#Cyberisques : Rapport 2016 Cybermenaces McAfee


Pour lire le rapport: Cyberisques News:

Rapport Cybermenaces 2016 McAfee


L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.


Faut-il repenser les centres SOC ?


Une grande étude a été réalisée à la demande d'Intel Security pour mieux comprendre comment les entreprises utilisent les centres SOC, comment ces derniers ont évolué au fil du temps et à quoi ils ressembleront à l'avenir. Près de 400 professionnels de la sécurité de plusieurs régions, secteurs et entreprises de différentes tailles ont été interrogés à cette occasion. L'étude a mis en lumière les éléments suivants :

■ Près de 9 entreprises sur 10 déclarent disposer d'un centre SOC interne ou externe.

■ La plupart d'entre elles s'efforcent de mettre en place des opérations de sécurité proactives et optimisées, mais 26 % continuent de fonctionner en mode réactif et adoptent une approche ponctuelle en matière d'opérations de sécurité, de traque de menaces et de réponse aux incidents.

■ 64 % des entreprises interrogées reçoivent une forme quelconque d'assistance de la part de leur fournisseur de services de sécurité managés (MSSP) pour leurs opérations de sécurité.

■ Près de deux tiers utilisent une solution de gestion des événements et des informations de sécurité (SIEM). Environ la moitié des entreprises sans solution SIEM comptent déployer cette fonctionnalité dans les 12 à 18 prochains mois.

■ La plupart des entreprises sont submergées d'alertes et 93 % sont incapables de catégoriser toutes les menaces pertinentes.

■ Plus de 65 % des entreprises ont mis en place des équipes formelles de prévention des menaces.

■ L'objectif prioritaire pour assurer la croissance future est d'améliorer la capacité d'intervention en cas d'attaques avérées, y compris la coordination, la neutralisation, l'élimination et la prévention de nouvelles attaques du même type  




2017: Prévisions en cybersécurité par Palo Alto Networks

Communication Corporate  December 12, 2016


Sai Balabhadrapatruni, Matt Keil et Anuj Sawani 

Palo Alto predictions 2017


This post is part of an ongoing blog series examining “Sure Things” (predictions that are almost guaranteed to happen) and “Long Shots” (predictions that are less likely to happen) in cybersecurity in 2017.

Here’s what we predict for cloud in 2017:
Sure Things
A multi-cloud, hybrid security strategy will be the new normal among InfoSec teams
In the last few years, the digital footprint of organizations has expanded beyond the confines of the on-premise data center and private cloud to a model that now incorporates SaaS and public clouds. To date, InfoSec teams have been in a reactive mode while trying to implement a comprehensive security strategy across their hybrid architecture. In 2017, we will see a concerted effort from InfoSec teams to build and roll out a multi-cloud security strategy geared toward addressing the emerging digital needs of their organizations. Maintaining a consistent security posture, pervasive visibility, and ease of security management across all clouds will drive security teams to extend their strategy beyond security considerations for public and private clouds and also focus on securely enabling SaaS applications.
Shifting ground within data privacy laws will impact cloud security choices
Cross-border data privacy laws play a significant role while considering cloud computing options for organizations across the globe. With recent developments, such as Brexit and the expansion of cross-border data flow restrictions in Asia-Pacific, IT security leaders will look for flexibility and adaptability from their cloud security vendors in 2017. Cloud security offerings need to address the diversity among clouds, enforce consistent security policy, and adapt to the data privacy laws of the resident nation-state. The WildFire EU cloud is a great example of enabling regional presence to comply with local data residency requirements. It is a global, cloud based, community-driven threat analysis framework that correlates threat information and builds prevention rulesets that can be applied across the public, private and SaaS footprint of organizations based out of Europe.

Large-scale breach in the public cloud

The excitement and interest around utilizing the public cloud reminds us of the early days of the Internet. Nearly every organization we talk to is using or looking to use either Amazon Web Services (AWS) or Microsoft Azure for new projects. And it is based on this observation that we predict a security incident resulting in the loss of data stored in a public cloud will garner international attention. The reality is that, given the volume of data loss over the past year, one or more successful breaches has likely occurred already, but the specific location (private, public, SaaS) of where the data was located is rarely, if ever, disclosed. But that is bound to change as more companies move their business-critical applications to the public cloud.




The basis of the prediction is twofold. Public cloud vendors are more secure than most organizations, but their protection is for underlying infrastructure, not necessarily the applications in use, the access granted to those applications, and the data available from using those applications. Attackers do not care where their target is located. Their goal is to gain access to your network; navigate to a target, be it data, intellectual property or excess compute resources; and then execute their end goal – regardless of the location. From this perspective, your public cloud deployment should be considered an extension of your data center, and the steps to protect it should be no different than those you take to protect your data center.
The speed of the public cloud movement, combined with the “more secure infrastructure” statements, is, in some cases, leading to security shortcuts where little to no security is being used. Too often we hear from customers and prospects that the use of native security services and/or point security products is sufficient. The reality is that basic filtering and ACLs do little to reduce the threat footprint, whereas opening TCP/80, TCP/443 allows nearly 500 applications of all types including proxies, encrypted tunnels and remote access applications. Port filtering is incapable of preventing threats or controlling file movements, improving only slightly when combined with detect and remediate point products or those that merely prevent known threats. It is our hope that, as public cloud projects increase in volume and scope, more diligence is applied to the customer piece of the shared security responsibility model. Considerations should include complete visibility and control at the application level and the prevention of known and unknown threats, with an eye toward automation to take what has been learned and use it to continually improve prevention techniques for all customers.

Long Shots

Autonomic Security: Rise of artificial intelligence and machine learning-driven security frameworks
2016 introduced self-driven cars and selfie drones to consumers. The technology behind these innovations was heavily driven by artificial intelligence (AI) and machine learning (ML). AI and ML usage within cybersecurity is not new. Cybersecurity vendors have been leveraging them for threat analysis and big data challenges posed by threat intelligence. But, the pervasive availability of open source AI/ML frameworks and automation simplicity associated with them will redefine the security automation approaches within InfoSec teams. Today, security automation is about simplifying and speeding up monotonous tasks associated with cybersecurity policy definition and enforcement. Soon, artificial intelligence and machine learning frameworks will be leveraged by InfoSec teams for implementing predictive security postures across public, private and SaaS cloud infrastructures. We are already seeing early examples that reflect the above approach. Open source projects, such as MineMeld, are shaping InfoSec teams’ thinking on leveraging externally sourced threat data and using it for self-configuring security policy based on organization-specific needs. In 2017 and beyond, we will see the rise of autonomic approaches to cybersecurity.

Insecure API: Subverting automation to hack your cloud

Application programming interfaces (APIs) have become the mainstay for accessing services within clouds. Realizing the potential problems associated with traditional authentication methods and credential storage practices (hard-coded passwords anyone), cloud vendors have implemented authentication mechanisms (API keys) and metadata services (temporary passwords) as alternatives that streamline application development. The API approach is pervasive across all cloud services and, in many cases, insecure. It provides a new attack vector for hackers, and in 2017 and beyond, we will hear about more breaches that leverage open, insecure APIs to compromise clouds.
What are your cybersecurity predictions around cloud? Share your thoughts in the comments and be sure to stay tuned for the next post in this series where we’ll share predictions for Asia-Pacific.



Symantec, en plus de la prévention, détection et à la réponse rapide aux incidents

Monaco Assises de la Sécurité / Gérald Delplace Cyberisques News 

Mercredi 5 octobre

 (Article complet réservé aux Abonnés de Cyberisques NEWS) 


Atelier Symantec :

Hervé Doreau, Directeur technique France et  Laurent Heslault Director, Security Strategist EMEA


Selon Gartner, en 2020, 75% des budgets sécurité IT seront dédiés à la détection et à la réponse rapide aux incidents plutôt qu’à la prévention

La nouvelle version EndPoint intégrera bientôt l’apprentissage machine 

L’administration des postes de travail se fera aussi de plus en plus dans le cloud


"Selon notre rapport annuel 2016 publié sur les données 2015 collectées auprès de la base installée, le constat est clair : tous les types d’attaque n’ont fait que progresser. En 2015 on a découvert plus d’1,2 millions de menaces par jour alors qu’en 2003 on en découvrait 5 par jour. Les Cybercriminels sont devenus des professionnels et les meilleures solutions de protection ne suffisent plus. Il faut intensifier la prise de conscience des usagers dans la détection, l’investigation et la remédiation alors que dans le passé on s’attachait principalement à la prévention.




La solution ATP Symantec (Advanced Threat Protection), mise en place en décembre 2015 dans notre propre environnement qui adresse 3 points (email, end point et réseau), nous donne aujourd’hui un retour d’expérience encourageant et tout à fait satisfaisant sur une population de 12 000 employés et 30 000 machines.
Cette solution nous permet plus d’agilité en rapport à la remédiation, un gain de temps et de ressources considérable. Selon Gartner, en 2020, 75% des budgets sécurité IT seront dédiés à la détection et à la réponse rapide aux menaces plutôt qu’à la prévention.

Les boitiers ATP endpoint ou ATP network ou ATP mail peuvent être déployés en une journée, c’est juste de la configuration et très vite, on peut découvrir les éléments de compromissions et y remédier. Nous allons bientôt proposer la nouvelle version SEP qui intégrera 2 nouvelles composantes : l’apprentissage machine (7 milliards de fichiers déjà référencés dans notre base) et le blocage des attaques 0 day. Nous avons aussi ajouté un module d’enrichissement des incidents vous permettant de profiler les attaques que vous rencontrez. L’intégration de BlueCoat et Elastica vont nous permettre d’élargir le nombre de point de contrôle dans nos solutions (proxiWeb et le cloud)"





Interview Laurent Heslault, Director, Security Strategist - Symantec EMEA

par Gérald Delplace / Cyberisques News 


1/ Après une année difficile, quelles leçons en tirez-vous ? Quels objectifs vous êtes-vous fixés ?

Si on regarde les chiffres, la vente de Veritas a impacté nos marges mais c’était prévu et refermait une époque on nous pensions proposer une synergie avec les solutions de backup et la haute disponibilité. Nous avons recentré notre offre sur le réseau avec des solutions EndPoint, DLP où nous sommes un des leaders, le rachat de BlueCoat pour le proxyWeb et la solution CASB d’Elastica. Nous pouvons répondre en matière de service aux demandes de compliance et gestion de risque.
Nous nous intégrons dans la discussion des Cyber assurances pour répondre au mieux à la normalisation de couverture. Nous commençons à parler à nos clients français de gouvernance car la loi sur le RGDP s’inscrit complètement dans notre approche solution d’aujourd’hui. De plus la prise de conscience se fait à plus haut niveau dans l’entreprise depuis qu’on parle d’assurer le risque.


2/ Vos actus sur les Assises (Produits, services, acquisition, nouveaux clients …)

Encore une fois nous avons un recentrage clair sur le triptyque Prévention, Détection et Réponse avec la solution ATP. Nous introduisons du BigData grâce à notre historique de données pour le bénéfice de nos clients. Et nous avons complété pour la cohérence de l’offre nos points de contrôle avec les acquisitions de BlueCoat et Elastica. La nouvelle version EndPoint intégrera bientôt l’apprentissage machine sans oublier l’EDR qui intègre le Forensic et un monitoring permanent grâce à l’enregistrement de tous les évènements.


3/ Vos indicateurs business ?

Pendant des années, nous étions dans une posture de prévention mais aujourd’hui nous allons conserver cette posture tout en poussant l’analyse en renforçant la détection et la réponse. Nous avons réussi à automatiser déjà la réponse à des menaces sans repasser par la génération de signature. La statistique que vous téléchargiez un exécutable que nous n’avons pas encore vu est très faible (nous en avons déjà 11 milliards dans nos bases). Si tel était le cas nous le plaçons directement en quarantaine.


4/ Comment garantissez-vous la marge de vos partenaires pour aller dans le Cloud ?

Il n’y a pas un cloud mais des Clouds. Nous avons-nous même la plupart de nos applications internes (SalesForce, etc…) dans le cloud et pour éviter d’avoir de multiples mots de passe, nous avons déployé un CASB. Le client final passe juste du mode Capex en Opex.
Les partenaires devront développer plus de services à valeur ajoutée en tant qu’intermédiaire mais moins d’installation. Ils devront venir sur l'administration pure cloud. L’administration des postes de travail se fera aussi de plus en plus dans le cloud.


(Article complet réservé aux Abonnés de Cyberisques NEWS) 




Etude CIGREF: Cyberiques, comment en parler au COMEX ?

Assises 2016: CIGREF


Cyber risque, pourquoi et comment en parler en Comex ?


 Cyber Risque dans la gouvernance de l’entreprise

Le CIGREF publie le rapport « Le Cyber Risque dans la gouvernance de l’entreprise » à l'occasion des Assises 2016 à Monaco.

Ce rapport interroge « pourquoi et comment en parler en Comex » ? Autrement dit, le cyber risque doit-il être débattu dans les plus hautes instances de gouvernance de l’entreprise, ou bien rester un sujet d'experts...







Des recommandations opérationnelles pour répondre 
aux questions des dirigeants…

Compte tenu des enjeux économiques liés au cyber risque, le CIGREF a souhaité aborder cet aspect essentiel en matière de gouvernanced’entreprise. Il a fait l’objet d’une étude approfondie menée au sein de son groupe de travail « Cybersécurité ». 

« Si la sécurité numérique occupe régulièrement le devant de la scène médiatique, son traitement reste encore trop souvent un sujet d’experts, alors que les enjeux peuvent concerner les processus vitaux des entreprises. Une bonne compréhension des risques liés à la cybersécurité doit permettre de donner à la sécurité numérique sa juste place au sein de chaque entreprise ». 


Ce rapport propose des recommandations opérationnelles susceptibles defaciliter la prise en compte du cyber risque dans la mutation numérique des entreprises. Plus largement, il s’adresse à toutes les parties prenantes de la cybersécurité souhaitant étendre leur champ de réflexion à la notion de gouvernance en entreprise.

« La cybersécurité doit être traitée de manière transversale et en liaison avec toutes les parties prenantes (Top management, Comités d’audit, Directions Métiers, Ressources Humaines, Juridique, Audit et Risques, et bien sûr DSI). Ce risque polymorphique va continuer d’évoluer, et les dispositifs associés à la gestion de ce risque devront plus que jamais être questionnés, challengés par les décideurs pour les adapter à la réalité du moment et à l’évolution de la menace ».




point Télécharger le rapport CIGREF

« Le cyber risque dans la gouvernance de l’entreprise. Pourquoi et comment en parler en Comex ? »

Sophos : « Simplyfing Cybersecurity »

Sophos : « Simplyfing Cybersecurity  »



Une visite au siège d'un éditeur est souvent dense et ...parfois sans réelles informations. Dans le cas de Sophos qui accueille la presse dans son headquarter d'Oxford pres de Londres la visite est instructive. Au delà de très bons résultats, convaincre du bien-fondé de vouloir synchroniser endpoint et réseaux constitue le véritable challenge de Sophos pour 2017.

Jeudi 30 juin 2016, pluie sur Oxford et soleil dans les yeux de Kris Hagerman CEO de Sophos qui livre les premiers résultats donnés la veille aux analystes du monde entier. Bons résultats financiers avec une croissance de plus de 21%, une part de marché mondial en solutions de sécurité endpoint estimée a plus de 5% et le même pourcentage pour la part de marché attribuée aux solutions réseaux. Pour Kris Hagerman, 2017 doit permettre d'augmenter ces résultats avec des « targets » de 25% de croissance sur ces deux segments de marché.



Kris Hagerman CEO de Sophos 


En bon britannique, Sophos n'évoque pas publiquement le vote « Brexit » (qui risque de perturber son business) mais rappelle discrètement sa position de premier éditeur en Europe en solution de sécurité. Une position qui ne peut que se renforcer au vue d'un marché demandeur. Les coûts attribués aux cyber-dommages sont en perpétuelles augmentation (cf infographie 1 en section BONUS) tandis que la réglementation notamment en Europe incite a davantage d'investissements. « mais surtout insiste le CEO le middle market qui constitue notre cœur de cible est celui qui reste le plus demandeur avec d'une part une sécurité indispensable sur les devices endpoint et d'autre part un renforcement des protections des informations confiées au réseau et notamment aux services Cloud ». Un positionnement astucieux quand on sait que selon différents rapports 2016 plus de 36% des entreprises ont perdu des informations en mode SaaS.

Avec 2600 collaborateurs pour plus de 250 000 clients, 4 Labs dont 2 en Europe, et 10 centres de R&D la stratégie de Sophos a toujours mis en avant la recherche. Mais une recherche qui doit tenir compte d'un usage simple et pragmatique des outils et services de sécurité selon un mode : la synchronisation. Et pour synchroniser il faut innover sans cesse y compris par croissance externe.

Innover dans la simplicité, c'est la pari de l'éditeur britannique depuis 1985 date de sa création par Peter Lammer et Jan Hruska. En 2016 ce pari tient toujours. Lorsqu'on demande à Kris Hagerman, CEO actuel et surfeur passionné d'origine californienne, comment s'illustre ce pari pour 2017, il répond de façon pragmatique :  « Trois piliers à différents niveaux supportent notre stratégie : simplicité, cohérence et proximité grâce à nos 20 000 partenaires. Pour les clients du « middle market », qui constituent la cible prioritaire de Sophos, la simplicité dans l’utilisation et l’administration est essentielle. Nos équipes de développement recherchent par ailleurs sans cesse les meilleures technologies, qu’elles mettent en œuvre dans un cadre cohérent qui permet leur synchronisation. Enfin, nos partenaires assurent à nos clients une proximité "à valeur ajoutée" très appréciée dans les services et le support ».

Solutions homogenes

Dans les faits ce discours se vérifie avec toutefois quelques bémols. L’homogénéité dans la gamme Sophos existe mais pour l'essentiel entre solutions proposées par Sophos. Ce qu'on pourrait nommer « solutions propriétaires ». Reste que sur ce point, l'éditeur fournit de gros efforts pour intégrer à ses propres plates-formes des solutions technologiques venus « d'ailleurs ». Ce qui constitue un enrichissement original des ces propres solutions.

Concernant le middle-market, autrement dit le marché allant de 15 a 5000 utilisateurs, là encore prudence. Les chiffres montrés à Oxford cette semaine aux analystes financiers par le CEO ventilaient un « focus » plus dilué avec 26% de SMB, 56% de middle-market et 18% de grands comptes. « un chiffre plus important en France »  note Michel Lanaspeze, directeur marketing EMEA.



 (Source SOPHOS 2016)

 En revanche, sur les opération de croissance externe, Kris Hagerman est presque en dessous de la vérité. L'éditeur britannique a multiplié avec succès les acquisitions « ce qui n'est pas toujours évident notamment en terme de culture » relève Michel Lanaspeze. D'autant que présent à la bourse de Londres depuis 2014, l'éditeur se doit d'éviter les vagues aupres de ses actionnaires au moment ou certains concurrents (Intel Security avec McAfee par exemple) évoquent une séparation et des licenciements avant la fin de l'année.

Une croissance externe volontariste

Rappel : depuis 2013, Sophos a acquis sans problèmes après Utimaco en 2010 bon nombre d'acteurs « technos » Astaro, Dialogs, Reflexion, Surfright, Cyberoam et Mojave. Selon le CTO Joe Lévy d'autres acquisitions sont envisageables pour 2017. Le directeur de l'innovation de Sophos considère notamment les solutions de chiffrement comme « nerf de la guerre » en termes de cybersecurité pour les entreprises de taille moyennes « le problème au delà des réglementations par pays ou continents (comprenez l'Europe) ce sont les absences de standards entre zones géographiques ce qui perturbe les échanges de données chiffrées au niveau mondial ».

A Oxford, au delà d'une visite rapide du laboratoire avec notamment une démonstration sur la gestion des cyber-menaces en mode « threat intelligence » les équipes de Sophos se sont aussi « amusées » a simuler devant une quinzaine de journalistes européens des attaques entre méchants attaquants et gentils attaqués. Une première pour un éditeur plutôt discret sur ces performances. Bien entendu toutes les attaques ont été repoussées et les gentils « bleus » aidés par les outils de Sophos ont gagné haut la main avec ...simplicité !

L'éditeur rappelle qu'il est reconnu leader par le Gartner sur trois segments de marché non négligeables : UTM, Chiffrement mobiles et solutions de sécurité EndPoint. L'idée maîtresse de Sophos en matière de sécurité repose sur un échange et un partage d'informations entre les systèmes d'extrémité (EndPoint) et le ou les pare-feux... Sophos pour le moment.



 (Source Sophos 2016)


Au plan technique cette tentative de synchronisation des informations entre systèmes ne se « parlant » pas habituellement peut donner naissance à une « synergie protectrice » intéressante. Convaincre du bien-fondé de vouloir synchroniser endpoint et réseaux constitue le véritable challenge de Sophos pour 2017. D'autant que cette synergie entre devices et systèmes s'accompagne au niveau des services cloud d'une automatisation via notamment des corrélations en temps réel entre informations émises par les produits de sécurité (et la solution Sophos Security Heartbeat). En pratique ce partage de l'intelligence de la détection peut déclencher une suspension des clés de chiffrement. Cet événement en déclenche d'autres et prévient l'administrateur. Il s'agit d'offrir une réponse automatisée aux incidents notamment les attaques APT. « La synergie infos systèmes, automatisation d’événements et infos aux administrateurs ne peut fonctionner que sous la supervision des administrateurs » précise t-on chez Sophos. Dehors le soleil tente une percée. Bon signe pour Sophos .








Lire aussi: http://cyberisques.com/fr/mots-cles-7/550-infosec-du-rififi-dans-l-antivirus



Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.



Informations supplémentaires