Cybermalveillance.gouv.fr : Saison 2

Nouvelles offres de services : lancement national de la plateforme

Cybermalveillance.gouv.fr

Jean-Philippe-attypique

 

Cybermalveillance.gouv.fr : Saison 2

 

Suite à l’expérimentation lancée en juin dernier dans les hauts de France (lire cyberisques NEWS : http://www.cyberisques.com/fr/mots-cles-7/671-dpo-news-cyberisques-jpbichard-lancement-du-dispositif-national-d-assistance-aux-victimes-d-actes-de-cybermalveillance ) le groupement d'intérêt public (GIP) ACYMA étend au niveau national le 17 octobre 2017 les services disponibles sur la plateforme « cybermalveillance.gouv.fr ». Pour qui, avec qui et avec quels «cyber-bienfaiteurs » ? Explications.

Quels enseignements tirés suite au démarrage de la plateforme cybermalveillance.gouv.fr  de de juin à octobre 2017 en région Hauts-de-France ? Les services de presse communiquent : 724 mises en relation victimes/prestataires au total, 83 % des incidents de cybermalveillance déclarés comme des virus, 44% du total des incidents déclarés « virus » correspondent à des attaques de type ransomware, 95% des appels en mode « anonyme »...

Bien.

Au delà des informations « traditionnelles » émises lors d'un lancement de ce type il est toujours utile d'observer sous des angles différents les « présentations officielles ». Ce 17 octobre 2017, dans les nouveaux locaux du GIP ACYMA à Paris, Louis Gautier, Secrétaire général de la défense et de la sécurité nationale (SGDSN) constate que la cybermalveillance en France et en Europe inquiète et ... pose en conséquence quelques défis. Louis Gautier cite quelques tendances : sophistication des cyberattaques, montée en gamme de ransomwares issus d'équipes Pro ou « amateurs », découvertes récentes de failles dans les réseaux WiFi... Du coup, cybermalveillance.gouv.fr inaugurée officiellement aujourd'hui en couverture nationale tombe « à pic ». Le service « go between » entre victimes et prestataires proches constitue non seulement une « initiative originale » mais aussi un service fédérateur pour l'ensemble des acteurs soucieux d'être mis en relation avec des cyber-victimes (particuliers, middle market et collectivités territoriales).

A l'écoute des intervenants l'idée qui domine avec l’installation officielle de cette plateforme cybermalveillance.gouv.fr au delà de la mise en relation c'est la notion de prévention liée à celle d'observation des tendances. On retrouve là des mécanismes identiques à ceux déjà en place à la prévention routière par exemple rappelle le patron du SGDSN. Un observatoire du risque numérique va d'ailleurs se développer au GIP pour livrer ses propres statistiques. Pour rappel existe aussi un Observatoire Européen de la Cybersécurité depuis 2012 créé en partenariat avec Cyberisques NEWS ( OBSERVATOIRE EUROPEEN DE LA CYBER-CRIMINALITE ET DE LA E-REPUTATION )

La dimension européenne des problématique en cybersécurité ne peut être oubliée en 2017. S'il est légitime que des instituons françaises existent, ne serait il pas judicieux que ces entités inscrivent leurs démarches au sein d'un cadre européen avec d'autres entités européennes ? Lors de la présentation officielle de la, plateforme à la presse le 17 octobre, l'Europe est restée étrangement absente. Sauf dans les allocutions de Bernard Spitz et Mounir Mahjoubi, l'Europe n'était pas citée. Un peu comme si l'activité des entreprises françaises pouvait s'arrêter aux frontières… (Lire encadré : Cybermenaces : l'Europe aussi).

Éducation Nationale oubliée ?

Pour l'heure, en France, ce sont 1123 prestataires (sur 1310 demandes) que le GIP ACYMA a référencé sur l'ensemble du territoire. Ces acteurs offrent une réelle densité estimée à 8 prestataires pour une cyber-victime (6% administrations, 30% entreprises et 64% particuliers). Ces prestataires sont réunis par le GIP au sein du Collège « Prestataires ». D'autres acteurs du marché cybersécurité sont regroupés au sein des trois autres collèges : offreur de solutions, utilisateurs et « étatiques ». Dans ce dernier collège, si différents ministères sont représentés (Premier ministre : ANSSI, Économie et finances, Justice, Intérieur, Secrétariat d’État chargé du numérique) on peut s'étonner que la volonté de sensibilisation de cette plateforme ne s'étende pas au ministère de l’éducation nationale dans sa « partie » sensibilisation. Étonnement légitime d'autant que l'excellente association e-Enfance n'a pas été oubliée et participe au collège Utilisateurs.

A noter que certains acteurs font « officiellement » leur entrée dans le monde de la cybersécurité « à la Française ».

C'est le cas du secteur des assurances. Enfin pourrait on écrire ! Ce n'est pas aux lecteurs de Cyberisques NEWS qui évoque depuis plus de 5 ans les démarches des cyber-assureurs que nous allons apprendre leur rôle stratégique. Reste que pour l'heure et en France particulièrement, les offres de « polices cyber » existent mais sans trouver totalement les réponses qu'elles devraient générer (http://www.cyberisques.com/fr/mots-cles-17/637-dpo-news-cyberisques-gdpr-amrae2017).

Pour Bernard Spitz, Président de la fédération française de l'assurance, présent lors du lancement « c'est la connaissance du risque cyber et le scorring (statistiques propres aux analyses des assureurs) qui doivent s'améliorer ». Il souligne également le rôle d'une prise de conscience européenne avec l'arrivée d'un label européen aux cotés des labels français (lire http://www.cyberisques.com/fr/mots-cles-1/690-cyberisques-vers-un-nouveau-label-europeen-en-cybersecurite ).

Mounir Mahjoubi, Secrétaire d'Etat chargé du Numérique résume clairement les enjeux que va devoir relever le GIP ACYMA. Le premier d'entre eux étant d'enrichir la confiance que les français doivent avoir dans le monde numérique. Il évoque par exemple la 16eme place des PME françaises en Europe en termes d'équipements de cybersécurité. Un classement qu'il va falloir améliorer énonce clairement le Secrétaire d’État en charge du Numérique. La responsabilisation des offreurs de services tels que les hébergeurs et fournisseurs de messageries lui apparaissent stratégiques. Pour répondre à ces enjeux de confiance la proximité offerte par le réseau « local » de prestataires devient un avantage stratégique notamment pour apporter une réelle réactivité face au déroulement des cyber-attaques.

Contre les cyber-malfaiteurs, une association de cyber-bienfaiteurs...

Jérome Notin, Directeur général du « dispositif national d'assistance aux victimes de cybermalveillance » le GIP ACYMA détaille l'organisation des 4 collèges qui composent le GIP ACYMA. La structure regroupe a travers ses 4 collèges des acteurs issus de différentes cultures de la cybersécurité : institutionnels, associatifs, prestataires de services, éditeurs et offreurs de solutions ; En terme de financement, le budget initial du GIP pour 2017 s'élève selon le directeur général à 900 000 euros. Les ressources Budget attendues s'élèveront à 1 million d’euros issu d’une subvention de l’ANSSI. En 2019 : estimation 2,5 millions d’euros (25% public et 75% privé) (source : http://bit.ly/2rAAxmX )

Au plan opérationnel, en 2017, les effectifs du GIP ACYMA sont de 5 collaborateurs. A l'horizon fin 2018, 25 personnes devraient composer l'équipe GIP ACYMA (dont 8 pour l'Observatoire du risque numérique). Guillaume Poupard, directeur général de l'ANSSI l'a confirmé : le GIP peut compter sur le soutien humain et logistique de l ANSSI.

Coté bienfaiteurs, c'est vers le collège des « offreurs de solutions » que les regards et les bourses se tournent. Comprenez : Bouygues Telecom, Orange Cyberdefense, Atempo-Wooxo, ESET, Kaspersky Lab, Microsoft et Stormshield.

Certains d'entre eux ont confié à Cyberisques News le montant de leur « généreuse » participation : 100 000 euros pour l'un, 25 000 pour l'autre. Cette association de cyber-bienfaiteurs souhaite faire progresser le niveau de résilience des particulier comme des petites et moyennes entreprises. Philosophiquement on est donc ...pur. Mais que peut espérer le business de la philo ? Question philosophique. Encouragés a « participer », que retirent réellement comme avantage(s) ces acteurs privés si leur dossier est retenu ?

Réponse dans les prochains mois.

@jpbichard

 

 

3 questions a Benoit Grunemwald Directeur des opérations ESET France

Quels avantages retire ESET en proposant un dossier de candidature au GIP ACYMA ?

 

Nous pensons avoir une bonne chance pour que notre dossier soit accepté. Nous trouvons dans le GIP ACYMA une adéquation entre la philosophie du GIP et celle d'ESET notamment sur les aspects Cybersensibilisation et cyberformation. ESET a lancé depuis plusieurs années en France une opération de sensibilisation nommée « Ma vie sans virus ». Il s'agit aussi pour Nous de renforcer les actions de formation de prestataires et de « end user ».

 

 

Certes, mais vous espérez de nouveaux « contacts » et un impact positif sur vos résultats financiers. Comment analysez-vous cet impact ?

Pour Nous, l'impact peut-être perçu en priorité dans l'amélioration des relations avec les prestataires. Rendre meilleurs les niveaux de cybersécurité avec un cycle de formation adéquat définit avec les experts du GIP est une approche bénéfique pour tous. Avec plus de 3000 revendeurs en France nous participons à la densité de la présence chère à ACYMA sur l'ensemble du territoire. D'autant que 500 partenaires nouveaux nous rejoignent en moyenne chaque année.

.

A un niveau plus « corporate » ou va se situer votre ROI en tant qu 'éditeur de solutions et services en cybersécurité ?

Nous sommes 4e éditeur mondial selon la dernière étude d'IDC. Étrangement nous souffrons d'un manque de notoriété. Si notre dossier est accepté pour participer à la plateforme « cybermalveillance.gouv.fr » nous gagnerons en notoriété c'est certain. Mais notre but avec le GIP ACYMA, ce n'est pas d'aller chercher des clients mais de faire progresser le niveau global de la cybersécurité en France auprès des particuliers comme des petites et moyennes entreprises.

 

 

 

A savoir : Cybermenaces, l'Europe aussi

Dans son discours de l'Union le 19 septembre dernier Jean-Claude Juncker dévoilait lui aussi des mesures en cybersécurité qui visent à équiper l'Europe des outils adéquats pour réagir aux cyberattaques. 

Jean-Claude Juncker: « Au cours des trois dernières années, nous avons fait des progrès dans la sécurisation de l'internet. Mais l'Europe reste mal équipée face aux cyberattaques. C’est pourquoi la Commission propose aujourd'hui de nouveaux outils, et notamment une Agence européenne de cybersécurité, pour mieux nous défendre contre ces attaques.»

Des chiffres récents montrent que les menaces numériques évoluent rapidement: depuis le début de 2016, plus de 4 000 attaques par rançongiciel ont eu lieu chaque jour à travers le monde, en augmentation de 300 % depuis 2015, tandis que 80 % des entreprises européennes ont été affectées l'année dernière. Des études suggèrent que l'impact économique de la cybercriminalité a été multiplié par cinq entre 2013 et 2017, et qu'il pourrait encore être multiplié par quatre d'ici 2019. La Commission a proposé de renforcer la résilience et la capacité de réaction de l'UE aux cyberattaques en renforçant l'Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), en créant un cadre de certification de cybersécurité à l'échelle de l'UE, un plan d’action relatif aux modalités de réaction aux crises et incidents de grande ampleur en matière de cybersécurité, ainsi qu’un Centre européen de recherche et de compétences en matière de cybersécurité.

http://europa.eu/rapid/press-release_IP-17-3193_fr.htm

 

 

                 GIP ACYMA: Premiers chiffres 2017

GIP-ACYMA- typologie attaques référencées-Cyberisques-NEWS-2017

Source GIP ACYMA

 

 

BONUS :

 

Etude SANS Octobre 2017 : extraits : quels cyberisques ?

 

 

Selon la dernière édition de l'étude du SANS, les menaces internes et les dénis de service sont considérés comme représentant des risques majeurs pour les données sensibles. Si la majorité des sondés reconnaissait ne pas avoir été confrontée à une véritable compromission de données sensibles, ceux qui avaient subi une perte de données sensibles étaient suffisamment nombreux pour tirer de ces événements de précieux enseignements. 78 % des personnes interrogées ont rapporté avoir connu au moins deux menaces au cours des 12 derniers mois, et 68 % déclaraient avoir fait face à la même menace à de multiples reprises sur la même période.

Les identifiants et les comptes privilégiés représentaient les types de données les plus couramment impliqués dans ces violations, ce qui souligne à quel point les données d’accès sont prisées des attaquants. Si les informations d’accès sont les plus recherchées par les attaquants, c’est parce qu’elles leur octroient les mêmes privilèges que leurs victimes. Ils utilisent souvent ces privilèges pour amplifier et propager leurs attaques, ce qui leur permet de rassembler d’autres types d’informations sensibles. Parmi les autres données clés ciblées par des violations majeures figurent les informations personnellement identifiables des clients, sélectionnées par 31 % des sondés, ainsi que les données des employés et les données de propriété intellectuelle, chacune de ces catégories ayant été retenue par 28 % d’entre eux.

 

 

Retrouvez la plateforme « Cybermalveillance.gouv.fr » sur https://www.cybermalveillance.gouv.fr/

Twitter et Facebook : @cybervictimes

 

@jpbichard : interview Cyberisques NEWS / Xavier Leclerc, PDG de DPMS, co-fondateur de l'AFCDP, fondateur de UDPO

Jean-Philippe-attypique

@jpbichard

Entretien : Cyberisques NEWS / Xavier Leclerc, PDG de DPMS, co-fondateur de l'AFCDP, fondateur de UDPO

5 octobre 2017

 

 

 

 

Xavier Leclerc : « attention il ne faut pas dénaturer un règlement européen qui s'applique en priorité par rapport aux lois nationales en transposition d'une simple directive »

 

Xavier Leclerc, PDG de DPMS, co-fondateur de l'AFCDP, fondateur de UDPO s'exprime sur le role futur du DPO et... son éviction de l'AFCDP

 

Cyberisques-News : Débutons par l'actualité, vous venez d'apprendre que l'AFCDP, association « historique » de CIL créée en 2004 vient de décider le 4 octobre 2017 d'entamer une procédure d'exclusion à votre encontre. Vous en êtes le co-fondateur avec l'avocat Alain Bensoussan. Lui aussi a créé comme Vous sa propre association de DPO orientée « CAC 40 ». Comment réagissez-vous à cette mesure disciplinaire ?

Xavier Leclerc : Je suis en effet surpris par cette mesure qui, si elle se confirme, indique au delà d'une évidente brutalité, une volonté de fermer les portes aux propositions de rapprochement que l'UDPO a formulé récemment.

 

 

L'ADPO (Association Data Protection Officers)  créée par le cabinet Alain Bensoussan, l'UDPO fondée par Vous, PDG de DPMS acteur privé bien connu des CIL, ces deux nouvelles associations peuvent inquiéter l'AFCDP ?

Peut-être mais Alain Bensoussan et moi avons pratiqué la politique de la main tendue pour ouvrir nos propositions à l'AFCDP. Regardez comment cette société savante nous répond.

 

 

Société savante ?

Oui, au sens ou l'UDPO est davantage un syndicat professionnel. Je vous rappelle que 70% des CIL actuels ne deviendront pas DPO. Il est urgent d'offrir à ce nouveau métier de nouvelles structures à une échelle européenne en partenariat avec des acteurs professionnels de la certification par exemple.

 

 

DPO

 

 

 

La CNIL ne semble pas apprécier votre initiative visant a proposer des formations payantes de DPO alors que des universités (Nanterre, Panthéon-Assas en Droit) et le CNAM proposent des diplômes universitaires « gratuitement » ?

Nous offrons une certification via Bureau Véritas Certification* par exemple et pas seulement française pour nos futurs diplômés. Il est paradoxal qu'un règlement européen comme le RGPD n'ait pas une certification européenne au niveau des formations. Nous offrons un diplôme de grade « Master » européen.

 

 

 

Votre procédure d'exclusion de l'AFCDP peut-elle être interprétée comme un signal fort qui indique que désormais entre la fonction CIL et le métier de DPO, un fossé se creuse ?

Ce sont des métiers et fonctions complémentaires. Beaucoup de CIL dont la responsabilité était encadrée par une législation en mode « déclaratif » (à la CNIL) n'ont pas aujourd'hui les moyens d’appréhender le métier de DPO qui n'est plus dans le déclaratif mais sous un mode de réglementation européenne avec de lourdes sanctions à la clé.

 

 

 

Que manque t-il aux CIL pour évoluer selon Vous vers une fonction DPO ?

Au sein de bon nombre d'organisations, peu de CIL bénéficient d'un budget propre, de moyens réels et même d'objectifs clairs. En outre, certains occupent cette fonction en parallèle avec d'autres (RSSI, DSI, juriste... par exemple). Pour le métier de DPO, c'est différent : encadré par des articles précis du RGPD, c’est un poste proche des COMEX et CODIR qui intéresse bon nombre de cadres en interne. En outre le métier de DPO nécessite la création d'un département ou se rassembleront des compétences multiples : juridiques, techniques....

 

 

 

Ce poste de DPO doit-il à vos yeux être « externalisé » et auprès de quels types d'acteurs : cabinets d'avocats, commissaires aux comptes, experts « Privacy Data », cabinet d'audit... ?

Tout dépend des besoins, des secteurs, des configurations, des moyens... des entités... Qui est réellement légitime pour offrir des « services » de DPO mutualisés sans être au passage juges et parties?

Les experts-comptables par exemple et commissaires-aux-comptes expédient des données sensibles donc personnelles (numéro de sécurité sociale) via des feuilles de paye par messageries souvent non sécurisées ; Rien n'est évident, les choses se mettent en place. En outre l'usage de solutions chiffrées ne suffit pas : il faut aussi garantir l’intégrité des données.

 

 

Justement au niveau des outils compatibles RGPD / GDPR les offres s'organisent. Quel regard portez-vous sur les solutions techniques actuelles ?

Aucune n'est compatible et celle que la CNIL cherche a promouvoir (cf. interview de Hélène Legras DPO d'AREVA dans Cyberisques NEWS**) n'est pas encore disponible. Cette plate-forme la encore pose la problématique juges et parties. Imaginez que l'outil de la CNIL « oublie » de cartographier certaines données à caractère personnel, que peuvent dire lors d'un contrôle les contrôleurs de la...CNIL ?

Notre outil proposé par DPMS depuis plusieurs années et mis à jour pour le RGPD a fait ses preuves. Ainsi des données à caractère personnel telles que les adresses IP mais aussi les vidéos et contrôles d’accès sont à prendre en compte lors d'une cartographie. Pour le DPO il s'agit de réaliser une tenue du registre principal, mais aussi de sous-registres pour tenir à jour des données « non officielles » (fichiers excel personnel par exemple). Il faut inventorier les traitements mais aussi les données « conséquentes » ou « résultantes » de ces traitements.

 

 

 

Un dernier point : le gouvernement devrait publier en fin d'année ou début d'année prochaine un texte d'adaptation de certaines mentions du RGPD (58 au total) au cadre juridique français notamment la Loi Informatique et Libertés. Est-ce qu’il faut s'attendre à des changements majeurs avec ce texte ? Vous savez qu'en Allemagne par exemple des modifications via un texte « national » ont fait évoluer la responsabilité pénale du DPO. Doit-on s'attendre à ce même type de mesures pour les DPO français ?

Non, je ne pense pas pour la question relative à la responsabilité pénale des DPO en France mais votre question est tout à fait intéressante. Effectivement que va-t-il rester des articles de la Loi Informatique et Libertés lorsque ceux du RGPD / GDPR vont s'appliquer ? Cette harmonisation des textes qui devrait être connue en début d'année 2018 ne doit pas transformer un règlement européen en directives que chaque état membre pourrait « interpréter ». Ainsi l'article 34 – 10 du RGPD élargit un article de la Loi Informatique et Libertés faisant état d'obligation de notifications pas seulement de la part d'opérateurs telco mais à l'ensemble des acteurs. Donc cet article de la Loi Informatique et Libertés va évoluer. Mais attention il ne faut pas pour autant dénaturer un règlement européen qui s'applique en priorité par rapport aux lois nationales en transposition d'une simple directive.

 

 

 

On a quand même vu apparaître la notion de responsabilité pénale pour les DPO allemands. Cette notion « élargie » s'oppose a ce que le RGPD impose à savoir une responsabilité pénale pour les responsables de traitement ce qui est totalement différent. ..

C'est exact vous avez totalement raison. Cette mesure risque de faire fuir les DPO Groupe allemand vers d'autres pays de l'UE. J'ignore pourquoi l'Europe accepte de tels aménagements.

 

Propos recueillis par @jpbichard

 

Lire aussi: http://www.cyberisques.com/mots-cles-1/137-mots-cles-30-reglementation/697-du-rififi-dans-le-petit-monde-des-associations-de-cil-dpo

 

 

BONUS :

https://www.veritas.com/services/education-services/certification *

http://www.cyberisques.com/fr/mots-cles-20/695-dpo-news-cyberisques-portrait-helene-legras-dpo-areva-le-dpo-est-plus-un-profil-du-savoir-etre-que-du-savoir-faire **

 

En savoir plus :

( Article(s) complet réservé aux abonnés ) 

 

RGPD: http://www.cyberisques.com/fr/component/search/?searchword=RGPD&searchphrase=all&Itemid=582)

CNIL: http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

 http://www.dpms.eu/informations-cil-dpo-cnil/

#RGPD Communication Corporate: RGPD : le chiffrement ESET, meilleure solution selon AV-Comparatives

Communication Corporate ESET

 

 

 

Communiqué de presse

Vendredi 07 avril 2017


RGPD : le chiffrement ESET, meilleure solution selon AV-Comparatives

 

En prenant en considération l'importance de la sécurisation des données, notamment avec l’arrivée du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais), AV-Comparatives® a pour la première fois effectué un test de solutions de chiffrement. Le laboratoire définit ESET® comme la référence à suivre en matière de chiffrement, considérant le produit DESlock+® Pro comme performant et simple à configurer pour les PME et ETI.

 

Le chiffrement des disques durs et des supports amovibles doit être considéré comme l’une des plus importantes mesures de sécurité pour toutes les entreprises, quelle que soit leur taille. En effet, l’Union européenne a récemment introduit de grands changements règlementaires en publiant le RGPD qui sera applicable en mai 2018. Ce texte identifie le chiffrement comme solution à la protection des données. Malgré l’imminence de son application et l’importante tâche que représente cette mise en conformité, IDC® affirme que 21% des PME et ETI ne sont pas préparées à la nouvelle règlementation et 59% travaillent encore à l’être.

Pour son premier test de solutions de chiffrementAV-Comparatives considère ESET DESlock+ Pro comme le produit leader à destination des PME et ETI. Selon les résultats, DESlock+ Pro se classe au-dessus des quatre autres produits testés. Le rapport confirme que la solution d’ESET permet aux PME et ETI d’avoir accès à une gamme complète d’options de chiffrement, devenant ainsi la référence du marché.

 

Guider-2017

 

« Nous sommes impressionnés par les capacités de DESlock+ Pro d'ESET et nous la considérons comme la solution la plus performante pour les PME et ETI qui cherchent une solution de chiffrement efficace et conviviale, » déclare Andreas Clementi, CEO d'AV-Comparatives.

« Les PME et ETI n’ont jamais eu autant besoin d’offres de qualité en matière de chiffrement que maintenant. En effet, avec l’arrivée du RGPD, protéger efficacement les données personnelles passe par une solution de chiffrement. Nous sommes fiers de proposer une solution de premier plan destinée aux PME et ETI, reconnue comme innovante par AV-Comparatives, » déclare David Tomlinson, Manager of DESlock business unit chez ESET. « Nous avons développé des solutions de chiffrement efficaces et accessibles spécialement conçues pour les PME et ETI, non seulement pour nous assurer qu'elles respectent les règles de sécurité des données imposées par le RGPD, mais aussi pour protéger les entreprises et leurs données les plus sensibles ».

BONUS: 

https://encryption.eset.com/fr/

 

 

#RGPD #privacy #datasecurity Messageries chiffrées : bras de fer entre le politique et l'ingénieur

 

Messageries chiffrées : bras de fer entre le politique et l'ingénieur

 

Phot-JPB-DPO NEWS

@jpbichard

 

 

« Backdoors d’État » contre vie privée voire intime de milliards d'internautes : le débat fait rage entre défenseur de l’intégrité des solutions cryptographiques et certains candidats à l'élection présidentielle française. État des lieux sur un enjeu majeur tant pour la sécurité nationale que pour la protection de nos vies numériques.

Récemment, à moins de deux semaines du premier tour des élections présidentielles en France, un candidat à l’Élysée (cf ; Photo ci-dessous) déclarait lors d'une conférence de presse le 10 avril à Paris: « Les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leurs projets. Ils utilisent des messageries instantanées, fortement « cryptées » (chiffrées en bon français note de la rédaction). Les grands groupes de l'internet ont refusé de communiquer leurs clés de chiffrement ou de donner accès au contenu au motif qu'ils ont garanti contractuellement aux clients que leurs communications étaient protégées, cette situation est inacceptable ».

Situation jugée donc « inacceptable » selon le candidat Emmanuel Macron (mais il n'est pas isolé dans les classes politiques européennes). Reste que l'aménagement de portes dérobées pour certains services ne l'est pas plus acceptable pour bon nombre d'experts techniques qui obtiennent par ailleurs le soutien de la CNIL ou de l'ANSSI (Agence nationale de la sécurité des systèmes d’information).

Bref le débat existe. Tentons d'y voir clair en décodant... sans rien trahir. La cryptologie rappelons-le incarne par l'étude du chiffrement la « science du secret ». Le chiffrement est une discipline qui comporte différentes facettes comme la cryptographie - protection par le chiffrement - et la cryptanalyse ou comment casser un code chiffré pour faire simple.

Revenons à ces fameuses « backdoors d'Etat » et les problèmes techniques voire sociétaux qu'elles posent. Techniquement d'abord : peut-on aménager ce type de portes dérobées (ou backdoors) pour laisser des « services » accéder aux données stratégiques pour la défense et la sécurité des États ?

Les experts soutiennent que c'est techniquement peu réalisable. En clair un flux de données est chiffré ou il ne l'est pas. Au niveau de la finalité d'une telle option, placer des solutions de type « backdoors d'Etat » « c'est en conséquence affaiblir des systèmes cryptographiques qui par nature doivent êtres forts » expliquent les ingénieurs. D'autres experts en cryptologie soulignent que l'on peut comparer la situation à une clé glissée sous le paillasson devant... une porte blindée. Dans ce cas, un autre paramètre s'invite: le hasard. Qui va trouver la clé ? Est-on certain que celui qui utilisera la clé appartient à un service « autorisé » ? Comment contrôler que l'utilisateur de la clé est un « gentil » ou un « méchant » ?

 

 

Pourquoi affaiblir les systèmes cryptographiques ?

Au niveau des Ministères de l'Intérieur, Euractiv (2) site officiel européen, note que le ministre de l’Intérieur allemand, Thomas de Maizière, a déclaré, en compagnie de Matthias Fekl, son homologue français, vouloir que les administrations des deux pays puissent demain « intercepter » les données (data chiffrées) comme aujourd'hui les appels vocaux en s’adressant aux opérateurs télécoms.

A la Commission européenne sur ce dossier sensible « trois ou quatre options » sont attendues pour juin 2017. Comme le relève Numérama, la commissaire européenne en charge de la justice, Věra Jourová, précise « que les solutions poussées par les décideurs politiques ne correspondent pas à une vision « européenne » du dossier. Ce n’est pas de cette manière que nous pouvons aider et assurer la sécurité des Européens ». On le voit, garantir la sécurité de la vie privée des citoyens tout en bénéficiant pour les services officiels de davantage d’accès à des informations « claires » s'avèrent complexe également au plan diplomatique. En gros, sur ce dossier la position européenne se situe entre celle du politique et celle de l'ingénieur.

Coté pays membres, Pays-Bas et Allemagne souhaitent conserver un haut niveau de protection, là où des pays comme la France et le Royaume-Uni, suggèrent un « affaiblissement légal » des mesures de sécurité (comprenez revoir les solutions de cryptographie).

Pour la législation actuelle, si la clé est détenue par l’éditeur de l’application comme pour les opérateurs télécoms, la loi prévoit une obligation de fournir les « conventions permettant le déchiffrement des données ». Dans ce cas - messageries non chiffrées « de bout en bout » - les opérateurs qui détiennent les clés de déchiffrement ont l’obligation de la livrer, voire même de déchiffrer eux-mêmes. Pour l'autre option, celle du chiffrement de « bout en bout » propre aux utilisateurs de services de messageries sécurisées comme Whatsapp ce sont les utilisateurs qui génèrent leur propre clé pour chiffrer et déchiffrer leurs messages. Dès lors, toute la problématique est concentrée au niveau du possesseur de la clé qui elle rappelons-le peut parfois se trouver sous le paillasson... 

Rappelons pour la culture technique de certains hommes politiques en particulier que les messageries sécurisées reposent sur un système asymétrique: les clefs ne sont donc pas les mêmes pour chiffrer et déchiffrer les messages. Impossible d'intervenir « en amont » ou « en aval » pour lire les données. En fait ce sont deux philosophies qui apparaissent avec l'usage de messageries « semi-publiques» (clé en possession des opérateurs) et l'usage de messagerie « semi-privées » (clé en possession des utilisateurs).

Parmi les acteurs de services de messageries « semi-privées », on trouve Whatsapp soit plus d'un milliard d'utilisateurs dans le monde et...60 milliards de messages chiffrés échangés chaque jour.  D'autres fournisseurs occupent également ce marché comme Telegram et quelques autres. Tous gèrent une technologie ou la clé de chiffrement et de déchiffrement n’est détenue que par l’utilisateur et son interlocuteur.

Le cœur du débat sur le respect de la vie privée se trouve là. Les politiques veulent aller plus loin que les ingénieurs qui dans leur grande majorité défendent les systèmes cryptographiques sans vouloir les affaiblir. Le pouvoir politique veut aussi soumettre le pouvoir des GAFA et de nombreux autres acteurs de l'économie numérique. Outre les industriels de la Silicon Valley, les politique devront faire face (on peut l'espérer) à... la loi. En effet, le législateur ne peut contraindre l'utilisateur a livré sa clé. Cette approche est condamnée par le droit international sur les des droits de l’homme. Un « détail » que certains politiques semblent oublier... Numérama rappelle qu'au plan individuel, des dissidents politiques utilisent ces messageries « sécurisées » pour échapper à la surveillance d’États autoritaires. Bref, il n y a pas que des terroristes qui utilisent ces services de messageries privées sécurisées.

  

Deux pistes de réflexion sont à l'étude

La première idée défendue par une partie de la classe politique européenne, c'est l’interdiction pure et simple des messageries qui pratiquent un chiffrement de « bout en bout », ce qui est irréaliste puisqu’il y aura toujours des développeurs pour en créer de nouvelles solutions d'échanges. Si une telle une interdiction intervenait, elle serait de surcroît difficile à  mettre en oeuvre car elle impliquerait vraisemblablement et arbitrairement la fermeture des services de WhatsApp, Telegram, Signal, iMessage...

La seconde option présente dans certains programmes politiques, on l'a expliqué, c'est d’obliger les hébergeurs de services de messagerie à intégrer des portes dérobées (backdoors), ce qui ne sera pas simple à mettre en œuvre voire impossible comme l'affirment les experts pour les applications « chiffrées de bout en bout ». De plus, cette approche ne règle pas un autre problème sécuritaire : le risque que ces accès secrets soient trouvés et exploités par d'autres Etats voire des... terroristes. Du coup, le « politique » l'UE et d'autres organisations porteraient une lourde responsabilité dans cette approche de légalisation des « backdoors d'Etat » sans pour autant régler le problème de l'usage des messageries sécurisées par les terroristes. Les populations d'internautes pouraient aussi ne pas comprendre ces stratgies "liberticides" d'atteinte à leurs données privées. 

Reste que le problème n'est pas simple à résoudre. Ainsi, bon nombre d'informations publiées par des médias d'origine US affirment que la CIA parviendrait déjà à contourner les applications sécurisées de WhatsApp et Telegram avant qu'elles ne soient chiffrées (1). Étrange mais... pas impossible si ce n'est totalement illégal. Dans ce cas, l'agence américaine comme d'autres exploiterait des vulnérabilités, nombreuses sur les solutions de sécurité installées et pas toujours signalées par ceux qui peuvent discrètement les exploitées.

@jpbichard

 

Dernière mise à jour:

http://cyberisques.com/83-categorie-3/661-dpo-news-cyberisques-chiffrement-la-lettre-du-conseil-national-du-numerique-au-ministre-de-l-interieur

 

Chiffrement-CNN-Avril-2017

 

1 - http://www.francetvinfo.fr/faits-divers/affaire/assange/wikileaks-revele-que-la-cia-peut-espionner-via-des-smartphones-ou-des-teles-connectees_2086479.html#xtor=AL-79-[article]-[contenu]

2 -http://www.euractiv.fr/section/innovation-entreprises/news/messageries-chiffrees-la-france-et-lallemagne-demandent-a-leurope-dagir/

 

* Jean Philippe Bichard 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

 

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_News consacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les IT Managers et DPO. 

 

This email address is being protected from spambots. You need JavaScript enabled to view it.

 

@cyberisques @jpbichard @DPO_NEWS

 

 

#Cyberisques : Sophos: tendances actuelles et émergentes pour la cybersécurité en 2017

Communication Corporate: Paris, 22 décembre 2017

 

Sophos : tendances actuelles et émergentes pour la cybersécurité en 2017

 

 

C-4

Photo Cyberisques 2016


 
 L’année 2016 a été marquée par un grand nombre de cyberattaques très diverses, allant d’attaques de type DDoS par le bais de caméra de sécurité connectées, jusqu’au supposé piratage de partis politiques durant les élections américaines. Nous avons aussi constaté une forte augmentation des fuites de données, aussi bien au niveau des petites que des grandes organisations, avec des pertes significatives de données personnelles des utilisateurs. En cette fin d’année, nous réfléchissons donc aux directions que vont prendre ces tendances en 2017.
Les tendances actuelles et émergentes :
 
Les attaques destructives de type DDoS utilisant les objets connectés vont augmenter.


En 2016, Mirai a montré le potentiel destructeur important que pouvaient avoir les attaques DDoS, du fait notamment du manque de sécurité des objets connectés. Les attaques de Mirai exploitaient seulement un faible nombre d’équipements et de vulnérabilités, en utilisant des techniques simples pour deviner les mots de passe. Cependant, d’autres cybercriminels n’auront aucun mal à étendre la portée de ce type d’attaque, du fait du nombre considérable d’objets connectés contenant des codes obsolètes, ainsi que des applications et systèmes d’exploitation non mis à jour contenant souvent des vulnérabilités bien connues. Il faut s’attendre à une utilisation plus systématique des exploits présents au sein des objets connectés et de techniques avancées permettant de deviner les mots de passe, pour compromettre une plus grande variété d’objets connectés, afin de mener des attaques de type DDoS ciblant d’autres équipements connectés à votre réseau.


 
Les attaques ciblées d’ingénierie sociale seront plus sophistiquées.


Les cybercriminels sont de plus en plus expérimentés pour exploiter la première des vulnérabilités : l’être humain.  Des attaques ciblées de plus en plus sophistiquées et convaincantes cherchent à duper et à amadouer les utilisateurs, afin de les pousser à se mettre en danger eux-mêmes. Par exemple, il est courant de voir des emails s’adressant à leurs destinataires par leurs noms et qui prétendent que ces deniers ont une dette impayée, que l’expéditeur en question serait autorisé à collecter. La peur, l’intimidation et les menaces de recouvrement au nom de la loi, sont des tactiques très utilisées et assez classiques. L’email en question vous redirige alors vers un lien malveillant, sur lequel les utilisateurs cliquent dans la panique, amorçant alors l’attaque. De telles attaques par hameçonnage (phishing), ne peuvent plus être détectées à la lecture par de simples erreurs grossières commises par les cybercriminels.


 
Les infrastructures financières deviendront des cibles privilégiées.


Les attaques ciblées de phishing, et particulièrement celles ciblant les dirigeants (whaling), vont continuer de croître. Ces attaques utilisent des informations détaillées concernant les dirigeants d’entreprises, afin de duper les employés et les inciter à envoyer de l’argent à des cybercriminels, ou à compromettre certains comptes bancaires. Nous nous attendons aussi à voir davantage d’attaques ciblant des infrastructures financière sensibles, telles que l’attaque ayant pris pour cible les institutions connectées au système SWIFT, qui a coûté à la banque centrale du Bangladesh 81 millions $, en février dernier. SWIFT a récemment admis que d’autres attaques de ce type avaient eu lieu, et qu’il s’attendait à en voir davantage en déclarant, dans une lettre adressée aux clients de la banque : « La menace est très persistante, adaptative et sophistiquée. Il faut s’attendre à ce qu’elle continue de sévir. ».


 
L’exploitation de l’infrastructure intrinsèquement non sécurisée d’Internet va se poursuivre.


Tous les internautes font encore confiance à de vieux protocoles fondateurs, que leur omniprésence empêche de réorganiser ou de remplacer. Ces protocoles archaïques qui ont pendant longtemps été les piliers de l’Internet et des réseaux professionnels sont aujourd’hui fragilisés, parfois d’une manière surprenante. Par exemple, les attaques contre BGP (Border Gateway Protocol) auraient pu, en théorie, perturber ou même mettre hors service une bonne partie du Web. Les attaques DDoS visant Dyn en octobre dernier (lancées depuis une multitude d’objets connectés) ont mis hors service un fournisseur majeur de services DNS, et ont de ce fait rendu inaccessible une partie de l’Internet. Il s’agissait de l’un des plus importants assauts jamais observés, et ceux à l’origine de ces attaques ont déclaré qu’il s’agissait seulement d’un coup d’essai. Les fournisseurs d’accès Internet et les entreprises peuvent bien évidemment prendre des mesures pour se protéger, mais pourraient trouver difficile d’éviter tous les dégâts importants potentiellement causés par des individus ou des états qui auront choisi d’exploiter les failles de sécurité les plus profondes du Web.


 
La sophistication des attaques va augmenter.


Le nombre d’attaques continue à augmenter, avec une sophistication croissante des techniques et de l’ingénierie sociale, qui reflète une analyse minutieuse et répétée des organisations et des réseaux de leurs victimes. Les cybercriminels peuvent compromettre de nombreux serveurs et stations de travail bien avant de commencer à voler des données ou agir de façon plus agressive. Ces attaques, en général pilotées par des experts, sont plus stratégiques que tactiques, et peuvent au final causer des dommages considérables. Il s’agit ici d’un monde très différent des attaques par malwares programmés et automatisés dont nous avons l’habitude. C’est un monde où la stratégie et la patience jouent un rôle beaucoup plus important pour échapper aux détections.


 
De plus nombreuses attaques utiliseront des outils d’administration intégrés.


Nous voyons davantage d’exploits basés sur PowerShell, le langage et kit de développement de Microsoft pour l’automatisation des tâches administratives. En tant que langage de script, PowerShell contourne les détections visant les exécutables. Nous voyons également plus d’attaques utilisant des tests de pénétration et d’autres outils d’administration existants, sans qu’ils soient à priori infiltrés et en général suspectés. Ces outils puissants demandent une vigilance toute particulière et des contrôle plus robustes.


 
Les ransomwares vont continuer à progresser.


Comme de plus en plus d’utilisateurs sont conscients de l’existence du risque d’attaques par ransomware via les emails, les cybercriminels exploitent d’autres vecteurs. Certains expérimentent des malwares qui infectent à nouveau le système ultérieurement, longtemps après que la rançon ait été payée. D’autres commencent à utiliser des outils intégrés, à la place de malwares exécutables, afin d’éviter d’être détectés par les solutions de protection Endpoint qui se focalisent sur des fichiers exécutables. De récents exemples ont proposé de déchiffrer les fichiers de leurs victimes si elles acceptaient de diffuser le ransomware vers deux autre contacts, et que ces personnes acceptent de payer. Les ransomwares commencent également à utiliser des techniques autres que le chiffrement, par exemple en détruisant ou corrompant les en-têtes de fichiers. Qui plus est, avec le grand nombre de ransomwares qui persistent sur le Web, les utilisateurs peuvent se retrouver victimes d’attaques sans espoir de pouvoir payer en dernier recours, car le système de paiement ne fonctionne plus.

 

Des attaques visant des objets personnels connectés vont émerger.


Les utilisateurs d’objets connectés domestiques s’imaginent rarement que leur veilleuse écoute-bébé puisse être piratée pour attaquer des sites internet. Cependant, dès qu’un pirate contrôle un équipement connecté à un réseau domestique, il peut plus facilement pirater d’autres équipements de ce réseau, tels que des ordinateurs portables contenant des données personnelles sensibles. Nous nous attendons à voir plus d’attaques de ce genre, ainsi que des attaques impliquant des caméras vidéo ou des microphones afin d’espionner les foyers. Les cybercriminels trouvent toujours un moyen de tirer profit de leurs attaques.


 
Le malvertising et la corruption des écosystèmes de publicités en ligne vont s’étendre.


Le malvertising, qui fonctionne en répandant des malwares sur les réseaux publicitaires et les pages web, existe déjà depuis plusieurs années. Cependant, nous avons pu observer en 2016 une recrudescence de ce phénomène. Ces attaques mettent en évidence des problèmes plus importants au sein de l’écosystème des publicités en ligne, telle que la fraude au clic, qui génère des clics payants et ne correspondent pas en réalité aux véritables centres d’intérêts de l’internaute. Le malvertising a engendré la fraude au clic, mettant les utilisateurs en danger et abusant les annonceurs par la même occasion.


 
La diffusion du chiffrement entraînera des problèmes collatéraux.


Le chiffrement se diffuse très largement et il est devenu plus difficile pour les solutions de sécurité d’inspecter le trafic, facilitant ainsi la vie des cybercriminels qui cherchent à s’infiltrer sans être repérés. Sans surprise, les cybercriminels utilisent le chiffrement de manière créative. Les produits de sécurité vont devoir rapidement intégrer les protections réseaux et client afin de pouvoir détecter des évènements pouvant affecter la sécurité après que le code ait été déchiffré au niveau des systèmes Endpoint.


 
Les cybercriminels s’intéresseront aux exploits des systèmes virtualisés dans le Cloud.


Les attaques contre des composants physiques (exemple de Rowhammer) ouvrent la voie à de nouveaux exploits potentiellement dangereux contre des systèmes cloud virtualisés. Les cybercriminels peuvent abuser d’un hôte ou bien d’un invité sur un système hôte partagé, attaquer la gestion des privilèges et potentiellement accéder aux données de tiers. De plus, comme Docker et les écosystèmes de conteneurs logiciels (« serverless ») deviennent de plus en plus populaires, les cybercriminels vont certainement se mettre à chercher des failles à exploiter dans le cadre de cette nouvelle tendance des systèmes d’information. Nous nous attendons donc à voir des tentatives actives pour rendre de telles attaques opérationnelles.


 
Des attaques techniques visant les Etats et les populations apparaîtront. 

Les attaques technologiques sont devenues hautement politiques. Les populations doivent faire face à des risques grandissants en matière de désinformation (« les fausses nouvelles ») et concernant les systèmes de vote. Par exemple, les experts ont démontré l’existence d’attaques permettant à un électeur, au niveau local, de voter de manière répétitive sans aucune détection. Même si les Etats n’organisent jamais d’attaques contre leurs adversaires aux élections, le sentiment que ce type d’attaques puisse exister est en soi une arme puissante.


 
Que peuvent faire les organisations pour se protéger contre ces nouvelles menaces ?


Malheureusement, encore trop d’organisations n’ont toujours pas mis en place les mesures de bases en matière de cybersécurité. Voici six mesures que les organisations devraient mettent en place pour tenir ces menaces à distance.


 
Passez d’une sécurité par couches à une sécurité intégrée.


Beaucoup d’organisations possèdent à présent de nombreuses solutions, qui à l’époque étaient les meilleurs choix possibles, mais qui aujourd’hui s’avèrent coûteuses et difficiles gérer. En vous orientant vers des solutions intégrées, où les divers éléments communiquent entre eux et travaillent ensemble, vous pourrez résoudre ce problème. Par exemple, si un malware désactive le logiciel de protection d’un système Endpoint, la sécurité réseau le détectera et pourra automatiquement mettre l’équipement en quarantaine, réduisant ainsi les risques encourus pour tout votre réseau.


 
Déployez une protection de dernière génération sur vos systèmes Endpoint.


Comme les ransomwares sont de plus en plus présents et les systèmes Endpoint de plus en plus variés, les organisations doivent changer leur vision en matière de cybersécurité. Les solutions à base de signatures ne sont plus suffisantes seules, et peuvent prêter le flanc à des attaques de type zero-day. Choisissez des solutions qui détectent et vous protègent contre les techniques et les approches utilisées par la plupart des exploits.


 
Etablissez les priorités de votre stratégie de sécurité en vous basant sur les risques encourus.


Aucune organisation ne possède les ressources suffisantes pour se protéger systématiquement contre toutes les menaces et le rêve d’une prévention efficace à 100% n’est plus réaliste. Aussi, il faut clarifier les risques associés à chaque système et focaliser vos efforts en conséquence. Les risques changent rapidement : choisissez des outils qui permettent de les suivre de manière dynamique et de répondre de manière appropriée. Cependant, assurez-vous que ces outils soient aussi faciles et pratiques à utiliser.


 
Automatisez les fondamentaux.


Vous ne pouvez pas vous permettre de perdre votre temps en éditant toujours les mêmes rapports et en réalisant répétitivement les mêmes actions de sécurité que vous avez déjà effectuées. Automatisez dès que possible, de manière simple et facile, afin de pouvoir dédier vos ressources limitées aux risques les plus importants et aux tâches à forte valeur ajoutée.


 
Mettez en place des équipes et des processus pour contrer les attaques par ingénierie sociale.


Depuis que les attaques par ingénierie sociale prédominent, l’éducation des utilisateurs et leur implication dans la prévention sont devenues encore plus importantes. Concentrez-vous sur l’éducation et la sensibilisation aux menaces que chaque groupe est susceptible de rencontrer. Assurez-vous que ces conseils soient bien à jour : des conseils obsolètes concernant des sujets tels que le phishing peuvent réellement être contreproductifs, offrant ainsi un faux sentiment de sécurité.


 
Améliorez la coordination de votre défense.


Le cybercrime est un crime organisé : la défense doit l’être aussi. Cela signifie qu’il faut choisir des outils et des processus qui réduisent au maximum les barrières au sein de l’organisation, de manière à favoriser les réponses rapides et coordonnées de tous face une attaque. Cela signifie également la recherche des opportunités pratiques et légales de collaboration avec d’autres entreprises et avec le gouvernement, afin de minimiser les attaques les plus répandues et apprendre de celles qui ont déjà frappé.

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

This email address is being protected from spambots. You need JavaScript enabled to view it.

#Cyberisques

 

 

 

 

 


 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information