Archives par mot-clé : informatique

Base de données, BYOD, Cloud, Cybersécurité, Entreprise, Fraude au président, Mise à jour, Patch, Social engineering

Prévisions en matière de menaces informatiques à l’horizon 2020

Les prévisions d’Intel Security fournissent également des perspectives précieuses aux entreprises dans le cadre de la définition de leurs stratégies de sécurité informatique à court et à long terme.

Le nouveau rapport d’Intel Security intitulé ‘McAfee Labs Threat Predictions Report’ prédit les principales tendances à anticiper en 2016 en matière de menaces informatiques. Il fournit également un aperçu prédictif unique de ce paysage jusqu’à l’horizon 2020 et livre les potentielles réponses de l’industrie de la sécurité informatique face à l’évolution des cyber-menaces.

« A l’image des joueurs de foot qui savent saisir les opportunités et anticiper le jeu, il est important que les entreprises puissent garder une longueur d’avance sur les tendances business et technologiques mais également sur l’environnement des menaces informatiques. Le rôle de l’industrie informatique est de les accompagner dans cette bataille en mettant à leur disposition des technologies performantes pour les soutenir dans leurs activités et leur permettre de comprendre à quels types de menaces elles seront confrontées demain », commente Vincent Weafer, Vice-Président de McAfee Labs d’Intel Security.

Les menaces à venir en 2016

L’éventail des risques à anticiper en 2016 s’étend des probables attaques de ransomware, aux risques d’attaques contre les véhicules connectés, en passant par des attaques contre des infrastructures, ou encore la vente de données volées, etc. Différents types d’attaques en matière de menaces sont à prévoir :

Matérielle. Les attaques sur tous les types de matériel et de firmware vont encore continuer l’année prochaine et se traduire par le développement et la croissance du marché noir liés aux outils d’exécution de ce type d’attaque. Les machines virtuelles seront également ciblées avec des rootkits de firmware.

Ransomware. L’anonymisation des réseaux et des modalités de paiement continuera à alimenter le risque de ransomwares. En 2016, un plus grand nombre de cybercriminels novices devrait exploiter les offres de Ransomware-as-a-Service et accélérer ainsi la croissance de ce marché.

Ciblées sur les accessoires connectés. Bien que la plupart des accessoires connectés stocke une quantité relativement faible de renseignements personnels, les plates-formes sur lesquelles fonctionnent ces devices pourront s’avérer la cible des cybercriminels afin d’en compromettre les smartphones associés. L’industrie devra s’atteler à la protection des potentielles surfaces d’attaques tels que les noyaux des systèmes d’exploitation, les logiciels de gestion de réseau et de WiFi, les interfaces utilisateur, la mémoire, les fichiers locaux et les systèmes de stockage, les machines virtuelles, les applications Web, les logiciels de sécurité et de contrôle d’accès.

Par des OS des salariés. Les entreprises devront continuer à rester vigilantes et à renforcer leurs mesures de sécurité via notamment la mise en place des dernières technologies de sécurité disponibles, l’embauche de personnel expérimenté pour assurer la protection de son IT et de ses données, et la définition de politiques de sécurité efficaces. En revanche, les hackers essayeront de nouveau de détourner ces mécanismes de protection en passant par les systèmes d’exploitation des salariés et en tirant profit notamment de la faible protection des systèmes qu’ils utilisent chez eux pour accéder aux réseaux de leur entreprise.

Services Cloud. La protection des services Cloud est encore souvent négligée par les entreprises. Cela devrait pousser les cybercriminels à profiter de la faiblesse, voire de l’inexistence, de certaines politiques de sécurité d’entreprises. Le Cloud rassemble une quantité croissante d’informations confidentielles d’entreprises, le vol des données stockées par ces services pourrait compromettre toute la stratégie d’une entreprise, y compris le développement de son portefeuille de produits, ses futures innovations, ses services financiers, les données de ses employés, etc.

Voitures. Les experts en sécurité continueront à étudier les potentielles menaces auxquelles sont exposés les systèmes d’exploitation des voitures connectées dépourvus des capacités de sécurité embarquée ou non conformes aux best practices des politiques de sécurité établies. Les fournisseurs de solutions de sécurité informatique et les constructeurs automobiles devront coopérer de manière proactive afin d’élaborer des directives, des normes et des solutions techniques pour protéger les surfaces d’attaques potentielles que représentent par exemple les unités de commande électronique (Engine Control Unit ou ECU) des systèmes d’accès du véhicule, les ECU relatifs au moteur et à la transmission, au système avancé d’assistance au conducteur, les systèmes de verrouillage du véhicule à distance, le télé-déverrouillage passif, le récepteur V2X, les clés USB, le diagnostic embarqué, les applications de type RemoteLink et l’accès smartphone.

Stockage de données volées. Les blocs d’informations personnelles qui permettent une identification sont aujourd’hui reliés entre eux dans de grandes bases de données, où l’ensemble des éléments volés font ainsi augmenter la valeur des dossiers compilés. L’année prochaine verra le développement d’un marché noir encore plus robuste qui offrira davantage d’informations personnelles (date d’anniversaire, adresse, etc.) associées à des identifiants en ligne et à des mots de passe.

Contre l’intégrité de système. Les attaques sélectives compromettant l’intégrité des systèmes et des données seront l’un des plus importants nouveaux vecteurs d’attaques. L’objectif de ces attaques consiste à saisir et à modifier des transactions ou des données en faveur des attaquants. Par exemple, un cybercriminel peut parvenir à modifier des paramètres de dépôt direct de versement de salaires pour verser l’argent sur son propre compte bancaire. En 2016, McAfee Labs prévoit une possible attaque contre l’intégrité de système dans le domaine financier, secteur dans lequel des millions de dollars pourraient être dérobés par des cybercriminels.

Partage de renseignements sur les menaces. Le partage de renseignements sur les menaces entre les entreprises et les fournisseurs de solutions de sécurité devrait croître rapidement. Des mesures législatives seront prises afin de faciliter les échanges d’informations entre les entreprises et les gouvernements. Le développement accéléré de best practices devrait favoriser l’identification de métriques permettant de mesurer l’amélioration des niveaux de protection.

Les prévisions à l’horizon 2020

La vision prédictive de McAfee Labs tend à identifier la manière dont les différents acteurs du cyber-crime vont évoluer, comment vont changer à la fois les comportements et les objectifs des attaquants, mais aussi de prédire la façon dont l’industrie répondra à ces défis au cours des 5 prochaines années.

Attaques sous l’OS. Alors que les applications et les systèmes d’exploitation seront de plus en plus protégés, les attaquants chercheront des faiblesses dans le firmware et le matériel informatique. Ce type d’attaque pourrait éventuellement offrir aux hackers le contrôle total des systèmes. En effet, ils seraient théoriquement en mesure d’accéder à un nombre illimité de ressources et de fonctionnalités de gestion et de contrôle au sein des systèmes.

Contournement de détection. Les assaillants chercheront à contourner les technologies de détection de cyber-menaces en ciblant de nouvelles surfaces d’attaques et en utilisant des méthodes d’attaques toujours plus sophistiquées. Cela signifie qu’il faudra dès lors anticiper des malwares sans fichier, des infiltrations cryptées, des malwares en mesure de contourner les sandbox, des exploits à distance des protocoles RSH et des protocoles de contrôle, ainsi que des attaques sous l’OS ciblant et exploitant les Master Boot Records (MBR), le BIOS et le firmware.

Appareils connectés : de nouvelles surfaces d’attaques. D’ici 2020, ces dispositifs devraient atteindre un niveau de pénétration du marché assez conséquent pour attirer les cybercriminels. Les fournisseurs de technologie et de solutions verticales seront amenés à collaborer afin de définir des conseils de sécurité pour les utilisateurs et des best practices pour l’industrie. De plus, les fabricants d’objets connectés chercheront, de plus en plus, à intégrer les mécanismes de contrôle de sécurité dès la phase de conception de leurs produits.

Pénétration du cyber-espionnage dans les entreprises. Jusqu’alors, les logiciels de cyber-espionnage ciblaient davantage le secteur public. McAfee Labs prévoit que, d’ici 2020, le marché noir des malwares et des services de piratage pourrait rendre possible leur utilisation pour exécuter des attaques contre les entreprises afin de collecter des renseignements financiers et de manipuler les marchés en faveur des attaquants.

Enjeux et opportunités de la confidentialité. Le volume et la valeur des données personnelles sur le Web vont continuer de croître. Pour répondre à la menace constante du vol de ces informations, de nouvelles réglementations sur la confidentialité vont être élaborées et mises en oeuvre à travers le monde. En parallèle, les utilisateurs devront commencer à exiger des compensations pour le partage de leurs données. Ce mouvement donnera probablement naissance à un nouveau marché d’« échange de valeur» qui pourrait profondément changer la façon dont les individus et les entreprises gèrent leurs vies privées numériques.

Réponse de l’industrie de la sécurité. Les industriels développeront des outils plus efficaces pour détecter et remédier aux attaques sophistiquées. Les nouvelles technologies devront s’appuyer sur une analyse de comportement prédictive pour repérer les activités irrégulières et détecter les comptes compromis. La protection des systèmes deviendra plus rapide et efficace grâce au partage des renseignements sur les menaces entre les parties prenantes. La sécurité intégrée avec le Cloud va améliorer la visibilité et le contrôle des systèmes et des données. Finalement, les technologies de détection et de correction automatiques assureront la protection des entreprises contre les attaques les plus courantes, en permettant aux responsables de sécurité informatique de se concentrer sur les incidents de sécurité plus critiques.

« Afin d’avoir une longueur d’avance sur des menaces en constante évolution et pourvoir devancer ses adversaires, l’industrie informatique a besoin de s’appuyer sur les mêmes ‘armes’ que les cybercriminels. Il lui faudra ainsi associer le partage des renseignements liés aux cyber-risques entre ses différents acteurs à la puissance technologique, dont le Cloud computing et l’agilité de plates-formes, mais aussi aux compétences humaines », conclut Vincent Weafer. « Ainsi, pour gagner des batailles contre les futures menaces, les entreprises doivent avoir une meilleure visibilité et une meilleure connaissance des risques potentiels. Elles doivent également être en mesure de détecter et de répondre plus rapidement et d’utiliser pleinement à la fois les ressources humaines et techniques à leur disposition. »

Cybersécurité

Les DSI se sentent plus vulnérables aujourd’hui qu’ils ne l’étaient en 2010

L’étude met en avant le sentiment de prises de risques personnels ressentis par les DSI lors d’une prise de décision.

L’étude ‘Moments that Matter’, commanditée par Colt, révèle qu’aujourd’hui en étant intégrés à une direction informatique de plus en plus stratégique, près de 76 % des responsables informatiques européens interrogés estiment se mettre plus en danger lors d’une prise de décision qu’il y a 5 ans. Elle indique également que 77 % des DSI soulignent le fait que les instants décisifs dans la vie de l’entreprise ont davantage d’impacts sur l’évolution de leur carrière que les activités du quotidien. Cela influe notamment sur le sentiment de vulnérabilité que les responsables informatiques ressentent lors de la criticité de certaines prises de décision.

Risque personnel VS risque entrepreneurial
L’étude ‘Moments that Matter’ montre également une divergence de points de vue de la part des DSI entre vie personnelle/vie professionnelle et les risques de l’entreprise. Travailler à un changement IT est plus important et impactant pour la société que pour la carrière du DSI. Le risque est estimé à hauteur de 35 % pour l’entreprise contre 28 % à titre personnel ; Sélectionner une équipe performante et des compétences est considéré comme la clé d’un succès personnel dont la hauteur du risque s’élève à 39 % pour la société contre 48 % à titre personnel ; Communiquer en interne et en externe avec les parties prenantes est sous-évaluée. Le taux de risque associé est estimé à 27 % pour la société contre 19 % pour l’individu.

Par ailleurs, 73 % des DSI consultés admettent que le risque personnel qu’ils ressentent est atténué dès lors qu’ils travaillent avec une équipe en toute confiance. Ils évoquent également l’importance de la confiance dans le cadre de leurs collaborations avec des fournisseurs extérieurs. Un partenaire comprend les impacts d’une interruption de service et va agir en conséquence, prouvant ainsi sa réelle valeur lorsque les choses tournent mal. Pour 85 % des DSI interrogés, les considérations techniques d’un prestataire sont parfois obligatoires.

« La digitalisation des entreprises et les mutations de l’informatique vont indéniablement affecter le sentiment de risque personnel éprouvé par les responsables informatiques », souligne Carl Grivner à DataSecurityBreach.fr, Carl Grivner, EVP Network services chez Colt. « Dans la mesure où ils jouent dorénavant un rôle central dans la réussite globale de l’entreprise, les DSI savent qu’ils sont attendus par le Comité de Direction lors des phases critiques et que la gestion de ces événements clés sera déterminante de leur succès. Plus de responsabilité implique également plus de vulnérabilité pour eux », ajoute Carl Grivner. « Ils doivent être en mesure d’innover et de faire face à de nouveaux défis qui peuvent impacter, positivement ou négativement, leurs carrières. La constitution d’une équipe performante et le travail avec des fournisseurs de confiance devraient leur permettre de jouer un rôle majeur avec des décisions plus importantes pour leurs carrières. »

A propos de la méthodologie
Cette étude s’appuie sur la consultation en août 2015 de 301 décisionnaires dans le secteur IT comprenant principalement des responsables informatiques en France, en Allemagne et au Royaume-Uni. Les entreprises interrogées ont un chiffre d’affaires compris entre 10 millions et 5 milliards d’euros, avec une majorité de sociétés oscillant entre 100 et 500 millions de chiffre d’affaires. Cette étude a été réalisée par Loudhouse, une agence indépendante basée à Londres (Royaume-Uni).

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Paiement en ligne, Patch, Propriété Industrielle

10 règles à respecter pour sécuriser l’informatique de votre PME

Si le numérique a envahi l’essentiel des espaces professionnels, la sécurité n’est pas suffisamment prise en compte par les PME.

Avec l’explosion des usages, de nouveaux risques sont apparus : indisponibilité de l’informatique, vol et destruction des données, espionnage industriel (fichiers clients, contrats, projets en cours…), escroqueries financières, sabotage de sites d’e-commerce…Des données sensibles sont dérobées lors d’intrusions informatiques ou subtilisées avec le vol d’un smartphone, d’une tablette ou d’un ordinateur portable.

Les conséquences peuvent être lourdes, de l’atteinte à l’image jusqu’à la faillite, en passant par des pertes de clientèle. La complexité des menaces, le coût élevé, le manque de temps et de personnel dédié sont les arguments les plus souvent invoqués pour justifier le manque d’intérêt pour renforcer la sécurité informatique dans les PME.

Pourtant, ces risques peuvent être considérablement réduits par un ensemble de bonnes pratiques, peu onéreuses et faciles à implémenter. « Mieux prévenir que guérir »… La sensibilisation des collaborateurs de l’entreprise aux bonnes pratiques informatiques est essentielle et circonscrit largement les dangers. Parmi les règles à respecter pour sécuriser l’informatique des PME, nous en avons retenu 10 :

Imposer des règles pour les mots de passe
Outil d’authentification permettant d’accéder à ses données ou à ses équipements numériques, il constitue une mesure de sécurité évidente. Plus un mot de passe est long et se compose de caractères différents, plus il sera difficile à cracker, notamment par des outils automatisés. Certaines bonnes pratiques augmentent de manière exponentielle son efficacité :Définissez les règles de choix et de longueur des mots de passe, rappelez régulièrement aux collaborateurs de ne pas conserver les mots de passe dans des fichiers présents dans le système informatique, modifiez ou renouvelez les moyens d’authentification proposés par défaut sur les équipements ou par les services divers, changez les mots de passe régulièrement.

Créer une séparation entre usages professionnels et personnels
Il est courant aujourd’hui d’utiliser des outils « pro » à des fins privés et vice-versa. Ces pratiques de plus en plus répandues dans les PME posent de vrais problèmes en matière de sécurité des données. Ceci augmente considérablement les risques de d’intrusion ou de vol. Dans ce contexte : Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles, n’hébergez pas de données professionnelles sur les équipements personnels ou sur les services de stockage en ligne personnels, et vice-versa.

Analyser régulièrement ses infrastructures
Avant d’enregistrer le contenu d’un support USB sur un ordinateur, prenez le temps de l’analyser avec un anti-virus … On ne sait jamais ! Ce geste simple et basique est souvent négligé et permet de protéger votre ordinateur des programmes malveillants pouvant endommager vos logiciels et mener à la perte partielle ou totale de données.

Mettre en place des sauvegardes automatiques régulières
Ne misez pas sur la discipline de chacun pour gérer ses sauvegardes ni sur un système manuel pour les sauvegardes du système d’information. L’automatisation et le monitoring sont seuls vrais garants de la sécurité.

Utiliser des solutions de sécurité
Durcissez la configuration des ordinateurs et utilisez des solutions de sécurité éprouvées (pare-feu, antivirus, etc.). Ces moyens de sécurité sont indispensables pour protéger vos outils informatiques de divers programmes malveillants. Ils bloquent le contenu et les accès dont la source ne peut être vérifiée et protègent vos données des intrusions.

Protéger les données lors des déplacements
L’utilisation des équipements nomades (smartphone, ordinateur portable, tablette) facilite les déplacements professionnels, le transport et l’échange des données. En revanche, en cas de perte ou de vol de l’appareil, l’activité de l’entreprise peut être sérieusement mise en péril. Pendant vos déplacements, n’emportez que les données nécessaires à la mission en mode déconnecté. Le reste vous attend au bureau et vous pouvez y accéder à distance en toute sécurité !

Monitorer son système
Faites surveiller votre système, notamment en utilisant les journaux d’évènements, pour réagir aux actions suspectes (connexions hors des horaires habituels, transferts massif de données…). Déterminer les droits d’utilisation en créant des comptes « administrateur » et « utilisateur » et protéger l’accès aux modifications importantes du système informatique. De même, le système d’information doit avoir des droits d’accès bien définis en fonction du profil de chaque utilisateur.

Télécharger les logiciels officiels
Téléchargez vos logiciels sur les sites officiels des éditeurs. Avant l’installation désactivez les cases proposant d’installer des logiciels complémentaires et l’ouverture automatique des documents téléchargés. Une fois téléchargés, avant toute chose, effectuez une analyse antivirus. Chaque système d’exploitation, application ou logiciel contient des vulnérabilités. Découvertes, elles sont corrigées dans les mises à jour de sécurité qu’il est nécessaire d’installer. De nombreux utilisateurs n’effectuent pas ces mises à jour : les failles sont ensuite exploitées par des personnes malveillantes. La solution la plus simple est de mettre en place des mises à jour régulières et automatiques. Vous gagnerez en productivité par la délégation de ces tâches chronophages. Vous pouvez aussi faire appel à un service professionnel qui gèrera l’ensemble de vos mises à jour de façon automatique et sécurisée.

Rédiger une charte informatique
Rédigez une charte informatique pour déterminer les droits et les obligations d’utilisation du système informatique pour cadrer le comportement des utilisateurs et prévenir les abus.

Désigner un référent
Choisissez un référent pour l’informatique dans votre PME qui est sensible aux enjeux de la sécurité. La cybersécurité peut aller encore plus loin. Face à la complexité des menaces, chaque entreprise a intérêt à se doter d’une politique de sécurisation de ses systèmes d’information. Déployée par un professionnel, une politique de cybersécurité peut même devenir un facteur de productivité, de compétitivité et de croissance pour les PME. En attendant, éteignez votre ordinateur pendant les périodes d’inactivité prolongée (nuit, weekend, vacances,…), cela aussi réduit les risques ! (par Pedro Sousa, pdg de Plenium)

Android, Cybersécurité, Identité numérique, ios, Particuliers, Sécurité, Smartphone, Social engineering, Vie privée, Windows phone

Amnésie numérique : comment les smartphones nous font perdre la mémoire

L’« effet Google », ou l’impact sur notre mémoire de toujours trouver les informations sur Internet[i], s’étend aujourd’hui à nos informations personnelles essentielles conservées sur les mobiles, selon une nouvelle étude de Kaspersky Lab.

Cette étude révèle en effet que la majorité des consommateurs européens connectés, du moins ceux interrogés par l’éditeur de solution de sécurité informatique, ne connaissent pas par cœur des numéros de téléphone de première importance, tels que :

– ceux de leurs enfants 57 % (58 % pour la France) :
– de leur école, 90 % (même chiffre pour la France) ;
– de leur propre lieu de travail à 51 % (51,5% pour les Français).

« Près de la moitié (43 %) des 16-24 ans répondent en outre que leur smartphone contient à peu près tout ce qu’ils doivent savoir ou se rappeler »

Environ un tiers d’entre eux (français comme européens) ne se souviennent pas du numéro de la personne qui partage leur vie, alors même que seuls 4 sur 10 ont oublié celui de l’endroit où ils vivaient durant leur adolescence. 6 000 consommateurs âgés de 16 ans ou plus, dans six pays européens ont été interrogés. Les résultats de cette enquête révèlent notre incapacité à retenir des informations importantes compte tenu du fait que nous les enregistrons souvent sur nos smartphones. Près de la moitié (43 %) des 16-24 ans répondent en outre que leur smartphone contient à peu près tout ce qu’ils doivent savoir ou se rappeler. Les français sont 32 % à déclarer cela, toutes tranches d’âges confondues. Un phénomène qualifié d’amnésie numérique, c’est-à-dire le fait d’oublier les informations que nous conservons dans un appareil numérique.

L’étude fait apparaître l’existence de cette amnésie numérique parmi toutes les tranches d’âge et sa répartition est uniforme entre les deux sexes. Ainsi, 42 % des Français seraient vraiment dévastés de perdre les données de leurs appareils mobiles car ils ne pourraient plus avoir accès à tous leurs souvenirs stockés dessus – 17,6 % seraient complètement paniqués par une telle éventualité. En outre, 71,9 % des Français déclarent utiliser Internet comme une extension de leur cerveau, ce chiffre atteignant même 83 % chez les jeunes européens âgés de 16 à 24 ans. Pour Laurence Allard, Maître de conférences et Sociologue des usages innovant à l’Université Lille 3/IRCAV-Paris 3 : « le smartphone est également le support d’usages mémoriels et fait pour certains office de « prothèse cérébrale ». Selon la sociologue, cette tendance devient presque paradoxale puisqu’elle « suppose d’user de fonctionnalités ou de services numériques pour actionner une mémorisation par la technologie »

Autre résultat guère surprenant, l’étude révèle que la perte ou le piratage de données stockées sur les appareils numériques, en particulier les smartphones, aurait des conséquences dévastatrices pour de nombreux utilisateurs :

– 17 % des français avouent ainsi que leur terminal mobile est le seul endroit où ils mémorisent leurs photos et leur carnet d’adresses et qu’ils seraient catastrophés s’ils perdaient définitivement leurs souvenirs enregistrés sur leur appareil. Ce chiffre atteint 40 % chez les 16-24 ans interrogés.
Il est donc préoccupant qu’en dépit de la confiance croissante que les utilisateurs ont dans leurs appareils numériques, ils ne protègent pas suffisamment leurs équipements à l’aide de solutions de sécurité. C’est notamment le cas des smartphones et des tablettes :

– à peine 1 smartphone sur 3 (34 %) et un quart des tablettes (24 %) en sont équipés,
– tandis qu’1/5e (21 %) de ces appareils n’est pas du tout protégé.

« Les appareils connectés nous apporte beaucoup au quotidien mais ils engendrent aussi une amnésie numérique. Nous devons en saisir les conséquences à long terme sur la façon dont nous conservons et protégeons nos mémoires. Les numéros de téléphone de nos proches étant désormais accessibles d’un simple clic, nous ne nous donnons plus la peine de les mémoriser. En outre, une majorité écrasante (86 %) des personnes interrogées estime que, dans un monde de plus en plus hyper-connecté, nous avons bien trop de numéros, d’adresses, de codes, etc. à connaître que notre mémoire ne peut en retenir. Nous avons découvert que la perte ou le piratage de ces précieuses informations ne serait pas seulement une gêne, mais une source de profonde détresse pour bon nombre d’entre nous. Kaspersky Lab s’engage à aider les utilisateurs à comprendre les risques auxquels leurs données pourraient être exposées, et à leur fournir les moyens de maîtriser ces risques, en installant par exemple des logiciels de sécurité afin de protéger leurs équipements et leurs contenus », commente à datasecuritybreach.fr David Emm, chercheur principal en sécurité chez Kaspersky Lab.

« Le fait d’oublier n’est pas en soi une mauvaise chose. Nous disposons d’une formidable faculté d’adaptation et nous ne nous souvenons pas de tout car ce n’est pas dans notre intérêt. L’oubli devient cependant un handicap lorsqu’il porte sur des informations qu’il nous faut impérativement retenir », souligne le Dr Kathryn Mills de l’UCL Institute of Cognitive Neuroscience de Londres. « L’une des raisons pour lesquelles les consommateurs se soucient moins de retenir les informations s’explique par le fait qu’ils les confient trop souvent à des appareils connectés. En effet, dans de nombreuses sociétés, l’accès à Internet paraît aussi stable que celui au réseau d’électricité ou d’eau. »

Argent, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Paiement en ligne, Particuliers, Propriété Industrielle, Vie privée

Sécurité en ligne, il faut s’inspirer de la prévention routière !

L’utilisation des mots de passe sur internet ressemble étrangement aux comportements des automobilistes dans les années soixante, heureusement depuis, ils se sont améliorés grâce aux campagnes de sensibilisation. Il serait temps que tous les acteurs qui gèrent les mots de passe prennent exemple sur la sécurité routière, y compris l’état.

Il y a vingt ans, nous n’utilisions pas Internet. Aujourd’hui, nous passons en moyenne quatre heures par jour à surfer sur le web (étude wearesocial). C’est un nouveau territoire que nous découvrons souvent avec enthousiasme car il nous permet de gagner en productivité, de rencontrer des gens, de voyager plus facilement…Mais il y a des risques associés à ces usages. Nous nous identifions et stockons des données sur des dizaines de sites souvent sans prendre de précautions particulières. Selon une étude Dashlane/IFOP, seuls 9% des français ont ainsi conscience de prendre des risques en utilisant le même mot de passe sur plusieurs sites ! Nous prêtons donc le flanc à l’industrie du piratage qui se développe aussi vite que les technologies de l’information. Une étude menée par un éditeur de logiciels antivirus a estimé que l’industrie de la cybercriminalité représentait 0.8% du PIB mondial, soit à peu près autant que le trafic de drogue. En France, le CREDOC avait estimé en 2009 que 210 000 personnes par an étaient victimes d’un vol d’identité, pour un coût total de 414M d’€.

Notre comportement sur le web est assez similaire à celui des automobilistes dans les années 60. A cette époque, une grande partie de la population découvrait la voiture, qui était alors d’abord perçue comme un instrument de liberté et d’évasion. Les risques n’étaient pas pris en compte à leur juste mesure. On roulait très vite, sans ceinture, dans des voitures peu sécurisées, avec des conséquences néfastes : en 1972, on comptait plus de 16 000 morts par an sur les routes en France.  Heureusement des progrès considérables ont été réalisés depuis. En 2014, il y a eu 3 103 morts sur les routes de France. L’État a joué son rôle en menant de nombreuses et coûteuses campagnes de sensibilisation pour le port de la ceinture et contre l’alcool au volant. Les industriels ont construit des voitures plus sûres. Et les particuliers ont pris conscience du danger et modifié leurs comportements.

Nous circulons aujourd’hui sur Internet sans ceinture de sécurité et cela nous met en danger. Il faut s’inspirer de la prévention routière. Quand de nouveaux risques émergent, il faut une action concertée de la part de l’État, des industriels et des particuliers. Si le budget de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a été récemment augmenté, ses missions restent encore très focalisées sur la protection des administrations et des entreprises d’intérêt vital, les fameux OIV. On peut le regretter car certains de nos voisins ont une approche plus ambitieuse. Au Royaume-Uni, la sensibilisation des consommateurs est au cœur de la politique de cyber sécurité. Les programmes Get Safe Online et Cyber Street Wise, financés par le gouvernement britannique, mènent des campagnes de communication pour rappeler les règles de base de la sécurité en ligne, comme l’utilisation de mots de passe forts (composés d’au moins huit caractères alphanumériques) et différents pour chaque site. Les écoliers britanniques sont aussi sensibilisés à la sécurité en ligne grâce à des kits pédagogiques réalisés par le gouvernement. L’État doit financer des campagnes importantes de sensibilisation aux règles de base de la sécurité en ligne et être exemplaire sur l’ensemble des services publics en ligne. Aujourd’hui il n’est par exemple pas possible d’utiliser un mot de passe fort sur le site ameli.fr de la sécurité sociale…

Les sites qui vendent des biens ou services en ligne doivent également s’assurer que leurs clients se connectent de manière sécurisée et utilisent des mots de passe forts. L’étude menée par Dashlane en janvier 2014 avait montré que certains d’entre eux acceptent des mots de passe très peu sécurisés ou les envoient en clair par mail, ce qui est évidemment très dangereux. Enfin, les utilisateurs doivent également se prendre en main. Nous sommes nombreux à savoir que le seul moyen d’éviter à coup sûr les piratages est d’utiliser des mots de passe forts, différents pour chaque site, mais nous ne le faisons pas toujours car nous trouvons cela trop compliqué.

« Quand on peut prévenir c’est faiblesse d’attendre » disait Jean de Rotrou. Nos sociétés modernes ont montré qu’elles pouvaient être fortes faces à certains risques et œuvrer efficacement à les prévenir. Utilisons les mêmes méthodes et attaquons nous sérieusement au problème de la sécurité en ligne ! (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane.)

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

Sécurisation des données à l’heure du cloud

La sécurisation des données est un enjeu colossal à l’heure du cloud, notamment pour les entreprises et collectivités locales. Quatre choses essentielles doivent absolument être prises en compte.

Ces choses essentielles sont la sauvegarde, la sécurité des données personnelle et professionnelle, les usages de l’informatique et de l’importance de l’information/formation.

Sauvegarde
Les entreprises et les collectivités doivent faire face à un environnement toujours plus hétérogène et l’utilisation de plus en plus fréquente de l’informatique dématérialisée en fait partie. De nombreuses entreprises gèrent donc aujourd’hui des environnements physiques, des environnements virtuels ainsi que des environnements Cloud. De nombreuses entreprises recherchent une méthode efficace pour simplifier leurs processus de sauvegarde. Il peut être intéressant de penser la préservation des données au cœur même des logiciels ou avec les services Cloud. Mesures : Possibilité de revenir à une situation antérieure, si erreur lors d’une procédure lourde telle que la préparation du budget.

« Scheduler » : messages de recommandations au cœur des logiciels lors d’opérations particulières (ex. avant de commencer le budget, « nous vous conseillons de faire un archivage »).

Sécurité des données
Un exemple : 19.000 attaques de sites web suite aux attentats de Charlie Hebdo, y compris ceux des collectivités locales. Les collectivités et les entreprises ont souvent peu conscience des enjeux liés à la sécurité des données. Mais la sécurité est un travail d’équipe et il faut que les prestataires de Cloud ou de logiciels et leurs clients travaillent main dans la main pour proposer une sécurité optimum. Ce n’est pas au fournisseur de gérer la sécurité de son client, car ce dernier en est en fait le seul maître. Le fournisseur de Cloud met à disposition des outils permettant la mise œuvre d’une politique de sécurité, mais c’est au client de les utiliser à bon escient et de prendre conscience de la dangerosité de mettre à disposition des données informatiques, y compris en interne. 60% des piratages trouvent leur source en interne.

Mesures : Mettre en place des droits d’accès aux données restreints, gérer finement les profils d’utilisateurs ; mettre en place une charte informatique pour éduquer en interne et informer sur ce qu’il est possible de faire ou non ; ne pas hésiter à prendre conseil auprès de son prestataire informatique.

Usages de l’informatique
Les risques viennent souvent d’une méconnaissance de l’informatique et du web. Il faut être vigilant et ne pas « sortir » n’importe quelles données de la collectivité ou de l’entreprise. Attention également à ne pas télécharger n’importe quoi. Bien souvent, les entreprises et les communes ne savent pas si leurs sauvegardes sont bonnes. Elles sont formées par leur prestataire, mais elles ne se soucient pas vraiment, ne vérifient pas. Il n’y a pas de test de restauration, ce qui engendre parfois de mauvaises surprises …

Mesures : Formation, « éducation », aider à faire prendre conscience. Rappeler que les données ne doivent pas être sauvegardées que sur le poste mais aussi et surtout sur le serveur.

Importance de l’information/formation
Avant de sécuriser les réseaux, il faut éduquer les utilisateurs, mais aussi les cadres sur les enjeux, risques et bonnes pratiques. Par exemple, méconnaissance de la différence entre un virus et un malware. Un virus s’installe à votre insu sur votre machine et vient corrompre un programme existant. En revanche, un malware est interprété par le système comme un programme installé par l’utilisateur : en cliquant sur une PJ, en installant un petit programme, etc. Ainsi les antivirus sont inutiles face à cette menace ! Seule la vigilance de l’utilisateur peut le protéger.

Mesures : Etre vigilant sur l’ouverture de PJ quand on ne sait pas de qui vient le courriel. Se méfier des mails étrangers. Ne pas aller sur n’importe quel site et installer n’importe quel programme et ne pas hésiter à se tourner vers son prestataire informatique en cas de question.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle, Sauvegarde, Social engineering

Cyber-sécurité : éviter la menace interne en surveillant les portes du royaume

Les récentes cyberattaques de grande envergure telles que le récent « cyber hold-up » via le malware Carbanak à l’encontre des établissements bancaires ou encore celle qui a permis la révélation de la fraude fiscale HSBC par son ex-informaticien Hervé Falciani, rappellent que les menaces internes sont de plus en plus présentes. Les hackers ne cessent d’affiner leurs techniques de piratage pour garder une longueur d’avance sur les mesures mises en place par les organisations. Leur atout majeur : le manque manifeste de vigilance autour des pratiques en interne de la plupart des organisations. La tâche des hackers s’en trouve donc simplifiée, puisque des techniques simples et classiques pour infiltrer les comptes à hauts pouvoirs de l’entreprise suffisent à bouleverser toute une structure.

Aujourd’hui, les pirates s’infiltrent insidieusement dans les systèmes et s’y installent aussi longtemps que nécessaire pour récolter les données qu’ils convoitent. Les techniques varient et si elles se renouvellent, les vieux schémas restent de mise. Dans le cas de HSBC par exemple, très semblable à l’affaire Snowden, la révélation des Swissleaks a été perpétrée par un ex-informaticien de la banque hongkongaise ayant eu accès aux données des clients en situation de fraude fiscale. Au-delà des clauses de confidentialité auxquelles sont soumis les employés d’une entreprise, ce cas de figure rappelle la nécessité de surveiller les accès des employés aux données de l’entreprise, et notamment à celles qui ne dépendent pas de leur champ d’intervention. Il en est de même pour tout individu extérieur à l’organisation.

De plus, une surveillance accrue de l’activité en interne peut permettre de détecter des tentatives d’intrusion en cours. En effet, l’attaquant motivé trouvera coûte que coûte un moyen de s’infiltrer dans le système et un minimum d’attention permet parfois aux employés d’identifier ces tentatives qui ne sont pas toujours discrètes. La récente cyberattaque relative au malware Carbanak confirme que les hackers développent des méthodes de plus en plus sophistiquées pour rendre leurs faux emails aussi crédibles que possibles. Dans le cas de Carbanak, les attaquants ont pu copier un ver informatique inséré dans la pièce jointe de mails personnalisés et se frayer un chemin jusqu’aux caméras de sécurité des banques visées. Ils ont ainsi pu visionner les vidéos et copier l’ensemble des démarches des employés pour accéder aux comptes des clients.

La sensibilisation des équipes internes permet d’éviter ce type de situations comme cela a été récemment le cas pour Le Monde où les employés ont détecté plusieurs tentatives d’intrusion conduites via des techniques de phishing, de mails de spams et de dénis de services ; leur mobilisation combinée à un système de sécurité efficace ont contribué à détecter les signes précurseurs d’une attaque et à stopper les hackers avant qu’il ne soit trop tard. Car une fois à l’intérieur du système, les hackers se concentrent sur le détournement et l’exploitation des comptes utilisateurs. Ils se tournent notamment vers les comptes administrateurs détenant des accès privilégiés aux données critiques, qui sont en général encore moins bien surveillés que les comptes des employés, constituant ainsi une zone d’ombre privilégiée par les hackers pour agir sur le long terme en toute discrétion. Ils peuvent ainsi se déplacer à travers le réseau, accéder aux systèmes critiques et exfiltrer les données préalablement volées.

Aujourd’hui, les employés tendent à devenir un point d’entrée incontournable pour les attaques ciblées, il est donc indispensable que les organisations tiennent compte de la menace interne et surveillent à la fois les points d’entrées sensibles, respectent les bonnes pratiques et restent en alerte face aux signaux précurseurs d’attaques. Quel que soit l’objectif final d’une cyberattaque, les chemins empruntés sont souvent les mêmes, sachant que les hackers visent la plupart du temps la voie royale que sont les comptes à privilèges pour parvenir à leurs fins. (Par Olivier Mélis, Country Manager France chez CyberArk pour DataSecurityBreach.fr)

Argent, Arnaque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Fuite de données, Mise à jour, Paiement en ligne, Particuliers, Propriété Industrielle

La sécurité informatique : un enjeu méconnu et sous-estimé

Un commentaire

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. (Par NBS System pour DataSecurityBreach.fr)

Elles ne savent pas, à proprement parler, ce qu’implique le terme de « piratage ». Beaucoup d’entre elles s’imaginent, à tort, être à l’abri car leur site n’est pas très connu, ou qu’il ne contient pas de données sensibles…

Mais ce qu’il faut bien comprendre, c’est que la sécurité concerne tout le monde et que les attaques n’arrivent pas qu’aux autres. Si certaines sont ciblées (par exemple celle de Sony en 2014), la majorité des pirates fonctionnent par pur opportunisme.

On peut faire l’analogie suivante : l’Internet est un gigantesque parking, où chaque site est une voiture. Les personnes mal intentionnées n’ont qu’à passer parmi elles et essayer d’ouvrir les portières pour en trouver une qui ne soit pas fermée afin de la voler. Peu d’entre eux vont utiliser des outils pour cibler une voiture en particulier ; ils n’ont pas besoin de connaissances techniques pour essayer d’ouvrir des portières. Ils voleront toutes les voitures ouvertes à leur disposition, quelle que soient leur marque ou leur prix.

Les pirates informatiques fonctionnent de la même manière. Ils vont passer en revue tous les sites web en espérant trouver une faille sur l’un d’eux pour investir le site.

  • Ils n’ont pas nécessairement besoin de compétences techniques.
  • Il existe de nombreux outils informatiques (légaux ou non) leur permettant de scanner la toile et de repérer très facilement des vulnérabilités.
  • Ils visent large pour être sûrs de toucher le plus de cibles possible.

C’est également pourquoi la taille ou la renommée du site importent peu ; s’il y a une faille sur votre site, il sera piraté un jour ou l’autre.

Il est important que les entreprises se rendent compte qu’on ne peut jamais garantir la sécurité de son site à 100% et encore moins la qualité de son code. En effet, même si le code est écrit par des professionnels très doués, ces derniers sont rarement experts en sécurité et restent, malgré tout, des humains : des êtres faillibles. Il faut donc rester humble ; il n’existe pas de code parfait et tous les développeurs sont voués à faire des erreurs. Par exemple, en 1996, la fusée Ariane a explosé en vol à cause d’une erreur de programmation, autrement dit une erreur de code. C’est la preuve que même l’ESA (Agence Spatiale Européenne), dont les membres sont très compétents et parmi les meilleurs mondiaux, n’est pas infaillible. Votre développeur peut-il se targuer d’avoir le même niveau de compétences ?

Aujourd’hui sur Internet il y a des millions, voire des milliards, de failles existantes et pas encore découvertes ; c’est une certitude ! L’une, voire plusieurs d’entre elles est peut-être sur votre site, ou bien sur l’un de ceux que vous consultez régulièrement… L’enjeu est donc de prendre conscience de cette situation, et de se protéger afin d’éviter les attaques qui, nous le rappelons, peuvent toucher tous les types de sites, et ont des répercussions importantes sur l’image de l’entreprise et ses bénéfices.

  1. Le piratage, comment ça marche ?

Il peut être très facile d’accéder aux données d’un site web via une faille. Or, accéder aux données, c’est accéder au serveur sur lequel est hébergé le site, c’est-à-dire la machine contenant toutes les informations et ressources utilisées pour le fonctionnement du site. Il existe de très nombreux moyens d’y arriver ; nous allons ici détailler l’un de ces moyens, très simple, appelé l’énumération d’identifiants.

Imaginons le site web « http://www.monsiteweb.com », site web d’une compagnie d’assurance. Pour pouvoir utiliser l’interface, le visiteur doit s’identifier et créer un compte, comprenant ses informations (telles que nom, prénom, adresse, etc…). La base de données lui administrera alors un identifiant : 12345678 par exemple.

Une fois identifié, si le visiteur souhaite modifier son adresse suite à un déménagement, il se rendra sur la page des paramètres de son compte. Dans de nombreux cas, peut-être le vôtre, le site affiche dans son URL l’identifiant du client :

Imaginons maintenant que le visiteur soit un pirate. Grâce à la présence de l’identifiant dans l’URL, il trouvera sur cette page uniquement les informations le concernant ; il comprend donc que pour les autres utilisateurs, le fonctionnement est identique. S’il modifie l’identifiant dans la barre d’adresse, en remplaçant le 8 à la fin par un 9 par exemple, et que le code source du site contient une faille et ne bloque pas sa requête, il aura accès aux informations correspondant au compte n°12345679.

Mais s’il a accès à ce compte, cela signifie qu’il a potentiellement accès à tous les autres comptes et donc à la base de données du site toute entière. Rien qu’avec la barre d’adresse, il est donc possible d’accéder à un serveur et de contourner sa sécurité. Cela peut être aussi simple que cela. Un adolescent aujourd’hui peut avoir les compétences suffisantes pour mettre en œuvre cette attaque ! De nombreux tutoriels existent même sur Youtube permettant à n’importe qui d’acquérir les connaissances de base pour mettre en place des attaques simples de ce genre.

Bien qu’il existe de nombreuses autres techniques plus complexes, celle décrite ci-dessus fait partie d’un grand nombre de méthodes triviales et à la portée de tous

Il est important de comprendre cela car une fois que le pirate a accès à la machine, il peut élever ses privilèges et obtenir autant de pouvoir que l’administrateur de celle-ci. C’est-à-dire qu’il pourra littéralement faire tout ce qu’il souhaite avec les informations et les ressources à sa disposition. Il existe plusieurs types d’attaques, chacune avec des objectifs et des impacts différents, mais aux conséquences toujours graves.

  1. Les différents types d’attaque
    • Défiguration d’un site web

C’est le type d’attaque le plus visible, même si c’est techniquement le moins dangereux. La défiguration ou défacement de site web (defacing en anglais) consiste à modifier une ou plusieurs pages d’un site, par exemple la page d’accueil, en la remplaçant par une image, du texte…

Ces attaques sont plutôt simples à réaliser et ne nécessitent pas de compétences techniques très développées. Les pirates utilisent simplement un outil scannant les sites un par un et repérant des vulnérabilités afin de les exploiter grossièrement.

En général, la page de remplacement affichée pendant l’attaque contient le nom du pirate et un message. En effet, par ces défigurations les pirates cherchent uniquement leur visibilité. Ils souhaitent faire passer un message en général politique, ou bien veulent de la reconnaissance. Plus de 20 000 sites, dans le cadre de l’opération OpFrance, se sont fait pirater de cette manière. L’opération a commencé le 18 janvier mais aujourd’hui encore, certains sites affectés sont toujours en maintenance. Si ces attaques ne sont pas dangereuses sur le long terme, elles ont un gros impact en termes d’image pour le site attaqué.
 

  • L’exploitation des ressources d’un site web

Les attaques que nous allons décrire dans ce point et les points suivants sont beaucoup plus dangereuses, notamment parce qu’elles ne sont pas facilement repérables par le site attaqué. Si vous subissez une attaque, dans 90% des cas vous en serez informé par un tiers (source : 2012 data breach investigations report, Verizon, 2012) ; ce sont soit les autorités, soit un client, partenaire ou prestataire qui aura été une victime indirecte de l’attaque subie. Cela cause en général une énorme chute de confiance en l’entreprise. C’est d’ailleurs une des raisons pour laquelle, comme montré sur la figure 1 le délai de découverte de plus de la moitié des attaques se compte en mois.

Dans le cas de l’exploitation des ressources d’un site web, tout est dans le titre. Le pirate, ayant gagné accès au serveur du site, va utiliser les ressources de la machine correspondante (processeur, mémoire, bande passante) pour son propre compte. Il pourra cependant rester dans l’anonymat et se prémunir des risques légaux, puisque c’est le site web piraté qui sera légalement responsable des actions effectuées avec ses ressources.

En l’occurrence, le pirate va souvent les revendre, pour plusieurs usages : l’envoi de SPAM, les DoS (attaque par déni de service, empêchant l’accès à un site), le déchiffrement de données et les boutiques fantôme.

  • L’envoi de SPAM

Il faut savoir que chaque machine possède une adresse IP qui lui est propre, et que l’on fait correspondre au(x) site(s) web hébergés dessus. Quand trop d’e-mails sont envoyés depuis une machine, celle-ci est « marquée » comme malveillante et les envois sont bloqués. En envoyant les courriers SPAM depuis l’adresse IP du/des sites piratés, l’envoi se fera sans blocage. Ainsi, utiliser l’IP d’une autre machine en achetant ses ressources est un moyen de contourner cela, jusqu’à ce que la/les machine(s) piratée(s) soit elle aussi considérée comme malveillante

Si cela vous arrive, vous ne pourrez plus envoyer aucun e-mail depuis votre nom de domaine ou votre adresse IP. Votre hébergeur aura également la possibilité de clôturer votre compte.

De plus, légalement, le spamming peut être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-18-1 du Code Pénal).

  • Les DoS

Dans le cas des DoS, l’utilisation d’une machine infectée permet l’anonymat de la personne ayant commandé une attaque DoS vers une cible tierce, ou de multiplier la puissance de l’attaque en y ajoutant les ressources d’un ou plusieurs autres ordinateurs. Ici, le but est purement lucratif. Là encore, les sanctions légales sont importantes : selon l’article 323-2 du Code Pénal, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende ».

  • Le déchiffrement de données ou mots de passe

Il est également possible d’utiliser les ressources du serveur infecté comme puissance de calcul afin de deviner des mots de passe ou déchiffrer des données, via la méthode bruteforce. Il s’agit de faire tester à une machine toutes les combinaisons possibles jusqu’à tomber sur la bonne. Plus le nombre de machines utilisées augmente, plus les ressources sont importantes, et donc plus le temps de résolution sera court. Ici, le but est majoritairement la récupération de données, pour les utiliser ou les revendre (ce type d’attaque sera traité plus tard dans l’article).

Dans les trois cas cités, le but du pirate est de prendre le contrôle d’un maximum de machines pour monnayer ces ressources.

Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

BYOD, Cloud, Entreprise, Fuite de données, Propriété Industrielle

La difficulté croissante des directions informatiques à protéger leur entreprise

90% (81% en France) des DSI et Directeurs Informatiques estiment que la protection de leurs entreprises est une mission de plus en plus difficile, selon une nouvelle étude de Fortinet.

La forte pression émanant des directions générales pour sécuriser leur entreprise a augmenté au cours des 12 derniers mois (de près d’un tiers pour le panel mondial et de 11% en France), faisant de la sécurité une priorité et une préoccupation clé sur les autres projets de l’entreprise. Cet état des lieux résulte d’une enquête indépendante commanditée par Fortinet sur plus de 1600 décideurs informatiques, en grande partie d’entreprises de plus de 500 collaborateurs. Toutes les personnes interrogées provenaient du panel en ligne de l’entreprise d’étude de marché Lightspeed GMI.

Parmi les décideurs IT qui subissent la pression la plus élevée de la part de leur direction, 63% (52% en France) déclarent avoir abandonné ou retardé au moins un nouveau projet métier en raison des préoccupations liées à la sécurité informatique.

Les plus grands défis rencontrés par les décideurs IT pour garder leurs entreprises sécurisées sont les menaces toujours plus complexes et fréquentes (citées par 88% du panel mondial) et les nouveaux besoins liés aux technologies émergentes de type Internet des Objets et biométrie (88% du panel mondial). En France, les menaces toujours plus complexes et fréquentes (85%) et les besoins liés au BYOD et à la mobilité des salariés (82%) sont les plus grands défis rencontrés par les décideurs IT français.

La majorité des décideurs IT a été incitée à prendre des mesures pour assurer la confidentialité des données (90% au niveau mondial et français) et sécuriser le Big Data (89% du panel mondial et 88% en France). Dans la majorité des cas, ces initiatives ont abouti à de nouveaux investissements en sécurité au niveau mondial tandis qu’en France, cela conduit à repenser la stratégie de sécurité de l’entreprise.

Les directions générales donnent la priorité à la sécurité
La prise de conscience qui s’opère au niveau des directions générales vis-à-vis de la sécurité informatique – et les pressions et implications qui en découlent – est citée comme important vecteur de complexité dans le travail des décideurs IT. Les trois-quarts des personnes interrogées (77% en France) évaluent la prise de conscience de leurs dirigeants comme “élevée” ou “très élevée”, contre seulement 50% (51% en France) il y a un an.

L’enquête révèle également que 53% (45% en France) des décideurs IT interrogés déclarent avoir ralenti ou abandonné un projet de nouvelle application, de nouveau service ou autre, par crainte de cyber-menaces. Ce chiffre monte à 63% (52% en France) pour ceux qui déclarent subir une très forte pression de leur direction générale en matière de sécurité IT.

Les applications et stratégies de mobilité sont les initiatives qui sont estimées comme les plus problématiques, suivies par celles liées au cloud au niveau mondial et en France.

Les préoccupations en matière de sécurité s’intensifient avec les technologies émergentes
Pour 88% du panel mondial, la mission des décideurs IT devient plus difficile du fait de la complexité et la recrudescence des menaces APT, attaques DDoS et autres cyber menaces, ainsi que des nouvelles tendances technologiques telles que l’Internet des Objets (Internet of Things ou IoT) et la biométrie. En France, les menaces toujours plus complexes et fréquentes (85%) et les besoins liés au BYOD et la mobilité des salariés (82%) sont les plus grands défis rencontrés par les décideurs IT français.

Les attentes sont fortes, dans tous les secteurs d’activité, vis-à-vis de la biométrie, avec 46% des répondants qui déclarent que cette technologie est déjà d’actualité dans leur entreprise, ou le sera au cours des 12 prochains mois contre seulement 29% en France. Deux tiers des personnes interrogées estiment déjà disposer des outils qui permettront de gérer la biométrie en toute sécurité (contre 56% en France). Parmi le tiers (44% en France) des répondants qui estiment aujourd’hui ne pas avoir les outils prêts pour sécuriser la biométrie, un tiers du panel mondial et français estime qu’ils rencontreront des difficultés pour le sécuriser dans le futur.

La sécurité du Big Data  et la confidentialité des données conduisent à une autre approche
Les problématiques en matière de confidentialité des données incitent à un plan d’actions, avec 90% des décideurs IT mondiaux et français qui pensent faire évoluer leur approche en matière de stratégie de sécurité. Parmi eux, 56% (50% en France) sont enclins à investir davantage en ressources financières et humaines pour répondre à ces défis, tandis que 44% (50% en France) déclarent plutôt vouloir repenser leur stratégie existante.

Le Big Data et le traitement analytique des données sont considérés par 89% des répondants comme un facteur de changement d’approche en matière de stratégie de sécurité informatique, et incitent 50% des répondants à planifier de nouveaux investissements. En France, 88% des répondants pensent que le Big Data est un facteur de changement d’approche en matière de stratégie de sécurité informatique, incitant 40% à prévoir de nouveaux investissements.

Les secteurs d’activité les plus enclins à investir dans la sécurité informatique sont les services financiers (53%) et celui des technologies/télécommunications (59%). En France, les entreprises issues des technologies/télécommunications (75%) et de la distribution (67%) sont les secteurs d’activité les plus enclins à investir dans la sécurité informatique. L’étude souligne également que ce sont les plus grandes organisations qui sont les plus susceptibles d’investir.

Interrogés sur le fait d’avoir obtenu suffisamment de ressources humaines et financières pour la sécurité informatique au cours des 12 derniers mois, quatre décideurs sur 5 répondent positivement (75% en France). D’autre part, 83% (73% en France) des répondants estiment que ces ressources seront suffisantes au cours des 12 prochains mois. La majorité des secteurs d’activité s’inscrit dans cette tendance, avec, par exemple : 74% (au cours des 12 derniers mois) et 77% (pour l’année à venir) dans le secteur public et respectivement 80% et 81% dans la distribution. Les services financiers sont les mieux lotis (87% pour les 12 prochains mois), en dépit d’un léger fléchissement (89% au cours des 12 mois précédents) au niveau mondial.

En France, seul le secteur de la construction et de l’industrie s’inscrit dans cette tendance passant de 66% (au cours des 12 derniers mois)  à 74% (pour l’année à venir). Les secteurs des technologies/télécommunications, de la distribution et des services financiers s’attendent à avoir autant de ressources financières et humaines qu’au cours des 12 derniers mois. Le secteur public ainsi que celui de la grande consommation sont en déclins en passant respectivement de 73% à 53% et de 100% à 50%.

Un réel besoin de cyber-résilience
« Alors que la sécurité IT devient une priorité pour les dirigeants, elle reste néanmoins associée à d’autres challenges qui pèsent lourdement sur les professionnels de l’informatique et remettent en cause la capacité de certaines organisations à innover tout en assurant leur sécurité », explique Patrice Perche, Senior Vice Président, en charge des opérations commerciales et de support à l’international chez Fortinet. « Ces organisations doivent agir dès aujourd’hui pour maîtriser l’impact de menaces en forte croissance et se focaliser davantage sur la sécurité IT afin de renforcer leur résilience face aux cybermenaces ».

L’étude Fortinet Security Census 2014 a été menée par Lightspeed GMI, un acteur indépendant des études de marché. Cette opération a porté sur un panel de 1,610 décideurs informatiques, essentiellement des DSI, Directeurs Techniques, Directeurs/Responsables informatique, évoluant en grande partie dans des entreprises de plus de 500 collaborateurs. *8% des personnes interrogées proviennent d’entreprises comptant de 100 à 500 collaborateurs. 15 pays ont participé à cette enquête : Australie, Allemagne, Brésil, Canada, Chine, Colombie, Corée, Espagne, Etats-Unis, France, Inde, Italie, Japon, Mexique et Royaume-Uni.

Cyber-attaque, Entreprise, Espionnae, Fuite de données, Leak, Propriété Industrielle

8 incidents informatiques sur 10 seraient dus au facteur humain

84 % des incidents de sécurité informatique sont liés au facteur humain, alors que seulement la moitié des budgets est consacrée à ce type de menaces.

Voilà les premiers chiffres de l’étude menée lors de la RSA Conference et présentée lors du Gartner Identity & Access Management Summit 2014 par BalaBit. L’étude eCSI de BalaBit souligne le fait qu’il est désormais nécessaire d’ajuster le budget sécurité à hauteur des menaces liées au facteur humain.

BalaBit IT Security, acteur sur le marché des solutions dédiées à la gestion de logs et à la surveillance des comptes à privilèges, a présenté les résultats de son dernier rapport eCSI lors du Gartner Identity & Access Management Summit 2014. L’étude a été menée auprès de 300 participants lors de la récente RSA Conference à San Francisco. Les résultats de cette enquête montrent que 84 % des incidents de sécurité informatique sont liés au facteur humain (erreur humaine, attaques sophistiquées internes ou externes, etc.). En terme de budget, l’étude souligne également que les dépenses sont assez équilibrées entre : les 55 % du budget consacrés à la gestion du risque humain et les 45 % consacrés à l’infrastructure.

Ainsi, les entreprises concentrent toujours leurs ressources dédiées à la sécurité informatique à la sécurité des infrastructures et aux facteurs de risque externe. Les personnes interrogées ont classé les principaux facteurs de risque, en fonction du budget consacré : 30 % privilégient la menace externe, au-dessus de tous les autres risques ; 28 % ont déclaré que les dysfonctionnements du système sont parmi les risques les plus importants ; 17 % ont cité les attaques automatiques (injection SQL, DDoS, …) Alors que la protection dédiée aux erreurs humaines et aux hackers internes est une priorité budgétaire absolue pour seulement une petite minorité des personnes interrogées : respectivement 13 % et 12 %. Pourtant, en terme d’évaluation du coût potentiel de la menace, les résultats sont différents : 51 % des personnes interrogées ont déclaré que les erreurs humaines provoquent la plus grande perte financière ; Seulement 18 % pour la menace externe ; 15 % pour la menace interne et 9 % pour les dysfonctionnements du système et 7 % pour les attaques automatiques.

« La plus grande incohérence que notre étude ai permis de révéler est que les professionnels de l’IT savent clairement que les erreurs humaines causent 51 % de leurs pertes alors qu’en terme de budget, seulement 13 % d’entre eux placent le risque lié au facteur humain en haut de la liste et 40 % des personnes interrogées placent les erreurs humaines comme la menace la moins importante. Si les entreprises souhaitent dépenser leur budget de sécurité informatique de manière logique, il est temps de palier à cette contradiction », commente Zoltán Györko, CEO de BalaBit IT Security. BalaBit a également demandé aux participants de la RSA Conference d’estimer, jusqu’à combien le niveau de la sécurité informatique de leur entreprise pouvait être réduit pour satisfaire les besoins des utilisateurs à privilèges : 83 % des personnes interrogées ont répondu que leur niveau de sécurité était réduit (19 % fortement, notablement à 32 % et modérément à 32 %), pour satisfaire les utilisateurs privilégiés.

« En raison de leur manque de flexibilité, les solutions de contrôle d’accès ne sont souvent pas en mesure de prévenir les incidents mais empêchent les utilisateurs de travailler efficacement. La surveillance peut être un outil efficace contre les risques de sécurité liés au facteur humain, que la source soit interne ou externe. Les risques liés au facteur humain peuvent être considérablement diminués par la détection et le blocage des activités suspicieuses des utilisateurs. Les alertes et la surveillance en temps réel sont inévitables pour les comptes à privilèges, qui disposent de droits d’accès, de modification ou de suppression des informations sensibles de l’entreprise. Il n’est pas étonnant que leurs profils soient la cible principale des hackers. Un taux plus élevé de détection est plus dissuasif que le contrôle passif et plus favorable aux entreprises  », ajoute Zoltán Györko.