Assises de la sécurité 2015 : quelques tendances pas toujours évoquées dans le Cyber Far-West ... 

Assises de la sécurité 2015 : quelques tendances pas toujours évoquées dans le Cyber-Far-West... 

 

Authentification insuffisante, absence de contrôles sécuritaires sur les IoT (Internet of Things), architectures des SI industriels sans réelles protections, Darknet en forte croissance, Cyber-rustines... Depuis 20 ans, les datas n'ont jamais été aussi convoitées et finalement aussi exposées malgré les efforts de toute une communauté. Voici quelques chiffres pas toujours cités sur le futur « Cyber Far West » à quelques jours du début des Assises de la sécurité 2015.

 

John N. Stewart, responsable de la sécurité pour Cisco le rappelait récemment. « Les entreprises n'acceptent plus réellement de s'entendre dire que les atteintes à la sécurité sont inévitables. Elles attendent du secteur de la cybersécurité des produits fiables et résilients, capables d'intercepter même les attaques les plus sophistiquées. » Des produits mais aussi des services encadrés par un cadre réglementaire européen.

Rappelons un seul chiffre pour évoquer les évolutions du paysage Cyber: En 1987, 200 000 ordinateurs étaient connectés au Net. En 2025, on attend 10 milliards de machines IP. Et combien de flux Big Data, ces datas stratégiques, nouveau pétrole du 21eme siecle ? Le Cyber-Eldorado va t il se transformer en Cyber Far West ?  Qui seront les futurs Cyber Cow-boys ?

 En générant des datas tous azimuts, certains constructeurs oublient simplement de les rendre plus sûres. C'est le cas des fabricants d'objets connectés pressés d'occuper des parts de marché sans perturber les clients avec des problème de sécurité. Les concepteurs de solutions basées sur des architectures Scada ont eux le problème inverse : ils ne sécurisent pas leurs architectures depuis plus de 50 ans et ont quelques difficultés à s'y mettre maintenant que les SI industriels sont interconnectés aux SI de gestion et donc à Internet. D'autres « failles » existent. Elle n'échappent pas à tout le monde. 1 millions de dollars, c'est ce que propose la start up Zerodium (ex Vupen pour certains de ses collaborateurs) (1) pour acheter des failles « 0Day » à des « chercheurs hackers». L'idée est simple : les revendre aux plus offrants. Parmi les clients, on trouve paraît-il bon nombre d'entreprises, voire des États. Bref, l'évolution de ce cyber business des « 0day » risque de nous entraîner vers un « Cyber Far West » qui ne sera tenté d'obéir qu'à ses propres règles. (Lire aussi en fin d'article pour les abonnés les réponses à 3 questions des principaux acteurs du marché). Notons aussi que sur les « Shadow Cyber-bourses », des « promos » existent pour la revente d'informations volées. En 2015, ce sont les « Cyber-traders » russes qui « soldent » (cf. Infographie  « underground service prices »).

 

De nouvelles cyber-menaces plus ciblées

Les éditeurs le démontrent chaque année : l'innovation en matière de sécurité n'est pas aussi rapide qu'elle devrait l'être, du moins du point de vue des entreprises clientes. 24 vulnérabilités « 0day » ont été découvertes sur 2014 et il a fallu en moyenne 59 jours aux éditeurs pour créer et déployer les correctifs. Dans le cas des "0day" la porte demeure grande ouverte pour les cyber-attaquants. Ces chiffres fournis par un éditeur de solutions anti-malwares sont révélateurs. Les "cyber-attaquants" identifient et affinent leurs approches de façon plus stratégique estime t-on chez Trend Micro, ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques. Une tendance qui reflète une réelle progression de plusieurs méthodes d’attaques traditionnelles, avec notamment un bond de 50% de l’utilisation du kit d’exploitation Angler et de +67% pour les menaces utilisant des kits d’exploitation en général. Les menaces APT (Advanced Persistent Threats) sont, aujourd’hui, les plus redoutées. « Il faut dire que les cybercriminels ne se contentent désormais plus d’attaques aléatoires et génériques à grande échelle. Ils se montrent plus subtils, avec pour objectif d’infiltrer leurs cibles, de rester furtifs et de détourner les données sans se faire repérer » constate Patrick Grillo, Senior Director, Solutions Marketing chez Fortinet. Laurent Heslaut chez Symantec rappelle dans son avis d'expert ci dessous « 17 % des applications mobiles sous Android étaient en réalité des malware et 1/3 présentaient des caractéristiques mettant en cause la sécurité ou la vie privée de l’utilisateur ».

Face a ces nouvelles formes de cyber-menaces de nombreux acteurs du marché cybersécurité proposent des solutions de protection partielles ou individuelles. Les acheteurs, contraints de placer des « cyber-rustines » sur les vulnérabilités les plus urgentes de leurs SI achètent des solutions de « dépannage ». Mais combien peuvent réellement mettre en place une véritable stratégie à long terme, homogène pour protéger des actifs immatériels identifiés avec le fameux triptyque : Prévention, détection, réaction? Une stratégie qui intégrerait au delà de la gestion des vulnérabilité, les aspects gestion des cycles des datas, « forensic » réaction, corrélation voire offensif ?

 

Entreprises et LIO (Lutte informatique offensive) : vers un  "affrontement numérique" à l'échelle corporate ?

Rarement évoquée, la séquence « affrontement numérique » au sein des entreprises constitue une autre tendance en 2015. Une fois encore, ces « stratégies numériques offensives » se déploient discrètement. Dans le cadre de son enquête sur la cybersécurité en France, PAC a interrogé plus de 150 donneurs d’ordre issus de tous les secteurs d’activité. L'enquête publiée en juin 2015 confirme cette tendance de fond et souligne les nouvelles ambiances "Cyber-Far-West" : « l'une des évolutions les plus significatives est l’augmentation nette des attaques issues des concurrents. Le vol de données et l’espionnage sont les principaux risques identifiés par les entreprises de notre échantillon. » soutient Mathieu Pujol, consultant senior. Au niveau des États, une approche LIO (Lutte informatique offensive) propre aux acteurs de la Cyber-défense est également « à l'étude ». C'est ce que précise un des meilleurs experts du domaine, Loïc Guézo, Security Evangelist Southern Europe, Director chez Trend Micro "éditeur japonais" précise t-il en ajoutant sur la LIO: " 2015 aura été l'année de la reconnaissance large des capacités naissantes de LIO française, sous l'autorité du CyberCommander Coustillère ; lors du 1er Cyberdefense à l'Ecole Militaire le 24 septembre dernier, un appel discret indirect aux meilleurs hackeurs a été lancé, en indiquant que c'est probablement dans ce seul cadre encadré qu'ils pourront le plus faire usage "libre" de leurs qualités ; sous-entendu illégal par ailleurs...".  No comment. 

 

 

Prix-Underground-Promos-Russes-2015

                                                           Quelques "cyber-tarifs" juin 2015 Source Labo Trend Micro (Manille)

  

Les changements sont plus attendus au plan organisationnel que technologique

Face aux nouvelles menaces, des stratégies de défense approfondies et proactives, dont la technologie n'est qu'un composant, vont s'imposer de plus en plus dans la cadre de la fameuse transformation digitale des entreprises. En fait, à l'horizon 2016, en cybersécurité, les changements sont plus attendus au plan organisationnel que technologique en termes d'outils. Toutes les études le montrent et la plupart des acteurs que nous avons rencontré soutiennent cette idée (lire les témoignages en fin d'article). COMEX et CODIR se trouvent désormais en première ligne pour définir une « cyber e-gouvernance ».

Les menaces d'abord. De nouvelles cyber-menaces apparaissent. Pour comprendre, il faut observer le « business shadow » du "darkNet" animé par certains cyber-attaquants et autres cyber-mercenaires. Un « business » avec des lois simples: plus la distribution de codes malveillants devient difficile, plus la valeur marchande des vulnérabilités d'applications et d'environnements répandus augmente. Du coup, les informations concernant les vulnérabilités majeures sont vendues plus chères. Ce qui entraîne une grande activité sur les « cyber-black market ». Les « acheteurs » déclenchent alors des cyber-attaques plus « réfléchies », plus ciblées, déployées de manière plus sélective en s'appuyant entre autres sur les « 0Day » déjà évoqués. (Lire notre entretien avec Cédric Pernet, auteur d'un ouvrage sur ce sujet : http://bit.ly/1gPMlZ7) et le point de vue de Guillaume Poupard, directeur de l'ANSSI sur Cyberisques NEWS :http://bit.ly/1NX7D3V )

Six vulnérabilités « 0day » ont été découvertes sur le premier semestre 2015 selon Symantec (rapport septembre 2015). Au delà du cyber-espionnage, du « ransom-nage » ( d’après le Clusif, 700 faits ou tentatives d’escroquerie au président ont été recensés entre 2010 et 2014, dont KPMG et Michelin par exemple) ce sont des opérations de vols d'informations et de cyber-sabotage qui sont également redoutées par l'ANSSI et certains responsables au sein des Comex et Codir chez les OIV (Opérateurs d'importance vitale) notamment. Target, Sony mais aussi TV5 et les mails piratés de CEO, VIP (Hilary Clinton entre autres) sont passés par là.

  

SCADA, talon d'Achille des opérations de cyber-sabotage ?

Aux Assises millésime 2015 comme dans le cadre d'autres événements consacrés à la cybersécurité d'autres cyber-tendances se dessinent. L'une d'entre elles concerne la prise en compte de la protection de nouveaux « objets » au sein des SI : les objets connectés. Ces derniers appartiennent à deux grandes familles "business" BtoC et BtoB. Ainsi, de nombreux composants "industriels" (robots, automates, capteurs, vannes, pompes...) sont gérés paar des des SI industriels (architectures Scada) qui intégrent de plus en plus des "objetss connectés BtoB". C'est une nouvelle tendance: certains objets connectés BtoB sont pour les IT Managers spécialistes en cybersécurité rattachés au SI industriels (drones de surveillance par exemple). Quel niveau de sécurité retenir pour ces "Iot" BtoB ? C'est encore difficile à dire. C'est un problème de gouvernance et d'arbitrage. Nous y reviendrons. 

Comme évoqué dans un précédent article ( http://cyberisques.com/80-news/actu-home-1/458-scada-la-filiere-francaise-s-organise-avec-ceis ) l'analyse des risques en environnement industriel pointe un manque de gouvernance en SI industriel, une culture sécurité faible et peu de maîtrise des actifs informatique. Au sein de la plupart des entreprises mondiales, en environnement SCADA, peu de process propres à la cyber-sécurité existent (gestion des patch et vulnérabilités par exemple) le système se trouve donc obsolète généralement sans mot de passe « dur ». L'absence de sensibilisation à la cybersécurité de la part des automaticiens - complètement étrangers à cette évolution - demeure une ...autre vulnérabilité.

Les conséquences de ce type de « configuration » sur les sites SCADA sont désastreuses à commencer par une intervention avec risque d’arrêt des machines et automates gérés par « prise de main » distantes. Et ce n'est qu'un début, des opérations de cyber-sabotages ne sont pas à exclure. Si les prises de consciences au delà des OIV ne sont pas toujours au rendez-vous, des solutions notamment "made in France" apparaissent. Elles sont toutes dédiées à la protection des SI industriels : Bertin IT, Sentryo, Tetrane, Seclab, Diateam. L'une d'entre elles, Sentryo est d'ailleurs distinguée aux Assises de la sécurité 2015 avec le prix lauréat du Prix de l’Innovation 2015 des Assises et de la Mention spéciale « Prix du Public ». C'est d'autant plus marquant que Sentryo ne lance réellement sa commercialisation qu'à partir d'octobre 2015 comme le confirme Thierry Rouquet, son CEO.

 

 CCIgQJSWgAA90Ct

                                                                  Une affiche dans les locaux de TV5 (Avril 2015 Paris) 

 

Objets connectés vulnérables et pourtant...

Autre tendance après le business des « 0Day » et les risques sur les SI Scada, celle qui touche les objets connectés de dernière génération. Un fait passé inaperçu marque une étape décisive. Au US, les données générés par les IoT (Bracelet) ont déjà fait leur entrée dans les tribunaux alors que leurs données ne sont pas reconnues comme objectives car manipulables et peu sécurisées au niveau de leur intégrité. Des communautés comme celles liées au monde de la Santé, des assureurs, d'experts en marketing... sont à l’affût des données générés par ces nouveaux devices BtoB et BtoC. Peu sécurisés, trop rudimentaires, sans réels standards, la plupart des équipements-objets connectés proposés au grand public comme aux entreprises hébergent des vulnérabilités au niveau même des données facilement falsifiables. Tout le monde semble s'accoutumer des critères médiocres de ces nouveaux devices. Très peu d'entre eux disposent d'un niveau de sécurité digne des politiques de sécurité des grandes entreprises. Bon nombre d'IoT « grand public » génèrent des data « sensibles » privées liées au comportement et à la santé des utilisateurs. ESET l'a compris. L'éditeur européen dispose d'une équipe de chercheurs dédiée à la recherche de solutions pour lutter contre les APT « orientées IoT. » Reste l'opinion : combien d'utilisateurs d'objets connectés établissent un lien entre leurs données personnelles stockées et leur niveau de confidentialité ? Les entreprises elles constatent cet engouement pour ces « gadgets numériques ». mais comment mettre en place une gestion efficace ?

Si peu d'actes de malveillance ont été constatés jusqu'ici la croissance des parcs d'IoT risque de tout changer en 2016. De nombreux éditeurs relèvent que les objets connectés intéressent de plus en plus les cybercriminels. Même si leur utilisation semble limitée, un éditeur BtoB tel que Sophos remarquait déjà dans ses prédictions 2015 l’absence de composant sécurité (l’absence de système de mise à jour par exemple) sur de nombreux objets connectés. Bref les IoT pourraient presque nous faire regretter Microsoft et ses patchs !

En effet, les fabricants d’objets connectés ne disposent pas d'une infrastructure pour distribuer des correctifs en admettant qu'ils y songent. Pourtant, la mise en cause de l'intégrité des données générées par IoT (Simple bracelet ou drone professionnels) n'inquiète pas grand monde en 2015. La base installée reste faible mais la croissance attendue semble forte. Alors, « [Les données des objets connectés] pourraient-elles être utilisées comme alibi ? » voire « Est-ce qu’on pourrait utiliser les données d’un FitBit pour prouver qu’un cardiologue avait fait preuve de négligence, en ne restreignant pas l’exercice d’un patient ? » se demande cet avocat américain (1).

 Du côté des consommateurs, 45% des Américains et 32% des Européens déclarent être séduits à l’idée de posséder un "wearable" (objet connecté à porter sur soi).  On le voit, la confidentialité des données personnelles via les IoT va constituer un sujet « tendance » comme le prévoyait déjà en 2014 ce journaliste US (2). En France, selon les utilisateurs interrogés par Symantec, c’est avant tout à l’Etat (37 %) et aux entreprises (36 %) et nettement moins aux individus (27 %) de prendre en charge la protection de leurs données personnelles. Selon une étude demaandée par Trend Micro Intitulée « Privacy and Security in a Connected Life: A Study of US, European and Japanese Consumers » (3) , les avantages offerts par les objets connectés priment sur les questions de confidentialité pour une grande majorité des consommateurs. 75 % des personnes interrogées pensent pourtant n’avoir aucun contrôle sur leurs données personnelles. L’étude souligne également les perceptions du grand public en matière de confidentialité, sa volonté de changer de comportement, ainsi que la valeur accordée aux informations personnelles. « Ces résultats montrent que, même si les individus se préoccupent des problématiques de confidentialité et de sécurité, ils ne réalisent pas toujours la responsabilité qui leur incombe », explique Raimund Genes, CTO de Trend Micro.

 

Cyberisques NEWS-2015

       73% des entreprises n’ont pas suffisamment d’experts sécurité pour se défendre correctement contre les menaces actuelles (cité par SOPHOS)

« Does your organization has enough security staff to defend itself against current threats » Sondage Black Hat 2015

 

Darknet et après ? 

Le darknet désigne une partie de l’internet inaccessible par les moteurs de recherche classiques, et nécessitant des outils de navigation spécifiques. La « force » de cet espace cyber, c'est l’anonymat de l’internaute. Le navigateur TOR ( The Onion Routeur) représente un outil numérique inventé puis diffusé par le Pentagone explique l'expert en géopolitique Xavier Raufer dans «Cybercriminologie ». TOR dissimule des adresses IP et crypte tout ce qui s’échange sur le web. Aucun nœud du réseau ne connaissant la source, la destination ni le contenu des messages qui le traversent, l’internaute dispose sur TOR d’un anonymat "de qualité". A l'origine, cet outil a été conçu pour protéger les communications américaines officielles puis il a permis de mettre tout internaute en capacité de rendre plus difficiles les surveillances, la censure et les interceptions. En 2012-2013, il a été mondialement téléchargé de 30 à 50 millions de fois par année et utilisé 800.000 fois par jour, par environ 1,2 million d’individus. Sur le darkweb, les sites cachés accessibles par TOR étaient environ 6500 fin 2013, en majorité criminels. 

 

Authentification et identification: la stratégie du... coucou

Une autre tendances 2015 est largement abordée aux Assises de la sécurité. Elle touche à l'évolution des solutions d'authentification. Un usage est désormais répandu chez les cybercriminels. Appelons là « stratégie du coucou ». On sait que cet oiseau niche dans les nids des autres et contraint les « parents » adoptifs a couver ses propres oeufs. En Cybersécurité, cette tendance consiste a employer des techniques de corruption de comptes autorisés au sein de l’entreprise ce qui pose le problème de leur authentification « réelle ». Ce qui justifierait l'arrivée de solutions d'authentification à deux voire trois facteurs à condition que les réticences des utilisateurs face à la « complexité » de ces solutions soient levées. Certains professionnels pensent que le mot de passe n’est pas mort mais que son usage doit s'enrichir de nouvelles fonctionnalités contextuelles (lire le point de vue des experts en fin d'article).

Au niveau de l'identification, les analyste du Sans Institute relève que la confiance dans les certificats pourrait s’effriter du fait du nombre de certificats... compromis !

Les certificats MD5 pourraient devenir rapidement obsolètes. Bref, a peine ont elles commencé leur carrière commerciale que certaines technologies sont annoncées comme moribondes. Reste les suggestions plus positives : Ludovic Poitou chez ForgeRock estime que la gestion des identifications peut constituer une source de revenus : « 80% des entreprises n'ont pas conscience que les solutions internes peuvent êtres adaptées à leurs clients » affirme t-il. Idée intéressante, encore faut il être « sûr » de sa politique d'authentification.

  

Partager l'information 

Pour maîtriser ces nouvelles générations d'attaques, le partage de l'information devient la clé. Aux Assises de la sécurité, c'est précisément la thématique retenue par Guillaume Poupard, Directeur Général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) se nomme : "Agir Ensemble" (ouverture de l'édition 2015 des Assises). Une réponse intelligente certes, mais suffira t-elle pour éviter le Far-West Numérique ? On attend beaucoup d'une future loi européenne malheureusement encore méconnue.

Des sondages récents recueillis en Europe révèlent que la majorité des entreprises ignorent l'existence des changements prévus, en dépit du fait que ceux-ci introduiraient la possibilité de sanctions financières pouvant aller jusqu'à 100 millions d'Euros ou 5% du chiffre d’affaires mondial annuel pour des non conformités en matière de protection des données à caractère personnel. Un début de réponse. Miche Lanaspeze directeur marketing EMEA pour Sophos le note : « 87% des salariés français estiment qu’il faut renforcer les lois sur la protection des données » selon la récente étude Vanson Bourne - Sophos, 2014. Pour cet expert : « Il y a une vraie attente dans les entreprises pour une modernisation des lois sur la protection des données. C’est également vrai en Allemagne (86%) et au Royaume-Uni (80%). Dans chacun de ces trois pays, la majorité des personnes interrogées estime que cela doit se faire d’abord au niveau Européen. » Le projet de réforme des lois Européennes sur la protection des données devrait être adopté dans les mois qui viennent. Combien d'entreprises disposent des technologies nécessaires pour assurer la confidentialité des données ? 

 Dans ce no man's land entre Eldorado et Far-West, certaines Autorités suggèrent de nouvelles pistes de réflexion. C'est le cas  de l'Institut national des hautes études de la sécurité et de la justice dans son dernier rapport de juillet 2015. Les principaux axes sont les suivants: rationaliser et mieux coordonner les initiatives prises par les ministères pour leur stratégie de sécurité numérique; faire cesser la prolifération législative et accroître la mise en œuvre des dispositions existantes, imposer une régulation aux éditeurs de contenus qui sont opérateurs de fait : soumettre le GAFA aux obligations d’interceptions légales qui s’imposent aux opérateurs télécom, libérer les initiatives et la créativité dans le domaine de la recherche de vulnérabilités; en effet, la loi relative à la confiance numérique interdit ce type d’activité sans motif légitime ; organiser et réglementer cette activité sur le territoire national ainsi que la participation de l’état, inclure la cyberdéfense et la cybersécurité dans les motifs de contrôle de prise de participation, créer un ou des corps techniques et administratifs au sein de la fonction publique d’état dédié à la cybersécurité, inclure la cyberdéfense dans le socle pédagogique des grandes écoles françaises et dans les cycles de formation interne des cadres de la fonction publique d’état, supprimer ou alléger la TVA sur les produits français de sécurité informatiques achetés par les PME, créer un observatoire et un outil statistique pour mesurer les cybercrimes et délits, créer un organisme de contrôle avec des pouvoirs disciplinaires de la bonne application et du maintien des règles imposées ou recommandées par l’ANSSI, rendre l’ANSSI, qui est une autorité administrative et un régulateur du domaine de la sécurité des systèmes d’information, plus transparente ; mieux brasser les profils et compétences y travaillant, renforcer la séniorité des personnes...

Reste un enjeu majeur et personne n'a la réponse à la veille des Assises 2015: vers quel futur cyberespace s'achemine t-on ? Cyber-Eldorado ou... Cyber-Far-West ?  

  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   @jpbichard

  

BONUS :

1 - http://www.wired.com/2015/09/spy-agency-contractor-puts-1m-bounty-iphone-hack/

http://www.wired.com/2014/12/wearables-in-court/

2 - http://www.computerworld.com/article/2855567/data-from-wearable-devices-could-soon-land-you-in-jail.html

3 - Etude mondiale commanditée par Trend Micro et menée par le Ponemon Institute.

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

 

 

Cyber-sabotage-1

                                Screenshot...

 

ESET / Jean-Ian Boutin chercheur ESET Europe

  • 3 chiffres clés trop méconnus en cybersécu :

  • ESET®, présent dans le top 5 des éditeurs de sécurité informatique, à destination des particuliers et des entreprises.
  • En se basant sur les revenus et les parts de marché mondiales du secteur, Gartner a constaté qu’en 2014, la croissance d’ESET® a été 8 fois plus importante que celle du marché des logiciels de sécurité.

  • 3 priorités pour réduire les impacts des cyber-risques en BtoB

APT : nous travaillons dessus en ciblant les IoT avec des solutions tres légères. ESET est reconnu comme le seul éditeurs à travailler avec un code léger

Il faut de plus en plus de réactivité ntre le chat et la souris face à des attaquants qui cherchent a contourner nos contrôles

Target et Sony auraient pu êtres moins graves

  • 3 faits marquants des Assises 2015 :

  • Atelier  ransomware que j'anime avec des images révélatrices de la part d'ESET

  • Les solutions anti ransomwares ne se valent pas toutes. Attention aux tentatives de chiffrement des données perso. La crypto est instrumentalisée par les auteurs de ransomware. ESET doit anticiper en travaillant sur plusieurs couches au moment du téléchargement de ces malwares. Beucoup de malwares visent désormais les départements Compta : Finances avec des codes d'espionnage pour des « remote actions » apres installation

Autre tendance : IoT (objets connectés) demeurent tres vulnérables. Un IoT comme une BOX d'opérateur constitu aaussi une cible. En effet, les box ne sont pas toujours sécurisées malgré les efforts des opérateurs Les hard et soft ne sont pas toujours mis a jour. Protection a tous les niveaux opé et users.

 

 

Dimitri Perret, Vade Retro Technology

  • Pouvez-vous me citer 3 chiffres clés trop méconnus en cybersécurité ?
    En 2014, plus de 20% des attaques informatiques ont démarré par un email de phishing. Durant l’été 2015, il y a eu une augmentation de 1300% du nombre de virus transitant par les emails (principalement des cryptolockers et ransomwares, et certainement d'autres composants restés cachés….).
  • Quelles sont selon vous les 3 priorités pour réduire les impacts des cyber-risques en BtoB ?
    L’une des meilleure manière de réduire significativement le risque consiste à mieux former et sensibiliser les utilisateurs sur la base de cas concrets. Il ne faut pas considérer les technologies comme infaillibles car les pirates sont très imaginatifs et agiles. Toutefois, sachant cela, les sociétés de sécurités telles que Vade Retro doivent travailler sur leur R&D en continu et innover en permanence pour adapter la sécurité aux nouveaux modes d’attaques. C’est ce qu’a fait Vade Retro avec ses innovations de 2014/2015. Prenons l’exemple de la solution VRGNI (Vade Retro Global Network Intelligence), une solution très innovante d’analyse d’importantes flux FBL qui permet de remonter plus rapidement les attaques et ainsi d’appliquer instantanément les règles de filtrage adéquates. Le big data et la capacité à traiter un grand nombre d’infos en temps réel permettent d’améliorer considérablement la cybersécurité, dans la mesure où ces ressources sont utilisées. Enfin, toujours d’un point de vue technologique, le machine learning peut apporter beaucoup de réponses face aux nouvelles menaces, car la machine sera en mesure de mieux les appréhender en « comprenant » le contexte de l’email. Vade Retro a mis en place le machine learning dans le cadre de la lutte anti-phishing, le filtre comprend l’email et est en mesure d’identifier qu’une marque est usurpée en fonction du contenu de l’email.
  • Pouvez-vous me donner 3 faits marquants liés à la sécurité qui se sont produits en 2015 ? 
    Dans le monde de la sécurité des emails, deux faits particulièrement marquants peuvent être notés cette année. Tout d’abord, la désormais incontournable attaque de TV5 Monde. Celle-ci a vraiment marque les esprits par sa « simplicité » d’execution et par la facilité avec laquelle les attaquants ont pu pénétrer le réseau de la chaîne via de simples emails de phishing toutefois très bien ciblés. Le deuxième fait marquant et qui fait beaucoup de bruit aux US, c’est évidemment le compte email personnel utilisé par Hillary Clinton dans le cadre de ses fonctions. Cette affaire marque les esprits sur le manque de mesures de sécurité prises à un tel niveau de fonction et a surtout une résonance politique importante, à un an des élections. 

 

Arnaud Cassagne, Nomios : 

3 chiffres clés trop méconnus en cybersécurité 

15 à 30 % des dépenses IT sont faites en dehors du budget IT : les métiers profitent du Cloud pour s'approprier les projets de transformation digitale. Si l'IT n'est pas sollicité, alors il est quasi certain que la composante "sécurité" n'est pas prise en compte. L'IT doit rester au plus proche des métiers pour ne pas finir par être complètement court-circuitée. (source : http://www.cso.com.au/mediareleases/20174/light-in-the-darkness-countering-shadow-it-with/)

- 987 : le nombre de services Cloud utilisés par une entreprise européenne - Sur ces applications, une grande partie n'est pas connue ni approuvée par l'entreprise (Shadow IT). (source : http://info.skyhighnetworks.com/rs/274-AUP-214/images/WP-Cloud-Adoption-and-Risk-Report-Q2-EU.pdf)

- 64,9 % : le nombre de services Cloud qui ne respectent pas les conditions suffisantes pour héberger des données européennes. 14.3% des fournisseurs de services Cloud stockent les données en Europe, 3.6% dans des pays disposant de lois de protection de données équivalentes aux notres, et 17,1% se trouvent aux Etats-Unis mais ont signé le  pacte «  Safe Harbor ». (source : http://info.skyhighnetworks.com/rs/274-AUP-214/images/WP-Cloud-Adoption-and-Risk-Report-Q2-EU.pdf)

3 priorités pour réduire les impacts des cyber-risques en BtoB

Impliquer l’ensemble des utilisateurs : les membres de l'IT doivent disposer de cursus de formation suffisants, et de temps pour travailler sur les problématiques nouvelles. Le reste des collaborateurs doit disposer de sessions de sensibilisation, et de tests de connaissance appropriés. 

Il est également important qu'ils ne fassent pas confiance aveuglément aux partenaires et autres fournisseurs. Et dernier point : penser à impliquer les utilisateurs de ses partenaires, pour qu'ils disposent d'un niveau compétence équivalent à celui du personnel de la DSI de l’entreprise. 

- Réaliser un inventaire de toutes ses données : celles qui se trouvent dans l'infrastructure, et celles qui sortent de l'entreprise (services cloud, données traitées par des tiers,...), et vérifier que les mécanismes de protection suffisants sont mis en place. 

- Mettre en place des équipements de sécurité permettant d'analyser l'ensemble des flux échangés avec les sociétés partenaires : 

- Bastion pour enregistrer ce que font les administrateurs : flux SSH, Citrix, RDP, ...

- Firewalls Next Generation pour voir quels utilisateurs accèdent à quelles applications

- SIEM pour collecter toutes les données de sécurité des différentes briques de sécurité, et disposer de tableau de bord permettant de détecter les comportements anormaux

3 faits marquants des Assises 2015

- L’événement compte 15 nouveaux partenaires cette année, ce qui prouve que le secteur de la cyber-sécurité est toujours en plein essor. De plus en plus de startups se créent, et elles n'hésitent pas à participer très tôt aux Assises de la Sécurité.

- Tous les experts réunis autour des APT, du Cloud, et du Big data : ce sont les 3 sujets clés abordés par la grande majorité des partenaires de cette édition

  • La tendance DevSecOps : personne n'en parle. Est-ce normal ? Cette grande tendance se répand extrêmement rapidement aux USA, mais peine à franchir l'Atlantique... Son absence en fait un des faits marquants.

 

 Michel Lanaspeze / SOPHOS

·      3 chiffres trop méconnus en Cyber Sécurité:

73% des entreprises n’ont pas suffisamment d’experts sécurité pour se défendre correctement contre les menaces actuelles

« Does your organization has enough security staff to defend itself against current threats »
Sondage Black Hat 2015
Le sondage Black Hat met en évidence un des principaux freins à la sécurité.

Dans un contexte économique tendu, il est malheureusement improbable que cette situation change rapidement, et il est donc essentiel que les solutions de sécurité soient optimisées pour faire gagner un maximum de temps aux experts sécurité dans leurs tâches d’administration. Cela passe par des efforts particuliers de simplicité et d’intégration des solutions, ce qui a la double vertu de réduire les risques d’erreurs humaines, autre facteur de risque majeur.

Plus de 30% des investissements IT se font en dehors du contrôle de la DSI (« Shadow IT »)

"Shadow IT investments often exceed 30 percent of total IT spend"

Matt Cain, research vice president at Gartner
http://www.gartner.com/newsroom/id/3115717

Ceci pose bien entendu des risques en matière de sécurité, car la dimension sécurité est rarement bien gérée dans ces cas.

On retrouve dans ces investissement « Shadow IT » le BYOD et le stockage des données dans le Cloud incontrôlés, qui posent des problèmes de sécurité particulièrement sensibles. 
Il est essentiel pour les DSI de proposer des approches maîtrisées et sécurisées pour accompagner ce mouvement.

87% des employés français estiment qu’il faut renforcer les lois sur la protection des données

Source : Etude Vanson Bourne - Sophos, 2014

Il y a une vraie attente dans les entreprises pour une modernisation des lois sur la protection des données.
C’est également vrai en Allemagne (86%) et au Royaume-Uni (80%).
Dans chacun de ces trois pays, la majorité des personnes interrogées estime que cela doit se faire d’abord au niveau Européen.


Le projet de réforme des lois Européennes sur la protection des données devrait être adopté dans les mois qui viennent, et il est important que les entreprises s’y préparent en s’assurant qu’ils disposent des technologies nécessaires pour assurer la confidentialité des données.

·      3 priorités pour réduire les impacts des cyber-risques en BtoB :

Renforcer la protection en temps réel contre les attaques avancées :

Les participants à la conférence Black Hat 2015 placent les attaques sophistiquées et ciblées au premier rang de leurs préoccupations. La lutte contre ce type de menaces devrait effectivement figurer parmi les trois priorités pour réduire les impacts des cyber-risques en 2015. Pour répondre à ce défi, les solutions de protection se sont renforcées ces dernières années séparément à chaque niveau : systèmes, réseaux et applications traitant les données. Cependant,  les cybercriminels sont passés maîtres dans l’art d’associer les différents vecteurs et angles d’attaques possibles pour arriver à passer sous le radar de dispositifs de filtrage isolé. Une première réponse a consisté à effectuer des corrélations rétrospectives à l’aide d’outils tels que les SIEMs. Il faut maintenant aller plus loin, pour faire une corrélation en temps réel des événements au niveaux des systèmes, des réseaux et des applications, afin d’automatiser les réponses, en isolant par exemple les systèmes compromis, en bloquant les applications malveillantes ou en restreignant l’accès aux données sensibles. 

Les dernières générations de solutions Sophos inaugurent cette nouvelle stratégie de défense très prometteuse

Renforcer les contrôles de conformité sur la protection des données :

Avec l’extension du périmètre d’attaque dû à la mobilité, la multiplication des périphériques et la consumérisation de l’IT, la protection des données se retrouve au cœur des stratégies de protection. Ceci d’autant plus que les réglementations se renforcent, à l’image de l’initiative de réforme en cours des lois Européennes sur la protection des données. Il devient donc urgent de se préoccuper de la confidentialité des données, de plus en plus mobiles elles-mêmes, en conformité avec la politique de sécurité de l’entreprise. 

Sophos est le leader européen du domaine du chiffrement et apporte une réponse complète et intégrée à ces questions.

Aider les administrateurs sécurité à être plus rapides, agiles et efficaces :  

Enfin, avec la sophistication et le nombre croissant d’attaques, qui exploitent des environnements de plus en plus mobiles et variés, et auxquels doivent faire face des équipes trop souvent en nombre insuffisant, il est de plus en plus essentiel d’aider les expert sécurité à être plus rapides, agiles et efficaces. Ceci passe d’abord par le choix d’interfaces optimisées en terme de simplicité. Cela passe également par plus d’intégration, comme la possibilité de gérer la sécurité des postes et des mobiles à partir de la même console d’administration, ou encore la possibilité de gérer toutes les fonctions de sécurité réseaux avec la même console, dans une approche UTM. C’est également la nécessité croissante de pouvoir gérer des politiques de sécurité basées sur les utilisateurs, afin de pouvoir les suivre dans une mobilité et des usages toujours plus variés. C’est enfin avoir un choix de déploiement qui s’adapte à des stratégies et des environnements évolutifs :  sur site, sous forme d’appliances ou de serveurs virtualisés, en mode Cloud ou hybride. 

Ces impératifs sont au coeur de la stratégie de développement des solutions Sophos, que nous résumons par la devise « Security made simple. »

 

Laurent Heslaut / SYMANTEC

3 chiffres clés trop méconnus en cybersécu

-          Symantec State of Privacy : Pour 88 % des Français, la protection et la sécurité des données sont très importantes lors de l’achat d’un produit ou d’un service, devant la qualité et le service client

-          ISTR : 17 % des applications mobiles sous Android étaient en réalité des malware et 1/3 présentaient des caractéristiques mettant en cause la sécurité ou la vie privée de l’utilisateur

-          L’Hexagone se classe au 4e rang européen et 6e rang mondial pour les attaques d’extorsion numérique

·         3 priorités pour réduire les impacts des cyber-risques en BtoB

Pour les RSSI :

-          Sortir de son périmètre : la cybersécurité n’est pas le seul souci ni la seule responsabilité du RSSI, mais bien des différents métiers et de la direction de l’entreprise

-          Pensez la cyber-résilience . Sans cette approche stratégique et holistique, la sécurité restera tactique et isolée, alors qu’elle doit concerner l’ensemble des acteurs et des actifs de l’entreprise.

-          Etre proactif, et non réactif, comme c’est encore trop souvent le cas

·         3 faits marquants des Assises 2015

·         Faut-il hiérarchiser les cyber-risques, en donnant moins de priorité aux risques "qui pourraient arriver", fruits de modèles prédictifs et plus de priorités aux risques "qui arrivent" : cyberterrorisme, cyberespionnage.. ?

Il convient d’avoir une approche de cyber-résilience, qui est volontairement concrète et tient lieu des risques possibles (et généralement avérés dans le secteur). Pour plus d’infos sur l’approche :http://www.symantec.com/fr/fr/page.jsp?id=cyber-resilience (notamment les 10 conseils pour la cyber résilience)

...

 

Vous avez lu 50% des cet article, l'intégralité est réservée à nos abonnés ainsi que nos études inédites: SCADA, "0Day", RGPD (Régulation Eur Data privacy)...

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires