MobileIron: "La présence d'un seul terminal corrompu qui n'est pas détecté constitue une intrusion"

Selon MobileIron plus de 50 % des entreprises possèdent au moins un terminal mobile non conforme. Le nombre d'entreprises comptant des terminaux piratés a augmenté de 42 % au cours des 90 derniers jours

 

Menaces-Mobiles-2015-2016-Cyberisques-NEWS



Le MobileIron Security Labs publie le premier rapport sur les risques et la sécurité mobiles

(Source PR corporate) Paris, le 23 février 2016 -- MobileIron Inc. (NASDAQ : MOBL), leader en sécurité mobile d'entreprise, a lancé aujourd'hui sa nouvelle division de recherche, le MobileIron Security Labs (MISL), et la première publication du MISL : le Rapport sur les risques et la sécurité mobiles du 4ème trimestre 2015. Le Rapport sur les risques et la sécurité mobiles du 4ème trimestre 2015 analyse un ensemble distinct de menaces et de risques, parmi lesquels les risques de défauts de conformité, de terminaux corrompus, et de perte de données, qui ne sont pas traités dans d'autres rapports sur la sécurité. Le Rapport sur les risques et la sécurité mobiles comprend plusieurs recommandations relatives au renforcement des déploiements mobiles d'entreprise.

« Les menaces mobiles, à la fois internes et externes, sont en hausse, et la solidité de la chaîne de sécurité des entreprises se réduit à celle de son maillon le plus faible, » a déclaré Michael Raggo, directeur du MobileIron Security Labs. « La présence d'un seul terminal corrompu est susceptible d'introduire un logiciel malveillant sur le réseau d'entreprise, ou de permettre le vol de données sensibles de l'entreprise qui sont protégées par le pare-feu. »

Plus de 50 % des entreprises possèdent au moins un terminal non conforme

Un terminal mobile peut se révéler non conforme pour plusieurs raisons, notamment si un utilisateur désactive la protection par numéro d'identification personnel (PIN), si le terminal a été perdu, si les politiques d'entreprise ne sont pas à jour, etc. Les terminaux non conformes offrent un périmètre d'attaque plus large aux logiciels malveillants, à l'exploitation et au vol de données.

« Le véritable risque réside dans le fait que les entreprises vont sous-estimer la gravité du problème, » a poursuivi Michael Raggo. « La présence d'un seul terminal corrompu qui n'est pas détecté constitue une intrusion. Que la société perde des millions de dossiers ou un seul dossier, cela reste une intrusion. Pour toutes les entreprises, et notamment celles évoluant dans des secteurs hautement réglementés, il s'agit d'un problème considérable. »

Augmentation de 42 % du nombre de terminaux corrompus

Tout terminal jailbreaké ou rooté est considéré comme corrompu, et l'incidence des terminaux corrompus a significativement augmenté au cours du trimestre. Au 4ème trimestre, une entreprise sur dix possédait au moins un terminal corrompu. Aspect intéressant, au cours du trimestre, le nombre d'entreprises possédant des terminaux corrompus a augmenté de 42 %. Pendant ce temps, les pirates malveillants recourent à des outils divers afin de compliquer l'identification des terminaux corrompus. Le MISL a mis en évidence divers outils de jailbreak et autres outils d'anti-détection qui dissimulent le fait qu'un terminal a été jailbreaké, et qui créent ainsi une fausse impression de sécurité si cela n'est pas détecté.

 

Chiffres-2016-Mobiles-Corporate-Cyberisques-NEWS

 

Parmi la multitude de logiciels malveillants, 96 % visent Android. En revanche, comme nous l'avons indiqué précédemment dans ce rapport, l'année 2015 a été marquée par une hausse significative des variantes malveillantes d'iOS. Plus inquiétant encore, certains programmes malveillants pour iOS n'ont plus besoin que le terminal soit jailbreaké au préalable. Par exemple, le malware XcodeGhost a exploité l'environnement de développement logiciel (SDK) Xcode d'Apple dont se servent les développeurs pour créer des applications iOS et a contourné les processus de vérification de sécurité de l'App Store. De nombreux utilisateurs se sont alors retrouvés à télécharger sans le savoir des applications malveillantes sur l'App Store surveillé d'Apple.

 

Les dix principales applications grand public que les entreprises ajoutent sur liste noire sont les suivantes :

1. Dropbox (version grand public)

2. Angry Birds

3. Facebook

4. Microsoft OneDrive (version grand public)

5. Google Drive (version grand public)

6. Box (version grand public)

7. Whatsapp

8. Twitter

9. Skype

10. SugarSync (version grand public)

 

 

FireEye a identifié plus de 4 000 applications infectées par XcodeGhost dans l'App Store4. Si Android reste le système touché par le plus grand nombre de logiciels malveillants, il est devenu évident en 2015 qu'iOS n'est plus à l'abri des menaces.

http://www.bbc.com/news/technology-35070853 4 https://www.fireeye.com/blog/executive-perspective/2015/09/protecting_our_custo.html

 

Le Rapport sur les risques et la sécurité mobiles du 4ème trimestre 2015 se base sur des données d'utilisation cumulées et anonymes, qui ont été partagées par des clients et compilées entre le 1er octobre 2015 et le 31 décembre 2015.

 

 

BONUS: 

https://www.mobileiron.com/fr/quarterly-security-reports/lanalyse-des-risques-et-de-la-s%C3%A9curit%C3%A9-sur-les-appareils-mobiles-au

http://www.cyberisques.com/mots-cles-7/477-la-securite-en-mobilite-en-2016-selon-checkpoint-et-mobileiron

Recommandations:

Appliquez les règles de conformité et mettez en quarantaine les terminaux qui ne répondent plus aux normes. Un terminal non conforme étant une cible de choix pour une attaque malveillante à l'encontre de l'entreprise, nous recommandons fortement l'utilisation systématique des règles strictes de conformité proposées avec les solutions EMM afin de mettre en quarantaine les terminaux à risque. Une solution EMM peut détecter si un utilisateur a désactivé son code PIN, a un terminal piraté, applique une règle obsolète et bien plus encore.

Les fonctions de mise en quarantaine peuvent servir à bloquer l'accès au réseau et/ou à supprimer de façon sélective les données d'entreprise stockées sur le terminal. Elles contribuent à limiter la perte de données et à respecter les exigences réglementaires en matière de conformité, ce qui évite à l'entreprise de faire les gros titres à la rubrique « Victimes de cybercriminalité ».

Cessez d'ajouter les applications de stockage dans le cloud personnel à des listes noires et privilégiez plutôt les fonctionnalités de gestion ou de conteneurisation des applications fournies avec les solutions EMM pour permettre à vos employés de stocker leurs données dans un cloud d'entreprise sécurisé.

L'approche EMM, qui consiste à éviter la dissémination des données d'entreprise plutôt que de bloquer un nombre toujours plus important d'applications cloud, offre l'avantage non négligeable de séparer les données d’entreprise des données personnelles. Ajoutez un service de réputation des applications ou de prévention des menaces sur les terminaux mobiles qui s'intègre à votre solution EMM. Ces services détectent les applications dangereuses, les logiciels malveillants, les risques liés aux applications, les attaques réseau et bien plus encore. Ils s'appuient sur la solution EMM pour prendre des mesures et mettre en quarantaine un terminal si une menace est détectée. Appliquez les correctifs sur vos terminaux gérés. Il vous suffit de passer par le biais de la console EMM pour mettre en œuvre une version minimale du système d'exploitation.

Si cette opération est simple sous iOS, elle peut s'avérer plus complexe avec Android en raison de la fragmentation expliquée plus haut. En revanche, les services de réputation des applications ou de prévention des menaces précédemment mentionnés peuvent identifier les risques liés aux terminaux Android en mettant des failles connues en corrélation avec le système d'exploitation. Ils peuvent ensuite informer la solution EMM qu'un terminal vulnérable a été détecté afin de le mettre en quarantaine.

 

Nouvelles cyber-attaques "géostratégiques" selon Trend Micro

Trend Micro dévoile une série de cyber-attaques ciblant l’Egypte et Israël

 

L’équipe de chercheur FTR (Forward Threat Research) de Trend Micro, en collaboration avec l’US Air Force, a découvert une série d’attaques contre des cibles israéliennes et égyptiennes, dont elle dévoilent les détails dans un rapport intitulé « Operation Arid Viper: Bypassing the Iron Dome » (Opération Arid Viper : Contourner le Dôme de Fer). Ces attaques utilisent des techniques inhabituelles en vue de mener à la fois des attaques ciblées et des cybercrimes. D’après les experts de Trend Micro, leurs auteurs se classent parmi les « Cyber-Extrémistes ».

L’enquête de Trend Micro selon le service de Communication de l'éditeur révéle que les attaquants semblent être situés à Gaza, en Egypte et au Maroc.

Les attaques contre Israël ont ciblé des organisations militaires, industrielles et universitaires en vue de subtiliser des documents sensibles destinés à être utiliser pour de futures cyber-attaques. Le malware utilisé fonctionne de façon atypique : il s’appuie sur l’apparition soudaine d’images pornographiques sur l’ordinateur de l’utilisateur pour créer une diversion. Des attaques contre l’Egypte, menées depuis le même serveur C&C (Command & Control) situé en Allemagne, ont par ailleurs compromis des fichiers images pour de potentiels futurs chantages.

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

http://www.cyberisques.com/fr/subscribe

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

 

 

 

 

 

« Alors que les attaques informatique qui ont suivi les dramatiques attentats de janvier 2015 restaient d'un niveau technique relativement limité, il apparaît ici que le niveau de sophistication est comparable aux attaques ciblées vues précédemment dans des opérations de grandes envergures comme Pawn Storm », ajoute Loïc Guézo, Evangéliste Sécurité de l’information pour l’Europe du Sud. « Arid Viper a en effet été menée sur une durée longue (depuis mi-2013), et met en œuvre des techniques plus avancées : furtivité et évolution du mode opératoire, mise en place d'infrastructure de contrôle, etc. »

 

 

Pawn Storm

 

 

 

 

« Nous avons observé un pic d’activités « Cyber-Extrémistes » de ce type ces derniers mois, notamment en Russie et en Corée du Nord, mais ces nouvelles attaques révèlent un niveau de sophistication et d’agressivité encore plus élevé », commente Tom Kellermann, Chief Cybersecurity Officer de Trend Micro. « Le paysage géopolitique comprend désormais des groupes de hackers agissant pour des entités gouvernementales ou des organisations terroristes, ou encore utilisant leurs compétences pour défendre leur cause. Les organisations doivent prendre conscience que leurs infrastructures peuvent être attaquées à d’autres fins que le vol d’informations financières ou personnelles. »

 

Un constat récemment illustré par l’attaque de l’Armée Electronique Syrienne contre le journal Le Monde, fin janvier 2015.

 

 

BONUS: 

 

FranceCultureHacker

 

http://www.digar.ee/arhiiv/et/raamatud/123416

 

 

http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-arid-viper-bypassing-the-iron-dome et http://blog.trendmicro.com/trendlabs-security-intelligence/arid-viper-gaza-vs-israel-cyber-conflict/

 

http://ieeexplore.ieee.org/xpl/articleDetails.jsp?

arnumber=6916392&sortType%3Dasc_p_Sequence%26filter%3DAND%28p_IS_Number%3A6916383%29

 

 

 

Tracabilité: Darktrace promet plus de "cyber intelligence"

Darktrace arrive en France avec une solution inédite de traçabilité « Enterprise immune system »

 "We need an intelligence-based approach to spot threats in busy environments, allowing us to protect our most important data". Sir Jonathan Evans, former Director General, MI5. Tout le monde ne peut pas citer le MI5 Security Service, service de renseignement britannique dans une brochure commerciale et sur un site corporate. Darktrace si. Et Darktrace s'annonce sur le marché français.

 

Cet éditeur de logiciel d'origine anglaise – headquarter à Cambridge- propose une solution intelligente en temps réel de « monitoring » du trafic d'un parc de machines en réseau avec étude comportementale des humains qui les utilisent ! Bref une gestion complète en mode « cyber intelligence ». Une gestion « de la trame aux applis » précise Emmanuel Meriot, DG France et Espagne de Darktrace ; La traçabilité donc mais avec trois points clés et différenciateurs selon Julien Fistre, ingénieur chez Darktrace : « Une détection en amont des comportement anormaux suite a l'observation du trafic, des ouverture de ports et de connexion d'users, un auto-apprentissage basé sur des algorithmes inspirés des recherches du mathématicien Bayes (1) ». Il s'agit d'une approche prédictive et une « Protection immunitaire complète comme « un enfant bulle » soutient la directrice marketing Emily Orton. Belle analogie mais qui apporte réellement quelle nouveauté en matière de détection des cyber-risques sur un marché de la « traçabilité » déjà fortement encombré ?

« Nous détectons ce que d'autres ne distinguent pas via un moteur basé sur le raisonnement baysien qui crée un modèle comportemental inédit » affirment les promoteur de Darktrace en France. Exemple : la corrélation de plusieurs paramètres génèrent des probabilité des risques qui indiquent en temps réel sur des écrans en mode 3D des fuites de trafic à différentes échelles. Depuis une vision globale du réseau mondial de l'entreprise jusqu'à l'adresse IP de la machine ou du « device » (mobile) qui « perd » ses données. En amont, la détection du caractère anormal de certains paramètres (connexion intempestive, trafic atypique, comportement de l'utilisateur étrange…) permet selon les concepteurs du modèle de prévenir -au sens anticiper- bon nombre de cyber-menaces. Combien ? Mystère. Toutes ? Re-mystère.

Nous n'avons pas pu assister a une démonstration. Les clients français en « test » ne sont pas « encore » désireux d'ouvrir leurs portes. « Trop tôt » selon le DG France.

Restent les interrogations : comment détecter les codes « disimulés » qui organisent des fuites de données en les camouflant dans des flux normaux par exemple ? Comment peut agir le système...

...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

BONUS :

1- http://www.college-de-france.fr/site/stanislas-dehaene/course-2012-01-10-09h30.htm

2 - http://www.darktrace.fr/

Cout-eCrime-Cyberisques.com-Oct-2014

 

 

Jean-Laurent Santoni: Cyber assurance et passage à l’acte de souscription

 

Cyber assurance et passage à l’acte de souscription

 

Dans les allées des 23èmes Rencontres de l’AMRAE qui vient d’avoir lieu à Cannes la semaine dernière, le risque cyber demeure l’un des risques les plus préoccupants pour les risk-managers. Pourtant, lorsque l’on échange avec les assureurs qui proposent la couverture de ce risque, on s’aperçoit qu’il y a une réelle difficulté à transformer la préoccupation en acte de souscription de garantie.

La raison est à mon sens liée aux acteurs qui sont impliqués dans la décision de souscription d’une cyber assurance. En effet, dans le « passage à l’acte de souscription », il faut convaincre trois catégories d’acteurs aux attentes différentes : la DG, le RSSI et le responsable assurance.

Les Directions Générales ont besoin de mesurer l’intérêt de l’assurance au regard de l’exposition de l’entreprise (chance de gagner versus risque de perdre) ou de la collectivité publique (continuité de service public et indemnisation des victimes). Elles ont besoin d’une traduction managériale de l’assurance comme moyen de financement du risque. Les affaires récentes (SONY, TARGET, HOME DEPOT) qui ont abouti à la révocation des dirigeants qui n’avaient pas pris la mesure du risque les font également réfléchir. Ils demandent de plus en plus à être assuré pour leur propre responsabilité de mandataire social.

Pour le RSSI, la dimension contractuelle, l’assurance et le financement du risque ne sont pas son environnement habituel. Il aura besoin aussi besoin de mesurer l’intérêt de l’assurance, mais davantage dans une perspective opérationnelle : quels événements sont couverts, comment déclencher l’assurance, sur quelle indemnisation compter, en un mot comment çà marche.

Le Responsable assurance est en règle générale en charge du budget assurance qu’il doit allouer en fonction des expositions de risques qu’il recueillent au sein de l’entreprise ou de la collectivité, au regard des offres du marché. L’assurance étant un produit/service un peu particulier, puisque l’on achète la promesse d’une indemnisation si les conditions de garantie sont réunies, le Responsable Assurance a souvent une vue budgétaire de la souscription d’une cyber assurance.

En un mot on dira pour la DG « à quoi ça sert », pour le RSSI « comment çà marche » et pour l’acheteur d’assurance « combien çà coûte » !

Et pour le pratiquer au quotidien, force est de constater qu’il faut maîtriser les éléments de langage de ces trois acteurs, faute de quoi il ne se passera rien.

Jean Laurent Santoni*

Clever-Courtage

 

 

BONUS:

http://www.clevercourtage.com/

 Clever Courtage est dirigée par Jean-Laurent Santoni. De formation Docteur en Droit, IEJ, Jean Laurent Santoni a été conseil juridique et fiscal en 1980, puis Directeur Général d’un cabinet de courtage d’assurances en 1985 où il a développé les méthodologies d’analyse de risques et l’assurance des risques des systèmes d’information, participant à l’élaboration de la méthode MARION et à la création du CLUSIF.

 

IDEES: Jean Laurent Santoni / Clever Courtage

Retour sur l’atelier « Assurance Cyber – Etat du marché (A9) » FIC 2014

FIC2014

 

 

 

Retour sur l’atelier « Assurance Cyber – Etat du marché (A9) » dans le cadre du FIC 2014 le 21 janvier 

Conduit par Jean Philippe BICHARD, Rédacteur en chef de Cyber Risques News (http://www.cyberisques.com/ ) cet Atelier réunissait également Nadia COTE, Directrice Générale de l’assureur ACE Group, Jérôme GOSSE, Head of PI/D&O de l’assureur Zurich et Sébastien HEON, Directeur des relations institutionnelles de Cassidian.

Jean Philippe BICHARD a proposé trois pistes de réflexion où chacun des intervenants s’est exprimé en fonction de ses sensibilités.

Lire la suite...

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires