#GDPR #DPO Cyberchantage: 95% des entreprises déclarent que leurs employés pourraient être vulnérables selon BT / KPMG

Communication Corporate:  BT                                                                         Avril 2017

 

95% des entreprises déclarent que leurs employés pourraient être vulnérables face à des tentatives de chantage de cybercriminels

 

 

Dans un monde où la technologie fait partie du quotidien de chacun, les entreprises déploient des stratégies numériques de plus en plus sophistiquées et ambitieuses. Les cybercriminels n’ont jamais été aussi dangereux, et ils représentent aujourd’hui une réelle menace. En effet, leurs attaques ont pour but d’exploiter chaque faille des systèmes informatiques pour ensuite les monétiser : la criminalité numérique a désormais un aspect économique et les employés sont parmi les premiers visés.

 

 

 

Capture-2

 

 

 

Alors que 96% des entreprises reconnaissent que les entrepreneurs de la cybercriminalité seraient susceptibles de soudoyer leurs employées, 44% d’entre elles seulement déclarent avoir mis en place des mesures de prévention.

 

 

89% des attaques sont motivées par un gain financier ou une tentative d’espionnage. Au-delà des simples pirates, de véritables organisations cybercriminelles voient le jour et l’aspect économique de la cybercriminalité connait un véritable essor. Par le biais de logiciels malveillants ou de site web de phishing, les pirates dérobent des informations importantes, comme celles de carte de crédit, pour ensuite les revendre au marché noir ou en demander une rançon au prix fort.

 

Repenser la réactivité en matière de cybersécurité devient indispensable pour assurer le bon fonctionnement des entreprises et une réaction adéquate face à des attaques qui s’annoncent plus nombreuses et plus agressives. Parmi les mesures à prendre pour lutter contre les cybercriminels, l’étude « Taking the offensive » réalisée par BT et KPMG propose de :

 

 

-             Se mettre à la place du cybercriminel* : il faut que chaque employé prenne conscience du risque que représente la cybercriminalité pour son activité car ce n’est pas un problème technique qui concerne uniquement l’équipe en charge de la sécurité.

 

-          Anticiper des attaques plus perfectionnées : il faut veiller à renforcer la collaboration entre les équipes responsables de la sécurité et du contrôle des fraudes pour détecter et intercepter les schémas de cyber-fraude. Une surveillance des forums inter-fonctionnels et des mécanismes de gouvernance existant au sein d’une organisation permet de simplifier et d’optimiser la phase de détection.

 

-          Il n’existe pas de protection absolue contre les cyber-attaques : il est impossible d’éviter toutes les tentatives d’intrusions, toutefois il est possible de réagir rapidement avec la bonne préparation. La planification de scénarios et leurs exercices permettent de former l’équipe en simplifiant les processus de réaction.

 

 

BONUS: 

 

*Shadow markets and black economies:


"It is hard to underestimate the power of cyber criminal entrepreneurs. They head major transnational organisations and, in the eyes of the authorities, they are key targets for law enforcement. Witness Evgeniy Mikhailovich Bogachev, believed to be behind a vast operation to steal and exploit bank details using sophisticated malware. He is now riding high on the FBI Most Wanted list commanding a $3 million reward. Traditional businesses face asymmetric warfare, in which agile attackers operate outside the rules and deploy continually evolving tools and strategies to attack their targets on battlefields of their own choosing. These are organised and purposeful."

Extrait de l'étude:  « Taking the Offensive »

 

Pour télécharger le rapport de l’étude « Taking the Offensive » réalisé par BT et KPMG, cliquer ici.

 

 

 

@cyberisques     @jpbichard      @DPO_NEWS

 

 

 

Sophos: 4 conseils "cybersécure" pour le Black Friday

Corporate Communication: 

 

Sophos partage 4 conseils de cybersécurité pour le Black Friday

 

A dela des récentes annonces : http://cyberisques.com/fr/mots-cles-1/579-sophos-30-de-grands-comptes-entierement-proteges-par-sophos l'éditeur anglais communique sur ses "conseils" à l'accasion du Black Friday.   

24 novembre 2016 : Sophos (LSE: SOPH) partage aujourd’hui ses conseils de sécurité autour du Black Friday. Il s’agit du weekend à l’origine du Black Friday, ce jour de shopping hors norme et très fréquenté, qui est considéré comme le jour où les détaillants et autres commerçants voient leurs activités devenir rentables, et leurs comptes bancaires passer du « rouge » au « noir »/ Et si toute cette effervescence ne suffisait pas, l’univers du web nous offre en plus leCyber Monday, durant lequel vous pouvez vous rattraper en ligne, en dénichant les bonnes affaires que vous avez peut-être ratées dans les magasins, à l’occasion du weekend du Black Friday.

En d’autres termes, il s’agit du moment idéal pour vous offrir quelques conseils, qui n’amélioreront non seulement votre cybersécurité pendant ce fameux week-end.

 

 

 

Evolutions-Menaces-Sophos-2016

 

 

 

 

4 conseils pour améliorer votre cybersécurité pendant ce Black Friday :

 

 

Conseil #1 : Garder le contrôle de votre carte de crédit

Si vous avez une carte avec une puce électronique et un code PIN (ou bien avec une puce et la signature aux Etats-Unis), utilisez le paiement par puce plutôt que par piste magnétique. Pour la plupart des points de vente, cela signifie insérer sa carte dans la fente dédiée, en bas de l’appareil en question, plutôt que de faire glisser la piste magnétique de la carte sur le côté de l’appareil, comme à l’époque.

Une puce et un code PIN ne sont pas infailliblescertes, mais au moins les données sur la puce de votre carte sont pratiquement impossible à copier, alors que la piste magnétique est lue dans son intégralité à chaque fois, et est facile à pirater. Le piratage en question consiste en une copie non autorisée des données de votre carte, réalisée par des cybercriminels, en utilisant, par exemple, une petite tête de lecture magnétique additionnelle cachée au sein de la fente. Ensuite ils utilisent les données récoltées pour fabriquer une copie opérationnelle de votre carte.

Les transactions réalisées parle biais des puces renforcent davantage votre cybersécurité, notamment contre le type de piratage visant les cartes de crédit, et dont ont été victime des dizaines de millions de clients dumagasin Target aux Etats-Unisau moment de Thanksgiving en 2013. Le piratage subit par Target impliquait un malware présent au niveau de chaque caisse enregistreuse. Il scrutait les données provenant des pistes magnétiques présentes dans la mémoire de l’ordinateur. Par contre, au cours d’un paiement par puce électronique, vous ne pouvez pas détourner les données de la carte depuis la mémoire de la caisse enregistreuse. En effet, les données de chaque transaction se base sur un chiffrement unique réalisé au niveau de votre carte. Ce chiffrement rend chaque transaction similaire au processus2FA (two-factor authentification), dans lequel chaque code de connexion est unique et ne peut être réutilisé.

 

 

Conseil #2 : Vérifiez vos relevés rapidement

Si vous faites vos courses pendant les périodes de congés, vous serez certainement amenés à faire de nombreuses petites transactions, en plus des achats importants.

Même si vous êtes vraiment rigoureux en suivant toutes les dépenses effectuées, il se peut que le montant total varie par rapport à ce que vous pensiez.

Par exemple, il y a ce bar où vous vous êtes arrêtés pour décider si ce nouveau vélo à 1499€ n’était pas trop cher, ou encore cette soudaine décision de prendre un taxi pour aller à la gare, au lieu d’essayer d’y aller en prenant le bus avec justement votre nouveau vélo, et ainsi de suite. S’il s’agit d’environ 9€ de plus par rapport à ce que vous pensiez, on peut estimer que cela correspond à une erreur de calcul de votre part, et par conséquent c’est un dommage collatéral de votre black Friday.

 

Si cela n’est pas une erreur de calcul, mais plutôt le résultat d’une action frauduleuse, et qu’il s’agisse d’ailleurs de 9€ ou de 999€, cela fait de vous une victime d’un cybercrime. Si vous avez déjà été victime de fraudes à la carte de créditauparavant, vous savez certainement que les transactions délictueuses arrivent souvent en masse, et de différentes manières. Ainsi le plus tôt vous détecterez une anomalie, même si le montant est faible, le plus tôt vous pourrez tirer la sonnette d’alarme. Ainsi n’oubliez pas de parcourir vos relevés bancaires fréquemment et méticuleusement, afin de vous assurer que les débits sont bien ceux auxquels vous vous attendez. Si votre banque permet les notifications par SMS, concernant les transactions au niveau de votre compte, pensez sérieusement à activer cette option. De cette façon, si quelqu’un parvient à mettre la main ou à cloner votre carte, vous pourrez recevoir une alerte dès que ce dernier tentera de l’utiliser dans un DAB ou un magasin.

 

 

Conseil #3 : Minimiser vos émissions radio

Si vous êtes comme la plupart des gens, vous devez certainement laisser votre service de localisation activé tout le temps, au niveau de votre téléphone portable. Cela signifie que vous pouvez facilement vous localiser sur un plan si vous êtes perdus, vous réorientez, ou encore trouver une route alternative pour vous rendre à votre destination finale. Les téléphones portables modernes utilisent en général un cocktail de signaux pour permettre de vous localiser, et très fréquemment effectuent des « call-home » vers Apple, Google, Microsoft ou d’autres éditeurs d’applications. Les signaux utilisés pour vous suivre comprennent le GPS (qui permet de déterminer une position absolue mais se révèle peu efficace pour la localisation à l’intérieur des bâtiments modernes tels que les centres commerciaux), le Wi-Fi et le Bluetooth.

Le Wi-Fi et le Bluetooth ne peuvent pas calculer votre position exacte, cependant ils peuvent effectuer des procédures de « call-home », en association avec d’autres équipements Wi-Fi à proximité, y compris ceux présents en intérieur. Cette opération fourni une position relative, qui peut être comparée avec la base de données centrale, afin de vérifier s’il existe une position absolue connue pour l’un des équipements à proximité de vous, à cet instant donné. Par exemple, siGoogle StreetViewa enregistré la position exacte de la bonne Wi-Fi du coffee shop ACME l’an dernier, il s’agit alors d’un bon point de départ pour vous localiser si vous êtes dans les environs.

De même, lesfaibles signaux Bluetoothémanant des entreprises telles qu’Apple et Google peuvent vous pister indirectement. Ces signaux transmettent des identifiants uniques que votre téléphone capte, par exemple lorsque vous vous promenez à proximité d’un magasin. Le responsable du magasin enregistre alors l’identité et la localisation de chaque signal au sein de la base de données du fournisseur. Ensuite votre téléphone effectue des « call-home » avec ces identifiants à chaque fois qu’il rencontre ces derniers. Les signaux du fournisseur agissent tels des « courtiers en géolocalisation » entre vous et le magasin, permettant au magasin de savoir assez précisément d’où vous venez et ce que vous étiez en train de faire au moment de votre passage.

En effet, dans un centre commercial surpeuplé, les magasins risquent de se battrepour savoir où vous étiez, où vous êtes à l’instant présent, et où vous envisagez d’aller ensuite.

Le problème avec le fait de laisser n’importe qui et tout le monde vous suivre où que vous alliez, est que plus la quantité de données inutiles collectées à votre sujet est importante, plus le risque de fuite de données est grand, à un moment donné. Notre recommandation durant cette période de Black Friday, est d’essayer de désactiver le service de localisation complètementafin de voir si votre expérience en tant qu’acheteur est vraiment différente ! Si ce n’est pas le cas, ou bien si au contraire votre expérience a changé positivement, avec moins de publicités ciblées que vous n’appréciez de toutes les façons pas, vous aurez alors appris une technique bien pratique pour améliorer votre cybersécurité et mieux protéger votre vie privée à l’avenir.

 

 

Conseil #4 : La cybersécurité c’est tous les jours !

Nous avons l’habitude de rappeler l’importance de la cybersécurité pendant la période des congés, les événements sportifs importants et pour d’autres occasions encore. Black Friday serait un très mauvais jour pourvous montrer imprudent concernant la cybersécurité, cependant nos recommandations ne perdront pas de leurs valeurs lorsque Thanksgiving sera terminé. Si vous décidez de profiter de Black Friday pour prendrela cybersécurité au sérieux… nous vous recommandons fortement de faire de cette décision un choix durable en l’intégrant dans votre quotidien, tout simplement !

 

 

 

 

BONUS: 

 

https://blogs.sophos.com/2016/09/07/sophos-is-a-magic-quadrant-leader-in-unified-threat-management-for-the-fifth-year-running/?cmp=701j0000001YAKMAA4



Le siège de Sophos est situé Oxford, au Royaume-Uni, et la société est cotée à la bourse de Londres (London Stock Exchange) sous le symbole “SOPH”. Des informations supplémentaires sont disponibles sur le site www.sophos.fr.

 

 

Panorama 2014 du CLUSIF : l'expertise des attaquants progresse

 

Panorama 2014 du CLUSIF* : l'expertise des attaquants progresse

 

Depuis des années, le panorama 2014 du CLUSIF constitue toujours un événement pour les fidèles de la « cyber sécurité ». L'époque ou ce panorama pouvait ressembler à une revue de presse annuelle est révolue. Désormais, le panorama du CLUSIF pointe directement et parfois avec une certaine ironie des faits marquants de l'année cyber-sécurité écoulée. Si les choix sont discutables par le jeu classique des « préférences » il reste que ceux qui sont faits par les excellents experts réunis autour de François Paget (Intel Security ex. Mc Afee), figure historique du CLUSIF sont toujours judicieux. Cette année Gérome Billois a ouvert le feu à la suite du Président du CLUSIF Lazaro Pejsachowicz qui a rendu hommage aux victimes une semaine après les attentats de « Charlie Hebdo » du 7 janvier 2015. Des attentats qui immédiatement ont enflammé la toile avec une cyber-bataille entre supporters de tel ou tel camp. On évoque plus de 20 000 sites concernés par ces cyber-graffitis. L'ANSSI a d'ailleurs rendu public deux notes pour rappeler les entreprises à une plus grande vigilance (cf cyberisques.com).

  

FUD ou le Marketing de la peur

Pour le panorama 2014, le sujet retenu par Gérome Billois, Senior Consultant chez Solucom est original : FUD pour « Fear, uncertainty and doubt ».Ous'arrête la communication, où commence la manipulation?  Il s'agit de la technique utilisée dans la vente, le marketing… Elle aurait été formalisée par Gene Amdhal et dénoncée comme une technique de vente « particulière » d’IBM en 1975. L'idée est de vérifier si un risque « annoncé » est avéré et dans quelles conditions certains acteurs n'ont pas trouver des bénéfices a « monter » un dossier dont les faits sont exagérés. Objectif: vendre. Et dans le cas de la cyber-sécurité, c'est vendre de la peur dont il s'agit. Ce type de dossier est parfois habilement glissé auprès des médias (exemple avec la pseudo-attaque  : BAE System ou TF1 en décembre dernier). Qui a intér^t à faire peur , Le CLUSIF ne répond pas mais il a le mérite de poser la question; Marketing de la peur, pub gratuite pour certains médias, égo surdimensionné de certains ou plus subtilement communication au second degré ? L'idée de FUD en cyber-sécurité n'est pas nouvelle. En 2015 elle reste très tendance si l'on considère l'initiative de l'UTT (Université des technologies de Troyes) avec une exposition voisine du FUD sur les images manipulées (cf Section BONUS).

  

 Cyberisques-CLUSIF-1

 

La violation de nos vies privées existent plus que jamais

Un autre intervenant a retenu un sujet tout aussi « tendance » et toujours dans la mouvance de la « cyber-peur » avec l'absence de niveau de sécurité acceptable sur les objets connectés. Le grand principe du fonctionnement des objets connectés (et pas forcément intelligents n 'insultons pas l'intelligence SVP) : relier entre eux les objets de tous les jours pour faciliter la vie des utilisateur voir prendre des décisions à leur place. Des opérateurs spécialisés en hébergement d'applications gérant les données « persos » des utilisateurs se développent. Ce sont les nouveaux "gestionnaire de nos données personnelles". que vont ils en faire ? Reste un autre apect du problème: la sécurité au sens confidentialité de ces données issues des « objets ». Cette approche suppose une confiance dans ces technologies et ces nouveaux acteurs. Mais problème, 70 % des objets connectés seraient vulnérables. L'impact n'est pas neutre: du piratage d'un babyphone en avril 2014 pour impressionner les parents (sans doute plus que le bébé) à l'espionnage de notre vie biologique (surveillance de nos respirations, rythme cardiaque, température…) les risques qui pèsent sur la violation de nos vies privées existent plus que jamais. Avec le lot de cyber-chantage que cela peut occasionner sans omettre le cyber-business que certains ne manqueront pas d'exploiter. Il y aura toujours des bons apôtres pour les vendre mais la véritable question reste la même avant d'acheter : que perd-t-on quand on croit gagner ? Une certitude: les objets connectés faute de standard, victimes de leur jeunesse ne sont pas "secure" en 2015.

  

Piratage d'objets connectés : une insécurité volontaire ?

Fabien Cozic, enquêteur de droit privé spécialisé en cybercriminalité a l'origine de cette présentation au CLUSIF a insisté sur le développement des « ThingBots », botnets dédiés aux piratages de ces objets via des techniques connues telles que le ransomware physique (exemple : blocage du démarrage de votre voiture « connectée » si vous ne payez pas). D'autres cyber-risques liés aux objets connectés  se multiplient: diffusion de spams, vol de séquences vidéo de votre vie privée et cyber-chantage (découverte de 73000 cameras IP accessibles en novembre 2014). Fabien Cozic insiste sur le fait que certains constructeurs pour ne pas décourager le grand public -cible marketing pour l'achat de ces objets connectés- ne cherchent pas à renforcer la sécurité de leurs produits. La plupart d'entre eux n'offrent qu'un faible mot de passe à 4 caractères. Du coup en 2015, l'enquêteur prévoit une forte augmentation de l’implication de la technologie dans les délits notamment via une facilitation de la recherche d’objets vulnérables et de l’exploitation des failles. Ce qui peut laisser croire que de plus grandes possibilités d’atteindre physiquement des entreprises, des habitations et des personnes s'effectueront. Ces « approches techniques » via les vulnérabilité des objets connectés vendus au grand public vont générer une nouvelle génération de cyber-délinquant cambrioleurs 2.0 avec une préparation 2 .0 d’actes délinquants et criminels, un repérage des lieux via les outils domotiques détournés, une plus grande connaissance des occupants via une surveillance en temps réel. Fabien Cozic conclut sa présentation sur un ton laconique : « Nous assisterons à une complication des enquêtes sachant qu'un déverrouillage à distance ne laisse pas de verre brisé ».

 

 Cyberisques-CLUSIF-2

 

Objets connectés : qui est légalement responsable de l'objet et des données ?

Le CLUSIF a insisté sur ces « nouveaux risques » en demandant au plan juridique les évolutions du cadre réglementaire à l'avocate Garance Mathias du barreau de Paris. Cette juriste expérimentée en IT a souligné plusieurs problématiques dont celles liées aux responsabilités. Les objets connectés interagissent entre eux d’où la définition et l’attribution de responsabilité des ces usages. Le droit des utilisateurs, leur consentement, l’accès aux données personnelles constituent des enjeux pas encore réellement examinés par le législateur. Au plan civil : qui est responsable de l'objet ? Qui assure les préjudices et dommages causés par les objets ?. La future réglementation européenne dont la publication est attendue pour décembre 2015 apportera peut être quelques éclaircissement tout comme un autre texte sur le secret des affaires qui pourrait selon la juriste également concerner les objets connectés.

  

Cyber-rebelle*, Techno rebelle* ...vers un droit à la déconnexion ?

Peut être que les esprits libres et soucieux de s'affranchir des multiples « cyber surveillance » devront faire valoir leur droit à la déconnexion. « Comme les données déjà présentes sur Internet, ces nouvelles techniques poseront la question de la sécurisation de ces outils intelligents [objets connectés] mais aussi de leur contrôle, car l’usurpation de profils Internet susceptibles de favoriser des prises de contrôle à distance a déjà débuté » (Rapport sur la cybercriminalité – Février 2014 Groupe de travail interministériel sur la lutte contre la cybercriminalité).

D'autres intervenants ont souligné les tendances 2014 en cyber securité sous l'aspect impact image, notoriété et financier... pour les entreprises. Gérome Billois l'a fait en revenant sur le cas Sony ( http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/382-veille-business-cyber-risks-les-risques-numeriques-prevus-pour-2015 ) et la mise en place de demande de cyber-rançon ciblée à distinguée des rançons « de masse ».

  

Sony : Gomme et crayon

 Pour Sony, les conséquences de la cyber-attaque de la décembre 2014 se traduisent par 8 semaines d'interruption et un retour de 10 ans en arrière dans les « technologies » de back-up : chèque papier pour les salaires des employé, communication crayon / gomme, retour aux listing en temps différé.... Coté dommages toujours, des contrats ont été divulgués et de nombreuses pertes financières directes et indirectes enregistrées estime l'expert de Solucom. A noter que 2014 a vue le « renforcement » de cas de de cyber rançon avec menaces en cas de non versement de révélations publiques d'informations sur les membres des COMEX et CODIR. Il existe aussi une évolution dans les méthodes et leurs menaces avec le passage d'un rançonnage virtuel à un rançonnage physique comme les menaces d'attaques sur des salles de cinéma en cas de diffusion du fil « the interview » produit par Sony. Dans tous les cas il fallait absolument pour la firme attaquée éviter la notion juridique de « faits de guerre » les assurances ne fonctionnant plus si ce principe est « légalement » reconnu.

  

Fraude au Président : 300 millions d'euros en 3 ans

Autre tentative de cyberançonnage, la fraude au président. Selon le consultant de Solucom, la fraude au Président aurait « rapportée » 300 Millions d'euros en 3 ans en France. Près de 700 faits ou tentatives ont été recensés selon l'Office central pour la répression de la grande délinquance. Ces tentatives de demandes de rançons 2.0 sont souvent rendues possible par l'exploitation de vulnérabilités. Herve Schauer autre pilier du CLUSIF, désormais chez le consultant Deloitte, expert en logiciel libre a livré son approche sur deux grandes vulnérabilités de l'année écoulée : Heartbleed (CVE-2014-0160) Shellshock (CVE-2014-6277). Pour lui, ces vulnérabilité sont dues à des failles dans des logiciels libres ce qui signifie qu'il faut appliquer rapidement des correctifs. Dans le cas de Heartbleed découvert le 7 avril 2014  la technique utilisée autorisait un accès à la mémoire des systèmes et exloitait des clés pour réaliser une attaque de type man in the middle. Ces erreurs de conception dans les logiciels libres remontent parfois a plusieur années. Leur vulnérabilité est exploitée plus tard ou avant sans que personne le sache publiquement. La seule réponse explique Hervé Schauer « c'est de faire un contrôle qualité sur un soft libre avant usage ».

  

Des failles exploitées par la NSA

Un réflexe que peu d'entreprises semblent développer a commencer par les plus grandes du secteur. Selon l'expert du CLUSIF « les grands acteurs type GAFA n'ont pas fait l'effort du contrôle qualité. Ils s'en servent sans l'enrichir. ». Pour lui, ces failles sont mêmes exploitées par la NSA pour s'introduire sur certains SI. Pour les entreprises victimes de ces failles la seule solution c'est de disposer d'une cellule de gestion de crise explique t-il.

Christophe Jolivet, directeur associé chez Prosica s'est intéressé dans le cadre de ce Panorama 2014 du CLUSIF aux nouveaux cyber-braqueurs. Comprenez les cyber-bricoleurs des distributeurs automatiques de billets. Différentes pratiques existent pour « cyber-braquer » ces terminaux. Le skimming est un matériel collé sur un ATM. Une version avec du matériel rentré directement dans le lecteur de carte pour installer un « programme espion » qui recopie les données sensibles des cartes existe également. Les cyber-braqueurs visent aussi directement le SI qui administre les distributeurs. Une approche « racine » en quelque sorte pour modifier et accéder directement aux données qui gèrent les automates comme le groupe Anunak en Russie.

En juin 2014 deux enfants de 12 et 14 ans ont modifié le message d’accueil d'un distributeur au Canada. Cyber-braquer un automate, un jeu d'enfant ? Peut-être, bien que certains emploient les grands moyens avec des chevaux de Troie (Tyupkin) qui générent une clé d’authentification, affiche l'état des cassettes à billet. Ce qui rend possible un retrait d'une quarantaine de billets. Une variante a été développée avec Ploutos, autre cheval de Troie introduit par port USB qui se connecte avec un smartphone GSM et communique avec les programmes via des SMS.

 

Cyber-attaques sur Target : poursuites civiles, DG démissionné, CA en baisse de 34 %...

Loic Guezo Directeur & Evangéliste chez Trend évoque d'autres cyber-braquage d'envergure avec les célèbres affaires de dat breach en 2014 : Home Dépot : septembre 2014 56 millions d'enregistrements persos « récupérés », UPS, Michaels (3 millions de CB), Goodwill (900 000 cartes attaquées), eBay (146 millions de comptes clients capturés avec obligation de « reseter » tous les Passwords). Pour le cas Target précise l'expert les dégâts collatéraux s'avèrent importants : plus de 80 poursuites civiles, un DG démissionné, des plaintes collectives et de très nombreux préjudices. Cette nouvelle génération de cyber-attaques souligne Loic Guezo « se base sur une méthodologie connue, la Kill Chain. En gros, la Kill Chain repose sur un enchainement de process pour aboutir a la "russiteas" , premier cas d'attaque ciblée avec « Kill Chain ». Cette chaine sait étudier la faiblesse d'un sous-traitant, détourner un loggin Password d'un sous traitant, rebondir dans le réseau de Target, exfiltrer quelques données, lancer des opération d'attaque, re-exfiltrer sur des serveurs russes parait il dans le cas de Target. 

 Cyberisques-CLUSIF-3

 

A quand un « Stuxnet » chez Areva ?

Philippe Bourgeois chercheur au CERT-IST pense que le risque a évolué en partie en raison des évolutions techniques des cyber-menaces. Les entreprises sont des cibles fréquentes (et pas seulement les Etats). Les plus visées sont celles qui bénéficient d'une notoriété internationale. Les grands groupes internationaux sont souvent atteints via leurs sous-traitants (attaques par la chaine de sous-traitance). Pour ce chercheur, guetteur « pro » de vulnérabilités les cyber-attaques réservées en 2014 aux domaines « stratégiques » risquent de se démocratiser notamment en raison d'un niveau d'expertise en forte augmentation. A quand un Stuxnet dans une banque ou chez Areva ? « Le risque est en augmentation dans la mesure ou des attaques uniquement théoriques hiers se concrétisent aujourd'hui » affirme Philippe Bourgeois qui cite trois cas révélateur de cyber-attaques en 2014. Via la cryptographie et les bugs dans SSL et TLS. En moins de 24H00 via la faille HeartBleed une clé secrtèe d'un serveur a pu être trouvée. Le CERT-IST constate aussi une forte progression de ceyber-attaques basées sur déanonymisation via le réseau TOR. On note au passage que la technologie TrueCrypt est délaissée (en Avril 2014) sans doute en raison d'une forte pression des Etats qui « se doivent de garder le contrôle ». Techniquement une question se pose : faut il penser que la cryptographie est cassée ? Dépassée ? La question mérite d'être posée si l'on considère que Citadel attaque les coffre forts « Keepass » et « Password Safe » (Nov 2014). C'est un réel problème au regard du nombre de systèmes qui ont basé leur sécurité sur la cryptographie.

  

France : officiellement 4 millions de pertes déclarées chaque mois

Pour le Colonel Eric Freyssinet, chef du Centre de lutte Contre les Criminalités Numériques (C3N), à la Gendarmerie nationale, les chiffres parlent: Chiffres : 327 milliards d'euros représentent le coût global de la cybercriminalité soit pour la France, 0,1 % du PIB. Reste les approches. Quelle méthodologie pour estimer les impacts ? Les cyber-préjudices ne sont ils pas sur-évalués ? Officiellement dévoile Eric Freyssinet, à la gendarmerie nationale, ce sont près de 4 millions d'euros de perte chaque mois qui sont en moyenne « déclarés ». « Le problème analyse l'officier réside en partie dans les « offres undergound » de  services criminels. Des cyber-attaques sont vendues « clés en main » entre 3 et 5 dollars de l'heure sur le Net ». Réserve oblige, aucun commentaire ne sera fait du moins cette année sur les 20 000 sites WEB touchés par des cyber-attaques suite à l'attentat de Charlie Hebdo du 7 janvier 2015. Il faut attendre le Panorama 2015. Une question n'a pas encore trouvée de réponse du moiins officielle : sommes nous déjà passé de la sécurité défensive à la sécurité offensive ? (lire cyberisques.com) Les experts du CLUSIF demeurent discrets tout en glissant quelques éléments de réponse. Pour le chef du Centre de lutte Contre les Criminalités Numériques (C3N), des "perquisitions en ligne existeront". D'autre part, il n'est pas inutile de réfléchir à des notions de légitime défense suite à une cyber-attaque. D'autres sujets viendront comme l'a exposé en conclusion François Paget en s'interrogeant avec malice sur le contenu du futur Panorama 2015 : Aura-t-on un sujet sur l’utilisation d’Internet comme soutien au terrorisme ? Aura-t-on un sujet sur de nouvelles évolutions de la législation ? A la rédaction de cyberisques.com, nous suggérons un sujet sur … la sécurité offensive.

Jean Philippe Bichard

@jpbichard

 

BONUS :

* Cyber Techno, Techno rebelle marque déposée  

 

http://www.cyberisques.com/fr/mots-cles-12/387-2015-annee-de-la-securite-scada

https://www.clusif.asso.fr/

 

UTT - Université de technologie de Troyes

La bibliothèque Universitaire de l'UTT vous offre le second volet de son cycle d'expositions "Les images mentent - manipuler les images ou manipuler le public?". A travers cette exposition, axée sur la propagande et ses ressorts, c'est à une réflexion sur les méthodes de manipulation médiatique auxquelles nos sociétés sont exposées. Exposition réalisée par l'Institut des Images, la Ligue de l'Enseignement, et le Musée du Vivant. Elle sera visible jusqu'au 28 février 2015

 

Cyber-assurance: les prévisions d'Allianz

 

Cyberisques 2015: les estimations de Allianz

 

 

Cyber-Ass-Cyberisques-NEWS-sept-2015

 

Cyberisques-guide-2015

 

 

Increasing interconnectivity, globalization and "commercialization" of cyber crime are driving greater frequency and severity of cyber incidents, including data breaches.

Data privacy and protection is one of the key cyber risks and related legislation will toughen globally. More notifications of, and significant fines for, data breaches can be expected in future. Legislation has already become much tougher in the US, Hong Kong, Singapore and Australia, while the European Union is looking to agree pan-European data protection rules. Tougher guidelines on a country-by-country basis can be expected.

Attacks by hackers dominate the headlines but there are many “gateways” through which a business can be impacted by cyber risk. Impact of business interruption triggered by technical failure is frequently underestimated compared with cyber-attacks.

Vulnerability of industrial control systems (ICS) to attack poses a significant threat. To date there have been accounts of centrifuges and power plants being manipulated. However, the damage could be much higher from security sensitive facilities such as nuclear power plants, laboratories, water suppliers or large hospitals.

Download the Cyber Regulation Map 

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

 


Cyber security and protection best practice

Cyber risk is the risk most underestimated by businesses according to the Allianz Risk Barometer but there is no “silver bullet” solution for cyber security. Businesses need to identify key assets at risk and weaknesses such as the “human factor” or overreliance on third parties. Employees can cause large IT security or loss of privacy events, either inadvertently or deliberately.

Businesses need to create a cyber security culture and a “think-tank” approach to tackling risk. Different stakeholders from the business need to share knowledge. Implement a crisis or breach response plan. Test it.

Cyber risk is constantly evolving. “Hidden risks” can emerge. For example, businesses should consider how merger and acquisition (M&A) activity and changes in corporate structures will impact cyber security and holding of third party data in particular. Companies need to make decisions around which risks to avoid, accept, control or transfer.

 

stat-cyberisques-France

 

Cyber risk and insurance – future trends and growth

The cyber insurance market is currently estimated to be worth around $2bn in premium worldwide, with US business accounting for approximately 90%. Fewer than 10% of companies are thought to purchase cyber insurance today. However, the cyber insurance market is expected to grow by double-digit figures year-on-year and could reach $20bn+ in the next 10 years.

Growth in the US is already underway, driven by data protection regulation. Legislative developments and increasing levels of liability will help growth accelerate elsewhere, as will a growing number of small- to medium-sized enterprises (SME) seeking cover.

Sectors holding large volumes of personal data, such as healthcare and retail, or those relying on digitalized technology processes such as manufacturing and telecommunications, are most likely to buy cyber insurance at present. However, there is growing interest among financial institutions and the energy, utilities, and transport sectors, driven by the increasing perils posed by interconnectivity.

Data protection and liability risks dominate the cyber landscape today. Impact of BI from a cyber incident and further development of interconnected technology will be of increasing concern to businesses over the next decade and will spur insurance growth.

Businesses are also exposed to cyber risk through supply chains and, increasingly, will need to consider the impact of an incident in this area such as the liability they could face if they cannot deliver their products or lose customer data, as well as the costs to resolve such issues. Companies will increasingly look to extend protection to their supply chains.

Emerging risks: impact of technology

The Internet of Things” will have an increasing influence on the world in which we live and businesses operate. Estimates suggest as many as a trillion devices could be connected by 2020. New technologies create new vulnerabilities. Cyber criminals could exploit this increase in interconnectivity.

As technology evolves, older devices that remain in use could also create vulnerabilities, especially where they rely on outdated operating systems and unsupported software. The use of outsourced services and storage – such as the cloud – brings risks as well as benefits. One issuea at a cloud provider could result in large business interruption and data breach losses for many.

The prospect of a catastrophic cyber loss is becoming more likely. An attack or incident resulting in a huge data loss or business interruption - and the subsequent reputational damage - could put a large corporation out of business in future.

A successful attack on the core infrastructure of the internet; for example main protocols such as Border Gateway Protocol (BGP) or Domain Name System (DNS), could be devastating. [1] Interest in protecting critical infrastructure is likely to see governments becoming increasingly involved in cyber security, resulting in greater levels of scrutiny and liability.

***

[1] "Cyber Security In An Interconnected World: Recent Critical Events In A Nutshell," Allianz Group Economic Research

 

 

 

 

Contenu éditorial complet réservé à nos abonnés: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information