Tribune: ESET DarkNet : le marché noir des cybercriminels

Tribune: ESET 

 

DarkNet : le marché noir des cybercriminels

Tout comme le crime, les cybermenaces ont souvent une finalité financière. Désormais, ce type d’activité se mène autant dans le réel que dans le virtuel, dans des endroits souvent discrets, à l'abri des autorités policières. Nommée Dark Net ou plus largement Deep Web, cette partie cachée de l’Internet est source de rumeurs et d’incompréhensions. Les chercheurs ESET, qui connaissent bien ces univers parallèles, collaborent régulièrement avec les organisations internationales telles qu’Europol, en leur fournissant toute information ou recherche leur permettant de les faire avancer dans leurs enquêtes.

 

Quelle différence entre le Deep Web et le Dark Net

Le Deep Web forme un ensemble de pages Internet non indexées par les moteurs de recherche classiques. Les pages non répertoriées peuvent correspondre à des formats particuliers difficiles à intégrer aux fonctions des moteurs de recherche, ou à des sites volontairement cachés, mais qui ne sont pas forcément illégaux. Certaines pages sont protégées par des mots de passe, d'autres sont chiffrées.

Le Dark Net est la partie du Deep Web où se déroulent des activités illégales. C’est pour cette raison que les utilisateurs doivent naviguer discrètement afin d’éviter de se faire repérer. Pour cela, il est nécessaire d’utiliser Tor® et de s’équiper d’un navigateur spécifique.

00 breach happens-100540479-orig

 

 

Comment s’organise le Dark Net ?

Le Dark Net est le lieu où les offreurs rencontrent ceux qui veulent acheter des biens ou services illégaux, dont la monnaie principale est le Bitcoin. L’organisation du cybercrime est similaire à celle d’une entreprise traditionnelle, plusieurs métiers sont nécessaires et complémentaires : les développeurs conçoivent les logiciels malveillants, mais ils ne sont pas pour autant ceux qui vont les exploiter.

En France, au sein de l'underground, les forums, places de marché et autres autoshops (e-boutiques tenues par un seul vendeur) nécessitent pour y accéder une adhésion. Cette adhésion est conditionnée par un score de réputation. Comme dans un gang mafieux, il faut montrer patte blanche grâce à une expérience reconnue par le groupe du forum concerné.

Une fois admis, les membres intègrent un classement toujours en fonction de leurs exploits et de leur notoriété. Les plus haut classés accèdent à des responsabilités d'administrateur de la place de marché ou du forum.

Toutefois, cet univers violent possède ses lois et il n’est pas rare que des luttes et rivalités entre cyber-marchands éclatent. Pour s'autoréguler, les administrateurs du Dark Net tentent d'imposer des règles. Un mur de la honte a même été créé sur certains forums. En effet, les cybercriminels n'hésitent pas à se blacklister entre eux.

Si l'on zoome sur ces espaces particuliers dissimulés sur Internet, on rencontre des environnements propres à certains pays (Japon, Russie, France, Grande-Bretagne...). La langue, la monnaie et les produits proposés participent à cette organisation segmentée via des frontières virtuelles.

 

 

Prix-Underground-Promos-Russes-2015

 

L’underground français : un CA de 5 à 12 millions d'euros chaque mois

L’underground français reste relativement modeste avec près de 450 000 cybercriminels toutes compétences confondues. Selon plusieurs experts, dont ceux d'Europol et de la gendarmerie nationale, l'ensemble de ces transactions génèrerait entre 5 et 12 millions d’euros chaque mois en France.

Voici quelques principes de fonctionnement communs à tous les univers underground (forums, places de marché, espaces transactionnels...) :

- les cybercriminels sont souvent membres de plusieurs places de marché

- les forums et marchés émergent et disparaissent rapidement par crainte des forces de l'ordre et des conflits entre gangs qui défendent leurs places de marché

- plus le score de réputation est élevé, plus le cybercriminel est considéré comme étant de confiance

- les transactions s'effectuent de plus en plus via des tiers qui prennent une commission allant de 5% à 7%, souvent en monnaie Bitcoin

- les cartes prépayées obtenues avec de faux numéros de mobiles sont très utilisées

 

ESET-Stegano-Dec-2016

 

 

Que trouve-t-on sur le Dark Net ?

Selon la police et la gendarmerie françaises, les offres underground sont très structurées au plan tarifaire. Ainsi, au rayon drogues, le cannabis et le hachisch se vendent entre 6€ et 15€ le gramme, selon la qualité et l’origine. Le Dark Net offre quantité de services et produits illégaux : des clés passe-partout, de faux diplômes, des numéros de carte de crédit, de la drogue ou des armes… Mais aussi des trafics d’organes, une notice pour réaliser un attentat, des fichiers pédopornographiques et, ce qui nous intéresse ici, toute sorte de malwares : des ransomwares prêts à l'emploi, des RAT (outil de prise de contrôle à distance), des services botnet, tout comme des RoT[1] (qui devraient constituer l’une des principales menaces en 2017 selon ESET). Des modèles sont déjà proposés sur les places de marché underground.

 

6a01310f70b1f2970c017c3270d6b3970b

 Richard Marko CEO d'ESET

 

Une collaboration avec les autorités pour traquer les cybercriminels

ESET collabore depuis de nombreuses années avec des organisations internationales comme Europol (lire l’article sur la collaboration d’ESET en 2015 qui a permis de perturber les activités des botnets Dorkbot).

Jean-Ian BOUTIN, expert et chercheur en logiciels malveillants chez ESET, met l'accent sur la récupération de données des serveurs botnet afin de « comprendre d’où viennent les ordres qu’ils reçoivent ». Cette approche se fait en collaboration avec des organisations telles que le FBI, Microsoft, Interpol... « L'idée est de savoir qui se cache derrière les botnets », ajoute Jean-Ian BOUTIN. En 2017, la collaboration entre les autorités et les éditeurs experts en sécurité informatique est essentielle dans la lutte contre la cybercriminalité.

Benoît Grunemwald ESET France 

 

BONUS: 

https://www.eset.com/fr/livres_blancs/livre_blanc_ransomwares/

http://cyberisques.com/fr/mots-cles-15/499-fioc-2016-ateliet-gestion-de-crise-rssi-groupe-sncf-edf-airbus-ministeres

 

 

 

#Cyberisques : 2017 : Prévisions Gigamon

Corporate Communication: 

Shehzad Merchant, Chief Technology Officer chez Gigamon

 

 

Les 10 tendances cloud & sécurité de 2017

 

 


L’ANSSI vient de publier SecuNumCloudle premier référentiel pour qualifier les prestataires cloud. Deux référentiels sont prévus par l’autorité nationale. Le premier « Essentiel », qui vient d’être publié, définit le prestataire cloud comme « à un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client ». Le second « Avancé » ajoute un degré d’exigence : « Il correspond à un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence importante pour le client, voire pourrait mettre en péril sa pérennité. »

Intimement liées, les problématiques associées au cloud et à la sécurité doivent être traitées ensemble afin d’accompagner la digitalisation sécurisée des organisations. Ces exemples de mesures démontrent une nouvelle fois que l’année prochaine verra un certain nombre de changements importants sur ces marchés.

Shehzad Merchant, Chief Technology Officer chez Gigamon, s’est penché sur les cinq prévisions principales qui attendent respectivement ces domaines en 2017 :

Top 5 des prédictions pour le cloud –

  1. 1.     Cap sur le SaaS. Les gens parlent du cloud depuis plusieurs années. Cependant, pour aller de l'avant, la conversation devrait se structurer davantage et se préciser. A mesure que les organisations commencent à différencier l’Infrastructure as a Service (IaaS) du Software as a Service (SaaS), ce dernier reprendra plus de vitesse en 2017 notamment grâce au nombre croissant de fournisseurs qui offrent une plus grande variété d'applications. Les entreprises chercheront d'abord à « SaaS-ifier » leurs applications localement sur site et, si elles ne peuvent pas le faire, se tourneront ensuite vers l’; faute de quoi elles retomberont dans le cloud privé.
  1. 2.     La visibilité du réseau au service du changement.Traditionnellement, le passage au cloud – en particulier l’IaaS – a été entravé par des réticences au niveau de sa sureté, et peut-être aussi par un manque de solutions de sécurité et de surveillance équivalentes à celles disponibles localement sur site. Cela évolue aujourd'hui, en grande partie grâce à une nouvelle génération d'outils de visibilité en ligne qui offrent une plus grande transparence et une meilleure sécurité des données en mouvement. Cela devrait pousser les organisations à accélérer leurs plans afin de profiter de l'élasticité et de l'agilité de l’IaaS.
  1. 3.     Les « Joyaux de la» dans le « nuage ». Les entreprises dépasseront la simple utilisation du cloud à des fins de test / développement ou de stress test. Encore une fois, parce qu'elles veulent profiter de l'élasticité et de la capacité à la demande du cloud, elles chercheront désormais à exploiter l’IaaS pour héberger les applications Tier-1 de grande importance, considérées comme « les joyaux de la couronne. »
  1. 4.     Encore plus de vols de données. Déplacer les applications critiques dans le cloud induit un grand changement qui aura pour conséquence, avec la prise de valeur des données, d’inciter les attaquants à redoubler d’efforts pour accéder à ces informations plus lucratives, critiques ou spécifiques à un client. Les entreprises seront soumises à des attaques plus ciblées et verront le nombre de violations augmenter. Toutefois, en regardant le côté positif, 2017 verra les organisations renforcer la priorité sur la sécurité, migrer leur plateforme de sécurité et leurs outils en parallèle de leurs applications critiques.
  1. 5.     Amazon et Microsoft Azure resteront en tête de file.Prochainement, nous verrons apparaître un oligopole au sein duquel Amazon et Microsoft Azure consolideront leurs rôles en tant que fournisseurs de solutions IaaS leaders du marché. IBM et Google deviendront quant à eux des acteurs secondaires de l’IaaS. Et pendant qu’Oracle émergera comme un acteur clé sur le marché des Platform-as-a-Service (PaaS), les joueurs restants. . .disparaîtront.

Top 5 des prévisions de sécurité –

  1. 1.     La sécurité de l'IoT (Internet of Things) deviendra une préoccupation mortelle. Les objets connectés qui sortent actuellement sur le marché vont du moniteur de fréquence cardiaque aux pompes à insuline, en passant par les automobiles. Ceux-ci vont générer des défis potentiellementsi victimes de malveillance, ou de mauvaise manipulation ; une réalité d’autant plus frappante que la sécurité des périphériques a été le plus souvent une réflexion à posteriori. Un cas de figure non envisageable lorsque des vies humaines sont directement en jeu. L'ensemble du modèle doit donc être inversé, la sécurité étant la priorité absolue.
  1. 2.     Renforcement de la réglementation. Une poussée massive en faveur d’une réglementation accrue de l'industrie autour de la sécurité des objets connectés – un problème qui ne peut pas être résolu simplement en demandant aux éditeurs de logiciels de créer des codes plus sécurisés. Bien que cela ne soit probablement pas encore en place en 2017, l'appel à la réglementation devrait toutefois augmenter de façon significative.
  1. 3.     Changement de responsabilité en matière de sécurité. Les fournisseurs de services ont historiquement adopté une vision relativement agnostique en matière de sécurité. Mais dans le cadre du renforcement des réglementations, ils seront forcés de jouer un rôle plus actif – en particulier parce qu'ils sont les mieux placés pour faire quelque chose au sujet de la sécurité dans le monde de l'IoT, et qu'ils seront probablement bientôt réglementés.
  1. 4.     Automatisation des processus de sécurité. Au cours de l’année à venir, le volume des attaques en ligne dépassera la capacité humaine de les aborder. Par conséquent, l'automatisation des processus de sécurité deviendra un nouveau mantra, les organisations ne souhaitant plus dépendre d'une intervention manuelle pour sécuriser leurs systèmes.
  1. 5.     Le rôle des Etats-nation dans la cyberguerre va changer et se développer. Dans un monde dominé par la puissance militaire traditionnelle, le cyber peut devenir une grande force d'égalisation. Les petits États nationaux, en particulier, joueront un rôle plus actif, en investissant dans la construction de capacités de cyberguerre et de renseignement. Une armée immense n’est plus nécessaire pour détruire un réseau électrique national ou causer d’importants dommages physiques.

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

PREVISIONS PROOFPOINT CYBERSECURITE 2017

Communication Corporate:  1er décembre 2016

 

 

 

PREVISIONS PROOFPOINT CYBERSECURITE 2017

 

 

En 2017, les hackers continueront d'exploiter l’humain pour installer des logiciels malveillants, transférer des fonds et voler des informations. Des changements significatifs auront cependant lieu dans les techniques et comportements adoptés au travers des trois principaux vecteurs qui ciblent les personnes : l'e-mail, les médias sociaux et les applications mobiles.

 

ransomware bn

Baisse d’intensité des menaces avancées En 2016, il ne s’est pratiquement pas écoulé une semaine sans une intensification des campagnes d’e-mails propageant le logiciel rançonneur Locky. Ces campagnes ciblent des centaines de millions de victimes potentielles à travers le monde afin que, même avec de faibles taux de diffusion, des milliers de messages atteignent néanmoins leurs cibles. Cependant, elles accentuent également le risque que les éditeurs de solutions de sécurité et les chercheurs observent et analysent leurs nouvelles techniques et charges malveillantes. Malgré l’intégration de techniques de filtrage de plus en plus élaborées destinées à masquer leurs campagnes, les auteurs de kits d’exploitation ont eux aussi constaté que des attaques à grande échelle peuvent présenter autant de risques que d’avantages.

Nous prévoyons donc qu’en 2017, les auteurs de menaces avancées vont revenir à des campagnes de moindre ampleur, plus ciblées, pour diffuser leurs malwares. Les campagnes d’e-mails volumétriques ne vont pas disparaître mais seront réservées à des codes malveillants « banalisés », tels que des exécutables compressés au format zip (notamment du JavaScript), afin de propager des variantes de ransomwares commerciaux, tandis que les campagnes plus ciblées vont voir augmenter tant leur nombre que leur complexité. Les kits d’exploitation vont poursuivre leur tendance récente, à savoir des attaques à plus petite échelle et le ciblage de zones géographiques où leurs activités sont moins susceptibles d’être surveillées par les chercheurs en sécurité.

Essoufflement des macros malveillantes L’an passé, nous avions prévu que les campagnes volumétriques de macros malveillantes de 2015 finiraient par s’essouffler vers la mi-2016. Cette prévision s’est globalement réalisée : lors des campagnes massives qui ont suivi la panne du botnet Necurs en juin, des fichiers JavaScript et autres exécutables zippés diffusant Locky (avec l’appui de Dridex) ont dans une large mesure remplacé les documents joints contenant des macros malveillantes. Cependant, ces dernières ont continué d’être largement utilisées dans des campagnes plus ciblées et de moindre ampleur, propageant des chevaux de Troie bancaires tels que Dridex, Ursnif, Vawtrak et – vers la fin de l’année 2016 – divers autres malwares, servant à intercepter des frappes clavier (keyloggers), à accéder aux ordinateurs à distance (RAT), à télécharger des codes malveillants (downloaders) ou à dérober des informations (stealers). Des innovations constantes en vue d’échapper aux « sandbox » ont donné un second souffle à ces attaques de macros mais nous nous attendons à ce que, d’ici avril 2017, ces mesures ne suffisent même plus à assurer des taux d’efficacité générant un retour d’investissement sur ces campagnes. Les attaques de fichiers JavaScript (js, wsf, hta, vbs) zippés se poursuivront mais seront aussi minoritaires que les exécutables zippés. Parallèlement, les cybercriminels ne cesseront d’améliorer et d’automatiser davantage encore les campagnes de spearphishing pour en faire des attaques « individualisées » à plus grande échelle, en y ajoutant des informations d’identification personnelle afin de rendre leurs messages plus crédibles. Une recrudescence des attaques de documents exploitant des vulnérabilités est peu probable (voir la section suivante). Les auteurs des attaques se concentreront plutôt sur l’ingénierie sociale pour lui donner un rôle central dans la chaîne d’infection, en incitant les utilisateurs à cliquer sur des exécutables incorporés à des documents afin de leur faire installer des logiciels malveillants se faisant passer pour des applications authentiques incluses en pièces jointes, accessibles via des liens pointant vers de véritables sites d’hébergement ou des services de partage de fichiers, ou bien travestis en éléments familiers de l'interface utilisateur Windows.

Remplacement des kits d’exploitation par des « kits humains » Les kits d’exploitation mettent à profit l’existence de vulnérabilités pouvant être ciblées avec efficacité sur les machines des victimes potentielles. A cet égard, la baisse constante, depuis plusieurs années, à la fois du nombre total des failles rendues publiques et, plus important encore, des moyens publiés de les exploiter met en péril le modèle économique de ce type d’outils cybercriminels. Alors que les nouvelles vulnérabilités exploitables sont de moins en moins nombreuses, que les entreprises et les utilisateurs installent plus régulièrement les correctifs, que la sécurité des navigateurs et des systèmes d’exploitation se renforce et que les auteurs des attaques se voient contraints de combiner plusieurs failles, l’effondrement des kits d’exploitation en 2016 peut être considéré, au moins en partie, comme une prise de conscience par les acteurs malveillants de la nouvelle réalité des attaques de ce type : leur durée d’efficacité est réduite et elles deviennent de moins en moins fiables en tant que vecteur de diffusion de malware. Nous avons déjà observé en 2015 un phénomène comparable touchant les campagnes d’e-mails, lorsque les attaques d’ingénierie sociale sous la forme de documents joints contenant des macros malveillantes ont largement remplacé celles exploitant des vulnérabilités dans les documents PDF et Office. Pour 2017, nous pensons que les kits d’exploitation vont connaître une évolution similaire en étant de plus en plus axés sur l’ingénierie sociale : les groupes évolués, notamment ceux utilisant ces kits et les publicités malveillantes, vont continuer de délaisser les vulnérabilités des logiciels au profit de tentatives de leurrer les utilisateurs. Les kits d’exploitation deviendront des « kits humains » regroupant un éventail étendu de techniques conçues pour amener les utilisateurs à infecter leur propre machine avec une charge malveillante, par le biais d’une publicité, d’une incitation à cliquer ou encore de messages personnalisés de manière convaincante, à l’exemple de ceux que nous avons observés dans les campagnes d’e-mails en 2016. Dans le même temps, les kits d’exploitation ne vont pas disparaître pour autant mais ils deviendront plus ciblés, visant des utilisateurs dans des régions du monde traditionnellement plus lentes à installer les correctifs et où la surveillance des chercheurs est moins intense. De nouveaux kits continueront d’arriver sur le marché, avec des fonctionnalités leur permettant de tirer le meilleur parti des failles disponibles, qu’elles soient publiées ou de type « zero day ».

Poursuite de l’évolution des escroqueries par e-mail en entreprise (BEC) et des lourdes pertes occasionnées Depuis la mi-2015, les escroqueries par e-mail (BEC, Business Email Compromise) représentent une menace majeure pour les entreprises, causant plus de 3 milliards de pertes selon des estimations récentes. Le montant global de ces préjudices est appelé à augmenter même si le nombre d’incidents de grande ampleur de ce type est en recul grâce au renforcement des procédures et des contrôles financiers dans les grandes entreprises. Au sein de celles-ci, ces nouvelles règles éviteront totalement les pertes spectaculaires de 2015 et 2016 en instaurant un contrôle plus strict des ordres de virement. Malheureusement, ces changements ne seront pas universels et, en dehors des zones développées d’Amérique du Nord et d’Europe, il restera possible pour des individus de passer de faux ordres de virement. Même dans les pays où des contrôles renforcés sont mis en place, les petites et moyennes entreprises resteront vulnérables aux attaques BEC et verront s’accroître leur part dans le montant global des pertes. En outre, nous continuerons d’observer des variations saisonnières de ces attaques, à l’image des campagnes « W2 request » qui ont marqué le début de l’année 2016, mais ces cas demeureront relativement peu fréquents.

Automatisation complète des attaques de phishing Angler L’an dernier, le phishing de type Angler s’est développé tant en termes d’étendue des cibles que de sophistication des techniques d’ingénierie sociale employées. Pourtant ces attaques n’ont pas atteint le degré d’automatisation couramment observés dans les kits d’exploitation et de phishing : en 2016, on voyait encore des fautes de copier-coller, de grammaire et d’orthographes, des noms de marque incorrects dans les messages et autres erreurs fréquentes révélatrices d’un travail fait à la main. En 2017 nous prévoyons que les escrocs feront appel à l’automatisation et à un niveau élémentaire de traitement du langage naturel afin de perfectionner leurs techniques d’attaque. Cela devrait leur permettre de cibler à la fois un plus grand nombre de marques et de victimes dans chaque campagne de messages frauduleux. Les auteurs des attaques ont déjà montré leur capacité à synchroniser le lancement de leurs campagnes sur celui des produits, au moment où une intensification des communications est attendue sur les canaux de support des réseaux sociaux : nous prévoyons une accentuation de cette tendance en 2017 en raison de la montée en puissance des ressources.

Poursuite de l’accélération des attaques via les réseaux sociaux et exploration de nouveaux territoires L’hypercroissance des réseaux sociaux a ouvert la voie à une croissance tout aussi rapide des attaques sur ces plates-formes, ainsi qu’à une évolution simultanée des attaques les utilisant comme vecteur. En raison de leur retour sur investissement nettement plus élevé, nous prévoyons que le rythme de croissance des attaques sur les réseaux sociaux s’accélérera en 2017.

En particulier :

● Progression annuelle supérieure à 100 % des escroqueries et du phishing sur les réseaux sociaux

● Progression annuelle supérieure à 500 % du spam sur les réseaux sociaux

● Augmentation significative des fraudes et des contrefaçons utilisant de faux comptes sur les réseaux sociaux

● Augmentation significative des techniques intégrées de fraude utilisant des comptes sur les réseaux sociaux, de fausses applications mobiles, des sites web frauduleux et des e-mails d’imposteurs Snapchat sera plus particulièrement dans la ligne de mire en 2017. Alors que ce réseau social s’est imposé comme l’une des plates-formes de communication les plus actives, il n’a pas encore fait l’objet d’attaques de grande ampleur.

Nous prévoyons qu’en 2017, soit un certain nombre de campagnes d’envergure seront lancées avec succès, soit une faille de sécurité majeure sera révélée dans la plate-forme elle-même, avec la publication d’une preuve de concept (du code informatique permettant de l’exploiter).

Par ailleurs, les plates-formes de paiement sur les réseaux sociaux seront vraisemblablement la cible d’attaques plus soutenues en 2017. Alors que les réseaux sociaux deviennent de plus en plus évolués, bon nombre d’entre eux (à l’exemple de Facebook, Wechat, Line, etc.) ont lancé des services de paiement. Ces services voient leur volume de transactions augmenter à mesure que leurs écosystèmes s’enrichissent de fonctionnalités. En 2017, ces tendances vont attirer l’attention des pirates et les platesformes de paiement sont mûres pour des attaques ciblées exploitant des vulnérabilités ou des techniques d’ingénierie sociale.

Menaces mobiles : le génie est sorti de la bouteille L’année 2016 a marqué un tournant dans le paysage des menaces mobiles avec l’émergence du risque de clones malveillants d’applications répandues, l’utilisation accrue du « sideloading » pour la diffusion d’applications non autorisées et la disponibilité d’outils d’attaque ciblée pour les mobiles, éliminant tout doute pouvant subsister quant au fait que ces appareils – et leurs utilisateurs– sont aussi vulnérables aux attaques que les ordinateurs, voire davantage encore dans la mesure où ces dangers demeurent moins bien compris. En 2017, des attaques « zero day » telles que celles menées par le kit mobile Pegasus et les vulnérabilités « Trident » associées ne seront plus uniquement le fait d’acteurs étatiques ciblant des dissidents mais toucheront également les entreprises et les particuliers. Grâce à ces outils et à d’autres, les cybercriminels passeront de plus en plus par les systèmes SMS et iMessage pour diffuser des URL malveillantes voire des attaques « zero day ». Celles-ci seront à la fois massives, par exemple sous forme de phishing visant les mots de passe des comptes bancaires et les numéros de carte, et ciblées en direction de certains employés et responsables d’entreprises. Dans le même temps, la catégorie des logiciels malveillants et dangereux va s’étendre aux applications frauduleuses, que les utilisateurs sont incités à installer par des techniques d’ingénierie sociale usurpant le nom de l’éditeur. Ces applications peuvent avoir pour but d’infecter les appareils mobiles ou tout simplement de dérober de l’argent en se servant du nom d’une marque authentique pour amener par ruse les utilisateurs à effectuer des achats par carte de crédit ou à cliquer sur des publicités frauduleuses.

Recrudescence des attaques étatiques allant au-delà du piratage de données La nouvelle administration américaine présente de nombreuses inconnues dans des domaines allant de la politique commerciale à celle de défense. Les prochaines élections en France et dans d’autres pays européens peuvent également aboutir à un niveau d’incertitude similaire. C’est pourquoi, en 2017, nous nous attendons à une recrudescence des cyberattaques étatiques et, en particulier, des intrusions sophistiquées et sournoises (menaces persistantes avancées, ou APT) ciblant toutes les branches de l’administration américaine à partir de divers pays, notamment un regain d’activité d’acteurs étatiques chinois relativement calmes. Comme l’a montré la campagne signalée le 9 novembre, l’email demeurera le principal vecteur pour le ciblage de personnes et d’entreprises susceptibles d’avoir accès à des données aidant des puissances étrangères à connaître et anticiper les politiques et les projets des nouveaux gouvernements aux Etats-Unis et en Europe dans le cadre de négociations diplomatiques et commerciales. En outre, la nature des cyberattaques étatiques va s’étendre considérablement au-delà du vol de secrets et de l’espionnage industriel. Avec l’efficacité du « doxing », du vol de données, des révélations embarrassantes et de la désinformation déjà démontrée dans de nombreux pays, de plus en plus de gouvernements tenteront de recourir à des cyberattaques pour s’approprier des informations et exploiter les réseaux sociaux et les sites d’actualités afin de semer la zizanie et le chaos dans d’autres Etats pouvant éventuellement nuire à leurs intérêts. Sur les réseaux sociaux, des trolls étatiques ciblent d’ores et déjà des dissidents et des critiques de certains régimes, une pratique bien documentée en Europe centrale et de l’Est et observée aux Etats-Unis durant le mois qui a précédé l’élection présidentielle. En 2017, elle deviendra plus répandue et plus agressive, employée par divers acteurs étatiques dans le dessein d’influencer les débats publics et les décisions politiques.

(Source Communication Corporate)

 

BONUS: 

Autres prévisions acteurs IT:

http://www.cyberisques.com/fr/component/content/article/91-categorie-2/sous-categorie-2-2/594-2017-quelles-evolutions-selon-kl 

 

 

 

 

 

 

Enquete ESET : 70% des utilisateurs reconnaissent avoir une mauvaise connaissance des menaces

Enquête éditeurs: Eset novembre 2016

 

 

Enquete ESET : 70% des utilisateurs reconnaissent avoir une mauvaise connaissance des menaces

 

ESET-V10-436629-home-network-protection

La dernière édition V10 de l'éditeur Eset intégre dans  

son mode domestique une vision globale du réseau domestique 

 

Suite à la rédaction d'un double questionnaire destiné d'une part aux utilisateurs BtoC et d'autre part à leurs revendeurs, ESET France a pu établir un certain nombre de tendances liées aux comportements des utilisateurs. Cette enquête a ete dévoilée en novembre 2016.

Cette approche duale utilisateurs et revendeurs constitue une première en France dans le monde des éditeurs de solutions de sécurité. Elle offre l'avantage de livrer une photo, un instantané rapide mais révélateur face à une situation complexe : attaque via des objets connectés, usage en progression des smartphones peu protégés, multiplication de la violation de données privées, usage de webcams par des réseaux de botnets...

Deux tendances apparaissent selon , diversité des usages coté utilisateurs et rôle stratégique en sensibilisation, formation, conseils coté revendeurs.

Chez les utilisateurs, plus de 50% ont installé des solutions AV gratuites, 80% avouent avoir été infecté. 70% déclarent posséder un niveau moyen en informatique mais revendiquent à une tres forte majorité une bonne connaissance des menaces (plus de 90%). Un peu plus surprenant plus de 75% d'entre eux disent s'assurer qu'il sont protégés contre ces menaces lors de l'achat de l'équipement (smartphones inclus). Si ce chiffre peut paraître compréhensible pour les PC et portables souvent équipées de solutions « pro » AV en usine, ce n'est pas le cas pour la plupart des smartphones et tablettes.

Coté performances, à la question pensez vous que les solutions AV ralentissent votre machine, ils sont exactement le même nombre (42%) a répondre oui ou non. Bref les effets « collatéraux » de certaines solutions de filtrage « lourdes » sur les devices ne semblent pas êtres perçus par les utilisateurs de solutions « home ».

En revanche et c'est un peu surprenant, près de 50% d'entre eux affirment employer des mots de passes « compliqués » et « différents ». Un pourcentage très élevé par rapport à la moyenne globale des users BtoC en France. L'autre moitié déclare a 30% utiliser plusieurs mots de passe « simples » en fonction des applications. Ils sont seulement 17% a « reconnaître » utiliser le même mot de passe « simple » pour l'ensemble des applications.

En revanche c'est une minorité - 30% - qui enregistre le mot ou les mots de passe via les navigateurs. D'autres enregistrent plusiuers mots de passe différets mais simples. 

Sur les usage de certaines fonctions telles que la webcam les utilisateurs restent peu nombreux a déclarer les utiliser avec à peine 30%. Ce n'est pas par crainte d'un éventuel piratage car plus de 70% estiment sans doute a tord que personne ne peut prendre le contrôle de leur webcam. Étonnant quand on sait que l'actualité encore très récemment a démontré le contraire. Fin juillet, 10 000 dollars avaient ainsi été demandés à un internaute australien en échange de vidéos préjudiciables obtenues par piratage de sa webcam. Dans un autre ordre d'idée, on sait que récemment des réseaux domestiques (contrôle des équipements de la maison) et des voitures connectées ont été piratés. L'enquête d'Eset revèle que 15% des réseax domestiques présentent une faille de sécurité due à la vulnérabilité des applications et au faible niveau des mots de passe.

Revendeurs : des conseils de plus en plus nécessaires

 

Face a certaines « lacunes » coté » utilisateurs « home », les revendeurs ont un rôle de conseils primordial. Chez les revendeurs de solutions AV pour particuliers, l'étude de ESET France montre que bon nombre de réponses viennent confirmer les orientations indiquées plus haut par les utilisateurs-clients.

 

Ainsi, à la question sur d'éventuelles demandes de la part de leurs clients pour obtenir des solutions propres à la sécurité de leurs webcams, plus de 90% d'entre eux répondent négativement. Une réponse qui recoupe celle faite par les utilisateurs. En revanche les revendeurs sont plus nombreux que les utilisateurs a constater que parmi leurs clients ayant utilisé (avant de venir chez eux) des solutions AV gratuites, pratiquement 80% des utilisateurs ont été infectés.

 

Parmi les critères demandés par les utilisateurs aux revendeurs en matière de choix d'une solution AV, plus de 85% des clients estiment déterminant la rapidité et la légèreté de la solution. Deux critères que l'on retrouve dans les solutions ESET comme un élément différenciateur fort. Il n'y a pas de hasard ! 

 

  @jpbichard

 

 

DDoS: La taille de l’attaque la plus importante a augmenté de 73 % par rapport à 2015, pour atteindre 579 Gbit/s selon Arbor

Arbor Networks : publication des données mondiales sur les attaques DDoS pour le premier semestre 2016

La taille de l’attaque la plus importante observée atteint 579 Gbit/s, soit une hausse de 73 % par rapport à 2015.

 

Entretien  Eric Michonnet Arbor Networks:

 

Pourquoi la taille des attaques DDoS augmente ?

Elles suivent les évolutions des infrastructures disponibles sur les datacenters que les Botnet exploitent. Une attaque distribuée met en jeux de multiples Datacenters mais pas seulement les datacenters. Des caméras de vidéo surveillance ou des prises commandées peuvent lancer des attaques. L'arrivée d'IoT sans protocoles sécurisés mais accessibles de partout suppose que des injections de malwares sont désormais basées sur ces « nouveaux » supports pas si anodins que çà. Idem pour la voiture connectée qui utilise un protocole qui a des failles.

 

 

Un double filtrage sur les datacenters pour attaques entrantes et attaques sortantes c est possible pour Arbor. Pourquoi n est ce pas réalisé ?

Le type d'attaque que l'on traite en priorité, c'est du contournement. Acheminer les données massivement va finir par poser un problème technique aux acteurs IT pour réaliser un traitement efficace. En fait, l’autorégulation n'est pas faite pour Internet car la concurrence entre acteurs utilisant tous Internet rend impossible cette approche.

 

Alors que proposez-vous de nouveau ?

Chez Arbor, nous combattons les attaques DDoS via nos solutions basées au départ sur le filtrage volumétrique du protocole. Aujourd'hui, elles s'orientent de plus en plus vers le contenu comme pour la détection des malwares par exemple. Nous sommes dans la détection comme les éditeurs AV mais nous ne traitons pas le problème de l éradication ce n'est pas notre métier plus orienté sur l'adresse IP. A ce niveau, nous « voyons » en permanence plus du tiers du trafic mondial d’internet.

 

 

Justement, vous pourriez aider vos clients pour détecter toutes les formes de cyber-menaces qui évoluent sans cesse...

En montant en compétence, nous sommes amenés a réaliser certains filtrages sur certaines familles de malwares. Cela dit nous restons au niveau communication en coupant par exemple la connexion à une adresse IP qui sert aux malwares pour communiquer avec leurs serveurs « pirates ». Cette approche nous permet aussi de livrer des preuves pour les équipes forensic. Le véritable enjeu pour les entreprises c'est les échanges IP y compris en mode « machine to machine ».

 

A quand une certification ANSSI pour les solutions Arbor ?

Ce n'est pas encore d'actualité d'autant que nous bénéficions de la confiance de partenaires comme Thales ou Orange CyberDéfense.

 

 

Çà ne prouve rien...

Les OIV qui sont nos clients directs nous ont demandé déjà en 2014 si les données que nous traitions quittaient le pays. Chez Arbor nous traitons en fonction de la taille de l'attaque en Europe ou en dehors de l'Europe si le volume de l'attaque est supérieur à 500 giga. Dans un souci de conformité avec la nouvelle réglementation GDPR Eur. nous menons une réflexion qui pourrait consister a demander à nos clients OIV eux mêmes de faire transiter les données au sein de la zone EUR. L'idée c'est de profiter de l'imbrication des OIV interconnectés au niveau européen.

 

Pourquoi ne pas créer en Europe vos propres datacenters pour traiter et faire transiter les données que vos clients européens sont amenés à vous confier ?

Nous n'écartons pas cette idée, ce qui permettrait aussi à Arbor de conserver avec ses propres Datacenters une certaine neutralité.

 

 

Qui sont les attaquants Ddos ?

Ils ont en commun d'êtres des professionnels spécialisés en outils Ddos. Certains réalisent directement des opérations de cyberchantage : payez ou plus de trafic.

 

Pourquoi ces attaques de plus en plus dangereuses demeurent en augmentation ?

D'une part, on assiste à l'emploi d'une banalisation d'outils par les attaquants. Ils utilisent des outils « classiques » que certains opérateurs ne surveillent pas toujours. Du coup les parades deviennent plus complexes.

Propos recueillis par @jpbichard

 

hack-3-Cyberisques-NEWS

 

 

BONUS: 

Communication Corporate: BURLINGTON (Massachusetts), le 21 juillet 2016 – Arbor Networks Inc., division sécurité de NETSCOUT (NASDAQ : NTCT), publie aujourd’hui les données mondiales sur les attaques DDoS pour les six premiers mois de l’année 2016 ; des données qui témoignent de la hausse ininterrompue de la taille et de la fréquence des attaques.

Les données d’Arbor sont réunies par son observatoire ATLAS™, un partenariat collaboratif réunissant plus de 330 de ses opérateurs clients qui partagent des données anonymes de trafic avec Arbor afin d’offrir une vue globale complète du trafic et des menaces à l’échelle mondiale. Les données du projet ATLAS alimentent Digital Attack Map, un site créé en coopération avec Google Ideas dans le but de cartographier les attaques au niveau mondial. Elles ont également été récemment utilisées dans le rapport Visual Networking Index Report de Cisco et le rapport Data Breach Incident Report de Verizon.

ACTIVITÉ DDoS MONDIALE

Les attaques DDoS sont encore aujourd’hui le type d’attaque le plus communément utilisé en raison de la grande disponibilité d’outils gratuits et de services en ligne peu coûteux qui permettent à toute personne insatisfaite disposant d’une connexion à Internet de lancer une attaque. Ce phénomène a entrainé une augmentation de la fréquence, de la taille et de la complexité des attaques au cours des dernières années.

  • L’observatoire ATLAS a identifié une moyenne de 124 000 événements par semaine au cours des 18 derniers mois.

  • La taille de l’attaque la plus importante a augmenté de 73 % par rapport à 2015, pour atteindre 579 Gbit/s.

  • 274 attaques de plus de 100 Gbit/s ont été observées au cours du premier semestre 2016, contre 223 pour l’ensemble de l’année 2015.

  • 46 attaques dépassant 200 Gbit/s ont été détectées pendant le premier semestre 2016, contre 16 pour l’intégralité de l’année 2015.

  • Les États-Unis, la France et la Grande-Bretagne sont les principales cibles des attaques de plus de 10 Gbit/s.

Comme l’a récemment publié l’équipe ASERT (Arbor Security Engineering & Research Team), les attaques DDoS de grande ampleur n’impliquent pas nécessairement l’utilisation de techniques d’amplification par réflexion. LizardStresser, un botnet IoT, a été utilisé pour lancer des attaques massives de 400 Gbit/s ciblant des sites de jeux en ligne dans le monde entier, des institutions financières brésiliennes, des FAI et des institutions gouvernementales.

Selon l’équipe ASERT, les paquets des attaques ne semblent pas provenir d’adresses sources usurpées, et aucun protocole d’amplification basé sur UDP, tel que NTP ou SNMP, n’a été utilisé.

LORSQUE LA MOYENNE DEVIENT PROBLÉMATIQUE

Une attaque DDoS de 1 Gbit/s est suffisamment puissante pour saturer complètement l’accès Internet de la plupart des organismes.

  • La taille moyenne des attaques au premier semestre 2016 s’élevait à 986 Mbit/s, soit une hausse de 30 % par rapport à 2015.

  • Les projections s’établissent à 1,15 Gbit/s d’ici à la fin de l’année 2016.

« Les données soulignent la nécessité de mettre en œuvre des moyens de défense anti-DDoS hybrides ou multicouches », indique Darren Anstee, expert en chef de la sécurité chez Arbor Networks. « Les attaques sur large bande passante peuvent uniquement être contrées dans le cloud, à l’écart de la cible visée. Malgré la croissance considérable de la taille des attaques, 80 % de ces dernières sont néanmoins encore inférieures à 1 Gbit/s et 90 % d’entre elles durent moins d’une heure. Une protection sur site permet de réagir rapidement. Elle est indispensable contre les attaques « low and slow » qui touchent la couche applicative et les attaques d’épuisement qui visent l’infrastructure, notamment les Firewalls et les IPS. »

L’HEURE EST À LA RÉFLEXION

L’amplification par réflexion est une technique qui permet aux auteurs d’une attaque d’amplifier le volume du trafic généré tout en masquant les sources. Ainsi, la majorité des récentes attaques de grande ampleur s’appuient sur cette technique en utilisant des serveurs DNS, des protocoles NTP (Network Time Protocol) et des protocoles SSDP (Chargen and Simple Service Discovery Protocol). Pour le premier semestre 2016, les conclusions sont les suivantes :

  • Le protocole DNS est le protocole le plus utilisé en 2016 et prend ainsi la place des protocoles NTP et SSDP, qui prédominaient en 2015.

  • La taille moyenne des attaques DNS d’amplification par réflexion augmente fortement.

  • La taille maximale observée d’une attaque d’amplification par réflexion au cours des 6 premiers mois de l’année 2016 s’est élevée à 480 Gbit/s (DNS).

A propos d’Arbor Networks

Arbor Networks, la division sécurité de NETSCOUT, contribue à protéger les réseaux des plus grandes entreprises au monde et des opérateurs contre les attaques DDoS et les menaces avancées. La société est leader mondial dans le domaine de la protection DDoS sur site sur les segments Entreprises, Opérateurs fixes et Mobiles, selon Infonetics Research. Ses solutions de lutte contre les menaces avancées offrent une visibilité complète sur le réseau en combinant des outils de capture de paquets et la technologie NetFlow. Cette visibilité permet de détecter et de neutraliser avec rapidité les malwares infestant les réseaux. Arbor Networks commercialise en outre des solutions analytiques leaders du marché en matière de réponse dynamique aux incidents, d’analyse historique, de visualisation et d’investigation. La société s’efforce de jouer le rôle de « démultiplicateur » en promouvant les équipes réseau et de sécurité au rang d’experts. Arbor Networks a pour objectif de fournir une vision plus riche des réseaux et davantage d’informations contextuelles pour faciliter leur sécurisation, de sorte que ses clients puissent résoudre leurs problèmes plus rapidement et réduire ainsi les risques financiers.

Pour en savoir plus sur les produits et services d’Arbor Networks, consultez le site Web arbornetworks.com ou suivez sur Twitter @ArborNetworks. Des études, analyses et informations provenant d’Arbor Networks, ainsi que des données fournies par son observatoire de la sécurité d’Internet, sont accessibles sur le portail ATLAS des menaces.

 

 

ESET cherche a simplifier ses solutions de gestion pour le marché des petites et moyennes entreprises

 

ESET cherche a simplifier ses solutions de gestion pour le marché des petites et moyennes entreprises

 

On le sait, les entreprises de petites (SMB) et moyennes tailles (Middle market) deviennent de plus en plus des cibles potentielles. (Lire en section BONUS les chiffres clé). Une étude de Ponemon Institute le confirme : les PMI européennes subiraient 31% des attaques globales. L'importance stratégique d'une gestion "intelligente" et "simplifiée" des outils 

Selon le dernier Communiqué d'ESET, la nouvelle version d’ « ESET Remote Administrator » (ERA) est résolument tournée vers les entreprises n’ayant que peu de ressources informatiques.

Après avoir sorti la version 6 d’ESET Remote Administrator en février 2015, ESET renforce son offre et apporte des prestations supplémentaires dans la version 6.4 pour accompagner les PME dans la gestion de leur sécurité.

ESET et ses 3.000 revendeurs ont étudié les améliorations qui pouvaient être apportées à la console d’administration ERA pour que les petites structures puissent gérer elles-mêmes la sécurité informatique de leur société : « Nous nous efforçons de rendre l'expérience de l'utilisateur d’ESET Remote Administrator plus simple à chaque étape : Installation, déploiement, gestion des licences, gestion des politiques de sécurité, modernisation des infrastructures, dépannage, maintenance… » explique Michal Jankech, Business Product Manager chez ESET.

Les nouvelles fonctionnalités et améliorations comprennent :

La refonte des processus de déploiement de l'agent, avec plus d'options pour une diversité dans la taille des réseaux

Un nouveau programme d'installation avec plus d'options d'installation

Une version simplifiée d’ERA pour les petites et moyennes entreprises

 

 

BONUS :

Chiffres clé : PME/PMI cyber-ciblées

Le nombre d’attaques lancées contre les entreprises en 2015-2016 a été multiplié par six par rapport à la période 2014-2015, passant de 27 000 à 158 000 cas. Ainsi, les « rançongiciels » (ransomware) ont tenté de crypter les données d’un utilisateur professionnel B2B sur dix. En janvier 2016, le cabinet Ponemon précise que 72 % des participants à son étude (des experts et « white hackers » de 4 pays européens) n’entendent pas perdre leur temps à mener des attaques qui ne leur assureront pas très vite des informations à forte valeur ajoutée et un « fort » ROI. A 73 %, les sondés font observer que les cyberpirates sont en quête de proies faciles et « bon marché ». Des proies n'offrant pas trop de « résistance » en termes de cybersécurité. Et c'est précisément l'un des maillons faibles, le talon d'Achille de bon nombre d'entreprises du « middle market. ».

 

Bonnes pratiques Console ERA / ESET :

http://download.eset.com/manuals/eset_era_4_userguide_enu.pdf

 

Consqole-ERA-2016

 

Source ESET 2016

 

Entretien DSI: Philippe Minier DSI Kaufman&Broad et Philippe Le Coq / Arvato

Philippe Minier DSI Kaufman&Broad          26 mai 2016

 

ETUDE-PAC-DSI-DATA-1-CYBERISQUES

 

 Source étude PAC 2016

 

Cyberisques NEWS : D’après un sondage Cesi – Ipsos – Le Figaro, 29% des chefs d’entreprise et 52% des employés jugent la transformation digitale comme stratégique ou essentielle, et 47% des chefs d’entreprises considèrent le numérique comme un phénomène de mode. Quels sont les liens avec votre DG ?

Philippe Minier : Très bons. Nous nous voyons régulièrement et au moyen de certains outils comme celui de Qlik* j'ai pu leur donner en moins de 3 jours des résultats qui auraient demandé a une équipe d'analystes plusieurs jours de travail. Les données représentent une valeur ajoutée certaines dans le cadre de la transformation numérique. C'est un plus pour les clients mais aussi pour l'entreprise. Ainsi chez Nous, en tant que coordinateurs de projets de promoteurs, nous avons développé en interne des tableaux de bord pour mieux comprendre la gestion des performances des fournisseurs par corps d'états et établir des «  hit parades ». 

 

Comment évolue votre mission face à l'usage de nouveaux outils par la dernière génération d'users ?

La DSI est passé d'un profil de développeur / fournisseurs de services à celui de partenaires avec les Métiers au sein des entreprises. Les utilisateurs sont désormais davantage des utilisateurs des données alors qu'avant ils étaient beaucoup plus des générateurs de données. Via l'usage de l'outil de Qlik le développement de chaque application nous fait gagner en moyenne 3 jours par mois, auxquels viennent s’ajouter des gains financiers importants.

 

 

Ce qui signifie que vous devez redéployer vos équipe de développeurs par exemple ?

Oui j'ai un rôle de plus en plus social et je cherche a éviter de me séparer de certains collaborateurs. Il faut donc former et attribuer de nouveaux postes a d'anciens développeurs par exemple. Sans oublier que la nouvelle génération n a pas les mêmes réflexes que nos seniors. L'équipe idéale c'est un mixte jeunes et moins jeunes, l’expérience et l'agilité font bon ménage.

 

 

Précisément comment pouvez vous en tant que DSI gérer toujours plus de données générées par ceux qui les utilisent ?

C'est tout le problème d’où la nécessité de disposer d'outils de plus en plus performants et intelligents. D'autant qu'aujourd'hui, les données non structurées représentent 80% du flux des données traitées chez Nous ; Ainsi nous ne pouvons rien faire pour évite certaines fuites via des « screenshots », des impressions, des doc attachés via des applis RSE...

C'est le phénomène « Shadow IT » les DSI ne peuvent rien faire c'est comme un tsunami il faut surfer sur cette vague mais surtout ne pas tenter de la stoppée. Mais la dernière génération de FW permet d'identifier les familles de flux leurs origines et leurs destinations. Nous avons aussi souscrit un contrat de cyber-assurance.

 

 

Philippe Le Coq  IT manager SMED/Arvato

 

Cyberisques NEWS : D'après un sondage Cesi – Ipsos – Le Figaro, 29% des chefs d'entreprise et 52% des employés jugent la transformation digitale comme stratégique ou essentielle, et 47% des chefs d'entreprises considèrent le numérique comme un phénomène de mode. Quels sont les liens avec votre DG ?

 

  • L'informatique est au cœur de la transformation digital, nous devons être force de proposition et moteur de l'innovation en concertation avec les attentes des utilisateurs métiers et de nos clients.

 

Comment évolue votre mission face à l'usage de nouveaux outils par la dernière génération d'users ?

 

  • Nous devons plus que jamais assurer une veille technologique nous permettant de rester les référents de par nos connaissances des nouvelles technologies et des nouveaux outils. Cette reconnaissance de compétence en ce domaine nous permet de rediriger plus facilement les utilisateurs vers les solutions les plus performantes, sécurisé et pérennes, qui s'intègrent correctement dans notre schéma directeur.

 

L'usage de nouveaux outils suppose-t-il de redéployer vos équipes de développeurs par exemple ?

 

  • Les nouveaux outils donnant plus d'autonomie aux utilisateurs, les développeurs devront apprendre à maitriser ces nouvelles fonctionnalités intégrées aux applications.  Une partie du travail qui nécessitait au paravent du développement étant maintenant intégré aux options mis à disposition des utilisateurs,   les développeurs ont un rôle pédagogique plus important pour assister et former les utilisateurs sur toutes ces possibilités qui leurs sont offerts , afin qu'ils utilisent au mieux l'autonomie apportée par cette nouvelle génération d'outils.

 

Comment pouvez-vous en tant que IT Manager gérer toujours plus de données générées notamment par ceux qui les utilisent ?

 

  • Le volume de données croit de façon exponentielle, mais cela est prévisible et intégré dans les plans d'investissements matériel et d'évolution des architectures.

 

 

Propos recueillis par Jean Philippe Bichard / Cyberisques NEWS

 

 

ETUDE-PAC-DSI-DATA-3-CYBERISQUES

Source Etude PAC 2016

 

BONUS: 

Qlik est un éditeur d'origine suedoise qui propose une approche de la gestion des données en mode BI basée sur une plateforme "multisource" le tout précise l'éditeur "sans sacrifier à la gouvernance" des DSI. 

 

20160525 125109

 Selon les utilisateurs de cette solution, Philippe Minier DSI Kaufman&Broad et Philippe Le Coq IT manager SMED/Arvato (Photo ci-dessus) :

"Si la DSI n'a plus le monopole sur la donnee, elle doit savoir créer des services autour de la donnee. La transformation numerique gère la donnée mais en consomme egalement, Ces évolutions doivent se faire via des outils rapides pour développer des applicatiosn "agiles". 

Qlik propose une sorte de "précablage des connexions entre les données comme un "Google programmable". L'outil sait récupérer des datas pour présenter des offres aux clients via les docs utilisés par les clients. Il parvient à faire rapidement des mises a jours durant la nuit et propose des interfaces entre ce qui est traité techniquement et ce que l'on presente aux clients. C'est un gain en productivité".

 

Unit 42: la cyber task force "d'intelligence" de Palo Alto Networks

Cyber-expert: Ryan Olson Unit 42  Palo Alto Networks

 

Unit-42-Ryan-Olson

 

 

Unit 42: la cyber task force "d'intelligence" de Palo Alto Networks

Ryan Olson dirige a Santa Clara Unit 42, une Task Force dédiée à l'analyse avancée de cyber-menaces. Rencontre.

Son titre de manager est évocateur: "Intelligence director". Plus de 500 collaborateurs et une mission: décrypter les futures cyber-menaces. Décrypter au sens large, autrement dire comprendre les codes, leurs origines, leurs concepteurs, leurs intentions, leurs statistiques, leurs botnets souvent sous Android et leurs projets. Coté "business" il s'agit de vendre ces données aux clients "sensibles". Un "job similaire" à ceux des chercheurs des labos des grands éditeurs. Unit 42 c'est aussi l'interface de Palo Alto Networks avec http://cyberthreatalliance.org/ l'alliance de plusieurs éditeurs pour échanger certaines parties de leurs recherches. "Pour Nous explique Ryan, il s'agit de partager les informations ouvertes en travaillant sur des standards afin de définir des services nouveaux en cybersécurité". Pour les plus anciens, cette approche peut rappeler les premiers salons Interop à san Francisco ou quelques rares acteurs de l'informatique des années 90 tentaient de rendre interopérables leurs systèmes. Ce type d'alliance avec Interop a fait TCP/IP architecture réseau non propriétaire et aujourd'hui incontournable. Que peut donner cette alliance en cybersecurité à l'aube des années 2020 ? "En travaillant à partir des standards nous sommes plus forts ensemble, les compagnies IT ne peuvent imposer seules une norme, d'ailleurs nous ne sommes pas l'IETF. Nous sommes une organisation privée à la différence des CERTS par exemple".

Ransomwares et analyse predictive

Actuellement l'Unité 42 se penche activement sur la problématique liée à la propagation intensive de ransomwares. "C'est un réel sujet pour les clients comme pour les chercheurs. C'est aussi un gros business: payer ou pas . Si l'on paye c'est fini"

C'est fini et pourtant pas tres loin de son labo de Santa Clara en Californie, un hopital de Los Angeles a payé 17 000 euros pour obtenir la clé de dechiffrement des dossiers médicaux de ses patients*. Ryan l'admet volontier, la solution nest pas encore adoptée mais il pense l'avoir trouvée. "la solution face aux ransomwares c'est de recourir à des back up dynamiques, autrement dit écrire en double au moment de la transaction avec un back-up systématique de toutes les données"; Cette approche n'est pas nouvelle. Elle est d'ailleurs utilisée par toutes les banques avec leur distributeurs de billets (ATM) par cartes. Bref, recourir aux bonnes vieille solutions a redondance de pannes pour des serveurs dédiés au traitement des "données ransomwares" ? Techniquement l'idée bien que tres ancienne peut paraitre seduisante si ce n'est qu'elle oblige a un doublement systèmatique des données identifiées comme "critiques" et susceptibles d'interesser les cyber-gangs.. Ryan precise "En outre l'opportunité de chiffrer ces données rendra plus complexe l'opération de déchiffrement et re-chiffrement par les cyber-attaquants". Outre les ransomwares, la thématique sur laquelle travaille l'Unité 42 de Palo Alto Networks c'est la "Predictive attack". Anticiper les attaques n'est pas simple "c'est un sujet important pour Nous car critique pour nos clients notamment ceux dans le nucléaire. Nous n'excluons pas une cyber-attaque par malware sur leur site. Nous devons êtres prêts". "Et vous le serez quand ?" No comment.

Jean Philippe Bichard      @jpbichard

 

 

 

BONUS: 

http://researchcenter.paloaltonetworks.com/unit42/

 

 

Etude Wellcom / OpinionWay: Pertes données sensibles estimées à 3,3 milliards d’euros en France

Etude : 

 

Le nombre d’entreprise exposées à la perte de données sensibles a doublé en 7 ans , elle est estimée à 3,3 milliards d’euros en France l’an dernier 

 

L’atelier Wellcom a été inauguré le 23 mars 2016 par une présentation d'une étude* sur les environnements liés à la protection de données sensibles. Précisons que cette étude conduit directement à la présentation de nouvelles prestations de conseil auprès des entreprises. Une agence RP a dont réalisé sa propre communication en s'appuyant sur une étude.  Wellcom a fait appel à OpinionWay pour interroger 400 dirigeants d’entreprises françaises de 50 salariés ou plus, pour comprendre et analyser leur perception quant à la sécurité et la nature des données sensibles ou secrètes de leur entreprise.

Cette étude sur 400 entreprises de plus de 50 employés (panel : management) leur a permis de définir les besoins en accompagnement sur la problématique de sécurité des données sensibles. Le nombre d’entreprise exposées à la perte de données sensibles a doublé en 7 ans , elle est estimée à 3,3 milliards d’euros en France l’an dernier.(50% sur les brevets). 

Au final deux questions apparaissent clairement concernant la protection des patrimoines immatériels des entreprises.

Que protéger ?

Comment protéger ?

L’étude Wellcom / OpinionWay révèle 5 grands enseignements :

- Les cadres-dirigeants d’entreprise ont bien conscience qu’il existe au sein de leur entreprise des informations et données sensibles.

- 88%  affirment avoir entamé des démarches de sécurisation de leurs systèmes d’information.

- Mais seuls 44% des dirigeants craignent une intrusion étrangère dans leurs serveurs

- Pour plus de 50% d’entre eux, fraude financière et concurrence déloyale sont les principales menaces

- Dans 44% des entreprises,  les personnes destinées à accéder aux informations sensibles n’ont pas reçu de formation ou d’habilitation particulière.

Plus de 50% des dirigeants interrogés ignorent les aspects légaux liés à la sécurité des données. Leur approche  en gestion de confidentialité : MISS  ( management des données sensible et secrètes) se décline en cinq points :définir les données sensibles de l’entreprise, les classifier, analyser le risque, gérer l’info sensible et mettre en œuvre une culture managériale.

Gérald Delplace

  • *étude Wellcom / OpinionWay

InfographieWellcomEtudeSecurite

 

  • Extrait de l'étude:

 « Le management des informations sensibles » Comment gérer et protéger les informations sensibles et secrètes de l’entreprise ?

Comment les dirigeants d’entreprises perçoivent-ils leurs informations sensibles ? Comment les protègent-ils ? Comment communiquent-ils avec leurs collaborateurs et les autres parties prenantes pour assurer leur sécurité ?

Des données sensibles face à des menaces réelles :

Les cadres-dirigeants d’entreprise ont bien conscience qu’il existe au sein de leur entreprise des informations sensibles nécessitant une protection particulière. Il s’agit notamment des informations relatives aux ressources humaines (84%), d’ordre stratégique (82%) et d’ordre économique ou financier (80%). Il existe des disparités de perception selon le secteur d’activité.

Le cloud ne fait pas encore recette :

Les entreprises ont recours à des moyens de sécurisation variés et parfois archaïques…En effet, pour mettre à l’abri les informations sensibles, l’armoire fermée à clé est le premier moyen envisagé par les dirigeants (81%), devant le coffre-fort (66%).

Les moyens numériques utilisés sont plus divers, avec l’utilisation  d’un serveur à accès sécurisé (89%), d’un serveur internet ou intranet (80%), sur un poste de travail (78%), ou un disque dur dédié (70%).

Alors même que le serveur à accès sécurisé est le premier emplacement de stockage des données sensibles, seuls 44% des dirigeants craignent une intrusion étrangère dans leurs serveurs (61% pour les entreprises de 250 salariés et plus).

Le stockage sur serveur externe (Cloud, 44%) ne semble pas pour le moment faire partie des outils privilégiés par les cadres d’entreprise, soit parce qu’ils se méfient de leur sécurité, soit parce que cette possibilité ne fait pas encore partie de leurs usages.

Des systèmes d’information protégés, et les mobiles ?:

Les cadres dirigeants interrogés sont 88% à affirmer avoir entamé des démarches de sécurisation de leurs systèmes d’information.

Mais les ordinateurs portables en situation de mobilité, et surtout les smartphones et tablettes font nettement moins l’objet d’une protection, respectivement 68% et 43% des réponses.

Or, ils mettent également en péril leurs informations sensibles au moment de leur transmission. 80% des dirigeants reconnaissent ainsi envoyer des informations sensibles à leurs clients par email, clé USB ou DVD (49%), des outils facilement exposés au vol ou au détournement.

Les cadres-dirigeants ont recours à des espaces et des outils de protection physiques ou numériques qu’ils estiment sécurisés. Ils sont en effet seulement 11 à 14%, suivant l’outil, à reconnaitre que le procédé de sécurisation n’est peut-être pas suffisant.

Une trop faible prise en compte des risques :

Autre preuve de leur méconnaissance des risques entourant les informations sensibles, 71% des dirigeants n’ont pas effectué d’évaluation des préjudices relatifs à une rupture de confidentialité, parmi lesquels la plupart (59%) n’envisage pas d’y avoir recours.

Parmi les 24% de chefs d’entreprise ayant effectué ce type d’évaluation, il ne s’agit pour la plupart que d’une évaluation non formelle (15%). Ces résultats très faibles montrent une minimisation des risques et de leur impact sur l’entreprise.

Une communication interne insuffisante :

Dans près de la moitié des entreprises (44%), les personnes destinées à accéder aux informations sensibles n’ont pas reçu de formation ou d’habilitation particulière.

Il apparait d’autant plus fondamental de mettre en place un système d’habilitation que ces personnes se trouvent à des niveaux variés de la chaîne de valeur de l’entreprise. Il s’agit principalement  de la direction générale (68%), de la direction des ressources humaines (31%) de la direction de la sécurité (24%), de la direction de la communication (13%) ou de la direction de la recherche et du développement (11%).Plus généralement, les résultats montrent que le personnel est encore plus faiblement mobilisé autour de la sécurité des données.

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires