Benoit Grunemwald: Quand les entreprises accordent leur cyber-confiance

Cyber-expert: Benoit Grunemwald directeur commercial et marketing  ESET France 

 

 

Quand les entreprises accordent leur cyber-confiance

 

L'affaire dévoilé fin 2015 mettant en cause Volkswagen suite à la découverte d'un logiciel « trafiqué » sur les modèles diesel de la marque afin de « réussir » les contrôles anti pollution est révélatrice. Un climat de confiance entre marques et clients se construit sur le long terme; une situation de crise ou la méfiance s'installe peut considérablement entamé ce capital confiance. Dans le secteur de la cybersécurité, une crise de ce type peut survenir rapidement suite à une cyber-attaque. Sony, Target et d'autres en ont fait l'expérience. Elle pourrait aussi toucher des fournisseurs et éditeurs. Dès sa création, ESET a joué la carte de la cyber-confiance.

 

La confiance se gagne. Elle doit aussi se partagée. Techniquement, on le voit, le protocole IP joue la rôle d'un fédérateur à tous les niveaux des architectures des SI. D'un coté les réseaux et routeurs évoluent vers des environnements virtuels. D'un autre coté, IP fédère l’informatique de gestion (mobiles inclus) avec les SI d’autres prestataires (Cloud, telco..) et les SI de contrôles industriels sous architectures SCADA. Bref, les risques augmentent avec l'extension des périmètres des SI interconnectés. S'ajoute aujourd'hui une autre dimension avec la venue d'objets connectés étrangers au SI. Exemple : la « valise » qui permet de diagnostiquer l’informatique embarquée dans une voiture est connectée au SI du constructeur. La voiture illustre bien la problématique des objets connectés BtoB coté constructeurs et BtoC coté utilisateurs (automobilistes, garagistes, assureurs...).

Ces imbrications supposent un élargissement des domaines de la confiance qui auparavant étaient limités à un seul acteur (constructeur, éditeur, prestataires d'infrastructures, sociétés de services …). Ces domaines étaient aussi géographiquement concentrés. Aujourd'hui, c'est donc toute une chaîne de confiance entre acteurs qu'il faut construire, souvent à l'échelle mondiale. D'où le partage de la confiance. 

ESET, éditeur européen, présent depuis de nombreuses années au cœur de très nombreuses entreprises offre dans ce paysage remodelé deux avantages stratégiques pour les entreprises de toutes tailles. Toutes les solutions d'ESET sont adaptées aux environnements hétérogènes. Elles sont également toutes compatibles entres elles. ESET n'oblige pas les entreprises a changer mais leur propose d'enrichir l'existant en fonction des évolutions majeures que connaissent les SI. En ce sens, l'innovation chez ESET suit l'évolution des parcs installés des clients. Simplicité d'évolution et économies d'échelles constituent des avantages reconnus. L'offre d'ESET se trouve toujours en phase avec les besoins des clients. Les solutions développées par les chercheurs ne se trouvent jamais décalées par rapport aux technologies présentes dans les parcs installés. Des parcs en forte progression. 

En 1987, 200 000 machines étaient connectés au Net. En 2025, on attend 10 milliards de machines IP. En 2003, il y avait 500 millions d’adresses IP. En 2016, elles seront plus de 20 milliards. En 2020, entre 50 et 80 milliards en intégrant les adresses des « Iot » (Internet des objets). La multiplication des « points d'entrée » peut inquiéter. Rien n’est plus facile que d’attaquer des entreprises en passant par les connexions extérieures de prestataires, services WEB, appareils mobiles… 

Face a cette envolée, les entreprises veulent des partenaires lucides, solides, efficaces et dignes de confiance. Situé au coeur de l Europe, ESET préconise une approche pragmatique. Il est un des rares acteurs en sécurité a bénéficier d'un taux de renouvellement de ses solutions supérieur à 90 % auprès des entreprises de plus de 200 postes. Cette stratégie dictée par le bon sens propulse ESET dans le top 5 des éditeurs de sécurité informatique - marchés BtoC et BtoB - selon la dernière étude du Gartner (2015).

Le cabinet d'analyse indique qu’en 2014, la croissance d’ESET® a été 8 fois plus importante que celle constatée sur le marché solutions logicielles de sécurité. L'éditeur bénéficie d'une cyber-confiance méritée. Et ce n'est qu'un début.

 

Benoit Grunemwald directeur commercial et marketing  ESET France 

http://www.eset.com/fr/

http://www.eset.com/int/business/

V9 Malware History 1

 

Rapport Q4 2015 McAfee: nette augmentation de 72 % des malwares mobiles

Etude: 

Le nouveau rapport McAfee Labs d’Intel Security : 
seuls 42 % des professionnels de la sécurité partagent 
des renseignements sur les cyber-menaces

 

Le rapport révèle les résultats de l’enquête sur la perception de la valeur du partage des renseignements sur les menaces en entreprise et revient sur l’évolution du paysage de cyber-menaces au 4ème trimestre 2015

Faits saillants du rapport :

  • Seuls 42 % des professionnels de la sécurité consultés utilisent le partage de renseignements sur les cyber-menaces ;

  • 97 % des adeptes du partage des renseignements estiment que l’échange des informations leur a permis de renforcer la sécurité de leur entreprise ;   

  • Parmi les professionnels interrogés, 91 % souhaitent recevoir des renseignementssur les cyber-menaces dans leur domaine tandis que seuls 63 % seraient d’accord pour partagerles informations dont ils disposent ;

  • McAfee Labs a constaté également la progression de 26 % de nouveaux ransomwares au 4ème trimestre 2015, par rapport au trimestre précédent ;

  • Pour les mêmes périodes, les chercheurs ont noté une augmentation de 72 % des nouveaux exemples de malwares mobiles.

Paris, le 22 mars 2016 – Le rapport McAfee Labs Threats Report: March 2016révèle les résultats de l’étude d’Intel Security sur l’adoption du partage des renseignements sur les cyber-menaces dans les entreprises. Le rapport passe également à la loupe les outils d’administration à distance (RAT) Adwind et détaille la progression des malwares, notamment celle des ransomwares et des malwares mobiles, au 4ème trimestre 2015.

Partage des renseignements sur les menaces en entreprise
En 2015, Intel Security a mené une enquête auprès de 500 professionnels de la sécurité en Europe, en Amérique du Nord et en région Asie-Pacifique, pour évaluer la sensibilisation des entreprises au partage des renseignements sur les menaces. Bien que les résultats de l’étude mettent en évidence l’intérêt des entreprises à la nouvelle tendance dans le domaine de la cybersécurité, l’enquête pointe du doigt les obstacles à l’adoption plus large :

  • Adoption et la valeur perçue.Sur les 42 % des professionnels qui partagent des renseignements sur les menaces, 97 % estiment que cette pratique leur a permis de mieux protéger leur entreprise.

  • Renseignements spécifiques au secteur.Avec une quasi-unanimité, 91 % des professionnels consultés s’intéressent à des renseignements sur les cyber-menaces, et notamment sur les menaces spécifiques à leur secteur. L’étude souligne que le secteur des services financiers et les opérateurs d’importance vitale (OIV) pourraient bénéficier le plus du partage des renseignements spécifiques, vu la grande spécialisation des menaces dans ces deux secteurs critiques.

  • Volonté de partager.63 % des professionnels consultés déclarent qu’ils pourraient apporter également les données dont ils disposent à condition que le partage se fasse sur un système privé et sécurisé.

  • Types de données à partager. Les données les plus susceptibles d’être partagées concernent le comportement des malwares (72 %), la réputation des URL (58 %), la réputation d’adresses IP externes (54 %), la réputation de certificats (43 %) et la réputation de fichiers (37 %)

  • Les obstacles au partage des renseignements sur les menaces.Au sein des entreprises qui n’ont pas adopté la pratique du partage des renseignements, les professionnels citent la politique de l’entreprise (54 %) ou encore les réglementations du secteur (24 %) comme obstacles principaux. Presqu’un quart de répondants (24%) se disent intéressés par les possibilités offertes par le partage des renseignements mais soulignent le manque de connaissances nécessaires sur le sujet. Plus d’un répondant sur cinq (21 %) craint que les informations partagées puissent permettre d’identifier l’entreprise, voire les individus qui partagent les renseignements. Ces témoignages suggèrent un manque d’expérience sur les diverses options possibles d’intégration du partage de renseignements sur les menaces, ainsi qu’un manque de compréhension sur les implications légales du partage des informations.

« Le partage des renseignements sur les menaces pourrait devenir un facteur important pour permettre aux spécialistes de cybersécurité de prendre une longueur d’avance sur les cybercriminels », déclare Vincent Weafer, vice-président du groupe McAfee Labs d’Intel Security.« Mais afin que les entreprises puissent exploiter tout le potentiel de la cyber intelligence, elle doit surmonter les obstacles tels que la politique d’entreprise, les restrictions réglementaires, les risques juridiques et le manque de connaissance sur son implémentation. »

 

Les outils d’administration à distance (RAT) Adwind
Le rapport trimestriel d’Intel Security inspecte également l’outil d’administration à distance (RAT) Adwind (un cheval de Troie de type « backdoor » en Java), qui cible diverses plates-formes compatibles avec les fichiers Java. En général, le RAT Adwind est propagé via des campagnes de spam qui utilisent des pièces jointes truffées de malwares, des pages web compromis et des téléchargements indésirables. Le rapport de McAfee Labs met en évidence une augmentation très rapide (426 %) du nombre d’exemples de fichiers .jar identifiés par ses chercheurs en tant qu’Adwin, passant de 1.388 au 1er trimestre 2015 à 7.295 au 4ème trimestre.

Statistiques pour le 4ème trimestre 2015
Après trois trimestres de recul, le nombre total de nouveaux exemples de malwares a repris sa progression au 4ème trimestre.

  • Les malwares rebondissent. 42 millions de nouvelles signatures malveillantes ont été découvertes, soit 10 % de plus qu’au 3ème trimestre, et le deuxième record enregistré par McAfee Labs. Cette croissance au 4ème trimestre résulte en partie de celle des malwares mobiles, avec 2,3 millions de nouveaux exemples, soit 1 million de plus qu’au 3ème trimestre.

  • Le ransomware reprend sa progression.Après un léger ralentissement en milieu d’année, le nouveau ransomware a repris une croissance rapide, avec une augmentation de 26 % au 4ème trimestre 2015. Les codes de ransomware en open source et le Ransomware-as-a-Service continuent de simplifier le lancement des attaques, les campagnes Teslacrypt et CryptoWall 3 continuent de progresser, et les campagnes de ransomware continuent d’être lucratives. Une analyse de CryptoWall 3 conduite en octobre 2015 a mis en évidence l’échelle financière de ces attaques : les chercheurs de McAfee Labs ont montré qu’une seule de ces campagnes a extorqué 325 millions de dollars aux victimes.

  • Le malware mobile décolle.Le 4ème trimestre 2015 a vu une augmentation de 72 % des nouveaux exemples de malwares mobiles, dont la production semble avoir été plus rapide.

  • Les rootkits en chute libre.Le nombre d’exemples de nouveaux rootkits a fortement chuté au 4ème trimestre, poursuivant une tendance de longue date pour ce type d’attaque. Ce déclin a débuté au 3ème trimestre 2011, et McAfee Labs l’attribue en partie à l’adoption de processeurs Intel® 64 bits ainsi que de Microsoft Windows 64 bits, dont des fonctions comme Kernel Patch Protection et Secure Boot améliorent la protection contre des menaces telles que les rootkits.

  • Les binaires malveillants signés sont sur le déclin.Le nombre de nouveaux binaires malveillants a diminué chaque trimestre au cours de l’an passé, le 4ème trimestre 2015 atteignant le plus bas niveau depuis le 2ème trimestre 2013. McAfee Labs estime que ce déclin découle en partie du fait que les certificats plus anciens, notablement présents sur le marché noir, expirent ou sont révoqués car les entreprises passent à des fonctions de hachage plus fortes. En outre, des méthodes comme Smart Screen (qui fait partie de Microsoft Internet Explorer mais s’étend à d’autres parties de Windows) représentent des tests complémentaires de confiance, qui pourraient rendre la signature de binaires malveillants moins rentable pour les auteurs de malwares.

 

BONUS: 

Pour consulter le rapport du McAfee Labs dans son intégralité, cliquez ici.


Pour découvrir des conseils pour mieux protéger votre entreprise des menaces décrites dans le rapport de McAfee Labs de ce trimestre, visitez Enterprise Blog.


A propos de McAfee Labs
McAfee Labs est l’entité spécialisée dans la recherche de menaces informatiques d’Intel Security. Elle est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cyber-sécurité font autorité. Forte de plus de 400 chercheurs, son équipe rassemble des données provenant de millions de sondes et des principaux vecteurs de menaces : fichiers, Web, messagerie électronique et réseau. Elle exécute ensuite des analyses de corrélation des menaces entre vecteurs et procure, via son service de cloud McAfee Global Threat Intelligence, des renseignements en temps réel sur les menaces aux produits de sécurité McAfee hautement intégrés pour la protection des terminaux et du réseau. McAfee Labs met aussi au point des technologies de base pour la détection des menaces (profilage des applications, gestion des listes grises, etc.) qui sont incorporées dans la gamme de produits de sécurité la plus large sur le marché.


A propos d’Intel Security

McAfee fait désormais partie intégrante d’Intel Security. Avec sa stratégie de sécurité connectée, son approche novatrice en termes de sécurité matérielle avancée et son savoir-faire unique en termes de ‘Global Threat Intelligence’, Intel Security est fortement concentré sur le développement de solutions et de services de sécurité avant-gardistes en mesure de protéger les systèmes, les réseaux et les appareils mobiles à usage professionnel et personnel dans le monde d’aujourd’hui et de demain.Intel Security associe l'expérience et l'expertise de McAfee à l'innovation et à la performance éprouvée d’Intel pour faire de la sécurité un élément essentiel de toute architecture et plate-forme informatique.La mission d'Intel Security est de donner à chacun la confiance nécessaire pour vivre et travailler en toute sécurité dans le monde digital.

Cyberark : comment surveiller les surveillants ?

Cyberark : comment surveiller les surveillants ?

 

En « contrôlant » la sécurité des comptes à privilèges, Cyberark tente d'empêcher les attaquants de se déplacer dans le SI. 55 % des attaques utiliseraient des comptes a privilèges

 

En revendiquant AXA IM, Bouygues, CetSi... comme clients en France Jean-François Pruvot DG France de Cyberark veut imposer Cyberark comme référence incontournable en matière de sécurisation des comptes à privilèges pour les administrateurs réseaux (PAM). Selon plusieurs sources aux Etats-unis, 55 % des attaques sur les entreprises utiliseraient des comptes a privilèges. 

Pour Jean-François Pruvot « La demande en cours pour la certification de nos produits auprès de l'ANSSI ne fait que confirmée notre volonté d'être présent auprès de tous les grands comptes. Cette qualification sera un facilitateur pour pénétrer les OIV par exemple bien que nous soyons déjà compatibles avec les critères communs ».

D'autres atouts selon le responsable France de Cyberark existent notamment face a ses concurrents Wallix, IBM... :” Notre support avant-vente bénéficie d'un contact direct avec nos départements innovation ce qui le rend particulièrement performants ainsi que nos formations payantes destinées à nos partenaires et clients”.

Cyberark a annoncé pour Q3 2015 un chiffre d’affaires total de 40,1 millions de dollars avec une croissance sur 12 mois de 43% par rapport au même trimestre de l’année 2014. Ses revenus de licences au 30 septembre 2015 s’élèvent à 24,8 millions de dollars pour une croissance de 49% sur les douze derniers mois. Dans un communiqué de presse la firme souligne que ses revenus relatifs aux services atteignent 15,2 millions de dollars, correspondant à une progression de 34% par rapport au même trimestre l’année dernière.

« Les DSI et les responsables de la sécurité devront mettre en place des systèmes de défense basés sur le fait que les hackers sont – ou seront prochainement – à l’intérieur de l’organisation, explique John Worrall, Chief Marketing Officer de CyberArk. En verrouillant les comptes à privilèges, les entreprises peuvent empêcher les attaquants de se déplacer en toute liberté dans l’entreprise et stopper ainsi les attaques avancées en début de processus. » Cette philosophie « cybersécuritaire » tournée en priorité vers les comptes des administrateurs connaît un certain engouement a en juger par les analystes d'IDC et Gartner (cf Section BONUS)

@jpbichard

 

BONUS:

Selon une étude de 2014 réalisée par IDC : « MarketScape: Worldwide Privileged Access Management 2014 Vendor Assessment »  le cabinet d'analyse note les avantages des solutions PAM :

  • La gestion des accès aux comptes à privilèges sensibles partagés

 

  • Le retrait des droits administrateurs par défaut de Windows et l’adoption aux

  • besoins des utilisateurs

  • Une visibilité accrue sur l’activité des comptes sensibles

  • Une restriction des privilèges via un système de séparation des tâches

  • La sécurisation et la gestion des applications et des comptes de services intégré

 

Market Direction:

Gartner estimates that the size of the PAM market reached $512 Million in 2014. The model for calculating the market size has changed slightly, and some adjustments to 2013 vendor revenue have been made (see Appendix – Vendor Revenue). The market for PAM has continued to grow, with the growth rate for 2014 estimated to have been 32%.

We saw extensive activity in this market in 2014. BalaBit, Bomgar, Centrify and Wallix successfully raised capital during that year. In September 2014, BeyondTrust was acquired by Veritas Capital, and CyberArk successfully completed an IPO.

 

http://www.cyberark.com/products/privileged-account-security

http://www.cyberark.com/privileged-access-management-market-leader/.

 

Target-List-2015-CYBERISQUES-1

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  

 

 

Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ?

Expertise :

 

                     Loïc Guézo Trend Micro CyberSecurity Strategist, CISSP #80376, LA 27001

 

"Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ?"

 

RTR2UW79

 

 


Cyberdefense :  attaquer avec les outils de l'adversaire, c'est une des définitions de la LIO (Lutte informatique offensive) ?

La LIO  c'est surtout aujourd'hui l'exploitation de vulnérabilités chez l'adversaire ; on s'approche immédiatement de la dualité de ses sujets. Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ? Les industriels de confiance se retrouvent sur un point : l'utilisation duale de ces connaissance peut se faire selon deux modes, ce que l'on  rapproche du double usage (1) -qui peuvent être employées aussi bien à des fins militaires que civiles, donc dis autrement mode défense et mode attaque. Ces cyber-attaques se font via des outils qui exploitent des vulnérabilités généralement pas encore connues des éditeurs. Certains acteurs tels que des profils comme l'ex-VUPEN commercialisent des « 0day » aux plus offrants dont la NSA et d'autres services après les avoir « achetées » à des « indépendants »… C'est la loi du plus offrant, le far-west ou la loi de la jungle ?

 

Comment un tel business peut exister au regard de la législation ?

L'arrangement de Wassenaar (2)  apporte des garanties dans l'encadrement e commerce des zero day. La question est s'achemine t-on vers une déréglementation des ventes et reventes de cyber-armes ? Ou au contraire vers une pénalisation de la R&D sur ces sujets…A mettre en regard des derniers accords signés entre la Chine et les US en septembre dernier ; ce qui montre le niveau stratégique des discussions auquel nous sommes confrontés. 

 

A t-on une idée de l'état des réserves en cyber-armes des grandes puissances ?

Les réserves de « stuxnet-bis » existent au sein des pays puissants habituels mais aussi au sein de groupes privés de type cyber mercenaires. Et là c'est plus inquiétant à mon sens C'est tout le problème de l'univers numérique :   une vulnérabilité peut-être découverte et / ou exploitée par un homme isolé. Il faut donc s'attendre à des augmentations de risques liés à des actes de cyber terrorisme, parfait exemple du caractère asymétrique persistant (peu de moyen pour de gros effets) alors que les grands pays sont en même temps dans une course à l'armement et à la multiplication des moyens disponibles...

 

Propos recueillis par Jean Philippe Bichard

Lire aussi: http://cyberisques.com/fr/content12

 

A noter: 

 

Cyber warfare is a natural arena for al Qaeda. It allows a small number of covert and dispersed individuals to inflict disproportionate damage on a much stronger adversary. Cyber warriors generally hail from the class of disaffected, educated, relatively-well-off radicals from whom al Qaeda draws its leadership cadres. Al Qaeda should have an advanced cyber-warfare capability to hurt the West and help recruit new followers, but it does not. The only hacking collective claiming affiliation with the group is al Qaeda Electronic (AQE), which was formed only this year and has shown limited and rudimentary capabilities. Al Qaeda does not seem to pose a significant cyber threat to the U.S. or its allies at this time. Al Qaeda’s relative impotence in the cyber realm likely reflects the experiences of its leaders and the group’s history. Ayman al Zawahiri, its current leader, and his lieutenants have spent most of the past 25 years operating covertly and trying to evade the prying electronic eyes of Western intelligence agencies. They have seen information technology as a way to communicate securely to a small group of trusted leaders, which is why they still rely heavily ...

                                               Intégralité de l'article réservée à nos abonnés                                   

 

 

 

BONUS :

1 - Qu’est-ce qu’un « bien à double usage » ?

Définition (article 2 du règlement (CE) n° 428/2009 modifié) On entend par biens à double usage, « les produits, y compris les logiciels et les technologies (y compris la transmission de logiciels ou de technologies, par voie électronique, par télécopieur ou par téléphone vers une destination située en dehors de la Communauté) susceptibles d’avoir une utilisation tant civile que militaire ». Ils sont repris dans une liste annexée au règlement communautaire qui définit le cadre juridique applicable en la matière (cf. point n°3 « fondements juridiques », ci-dessous). Ce sont des biens sensibles qui, dans la plupart des cas, sont destinés à des applications civiles, mais qui peuvent être utilisés à des fins militaires ou qui pourraient sensiblement renforcer les capacités militaires des pays qui les acquièrent. Quelques exemples permettent de comprendre la différence entre un bien à double usage et une arme : il peut s’agir d’un ordinateur, un logiciel d’une certaine capacité, un composant électronique ou mécanique, un virus qui existe à l’état naturel (Ebola), un produit chimique vendu en grande quantité industrielle, une machine outil ou encore un équipement pour une usine nucléaire.

 

2 - L’Arrangement de Wassenaar : n arrangement multilatéral global pour le contrôle des exportations d’armements conventionnels et de biens et technologies à double usage servant à leur fabrication.

Il a été conclu en juillet 1996 par 33 Etats et tire son nom de la localité de Wassenaar, aux Pays-Bas. Il regroupe aujourd’hui 41 Etats. L’Arrangement de Wassenaar vise avant tout à promouvoir "la transparence et une plus grande responsabilité dans les transferts d’armes et de biens à double usage afin de prévenir les accumulations déstabilisantes". Il complète et renforce les régimes existants de non-prolifération des armes de destruction massive. Les Etats parties à l’Arrangement doivents’assurer que les transferts d’armes et de biens et technologies à double usage conventionnels qu’ils effectuent ne contribuent pas au développement ou au renforcement de capacités militaires pouvant nuire à la sécurité et à la stabilité régionales et internationales.

Un forum politique et technique

La nature juridiquement informelle de l’Arrangement de Wassenaar repose sur un engagement politique exprimé dans des éléments initiaux et des textes ou déclarations complémentaires adoptés à l’unanimité par les Etats participants. Toutes les décisions au sein de l’Arrangement de Wassenaar sont prises par consensus.

Sur le plan politique, les Etats se sont engagés à :

  • suivre les "directives", "éléments" et "meilleures pratiques" adoptés par l’Arrangement de Wassenaar ;contrôler en vertu de leur législation nationale les exportations de biens figurant sur la liste militaire et la liste des biens à double usage de l’Arrangement ;

  • rendre compte, par souci de transparence, des transferts d’armements conventionnels et de biens à double usage jugés très sensibles, ainsi que des refus de transfert de biens à double usage en général ;

  • échanger des renseignements sur les exportations de biens et de technologies à double usage très sensibles. Le secrétariat permanent de l’Arrangement de Wassenaar est situé à Vienne et comporte une douzaine de personnes. L’assemblée plénière se réunit une fois par an et ses organes subalternes se réunissent plus régulièrement.

En fonction de l’évolution des technologies, le groupe d’experts met à jour chaque année les listes de contrôle. La liste militaire de l’Arrangement de Wassenaar est notamment reprise dans la liste militaire commune européenne des équipements militaires et la liste des biens à double usage est transposée dans le règlement communautaire sur le contrôle des exportations de biens et technologies à double usage (Règlement (CE) 428/2009 modifié par les règlements n°1232/2011 du Parlement européen et du Conseil du 16 novembre 2011, n°388/2012 du Parlement européen et du Conseil du 19 avril 2012 et n° 599/2014 du Parlement européen et du Conseil du 16 avril 2014). Le contrôle à l’exportation demeure de la souveraineté de chaque Etat participant.

BONUS: 

https://www.linkedin.com/pulse/cyber-arms-race-consequences-jarno-limn%C3%A9ll?trk=hp-feed-article-title-like

 

Comment un cybercriminel peut infiltrer votre réseau

par Christophe Auberger, Directeur Technique France, Fortinet

La sécurité est plus que jamais une priorité pour les entreprises, contribuant activement à sa réussite. Les RSSI doivent désormais s'assurer que leurs projets en matière de sécurité IT sont en phase avec les objectifs de l'entreprise.

Nous sommes tous connectés à Internet, ce qui est très positif. Mais ce lien permanent implique que nous sommes tous au cœur d'un écosystème de grande envergure. Il est essentiel de comprendre que tout ce qui touche une organisation impactera également de nombreuses autres entreprises, et notamment ses partenaires. Ainsi, en cas de piratage d'une entreprise, ce sont des données personnelles identifiables qui sont détournées. Ces données peuvent être revendues à des spécialistes de l'usurpation d'identité ou constituer un terreau favorable aux attaques de phishing. Plus l'assaillant disposera d'informations sur vous, plus l'email qu'il vous enverra apparaîtra comme légitime et vous incitera à cliquer sur un lien malveillant.

Notons que les tactiques d'attaques actuelles sont similaires à celles d'il y a quelques années : récupération de mots de passe faibles, attaques de type phishing et téléchargement de logiciels malveillants à partir de sites web infectés ou de publicités malveillantes. Sauf qu'aujourd'hui, l'assaillant a gagné en furtivité et en efficacité lorsqu'il mène son attaque.

Penchons-nous, par exemple, sur les réseaux sociaux et les services en ligne. Nous sommes très nombreux à les utiliser, qu'il s'agisse de Facebook, de LinkedIn, ou encore des sites de rencontres en ligne. Les assaillants l'ont parfaitement compris et capitalisent sur la fibre émotionnelle de chacun. Ils établissent ainsi leur passerelle d'entrée vers les dispositifs des utilisateurs en s'aidant de ces sites et de techniques d'ingénierie sociale. Ainsi, si les méthodes d'ingénierie sociale restent les mêmes, les vecteurs et la surface d'attaque ont, en revanche, progressé. Parallèlement, ce sont les techniques de furtivité qui ont gagné en précision, avec des assaillants toujours plus aptes à se dissimuler. Se contenter d'utiliser les antivirus traditionnels n'est donc tout simplement plus suffisant.

Parmi les techniques utilisées, l'attaque de type phishing est la méthode principale pour s'immiscer au sein des réseaux d'entreprise.  

Un email de phishing, conçu pour paraître le plus légitime possible, est envoyé avec un fichier joint ou une URL malveillante, et incitant l'utilisateur à ouvrir le fichier ou à cliquer sur l'URL. L'attaque par téléchargement furtif (ou drive–by attack) est une autre technique utilisée par les assaillants. Ces derniers piratent un site Web et y installent un script java malveillant qui redirigera l'utilisateur vers un autre site hébergeant un logiciel malveillant téléchargé en arrière-plan vers l'équipement de l'utilisateur. Dans le cas d'une attaque ciblée, les assaillants peuvent passer des mois à identifier les sites Web les plus consultées par les organisations ciblées, pour ensuite les infecter.

Le malvertising (publicité malveillante) compte également parmi les techniques utilisées. Cette attaque emprunte les codes des attaques drive-by, mais l'assaillant se focalisera sur l'infection des sites de publicités. Il devient possible d'infecter un seul de ces sites qui, à son tour, pourra infecter jusqu'à 1 000 autres sites Web. Ou l'art d'industrialiser son attaque.

Enfin, n'oublions pas l'attaque mobile. Nombre de ces attaques sont similaires à celles mentionnées plus haut, mais elles ciblent les dispositifs mobiles. Notons qu'il est possible d'infecter un dispositif mobile via un message SMS, ou à l'aide d'un logiciel malveillant qui se présente en tant qu'application ludique ou de contenu pour adultes.

Lorsque l'assaillant est rentré dans un réseau et qu'il réside sur le dispositif d'un utilisateur (ordinateur de bureau ou portable, équipement mobile), il doit désormais injecter de nouveaux logiciels malveillants et outils pour mener à bien sa mission. Généralement, les informations de valeur ne sont pas stockées sur les postes de travail, mais plutôt sur les serveurs et des bases de données. Voici donc un aperçu des étapes supplémentaires pouvant être mises en œuvre par un cybercriminel déjà présent dans le réseau:

  1.             Téléchargement d'autres outils et logiciels malveillants pour compromettre davantage le réseau.
  2. Exploration du réseau pour identifier les serveurs hébergeant les données ciblées. Recherche du serveur Active Directory contenant tous les identifiants d'authentification, dans l'objectif de pirater ces données, véritable sésame pour le cybercriminel.
  3. Une fois les données ciblées identifiées, recherche d'un serveur provisoire pour y copier ces données. Le serveur idéal est un serveur stable, à savoir toujours disponible, et disposant d'un accès sortant vers Internet.
  1. 4.    Exfiltration furtive et lente de ces données vers les serveurs des assaillants, généralement déployés dans le cloud, ce qui rend la neutralisation des communications plus complexe.

Les cybercriminels présents au sein du réseau sur une longue durée pourront obtenir tous types d'informations disponibles puisque les données d'entreprise, dans leur grande majorité, sont archivées sous format électronique. Plus le cybercriminel est présent sur le réseau, plus il en apprend sur les processus et les flux de données de votre entreprise. L'attaque Carbanak qui a ciblé de nombreuses banques dans le monde en est la parfaite illustration. Lors de cette exaction, les cybercriminels sont remontés jusqu'aux ordinateurs des administrateurs ayant accès aux caméras de vidéosurveillance. Ils ont ainsi pu surveiller de près le fonctionnement du personnel bancaire et enregistrer tous les processus dans le détail. Ces processus ont été reproduits par les cybercriminels pour transférer des fonds vers leurs propres systèmes.

Comme déjà souligné, une brèche dans le réseau s'initie généralement par un simple clic d'un utilisateur sur un lien malveillant. Après avoir investi le poste de l'utilisateur piraté, l'assaillant commence à explorer le réseau et à identifier les données qu'il souhaite détourner. C'est dans ce contexte que la notion de segmentation de réseau devient essentielle. Cette segmentation permet de maîtriser l'impact d'un piratage puisque l'entreprise victime peut  isoler la faille et éviter tout impact sur le reste du réseau. D'autre part, elle permet de cloisonner les données sensibles au sein d'une zone hyper-sécurisée qui rendra la tâche bien plus complexe pour ceux qui souhaitent les exfiltrer. Pour conclure, gardons à l'esprit qu'il est impossible de protéger et de surveiller le réseau dans sa totalité, compte tenu de son périmètre étendu et de sa complexité. Il s'agit donc d'identifier les données les plus sensibles, de les isoler et de porter son attention sur les chemins d'accès vers ces données.  

Intégralité de l'article réservée à nos abonnés: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires