Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ?

Expertise :

 

                     Loïc Guézo Trend Micro CyberSecurity Strategist, CISSP #80376, LA 27001

 

"Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ?"

 

RTR2UW79

 

 


Cyberdefense :  attaquer avec les outils de l'adversaire, c'est une des définitions de la LIO (Lutte informatique offensive) ?

La LIO  c'est surtout aujourd'hui l'exploitation de vulnérabilités chez l'adversaire ; on s'approche immédiatement de la dualité de ses sujets. Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ? Les industriels de confiance se retrouvent sur un point : l'utilisation duale de ces connaissance peut se faire selon deux modes, ce que l'on  rapproche du double usage (1) -qui peuvent être employées aussi bien à des fins militaires que civiles, donc dis autrement mode défense et mode attaque. Ces cyber-attaques se font via des outils qui exploitent des vulnérabilités généralement pas encore connues des éditeurs. Certains acteurs tels que des profils comme l'ex-VUPEN commercialisent des « 0day » aux plus offrants dont la NSA et d'autres services après les avoir « achetées » à des « indépendants »… C'est la loi du plus offrant, le far-west ou la loi de la jungle ?

 

Comment un tel business peut exister au regard de la législation ?

L'arrangement de Wassenaar (2)  apporte des garanties dans l'encadrement e commerce des zero day. La question est s'achemine t-on vers une déréglementation des ventes et reventes de cyber-armes ? Ou au contraire vers une pénalisation de la R&D sur ces sujets…A mettre en regard des derniers accords signés entre la Chine et les US en septembre dernier ; ce qui montre le niveau stratégique des discussions auquel nous sommes confrontés. 

 

A t-on une idée de l'état des réserves en cyber-armes des grandes puissances ?

Les réserves de « stuxnet-bis » existent au sein des pays puissants habituels mais aussi au sein de groupes privés de type cyber mercenaires. Et là c'est plus inquiétant à mon sens C'est tout le problème de l'univers numérique :   une vulnérabilité peut-être découverte et / ou exploitée par un homme isolé. Il faut donc s'attendre à des augmentations de risques liés à des actes de cyber terrorisme, parfait exemple du caractère asymétrique persistant (peu de moyen pour de gros effets) alors que les grands pays sont en même temps dans une course à l'armement et à la multiplication des moyens disponibles...

 

Propos recueillis par Jean Philippe Bichard

Lire aussi: http://cyberisques.com/fr/content12

 

A noter: 

 

Cyber warfare is a natural arena for al Qaeda. It allows a small number of covert and dispersed individuals to inflict disproportionate damage on a much stronger adversary. Cyber warriors generally hail from the class of disaffected, educated, relatively-well-off radicals from whom al Qaeda draws its leadership cadres. Al Qaeda should have an advanced cyber-warfare capability to hurt the West and help recruit new followers, but it does not. The only hacking collective claiming affiliation with the group is al Qaeda Electronic (AQE), which was formed only this year and has shown limited and rudimentary capabilities. Al Qaeda does not seem to pose a significant cyber threat to the U.S. or its allies at this time. Al Qaeda’s relative impotence in the cyber realm likely reflects the experiences of its leaders and the group’s history. Ayman al Zawahiri, its current leader, and his lieutenants have spent most of the past 25 years operating covertly and trying to evade the prying electronic eyes of Western intelligence agencies. They have seen information technology as a way to communicate securely to a small group of trusted leaders, which is why they still rely heavily ...

                                               Intégralité de l'article réservée à nos abonnés                                   

 

 

 

BONUS :

1 - Qu’est-ce qu’un « bien à double usage » ?

Définition (article 2 du règlement (CE) n° 428/2009 modifié) On entend par biens à double usage, « les produits, y compris les logiciels et les technologies (y compris la transmission de logiciels ou de technologies, par voie électronique, par télécopieur ou par téléphone vers une destination située en dehors de la Communauté) susceptibles d’avoir une utilisation tant civile que militaire ». Ils sont repris dans une liste annexée au règlement communautaire qui définit le cadre juridique applicable en la matière (cf. point n°3 « fondements juridiques », ci-dessous). Ce sont des biens sensibles qui, dans la plupart des cas, sont destinés à des applications civiles, mais qui peuvent être utilisés à des fins militaires ou qui pourraient sensiblement renforcer les capacités militaires des pays qui les acquièrent. Quelques exemples permettent de comprendre la différence entre un bien à double usage et une arme : il peut s’agir d’un ordinateur, un logiciel d’une certaine capacité, un composant électronique ou mécanique, un virus qui existe à l’état naturel (Ebola), un produit chimique vendu en grande quantité industrielle, une machine outil ou encore un équipement pour une usine nucléaire.

 

2 - L’Arrangement de Wassenaar : n arrangement multilatéral global pour le contrôle des exportations d’armements conventionnels et de biens et technologies à double usage servant à leur fabrication.

Il a été conclu en juillet 1996 par 33 Etats et tire son nom de la localité de Wassenaar, aux Pays-Bas. Il regroupe aujourd’hui 41 Etats. L’Arrangement de Wassenaar vise avant tout à promouvoir "la transparence et une plus grande responsabilité dans les transferts d’armes et de biens à double usage afin de prévenir les accumulations déstabilisantes". Il complète et renforce les régimes existants de non-prolifération des armes de destruction massive. Les Etats parties à l’Arrangement doivents’assurer que les transferts d’armes et de biens et technologies à double usage conventionnels qu’ils effectuent ne contribuent pas au développement ou au renforcement de capacités militaires pouvant nuire à la sécurité et à la stabilité régionales et internationales.

Un forum politique et technique

La nature juridiquement informelle de l’Arrangement de Wassenaar repose sur un engagement politique exprimé dans des éléments initiaux et des textes ou déclarations complémentaires adoptés à l’unanimité par les Etats participants. Toutes les décisions au sein de l’Arrangement de Wassenaar sont prises par consensus.

Sur le plan politique, les Etats se sont engagés à :

  • suivre les "directives", "éléments" et "meilleures pratiques" adoptés par l’Arrangement de Wassenaar ;contrôler en vertu de leur législation nationale les exportations de biens figurant sur la liste militaire et la liste des biens à double usage de l’Arrangement ;

  • rendre compte, par souci de transparence, des transferts d’armements conventionnels et de biens à double usage jugés très sensibles, ainsi que des refus de transfert de biens à double usage en général ;

  • échanger des renseignements sur les exportations de biens et de technologies à double usage très sensibles. Le secrétariat permanent de l’Arrangement de Wassenaar est situé à Vienne et comporte une douzaine de personnes. L’assemblée plénière se réunit une fois par an et ses organes subalternes se réunissent plus régulièrement.

En fonction de l’évolution des technologies, le groupe d’experts met à jour chaque année les listes de contrôle. La liste militaire de l’Arrangement de Wassenaar est notamment reprise dans la liste militaire commune européenne des équipements militaires et la liste des biens à double usage est transposée dans le règlement communautaire sur le contrôle des exportations de biens et technologies à double usage (Règlement (CE) 428/2009 modifié par les règlements n°1232/2011 du Parlement européen et du Conseil du 16 novembre 2011, n°388/2012 du Parlement européen et du Conseil du 19 avril 2012 et n° 599/2014 du Parlement européen et du Conseil du 16 avril 2014). Le contrôle à l’exportation demeure de la souveraineté de chaque Etat participant.

BONUS: 

https://www.linkedin.com/pulse/cyber-arms-race-consequences-jarno-limn%C3%A9ll?trk=hp-feed-article-title-like

 

Comment un cybercriminel peut infiltrer votre réseau

par Christophe Auberger, Directeur Technique France, Fortinet

La sécurité est plus que jamais une priorité pour les entreprises, contribuant activement à sa réussite. Les RSSI doivent désormais s'assurer que leurs projets en matière de sécurité IT sont en phase avec les objectifs de l'entreprise.

Nous sommes tous connectés à Internet, ce qui est très positif. Mais ce lien permanent implique que nous sommes tous au cœur d'un écosystème de grande envergure. Il est essentiel de comprendre que tout ce qui touche une organisation impactera également de nombreuses autres entreprises, et notamment ses partenaires. Ainsi, en cas de piratage d'une entreprise, ce sont des données personnelles identifiables qui sont détournées. Ces données peuvent être revendues à des spécialistes de l'usurpation d'identité ou constituer un terreau favorable aux attaques de phishing. Plus l'assaillant disposera d'informations sur vous, plus l'email qu'il vous enverra apparaîtra comme légitime et vous incitera à cliquer sur un lien malveillant.

Notons que les tactiques d'attaques actuelles sont similaires à celles d'il y a quelques années : récupération de mots de passe faibles, attaques de type phishing et téléchargement de logiciels malveillants à partir de sites web infectés ou de publicités malveillantes. Sauf qu'aujourd'hui, l'assaillant a gagné en furtivité et en efficacité lorsqu'il mène son attaque.

Penchons-nous, par exemple, sur les réseaux sociaux et les services en ligne. Nous sommes très nombreux à les utiliser, qu'il s'agisse de Facebook, de LinkedIn, ou encore des sites de rencontres en ligne. Les assaillants l'ont parfaitement compris et capitalisent sur la fibre émotionnelle de chacun. Ils établissent ainsi leur passerelle d'entrée vers les dispositifs des utilisateurs en s'aidant de ces sites et de techniques d'ingénierie sociale. Ainsi, si les méthodes d'ingénierie sociale restent les mêmes, les vecteurs et la surface d'attaque ont, en revanche, progressé. Parallèlement, ce sont les techniques de furtivité qui ont gagné en précision, avec des assaillants toujours plus aptes à se dissimuler. Se contenter d'utiliser les antivirus traditionnels n'est donc tout simplement plus suffisant.

Parmi les techniques utilisées, l'attaque de type phishing est la méthode principale pour s'immiscer au sein des réseaux d'entreprise.  

Un email de phishing, conçu pour paraître le plus légitime possible, est envoyé avec un fichier joint ou une URL malveillante, et incitant l'utilisateur à ouvrir le fichier ou à cliquer sur l'URL. L'attaque par téléchargement furtif (ou drive–by attack) est une autre technique utilisée par les assaillants. Ces derniers piratent un site Web et y installent un script java malveillant qui redirigera l'utilisateur vers un autre site hébergeant un logiciel malveillant téléchargé en arrière-plan vers l'équipement de l'utilisateur. Dans le cas d'une attaque ciblée, les assaillants peuvent passer des mois à identifier les sites Web les plus consultées par les organisations ciblées, pour ensuite les infecter.

Le malvertising (publicité malveillante) compte également parmi les techniques utilisées. Cette attaque emprunte les codes des attaques drive-by, mais l'assaillant se focalisera sur l'infection des sites de publicités. Il devient possible d'infecter un seul de ces sites qui, à son tour, pourra infecter jusqu'à 1 000 autres sites Web. Ou l'art d'industrialiser son attaque.

Enfin, n'oublions pas l'attaque mobile. Nombre de ces attaques sont similaires à celles mentionnées plus haut, mais elles ciblent les dispositifs mobiles. Notons qu'il est possible d'infecter un dispositif mobile via un message SMS, ou à l'aide d'un logiciel malveillant qui se présente en tant qu'application ludique ou de contenu pour adultes.

Lorsque l'assaillant est rentré dans un réseau et qu'il réside sur le dispositif d'un utilisateur (ordinateur de bureau ou portable, équipement mobile), il doit désormais injecter de nouveaux logiciels malveillants et outils pour mener à bien sa mission. Généralement, les informations de valeur ne sont pas stockées sur les postes de travail, mais plutôt sur les serveurs et des bases de données. Voici donc un aperçu des étapes supplémentaires pouvant être mises en œuvre par un cybercriminel déjà présent dans le réseau:

  1.             Téléchargement d'autres outils et logiciels malveillants pour compromettre davantage le réseau.
  2. Exploration du réseau pour identifier les serveurs hébergeant les données ciblées. Recherche du serveur Active Directory contenant tous les identifiants d'authentification, dans l'objectif de pirater ces données, véritable sésame pour le cybercriminel.
  3. Une fois les données ciblées identifiées, recherche d'un serveur provisoire pour y copier ces données. Le serveur idéal est un serveur stable, à savoir toujours disponible, et disposant d'un accès sortant vers Internet.
  1. 4.    Exfiltration furtive et lente de ces données vers les serveurs des assaillants, généralement déployés dans le cloud, ce qui rend la neutralisation des communications plus complexe.

Les cybercriminels présents au sein du réseau sur une longue durée pourront obtenir tous types d'informations disponibles puisque les données d'entreprise, dans leur grande majorité, sont archivées sous format électronique. Plus le cybercriminel est présent sur le réseau, plus il en apprend sur les processus et les flux de données de votre entreprise. L'attaque Carbanak qui a ciblé de nombreuses banques dans le monde en est la parfaite illustration. Lors de cette exaction, les cybercriminels sont remontés jusqu'aux ordinateurs des administrateurs ayant accès aux caméras de vidéosurveillance. Ils ont ainsi pu surveiller de près le fonctionnement du personnel bancaire et enregistrer tous les processus dans le détail. Ces processus ont été reproduits par les cybercriminels pour transférer des fonds vers leurs propres systèmes.

Comme déjà souligné, une brèche dans le réseau s'initie généralement par un simple clic d'un utilisateur sur un lien malveillant. Après avoir investi le poste de l'utilisateur piraté, l'assaillant commence à explorer le réseau et à identifier les données qu'il souhaite détourner. C'est dans ce contexte que la notion de segmentation de réseau devient essentielle. Cette segmentation permet de maîtriser l'impact d'un piratage puisque l'entreprise victime peut  isoler la faille et éviter tout impact sur le reste du réseau. D'autre part, elle permet de cloisonner les données sensibles au sein d'une zone hyper-sécurisée qui rendra la tâche bien plus complexe pour ceux qui souhaitent les exfiltrer. Pour conclure, gardons à l'esprit qu'il est impossible de protéger et de surveiller le réseau dans sa totalité, compte tenu de son périmètre étendu et de sa complexité. Il s'agit donc d'identifier les données les plus sensibles, de les isoler et de porter son attention sur les chemins d'accès vers ces données.  

Intégralité de l'article réservée à nos abonnés: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Cloud insecurity : la réponse d'IBM se nomme Intelligent Threat Protection Cloud

 

Cloud insecurity : la réponse d'IBM se nomme Intelligent Threat Protection Cloud

 

L'annonce : IBM vient d'annoncer son nouveau portefeuille de solutions Dynamic Cloud Security. Certains modules de cette gamme sont issus de l'acquisition récente (aout 2014) de SoftLayer. Cette gamme Dynamic Cloud Security intégre des modules de type IBM Qradar, IBM Intelligent Threat Protection Cloud... Analyse et commentaires sur cette annonce.

 

La raison de cette annonce : l'interconnexion entre différents environnements Clouds devient nécessaire

En filigrane de cette annonce ce sont les « portabilités » d'applications entre architectures Cloud qui sont visées en tant que nouvelles sources de cyberisques. Un constat : l'interconnexion entre les mondes Amazon, Azur… est en marche. Pourquoi ? La raison est simple : le Cloud hybride (mi public mi privé) gagne du terrain selon le cabinet d'analyse Gartner (1) près de la moitié des grandes entreprises vont déployer des Cloud ​​hybrides d'ici fin 2017. On sait qu'IBM souhaite travailler dans « un monde ouvert » selon quatre principes : protection des identités, sécurité des applications, protection des données et sécurité des infrastructures. D’où la nécessité de sécuriser ces nouveaux environnements cloud hétérogènes.

La finalité de cette annonce : obtenir la meilleure des visibilités « secure » sur les applications partagées dans les Cloud hybrides

Cette annonce vise a réduire l'exposition aux cyber-menaces des données et applications dans les cloud hybrides. Hybrides et hétérogènes, les entreprises ne souhaitant plus s'enfermer au sein d'un seul monde, les éditeurs se trouvent contraints de réfléchir à une plus grande portabilité des applications et des données. C'est le sens de cette approche qui selon IBM...

...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS & CYBER RISK DE CYBERISQUES.COM:

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale dans la boite mail de votre choix.

 

 Pour s'abonner: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

CYBERISQUES.COM premier service de Veille Business & Cyber Risk pour dirigeants et membres des COMEX

Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

 

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

 

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Evolution Cadre réglementaire:

 

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Evolution Données et Cyberassurance :

 

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

 

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

 

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Evolutions de la perception des cyber-risques, le facteur humain:

 

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Pour s'abonner:  http://www.cyberisques.com/images/Bulletin-abonnement.png

 

 

1 - Marché Cloud Hybride selon Gartner: http://www.gartner.com/newsroom/id/2599315

2 – Verizon : Rapport d'enquête 2014 sur les compromissions de données

2bis – PwC :PricewaterhouseCoopers dans son rapport 2014 Global Economic Crime Survey, indique que  39% des acteurs du secteur financier mondial ont été victimes de « cyber-crime » contre 17% pour les autres secteurs en moyenne.

3 IBM et la sécurité : faits et Chiffres

₋ deux ans de croissance à deux chiffres du chiffre d'affaires dans le domaine de la sécurité, IBM se revendique comme le plus important fournisseur de solutions de gestion de sécurité pour les entreprises dans le monde.

- au cours de la dernière décennie, plus de 2 milliards de dollars ont été investis dans la recherche et le développement dédié à la sécurité, et l’obtention de plus de 3000 brevets de sécurité. 
- IBM a investi 1,2 milliard de dollars pour renforcer son empreinte Cloud au niveau mondial, avec le développement de 40 datacenters.

- 7 milliards de dollars d’acquisitions ​​majeures dans le domaine du Cloud (acquisition de SoftLayer pour 2 milliards de dollars) 

4Cyberisques et Intelligence: http://www.crowdstrike.com/intelligence/index.html

                                                   http://www.cyberisques.com/fr/mots-cles-7/357-monaco-assises-de-la-securite-2014-la-cyber-securite-s-assure

 

 

 

 

 

data breach Juillet 2014

Notification : « Dear Customers »

 

Data breach and notification example : June 2014

192,227 victims have been affected and some 495,753 Boleto transactions have been compromised during the two-year attack. It is estimated that hackers could have stolen up to $3.75 billion (USD$) – though it’s not known how successful the fraudsters were in syphoning off funds. The New York Timesreports that even if half of that amount was stolen, the crime would be far greater than any other recorded electronic theft.

cyberisques.com-Boleto-Brasil-Fraud 

 

Qui sont les auteurs de Data-breach ?  

 CYBER-RISQUES-NEWS-PROFILSCYBER-ATTAQUANTS-2013 

 

Man in the middle: intercepted transaction

cyberisques.com-Boleto-Fraud-2

 

 

 

cyberisques.com-Data-Breach-CISO-Cyberark

                                                                                  Source: cyberark report 2014

BONUS :

 http://www.cyberisques.com/images/Bulletin-abonnement.png

 http://www.emc.com/collateral/white-papers/h13282-report-rsa-discovers-boleto-fraud-ring.pdf

 http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2010349%202014%20INIT

 

Code Spaces : Is Down!

Dear Customers,

On Tuesday the 17th of June 2014 we received a well orchestrated DDOS against our servers, this happens quite often and we normally overcome them in a way that is transparent to the Code Spaces community. On this occasion however the DDOS was just the start.

An unauthorised person who at this point who is still unknown (All we can say is that we have no reason to think its anyone who is or was employed with Code Spaces) had gained access to our Amazon EC2 control panel and had left a number of messages for us to contact them using a hotmail address

Reaching out to the address started a chain of events that revolved arount the person trying to extort a large fee in order to resolve the DDOS.

Upon realisation that somebody had access to our control panel we started to investigate how access had been gained and what access that person had to the data in our systems,  

Lire la suite...

Data Breach: état des lieux, estimations et conseils

 

Ponemon found that, "the average annualized cost of cyber crime incurred

by a benchmark sample of U.S. organizations was $12.7 million," up 96%

since five years ago. The average cost to resolve a single breach was

$1.6 million.

 

Ponemeon How we calculate the cost of data breach ? 


To calculate the cost of data breach, we use a costing methodology called activity-based costing (ABC). This methodology identifies activities and assigns a cost according to actual use.
Companies participating in this benchmark research are asked to estimate the cost for all the activities they engage in to resolve the data breach.
Typical activities for discovery and the immediate response to the data breach include the following:
 Conducting investigations and forensics to determine the root cause of the data breach
 Determining the probable victims of the data breach
 Organizing the incident response team...

...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

 


2014 Data Breach Risk Calculator Index

 

Dossier complet pour les abonnés: http://www.cyberisques.com/images/Bulletin-abonnement.png

http://www-935.ibm.com/services/us/en/it-services/security-services/cost-of-data-breach/index.html

 

Vulnérabilités sur les SI: Rapport Bromium H1 2014

Bromium Labs Research Brief
Endpoint Exploitation Trends H1 2014

Attackers continue to increase the sophistication of their exploit techniques. Internet Explorer and Adobe Flash are the targets of choice in the first half of 2014. Action Script Sprays are a new technique to exploit Adobe Flash that has been seen in the wild. We expect to see similar techniques in the months to come. This is further evidence that the world of Web browser plugins presents a weak link that is just waiting for exploitation in the future. Web browser release cycles are compressing and the interval between the general availability of a new release and the appearance of the first security patches has been decreasing recently. This may represent greater efforts on the part of software manufacturers to secure their products, or it may represent products being released to market with less security testing than earlier versions received. Notably ‘Use-After-Free’ type vulnerabilities were the favorite of zero day attackers. Much attention was paid to JAVA exploits in 2013 and countermeasures such as disabling JAVA may have had a role in forcing attackers to switch to new targets this year. Regardless of the causes, zero day exploits in JAVA have experienced a recent lull in activity. Time will tell.

 

BONUS: 

http://www.cyberisques.com/images/Bulletin-abonnement.png

http://www.bromium.com/sites/default/files/bromium-h1-2014-threat_report.pdf

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires