ANALYSE : Jean Philippe Bichard

 

Jean Philippe Bichard / interview:    Cédric Pernet 

auteur de  « Sécurité et espionnage informatique »  (Eyrolles)

 

Faut il attaquer l'attaquant ? Pour connaître ton attaquant attaque-le. Nouvelle doctrine ou démagogie ? !Autrement dit cyber-riposter c'est aussi se mettre au niveau des cyber-délinquants en ignorant morale et législation  ?

Je ne pense pas qu'il faille attaquer l'attaquant ce n'est pas le même niveau. Tel ou tel service travaille sur tel ou tel attaquant mais comment en être sûr ? Il faut collaborer avec d'autres chercheurs. Il est possible de « trouver » des serveurs accessibles sans passer par l'offensif. On bascule dans l'offensif quand on utilise les mêmes méthodes et la même finalité que les attaquants. Il faut respecter la loi. Les méthodes des attaquants ne sont pas forcement différente de ce qui se fait dans les tests classiques avec des RAT et tests d'intrusion puis des tests plus réels avec simulation d'attaques APT.

 

En pratique, quels outils voire cyber-armes utilisés pour passer à l'offensif ? Le "0Day" Business n'existe pas par hazard (1)

La riposte peut prendre divers aspects. Tout est possible. Tout dépend de la cible. En APT la phase de reconnaissance permet de comprendre son niveau de maturité informatique ou si en une semaine avec 5 personnes on peut tout faire. Les mêmes outils sont toujours utilisés via des RAT et Backdoors avec d'autres outils pour rebondir. Il faut laisser les idées reçues qui disent qu'il faut des exploits « zero day » pour s'introduire sur un réseau. En pratique, c'est assez facile de pénétrer la plupart des entreprises...

 ...

(1) Certains acteurs tels que des profils issus de l'entité ex-VUPEN commercialisent des « 0day » aux plus offrants dont de nombreux services d'Etats après les avoir « achetés » à des « indépendants »… C'est la loi du plus offrant, le cyber-far-west du cyber-business. Il y a même des mises à prix : Zerodium a proposé en octobre 2015 une prime d’un million de dollars aux développeurs et hackers en mesure de lui livrer une faille capable de contourner les mesures de sécurité d’iOS 9. Coté attaquants, on s'organise. On parle beaucoup de groupe d'attaquants. Il en existe mais il serait plus judicieux d'évoquer la présence de plate-forme. Le « groupe » d'attaquants Elderwood exploitait surtout une plate-forme sorte de structure fournissant à différents groupes d'attaquants des outils et malwares. 

 Apres la découverte des 400 Giga octets de #hackingteam enquête sur le #0day Business @cyberisques #cyberbusiness https://t.co/JAYicLLmUI

 

Article complet réservé à nos abonnés:    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Assises de la sécurité 2015 : quelques tendances pas toujours évoquées dans le Cyber Far-West ... 

Assises de la sécurité 2015 : quelques tendances pas toujours évoquées dans le Cyber-Far-West... 

 

Authentification insuffisante, absence de contrôles sécuritaires sur les IoT (Internet of Things), architectures des SI industriels sans réelles protections, Darknet en forte croissance, Cyber-rustines... Depuis 20 ans, les datas n'ont jamais été aussi convoitées et finalement aussi exposées malgré les efforts de toute une communauté. Voici quelques chiffres pas toujours cités sur le futur « Cyber Far West » à quelques jours du début des Assises de la sécurité 2015.

 

John N. Stewart, responsable de la sécurité pour Cisco le rappelait récemment. « Les entreprises n'acceptent plus réellement de s'entendre dire que les atteintes à la sécurité sont inévitables. Elles attendent du secteur de la cybersécurité des produits fiables et résilients, capables d'intercepter même les attaques les plus sophistiquées. » Des produits mais aussi des services encadrés par un cadre réglementaire européen.

Rappelons un seul chiffre pour évoquer les évolutions du paysage Cyber: En 1987, 200 000 ordinateurs étaient connectés au Net. En 2025, on attend 10 milliards de machines IP. Et combien de flux Big Data, ces datas stratégiques, nouveau pétrole du 21eme siecle ? Le Cyber-Eldorado va t il se transformer en Cyber Far West ?  Qui seront les futurs Cyber Cow-boys ?

 En générant des datas tous azimuts, certains constructeurs oublient simplement de les rendre plus sûres. C'est le cas des fabricants d'objets connectés pressés d'occuper des parts de marché sans perturber les clients avec des problème de sécurité. Les concepteurs de solutions basées sur des architectures Scada ont eux le problème inverse : ils ne sécurisent pas leurs architectures depuis plus de 50 ans et ont quelques difficultés à s'y mettre maintenant que les SI industriels sont interconnectés aux SI de gestion et donc à Internet. D'autres « failles » existent. Elle n'échappent pas à tout le monde. 1 millions de dollars, c'est ce que propose la start up Zerodium (ex Vupen pour certains de ses collaborateurs) (1) pour acheter des failles « 0Day » à des « chercheurs hackers». L'idée est simple : les revendre aux plus offrants. Parmi les clients, on trouve paraît-il bon nombre d'entreprises, voire des États. Bref, l'évolution de ce cyber business des « 0day » risque de nous entraîner vers un « Cyber Far West » qui ne sera tenté d'obéir qu'à ses propres règles. (Lire aussi en fin d'article pour les abonnés les réponses à 3 questions des principaux acteurs du marché). Notons aussi que sur les « Shadow Cyber-bourses », des « promos » existent pour la revente d'informations volées. En 2015, ce sont les « Cyber-traders » russes qui « soldent » (cf. Infographie  « underground service prices »).

 

De nouvelles cyber-menaces plus ciblées

Les éditeurs le démontrent chaque année : l'innovation en matière de sécurité n'est pas aussi rapide qu'elle devrait l'être, du moins du point de vue des entreprises clientes. 24 vulnérabilités « 0day » ont été découvertes sur 2014 et il a fallu en moyenne 59 jours aux éditeurs pour créer et déployer les correctifs. Dans le cas des "0day" la porte demeure grande ouverte pour les cyber-attaquants. Ces chiffres fournis par un éditeur de solutions anti-malwares sont révélateurs. Les "cyber-attaquants" identifient et affinent leurs approches de façon plus stratégique estime t-on chez Trend Micro, ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques. Une tendance qui reflète une réelle progression de plusieurs méthodes d’attaques traditionnelles, avec notamment un bond de 50% de l’utilisation du kit d’exploitation Angler et de +67% pour les menaces utilisant des kits d’exploitation en général. Les menaces APT (Advanced Persistent Threats) sont, aujourd’hui, les plus redoutées. « Il faut dire que les cybercriminels ne se contentent désormais plus d’attaques aléatoires et génériques à grande échelle. Ils se montrent plus subtils, avec pour objectif d’infiltrer leurs cibles, de rester furtifs et de détourner les données sans se faire repérer » constate Patrick Grillo, Senior Director, Solutions Marketing chez Fortinet. Laurent Heslaut chez Symantec rappelle dans son avis d'expert ci dessous « 17 % des applications mobiles sous Android étaient en réalité des malware et 1/3 présentaient des caractéristiques mettant en cause la sécurité ou la vie privée de l’utilisateur ».

Face a ces nouvelles formes de cyber-menaces de nombreux acteurs du marché cybersécurité proposent des solutions de protection partielles ou individuelles. Les acheteurs, contraints de placer des « cyber-rustines » sur les vulnérabilités les plus urgentes de leurs SI achètent des solutions de « dépannage ». Mais combien peuvent réellement mettre en place une véritable stratégie à long terme, homogène pour protéger des actifs immatériels identifiés avec le fameux triptyque : Prévention, détection, réaction? Une stratégie qui intégrerait au delà de la gestion des vulnérabilité, les aspects gestion des cycles des datas, « forensic » réaction, corrélation voire offensif ?

 

Entreprises et LIO (Lutte informatique offensive) : vers un  "affrontement numérique" à l'échelle corporate ?

Rarement évoquée, la séquence « affrontement numérique » au sein des entreprises constitue une autre tendance en 2015. Une fois encore, ces « stratégies numériques offensives » se déploient discrètement. Dans le cadre de son enquête sur la cybersécurité en France, PAC a interrogé plus de 150 donneurs d’ordre issus de tous les secteurs d’activité. L'enquête publiée en juin 2015 confirme cette tendance de fond et souligne les nouvelles ambiances "Cyber-Far-West" : « l'une des évolutions les plus significatives est l’augmentation nette des attaques issues des concurrents. Le vol de données et l’espionnage sont les principaux risques identifiés par les entreprises de notre échantillon. » soutient Mathieu Pujol, consultant senior. Au niveau des États, une approche LIO (Lutte informatique offensive) propre aux acteurs de la Cyber-défense est également « à l'étude ». C'est ce que précise un des meilleurs experts du domaine, Loïc Guézo, Security Evangelist Southern Europe, Director chez Trend Micro "éditeur japonais" précise t-il en ajoutant sur la LIO: " 2015 aura été l'année de la reconnaissance large des capacités naissantes de LIO française, sous l'autorité du CyberCommander Coustillère ; lors du 1er Cyberdefense à l'Ecole Militaire le 24 septembre dernier, un appel discret indirect aux meilleurs hackeurs a été lancé, en indiquant que c'est probablement dans ce seul cadre encadré qu'ils pourront le plus faire usage "libre" de leurs qualités ; sous-entendu illégal par ailleurs...".  No comment. 

 

 

Prix-Underground-Promos-Russes-2015

                                                           Quelques "cyber-tarifs" juin 2015 Source Labo Trend Micro (Manille)

  

Les changements sont plus attendus au plan organisationnel que technologique

Face aux nouvelles menaces, des stratégies de défense approfondies et proactives, dont la technologie n'est qu'un composant, vont s'imposer de plus en plus dans la cadre de la fameuse transformation digitale des entreprises. En fait, à l'horizon 2016, en cybersécurité, les changements sont plus attendus au plan organisationnel que technologique en termes d'outils. Toutes les études le montrent et la plupart des acteurs que nous avons rencontré soutiennent cette idée (lire les témoignages en fin d'article). COMEX et CODIR se trouvent désormais en première ligne pour définir une « cyber e-gouvernance ».

Les menaces d'abord. De nouvelles cyber-menaces apparaissent. Pour comprendre, il faut observer le « business shadow » du "darkNet" animé par certains cyber-attaquants et autres cyber-mercenaires. Un « business » avec des lois simples: plus la distribution de codes malveillants devient difficile, plus la valeur marchande des vulnérabilités d'applications et d'environnements répandus augmente. Du coup, les informations concernant les vulnérabilités majeures sont vendues plus chères. Ce qui entraîne une grande activité sur les « cyber-black market ». Les « acheteurs » déclenchent alors des cyber-attaques plus « réfléchies », plus ciblées, déployées de manière plus sélective en s'appuyant entre autres sur les « 0Day » déjà évoqués. (Lire notre entretien avec Cédric Pernet, auteur d'un ouvrage sur ce sujet : http://bit.ly/1gPMlZ7) et le point de vue de Guillaume Poupard, directeur de l'ANSSI sur Cyberisques NEWS :http://bit.ly/1NX7D3V )

Six vulnérabilités « 0day » ont été découvertes sur le premier semestre 2015 selon Symantec (rapport septembre 2015). Au delà du cyber-espionnage, du « ransom-nage » ( d’après le Clusif, 700 faits ou tentatives d’escroquerie au président ont été recensés entre 2010 et 2014, dont KPMG et Michelin par exemple) ce sont des opérations de vols d'informations et de cyber-sabotage qui sont également redoutées par l'ANSSI et certains responsables au sein des Comex et Codir chez les OIV (Opérateurs d'importance vitale) notamment. Target, Sony mais aussi TV5 et les mails piratés de CEO, VIP (Hilary Clinton entre autres) sont passés par là.

  

SCADA, talon d'Achille des opérations de cyber-sabotage ?

Aux Assises millésime 2015 comme dans le cadre d'autres événements consacrés à la cybersécurité d'autres cyber-tendances se dessinent. L'une d'entre elles concerne la prise en compte de la protection de nouveaux « objets » au sein des SI : les objets connectés. Ces derniers appartiennent à deux grandes familles "business" BtoC et BtoB. Ainsi, de nombreux composants "industriels" (robots, automates, capteurs, vannes, pompes...) sont gérés paar des des SI industriels (architectures Scada) qui intégrent de plus en plus des "objetss connectés BtoB". C'est une nouvelle tendance: certains objets connectés BtoB sont pour les IT Managers spécialistes en cybersécurité rattachés au SI industriels (drones de surveillance par exemple). Quel niveau de sécurité retenir pour ces "Iot" BtoB ? C'est encore difficile à dire. C'est un problème de gouvernance et d'arbitrage. Nous y reviendrons. 

Comme évoqué dans un précédent article ( http://cyberisques.com/80-news/actu-home-1/458-scada-la-filiere-francaise-s-organise-avec-ceis ) l'analyse des risques en environnement industriel pointe un manque de gouvernance en SI industriel, une culture sécurité faible et peu de maîtrise des actifs informatique. Au sein de la plupart des entreprises mondiales, en environnement SCADA, peu de process propres à la cyber-sécurité existent (gestion des patch et vulnérabilités par exemple) le système se trouve donc obsolète généralement sans mot de passe « dur ». L'absence de sensibilisation à la cybersécurité de la part des automaticiens - complètement étrangers à cette évolution - demeure une ...autre vulnérabilité.

Les conséquences de ce type de « configuration » sur les sites SCADA sont désastreuses à commencer par une intervention avec risque d’arrêt des machines et automates gérés par « prise de main » distantes. Et ce n'est qu'un début, des opérations de cyber-sabotages ne sont pas à exclure. Si les prises de consciences au delà des OIV ne sont pas toujours au rendez-vous, des solutions notamment "made in France" apparaissent. Elles sont toutes dédiées à la protection des SI industriels : Bertin IT, Sentryo, Tetrane, Seclab, Diateam. L'une d'entre elles, Sentryo est d'ailleurs distinguée aux Assises de la sécurité 2015 avec le prix lauréat du Prix de l’Innovation 2015 des Assises et de la Mention spéciale « Prix du Public ». C'est d'autant plus marquant que Sentryo ne lance réellement sa commercialisation qu'à partir d'octobre 2015 comme le confirme Thierry Rouquet, son CEO.

 

 CCIgQJSWgAA90Ct

                                                                  Une affiche dans les locaux de TV5 (Avril 2015 Paris) 

 

Objets connectés vulnérables et pourtant...

Autre tendance après le business des « 0Day » et les risques sur les SI Scada, celle qui touche les objets connectés de dernière génération. Un fait passé inaperçu marque une étape décisive. Au US, les données générés par les IoT (Bracelet) ont déjà fait leur entrée dans les tribunaux alors que leurs données ne sont pas reconnues comme objectives car manipulables et peu sécurisées au niveau de leur intégrité. Des communautés comme celles liées au monde de la Santé, des assureurs, d'experts en marketing... sont à l’affût des données générés par ces nouveaux devices BtoB et BtoC. Peu sécurisés, trop rudimentaires, sans réels standards, la plupart des équipements-objets connectés proposés au grand public comme aux entreprises hébergent des vulnérabilités au niveau même des données facilement falsifiables. Tout le monde semble s'accoutumer des critères médiocres de ces nouveaux devices. Très peu d'entre eux disposent d'un niveau de sécurité digne des politiques de sécurité des grandes entreprises. Bon nombre d'IoT « grand public » génèrent des data « sensibles » privées liées au comportement et à la santé des utilisateurs. ESET l'a compris. L'éditeur européen dispose d'une équipe de chercheurs dédiée à la recherche de solutions pour lutter contre les APT « orientées IoT. » Reste l'opinion : combien d'utilisateurs d'objets connectés établissent un lien entre leurs données personnelles stockées et leur niveau de confidentialité ? Les entreprises elles constatent cet engouement pour ces « gadgets numériques ». mais comment mettre en place une gestion efficace ?

Si peu d'actes de malveillance ont été constatés jusqu'ici la croissance des parcs d'IoT risque de tout changer en 2016. De nombreux éditeurs relèvent que les objets connectés intéressent de plus en plus les cybercriminels. Même si leur utilisation semble limitée, un éditeur BtoB tel que Sophos remarquait déjà dans ses prédictions 2015 l’absence de composant sécurité (l’absence de système de mise à jour par exemple) sur de nombreux objets connectés. Bref les IoT pourraient presque nous faire regretter Microsoft et ses patchs !

En effet, les fabricants d’objets connectés ne disposent pas d'une infrastructure pour distribuer des correctifs en admettant qu'ils y songent. Pourtant, la mise en cause de l'intégrité des données générées par IoT (Simple bracelet ou drone professionnels) n'inquiète pas grand monde en 2015. La base installée reste faible mais la croissance attendue semble forte. Alors, « [Les données des objets connectés] pourraient-elles être utilisées comme alibi ? » voire « Est-ce qu’on pourrait utiliser les données d’un FitBit pour prouver qu’un cardiologue avait fait preuve de négligence, en ne restreignant pas l’exercice d’un patient ? » se demande cet avocat américain (1).

 Du côté des consommateurs, 45% des Américains et 32% des Européens déclarent être séduits à l’idée de posséder un "wearable" (objet connecté à porter sur soi).  On le voit, la confidentialité des données personnelles via les IoT va constituer un sujet « tendance » comme le prévoyait déjà en 2014 ce journaliste US (2). En France, selon les utilisateurs interrogés par Symantec, c’est avant tout à l’Etat (37 %) et aux entreprises (36 %) et nettement moins aux individus (27 %) de prendre en charge la protection de leurs données personnelles. Selon une étude demaandée par Trend Micro Intitulée « Privacy and Security in a Connected Life: A Study of US, European and Japanese Consumers » (3) , les avantages offerts par les objets connectés priment sur les questions de confidentialité pour une grande majorité des consommateurs. 75 % des personnes interrogées pensent pourtant n’avoir aucun contrôle sur leurs données personnelles. L’étude souligne également les perceptions du grand public en matière de confidentialité, sa volonté de changer de comportement, ainsi que la valeur accordée aux informations personnelles. « Ces résultats montrent que, même si les individus se préoccupent des problématiques de confidentialité et de sécurité, ils ne réalisent pas toujours la responsabilité qui leur incombe », explique Raimund Genes, CTO de Trend Micro.

 

Cyberisques NEWS-2015

       73% des entreprises n’ont pas suffisamment d’experts sécurité pour se défendre correctement contre les menaces actuelles (cité par SOPHOS)

« Does your organization has enough security staff to defend itself against current threats » Sondage Black Hat 2015

 

Darknet et après ? 

Le darknet désigne une partie de l’internet inaccessible par les moteurs de recherche classiques, et nécessitant des outils de navigation spécifiques. La « force » de cet espace cyber, c'est l’anonymat de l’internaute. Le navigateur TOR ( The Onion Routeur) représente un outil numérique inventé puis diffusé par le Pentagone explique l'expert en géopolitique Xavier Raufer dans «Cybercriminologie ». TOR dissimule des adresses IP et crypte tout ce qui s’échange sur le web. Aucun nœud du réseau ne connaissant la source, la destination ni le contenu des messages qui le traversent, l’internaute dispose sur TOR d’un anonymat "de qualité". A l'origine, cet outil a été conçu pour protéger les communications américaines officielles puis il a permis de mettre tout internaute en capacité de rendre plus difficiles les surveillances, la censure et les interceptions. En 2012-2013, il a été mondialement téléchargé de 30 à 50 millions de fois par année et utilisé 800.000 fois par jour, par environ 1,2 million d’individus. Sur le darkweb, les sites cachés accessibles par TOR étaient environ 6500 fin 2013, en majorité criminels. 

 

Authentification et identification: la stratégie du... coucou

Une autre tendances 2015 est largement abordée aux Assises de la sécurité. Elle touche à l'évolution des solutions d'authentification. Un usage est désormais répandu chez les cybercriminels. Appelons là « stratégie du coucou ». On sait que cet oiseau niche dans les nids des autres et contraint les « parents » adoptifs a couver ses propres oeufs. En Cybersécurité, cette tendance consiste a employer des techniques de corruption de comptes autorisés au sein de l’entreprise ce qui pose le problème de leur authentification « réelle ». Ce qui justifierait l'arrivée de solutions d'authentification à deux voire trois facteurs à condition que les réticences des utilisateurs face à la « complexité » de ces solutions soient levées. Certains professionnels pensent que le mot de passe n’est pas mort mais que son usage doit s'enrichir de nouvelles fonctionnalités contextuelles (lire le point de vue des experts en fin d'article).

Au niveau de l'identification, les analyste du Sans Institute relève que la confiance dans les certificats pourrait s’effriter du fait du nombre de certificats... compromis !

Les certificats MD5 pourraient devenir rapidement obsolètes. Bref, a peine ont elles commencé leur carrière commerciale que certaines technologies sont annoncées comme moribondes. Reste les suggestions plus positives : Ludovic Poitou chez ForgeRock estime que la gestion des identifications peut constituer une source de revenus : « 80% des entreprises n'ont pas conscience que les solutions internes peuvent êtres adaptées à leurs clients » affirme t-il. Idée intéressante, encore faut il être « sûr » de sa politique d'authentification.

  

Partager l'information 

Pour maîtriser ces nouvelles générations d'attaques, le partage de l'information devient la clé. Aux Assises de la sécurité, c'est précisément la thématique retenue par Guillaume Poupard, Directeur Général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) se nomme : "Agir Ensemble" (ouverture de l'édition 2015 des Assises). Une réponse intelligente certes, mais suffira t-elle pour éviter le Far-West Numérique ? On attend beaucoup d'une future loi européenne malheureusement encore méconnue.

Des sondages récents recueillis en Europe révèlent que la majorité des entreprises ignorent l'existence des changements prévus, en dépit du fait que ceux-ci introduiraient la possibilité de sanctions financières pouvant aller jusqu'à 100 millions d'Euros ou 5% du chiffre d’affaires mondial annuel pour des non conformités en matière de protection des données à caractère personnel. Un début de réponse. Miche Lanaspeze directeur marketing EMEA pour Sophos le note : « 87% des salariés français estiment qu’il faut renforcer les lois sur la protection des données » selon la récente étude Vanson Bourne - Sophos, 2014. Pour cet expert : « Il y a une vraie attente dans les entreprises pour une modernisation des lois sur la protection des données. C’est également vrai en Allemagne (86%) et au Royaume-Uni (80%). Dans chacun de ces trois pays, la majorité des personnes interrogées estime que cela doit se faire d’abord au niveau Européen. » Le projet de réforme des lois Européennes sur la protection des données devrait être adopté dans les mois qui viennent. Combien d'entreprises disposent des technologies nécessaires pour assurer la confidentialité des données ? 

 Dans ce no man's land entre Eldorado et Far-West, certaines Autorités suggèrent de nouvelles pistes de réflexion. C'est le cas  de l'Institut national des hautes études de la sécurité et de la justice dans son dernier rapport de juillet 2015. Les principaux axes sont les suivants: rationaliser et mieux coordonner les initiatives prises par les ministères pour leur stratégie de sécurité numérique; faire cesser la prolifération législative et accroître la mise en œuvre des dispositions existantes, imposer une régulation aux éditeurs de contenus qui sont opérateurs de fait : soumettre le GAFA aux obligations d’interceptions légales qui s’imposent aux opérateurs télécom, libérer les initiatives et la créativité dans le domaine de la recherche de vulnérabilités; en effet, la loi relative à la confiance numérique interdit ce type d’activité sans motif légitime ; organiser et réglementer cette activité sur le territoire national ainsi que la participation de l’état, inclure la cyberdéfense et la cybersécurité dans les motifs de contrôle de prise de participation, créer un ou des corps techniques et administratifs au sein de la fonction publique d’état dédié à la cybersécurité, inclure la cyberdéfense dans le socle pédagogique des grandes écoles françaises et dans les cycles de formation interne des cadres de la fonction publique d’état, supprimer ou alléger la TVA sur les produits français de sécurité informatiques achetés par les PME, créer un observatoire et un outil statistique pour mesurer les cybercrimes et délits, créer un organisme de contrôle avec des pouvoirs disciplinaires de la bonne application et du maintien des règles imposées ou recommandées par l’ANSSI, rendre l’ANSSI, qui est une autorité administrative et un régulateur du domaine de la sécurité des systèmes d’information, plus transparente ; mieux brasser les profils et compétences y travaillant, renforcer la séniorité des personnes...

Reste un enjeu majeur et personne n'a la réponse à la veille des Assises 2015: vers quel futur cyberespace s'achemine t-on ? Cyber-Eldorado ou... Cyber-Far-West ?  

  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   @jpbichard

  

BONUS :

1 - http://www.wired.com/2015/09/spy-agency-contractor-puts-1m-bounty-iphone-hack/

http://www.wired.com/2014/12/wearables-in-court/

2 - http://www.computerworld.com/article/2855567/data-from-wearable-devices-could-soon-land-you-in-jail.html

3 - Etude mondiale commanditée par Trend Micro et menée par le Ponemon Institute.

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

 

 

Cyber-sabotage-1

                                Screenshot...

 

ESET / Jean-Ian Boutin chercheur ESET Europe

  • 3 chiffres clés trop méconnus en cybersécu :

  • ESET®, présent dans le top 5 des éditeurs de sécurité informatique, à destination des particuliers et des entreprises.
  • En se basant sur les revenus et les parts de marché mondiales du secteur, Gartner a constaté qu’en 2014, la croissance d’ESET® a été 8 fois plus importante que celle du marché des logiciels de sécurité.

  • 3 priorités pour réduire les impacts des cyber-risques en BtoB

APT : nous travaillons dessus en ciblant les IoT avec des solutions tres légères. ESET est reconnu comme le seul éditeurs à travailler avec un code léger

Il faut de plus en plus de réactivité ntre le chat et la souris face à des attaquants qui cherchent a contourner nos contrôles

Target et Sony auraient pu êtres moins graves

  • 3 faits marquants des Assises 2015 :

  • Atelier  ransomware que j'anime avec des images révélatrices de la part d'ESET

  • Les solutions anti ransomwares ne se valent pas toutes. Attention aux tentatives de chiffrement des données perso. La crypto est instrumentalisée par les auteurs de ransomware. ESET doit anticiper en travaillant sur plusieurs couches au moment du téléchargement de ces malwares. Beucoup de malwares visent désormais les départements Compta : Finances avec des codes d'espionnage pour des « remote actions » apres installation

Autre tendance : IoT (objets connectés) demeurent tres vulnérables. Un IoT comme une BOX d'opérateur constitu aaussi une cible. En effet, les box ne sont pas toujours sécurisées malgré les efforts des opérateurs Les hard et soft ne sont pas toujours mis a jour. Protection a tous les niveaux opé et users.

 

 

Dimitri Perret, Vade Retro Technology

  • Pouvez-vous me citer 3 chiffres clés trop méconnus en cybersécurité ?
    En 2014, plus de 20% des attaques informatiques ont démarré par un email de phishing. Durant l’été 2015, il y a eu une augmentation de 1300% du nombre de virus transitant par les emails (principalement des cryptolockers et ransomwares, et certainement d'autres composants restés cachés….).
  • Quelles sont selon vous les 3 priorités pour réduire les impacts des cyber-risques en BtoB ?
    L’une des meilleure manière de réduire significativement le risque consiste à mieux former et sensibiliser les utilisateurs sur la base de cas concrets. Il ne faut pas considérer les technologies comme infaillibles car les pirates sont très imaginatifs et agiles. Toutefois, sachant cela, les sociétés de sécurités telles que Vade Retro doivent travailler sur leur R&D en continu et innover en permanence pour adapter la sécurité aux nouveaux modes d’attaques. C’est ce qu’a fait Vade Retro avec ses innovations de 2014/2015. Prenons l’exemple de la solution VRGNI (Vade Retro Global Network Intelligence), une solution très innovante d’analyse d’importantes flux FBL qui permet de remonter plus rapidement les attaques et ainsi d’appliquer instantanément les règles de filtrage adéquates. Le big data et la capacité à traiter un grand nombre d’infos en temps réel permettent d’améliorer considérablement la cybersécurité, dans la mesure où ces ressources sont utilisées. Enfin, toujours d’un point de vue technologique, le machine learning peut apporter beaucoup de réponses face aux nouvelles menaces, car la machine sera en mesure de mieux les appréhender en « comprenant » le contexte de l’email. Vade Retro a mis en place le machine learning dans le cadre de la lutte anti-phishing, le filtre comprend l’email et est en mesure d’identifier qu’une marque est usurpée en fonction du contenu de l’email.
  • Pouvez-vous me donner 3 faits marquants liés à la sécurité qui se sont produits en 2015 ? 
    Dans le monde de la sécurité des emails, deux faits particulièrement marquants peuvent être notés cette année. Tout d’abord, la désormais incontournable attaque de TV5 Monde. Celle-ci a vraiment marque les esprits par sa « simplicité » d’execution et par la facilité avec laquelle les attaquants ont pu pénétrer le réseau de la chaîne via de simples emails de phishing toutefois très bien ciblés. Le deuxième fait marquant et qui fait beaucoup de bruit aux US, c’est évidemment le compte email personnel utilisé par Hillary Clinton dans le cadre de ses fonctions. Cette affaire marque les esprits sur le manque de mesures de sécurité prises à un tel niveau de fonction et a surtout une résonance politique importante, à un an des élections. 

 

Arnaud Cassagne, Nomios : 

3 chiffres clés trop méconnus en cybersécurité 

15 à 30 % des dépenses IT sont faites en dehors du budget IT : les métiers profitent du Cloud pour s'approprier les projets de transformation digitale. Si l'IT n'est pas sollicité, alors il est quasi certain que la composante "sécurité" n'est pas prise en compte. L'IT doit rester au plus proche des métiers pour ne pas finir par être complètement court-circuitée. (source : http://www.cso.com.au/mediareleases/20174/light-in-the-darkness-countering-shadow-it-with/)

- 987 : le nombre de services Cloud utilisés par une entreprise européenne - Sur ces applications, une grande partie n'est pas connue ni approuvée par l'entreprise (Shadow IT). (source : http://info.skyhighnetworks.com/rs/274-AUP-214/images/WP-Cloud-Adoption-and-Risk-Report-Q2-EU.pdf)

- 64,9 % : le nombre de services Cloud qui ne respectent pas les conditions suffisantes pour héberger des données européennes. 14.3% des fournisseurs de services Cloud stockent les données en Europe, 3.6% dans des pays disposant de lois de protection de données équivalentes aux notres, et 17,1% se trouvent aux Etats-Unis mais ont signé le  pacte «  Safe Harbor ». (source : http://info.skyhighnetworks.com/rs/274-AUP-214/images/WP-Cloud-Adoption-and-Risk-Report-Q2-EU.pdf)

3 priorités pour réduire les impacts des cyber-risques en BtoB

Impliquer l’ensemble des utilisateurs : les membres de l'IT doivent disposer de cursus de formation suffisants, et de temps pour travailler sur les problématiques nouvelles. Le reste des collaborateurs doit disposer de sessions de sensibilisation, et de tests de connaissance appropriés. 

Il est également important qu'ils ne fassent pas confiance aveuglément aux partenaires et autres fournisseurs. Et dernier point : penser à impliquer les utilisateurs de ses partenaires, pour qu'ils disposent d'un niveau compétence équivalent à celui du personnel de la DSI de l’entreprise. 

- Réaliser un inventaire de toutes ses données : celles qui se trouvent dans l'infrastructure, et celles qui sortent de l'entreprise (services cloud, données traitées par des tiers,...), et vérifier que les mécanismes de protection suffisants sont mis en place. 

- Mettre en place des équipements de sécurité permettant d'analyser l'ensemble des flux échangés avec les sociétés partenaires : 

- Bastion pour enregistrer ce que font les administrateurs : flux SSH, Citrix, RDP, ...

- Firewalls Next Generation pour voir quels utilisateurs accèdent à quelles applications

- SIEM pour collecter toutes les données de sécurité des différentes briques de sécurité, et disposer de tableau de bord permettant de détecter les comportements anormaux

3 faits marquants des Assises 2015

- L’événement compte 15 nouveaux partenaires cette année, ce qui prouve que le secteur de la cyber-sécurité est toujours en plein essor. De plus en plus de startups se créent, et elles n'hésitent pas à participer très tôt aux Assises de la Sécurité.

- Tous les experts réunis autour des APT, du Cloud, et du Big data : ce sont les 3 sujets clés abordés par la grande majorité des partenaires de cette édition

  • La tendance DevSecOps : personne n'en parle. Est-ce normal ? Cette grande tendance se répand extrêmement rapidement aux USA, mais peine à franchir l'Atlantique... Son absence en fait un des faits marquants.

 

 Michel Lanaspeze / SOPHOS

·      3 chiffres trop méconnus en Cyber Sécurité:

73% des entreprises n’ont pas suffisamment d’experts sécurité pour se défendre correctement contre les menaces actuelles

« Does your organization has enough security staff to defend itself against current threats »
Sondage Black Hat 2015
Le sondage Black Hat met en évidence un des principaux freins à la sécurité.

Dans un contexte économique tendu, il est malheureusement improbable que cette situation change rapidement, et il est donc essentiel que les solutions de sécurité soient optimisées pour faire gagner un maximum de temps aux experts sécurité dans leurs tâches d’administration. Cela passe par des efforts particuliers de simplicité et d’intégration des solutions, ce qui a la double vertu de réduire les risques d’erreurs humaines, autre facteur de risque majeur.

Plus de 30% des investissements IT se font en dehors du contrôle de la DSI (« Shadow IT »)

"Shadow IT investments often exceed 30 percent of total IT spend"

Matt Cain, research vice president at Gartner
http://www.gartner.com/newsroom/id/3115717

Ceci pose bien entendu des risques en matière de sécurité, car la dimension sécurité est rarement bien gérée dans ces cas.

On retrouve dans ces investissement « Shadow IT » le BYOD et le stockage des données dans le Cloud incontrôlés, qui posent des problèmes de sécurité particulièrement sensibles. 
Il est essentiel pour les DSI de proposer des approches maîtrisées et sécurisées pour accompagner ce mouvement.

87% des employés français estiment qu’il faut renforcer les lois sur la protection des données

Source : Etude Vanson Bourne - Sophos, 2014

Il y a une vraie attente dans les entreprises pour une modernisation des lois sur la protection des données.
C’est également vrai en Allemagne (86%) et au Royaume-Uni (80%).
Dans chacun de ces trois pays, la majorité des personnes interrogées estime que cela doit se faire d’abord au niveau Européen.


Le projet de réforme des lois Européennes sur la protection des données devrait être adopté dans les mois qui viennent, et il est important que les entreprises s’y préparent en s’assurant qu’ils disposent des technologies nécessaires pour assurer la confidentialité des données.

·      3 priorités pour réduire les impacts des cyber-risques en BtoB :

Renforcer la protection en temps réel contre les attaques avancées :

Les participants à la conférence Black Hat 2015 placent les attaques sophistiquées et ciblées au premier rang de leurs préoccupations. La lutte contre ce type de menaces devrait effectivement figurer parmi les trois priorités pour réduire les impacts des cyber-risques en 2015. Pour répondre à ce défi, les solutions de protection se sont renforcées ces dernières années séparément à chaque niveau : systèmes, réseaux et applications traitant les données. Cependant,  les cybercriminels sont passés maîtres dans l’art d’associer les différents vecteurs et angles d’attaques possibles pour arriver à passer sous le radar de dispositifs de filtrage isolé. Une première réponse a consisté à effectuer des corrélations rétrospectives à l’aide d’outils tels que les SIEMs. Il faut maintenant aller plus loin, pour faire une corrélation en temps réel des événements au niveaux des systèmes, des réseaux et des applications, afin d’automatiser les réponses, en isolant par exemple les systèmes compromis, en bloquant les applications malveillantes ou en restreignant l’accès aux données sensibles. 

Les dernières générations de solutions Sophos inaugurent cette nouvelle stratégie de défense très prometteuse

Renforcer les contrôles de conformité sur la protection des données :

Avec l’extension du périmètre d’attaque dû à la mobilité, la multiplication des périphériques et la consumérisation de l’IT, la protection des données se retrouve au cœur des stratégies de protection. Ceci d’autant plus que les réglementations se renforcent, à l’image de l’initiative de réforme en cours des lois Européennes sur la protection des données. Il devient donc urgent de se préoccuper de la confidentialité des données, de plus en plus mobiles elles-mêmes, en conformité avec la politique de sécurité de l’entreprise. 

Sophos est le leader européen du domaine du chiffrement et apporte une réponse complète et intégrée à ces questions.

Aider les administrateurs sécurité à être plus rapides, agiles et efficaces :  

Enfin, avec la sophistication et le nombre croissant d’attaques, qui exploitent des environnements de plus en plus mobiles et variés, et auxquels doivent faire face des équipes trop souvent en nombre insuffisant, il est de plus en plus essentiel d’aider les expert sécurité à être plus rapides, agiles et efficaces. Ceci passe d’abord par le choix d’interfaces optimisées en terme de simplicité. Cela passe également par plus d’intégration, comme la possibilité de gérer la sécurité des postes et des mobiles à partir de la même console d’administration, ou encore la possibilité de gérer toutes les fonctions de sécurité réseaux avec la même console, dans une approche UTM. C’est également la nécessité croissante de pouvoir gérer des politiques de sécurité basées sur les utilisateurs, afin de pouvoir les suivre dans une mobilité et des usages toujours plus variés. C’est enfin avoir un choix de déploiement qui s’adapte à des stratégies et des environnements évolutifs :  sur site, sous forme d’appliances ou de serveurs virtualisés, en mode Cloud ou hybride. 

Ces impératifs sont au coeur de la stratégie de développement des solutions Sophos, que nous résumons par la devise « Security made simple. »

 

Laurent Heslaut / SYMANTEC

3 chiffres clés trop méconnus en cybersécu

-          Symantec State of Privacy : Pour 88 % des Français, la protection et la sécurité des données sont très importantes lors de l’achat d’un produit ou d’un service, devant la qualité et le service client

-          ISTR : 17 % des applications mobiles sous Android étaient en réalité des malware et 1/3 présentaient des caractéristiques mettant en cause la sécurité ou la vie privée de l’utilisateur

-          L’Hexagone se classe au 4e rang européen et 6e rang mondial pour les attaques d’extorsion numérique

·         3 priorités pour réduire les impacts des cyber-risques en BtoB

Pour les RSSI :

-          Sortir de son périmètre : la cybersécurité n’est pas le seul souci ni la seule responsabilité du RSSI, mais bien des différents métiers et de la direction de l’entreprise

-          Pensez la cyber-résilience . Sans cette approche stratégique et holistique, la sécurité restera tactique et isolée, alors qu’elle doit concerner l’ensemble des acteurs et des actifs de l’entreprise.

-          Etre proactif, et non réactif, comme c’est encore trop souvent le cas

·         3 faits marquants des Assises 2015

·         Faut-il hiérarchiser les cyber-risques, en donnant moins de priorité aux risques "qui pourraient arriver", fruits de modèles prédictifs et plus de priorités aux risques "qui arrivent" : cyberterrorisme, cyberespionnage.. ?

Il convient d’avoir une approche de cyber-résilience, qui est volontairement concrète et tient lieu des risques possibles (et généralement avérés dans le secteur). Pour plus d’infos sur l’approche :http://www.symantec.com/fr/fr/page.jsp?id=cyber-resilience (notamment les 10 conseils pour la cyber résilience)

...

 

Vous avez lu 50% des cet article, l'intégralité est réservée à nos abonnés ainsi que nos études inédites: SCADA, "0Day", RGPD (Régulation Eur Data privacy)...

 

 

 

Risques Cyber en forte augmentation pour les entreprise en 2015 selon le baromètre Allianz (GB)

 

Allianz Risk Barometer 2015: Businesses Exposed to Increasing Number of Disruptive Scenarios

 

  • Business interruption & supply chain, natural catastrophes, fire & explosion top risks for U.S. and global companies in 2015. Cyber risks rank in top five for the first time.

  • Businesses least prepared for cyber risks. Loss of reputation and business interruption main cause of loss after IT security incidents. ‘Think tank’ needed.

  • Long term, companies face dual challenge managing impact of climate

 

Businesses face new challenges from a rise of disruptive scenarios in an increasingly interconnected corporate environment, according to the fourth Allianz Risk Barometer 2015. Traditional industrial risks such as business interruption and supply chain risk (46% of responses), natural catastrophes (30%), and fire and explosion (27%) continue to concern risk experts, heading this year’s rankings. Cyber (17%) and political risks (11%) are the most significant movers. The survey was conducted among more than 500 risk managers and corporate insurance experts from both Allianz and global businesses in 47 countries.

The growing interdependency of many industries and processes means businesses are now exposed to an increasing number of disruptive scenarios. Negative effects can quickly multiply. One risk can lead to several others. Natural catastrophes or cyber attacks can cause business interruption not only for one company, but to whole sectors or critical infrastructure,” says Chris Fischer Hirs, CEO of Allianz Global Corporate & Specialty SE (AGCS), the dedicated insurer for corporate and special risks of Allianz SE. “Risk management must reflect this new reality. Identifying the impact of any interconnectivity early can mitigate or help prevent losses occurring. It is also essential to foster cross-functional collaboration within companies to tackle modern risks.”

 

Business risk rankings in North America mirror global risks with business interruption and supply chain risk the top concern for 55% of the responses. Cyber risk, which includes cyber crime, IT failures, espionage and data breaches, was cited as a major business risk by 25% of participants, up from 11% in 2014.

 

Budget constraints and siloed knowledge impair cyber protection The risk of cyber crime and IT failures continues its rapid rise in the Allianz Risk Barometer, moving into the top five business risks globally for the first time (in 2014, cyber risks ranked 8th and in 2013 just 15th). In the United States, Germany, and the United Kingdom cyber risks are now among the top three corporate risks. Loss of reputation (61%) and business interruption (49%) are regarded as the main causes of economic loss following an incident.

Although awareness of cyber risk is increasing, many companies are still underestimating its impact, according to 73% of responses. Budgetary constraints are another reason why companies are not better prepared to combat cyber risks. “Cyber risks are very complex. Different stakeholders such as IT security architects and business continuity managers need to share their knowledge to identify and evaluate threat scenarios,” explains Jens Krickhahn, Practice Leader Cyber & Fidelity at AGCS Financial Lines, Germany & Central Europe. “Previously siloed knowledge needs to be incorporated in one’ think tank’ which can look at risks holistically. The ‘human factor’ should also not be underestimated, as employees can cause IT security incidents, inadvertently and deliberately.”

CYBERISQUES-NEWS-Allantz-2015-3

 

Political risks on the rise

Political/social upheaval is a much bigger concern for businesses in the 2015 Allianz Risk Barometer, rising nine positions to ninth overall compared with last year’s survey. It is the second top cause of supply chain disruption (53%) after natural catastrophes. Another source of political tension in 2015 could come from lower oil prices, which may strain the budgets of countries heavily dependent on oil revenues. Combating political risks and terrorism are identified as top business risk management challenges over the next five years.

 

More severe business interruption implications

For the third year in succession, business interruption (BI) and supply chain risk is the top peril in the Risk Barometer with almost half (46%) of the responses rating this as one of the three most important risks for companies, up 3% year-on-year. Fire/explosion (43%) and natural catastrophes (41%) are the major causes of BI companies fear most. The impact of the subsequent disruption potentially affecting a company, its suppliers and customers often outweighs the physical damage itself. At $1.36m, the average business interruption insurance claim is already 32% higher than the average direct property damage claim ($1.03m).

Businesses spend a lot of time assessing direct damage and looking at their own BI impact but more work needs to be done analyzing the risks associated with suppliers and customers,” says Paul Carter, Global Head of Risk Consulting at AGCS. Supply chain risk management remains a gap in many multinational companies’ risk management programs. Many businesses still do not have alternate suppliers.

CYBERISQUES-NEWS-Alliants-2015-1

...

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire887 Euros* au lieu de 1199,00Euros

 

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX:synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale,sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels,solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique etréglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

Cyber Risks & Entreprises:

 

Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne, a déclaré le 30 octobre 2014: «La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

 

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

 

Challenge Cyber Risks & "Business impact" trois cas révélateurs en 2014:  SONY, MICHELIN, JPMORGAN CHASE

 

24/11:2014Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony.L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque.

 

04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.(JPMorgan’s shares  JPM 2.15% have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

 

Pour toutes les entreprises victimes de ces cyber-attaques, lepréjudices financiers s'avèrent considérables en coûts directs ou indirects:atteinte à l'image de l'entreprise, dysfonctionnementsdes Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaireset clients, pertes et vols d'informations stratégiques,avantages donnés aux concurrents...

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour lesdirigeants et membres des COMEX

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire887 Euros* au lieu de 1199,00Euros

 

http://www.cyberisques.com/fr/subscribe

 

 

...

Regional trends: Talent shortage fears increasing

Although the top three risks BI /supply chain, natural catastrophes and fire and explosion are identical across the Europe, Middle East and Africa (EMEA), Americas and Asia Pacific regions for the third successive year, there are regional differences. Cyber risk is a big mover in EMEA’s and Americas’ top 10 risks, but it does not appear in the top 10 Asia Pacific risks, suggesting many companies are not grasping the full impact of the potential risks involved. A combination of shortage of skilled talent, together with an aging workforce is deemed an increasing concern and a new entry in the top 10 risks in the U.S.

Industry trends: Competition worries shipping, regulation concerns financial services

The impact of natural catastrophes (42%) such as earthquakes remains the top risk for the Engineering and Construction sector. BI (68%) continues to be the top risk with manufacturers even more concerned than 12 months ago (60%), driven by the potential for large claims in certain sectors such as semiconductor or automotive is increasing. Changes in legislation and regulation (33%) remain the top concern for financial services, reflecting increasing supervisory intervention around the globe. The shipping sector is concerned about intensified competition (29%), while theft (47%) worries the transportation industry.

 

BONUS: 

http://www.agcs.allianz.com/

http://cyberisques.com/fr/mots-cles-15/391-extrait-analyse-des-cyber-menaces-reelles-pour-les-entreprises-en-2015

 

FIC 2015: 12 tendances cybersecurité incontournables en 2015

 

FIC 2015:  12 tendances cybersecurité incontournables en 2015

 

 

 

visuel-fic2015

 

 

Tendance 1 – COMEX et CODIR : admettre que la menace est réelle et déjà présente

C'est une petite révolution dans le monde de la cybersécurité. Durant des années, la sécurité périmétrique sûre d'elle a laisser penser que les cyber-menaces pouvaient êtres stoppées. Tout le monde reconnaît qu'aujourd'hui, la cybermenace est continue et l'état d'alerte permanent. La cybermenace est même considérée comme inévitable. De nombreux CODIR et COMEX s'y intéressent (Lire l'interview du DSI et du RSS de la Société Générale pour les abonnés à Cyberisques NEWS). Proteger le patrimoine immatériel c'est protéger le business.  

L’interconnexion des SI avec Internet, la présence de réseaux sociaux et de terminaux nomades, l'hébergement distant de données et d'applications partagées… changent la donne. Tous les experts reconnaissent que désormais il faut vivre avec l'idée que la menace est présente. Ce qui suppose de considérer la cyber sécurité comme un ensemble d'outils de veille en permanence sur la "brèche » 24h sur 24. Traduit en termes de solutions, les offres de corrélation et remédiation se multiplient afin d'offrir via des SOC dédiés (externalisés notamment), un "monitoring" permanent des vulnérabilités et des « patch » appliqués très rapidement sur des vulnérabilités connues via une veille 24 / 24.

 

 

Tendance 2 - Sécurité des objets connectés:

Un « génocide numérique » est en cours : aucune protection digne de ce nom existe sur les objets connectés proposés au grand public. Ces objets génèrent et reçoivent des données personnelles critiques (Santé par exemple). L'enjeu est de taille dans la mesure ou ces données demeurent stratégiques pour les personnes concernées. La confidentialité et l'intégrité de ces données posent problème. Leur exploitation aussi : quelle décision peut être amenée à prendre une entreprise apprenant suite à un « piratage » qu'un de ses collaborateurs est atteint d'une maladie « maline » ? Aujourd'hui, on estime a une centaine le nombre d'objets connectés utilisés par un utilisateur dns son environnement privé.

 

 

Tendance 3 - Sécurité offensive:

Dans « l'art de la guerre » Sun Tzu rappelle que connaître son ennemi c'est déjà marqué un avantage considérable. En cybersécurité, ce sujet longtemps "tabou" est évoqué par quelques experts en « off ». Désormais, l'idée fait son chemin : connaître mieux les groupes de cyber-attaquants, leurs futures cibles, leurs outils, leurs stratégies, leurs « clients » parfois… peut s’avérer très utile notamment pour établir des scénarios d'anticipation via des corrélation d’événements. Reste a faire évoluer le réglementation européenne sur ce point. Cela dit, les notions de cyber-perquisitions progressent. (Lire cyberisques NEWS partie abonnés)

 

Tendance 4 - Sécuriser les architectures SCADA:

Perçue comme une réelle opportunité par bon nombre d'éditeurs alors que c'est une priorité absolue, la sécurité sur les architectures industrielles SCADA préoccupe grandement Guillaume Poupard Directeur de l'ANSSI. Concrètement les offres se mettent en place retardées par des problèmes techniques liés notamment à l'absence de standards. Les cyber risques liés aux actes de cyber-sabotage sont prioritaires par leurs impacts. Ils touchent à la sécurité intérieure comme l'a rappelé Bernard Cazeneuve, Ministre de l'Intérieur lors de son discours d'ouverture du FIC 2015 ( Lire l'intégralité du discours sur Cyberisque NEWS). Pour l'heure les systèmes industriels demeurent le talon d'Achille de la Cybersécurité.

 ...

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

 

Abonnement individuel par email personnalisé 40 envois / an

offre spéciale anniversaire 887 Euros* au lieu de 1199,00Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX et CODIR :synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale,sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels,solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique etréglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

 

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

Cyber Risks & Entreprises:

Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne,  a déclaré le 30 octobre 2014: «La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

 

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

 

 

Challenge Cyber Risks & "Business impact" trois cas révélateurs en 2014:  SONY, MICHELIN, JPMORGAN CHASE

 

 

24/11:2014 Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony.L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque.

 

 

04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

 

8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.(JPMorgan’s shares  JPM  2.15% have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

 

Pour toutes les entreprises victimes de ces cyber-attaques, lepréjudices financiers s'avèrent considérables en coûts directs ou indirects:atteinte à l'image de l'entreprise, dysfonctionnements des Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaires et clients, pertes et vols d'informations stratégiques,avantages donnés aux concurrents...

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour lesdirigeants et membres des COMEX / CODIR

 

 

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

 

 

... 

Tendance 5 – Vers les Cyber War Room: comment disposer de RH entrainées et préparées aux cyber-crises ?

En 2015, la réactivité sera au coeur de toutes les approches sécuritaires. Les lignes de défenses proposées sont souvent insuffisantes face à la nouvelle génération de cyber-menaces très ciblées et complexes a détecter. Pour les cyber-assureurs, experts en évaluation et gestion des risques, évaluer le risque est un paramètre mais leur vocabulaire est différent de celui des experts en cybersécurité. Ainsi pour un spécialiste de l'assurance, la notion de risque recouvre d'une part celui de risque réel et d'autre part, les capacités de réaction suite à la découverte des risques. On ne peut pas éviter les tempêtes mais on peut réagir plus ou moins rapidement avec plus ou moins de moyens et en fin de compte gérer le risque rapidement et intelligemment. La réaction aux cyber risques devient alors un enjeu majeur tout comme l’entraînement des équipes a gérer habilement une situation de crise via une « Cyber War Room (1) (Lire Cyberisques NEWS partie abonnés) ».

 

Tendance 6 – Cyber Assurance incontournable ?

Du fait des failles de sécurité observées en 2013 et 2014 qui ont impacté la réputation et le leadership d’entreprises et de marques, 2015 devrait être l’année de la cyber-assurance. L'atelier proposé sur ce thème et animé par Cyberisques NEWS a fait salle comble au FIC 2015. L'assurance est le dernier maillon de la chaîne dans la gestion des risques. Les assureurs peuvent aider les entreprises à identifier les risques et les trous de garantie. Dirigeants et cadres dirigeants chercheront vraisemblablement à réduire les risques en les transférant à des assureurs. Les gouvernements et les compagnies d'assurance ont d’ores et déjà défini les grandes orientations qui visent à soutenir le développement du marché de la cyber-assurance. La réduction des primes de cyber-assurance ​​pourrait être un levier pour les éditeurs de sécurité. Ainsi une entreprise qui apporterait la preuve d'avoir mis en place les contrôles de sécurité critiques en interne verrait ses primes d’assurance réduites. La cyber-assurance s'est rapidement développée notamment aux US via le remboursement des coûts de notification. En Europe avec la publication de la nouvelle loi Européenne de 2015, l'indemnisation financière des coûts liés à la notification mais aussi aux enquêtes demandées par l'autorité de contrôle (CNIL) suite à vol de données personnelles est également pris en compte par les police « cyber ». Reste quelques points que les 11 compagnies qui proposent des offres de polices « cyber » en France se doivent d'éclaircir au plus vite :
  Quelles offres dédiées aux PME / PMI ?
- Qu'est ce qu'un assureur examine pour tarifier un risque Cyber
- Que couvre un police d'assurance Cyber, et ses limites et bien sûr nature et niveaux financiers des indemnisations ? 

 

Tendance 7 – Le rôle actif de l’État dans la Cybersécurité des patrimoines immatériels des entreprises françaises face au cyberespionnage

Bernard Cazeneuve l'a martelé au FIC 2015 après avoir identifié le cyber-terrorisme comme première priorité, il place en second les cyberattaques sur les entreprises françaises : « Le deuxième type de menace relève des cyberattaques contre les entreprises, qu’il s’agisse de cyberespionnage industriel ou de cyberescroquerie à grande échelle. En effet, des attaques de plus en plus sophistiquées touchent principalement les entreprises et visent à leur voler des données stratégiques, parfois en très grande quantité comme certains exemples étrangers ou français l'ont montré ces dernières semaines, ou bien à leur soutirer des sommes importantes d'argent – plusieurs entreprises, parfois des multinationales, ont ainsi été récemment victimes d’escroqueries au faux ordre de virement international (FOVI). » En effet, le cyberespionnage lorsqu'il touche le vol de propriété intellectuelle (R&D, Brevets et licences…) peut très vite marginaliser l'activité d'un grand groupe qui s'est fait dérober jusqu’à 40 ans d’expérience et de recherches. L'ANSSI peut être également concernée au nom de la souveraineté nationale. En effet, les conséquences de ce type de cyber-attaque sont parfois directement visibles au plan économique : chômage, balance économique en danger, pertes de clients… Victime d'une très sévère cyber-attaque en 2014, le groupe Target aux US a fermé sa chaîne de magasins au Canada et licencié 17000 collaborateurs.

 

Tendance 8 - Volumétrie en hausse : big data et gestion des logs

Toutes les entreprises s'en plaignent sans savoir comment résoudre concrètement le problème. Les fameux log ou journaux qui témoignent des activités de différents systèmes et applications génèrent chaque jour des centaines de millions de logs. Comment détecter dans ce big data les signaux forts des signaux faibles ? Comment établir des process de corrélation pour bâtir des scénarios de contre-attaque ? Comment être sûr que les hommes savent exploiter au mieux ce que les machines leur livre chaque jour en analysant de manière optimale un signal stratégique dans cette « info-obésité » ? En outre, aucune réglementation officielle existe sur le format d'un log. En l'absence de standard, les cyber-enquêteurs doivent construire eux mêmes leur « modèle : adresse IP, heure de démarrage et de fin de session, nom et log de l'utilisateur… Modéliser des cyber-attaques n'est pas aisé d'autant que les attaques de type APT prennent des formes spécifiques et évolutives.

 

Tendance 9 – Cyber-enquête et étude comportementale des utilisateurs

Autre tendance très « tendance » confirmée sur le FIC 2015 (cf Cyberisques NEWS partie abonnés) l'étude comportementale des utilisateurs. Généralement la plupart des solutions actuelles de « traçabilité et analyse comportementale » demandent un auto apprentissage sur 2 ou 3 mois pour analyser et corréler des informations de type : vitesse de frappe au clavier, heure de log, habitude dans l'ouverture des applications, horaires, nombre d'email envoyés avec et sans PJ… L'idée c'est de réaliser une détection de « déviation de la normalité » afin de déceler en interne d'éventuelles complicités avec des attaquants. Des approches spécifiques sont faites sur des comptes à privilège (administrateur, VIP, partenaires privilégiés…) ainsi que sur des fournisseurs : "mainteneurs" et "hébergeurs". Autre point, afin de fournir aux enquêteurs des éléments de preuve, des enregistrements vidéo permettant de « rejouer » telle transaction sont effectués.

 

Tendance 10 - Une directive Européenne fixe un nouveau cadre incontournable en cybersécurité

La directive Européenne sur l'encadrement des données personnelles devrait voir le jour courant 2015. Elle imposera vraisemblablement l'obligation de notification des failles en rapport avec des données à caractère personnel. Le tout « dans un délai assez court ». Ces rapports devront êtres adressés à la CNIL. Coté notifications, pour les entreprises ce sont des lettres dans la langue de la personne concernée qui devront êtres envoyées. En matière de responsabilité, le transfert de risque reste a distinguer du tranferts de responsabilité. En clair, c'est le responsable du traitement qui demeure responsable juridique. Ce règlement qui s'adaptera dans les 29 pays de l'Union Européenne précise que la notion de vie privée doit être intégrée dans la conception du système. D'ou la création obligatoire d'un poste d'officier de la sécurité des données (Data privacy officer). Les clients et utilisateurs pourront bénéficier d'un droit a l'effacement. Comme Google qui ne doit plus référencer certaines infos. D'autres articles de loi précisent les conditions d'archivage. Ainsi, le futur article 28  dans sa version actuelle exige qu'une trace archivée soit tenue à la disposition de l'autorité de contrôle (La CNIL en France). Un autre article (article 26) précise les conditions d'externalisation (habilitation de personnes, pas de sous traitance sans prévenir le client…). Enfin, des sanctions seront imposées aux entreprises « hors cadre » : 5 % de leur chiffre d'affaires ou 100 millions d'euros.

 

Tendance 11 - Mot de passe remis en cause

L'année 2015 consacrera t-elle la mort du mot de passe ? Les solutions biométriques (Lire cyberisques NEWS partie réservée aux abonnés) semblent s'imposer pour authentifier les utilisateurs. Reste une inconnue : comment véhiculer l'information biométrique en s'assurant qu'elle ne soit pas « modifiée » par des attaquants ? En 2014, les vols de mots de passe ont représenté dans le monde une perte moyenne de 3 millions d’euros, par entreprise. Une enquête de décembre 2014 de l'éditeur Ping affirmait que les entreprises qui utilisent des générateurs automatiques de mots de passe ne savent pas que ces systèmes sont vulnérables à plus de 90%.

 

Tendance 12 : Quels outils et « best practices » pour lutter contre les APT ?

En 2015, les attaques ciblées deviennent encore plus sophistiquées.  Souvent appelées APT (Advanced Persistant  Threats), elles sont différentes des cyberattaques traditionnelles. Conçues pour attaquer des victimes spécifiques et pour être silencieuses, les attaques ciblées peuvent être cachées et non détectées dans des réseaux peu sécurisés. Selon Pablo Ramos, directeur du laboratoire de recherche ESET en Amérique Latine : Le vecteur des attaques ciblées profite généralement des attaques d‘ingénierie sociale”, C’est alors que la manipulation psychologique est utilisée pour pousser les victimes potentielles à commettre certaines actions ou à divulguer des informations confidentielles. Les attaques peuvent également prendre l’apparence d’exploits jour-zéro, où elles profitent de vulnérabilités nouvellement découvertes dans un système d’exploitation ou une application particulière.
Pratiquée par des groupes de cyber-attaquants très organisés et performants techniquement le développement d'une attaque APT suit différentes étape : découvrir l'environnement, trouver un point d'ancrage, mettre en place des outils, cibler les données, exfiltrer… Notons aussi qu'un des nombreux maillons faibles de la chaine de cyber-sécurité reste le collaborateur « indélicat ». Une majorité de cyber-attaques réussissent lorsqu'un collaborateur « travaille » comme complice des cyber-attaquants.

Jean Philippe Bichard 

(journaliste Cyberisques.com, "IT for Business")

 

Direct sur Sud Radio: on parlait cybersécurité : http://bit.ly/1L5cJJ7

Guillaume Tissier / Jean Philippe Bichard 

 

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

@JPBICHARD

 

Cyber War Room  (marque déposée)

 

BONUS:

https://www.forum-fic.com/2015/

 http://www.cyberisques.com/mots-cles-24/398-panorama-2015-du-clusif-l-expertise-des-attaquants-progresse

http://www.itforbusiness.fr/leaders/opinions/item/190-vers-une-cyber-securite-raisonnee-par-guillaume-tissier-directeur-general-ceis-co-organisateur-du-fic

 

 

 

Abonnement

IT Business Review N° 4

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires