FIC 2015: 12 tendances cybersecurité incontournables en 2015

 

FIC 2015:  12 tendances cybersecurité incontournables en 2015

 

 

 

visuel-fic2015

 

 

Tendance 1 – COMEX et CODIR : admettre que la menace est réelle et déjà présente

C'est une petite révolution dans le monde de la cybersécurité. Durant des années, la sécurité périmétrique sûre d'elle a laisser penser que les cyber-menaces pouvaient êtres stoppées. Tout le monde reconnaît qu'aujourd'hui, la cybermenace est continue et l'état d'alerte permanent. La cybermenace est même considérée comme inévitable. De nombreux CODIR et COMEX s'y intéressent (Lire l'interview du DSI et du RSS de la Société Générale pour les abonnés à Cyberisques NEWS). Proteger le patrimoine immatériel c'est protéger le business.  

L’interconnexion des SI avec Internet, la présence de réseaux sociaux et de terminaux nomades, l'hébergement distant de données et d'applications partagées… changent la donne. Tous les experts reconnaissent que désormais il faut vivre avec l'idée que la menace est présente. Ce qui suppose de considérer la cyber sécurité comme un ensemble d'outils de veille en permanence sur la "brèche » 24h sur 24. Traduit en termes de solutions, les offres de corrélation et remédiation se multiplient afin d'offrir via des SOC dédiés (externalisés notamment), un "monitoring" permanent des vulnérabilités et des « patch » appliqués très rapidement sur des vulnérabilités connues via une veille 24 / 24.

 

 

Tendance 2 - Sécurité des objets connectés:

Un « génocide numérique » est en cours : aucune protection digne de ce nom existe sur les objets connectés proposés au grand public. Ces objets génèrent et reçoivent des données personnelles critiques (Santé par exemple). L'enjeu est de taille dans la mesure ou ces données demeurent stratégiques pour les personnes concernées. La confidentialité et l'intégrité de ces données posent problème. Leur exploitation aussi : quelle décision peut être amenée à prendre une entreprise apprenant suite à un « piratage » qu'un de ses collaborateurs est atteint d'une maladie « maline » ? Aujourd'hui, on estime a une centaine le nombre d'objets connectés utilisés par un utilisateur dns son environnement privé.

 

 

Tendance 3 - Sécurité offensive:

Dans « l'art de la guerre » Sun Tzu rappelle que connaître son ennemi c'est déjà marqué un avantage considérable. En cybersécurité, ce sujet longtemps "tabou" est évoqué par quelques experts en « off ». Désormais, l'idée fait son chemin : connaître mieux les groupes de cyber-attaquants, leurs futures cibles, leurs outils, leurs stratégies, leurs « clients » parfois… peut s’avérer très utile notamment pour établir des scénarios d'anticipation via des corrélation d’événements. Reste a faire évoluer le réglementation européenne sur ce point. Cela dit, les notions de cyber-perquisitions progressent. (Lire cyberisques NEWS partie abonnés)

 

Tendance 4 - Sécuriser les architectures SCADA:

Perçue comme une réelle opportunité par bon nombre d'éditeurs alors que c'est une priorité absolue, la sécurité sur les architectures industrielles SCADA préoccupe grandement Guillaume Poupard Directeur de l'ANSSI. Concrètement les offres se mettent en place retardées par des problèmes techniques liés notamment à l'absence de standards. Les cyber risques liés aux actes de cyber-sabotage sont prioritaires par leurs impacts. Ils touchent à la sécurité intérieure comme l'a rappelé Bernard Cazeneuve, Ministre de l'Intérieur lors de son discours d'ouverture du FIC 2015 ( Lire l'intégralité du discours sur Cyberisque NEWS). Pour l'heure les systèmes industriels demeurent le talon d'Achille de la Cybersécurité.

 ...

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

 

Abonnement individuel par email personnalisé 40 envois / an

offre spéciale anniversaire 887 Euros* au lieu de 1199,00Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX et CODIR :synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale,sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels,solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique etréglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

 

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

Cyber Risks & Entreprises:

Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne,  a déclaré le 30 octobre 2014: «La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

 

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

 

 

Challenge Cyber Risks & "Business impact" trois cas révélateurs en 2014:  SONY, MICHELIN, JPMORGAN CHASE

 

 

24/11:2014 Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony.L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque.

 

 

04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

 

8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.(JPMorgan’s shares  JPM  2.15% have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

 

Pour toutes les entreprises victimes de ces cyber-attaques, lepréjudices financiers s'avèrent considérables en coûts directs ou indirects:atteinte à l'image de l'entreprise, dysfonctionnements des Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaires et clients, pertes et vols d'informations stratégiques,avantages donnés aux concurrents...

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour lesdirigeants et membres des COMEX / CODIR

 

 

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

 

 

... 

Tendance 5 – Vers les Cyber War Room: comment disposer de RH entrainées et préparées aux cyber-crises ?

En 2015, la réactivité sera au coeur de toutes les approches sécuritaires. Les lignes de défenses proposées sont souvent insuffisantes face à la nouvelle génération de cyber-menaces très ciblées et complexes a détecter. Pour les cyber-assureurs, experts en évaluation et gestion des risques, évaluer le risque est un paramètre mais leur vocabulaire est différent de celui des experts en cybersécurité. Ainsi pour un spécialiste de l'assurance, la notion de risque recouvre d'une part celui de risque réel et d'autre part, les capacités de réaction suite à la découverte des risques. On ne peut pas éviter les tempêtes mais on peut réagir plus ou moins rapidement avec plus ou moins de moyens et en fin de compte gérer le risque rapidement et intelligemment. La réaction aux cyber risques devient alors un enjeu majeur tout comme l’entraînement des équipes a gérer habilement une situation de crise via une « Cyber War Room (1) (Lire Cyberisques NEWS partie abonnés) ».

 

Tendance 6 – Cyber Assurance incontournable ?

Du fait des failles de sécurité observées en 2013 et 2014 qui ont impacté la réputation et le leadership d’entreprises et de marques, 2015 devrait être l’année de la cyber-assurance. L'atelier proposé sur ce thème et animé par Cyberisques NEWS a fait salle comble au FIC 2015. L'assurance est le dernier maillon de la chaîne dans la gestion des risques. Les assureurs peuvent aider les entreprises à identifier les risques et les trous de garantie. Dirigeants et cadres dirigeants chercheront vraisemblablement à réduire les risques en les transférant à des assureurs. Les gouvernements et les compagnies d'assurance ont d’ores et déjà défini les grandes orientations qui visent à soutenir le développement du marché de la cyber-assurance. La réduction des primes de cyber-assurance ​​pourrait être un levier pour les éditeurs de sécurité. Ainsi une entreprise qui apporterait la preuve d'avoir mis en place les contrôles de sécurité critiques en interne verrait ses primes d’assurance réduites. La cyber-assurance s'est rapidement développée notamment aux US via le remboursement des coûts de notification. En Europe avec la publication de la nouvelle loi Européenne de 2015, l'indemnisation financière des coûts liés à la notification mais aussi aux enquêtes demandées par l'autorité de contrôle (CNIL) suite à vol de données personnelles est également pris en compte par les police « cyber ». Reste quelques points que les 11 compagnies qui proposent des offres de polices « cyber » en France se doivent d'éclaircir au plus vite :
  Quelles offres dédiées aux PME / PMI ?
- Qu'est ce qu'un assureur examine pour tarifier un risque Cyber
- Que couvre un police d'assurance Cyber, et ses limites et bien sûr nature et niveaux financiers des indemnisations ? 

 

Tendance 7 – Le rôle actif de l’État dans la Cybersécurité des patrimoines immatériels des entreprises françaises face au cyberespionnage

Bernard Cazeneuve l'a martelé au FIC 2015 après avoir identifié le cyber-terrorisme comme première priorité, il place en second les cyberattaques sur les entreprises françaises : « Le deuxième type de menace relève des cyberattaques contre les entreprises, qu’il s’agisse de cyberespionnage industriel ou de cyberescroquerie à grande échelle. En effet, des attaques de plus en plus sophistiquées touchent principalement les entreprises et visent à leur voler des données stratégiques, parfois en très grande quantité comme certains exemples étrangers ou français l'ont montré ces dernières semaines, ou bien à leur soutirer des sommes importantes d'argent – plusieurs entreprises, parfois des multinationales, ont ainsi été récemment victimes d’escroqueries au faux ordre de virement international (FOVI). » En effet, le cyberespionnage lorsqu'il touche le vol de propriété intellectuelle (R&D, Brevets et licences…) peut très vite marginaliser l'activité d'un grand groupe qui s'est fait dérober jusqu’à 40 ans d’expérience et de recherches. L'ANSSI peut être également concernée au nom de la souveraineté nationale. En effet, les conséquences de ce type de cyber-attaque sont parfois directement visibles au plan économique : chômage, balance économique en danger, pertes de clients… Victime d'une très sévère cyber-attaque en 2014, le groupe Target aux US a fermé sa chaîne de magasins au Canada et licencié 17000 collaborateurs.

 

Tendance 8 - Volumétrie en hausse : big data et gestion des logs

Toutes les entreprises s'en plaignent sans savoir comment résoudre concrètement le problème. Les fameux log ou journaux qui témoignent des activités de différents systèmes et applications génèrent chaque jour des centaines de millions de logs. Comment détecter dans ce big data les signaux forts des signaux faibles ? Comment établir des process de corrélation pour bâtir des scénarios de contre-attaque ? Comment être sûr que les hommes savent exploiter au mieux ce que les machines leur livre chaque jour en analysant de manière optimale un signal stratégique dans cette « info-obésité » ? En outre, aucune réglementation officielle existe sur le format d'un log. En l'absence de standard, les cyber-enquêteurs doivent construire eux mêmes leur « modèle : adresse IP, heure de démarrage et de fin de session, nom et log de l'utilisateur… Modéliser des cyber-attaques n'est pas aisé d'autant que les attaques de type APT prennent des formes spécifiques et évolutives.

 

Tendance 9 – Cyber-enquête et étude comportementale des utilisateurs

Autre tendance très « tendance » confirmée sur le FIC 2015 (cf Cyberisques NEWS partie abonnés) l'étude comportementale des utilisateurs. Généralement la plupart des solutions actuelles de « traçabilité et analyse comportementale » demandent un auto apprentissage sur 2 ou 3 mois pour analyser et corréler des informations de type : vitesse de frappe au clavier, heure de log, habitude dans l'ouverture des applications, horaires, nombre d'email envoyés avec et sans PJ… L'idée c'est de réaliser une détection de « déviation de la normalité » afin de déceler en interne d'éventuelles complicités avec des attaquants. Des approches spécifiques sont faites sur des comptes à privilège (administrateur, VIP, partenaires privilégiés…) ainsi que sur des fournisseurs : "mainteneurs" et "hébergeurs". Autre point, afin de fournir aux enquêteurs des éléments de preuve, des enregistrements vidéo permettant de « rejouer » telle transaction sont effectués.

 

Tendance 10 - Une directive Européenne fixe un nouveau cadre incontournable en cybersécurité

La directive Européenne sur l'encadrement des données personnelles devrait voir le jour courant 2015. Elle imposera vraisemblablement l'obligation de notification des failles en rapport avec des données à caractère personnel. Le tout « dans un délai assez court ». Ces rapports devront êtres adressés à la CNIL. Coté notifications, pour les entreprises ce sont des lettres dans la langue de la personne concernée qui devront êtres envoyées. En matière de responsabilité, le transfert de risque reste a distinguer du tranferts de responsabilité. En clair, c'est le responsable du traitement qui demeure responsable juridique. Ce règlement qui s'adaptera dans les 29 pays de l'Union Européenne précise que la notion de vie privée doit être intégrée dans la conception du système. D'ou la création obligatoire d'un poste d'officier de la sécurité des données (Data privacy officer). Les clients et utilisateurs pourront bénéficier d'un droit a l'effacement. Comme Google qui ne doit plus référencer certaines infos. D'autres articles de loi précisent les conditions d'archivage. Ainsi, le futur article 28  dans sa version actuelle exige qu'une trace archivée soit tenue à la disposition de l'autorité de contrôle (La CNIL en France). Un autre article (article 26) précise les conditions d'externalisation (habilitation de personnes, pas de sous traitance sans prévenir le client…). Enfin, des sanctions seront imposées aux entreprises « hors cadre » : 5 % de leur chiffre d'affaires ou 100 millions d'euros.

 

Tendance 11 - Mot de passe remis en cause

L'année 2015 consacrera t-elle la mort du mot de passe ? Les solutions biométriques (Lire cyberisques NEWS partie réservée aux abonnés) semblent s'imposer pour authentifier les utilisateurs. Reste une inconnue : comment véhiculer l'information biométrique en s'assurant qu'elle ne soit pas « modifiée » par des attaquants ? En 2014, les vols de mots de passe ont représenté dans le monde une perte moyenne de 3 millions d’euros, par entreprise. Une enquête de décembre 2014 de l'éditeur Ping affirmait que les entreprises qui utilisent des générateurs automatiques de mots de passe ne savent pas que ces systèmes sont vulnérables à plus de 90%.

 

Tendance 12 : Quels outils et « best practices » pour lutter contre les APT ?

En 2015, les attaques ciblées deviennent encore plus sophistiquées.  Souvent appelées APT (Advanced Persistant  Threats), elles sont différentes des cyberattaques traditionnelles. Conçues pour attaquer des victimes spécifiques et pour être silencieuses, les attaques ciblées peuvent être cachées et non détectées dans des réseaux peu sécurisés. Selon Pablo Ramos, directeur du laboratoire de recherche ESET en Amérique Latine : Le vecteur des attaques ciblées profite généralement des attaques d‘ingénierie sociale”, C’est alors que la manipulation psychologique est utilisée pour pousser les victimes potentielles à commettre certaines actions ou à divulguer des informations confidentielles. Les attaques peuvent également prendre l’apparence d’exploits jour-zéro, où elles profitent de vulnérabilités nouvellement découvertes dans un système d’exploitation ou une application particulière.
Pratiquée par des groupes de cyber-attaquants très organisés et performants techniquement le développement d'une attaque APT suit différentes étape : découvrir l'environnement, trouver un point d'ancrage, mettre en place des outils, cibler les données, exfiltrer… Notons aussi qu'un des nombreux maillons faibles de la chaine de cyber-sécurité reste le collaborateur « indélicat ». Une majorité de cyber-attaques réussissent lorsqu'un collaborateur « travaille » comme complice des cyber-attaquants.

Jean Philippe Bichard 

(journaliste Cyberisques.com, "IT for Business")

 

Direct sur Sud Radio: on parlait cybersécurité : http://bit.ly/1L5cJJ7

Guillaume Tissier / Jean Philippe Bichard 

 

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

@JPBICHARD

 

Cyber War Room  (marque déposée)

 

BONUS:

https://www.forum-fic.com/2015/

 http://www.cyberisques.com/mots-cles-24/398-panorama-2015-du-clusif-l-expertise-des-attaquants-progresse

http://www.itforbusiness.fr/leaders/opinions/item/190-vers-une-cyber-securite-raisonnee-par-guillaume-tissier-directeur-general-ceis-co-organisateur-du-fic

 

 

 

Risques Cyber en forte augmentation pour les entreprise en 2015 selon le baromètre Allianz (GB)

 

Allianz Risk Barometer 2015: Businesses Exposed to Increasing Number of Disruptive Scenarios

 

  • Business interruption & supply chain, natural catastrophes, fire & explosion top risks for U.S. and global companies in 2015. Cyber risks rank in top five for the first time.

  • Businesses least prepared for cyber risks. Loss of reputation and business interruption main cause of loss after IT security incidents. ‘Think tank’ needed.

  • Long term, companies face dual challenge managing impact of climate

 

Businesses face new challenges from a rise of disruptive scenarios in an increasingly interconnected corporate environment, according to the fourth Allianz Risk Barometer 2015. Traditional industrial risks such as business interruption and supply chain risk (46% of responses), natural catastrophes (30%), and fire and explosion (27%) continue to concern risk experts, heading this year’s rankings. Cyber (17%) and political risks (11%) are the most significant movers. The survey was conducted among more than 500 risk managers and corporate insurance experts from both Allianz and global businesses in 47 countries.

The growing interdependency of many industries and processes means businesses are now exposed to an increasing number of disruptive scenarios. Negative effects can quickly multiply. One risk can lead to several others. Natural catastrophes or cyber attacks can cause business interruption not only for one company, but to whole sectors or critical infrastructure,” says Chris Fischer Hirs, CEO of Allianz Global Corporate & Specialty SE (AGCS), the dedicated insurer for corporate and special risks of Allianz SE. “Risk management must reflect this new reality. Identifying the impact of any interconnectivity early can mitigate or help prevent losses occurring. It is also essential to foster cross-functional collaboration within companies to tackle modern risks.”

 

Business risk rankings in North America mirror global risks with business interruption and supply chain risk the top concern for 55% of the responses. Cyber risk, which includes cyber crime, IT failures, espionage and data breaches, was cited as a major business risk by 25% of participants, up from 11% in 2014.

 

Budget constraints and siloed knowledge impair cyber protection The risk of cyber crime and IT failures continues its rapid rise in the Allianz Risk Barometer, moving into the top five business risks globally for the first time (in 2014, cyber risks ranked 8th and in 2013 just 15th). In the United States, Germany, and the United Kingdom cyber risks are now among the top three corporate risks. Loss of reputation (61%) and business interruption (49%) are regarded as the main causes of economic loss following an incident.

Although awareness of cyber risk is increasing, many companies are still underestimating its impact, according to 73% of responses. Budgetary constraints are another reason why companies are not better prepared to combat cyber risks. “Cyber risks are very complex. Different stakeholders such as IT security architects and business continuity managers need to share their knowledge to identify and evaluate threat scenarios,” explains Jens Krickhahn, Practice Leader Cyber & Fidelity at AGCS Financial Lines, Germany & Central Europe. “Previously siloed knowledge needs to be incorporated in one’ think tank’ which can look at risks holistically. The ‘human factor’ should also not be underestimated, as employees can cause IT security incidents, inadvertently and deliberately.”

CYBERISQUES-NEWS-Allantz-2015-3

 

Political risks on the rise

Political/social upheaval is a much bigger concern for businesses in the 2015 Allianz Risk Barometer, rising nine positions to ninth overall compared with last year’s survey. It is the second top cause of supply chain disruption (53%) after natural catastrophes. Another source of political tension in 2015 could come from lower oil prices, which may strain the budgets of countries heavily dependent on oil revenues. Combating political risks and terrorism are identified as top business risk management challenges over the next five years.

 

More severe business interruption implications

For the third year in succession, business interruption (BI) and supply chain risk is the top peril in the Risk Barometer with almost half (46%) of the responses rating this as one of the three most important risks for companies, up 3% year-on-year. Fire/explosion (43%) and natural catastrophes (41%) are the major causes of BI companies fear most. The impact of the subsequent disruption potentially affecting a company, its suppliers and customers often outweighs the physical damage itself. At $1.36m, the average business interruption insurance claim is already 32% higher than the average direct property damage claim ($1.03m).

Businesses spend a lot of time assessing direct damage and looking at their own BI impact but more work needs to be done analyzing the risks associated with suppliers and customers,” says Paul Carter, Global Head of Risk Consulting at AGCS. Supply chain risk management remains a gap in many multinational companies’ risk management programs. Many businesses still do not have alternate suppliers.

CYBERISQUES-NEWS-Alliants-2015-1

...

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire887 Euros* au lieu de 1199,00Euros

 

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX:synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale,sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels,solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique etréglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

Cyber Risks & Entreprises:

 

Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne, a déclaré le 30 octobre 2014: «La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

 

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

 

Challenge Cyber Risks & "Business impact" trois cas révélateurs en 2014:  SONY, MICHELIN, JPMORGAN CHASE

 

24/11:2014Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony.L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque.

 

04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.(JPMorgan’s shares  JPM 2.15% have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

 

Pour toutes les entreprises victimes de ces cyber-attaques, lepréjudices financiers s'avèrent considérables en coûts directs ou indirects:atteinte à l'image de l'entreprise, dysfonctionnementsdes Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaireset clients, pertes et vols d'informations stratégiques,avantages donnés aux concurrents...

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour lesdirigeants et membres des COMEX

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire887 Euros* au lieu de 1199,00Euros

 

http://www.cyberisques.com/fr/subscribe

 

 

...

Regional trends: Talent shortage fears increasing

Although the top three risks BI /supply chain, natural catastrophes and fire and explosion are identical across the Europe, Middle East and Africa (EMEA), Americas and Asia Pacific regions for the third successive year, there are regional differences. Cyber risk is a big mover in EMEA’s and Americas’ top 10 risks, but it does not appear in the top 10 Asia Pacific risks, suggesting many companies are not grasping the full impact of the potential risks involved. A combination of shortage of skilled talent, together with an aging workforce is deemed an increasing concern and a new entry in the top 10 risks in the U.S.

Industry trends: Competition worries shipping, regulation concerns financial services

The impact of natural catastrophes (42%) such as earthquakes remains the top risk for the Engineering and Construction sector. BI (68%) continues to be the top risk with manufacturers even more concerned than 12 months ago (60%), driven by the potential for large claims in certain sectors such as semiconductor or automotive is increasing. Changes in legislation and regulation (33%) remain the top concern for financial services, reflecting increasing supervisory intervention around the globe. The shipping sector is concerned about intensified competition (29%), while theft (47%) worries the transportation industry.

 

BONUS: 

http://www.agcs.allianz.com/

http://cyberisques.com/fr/mots-cles-15/391-extrait-analyse-des-cyber-menaces-reelles-pour-les-entreprises-en-2015

 

Commander les dossiers d'études

DOSSIERS Cyberisques News Renseignements:  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  

Abonnement

IT Business Review N° 4

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

84 % des incidents de cybersécurité liés au facteur humain

84 % des incidents de sécurité informatique sont liés au facteur humain,

alors que seulement la moitié des budgets est consacrée

à ce type de menaces

 

- Résultats de l’étude menée lors de la RSA Conference

et présentée lors du Gartner Identity & Access Management Summit 2014 par BalaBit

L’étude eCSI de BalaBit souligne le fait qu’il est désormais nécessaire d’ajuster le budget sécurité

à hauteur des menaces liées au facteur humain.

Source Editeur/ Paris, le 02 avril 2014 - BalaBitITSecurity (www.balabit.com), acteur majeur sur le marché des solutions dédiées à la gestion de logs et à la surveillance des comptes à privilèges, a présenté les résultats de son dernier rapport eCSI lors du Gartner Identity & Access Management Summit 2014. L’étude a été menée auprès de 300 participants lors de la récente RSA® Conference à San Francisco. Les résultats de cette enquête montrent que 84 % des incidents de sécurité informatique sont liés au facteur humain (erreur humaine, attaques sophistiquées internes ou externes, etc.). En terme de budget, l’étude souligne également que les dépenses sont assez équilibrées entre : les 55 % du budget consacrés à la gestion du risque humain et les 45 % consacrés à l’infrastructure.

Ainsi, les entreprises concentrent toujours leurs ressources dédiées à la sécurité informatique à la sécurité des infrastructures et aux facteurs de risque externe. Les personnes interrogées ont classé les principaux facteurs de risque, en fonction du budget consacré :

  • 30 % privilégient la menace externe, au-dessus de tous les autres risques

  • 28 % ont déclaré que les dysfonctionnements du système sont parmi les risques les plus importants

  • 17 % ont cité les attaques automatiques (injection SQL, DDoS, etc.)

Alors que la protection dédiée aux erreurs humaines et aux hackers internes est une priorité budgétaire absolue pour seulement une petite minorité des personnes interrogées : respectivement 13 % et 12 %.

Pourtant, en terme d’évaluation du coût potentiel de la menace, les résultats sont différents :

  • 51 % des personnes interrogées ont déclaré que les erreurs humaines provoquent la plus grande perte financière

  • Seulement 18 % pour la menace externe

  • 15 % pour la menace interne

  • 9 % pour les dysfonctionnements du système et 7 % pour les attaques automatiques

« La plus grande incohérence que notre étude ai permis de révéler est que les professionnels de l’IT savent clairement que les erreurs humaines causent 51 % de leurs pertes alors qu’en terme de budget, seulement 13 % d’entre eux placent le risque lié au facteur humain en haut de la liste et 40 % des personnes interrogées placent les erreurs humaines comme la menace la moins importante. Si les entreprises souhaitent dépenser leur budget de sécurité informatique de manière logique, il est temps de palier à cette contradiction », commente Zoltán Györkő, CEO de BalaBit IT Security.

BalaBit a également demandé aux participants de la RSA Conference d’estimer, jusqu’à combien le niveau de la sécurité informatique de leur entreprise pouvait être réduit pour satisfaire les besoins des utilisateurs à privilèges : 83 % des personnes interrogées ont répondu que leur niveau de sécurité était réduit (19 % fortement, notablement à 32 % et modérément à 32 %), pour satisfaire les utilisateurs privilégiés.

« En raison de leur manque de flexibilité, les solutions de contrôle d’accès ne sont souvent pas en mesure de prévenir les incidents mais empêchent les utilisateurs de travailler efficacement. La surveillance peut être un outil efficace contre les risques de sécurité liés au facteur humain, que la source soit interne ou externe. Les risques liés au facteur humain peuvent être considérablement diminués par la détection et le blocage des activités suspicieuses des utilisateurs. Les alertes et la surveillance en temps réel sont inévitables pour les comptes à privilèges, qui disposent de droits d’accès, de modification ou de suppression des informations sensibles de l’entreprise. Il n’est pas étonnant que leurs profils soient la cible principale des hackers. Un taux plus élevé de détection est plus dissuasif que le contrôle passif et plus favorable aux entreprises », ajoute Zoltán Györkő.

 

BONUS:

www.balabit.com

 http://www.crn.com/slide-shows/security/300072593/verizon-data-breach-report-10-most-common-security-incidents-of-the-past-10-years.htm

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires