Assises 2016: Cisco et Thales explorent les chemins d'une "cybersécurité souveraine"

Assises 2016 : 6 octobre Monaco Conférence de presse Cisco et Thales

Partage

 

 (Article complet réservé à nos abonnés OIV) 

 

Cisco et Thales annoncent le 6 octobre une solution de cybersécurité souveraine

David Crumpton, Thales Global Alliance Manager pour Cisco :

« 4 raisons président à ce rapprochement pour Cisco: c'est une nouvelle étape que nous franchissons ensemble en terme de confiance réciproque, pour Cisco c'est aussi accéder à une nouvelle légitimité en étant reconnu comme un tiers de confiance pour le marché OIV d'autant et c'est la quatrième raison que nous trouvons une complémentarité entrer nos solutions ».

Alors que le marché des OIV s'impose comme incontournable pour l'ensemble des acteusr de la cybersécurité, on peut comprendre l'intérêt pour Cisco de se rapprocher d'une acteur de confiance tel que Thales pour "investir" ce marché. En revanche, la stratégie de Thales reste plus floue notamment sur les avantages que le le groupe européen peut attendre de Cisco. Alors que le débat n est pas tranche sur de potentielles ouvertures des codes et mécanismes cryptographique via des "backdoors" officiels (lire: http://cyberisques.com/mots-cles-3/564-va-t-on-laisser-s-enfuir-nos-donnees-par-des-portes-derobees ) Thales, tres implanté chez bon nombre d'OIV va t-il "ouvrir" à Cisco ses technologies sensibles ( keyAuthority, par exemple qui gère et archive les clés de de chiffrement au moyen d’équipements matériel durcis via le protocole standard KMIP) ?

A l'issue de cette annonce, d'autres questions demeurent pour le moment sans réponse.  

Question 1: quelle politique de certification mène Cisco en France (avec l'ANSSI notamment)

Question 2: quels standards seront retenus pour équiper les futures solutions ?

Question 3:  combien de clients OIV chez Cisco en octobre 2016 ? 

Question 4: quelle définition donnent de la souveraineté Cisco et Thales ? 

 

Bref comme l'indique* Martin Defour, directeur technique chargé des Systèmes de mission de défense chez Thales.« Dans le secteur de la défense, il est impératif d’avoir une vision claire des moyens stratégiques qu’on n’entend pas partager avec des partenaires susceptibles de devenir des concurrents"

 

Et dans le secteur de la cyber-securité, quelle est la position de Thalesen matière de transferts de technologies ? 

@jpbichard / Gérald Delplace 

 

*https://www.thalesgroup.com/fr/monde/innovation/magazine/savoir-partage

 

 

Representants présents à Monaco :

 Jean-Michel Lagarde, Directeur adjoint pour les activités systèmes d’information et de communication sécurisés de Thales

Robert Vassoyan, Président de Cisco France

Grégoire Germain, responsable du partenariat Thales/Cisco pour Thales

 David Crumpton, Thales Global Alliance Manager pour Cisco

 

Communication Corporate :

Cisco, leader mondial des technologies de l’information et Thales, leader européen de la cybersécurité et leader mondial de la protection des données, présentent une nouvelle solution souveraine de cybersécurité afin de mieux détecter et contrer les cyberattaques. Inédite, elle conjugue les savoir-faire des deux Groupes pour mieux protéger les systèmes d’information des Opérateurs d’Importance Vitales (OIV) contre les cybermenaces.

Trois mois après la signature d’un partenariat stratégique, Cisco et Thales proposent aujourd’hui une solution souveraine innovante de lutte contre les attaques qui permet une détection plus performante, une analyse simplifiée des incidents de sécurité et donc une remédiation plus rapide. Résultant d’une mise en commun des produits et des expertises de Thales et de Cisco, cette solution répond au besoin croissant de sécurité des OIV et garantit la souveraineté de la maîtrise de l’information associée. Commercialisée par Thales, l’offre commune et intégrée repose sur trois piliers :

·        L’hébergement des solutions apportées par Cisco et des informations relatives à la cybersécurité au sein des infrastructures informatiques de Thales ;

·      L’étude et la conception d’architectures informatiques de confiance qui allient les produits et l’expertise des deux Groupes, et la conception pour les opérateurs, de solutions de sécurité et de protection des données, le tout certifié par Thales ;

·      La mise en place d’une plateforme de renseignement souveraine sur la cybermenace capable d’alimenter de façon proactive les sondes de détection, au fur et mesure de l’évolution des cyberattaques.

Chaque entreprise, chaque organisation a des besoins de cybersécurité qui lui sont propres. Pour cette raison, les deux Groupes ont conçu une offre modulaire centrée sur un dispositif de lutte contre les attaques. Celui-ci s’appuie sur une large gamme de services proposés par Thales grâce notamment à son réseau mondial de centres de supervision opérationnelle de la cybersécurité (CSOC[1]), dont en France celui d’Elancourt.

Il s’agit d’une première étape pour répondre à l’évolution permanente des menaces et se diriger vers une sécurité opérée par un service tiers de confiance (Security As A Service), capable d’exploiter l’ensemble des sources de données pour apporter une solution de détection en temps réel.

Robert Vassoyan, Directeur Général de Cisco France commente : « Le fruit de notre alliance avec Thales offre une nouvelle perspective pour répondre aux enjeux de la transformation numérique. Ensemble, nous avons élaboré une solution de cybersécurité souveraine, qui repose sur l’expertise unique de Cisco pour détecter et analyser les cybermenaces. »

Marc Darmon, Directeur général Adjoint de Thales, systèmes d’information et de communication sécurisés ajoute : « Les équipes de Thales et Cisco ont construit ensemble une solution inédite. Nous garantissons la souveraineté des systèmes de cybersécurité, grâce à des architectures certifiées Thales, et délivrons une offre commune, conjuguant le meilleur de l’expertise des deux Groupes. »

BONUS :

À propos de Cisco

Cisco (NASDAQ: CSCO), leader mondial des technologies de l’information, aide les entreprises à saisir de nouvelles opportunités, en démontrant que des choses étonnantes se produisent lorsque l’on connecte ce qui ne l’est pas. Dans le cadre de la convention de partenariat avec le gouvernement français conclu en février 2015, Cisco s’est engagé à contribuer à l’accélération de la transformation numérique de la France à travers un ensemble d’investissements dans la formation, les start-up innovantes, les infrastructures nationales, les villes intelligentes et la cyber sécurité.

À propos de Thales

Thales est un leader mondial des hautes technologies pour les marchés de l’aérospatiale, du transport, de la défense et de la sécurité. Fort de 62 000 employés dans 56 pays, Thales a réalisé en 2015 un chiffre d'affaires de 14 milliards d'euros. Avec plus de 22 000 ingénieurs et chercheurs, Thales offre une capacité unique pour créer et déployer des équipements, des systèmes et des services, et répondre aux besoins de sécurité les plus complexes. Son implantation internationale exceptionnelle lui permet d'agir au plus près de ses clients partout dans le monde.

Thales est l’un des leaders européens de la sécurité et se positionne comme intégrateur de systèmes à forte valeur ajoutée, équipementier et fournisseur de services. Les équipes sécurité du Groupe aident les États, les autorités locales et les opérateurs civils à protéger les citoyens, les données sensibles et les infrastructures critiques grâce à des solutions intégrées et résilientes.

S'appuyant notamment sur ses compétences fortes en cryptographie, Thales est l'un des leaders mondiaux des produits et solutions de cybersécurité pour la défense, les organismes gouvernementaux, les opérateurs d'infrastructures critiques, les entreprises de communication, industrielles et financières. Présent sur l'ensemble de la chaîne de sécurité de l'information, Thales propose une gamme complète de solutions et de services depuis le conseil en sécurité et les audits de sécurité, la protection des données, la gestion de la confiance numérique, la conception, la mise au point, l'intégration, la certification et le maintien en conditions opérationnelles de systèmes cybersécurisés, jusqu'au dépistage des cybermenaces, à la détection d'intrusions et à la supervision de la sécurité (centres opérationnels de cybersécurité en France, au Royaume-Uni, aux Pays-Bas et bientôt à Hong-Kong).

 

 Sophos propose un chiffrement « always-on » actif en permanence pour protéger les données accessibles sur les mobiles,  les portables, les réseaux locaux et les services de partage de fichiers dans le Cloud

Communication PR Corporate:  juillet 2016

 

Sophos propose un chiffrement « always-on » actif en permanence pour protéger les données accessibles sur les mobiles,  les portables, les réseaux locaux et les services de partage de fichiers dans le Cloud

 

 

Sophos se positionne comme premier éditeur à proposer un chiffrement « always-on » pour les données partagées entre les plates-formes Windows, Mac, iOS et Android

 

·       Le chiffrement « always-on » suit les fichiers où qu’ils soient

·       Les utilisateurs collaborent facilement sur les fichiers chiffrés, que ce soit à partir de Windows, Mac, iOS ou Android

·       Le chiffrement aide les entreprises à se conformer au nouveau règlement européen sur la protection des données personnelles (RGPD)

·       Sophos SafeGuard 8 bénéficie d’une communication directe avec la protection Endpoint, 
dans le cadre d’une stratégie de sécurité synchronisée

 

Lire aussi notre reportage à Oxford (HQ de Sophos): http://cyberisques.com/mots-cles-15/552-sophos-simplyfing-cybersecurity

 

Paris, le 19 juillet 2016 –Sophos (LSE: SOPH), leader mondial de la sécurité des réseaux et des systèmes, annonce aujourd’hui la disponibilité deSophos SafeGuard Encryption 8, une nouvelle solution de chiffrement synchronisée qui protège les données contre les vols par des malwares, des attaques ou suite à des pertes accidentelles. Toutes les organisations peuvent maintenant choisir d’adopter la bonne pratique d’un chiffrement « always-on », actif en permanence pour protéger les données accessibles sur les mobiles,  les portables, les réseaux locaux et les services de partage de fichiers dans le Cloud. Sophos est le premier éditeur à fournir une solution de chiffrement persistante, transparente et proactive pour protéger les fichiers, opérationnelle aussi bien sur les plates-formes Windows et Mac que iOS ou Android.

Twittez: Classifiées, non classifiées? Les données peuvent maintenant être tout simplement protégées par défaut

Jusqu’à aujourd’hui, la mise en œuvre du chiffrement était considérée comme trop complexe et faisait l’objet d’une diffusion restreinte. D’après un sondage réalisé par Sophos, The State of Encryption Today[1], seulement 29% des responsables informatiques déclarent chiffrer systématiquement les smartphones et uniquement 43% les systèmes Mac, ce qui laisse une majorité d’organisations largement exposées.

« Le chiffrement intégral à lui seul protège seulement les données en cas de vol ou de perte de mobile ou de portable.  Mais les données voyagent partout - il est extrêmement difficile d’assurer une protection complète et cohérente des données quand elles sont accessibles à travers des périphériques multiples et des applications de collaboration à travers le Cloud. » déclare Dan Schiappa, Senior Vice President et General Manager du Groupe Enduser Security de Sophos. « Nous avons complètement repensé SafeGuard Encryption 8 pour chiffrer par défaut chaque fichier individuellement, en évaluant en permanence les droits d’accès des utilisateurs, des applications et des périphériques, afin d’assurer une collaboration sécurisée. Nous permettons aussi de fournir des fichiers protégés par mots de passe à des destinataires externes, afin de permettre les échanges sécurisés de fichiers chiffrés. Quand la protection des données est simple et transparente, les utilisateurs sont plus enclins à l’accepter, ce qui augmente la sécurité de votre organisation et sa conformité aux exigences réglementaires en matière de protection des données personnelles. »

Un chiffrement complet et simple à gérer à grande échelle devrait figurer en bonne place dans l’agenda des responsables informatiques, dans une période de réactualisation des stratégies de protection de données pour se conformer aux nouvelles règlementations. Quand le nouveaurèglement européen sur la protection des données personnelles (RGDP) entrera pleinement en vigueur le 25 mai 2018, les organisations détenant des données personnelles sur les citoyens de l’Union européenne s’exposeront à des amendes pouvant aller jusqu’à 4% de leur revenu annuel mondial en cas d’atteinte aux données personnelles, s’ils ne respectent pas les exigences du règlement. Ceci concerne non seulement les entreprises de l’Union européenne, mais toute organisation détenant des données sur les citoyens de la zone.

« Des législations sur la protection des données personnelles sont promulguées partout dans le monde, et les organisations de toutes tailles devraient revoir leur stratégie en matière de protection des données avant de devoir faire face à des conséquences qui se durcissent. Toute société faisant du commerce avec des pays disposant de lois sur la protection des données personnelles est tenue de respecter ces législations locales. » ajoute Dan Schiappa. « Le chiffrement est largement reconnu comme étant la meilleure mesure de protection disponible pour les données. Déployer Sophos SafeGuard Encryption est une étape simple à gérer permettant à toute entreprise de mettre en œuvre une bonne pratique pour la sécurité des données, aussi bien pour protéger les informations sensibles ou propriétaires que pour assurer la conformité aux législations telles que le nouveau règlement européen. » 

 

SOPHOS-TREND-2016

 

"Avec l’adoption du nouveau règlement européen sur la protection des données personnelles (RGPD) le besoin de solutions de chiffrement complètes et simples à mettre en œuvre se fait sentir avec plus d’urgence. A l’ère de la mobilité et du Cloud, il est aussi essentiel que ce chiffrement puisse suivre les données partout dans leur déplacement. Ce sont précisément ces défis que Sophos relève avec SafeGuard Encryption 8, aboutissement de plus de 30 ans d’expérience dans le domaine du chiffrement. Qui plus est, la sécurité synchronisée avec Sophos Endpoint apporte une protection supplémentaire innovante des données contre les attaques par des malwares, qui inaugure une nouvelle génération de solutions" analyse Michel Lanaspèze, en charge du marketing Europe de l Ouest chez l'éditeur. 

Dans le cadre de la stratégie de sécurité synchronisée de Sophos, SafeGuard Encryption 8 peut automatiquement répondre aux incidents de sécurité grâce à sa connexion en temps réel avec la protection Endpoint de Sophos. Lors de la détection d’une infection active sur un système, Sophos SafeGuard Encryption peut temporairement révoquer les clés de chiffrement sur ce système pour protéger les données. Les utilisateurs pourront automatiquement récupérer leurs clés une fois l’incident résolu. Sophos SafeGuard Encryption synchronise également ses clés avec Sophos Mobile Control afin de fournir un accès fluide et transparent aux utilisateurs habilités, à partir de leurs smartphones et tablettes, chaque document chiffré étant accessible d’une manière sécurisée à travers l’application Secure Work Space.

« Il y a quatre raisons principales de s’intéresser au chiffrement pour les entreprises. La première et la plus importante est la protection des données sensibles contre les attaques ciblant le vol de données. La seconde est la diffusion accidentelle de données, suite par exemple à l’oubli d’un mobile ou d’une clé USB dans un taxi ou l’envoi d’un courriel incluant des documents sensibles à la mauvaise personne, ce qui arrive malheureusement bien trop souvent. La troisième est la conformité aux lois telles que le nouveau règlement européen RGDP, afin de réduire les risques d’amendes de plus en plus substantielles. Enfin, la transition croissante vers des services Cloud présente des risques pour la sécurité des données, que le chiffrement peut aider à maîtriser. » déclare Duncan Brown, Directeur de Recherche en Pratique Européenne de Sécurité chez IDC. « Pour que le chiffrement soit efficace dans ces quatre cas de figure, il doit être simple à gérer pour le responsable IT, transparent pour les utilisateurs et fonctionner avec des plates-formes et des types de fichiers multiples. Sophos remplit toutes ces conditions avec SafeGuard Encryption, permettant aux entreprises de rapidement adopter le chiffrement comme mesure de sécurité indispensable. »

La solution de chiffrement Sophos SafeGuard Encryption est développée au sein de l’Union européenne, dans les centres de recherche et développement de Sophos en Autriche et en Allemagne, et fait l’objet de certification selon les Critères Communs auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) en Allemagne.

Les Partenaires Sophos assurent la diffusion et le support de Sophos SafeGuard Encryption

Ludovic Baron, Directeur Général de la société Expert Line, déclare : « Nous avons déjà une longue expérience réussie avec la solution Sophos SafeGuard Encryption et sommes persuadés que le chiffrement est une composante fondamentale de la sécurité des données et de la protection contre les menaces en général. Sophos SafeGuard Encryption étend la stratégie de sécurité synchronisée de Sophos, qui partage l’intelligence sur les incidents de sécurité en temps réel entre les produits de sécurité pour apporter une réponse automatisée. C’est avec beaucoup d’enthousiasme que nous apportons les bénéfices de la sécurité synchronisée à nos clients. »

Steve Nevere, Président et CEO de la société Nevtec établie en Californie, ajoute : « Il y a des besoins considérables concernant la protection des données chez nos clients, en particulier pour le respect de règlements tels que HIPAA et PCI. En tant que partenaire de confiance pour les organisations concernées par les règlements sur la protection des données, nous avons mis en place des processus sophistiqués pour pouvoir déployer le chiffrement chez nos clients. Sophos SafeGuard Encryption 8 nous permet d’accroître la qualité de ces services car il protège et gère simplement le chiffrement de données sensibles sur de multiples systèmes et périphériques. Nous avons testé SafeGuard Encryption 8 dans nos propres laboratoires et avons été impressionnés par la technologie. Nous sommes encore plus motivés par notre partenariat avec Sophos et enthousiastes à la perspective d’apporter la technologie de chiffrement « always-on » sur le marché. »

 

BONUS: 

Pour plus d’informations sur Sophos SafeGuard Encryption 8, consultez le livre blanc sur laNouvelle Génération de Chiffrement Sophos ou regardez le Webinaire sur le Chiffrement  Sophos réalisé avec la participation de Duncan Brown, Directeur de Recherche en Pratique Européenne de Sécurité chez IDC, et Dan Schiappa, Senior Vice President et General Manager du Groupe Enduser Security de Sophos. 

Pour plus d’information sur le nouveau règlement européen sur la protection des données personnelles (RGDP), consultez notre page d’information sur le RGDP ou regardez le Webinaire Sophos sur le RGDP.

[1] Le sondage réalisé par Sophos a interrogé les responsables informatiques d’entreprises de tailles moyennes des Etats-Unis, du Canada, de l’Inde, de l’Australie et du Japon sur leurs habitudes et leurs préoccupations.

 

 

Cybersécurité: Faut-il attaquer l'attaquant ? (LIO lutte informatique offensive)

 

Cybersécurité et Sécurité offensive (LIO): vers l'affrontement numérique ? 

 

55265bad35704bb01ba8dea0

                    Quelle cyber-cible "stratégique" après TV5 en avril dernier ? 

 

Ce qu'en pensent les experts:

 

Cédric Pernet, chercheur Cyber Safety Solutions, Trend Micro :

« Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT. »

 

 

Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

  - « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit ne pourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »

(Lire en fin d'article un extrait de l'entretien de Thomas Girard)

 

 

 

Cédric Pernet est un ancien officier de Police Judiciaire à l'OCLCTIC. Il a été membre du Cert LEXI et consultant CERT SG avant d'intégrer Cassidian / EADS Airbus Group et rejoindre en février 2015 Trend Micro comme chercheur. Il est l'auteur d'un excellent livre chez Eyrolles : « APT : Sécurité et espionnage informatique ». APT, 0Day, offensif...  trois mots pour une même problématique: la cyber-riposte. En cyber-défense, c'est acquis (LIO lutte informatique offensive) via la dernière version du Livre Blanc mais en cybersécurité par exemple jusqu où "pousser" les missions de Forensic ? 

Faut-il attaquer l'attaquant ? La question se pose aujourd'hui même si certains la réfute... du moins officiellement (cf la section BONUS en fin d'interview)  Elle sera au coeur des prochaines Assises de la Sécurité en octobre prochain comme elle est déjà "franchement" abordée dans de nombreuses conférences IT depuis des années. Alors parlons-en avec Cédric Pernet.... et quelques autres personnalités scientifiques moins "frileuses" que d'autres obligées de respecter les règles "confidential corporate" sur ce sujet. 

 

  

1 - Cyberisques NEWS: Cédric, pour connaître ton attaquant attaque-le. Nouvelle cyber-doctrine ou démagogie ? Cyber-riposter c'est accepter de se mettre au niveau des cyber-délinquants en ignorant morale et législation. Est ce envisageable en cyber-sécurité ?

Cédric Pernet: Je ne pense pas qu'il faille attaquer l'attaquant, cela reviendrait à se mettre à son niveau, celui d’un cybercriminel. D’autant plus qu’il peut y avoir une investigation judiciaire en cours n’importe où dans le monde sur tel ou tel groupe d’attaquants, et il n’est pas forcément facile d’être au courant de cette investigation. En revanche, il est possible de collaborer avec d'autres chercheurs et des structures de type CSIRT/CERT, services judiciaires et autres partenaires du secteur privé. Il est ainsi possible d’obtenir des données sans passer par l'offensif et souvent de mettre à mal des structures d’attaquants*.

Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT.

 

2 - Si une cyber-riposte est décidée, quelles sont les limites à ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés.

Je me pose la question de la plus-value d’une telle opération. Si les secrets de l’entreprise ont déjà fuité, c’est trop tard de toute façon pour les récupérer. Quel serait le but de cette cyber riposte ? Mieux connaître l’attaquant ? Cela ne semble pas être la priorité d’un décideur qui se fait compromettre et dérober ses secrets. Sa priorité consiste a écarter l’attaquant et ne plus lui donner la possibilité de revenir. Remonter à la source d’une attaque n’est pas dans ses priorités immédiates. La question de cyber ripostes organisées par certaines entités étatiques se pose, mais je ne pense pas être à même d’y répondre.

 

3 En pratique, quels outils voire cyber-armes utilisés pour cyber-riposter ? Comment avec quelles vulnérabilités a exploiter ?

La riposte peut prendre divers aspects. Tout est possible. Tout dépend de la cible. En APT la phase de reconnaissance permet de comprendre le niveau de maturité informatique de la cible et ainsi savoir quelle technicité déployer pour attaquer. Les mêmes outils sont toujours utilisés : des RAT, Backdoors et des outils pour rebondir dans le système compromis. Il faut laisser de côté les idées reçues qui disent qu'il faut des exploits « 0day » pour s'introduire sur un réseau. En pratique, c'est assez facile de pénétrer la plupart des entreprises. Les décideurs sont parfois influencés par des discours marketing de fournisseurs qui font croire que certains produits sont « magiques » et vont tout faire tous seuls, mais derrière ces équipements de sécurité il faut des analystes et des gens compétents pour analyser les détections en fonction de leur importance. Hiérarchiser les informations reçues est capital. Un SOC qui se contente de lever des alertes sans les faire qualifier finement par un analyste en Threat Intelligence ne sert à rien.

 

4 Combien de vulnérabilités 0day sont achetées en moyenne chaque mois dans le monde ? Par qui**?

C’est difficile à estimer, pour ce qui est de la quantité. Les acheteurs sont généralement des Etats ou des entreprises privées C’est un marché forcément très discret**.

 

5 Industriels / éditeurs : les rôles sont ils bien répartis sur le marché des Zéro day ***?

Certaines entreprises vendent effectivement des outils de type RAT/backdoor, ou des exploits 0day. Pour ce qui est des attaquants APT, ils utilisent des malwares développés en interne ou des malwares tiers modifiés pour ne pas être détectés facilement par les AV.

L’achat de malware/RAT à des tiers est risqué, ils peuvent contenir des backdoors, qui ne sont généralement détectables qu’en procédant par rétro-ingénierie, ce qui prend du temps.

Chez les éditeurs les binaires tournent dans des sandbox d’analyse et cela suffit dans la grande majorité des cas. Quelques-uns nécessitent une analyse manuelle, ce sont en général des malwares plus sophistiqués.

 

6 – Peut-on estimer le « Business de la LIO (lutte informatique offensive) » en 2015 ?

Il existe un marché du zero day dont les prix varient par exploit de quelques centaines d’Euros à plusieurs centaines de milliers d'Euros. Le prix est fixé à partir de plusieurs paramètres, dont notamment l’exploitabilité de la vulnérabilité et sa fréquence en entreprise. Un exploit fonctionnant pour un logiciel présent dans toutes les entreprises vaudra forcément plus cher qu’un exploit ciblant un logiciel moins répandu.

 

7 La confiance dans les équipements demeure une question stratégique : faut-il faire des audits « hard » comme on pratique les audits de codes ?

Effectivement, on en arrive à avoir la nécessité de faire des audits de ces matériels par des tiers de confiance. Si j’étais RSSI chez un OIV je voudrai avoir la certitude que le matériel et son code sont « propres ».

 

8 Cybersabotage ? Quelle réponse en cas de cyber-chantage et d'attaques ciblées ?

Dans l’idéal, il faut déjà avoir des plans de réponse au cyber chantage et ne pas attendre passivement que cette situation catastrophique se présente un jour. Il faut avoir des backups de ses données stockés en dehors de tout système connecté, etc.

En cas d’attaque ciblée, il faut faire intervenir une équipe de réponse à incident qualifiée, rapidement. Cette ressource ne se trouve généralement pas en interne et nécessite souvent une intervention externe. Cela a du sens, parce que des profils internes même orientés sécurité n’auront pas l’expérience d’autres profils habitués à travailler sur des APT. L’expérience est déterminante lors d’une réponse à incident sur APT.

Le nerf de la guerre dans la lutte contre les APT c'est la sensibilisation qui implique le collaborateur. On peut par exemple mettre en place des sensibilisations pour les nouveaux employés qui impliquent de leur faire remplir des questionnaires ludiques de sécurité, ou encore lancer de véritables campagnes de phishing et aller voir individuellement les personnes y ayant répondu.

Propos recueillis par Jean Philippe Bichard pour cyberisques NEWS

 

Pour accéder à l'intégralité de notre contenu: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

 

 

BONUS : (extrait)

Sur le site d'un acteur connu en prestations de services de cybersécurité on peut lire : 

Les APT ne sont plus réservées aux intérêts nationaux. Les cybercriminels se sont professionnalisés et rivalisent aujourd’hui en sophistication avec les attaques étatiques les plus abouties. Toute entreprise doit donc aujourd'hui préparer sa défense et concevoir sa riposte..."

Officiellement, cet acteur ne désire pas s'exprimer c'est du moins ce qu'affirme son service de communication externe (Agence PR). Officieusement donc, nous l'avons rencontré pour échanger entres autres sur l'évolution du cadre légal lié à la LIO (Lutte informatique offensive). Article à venir :)    doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. Toute entreprise doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. 

 

 

* collaboration Trend Micro/Interpol/Kaspersky/Microsoft/Cyber Defence Institute : http://blog.trendmicro.com/trendlabs-security-intelligence/simda-a-botnet-takedown/

 

** http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/ et https://hackerone.com

 

*** http://cyberisques.com/fr/mots-cles-1/446-trendlabs-les-tetes-chercheuses-de-trend-micro-pretes-pour-passer-a-l-offensif

 

 

 

 


Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

 

- « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit nepourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »


 

1-  Faut il attaquer l'attaquant ? Pour connaître ton attaquant attaque-le. Nouvelle doctrine ou démagogie ? Autrement dit cyber-riposter c'est aussi se mettre au niveau des cyber-délinquants en ignorant morale et législation ? 

 

 

 

Il faut attendre la doctrine cyber qui sortira en intégrant peut-être l'aspect Cyber à une nouvelle arme, voire une nouvelle armée. La philosophie des règles d'engagements devrait y être précisée. Cyber protection, cyberdéfense, cyberésilience : ces trois thèmes cyber ont des approches différentes mais sont complémentaires. Au Ministère, on se rend compte que sur un théâtre par exemple ce sont les mêmes personnes qui font de la cyberdéfense (partie LID) et de la cybersécurité (partie SSI).

 

Quant à la partie offensive, avec des cyber arsenaux... personne ne l'évoque clairement aujourd'hui. A l'instar du nucléaire, on ne va pas faire défiler ces armes au défilé du 14 juillet. Malgré tout, on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO.

 

Dans le privé, nous sommes à la limite du tolérable concernant la sécurité des patrimoines immatériels de grandes entreprises françaises même si certains grands comptes sont en mesure de se protéger relativement correctement. Le renforcement de la législation devrait permettre un certain renforcement à marche forcée des entreprises.

 

Concernant le chiffre (cryptographie), il a toujours eu une place particulière : est-on sûr que les algorithmes et leur l'implémentation sont invulnérables aux puissances étrangères ? En tout cas il faut l'espérer, même si c'est une question que l'on peut se poser.

 

 

 

2 - Si une cyber-riposte est décidée, quelles sont les limites a ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés

 

L'analogie avec les opérations spéciales semble se dessiner aujourd'hui. De mon point de vue, il faut considérer l'outil informatique offensif comme un effecteur comme les autres.
Concernant l'Etat, les limites à ne pas franchir seront définies par une doctrine militaire. On est dans le pur commandement militaire. Quel est l'effet recherché ? La destruction, le pourrissement, la mise hors service, le renseignement, etc. ? Veut-on laisser des traces oupas ? Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée. 


2bis - Quelles règlesd'engagement dans le domaine cyber ? Quel positionnement de l'arme cyber dans les armées ?

...

(Suite de l'article accessible pour les abonnés à Cyberisques NEWS)

 

 

 

A consulter: (extrait) 

http://legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000030405967&dateTexte=&oldAction=dernierJO&categorieLien=id&utm_content=bufferd7b72&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

- "ShortMag" Magazine des ingénieurs de l'armement, HS Janvier 2014 l'article de Jean-François Pacault "A l'attaque!"

http://www.netragard.com/exploit-acquisition-program-shut-down

http://www.pwc.co.uk/assets/pdf/2015-ISBS-Technical-Report-blue-digital.pdf

 - ...

  

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

cyber expert: quelles mesures de protection appliquées aux mobiles ?

Cyber-expert : Michael Raggo, directeur du MobileIron Security Labs

 

La sécurité mobile, le talon d'Achille des entreprises
Gérer de la meilleure façon les terminaux mobiles des collaborateurs en entreprise

 

Tandis que l'on utilise chaque jour davantage l'Internet sur mobile, les risques aussi augmentent et les menaces s'y multiplient. Et comme l'entreprise a massivement adopté le mobile comme plateforme professionnelle, les logiciels malveillants et attaques réseau sont de plus en plus nombreux à tirer parti de ses failles. Il faut alors admettre que l'ampleur des attaques ne peut que croître sur nos terminaux encore mal protégés.

 

CISCO-EVOLUTION-MOBILES
 

Source Cisco 2016

 

Au cours de notre enquête trimestrielle sur la sécurité mobile entre octobre et décembre 2015, il s'est avéré que la majorité des entreprises comptait au moins un terminal non conforme sur cette période. Ce chiffre s'explique directement par la désactivation de la protection par code PIN, la perte d'un terminal, l'absence de règles à jour, etc. Des terminaux défaillants sont des cibles plus vulnérables pour les logiciels malveillants, les codes exploitant les failles et le vol de données. Face à ces risques croissants, on insistera sur l'importance d'utiliser les règles de sécurité et de conformité disponibles pour mettre en quarantaine ces terminaux.
 

Les entreprises confient encore trop souvent leur sécurité mobile à des systèmes dépassées par la  nouvelle génération de menaces. D'ailleurs, les entreprises gèrent les risques de pertes de leurs données stockées dans le cloud selon ces mêmes méthodes obsolètes. Celles-ci essaient de limiter les risques en plaçant sur liste noire une ou plusieurs applications cloud de synchronisation et de partage de fichiers dans l'entreprise. Le recours aux listes noires revient à étouffer les problèmes. Au vu de la multitude d'applications et de services de synchronisation et de partage disponibles, une règle de liste noire n'est en pas suffisamment efficace et exhaustive pour tous les repérer. Les utilisateurs n'auront alors plus qu'à trouver une autre application pour stocker leurs données professionnelles dans le cloud. En outre, les logiciels mobiles malveillants et les risques liés aux applications n'ont cessé d'augmenter en 2015. Ainsi, de nouvelles versions de logiciels malveillants, tels que YiSpecter et XcodeGhost qui ciblent iOS d'Apple, n'ont plus besoin que le terminal soit jailbreaké. Pourtant, l'adoption de solutions contre les logiciels malveillants sur les mobiles reste très limitée en dépit de la protection accrue qu'elles confèrent contre les risques liés au mobile.

En matière de sécurité mobile, beaucoup d'entreprises sont encore en phase d'affinage de leur stratégie. Les statistiques s'appuyant sur la prévalence des failles identifiables en matière de terminaux mobiles, d'applications, de réseaux et de comportement des utilisateurs sont essentielles pour élaborer des approches plus astucieuses et des outils plus performants afin de réduire l'incidence de ces failles. Les entreprises dans lesquelles une solution EMM est déjà déployée disposent généralement de la plupart des outils dont elles ont besoin. Il leur suffit alors de les mettre en pratique.
 

Quelques conseils peuvent cependant se révéler utiles aux entreprises qui n'auraient pas encore de politique sécuritaire pour leurs terminaux mobiles : 
 
Appliquez les règles de conformité et mettez en quarantaine les terminaux qui ne sont plus conformes. Un terminal qui ne répond pas aux normes étant une cible de choix pour une attaque malveillante à l'encontre de l'entreprise, il est fortement recommandé d'utiliser sytématiquement les règles strictes de conformité proposées avec les solutions EMM afin de mettre en quarantaine les terminaux à risque. Une solution EMM peut détecter si un utilisateur a désactivé son code PIN, a un terminal piraté, applique une règle obsolète et bien plus encore. Les fonctions de mise en quarantaine peuvent servir à bloquer l'accès au réseau et/ou à supprimer de façon sélective les données d'entreprise stockées sur le terminal. Elles contribuent à limiter la perte de données et à respecter les exigences réglementaires en matière de conformité, ce qui évite à l'entreprise de faire les gros titres à la rubrique « Victimes de cybercriminalité ».
 
Cessez de mettre sur liste noire les applications de stockage dans le cloud personnel et privilégiez plutôt les fonctionnalités de gestion ou de conteneurisation des applications fournies avec les solutions EMM pour permettre à vos employés de stocker leurs données dans un cloud d'entreprise sécurisé. L'approche EMM, qui consiste à éviter la dissémination des données d'entreprise plutôt que de bloquer un nombre toujours plus important d'applications cloud, offre l'avantage non négligeable de séparer les données d'entreprise des données personnelles. 
 
Ajoutez un service de réputation des applications ou de prévention des menaces sur les terminaux mobiles qui s'intègre à votre solution EMM. Ces services détectent les applications dangereuses, les logiciels malveillants, les risques liés aux applications, les attaques réseau et bien plus encore. Ils s'appuient sur la solution EMM pour prendre des mesures et mettre en quarantaine un terminal si une menace est détectée.
 
Appliquez les correctifs sur vos terminaux gérés. Il vous suffit de passer par le biais de la console EMM pour mettre en œuvre une version minimale du système d'exploitation. Si cette opération est simple sous iOS, elle peut s'avérer plus complexe avec Android en raison de la fragmentation expliquée plus haut. En revanche, les services de réputation des applications ou de prévention des menaces précédemment mentionnés peuvent identifier les risques liés aux terminaux Android en mettant des failles connues en corrélation avec le système d'exploitation. Ils peuvent ensuite informer la solution EMM qu'un terminal vulnérable a été détecté afin de le mettre en quarantaine.
 

BONUS :

MobileIron fournit aux entreprises du monde entier les bases sécurisées qui leur permettent de se transformer en organisations Mobile First.

www.mobileiron.com

Julian Assange: "Téléphones et disques durs du monde entier sont sur surveillance, à quoi s'ajoute la coopération d'entreprises comme Google. "

 Julian Assange : "Aucun citoyen européen n'est à l'abri"

ASSANGE-2-MARS-2015-CYBERISQUES-NEWS

 

7h45, lundi 2 mars 2015 : Thomas Sotto (Europe1) recevait Julian Assange, fondateur de Wikileaks -

VIDEO: http://www.europe1.fr/mediacenter/emissions/l-interview-verite-thomas-sotto/videos/assange-la-russie-ne-m-a-pas-accuse-d-espionnage-les-etats-unis-si-2387191 (1)

 

On entend parler de vous depuis des années mais qui est Julien Assange ? Justicier, illuminé, résistant, mégalo ?

"Je ne sais pas ! Si vous lisez la presse, tous ces qualificatifs et bien d'autres ont été utilisés ! Tortionnaire de chats, agent du Mossad et j'en passe..."

 

Comment vous vous définissez ?

"Vous savez que j'ai étudié la physique pendant très longtemps alors, qu'est-ce que je fais ? Je m'efforce de faire en sorte que les êtres humains aient accès à des informations auxquelles ils n'ont pas accès autrement. Habituellement, ce sont des informations qui sont censurées mais elles sont précieuses pour nous permettre de mieux comprendre notre environnement et faire advenir la Justice ! Ce n'est pas systématiquement le cas mais de même que pour comprendre le monde et être civilisé, il est indispensable de savoir lire et écrire, l'accès à ces informations est également essentiel."

 

Wikileaks aura 10 ans l'an prochain. Vous ne craignez pas d'alimenter une grande théorie du complot mondial ?

"Je suis assez agacé par les théoriciens du complotpour une raison très simple !Au quotidien, nous publions des documents sur les agissements effectifs des gouvernements concernés ! Il n'y a rien qui concerne des extra-terrestres ou des aliens, rien de tel, mais bien des manoeuvres géopolitiques secrètes qui vont à l'encontre de l'intérêt du public ! Il me semble que c'est là-dessus que les gens devraient se concentrer !"

 

Le chef de ces manipulateurs s'appelle Barack Obama ?

"J'aimerais le croire ! Ce serait très confortable de croire que le monde est aussi simple que cela et que les responsables que nous élisons, ou non, sont effectivement ceux qui gèrent le monde ! Malheureusement, les choses ne fonctionent pas comme cela ! Nous voyons l'émergence progressive d'un véritable régime de surveillance de masse parfaitement Orwellien, qui est le fait principalement des gouvernements américains et britanniques, mais auxquels s'associent 38 autres pays ! Téléphones et disques durs du monde entier sont sur surveillance, à quoi s'ajoute la coopération d'entreprises comme Google. Je crois que tout cela rend le monde très vulnérable et fait planer une véritable menace sur le monde contemporain."

 

Et la France ?

"Pendant longtemps, la France a également disposé d'un régime de surveillance assez agressif, que ce soit à l'intérieur ou à l'extérieur du territoire mais ce régime est resté insignifiant comparé aux systèmes mis en place par le Royaume-Uni ou les USA. En théorie, la France doit encore avoir la capacité d'assurer son indépendance par rapport au reste du monde occidental. En pratique, le niveau d'investissementaméricain en France, et inversement les investissementsfrançais aux USA, les accords d'échange de renseignements, ont largement affaibli cette position et cette capacité théorique d'indépendance. Il est bien possible qu'il soit trop tard aujourd'hui pour que la France retrouve cete indépendance. On sait que nous avons en France des collaborateurs auxquels nous tenons beaucoup, la France est un pays important pour Wikileaks en tant qu'organisation, mais la France a également un rôle important à jouer pour l'indépendance européenne."

 

Edward Snowden : les USA veulent le juger, il a trouvé refuge en Russie. On se demande si vous n'êtes pas instrumentalisé, marionnette de Poutine ?

(Rires.) "La réponse est facile : c'est non ! Je sais de quoi je parle : les USA ont essayé d'arrêter Edward Snowden à Hong-Kong afin d'organiser son extradiction, cela aurait constitué un symbole extraordinairement négatif pour la liberté d'expression et aurait envoyé un très mauvais signal à tous les lanceurs d'alerte. Voilà pourquoi nous avons envoyé une de nos journalistes et conseiller juridique à Hong-Kong, nous avons facilité sa sortie et bien sûr Snowden a fini en Russie. Cela pour une raison très simple : tandis qu'il était en route vers l'Amérique Latine, les USA ont annulé son passeport ! Il ne pouvait plus quitter le territoire russe ! Son billet d'avion devait l'amener à Cuba. Le gouvernement américain a annulé son passeport. Pourquoi ont-ils fait quelque chose d'aussi imbécile ? Parce que les services américains sont incompétents ! Tous ces services étaient en train de chasser Edward Snowden, et nous l'équipe de Wikileaks les avons pourtant battus ! Ca représente une lueur d'espoir pour les éditeurs indépendants et pour l'Europe."

 

De fait, ne devenez-vous pas une sorte d'allié de Poutine face aux USA ?

"La Russie ne m'a pas accusé d'espionnage, les USA si ! Je ne suis pas seul dans ce cas-là, les USA en veulent à un grand nombre de personnes, ils ont effectué des descentes policières aux domiciles de 80 personnes et plus, les USA ont placé un grand nombre de mes amis derrière les barreaux, ils ont mis en place un système de surveillance de l'ensemble des internautes et je pèse mes mots ! Aucun citoyen européen, où qu'il se trouve, n'est à l'abri de ce programme de surveillance !"

 

Nous sommes à l'ambassade d'Equateur à Londres. Si vous en sortez, vous serez arrêté et extradé vers la Suède où deux femmes ont porté plainte pour agression sexuelle et viol. Vous êtes innocent ?

"Oui !"

 

Pourquoi ne pas aller le prouver en vous présentant à la justice suédoise ?

"Je me suis rendu en Suède, j'y ai passé du temps. Les accusations ont été abandonnées en Suède et ressuscitées juste après la publication de nos documents ! Voilà pourquoi nous sommes aussi méfiants vis à vis de la Suède. Si les enquêteurs suédois souhaitent me poser des questions, ils peuvent parfaitement m'appeler, venir ici au Royaume-Uni, un grand nombre de procédures peuvent être  utilisées en l'espèce."

 

Depuis plus de deux ans, vous êtes dans cette ambassade sombre, sans cour, sans jardin. En août, vous avez dit que vous alliez partir sous peu. Vous allez rester jusqu'à quand ?

"C'est une question très amusante ! Je n'ai jamais déclaré que je quitterais bientôt l'ambassade ! Ce sont des propos attribuables à la presse de Murdoch qui a d'ailleurs déclaré que j'étais prêt à sortir de cette ambassade pour me faire arrêter immédiatement : c'est une pure invention ! En ce qui concerne ma situation présente, je dirais que la surveillance dont je fais l'objet est illégale, le fait que tous mes visiteurs soient passés au crible présente des difficultés pour mon travail, mais je crois que c'est vraiment la menace qui plane sur ma famille, mes enfants, qui me pèse le plus. Eux n'ont rien demandé."

 

Votre avenir, vous le voyez comment ?

"Je crois que mes circonstances présentes resteront inchangées pendant assez longtemps."

 

Vous resterez là des années s'il le faut ?

"Si on compare ma situation actuelle à celle qui serait la mienne aux USA, je crois que mes circonstances présentes sont bien meilleures ! La vie est difficile bien entendu, par certains côtés : contrairement à des détenus de droit commun je n'ai aucune opportunité d'exercice physique, ça c'est un aspect assez difficile. Je sais que si je devais effectivement finir aux USA, je me batterais  très certainement, et il en coûterait, croyez-moi, politiquement, au gouvernement américain, que de me faire tomber."

 

Quelle prochaine bombe sortira Wikileaks ?

"Si je réponds à cette question, ce sera votre bombe et plus la mienne !"

(1) cf  Texte fourni par Europe

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information