@cyberisques Cloud et sinistre : comment anticiper et assurer la continuité de vos opérations

Cyberisques News  /  Idées: David CHASSAN, CCO, Outscale

 

 

Cloud et sinistre : comment anticiper et assurer la continuité de vos opérations

 

 

 

 Next event Cyberisques News partner:   http://bit.ly/2yDBC0l 

 

 

 

Les ouragans qui s'abattent aux Antilles et en Floride, sont emblématiques des catastrophes qui peuvent détruire les infrastructures d'une ville ou d'une région. Aucune entreprise n'est à l'abri d'un incendie, d'une inondation ou de tout autre incident paralysant son infrastructure informatique. Voici quelques points à prendre en compte pour profiter du Cloud Computing afin d'anticiper et assurer la continuité des opérations en cas de problème. 

 


 

Des risques à ne pas prendre à la légère

 


Nous n'avons pas encore suffisamment de recul pour connaître l'ampleur exacte des dégâts provoqués par l'Ouragan Irma. En 2012, les pertes économiques liées à l'ouragan Sandy avaient été chiffrées à 53 milliards de dollars. Sans aller jusqu'à la catastrophe climatique extrême, les périls qui menacent l'activité et la survie des entreprises peuvent survenir à n'importe quel moment et s'avérer très coûteux. En effet, une heure d'interruption d'une infrastructure informatique ou d'un site Web peut parfois générer des pertes financières de plusieurs millions d'euros, surtout quand Internet est le mode privilégié d'interaction avec les clients. A cet égard les banques en ligne, les systèmes d'autorisation de cartes de crédit, les entreprises de vente en ligne ou les centrales de réservation de billets d'avion sont des organisations extrêmement sensibles.

 


 
Une économie où la donnée informatique est centrale

 


Les données d'entreprise, hébergées en interne ou dans des datacenters de prestataires, sont devenues la pierre angulaire de nos organisations. La data est un préalable indispensable à l'innovation. Mais face à cette augmentation exponentielle du volume de données, le risque de perte est d'autant plus important. Par conséquent, constituer un Plan de Reprise d'Activité (PRA) après sinistre est une nécessité vitale ! Selon une enquête récente de Markess, seulement 47% des décideurs répliquent régulièrement des données à distance pour le recouvrement en cas de désastre. Sensiblement la même proportion d'entre eux (46%) a mis en place un PRA pour sauvegarder et restaurer l'état des systèmes et des applications après sinistre. Par ailleurs, 33% seulement des entreprises interrogées réalisent un partage et une synchronisation des données entre différents sites ou objets. Les entreprises sont donc loin d'être préparées !

 


 
Sinistres : l'importance d'un PRA* solide

 


Pour pouvoir assurer sa continuité, l'entreprise doit disposer d'un plan de reprise d'activité lui permettant de poursuivre ses opérations en toute sécurité et de faire face aux conséquences des sinistres. Pour minimiser l'impact de ces désastres, les dirigeants de l'entreprise et ses experts en informatique doivent investir du temps et des ressources dans un plan de préparation qui permettra de parer à l'imprévu. Ce plan doit notamment couvrir le travail des équipes (politiques de travail à distance, formation aux préparatifs, accès aux systèmes, etc.), les processus (la marche à suivre, étape par étape, en cas de sinistre) et les systèmes (surveillance proactive, systèmes redondants, etc.).

 

 

 

Cyberisques NEWS: Organisations "middle market" 

Couts-Attaques-2017-Middle-Market

 

 


                                                                    
Un programme de reprise après sinistre pour anticiper

 


Le programme de reprise après sinistre et les redondances mises en place doivent tenir compte de l'impact potentiel des incidents sur l'entreprise. Dans cette optique, il est recommandé de revoir son infrastructure et de s'assurer de disposer des capacités et données nécessaires en cas d'urgence. Une solution évolutive, fiable et parfaitement sécurisée permet de modifier et d'optimiser rapidement ses ressources en cas de problème et de mieux faire face à l'imprévu. Rien à voir avec une simple sauvegarde système et d'une coûteuse duplication de son infrastructure. Il est essentiel de bien évaluer les risques (satisfaction client, perte de chiffre d'affaires, continuité des activités, données perdues, etc.) à mesure de la définition du plan. L'entreprise peut-elle se permettre de perdre des données ? Quelle serait la durée maximum possible de l'interruption des activités ? Le Cloud Computing permet de disposer d'une infrastructure résiliente et élastique qui permet de disposer de ses données et applications à tout instant. Les entreprises peuvent ainsi bénéficier d'un plan de reprise efficace et opérationnel. L'infrastructure Cloud étant gérée au niveau du code, et pilotable par API, les systèmes réagissent de manière appropriée au moment opportun, automatiquement et voire vers une dimension multi-clouds.

 


 
Un système qui reste opérationnel même en cas de problème

 


Selon les métriques préalablement définies, il est possible de gérer les pics d'activité et détecter tout problème affectant l'infrastructure. Si le pire se produit, le plan de reprise après sinistre est déclenché et le système informatique reste opérationnel. C'est ici qu'interviennent les objectifs de durée et de point de reprise préalablement définis. Avec les outils dont l'entreprise dispose, il est possible de d'utiliser des scripts d'automatisation via API. L'automatisation par API est la clé pour l'usage du Cloud Computing qui permettent de déployer et de gérer ses applications et données dans des régions Cloud non sinistrées. En effet, les régions Cloud sont composées d'Availability Zones qui viennent abstraire la notion de Data Centre dans son unité. Ainsi, l'entreprise n'a plus à se soucier du data centre comme immeuble.
 
Anticiper les risques est devenu vital dans une économie collaborative et centrée autour de la data. Ne pas anticiper c'est ne pas savoir gérer. Alors... tous à votre PRA !

 

 

 

BONUS:
 
*Petit lexique PRA
 
Interruption des activités : durée requise pour remettre les fichiers, les logiciels, les serveurs et le site dans son ensemble en état de fonctionnement après une panne, ainsi que les coûts résultant de la baisse de productivité et de chiffre d'affaires.            
 
Dépenses en capital : coût d'achat des logiciels, du matériel et du déploiement d'une infrastructure.
 
Dépenses opérationnelles : coût de maintenance de la solution, y compris le temps passé à consulter les
journaux de sauvegarde, à s'assurer du bon déroulement des opérations de sauvegarde, à résoudre les erreurs,
à tester les fichiers de sauvegarde et à tester le plan de reprise.
 
Objectifs de point de reprise (RPO) : date d'enregistrement des fichiers à récupérer dans le cadre d'une panne touchant un poste de travail, un système ou un réseau entraînée par des problèmes de matériel, de logiciels ou de communication. Ces objectifs remontent dans le temps par rapport à l'instant où la panne survient, et peuvent être spécifiés en secondes, en minutes, en heures ou en jours.
 
Objectifs de durée de reprise (RTO) : les objectifs de durée de reprise désignent la durée d'interruption maximum admise lorsque des pannes ou des incidents interrompent le fonctionnement des équipements, des systèmes, des réseaux ou des applications.   

 

 

INRIA: le standard industriel SHA-1 définitivement retiré ?

 


Des chercheurs alertent : le standard industriel SHA-1 devrait être retiré plus tôt que prévu. Mais...

 


Une équipe internationale de cryptanalystes presse aujourd'hui l'industrie de retirer le standard de sécurité Internet SHA-1 plus tôt que prévu, car il pourrait être cassé à un coût significativement plus bas que précédemment estimé. Coté fournisseurs de services Facebook, Alibaba, Twitter... soutiennent l’idée de maintenir le support du SHA-1 jusqu’en mars 2019. Un délai trop long pour d'autres tels que Microsoft.  Retour sur l'origine de l'affaire. 

Le 22 septembre, un travail commun de Stevens, Karpman et Peyrin a produit une collision à valeur d’initialisation libre sur le standard industriel SHA-1. SHA-1 est un algorithme cryptographique conçu par la NSA en 1995 pour calculer des empreintes sûres de messages. Ces empreintes sont utilisées dans le calcul des signatures électroniques, qui sont fondamentales pour la sécurité d'Internet, par exemple la sécurité d'HTTPS (SSL), la banque dématérialisée, la signature de documents et de logiciels. SHA-1 est utilisé dans de nombreuses applications via les navigateurs. C'est le cas pour pour les signatures électroniques, qui sécurisent les transactions à base de carte bancaire, la banque dématérialisée, et la distribution de logiciel.

Aujourd'hui, il n'est prévu de déclarer, au niveau des navigateurs Internet, les signatures à base de SHA-1 comme "risquées". Son successeur, SHA-2, ne serait "prêt" qu'en janvier 2017.

Marc Stevens (CWI, Pays-Bas), Pierre Karpman (INRIA, France et NTU, Singapour) et Thomas Peyrin (NTU,Singapour), des chercheurs à l'origine de la découverte d'une vulnérabilité sur ce protocole estiment que des attaques sont désormais possibles et de moins en mons chères : " les attaques au niveau de l'état de l'art, décrites en 2013, sur SHA-1 devraient coûter 100 000 dollars en louant des cartes graphiques dans le cloud. Les collisions – plusieurs messages qui présentent la même empreinte – peuvent conduire à la création de signatures numériques frauduleuses. Une collision à initialisation libre casse le niveau interne de SHA-1. Nous avons démontré comment des cartes graphiques peuvent être utilisées de manière très efficace pour de telles attaques. Maintenant nous pouvons utiliser ce résultat pour rendre l'attaque par collision sur SHA-1, issue de l'état de l'art, significativement moins coûteuse”, explique Pierre Karpman.

L'équipe déclare : “en 2012, l'expert en sécurité Bruce Schneier a estimé que le coût de production d'une collision SHA-1 sera autour de 700 000 dollars en 2015”. Ce montant décroitrait pour être en 2018 de l'ordre de 173 000 dollars, qu'il a estimé être dans les capacités financières de criminels.

Toutefois, nous avons utilisé des cartes graphiques très rapides, et nous estimons maintenant que le coût d'une collision complète sur SHA-1 sera, au début de l'automne 2015, entre 75000 et 120000 dollars en louant le cloud EC2 d'Amazon pendant quelques mois seulement.
Cela implique que de telles collisions sont déjà accessibles aux ressources d'organisations criminelles, presque deux ans plus tôt que prévu, et un an avant que SHA-1 soit traitée comme peu sûre dans les navigateurs Internet modernes.
En conséquence nous recommandons que les signatures à base de SHA-1 soit déclarées
dangereuses, bien plus tôt que prévu par les recommandations internationales courantes.

 

Navire qui sombre
“Bien que ce ne soit pas encore une attaque complète, l'attaque actuelle n'est pas une défaillance usuelle ans un algorithme de sécurité, le rendant plus vulnérable seulement dans un futur lointain”, ajoute le professeur Ronald Cramer, responsable du groupe de cryptologie du CWI.


“Comparons SHA-1 à un bateau qui a heurté un iceberg et qui se remplit d'eau rapidement. Nous savons maintenant la taille de la voie d'eau, la vitesse à laquelle l'eau rentre, et quand le vaisseau coulera : bientôt. Il est temps de changer de bateau, et de changer pour SHA-2”.
Le Professeur Assistant Thomas Peyrin, responsable du Symmetric and Lightweight cryptography Lab (SYLLAB) à NTU, explique:“SHA-1 était déjà cassée théoriquement, mais maintenant une implantation très efficace, à coût raisonnable, de cette attaque est en vue.

 

SHA-2 et SHA-3, les successeurs de SHA-1, ne sont pas affectées par ces dernières avancées en cryptanalyse et restent sûres”. Daniel Augot, responsable de l'équipe-projet Grace, et directeur de thèse de Pierre Karpman chez INRIA déclare : “L'impact des collisions actuelles sur SHA-1 ne sera pas aussi drastique que dans le cas de l'attaque sur HTTPS de 2008 ou de l'apparition du logiciel malveillant Flame en 2012. Toutefois, les collisions à valeur d’initialisation libre annoncent la fin de la confiance dans les signatures électroniques basées sur SHA-1.”


Le professeur Huaxiong Wang, directeur de la division des sciences mathématiques de NTU, dit “Nous recommandons que les autorités de certification (CA), les distributeurs de navigateur, et l'industrie en général accélèrent la migration vers SHA-2. Malheureusement, même la fragilisation d'une seule autorité de certification menace la sécurité de tous les sites HTTPS dans le monde entier, comme montré clairement par l'attaque sur HTTPS en 2008. Néanmoins, nous conseillons aussi aux sites web de migrer bientôt vers SHA-2, pour éviter des messages d'avertissement quand les navigateurs Internet retirerons leur confiance en SHA-1”. Marc Stevens ajoute : “nous espérons juste que l'industrie a su apprendre des évènements dus à MD5, le prédécesseur de SHA1, et, dans ce cas, qu'elle retirera SHA-1 avant que des exemples de fausses signatures
apparaissent dans un futur très proche”.

Début Juillet 2016, l'INRIA a publié un panaorama du monde numérique 2015 avec une "option" cybersécurité:  

https://panorama.inria.fr/rubrique/de-securite/

 

INRIA-1

 

Enjeux pour la cybersécurité: 

Qu’est-ce que SHA-1 ?

 

SHA-1 est une fonction de hachage cryptographique standardisée par le NIST en 1995. Elle prend en entrée un document numérique de taille quelconque et produit une empreinte de 160 bits. Elle est entre autres beaucoup utilisée dans les certificats qui permettent d'authentifier les sites web. Ce standard industriel est utilisé par exemple pour les signatures électroniques qui sécurisent les transactions à base de carte bancaire, la banque dématérialisée et la distribution de logiciel.

Qu'est-ce qu'une fonction de hachage ?

Une fonction de hachage est un algorithme cryptographique qui transforme tout document électronique en une empreinte courte de taille fixe. Ces fonctions de hachage, véritables couteaux suisses de la cryptographie, ont de nombreux usages dont un des plus importants est la signature électronique. La signature électronique d'un document se construit en deux temps, avec deux algorithmes différents : application de la fonction hachage sur le document à signer pour obtenir une empreinte courte, et ensuite de l'algorithme de signature proprement dit qui s'applique à cette empreinte. La signature électronique est utilisée notamment pour certifier l'authenticité des sites web auxquels nous voulons nous connecter de manière sécurisée. Ce sont les certificats électroniques délivrés par des autorités de certification.

En quoi une collision est-elle une menace ?

Une collision sur une fonction de hachage donnée se constitue de deux documents qui produisent la même empreinte. Un de ces deux documents peut avoir été signé légitimement par son propriétaire. L'attaquant, qui dispose du deuxième document donnant la même empreinte, peut le substituer au premier document, et comme la signature ne porte en réalité que sur l'empreinte, la signature  sera aussi valide sur le deuxième document : on a ainsi produit un faux. Un algorithme de signature proprement dit, même sûr, combiné à une fonction de hachage  ainsi affaiblie mène à des signatures électroniques non fiables.

Quel est le résultat de Stevens, Karpman, Peyrin ?

Une fonction de hachage comme SHA-1 fonctionne en utilisant en interne une fonction de compression, qui prend des messages de taille fixe, et produit des messages plus courts. C'est en itérant cette fonction de compression sur des blocs de messages de taille fixe qu'on obtient un algorithme global qui opère sur des messages de longueur quelconque. Stevens, Karpman, Peyrin ont trouvé  une collision sur la fonction de compression, et non sur la fonction de hachage SHA-1

(Extrait : http://www.inria.fr/centre/saclay/actualites/une-menace-sur-la-signature-electronique-des-sites-web )

 

BONUS:

http://www.inria.fr/centre/nancy/innovation/laboratoire-securite-informatique?mediego_ruuid=7abd7151-4e98-11e6-940d-8de9dd0092f3

https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/

 

 

A propos du CWI
Fondé en 1946, le Centrum Wiskunde & Informatica (CWI) est l’institut national des
mathématiques et des sciences du numérique aux Pays-Bas. Situé dans le « Amsterdam Science Park », il fait partie de l’organisation néerlandaise pour la recherche scientifique (NWO). L’institut est internationalement reconnu et renommé. Environ 150 chercheurs conduisent des recherches pionnières et partagent leurs connaissances avec la société. Environ 30 chercheurs sont également professeurs au sein des universités. L’institut a contribué à la création de 32 sociétés « spin-off ».

 

A propos d’Inria
Inria, institut national de recherche dédié au numérique, promeut « l'excellence scientifique au service du transfert technologique et de la société ». Inria emploie 2700 collaborateurs issus des meilleures universités mondiales, qui relèvent les défis des sciences informatiques et mathématiques. Son modèle ouvert et agile lui permet d’explorer des voies originales avec ses partenaires industriels et académiques. Inria répond ainsi efficacement aux enjeux pluridisciplinaires et applicatifs de la transition numérique. Inria est à l'origine de nombreuses innovations créatrices de valeur et d'emplois.

Sony Pictures hacked by Russian blackhats, it now emerges

After months of suspects a new revelation on Sony hack states that Russian hackers hacked and still have access to Sony Pictures Entertainment’s network

 

Sony Pictures Entertainment might have been hacked by Russian blackhat hackers and not the Democratic People Republic of Korea. This news emerged this week after renowned Russian blackhat YamaTough revealed that a group of Russian hackers had shown him evidence that they still, as of January 2015, have access to Sony’s network.

When Sony Entertainment was hacked in November 2014, the Sony security committee and US cybercrime investigators were quick to assign blame to the DPRKcyber army claiming that the motivation for the attacks was to stop the release of the movie “The Interview” which makes fun of the DPRK’s leader.
This is now being strongly doubted after reports emerged that Russian blackhats hacked Sony. The attack was carefully planned and perpetrated over some period of time with the precision of a military operation.
The Russian hackers first hacked into the Sony Entertainment computers in their Asian branches. The hackers first accessed SPE’s Culver City, California network in late 2014 through a spear phishing attack on Sony employees in Russia, India and other parts of Asia, U.S. security intelligence firm Taia Global explained a report.

 

The evidence gathered by Taia Global and presented in this report proves that one or more Russian hackers were in Sony Pictures Entertainment’s network at the time of the Sony breach and continue to have access to that network today. It validates Taia Global’s preliminary linguistic analysis as accurate. It raises questions about the sources and methods used by Sony’s investigators and the U.S. government who failed to identify the Russian hackers involved and to differentiate them from the alleged DPRK hackers. Taia Global relied upon two novel techniques - a method of linguistic analysis for small data sets (see Appendix A) which showed that the attackers were most likely Russian, and the cultivation of trusted human sources in Russia and the Commonwealth of Independent States which Taia Global has been doing since 2011. Intelligence gained strictly from technical sources like the malware that was used, or from the “working hours” of the attackers, can be easily faked. Historically, there is an over-reliance upon signals intelligence (SIGINT) to the detriment of traditional human intelligence (HUMINT). This report could not have been produced without Taia Global’s long-term interest in seeking and building trusted contacts throughout the world. Finally, the victim company Sony Pictures Entertainment, who has been relying upon one or more cyber security companies for its incident response, is still in a state of breach. Sony documents dated as late as January 23, 2015 were provided to Taia Global from Yama Tough’s Russian source who appears to have at-will access to the company.

BONUS:

http://cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/386-hack-sony-heureusement-que-ces-types-n-etaient-pas-la-quand-chaplin-a-fait-le-dictateur

 

http://securityaffairs.co/wordpress/33143/cyber-crime/sony-pictures-hacked-russian-blackhats.html

 

Sony-Pictures-Taia-Global-report

  

Cyberassurance: une entreprise sur 10 sans couverture

Cyberassurance: 


France: 40% d'entreprises couvertes

En France, seules 40 % des entreprises sont intégralement couvertes contre les violations de sécurité et à la perte de données révèle le dernier rapport Risk:Value 2016 publié par NTT Com Security (1) fin avril 2016

Parmi les 1 000 décideurs (hors fonction IT) interrogés pour les besoins de l'enquête Risk:Value aux États-Unis et en Europe (France, Royaume-Uni, Allemagne, Suède, Norvège et Suisse), plus d'un sur dix (12 %) avoue que son entreprise n'est couverte contre aucune des deux plus grandes cyber-menaces : la violation de sécurité ou la perte de données. Paradoxe si l'on considère que la majorité des personnes interrogées reconnaissent l'intensification des cyber-attaques. En moyenne, elles estiment le coût d'un retour à une situation normale à près d'un million de dollars, soit environ 880 000 €. Rappelons que Selon la dernière enquête de PWC (2) sur le marché de la cyber-assurance, le nombre de cyber-attaques recensées a progressé de 38 % dans le monde en 2015 – et de 51 % en France. Ces familles de cyber-menaces représentent un coût aujourd’hui évalué au niveau mondial à environ 400 milliards de dollars.

Le dernier rapport Risk:Value 2016 publié par NTT Com Security note que c'est toujours aux États-Unis que l'on trouve le plus d’entreprises « cyber-assurées » – 51 % des entreprises contre seulement 26 % au Royaume-Uni. Les secteurs les plus ouverts aux polices de cyber-assurance dédiées sont le retail (43 %), les prestataires de services B2B (43 %) et les entreprises d'utilité publique (39 %).

 

 

 

Cyberassurance-Cheminement-attques-cyberisques-avril-2015

 

 

 

La France en retard

Toujours selon le rapport de NTT Com Security, le cas de la France révèle un certain retard avec 40 % de décideurs qui déclarent être couverts financièrement à la fois contre les pertes de données et les violations de sécurité. Parmi eux, 26 % (taux le plus bas de tous les pays) prétendent que leur cyber-assureur couvrirait les frais de justice résultant d'une perte de données ou d'une violation de sécurité. En revanche, 31 % (taux le plus haut) déclarent que ce même cyber-assureur couvrirait aussi les frais de « situation de crise » (RP/Marketing). D'autres indicateurs du rapport Risk:Value 2016 apportent un éclairage nouveau. Ainsi, les décideurs français interrogés analysent que la première cause d'invalidation d'une couverture serait le non-respect des politiques internes (55 %), suivie par l'absence de plan d'intervention sur incident (51 %), le non-respect des obligations de conformité (47 %) et une sécurité physique insuffisante (41 %).

Parmi les décideurs d'organisations assurées contre les violations et les pertes de données, 46 % seulement estiment que leurs frais de justice seront couverts. Ils sont encore moins nombreux à estimer que leurs cyber-polices les couvrent contre des sanctions réglementaires (43 %), amendes des pouvoirs publics (41 %) et réparations (41 %). Quant aux risques de manque à gagner et de perte de propriété intellectuelle, ils  ne sont couverts que par 25 % des entreprises sondées.

Pour un acteur de la cyber-assurance offrant une police dédiée, il est essentiel que des dispositifs de réduction des risques existent. Il lui faut également constater sur place ce que ces process recouvrent concrètement. Il faut enfin que les entreprises désireuses de souscrire démontrent que ces dispositifs sont régulièrement testés et audités. Les engagements pris par les intégrateurs, VARs, éditeurs et prestataires de services hébergés deviennent dans ce contexte stratégiques.

Dès lors, il devient de plus en plus essentiel pour les entreprises de réinvestir dans la cyber-sécurité et d’instaurer avec plus de rigueur des dispositifs de contrôle et de surveillance. Ces dispositifs doivent de toute urgence s'étendre aux infrastructures critiques en 2016 sous architectures ICS / Scada.

Les budgets consacrés à la cyber-sécurité par les entreprises ont augmenté au niveau mondial en 2015 ; le marché mondial de la cyber-sécurité se développe rapidement – il représente aujourd’hui environ 77 milliards de dollars et devrait atteindre entre 130 et 170 milliards de dollars d’ici 2020.
  

Avec un montant des primes brutes émises de 2,5 Md$ en 2015 et une estimation à 7,5 Md$ à l'horizon 2020 note PWC, le marché de la cyber-assurance s'installe. Il ne peut le faire sans la complicité des acteurs incontournables de la cyber-sécurité.

@jpbichard

1 - *L'ensemble des informations ci-dessus émanent du rapport Risk:Value 2016 publié par NTT Com Security. Réalisée par Vanson Bourne pour NTT Com Security, l'étude a été menée durant les mois d'octobre et novembre 2015. 1 000 décideurs (hors fonction IT) ont été interrogés aux Etats-Unis, au Royaume-Uni, en Allemagne (200 dans chaque pays), ainsi qu'en France, Suède, Norvège et Suisse (100 dans chaque pays). Ils appartenaient à des structures de plus de 500 salariés, exception faite de la Norvège, la Suède et la Suisse (250 salariés minimum).  L'étude était soumise à un seuil minimum de participants travaillant dans le secteur financier (au moins 50 au Royaume-Uni, aux États-Unis, en France et en Allemagne, et au moins 30 dans les autres pays).

2 - Rapport PWC : “Insurance 2020 & beyond: Reaping the dividends of cyber resilience

Target-List-2015-CYBERISQUES-1

This email address is being protected from spambots. You need JavaScript enabled to view it.  

 

 

Etudes Akamai et Arbor : hausse des attaques DDdoS et méconnaissance de ces cyber-menaces par les COMEX / CODIR

 

Akamai PLXsert publie son rapport « Etat des lieux de la sécurité sur internet »

du 4ème trimestre 2014

 

 

·     Le nombre d'attaques DDoS a pratiquement doublé en un an 

·  L trafic DDoS diversifié ses sources à l'échelon mondial

·             Près de la moitié des attaques DDoS ont exploité plusieurs vecteurs

 

 

(Source Corporate Communication) Paris, le 29 janvier 2015 - Akamai Technologies, Inc. (NASDAQ : AKAM), l'un des principaux fournisseurs de services de cloud, d'optimisation et de sécurisation de contenus en ligne et d'applications professionnelles,annonce la publication du rapport « Etat des lieux de la sécurité sur internet » du 4ème trimestre 2014 sur les attaques DDoSProduit par le PLXsert (Prolexic Security Engineering and Research Team), aujourd'huirattaché à Akamai, qui rassemble des experts des services et stratégies de protection contre les attaques DDoS et de sécurisation cloudil livre une analyse trimestriel et un éclairage sur les cyber-menaces et attaquesà l'échelle mondiale, y compris sur les attaques DDoS observées sur le réseau PLXrouted. 

 

 

« Un nombre impressionnant d'attaques DDoS ont eu lieu au 4ème trimestreprès du double par rapport à ce que nous avions observé à la même période un an plus tôt », souligne John Summers, vice president, Security Business Unit chez Akamai. « Le déni de service est une menace répandue qui vise de nombreuses entreprisesLe trafic d'attaques DDoS n'a pas été cantonné à un secteur donnécomme celui du divertissement qui a pu fairela une des medias en décembre. Les attaques ont, au contraire, porté sur de multiples secteurs d'activité. »

 

Akamai a également observé une hausse de 52 % du débit moyen des attaques DDoS en comparaison du 4ème trimestre de l'année précédente. De volumineux paquets de trafic indésirable peuvent très vite anéantir lacapacité d'une entreprise à traiter les requêtes légitimes de ses clients, et ce déni de service entraîner ainsi des pannes. Or, la plupart des sites non protégés sont incapables de résister à une attaque DDoS classique. Parconséquent, les attaques DDoS font aujourd'hui partie intégrante du paysage des menaces et de la cybersécurité que toute entreprise présente sur le Net se doit d'anticiper dans une évaluation des risques.

 

 

Le phénomène DDoS-for-hire et la montée en puissance des attaques par réflexion et multivecteurs

 

Les suites de booters DDoS-for-hire, ont engagé peu de moyens puisqu'elles ont mis à profit des attaques DDoS par réflexion. Près de 40 % des attaques DDoS en tous genres ont fait appel à ces techniquesqui s'appuientsur des protocoles Internet pour générer un trafic en réponse considérablement amplifié et dispensent le hacker de prendre le contrôle du serveur ou du device.

La généralisation de services DDoS-for-hire permis à des hackers amateurs d'acheter ces services prêts à l'emploiL'essor dce marché également été propice à l'utilisation de campagnes multivectoriellesl'innovationdes attaques étant stimulée par la concurrenceLes attaques multivecteurs observées ont été considérablement plus nombreuses - en hausse de 88 % par rapport au quatrième trimestre 2013. Plus de 44 % des attaquesde toute nature ont exploité plusieurs vecteurs.

 

 

Répartition mondiale des cibles et des sources d'attaques DDoS

 

Le rythme des attaques DDoS été plus homogène au 4ème trimestre lié à un nombre croissant de cibles importantes dans des zones géographiques jusqu'alors sous-représentéesPar ailleursl'origine géographique dutrafic malveillant s'est déplacéeLes États-Unis et la Chine ont continué à répondre de la plupart du trafic DDoSmais à la différence du 3ème trimestre 2014 marqué par la domination du groupe BRIC (BrésilRussieIndeet Chine)le trafic d'attaques DDoS, au 4ème trimestre 2014, a émané, pour l'essentiel, des États-Unis, de la Chine et de l'Europe occidentale.

 

 

Quelques faits et chiffres marquants :

 

Par rapport au 4ème trimestre 2013

- Nombre d'attaques DDoS : + 57 %

- Débit crête moyen : + 52 %

- Nombre crête moyen de paquets par seconde : - 77 %

- Attaques de couches applicatives : + 51 %

- Attaques de couches d'infrastructure : + 58 %

- Durée moyenne des attaques : + 28 %

- Nombre d'attaques multivecteurs : + 84 %

- Attaques à plus de 100 Gb/s : + 200 % (9 contre 3)

Par rapport au 3ème trimestre 2014

- Nombre d'attaques DDoS :+ 90 %

- Débit crête moyen des attaques : + 54 %

- Nombre crête moyen de paquets par seconde : - 83 %

- Attaques de couches applicatives : + 16 %

- Attaques de couches d'infrastructure : + 121 %

- Durée moyenne des attaques : + 31 %

- Nombre d'attaques multivecteurs : + 38 %

- Attaques à plus de 100 Gb/s : - 47 % (9 contre 17)

 

 

DDoS-Attack-Q4-2014

 

 

Les botnets à la loupe

 

Les logiciels malveillants sont souvent utilisés pour favoriser la propagation des botnets DDoS. Leurs caractéristiques - infection multiplate-forme, détection du système d'exploitation et maliciels destructifs - sontexposées dans le Rapport de sécurité. Akamai a, par ailleurs, défini le profil de plusieurs botnets d'attaques visant des applications web au moyen d'une nouvelle technique d'analyse tirant parti de données glanées surAkamai Intelligent Platform™. Les botnets en question visaient à automatiser la découverte de vulnérabilités dans ces applications web face à des attaques par injection de commandes RFI (Remote File Inclusion) et OS (Operating System). Les experts Akamai ont établi leur profil en isolant des URL et charges utiles de code malveillant identiques entre des attaques apparemment sans lien. Une charge utile a servi à regrouper les donnéeset à cartographier l'activité des botnets, les acteurs en lice et les applications web victimes de ces attaques. Cette technique de profilage permettra de recenser d'autres sources d'attaques.

 

 

Neutralisation des botsscrapers et autres spiders

 

Si les attaques par déni de service ralentissent considérablement les performances d'un site, les robots d'indexation ont, eux aussi, une incidence, mais dans un degré moindre. Les plus mal codés peuvent mêmes'apparenter à du trafic DDoS. Akamai établit un classement des robots d'indexation en fonction de leur intérêt et de leur impact sur les performances des sites. Le Rapport de sécurité documente la hiérarchisation et laneutralisation de leurs effets.

 

Téléchargement du rapport

 

L'« État des lieux de la sécurité sur Internet » du 4ème trimestre 2014, établi par Akamai PLXsert est disponible au format PDF sur www.stateoftheinternet.com/security-report.

 

 

Autre étude: Arbor / The Economist 

 

 

 

Une étude réalisée par The Economist Intelligence Unit pour Arbor Networks révèle que 83 % des entreprises ne sont pas suffisamment préparées 
à un cyberincident de sécurité

 

(Source Corporate Communication) Londres, le 18 mars 2014 – Arbor Networks, Inc., société leader dans la fourniture de solutions de sécurité et de gestion de réseaux d’entreprises et d’opérateurs, annonce les résultats d’une enquête commandée à The Economist Intelligence Unit sur l’état de préparation des entreprises face aux cyberincidents. The Economist Intelligence Unit a interrogé 360 hauts responsables d’entreprises à travers le monde, en majorité (73 %) des membres de la direction générale ou du conseil d’administration, répartis à 31 % en Amérique du Nord, 36 % en Europe et 29 % en Asie-Pacifique.

 

L’étude, intitulée « Cyberincident response: Are business leaders ready? », révèle que, bien que 77 % des entreprises aient été victimes d’un cyberincident ces deux dernières années, plus d’un tiers (38 %) n’ont toujours pas mis en place de plan de réponse dans une telle éventualité. Seules 17 % des entreprises dans le monde se disent prêtes à affronter un cyberincident de sécurité.

 

Les entreprises mieux préparées qui disposent d’un plan de réponse aux incidents en confient généralement la conduite à leur service informatique, cependant la plupart d’entre elles font également appel à des ressources extérieures, principalement des experts de l’investigation informatique, des spécialistes du conseil juridique et des représentants des forces de l’ordre.

 

« On note une tendance encourageante à une formalisation de la préparation des entreprises en vue de répondre aux incidents. Toutefois, alors que le source et l’impact des menaces sont de plus en plus difficiles à prévoir, les responsables doivent veiller à ce que la réponse aux incidents devienne un réflexe de l’entreprise plutôt qu’un plan sorti d’un tiroir », observe James Chambers, rédacteur senior deThe Economist Intelligence Unit.

 

Matthew Moynahan, président d’Arbor Networks, ajoute : « Comme le montrent ces résultats, en matière de cyberattaques, la question n’est pas de savoir si elles vont se produire, mais quand. A la lumière des récentes attaques ciblées de grande envergure contre le secteur de la distribution, la capacité d’une entreprise à identifier rapidement un incident et à mettre en œuvre un plan de réponse revêt une importance critique pour protéger non seulement les actifs de l’entreprise et les données de ses clients mais aussi sa marque, sa réputation et son bilan. »

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

 

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

 

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

 

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 

 

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

Rappels enjeux:

 

Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne, (@NeelieKroesEU)a déclaré le 30 octobre 2014: «La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

 

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

 

 

 

Challenge Cyber Risks & "Business impact" Trois cas en 2014: SONY, MICHELIN, JPMORGAN CHASE

 

- 24/11:2014Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony. L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque.

 

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

- 8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois. (JPMorgan’s shares  JPM 2.15% have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et fixer leurs priorités. Deux s'imposent: la protection des systèmes industriels SCADA et celle des données critiques. En effet, les données critiques sont à forte valeur ajoutée : plans d'acquisition et de cession, délibérations du Conseil exécutif, propriété intellectuelle. Ces données critiques correspondent à 70 % de la valeur d'une société cotée en bourse et s’avèrent extrêmement précieuses pour les cyber-attaquants – que sont les initiés de la société ou les attaquants sophistiqués.Même si le détournement d’actifs reste de loin la catégorie la plus fréquente (61 % des entreprises interrogées), on relève l’émergence de nouvelles typologies de fraudes plus complexes, la cybercriminalité qui arrive en seconde position (28 %) et la « Fraude au Président » qui est une spécificité française, avec un taux de 10 % et un coût dépassant parfois la dizaine de millions d’€uros. La fraude comptable étant invoquée par 22 % des entreprises interrogées et la fraude aux achats : 21 %.

 

Les services financiers et télécommunications sont les secteurs les plus touchés par les fraudes externes ; la distribution et les biens de consommation pour les fraudes internes.

 

En ce qui concerne la « Fraude au Président », dans un premier temps, seules les grandes entreprises étaient ciblées. Depuis quelques temps, ce phénomène touche même les sous traitants et PME. Les procédés sont variés sous couverts de courriels ou d’appels téléphoniques, votre interlocuteur se fait passer pour l’un de vos partenaires (Client, Fournisseur, Commissaire aux Comptes…) en vous communiquant de nouvelles coordonnées bancaires afin d’effectuer vos prochains règlements. 

 

Pour toutes les entreprises victimes de ces cyber-attaques, les préjudices financiers s'avèrent considérables en coûts directs ou indirects: atteinte à l'image de l'entreprise, dysfonctionnements des Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaires et clients, pertes et vols d'informations stratégiques, avantages donnés aux concurrents...

 

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX

 

Cybersécurité: Trois tendances fortes pour 2015 en Europe

 

 

 

Evolution du Cadre réglementaire en Europe:

 

L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2.

 

Publication le 15 décembre 2015 de la Directive Européenne sur le renforcement de la protection des données: sanction prévue pouvant atteindre 5% du chiffre d'affaires en cas de non respect de la réglementation européenne:http://www.cyberisques.com/fr/component/content/article/83-categorie-3/337-edouard-geffray-le-futur-texte-eu-prevoit-comme-sanction-5-du-ca-en-cas-de-non-respect-de-la-reglementation-eu

 

Données critiques, notification... des actifs nouveaux pour les solutions de Cyberassurance :

 

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information variable dans le temps. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie les informations-data comme une nouvelle classe d’actifs.

 

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

 

Evolutions de la perception des cyber-risques par les IT managers et membres des COMEX / CODIR:

 

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de toutes les réflexions en matière de cyber-prévention. Selon une étude réalisée par Vanson Bourne pour NTT Com Security, 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne).

 

En 2015, la cybersécurité entre aux Comité de direction. De plus en plus de dirigeants perçoivent la cybersécurité comme un process de production, un atout marketing et un élément de différenciation fort. Par ailleurs la poussée réglementaire dans ce domaine encourage les chefs d'entreprise a prendre en compte les notions de prévention financière des risques (cyberassurance) et responsabilité civile pour leur propre "protection juridique". Certains responsables se sont vus condamnés suite à une cyber-attaque en raiso d'un niveau de sécurité “insuffisant de leur SI”.

 

Enfin, au plan économique, l"insécurité coûte de plus en plus chère: par attaque, environ 500 000 euros en moyenne en Europe pour de grandes organisations et 2,9 millions de dollars aux Etats-Unis en 2014 (Source NetDiligence). Il devient impératif de rassurer clients, partenaires et collaborateurs par un niveau d'excellence de la eRéputation des entreprises. Il faut également cartographier, identifier et protéger les "données les plus critiques" des entreprises, coeur de cible des cyber-attaquants.

 

  

 

This email address is being protected from spambots. You need JavaScript enabled to view it.

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR 

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire 887 Euros* au lieu de 1199,00 Euros

 

http://www.cyberisques.com/fr/subscribe

 

 

 

 

Principaux enseignements :

 

L’état de préparation est pénalisé par une méconnaissance des menaces

 

·         Seuls 17 % des responsables d’entreprises se sentent préparés à un incident.

 

·         41 % d’entre eux estiment qu’une meilleure connaissance des menaces potentielles les aiderait à mieux se préparer.

 

·         L’existence formelle d’un plan ou d’une équipe de réponse aux incidents a un effet significatif sur l’état de préparation ressenti par les responsables.

 

·         La moitié des entreprises se jugent dans l’incapacité de prévoir l’impact d’une atteinte à leur sécurité.

 

La priorité donnée à la réputation incite les entreprises à formaliser leurs plans et leurs procédures

 

·         Deux tiers des responsables interrogés indiquent que la réponse efficace à un incident peut contribuer à renforcer la réputation de leur entreprise.

 

·         La proportion des entreprises ayant mis en place une équipe et un plan de réponse aux incidents devrait dépasser 80 % au cours des prochaines années.

 

·         Les entreprises victimes d’un incident durant les 24 derniers mois sont deux fois plus susceptibles de faire appel à un expert tiers que celles qui n’en ont pas subi.

 

Les entreprises demeurent réticentes à révéler les incidents et à partager des informations à propos des menaces

 

·         57 % des entreprises ne signalent pas volontairement les incidents pour lesquels elles ne sont pas légalement tenues de le faire.

 

·         Seul un tiers d’entre elles partagent des informations sur les incidents avec d’autres entreprises afin de diffuser les meilleures pratiques et d’étalonner leur propre réponse.

 

cyberisques.com-Zurich-Recommandations

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information