités exécutifs : 50% (+25 points VS 2017) des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif.

Une prise de conscience qui se constate aussi dans la nette progression de la prise de fonction de DPO (Data Protection Officer) dans les entreprises (52,5 % en 2018 VS 13% en 2017).

Plus encore qu’en 2017, les secteurs de la finance (14,77 % / +3,89 pts VS 2017) et des technologies de l’information (12,05% / +0,89 pts VS 2017) sont les locomotives du niveau de maturité des entreprises du CAC 40.

… et caracole en tête des entreprises les plus matures dans la prévention des cyber-risques dans le monde

Parmi les 260 entreprises analysées sur les 6 places de marché (CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI), le CAC 40 se place dans le peloton de tête des entreprises les plus matures sur la prise en compte de la cybersécurité dans les communications financières (10,07/20), juste derrière les Etats-Unis (10,15/20).

Si la France et les Etats-Unis s’illustrent dans le secteur de la finance, c’est le secteur des technologies de l’information qui dominent au Royaume-Uni et en Belgique.

Les résultats dévoilent aussi des cultures et des pratiques différentes autour de la cybersécurité : c’est aux Etats-Unis que l’implication du COMEX sur les problématiques en lien avec la cybersécurité est le plus fréquemment citée dans les rapports d’activité des entreprises (83%), devant le Royaume-Uni (61%), la France et la Belgique (50%). D’autre part, avec 46% de mentions faites sur les niveaux d’investissements en matière de cybersécurité, le Royaume-Uni valorise les investissements via des programmes de cybersécurité, contre 30% à 35% en France et aux Etats-Unis et 15% en Belgique.

Avec l’entrée en vigueur du règlement général sur la protection des données européen (RGPD), les entreprises françaises du CAC 40 mettent la Privacy à l’honneur, en affichant leurs ambitions sur la problématique dans l’ensemble de leurs rapports d’activité.

Alors que l’exemple français aurait pu susciter un éveil des autres pays européens sur la mise en place du RGPD, ce sont finalement les Etats-Unis (87%) qui se rapprochent de la France (100%) dans le domaine de la Privacy, suivis par la Belgique (75%) et le Royaume-Uni (71%).

Des investissements conséquents sur des programmes de cybersécurité, des actions en cybersécurité plus rares dans les technologies innovantes

Si les rapports d’activités font rarement mention des niveaux d’investissements engagés par les entreprises du CAC 40, le cabinet Wavestone a observé une augmentation des entreprises qui font état d’investissements conséquents dans des programmes de sécurité (35% / +22,5 pts VS 2017). Pourtant, dans le même temps, les entreprises font preuve d’un certain attentisme lorsqu’il s’agit d’investir dans des plans d’actions unitaires (45% en 2018 / – 35 pts VS 2017).

En témoignent aussi, des programmes d’innovation qui font toujours l’impasse sur la cybersécurité. En effet, alors que les projets liés à la 5G font leur apparition dans les entreprises du CAC 40, seul 1 projet fait le lien avec la cybersécurité. Une tendance qui se confirme aussi dans les domaines de l’IoT et de l’IA où seuls 2 chantiers sont liés à la cybersécurité, alors que le nombre de projets innovants ne cesse de croître dans ces domaines (58% pour l’IA / +12 pts VS 2017 – 45% pour l’IOT / +10 pts VS 2017). La cybersécurité reste toujours absente des projets dans le domaine de la Blockchain.

« Même si les résultats montrent une progression de la prise en compte de la cybersécurité, la France et le CAC40 restent en retrait sur la mobilisation effective des fonctions dirigeantes de l’entreprise. Alors que c’est une condition sine qua none au succès des programmes de cybersécurité ! », déclare Gérôme Billois, Partner cybersécurité et confiance numérique au sein de Wavestone.

Communiqué de presse, Cybersécurité, Securite informatique

De la cybersécurité à la cyber-immunité

À l’époque où je travaillais sur notre premier antivirus, rares étaient les foyers équipés d’un ordinateur, technologie au prix alors quelque peu prohibitif. Le nombre d’internautes a explosé ces dernières années. On compte aujourd’hui 4 388 milliards d’internautes actifs[1] et de plus en plus de personnes sur la planète possèdent désormais un ou plusieurs appareils connectés à Internet. Pendant bon nombre d’années, nous étions connus comme l’entreprise qui vendait des logiciels antivirus.

Aujourd’hui, les solutions de protection des terminaux ne constituent que l’un de nos nombreux segments d’activité. Nous nous concentrons depuis plusieurs années déjà sur des domaines tels que la cybersécurité industrielle, l’apprentissage automatique, la sécurité de l’Internet des objets (IoT), la Threat Intelligence ou encore la cybersécurité des systèmes de transport. En 1998, soit un an après la création de notre entreprise, nous recensions chaque jour une cinquantaine de nouveaux échantillons de malware ; en 2019 – 21 ans plus tard –, ce sont 360 000 échantillons uniques de malware qui sont détectés quotidiennement !

Mais pourquoi ces comparaisons nostalgiques entre la fin des années 1990 et aujourd’hui ? Eh bien, nous évoluons à présent dans un cybermonde ultra-connecté guidé par la « révolution industrielle 4.0 ». Dans cet univers, la connectivité est vectrice d’opportunités remarquables, mais aussi source de vulnérabilités majeures pour les entreprises ordinaires, pour le secteur industriel et pour l’infrastructure critique. Un changement s’impose selon moi dans notre manière de protéger l’ensemble des technologies qui nous entourent.

Cybersécurité

Existe-t-il une solution miracle pour faire face aux menaces en apparence insurmontables de cette ère digitale ? Je crains bien que non. S’il y en avait une, je pourrais d’ores et déjà planifier ma retraite. En revanche, j’ai ma petite idée quant au futur de la cybersécurité, à la prochaine grande évolution de notre secteur ! À vrai dire, nous y travaillons déjà : il s’agit du concept de la « cyber-immunité », poussé à son paroxysme. Comment définir cette évolution ? Comme ceci : le coût d’une cyberattaque devrait excéder celui des dommages (pour la victime) ou des gains potentiels (pour le cyberpirate). En revanche, des entreprises comme All4tec, développe des solutions pour faire face au problème de cybersécurité notamment avec de la protection préventive.

Comment y parvenir ?

En revoyant notre manière de penser la sécurité des systèmes et des produits. À l’heure actuelle, notre travail consiste à bâtir une couche de protection autour d’une architecture informatique existante. Ne serait-il pas nettement plus simple de disposer de solutions « secure » à tous les niveaux dès leur conception et ne nécessitant en principe aucune protection supplémentaire ? Cette idée nous paraissant excellente, nous avons commencé à la mettre en œuvre dans le domaine de l’IoT. Plus de 20 milliards d’objets devraient être connectés l’an prochain[2], avec toutefois un niveau de protection quasi inexistant, les appareils connectés étant fréquemment exploités pour mener des attaques DDoS massives ou pour constituer des botnets. Comment résoudre ce problème ? Il nous faut concevoir de A à Z des appareils connectés « intelligents » dotés d’une architecture à micro-noyau ainsi que d’une couche de sécurité isolant l’ensemble de ses modules pour empêcher tout comportement inhabituel des équipements IoT. Il est déjà possible de mettre en œuvre ce concept à l’aide de notre système d’exploitation KasperskyOS, destiné aux technologies embarquées. Nous pouvons bien sûr en faire de même pour les systèmes et les produits plus complexes.

Peut-on espérer passer de la cybersécurité à la cyber-immunité dans un très proche avenir ?

J’aimerais beaucoup pouvoir répondre « oui », mais il faut savoir que la route sera longue et que le monde n’a pas encore amorcé cette transformation. D’ici là, il nous faut simplement continuer à communiquer sur les dangers d’un monde connecté vulnérable, pour que chacun prenne conscience de la nécessité de protéger toutes les technologies connectées qui nous entourent. Nous pouvons le faire ! Nous pouvons donner vie à la cyber-immunité ! (Tribune d’Eugene Kaspersky)

[1] We Are Social and Hootsuite’s latest collection of Global Digital 2019 reports.
[2] Gartner : « Leading the IoT »