SOPHOS: Nous pouvons déjà interrompre l’exécution d’un processus à distance par l’intermédiaire des informations transmises par le Security HearbeatTM toutes les 15 secondes

Entretien Michel Lanaspeze, Chef Marketing Europe de l'Ouest Sophos:

 

 

"Il faut maintenant aller plus loin, pour faire une corrélation en temps réel des événements au niveaux des systèmes, des réseaux et des applications, afin d’automatiser les réponses"

 

 

hearbeat-0

 

 

9 novembre 2015

Vous annoncez aujourd'hui Security HearbeatTM, une solution de sécurité « synchronisée » entre postes de travail « Endpoint » et composants d'infrastructures réseaux de type firewall XG series en environnement homogène Sophos. Dans quelles perspectives positionnez-vous cette offre ?

Les solutions de protection se sont renforcées ces dernières années séparément à chaque niveau : systèmes, réseaux et applications. Cependant,  les cybercriminels sont passés maîtres dans l’art d’associer les différents vecteurs et angles d’attaques possibles pour arriver à passer sous le radar de dispositifs de filtrage isolé. Une première réponse a consisté à effectuer des corrélations rétrospectives à l’aide d’outils tels que les SIEMs. Il faut maintenant aller plus loin, pour faire une corrélation en temps réel des événements au niveaux des systèmes, des réseaux et des applications, afin d’automatiser les réponses, en isolant par exemple les systèmes compromis, en bloquant les applications malveillantes ou en restreignant l’accès aux données sensibles. Notre annonce d'aujourd'hui sur Security HearbeatTM inaugure cette nouvelle stratégie de défense très prometteuse.

 

Heartbeat-1

 

Il ne s'agit pas d'un SIEM, mais d'une sorte de « pré SIEM » ou « micro SIEM » pour accélérer la corrélation d'informations liées à une cartographie des risques mise à jour toutes les quinze secondes. On reste toutefois dans un environnement homogène uniquement entre composants Sophos ?

Oui, notre offre demeure réservée à nos clients avec nos nouveaux firewalls XG series et la protection Endpoint de Sophos. L'enjeu consiste à réussir le développement d'outils performants, intelligents et simples qui permettent d’exploiter en profondeur les informations échangées entre protections Endpoint et réseaux, en allant de la détection de menaces avancées jusqu’à la remédiation automatique. D'où la synchronisation entre des solutions Sophos, ce qui nous permet d’aller très loin dans le dialogue et l’automatisation, le tout étant supérieur à la somme. Avec Sophos Security HearbeatTM, nous synchronisons les informations et les actions de sécurité entre les niveaux Endpoint, firewall Next-Gen ou appliances UTM et très bientôt avec notre solution de chiffrement Sophos Safeguard. Ce partage d'informations s'effectue en temps réel en visant la protection contre les menaces les plus sophistiquées (APT), avec une vérification de l’état des systèmes toutes les 15 secondes. Ceci permet de réduire considérablement l'impact d'une attaque en augmentant la vitesse de détection. En pratique nous pouvons détecter et isoler immédiatement un système qui nous semble compromis et lancer des actions de remédiation sur ce système, sur la base d’une corrélation d’événements observés aux niveaux Endpoint et réseaux. Idem pour les tentatives d'attaques sur nos propres solutions anti virales. Beaucoup de codes malveillants cherchent à contourner ou désactiver les anti-virus. En contrôlant l’état des systèmes Endpoint toutes les 15 secondes, ces tentatives seront immédiatement détectées et contrées.

 

hearbeat-2

 

En bloquant les connexions au niveau des firewalls, vous pouvez agir sur un ensemble de postes Endpoint qui se trouvent ainsi protégés de la menace, mais pouvez-vous aussi intervenir, toujours à distance, directement sur le postes Endpoint qui apparaît en danger ?

Oui c'est réalisable. Nous pouvons déjà interrompre l’exécution d’un processus à distance par l’intermédiaire des informations transmises par le Security HearbeatTM, voire dans une version prochaine suspendre temporairement l'usage de clés de chiffrement sur le système compromis. Ceci rend les opérations des attaquants plus compliquées et pourra mettre les données sensibles hors de leur portée. Mais je souligne qu'une fois encore nous ne sommes pas dans la logique d'un SIEM, mais d'une sorte de « pré SIEM » en termes de remontée d'informations et de corrélations entre nos composants avec des données sur le contexte de l'apparition de la menace, le nom de l'utilisateur ciblé, les processus concernés... Lorsque la phase d'envoi des données sur le niveau de sécurité de la machine menacée s'achève, le poste Endpoint via Security HeartbeatTM renvoie un nouveau diagnostic pour qu'il soit autorisé à « retravailler » normalement.

hearbeat-3

 

 

Ce type d'approche vise particulièrement les entreprises de taille SMB dont les équipes sécurité demeurent réduites. Mais il reste un gros problème : plus de 80% des attaques en cybersécurité s'effectuent au niveau applicatif. Votre approche gère les composants réseaux et les postes de travail, mais que proposez-vous pour les applications et les données sensibles dans le cadre de Security HearbeatTM ?

Pour la cible SMB, oui absolument c'est une de nos priorités bien que notre solution s'adapte à des configurations de grands comptes. Pour les entreprises de taille intermédiaire déjà clientes chez Sophos, notre offre peut les aider à renforcer leur sécurité et donc leur productivité sans pour autant externaliser une partie de leur sécurité. En outre notre solution intègre une fonction d'évaluation des risques liés aux applications, ainsi que celui des utilisateurs via la fonction « User Threat Quotient » basée entre autre sur l'observation de leur comportement. Quant aux données sensibles, l’intégration prochaine du chiffrement dans le périmètre du Security HeartbeatTM permettra d’améliorer encore leur protection.

Propos recueillis par Jean Philippe Bichard

 

BONUS: 

https://www.sophos.com/fr-fr/lp/security-heartbeat.aspx?cmp=701j0000001YAKMAA4

 

https://www.sophos.com/en-us/company/webinars/thanks.aspx?o=b560360f-6f74-44d7-8bf9-7566a4aed0fb&originitem=b560360f-6f74-44d7-8bf9-7566a4aed0fb

Christian Christiansen, vice-président des produits sécurité chez IDC « Aucun autre éditeur n’est proche de fournir ce type de communication synchrone et intégrée entre sécurité réseaux et Endpoint. Pour les entreprises de taille intermédiaire, les économies en termes de temps et de ressources sont extrêmement attractives, dans la mesure où leur capacité à anticiper des menaces toujours plus sophistiquées avec les produits actuels est un défi qui ne fait que s’accroître».

 

 

 

Sécurité et mobilité en 2016 selon CheckPoint

 

CheckPoint, un pas de plus vers la sécurité mobile

 

 

Comment un acteur majeur tel que CheckPoint envisage la sécurité en mobilité ? Éléments de réponse avec un retour sur Checkpoint Mobile Threat Prevention, annoncée en août dernier. Cette offre constitue un « mixte » pour environnement hétérogène à base de services cloud type MDM et de filtrages anti-malware.  

 

On savait CheckPoint très intéressé par la cybersécurité BtoB et BtoC. Depuis son association avec Airwatch via la Mobile Security Alliance d’AirWatch, CheckPoint accentue sa présence sur le marché de la Mobilité sécurisée. L'éditeur revient sur son annonce réalisée début août 2015, CheckPoint Mobile Threat Prevention, une solution spécifique pour limiter les impacts des cyber-menaces sur les devices mobiles. A première vue, le point fort de cette offre de services via un « cloud CheckPoint » installé chez le client ou chez l'éditeur, c'est la couverture hétérogène des OS devices : Android et IOS. Une première pierre jetée dans le jardin de la solution concurrente de Samsung avec Knox uniquement disponible sur les environnements Android.

 

Marché-Mobilité-1

  

Basée sur un noyau central nommé « Behavorial Risk Engine » facturée 5 euros par mois et par utilisateur, l'offre Checkpoint Mobile Threat Prevention traite les cyber-menaces sur mobiles selon trois niveaux : applications, réseaux et configuration du device.

L'idée selon CheckPoint, c'est d'offrir aux grandes organisations comme aux Telco ou autres acteurs en services de sécurité, un service complet pour sécuriser les flottes de mobiles hétérogènes de leurs clients. Ces fonctionnalités sont basées sur une offre « container » afin de trier les données de l'entreprise de celles, privées, de l'utilisateur, un chiffrement systématique des documents et des contrôles au niveau réseau, devices et applications.

« Personne n'est immunisé contre les cyber menaces » rappelle Yves Rochereau, nouveau DG de CheckPoint France « tout simplement parce que nous évoluons dans un environnement global ou tout est lié ». Or coté cybersécurité, moins de 1 % des entreprises dans le monde disposent de contre-feux efficaces contre les attaques « 0Day ». Cette disproportion évidente entre montée des cyber-menaces en mobilité et absence de solutions de filtrage efficaces s'accentue lorsqu on évoque les problématiques mobiles.

« Les solutions anti-virales pour mobiles demeurent bloquées par les capacités techniques des smartphones d'une part et le niveau de complexité des menaces APT de l'autre » explique t-on chez à Neuilly sur Seine, au nouveau siège France de CheckPoint ; Une deuxième pierre jetée cette fois dans le jardin des éditeurs de solutions AV.

 

CheckPoint-1-OCT-2015

 

                                      Source CheckPoint 2015

« Un projet de mobilité généralement conduit par les métiers  en mode MDM, c'est trois semaine de travail » rappelle Thierry Karsenti Vice-President, Europe Engineering and New Technologies Business Unit chez CheckPoint. Or les devices mobiles sous Android et IOS sont de plus en plus menacés et leur sécurité peu prise en compte selon CheckPoint.  Alors que la sécurité classique génère plus de 12 milliards de dollars de dépenses à l'échelle mondiale celle consacrée à la mobilité et aux APT ne s'élève qu a 400 millions de dollars  d’après une étude interne de CheckPoint. Autre problématique sur la sécurité de la mobilité commentée par l'éditeur : le rôle de l'utilisateur. « Celui ci est à la fois utilisateur et administrateur de son device, ce qui n'est jamais le cas avec les desktop » en précisant que dans le cas d'architectures BYOD « les entreprises subissent plus qu'elles ne choisissent avec des difficultés liées au un cycle de vie très court entre deux versions d'IOS, moins de douze mois pour Apple». Bref, l'univers de la mobilité reste complexe à sécuriser d'autant que bon nombre d'applications mobiles hébergent des codes malicieux. « la facilité pour obtenir un certificats de développeur Android et IoS encourage tous le excès au niveau des infections. » précise les experts de CheckPoint. De nombreuses applications mobiles demeurent résiduelles avec leurs codes malveillants « même si l'on pense les avoir effacées » affirme Thierry Karsenti. Il illustre cette affirmation en expliquant qu'un smartphone débranché en apparence peut continuer a être activé par les attaquants. Bref et c'est la dernière pierre lancée par l'éditeur à Samsung, Microsoft, Apple et d'autres « Un généraliste ne peut offrir un réel niveau de sécurité cohérent avec les règles de la politique de sécurité des entreprise ». Une certitude, avec sa nouvelle offre dédiée à la sécurité des devices mobiles CheckPoint est bien décidé a s'emparer du marché de la mobilité avec en filigrane celui encore plus juteux des objets connectés. Un univers encore vierge en sécurité et absolument pas sécurisé. Bref, CheckPoint n'a pas fini de lancer des pierres et ...de récupérer des dollars.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  

y A82N XmcZsi4ynPDhEyVpxfnRu61lP98PZKNg9DWQ

 

Acces à l'intégralité de l'article et des infographies réservé aux abonnés de Cyberisques NEWS: 

  

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 CheckPoint-2CheckPoint-3

 

 

Check Point® Software Technologies Ltd. (code Nasdaq : CHKP) Résultats financiers pour le troisième trimestre 2015:

 

  • Chiffre d’affaires : 404 millions de dollars US, en hausse de 9% par rapport par rapport au troisième trimestre 2014
  • Résultat d’exploitation non-GAAP : 228 millions de dollars US, représente 56% du chiffre d’affaires
  • Bénéfice par action non-GAAP : 1.04 dollars US, en hausse de 12% par rapport par rapport au troisième trimestre 2014
  • Revenus reportés : 772 millions de dollars US, en hausse de 17% par rapport par rapport au troisième trimestre 2014

 

BONUS: 

http://googleprojectzero.blogspot.co.uk/2015/11/hack-galaxy-hunting-bugs-in-samsung.html

 

- Etude MobileIron: une entreprise sur dix possède au moins un terminal infecté ayant accès aux données d'entreprise

(Source PR Corporate)

Les applis gagnent du terrain: 

Le pouvoir transformateur de la mobilité peut uniquement être réalisé en mobilisant les processus commerciaux clés. Les riches écosystèmes des applis tierces fournissent aux entreprises des outils mobiles efficaces qui fonctionnent immédiatement.

 Principales applis grand public blacklistées

 Les collaborateurs sont susceptibles de stocker des documents professionnels sur des applis personnelles de synchronisation et de partage de fichiers d'entreprise (EFSS), ce qui contribue à placer des données professionnelles sensibles en dehors du cadre de la protection du service informatique. Cinq des dix premières applis grand public blacklistées par les clients de MobileIron sont des applis EFSS.

 

1.     Dropbox (EFSS)

 

2.     Angry Birds

 

3.     Facebook

 

4.     OneDrive (EFSS)

 

5.     Google Drive (EFSS)

 

6.     Box (EFSS)

 

7.     Whatsapp

 

8.     Twitter

 

9.     Skype

 

10. SugarSync (EFSS)

 

« Les versions grand public des applis EFSS effraient les départements informatiques dans la mesure où des données professionnelles sont susceptibles d'êtreégarer. Heureusement, les versions d'entreprise d'un grand nombre de ces applis sont disponibles, » a déclaré Raggo. « Les entreprises sont en mesure d'offrir à leurs collaborateurs l'expérience qu'ils désirent tout en protégeant leurs données d'entreprise, mais ceci exige une transformation de l'état d'esprit qui consiste à passer de la restriction à l'autorisation. »

 Les applis mobiles sont menacées

 Dans la mesure où le travail évoluera dans le futur de plus en plus vers la mobilité, il en sera de même pour le détournement des données et  la cybercriminalité. Les récentes attaques ont ciblé les applis et les systèmes d'exploitation mobiles afin d'exfiltrer des données sensibles, et de nombreuses entreprises n'étaient pas préparées. Par exemple, les applis iOS infectées par le logiciel malveillant XcodeGhost peuvent collecter des informations relatives aux terminaux puis crypter et charger ces données vers des serveurs gérés par des agresseurs. La société de détection de logiciels malveillants FireEye a identifié plus de 4 000 applis infectées sur l'App Store, tandis que la société de gestion des risques relatifs aux applis mobiles Appthority a révélé que la quasi-totalité des organisations détenant au moins 100 terminaux iOS possédaient au moins un terminal infecté.

Le défi relatif aux terminaux et aux applis mobiles réside dans le fait que l'utilisateur - et non l'administrateur informatique - exerce généralement le contrôle. Les terminaux deviennent non conformes pour diverses raisons. Par exemple, un terminal se révélera non conforme dès lors que l'utilisateur procédera à un jailbreak ou à un root de son terminal, si le terminal fonctionne sur une ancienne version du système d'exploitation que le département informatique ne prend plus en charge, ou dès lors que l'utilisateur aura installé une appli que le département informatique a blacklisté. MobileIron a révélé les éléments suivants :

Une entreprise sur 10 possède au moins un terminal infecté qui a accès aux données d'entreprise. 

 

  • Plus de 53 % des entreprises possèdent au moins un terminal qui n'est pas conforme aux politiques de sécurité de l'entreprise.

 Dans ces différents cas, bien que les technologies traditionnelles de sécurité ne soient pas en mesure d'entreprendre les actions nécessaires pour protéger les données d'entreprise, MobileIron est en mesure de le faire. 

 

Principales raisons pour lesquelles les terminaux deviennent non conformes

 Les entreprises recourant à des solutions de gestion de la mobilité d'entreprise (GME) telles que MobileIron peuvent établir des politiques destinées à garantir que les collaborateurs appropriés bénéficient de l'accès mobile approprié à partir du terminal approprié. Si les administrateurs informatiques ne procèdent pas à l'automatisation de la mise en quarantaine des terminaux dès lors qu'ils se révèlent non conformes, les données d'entreprises sont susceptibles d'être menacées.

 Voici les principales raisons pour lesquelles un terminal devient non conforme aux politiques d'entreprise :

 

  • Le terminal n'est pas mis en contact avec la plateforme de GME

  • .

                                                L'administration a été désactivée afin que la solution de GME ne puisse plus intervenir à distance sur un terminal.

                                             Le terminal n'est pas conforme aux règles qui bloquent, exigent ou autorisent une appli particulière.

 

Il est temps de repenser la sécurité mobile

 Dans la mesure où des cyber-agresseurs utilisent des logiciels malveillants mobiles pour voler des données professionnelles sensibles, les entreprises doivent envisager des solutions de protection contre la perte de données dans le cadre de leurs stratégies de sécurité. Un seul terminal infecté peut rendre les entreprises vulnérables à des attaques coûteuses.

  • Consultez le livre blanc pour en savoir plus sur la manière dont les entreprises peuvent lutter contre les menaces mobiles.

ESET: un labo et des hommes

ESET : un labo et des hommes au bord du Danube

 

Au siège d'ESET à Bratislava (Slovaquie), l'immeuble ultra moderne situé au bord du Danube à quelques centaines de mètres de la vieille ville et de son château, sert d'écrin à une pépite, le laboratoire et ses chercheurs. Visite guidée.

 

IMG 8443

Mai 2015 Vue générale (après dispersion) de la salle

de contrôle d'ESET à Bratislava 

 

Une visite à Bratislava en Slovaquie, au siège de l’éditeur de solutions de filtrage anti-malwares ESET commence par le laboratoire. Rien d'étonnant, ESET a démarré en 1987 avec trois ingénieurs toujours à la tête de l'entreprise 28 ans après. Un staff de plus en plus occupé par la gestion de 1000 collaborateurs et plus de 1. 000. 000 d'utilisateurs. Les solutions BtoC et BtoB basées sur la technologie EST NOD 32 ont générées 330 millions d'euros de revenus en 2014.

La véritable interrogation pour Richard Marko, CEO d'ESET (Lire en section BONUS, référence 3) et ses partenaires ce n'est pas seulement le futur du marché des cyber-risques, ce n'est pas non plus le seul comportement des clients, c'est avant tout l'évolution des cyber-menaces. Comme pour tous les éditeurs de solutions de filtrage de malwares, les responsables d'ESET connaissent les dernières statistiques même s'ils les évoquent rarement. Dans un rapport récent d'un autre éditeur, F-Secure, l'éditeur finlandais révélait que les exploits représentaient 40% des méthodes d’attaques utilisées par les pirates au cours de la seconde moitié de 2014. Des exploits désormais facilités  par le développement de "kit utilitaires" pour cyber-attaquants. Exemple avec « kit Angler », un ensemble d'outils logiciels utilisés par les cyber-attaquants et identifié comme à l'origine de menaces fréquentes en Amérique du Nord. L'usage de ce kit se trouve classé dans le top 5 des cyber-menaces qui s'étendent à l'Europe et l'Océanie. Des cyber-menaces qui pèsent aussi de plus en plus lourds dans le budget des entreprises. Selon les analyses de compagnies de cyber-assurances et le centre Infosec Institute, le coût annuel des cyber attaques est estimé entre 1,3 et 58 millions de dollars par entreprise. Face à ces cyberisques, quel rôle stratégique peuvent jouer les labos des éditeurs ? 

 

IMG 8445

Mai 2015 Un des écrans du labo "ESET "HOUSTON"

ESET au bord du Danube (Bratislava / Slovaquie) 

 

Les chercheurs d'ESET comme ceux de F-Secure, Symantec, Trend Micro, Intel Sécurity, Sophos, Kaspersky et quelques autres travaillent en priorité sur l'évolution des risques liés aux "exploits" des cyber-attaquants. Ces « exploitations » de vulnérabilités logicielles et WEB fournissent aux cyber-attaquants des points d’entrée pour installer leurs codes malveillants au coeur des serveurs stratégiques des SI (Systemes d'information).

 

6a01310f70b1f2970c017c3270d6b3970b

Richard Marko, CEO d'ESET 

 

 Depuis plusieurs années déjà, les éditeurs tentent de corriger ces vulnérabilités en publiant des correctifs (parfois payants). Mais ces publications se retournent souvent contre eux en étant exploitées par les cyber-attaquants. En effet, via les correctifs publiés, ces derniers savent ou se situent les points de vulnérabilités de tel logiciel. Ils peuvent alors effectuer des opérations de « reverse engineering » de ces mises à jour pour identifier de nouvelles vulnérabilités.

Pour Palo Luka, CTO (directeur technique des développements) chez ESET c'est un de points importants à régler d'urgence. Pour y parvenir, le CTO d'ESET estime que c'est en amont des applications, directement sur les réseaux et plate-formes d’hébergement qu'il faut accentuer la sécurité. « Sans pour autant négliger la sécurité EndPoint, autrement dit celle qui doit être présente sur tous les devices » précise t-il. Cette approche est révélatrice des nouvelles craintes redoutée par les chercheurs dans les laboratoires des éditeurs. Ces derniers comme ceux d'ESET constatent une approche industrielle des cyber-attaques via des « utilitaires » particulièrement efficaces notamment en environnement Java Flash ('Adobe) et sur d'anciennes versions de Windows pas toujours maintenues (notamment en environnement industriel de type SCADA).

A ce jour seuls les correctifs proposés par les éditeurs d'anti-virus permettent de limiter la « cyber-casse ». D’où l'importance de réaliser les mises à jours "réactives" via ses fameux correctifs.

Reste un autre problème majeur, comment gagner en réactivité ? Comment combler la fameuse plage des Zéro day ? Rappelons que selon le dernier rapport du Ponemon Institute, le délai moyen pour détecter une APT s’élève à 197 jours. Selon les analystes du Ponemon, il faut en moyenne 39 jours supplémentaires pour éliminer les codes malveillants. La réactivité tient un rôle primordial. Pour les chercheurs de labos comme celui d'ESET, il fautréaliser le plus vite possible l'écriture d'un correctif lorsque une vulnérabilité est connue. A noter que l'écriture de ces correctifs ne dépend plus des ingénieurs en charge de la détection – les chercheurs- mais de ceux qui réalisent les analyses suite aux attaques.

 

ESET-DIR-LABO-JP-BICHARD

 Roman Kovac Head of Security Research Laboratory ESET 

 

On le voit, le rôle des laboratoires chez les éditeurs et de leur réactivité est donc essentiel. C'est pour cette raison qu'une visite chez un éditeur très « technique » dans sa philosophie comme ESET s'avère intéressante. Comme par hasard, une telle visite "de presse" débute par son laboratoire. Le chef du laboratoire (Head of Security Research Laboratory) , Roman Kovac précise l'environnement de travail de ses équipes dans le centre « Houston » en référence au « SOC » de la NASA: « Nous disposons de plus de 600 ingénieurs à Bratislava et dans le monde Cracovie, Prague, Montréal, San Diego (pour la recherche pure). D'autres implantations existent à l'international pour ESET mais elles relèvent de présence commerciale comme à Sydney et Paris avec la sympathique équipe d'Athéna. »

Pour illustrer les activité du laboratoire d'ESET, Roman Kovac a retenu trois profils de cyber-attaques révélatrices des tendances actuelles. La première nommée « Operation Buhtrap » décelée cette année en avril exploite une vulnérabilité Microsoft via un document joint imitant une facture ou un contrat a en tête d'un opérateur FAI. Un code malicieux s’exécute à l’ouverture de la pièce jointe. Son rôle est assez « classique : recherche d'URL et d'informations diverses liées aux données financières. Une fois le contrôle effectué, les « exec » installés par le malware installent backdoor et autres codes malicieux (spywares) pour réaliser des vols de données confidentielles.

 Roman Kovac cite un autre exemple tout aussi révélateur de l'importance de la réactivité des éditeurs face aux cyber-attaques. Celle-ci nommée Linux Mumblehard remonte à 2009 pour sa date de création mais n'a réellement été visible par les radars des laboratoires qu'en mai 2015 suite à un matraquage de spams par des serveurs « pirates ».

Autre profil de cyber-menaces relevé par le chef du laboratoire d'ESET, Linux Moose. (Voir le blog de ESET ci dessous en section BONUS pour une analyse détaillée par Graham Cluley). Révélateur des cyber-menaces actuelles, ce kit de codes malveillants n'utilisent pas de vulnérabilités particulières pour s'introduire sur un SI. Une méthode d'attaque directe via des scans de ports IP de routeurs domestiques est employée. Elle permet d'infecter les réseaux sociaux et surtout de voler des indicateurs propres aux réseaux sociaux de type "followers" et « like » afin d'augmenter artificiellement sa e-réputation. Cette e-Réputtaion permet par la suite de revendiquer une audience « artificielle » aupres d'annonceurs potentiels. Les routeurs domestiques attaqués sont ceux des constructeurs Actiontec, Hik Vision, 3Com, Alcatel-Lucent, Allied Telesis, Avaya, Belkin, Brocade, Buffalo, Celerity, Cisco, D-link, Enterasys, Hewlett-Packard, Huawei, Linksys, Mikrotik, Netgear, Meridian, Nortel, SpeedStream, Thomson, TP-Link, Zhone, ZyXEL ... Toutefois, ce type de cyber-menace peut facilement être contrée par un « reset » des équipements et une réinstallation des logiciels (Lire le rapport de deux chercheurs : Olivier Bilodeau Thomas Dupuy http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf )

 

 

 CTO-ESET-JP-BICHARD-BV

 Palo Luka, directeur technique des développements chez ESET

 

D'autres sujets intéressent les chercheurs d'ESET notamment le développement de ransomwares ( screen locker et cryptolocker ) et le développement de codes malicieux sous Android… On attendait ESET comme d'autres éditeurs AV sur des interrogations légitimes du marché (Lire notre section BONUS 1 et 2) au sujet de la sécurité des objets connectés, le renforcement de la sécurité sur les systèmes industriels en architecture SCADA, le contournement de certaines solutions anti virales par des techniques dédiées (chiffrement entre autres), les outils indispensables pour lutter contre les APT et attaques DDos… Pionnier en détection proactive, ESET n'a pas choisi d'aborder ces thèmes lors de cette visite de labo à Bratislava. Il faudra attendre pour connaître la stratégie de l'éditeur qui a souligné toutefois sur le marché grand public la mise à jour de sa version Windows avec la future version 10 de Microsoft. En fait la version 9 Windows ESET Smart Security BtoC pour Windows 10 sera dévoilée (comme certainement Windows 10) en octobre prochain. On peut attendre beaucoup de cette nouvelle version de la part d'un éditeur reconnu pour l'optimisation des performances (AV Comparative) et la discrétion de ses codes en occupation mémoire (codes écrits en assembleur).

Sur le marché Entreprises (BtoB) certaines pistes ont été explorées lorsque après la visite du laboratoire de Bratislava et un déjeuner fort agréable, l'éditeur slovaque a orienté ses messages sur ses solutions Entreprises (Voir nos encadrés de la Comm. Corporate ci-dessous).

Parmi les « plus » des fonctions existantes, l'éditeur souligne la protection des Botnets (exploits lancés à partir de la machine de l'utilisateur) et le filtrage des « Exploits Blocker ». En version PRO, les ingénieurs d'ESET insistent sur les performances pour sécuriser les environnements virtuels (virtual appliance) indépendamment des plates-formes via des agents (remote administration).

Coté stratégie globale, Richard Marko, évoque dans une vidéo « maison » un autre risque majeur ; celui de ne pas savoir s'entourer. Le CEO demeuré invisible lors de cette visite de presse (lors de notre dernière visite, nous l'avions photographié jouant de la guitare après une interview passionnante) a insisté sur l'importance de la jeunesse et de la compétence des équipes « le CV ne suffit pas il faut la passion ». Belle approche au bord du Danube, fleuve le plus évoqué au monde par un voisin viennois (Bratislava se situe à moins d'une heure de Vienne) Richard Strauss.

Jean Philippe Bichard @JPBICHARD

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Voir le profil de Jean Philippe Bichard sur LinkedIn

  

BONUS :

1) http://cyberisques.com/fr/mots-cles-22/233-tendances-2014-selon-eset-le-defi-de-la-confidentialite-sur-internet

2) http://cyberisques.com/fr/mots-cles-1/399-fic-2015-12-tendances-cybersecurite-

incontournables-en-2015

3) http://www.attypique.com/interviews-posthumes/2012/10/eset-lind%C3%A9pendance-avant-tout-editeur-de-bonne-r%C3%A9putation-qui-revendique-la-premi%C3%A8re-place-sur-le-march%C3%A9-de.html

4) http://www.athena-gs.com/

 

 

ATHENAT-ESET-MAI-2015-JP-Bicahrd-Cyberisques-NEWS-BV

 

 

Solution PRO ESET : les dernières annonces

Février 2015 Mobile World Congress :

ESET Mobile Security pour Android :

Cette application comporte une multitude de fonctionnalités, dans le but de protéger les données sensibles stockées sur les smartphones ou les tablettes lorsque l’appareil est perdu ou a été volé au propriétaire. En plus de l’intégration de la fonctionnalité Antivol contrôlable sur une plateforme dédiée, l’application inclut un large panel d’options customisables, idéal pour les opérateurs Telco et ISP.

ESET Secure Authentication :

Avec l'ajout du support pour le protocole Microsoft Remote Desktop et en élargissant les méthodes d'authentification disponibles utilisant le téléphone mobile, avec la possibilité d'utiliser également des jetons matériels, cette nouvelle édition est en passe de devenir la solution la plus convaincante 2FA sur le marché. Cela combine un accès à distance aux données de l’entreprise ultra sécurisé, grâce au VPN ou aux applications Web, tout en introduisant une plus grande facilité d’installation avec un support de qualité. La facilité d’intégration fournie par KIT (SDK) et interface de programmation (API) étend la protection à un plus large éventail d’applications et de données.

ESET Remote Administrator :

ESET a annoncé en février 2015 la disponibilité de sa suite de sécurité pour les professionnels. Supportant Mac, Windows et Android et configuré pour des entreprises de toutes tailles. Au cœur de cette nouvelle gamme de solutions, existe la toute nouvelle console d’administration, ESET Remote Administrator. Avec un fort accent sur l’expérience de l’utilisateur, le « Security admin » peut configurer, surveiller et ajuster les politiques de sécurité facilement au sein de son réseau. Il peut de la sorte résoudre les problèmes commodément via la console web visuellement attrayante et complètement interactive.

Février 2015 :

Version 6, les solutions entreprise intègrent MDM, console Web et protection avancée

Nouvelle offre de sécurité ESET avec la version 6 de la suite de solutions de sécurité pour les entreprises annoncée .

Ces solutions supportent Mac, Windows et Android et offriront une sécurité complète aux entreprises de toutes tailles. De nombreux mois de recherches approfondies auprès d’utilisateurs au niveau mondial, ont permis à ESET de développer ses nouvelles solutions de sécurité. Après une nouvelle conception, un redéveloppement et des tests intensifs, la toute nouvelle gamme ESET est disponible mondialement. Au cœur de cette nouvelle gamme de solutions, la console de gestion à distance ESET Remote Administrator offre une expérience utilisateur améliorée, un GUI new-look et des fonctions transparentes à l’utilisateur - ceux-ci peuvent entrer dans les plus petits détails, adapter les paramètres avec une granularité similaire, contrôler et suivre l’état de la sécurité IT dans l’entreprise par une console web. La nouvelle suite de solutions ESET dispose d’une multitude d’autres fonctionnalités: La protection mobile sans ajouter des outils MDM supplémentaires;

La création flexible de rapports pour fournir aux intéressés les toutes dernières informations en matière de sécurité; La conformité aux règles et les audits sans tracas, pour les instances de réglementation; Migration facile pour les entreprises qui désirent se protéger avec la technologie primée d’ESET; Une seule licence unique pour protéger toutes les plates-formes supportées. Les nouvelles solutions pour terminaux sont fournies avec de nombreuses nouvelles technologies de protection: anti-phishing amélioré, bloqueur d’exploit, bouclier contre les vulnérabilités et balayage de la mémoire perfectionné. Ces fonctionnalités sont déjà bien présentes dans la gamme de solutions ESET grand public. Lors du dernier test AV-Comparatives Anti-Phishing test, ESET a obtenu le plus haut score pour sa protection anti-phishing, la plus complète de tous les produits testés  

 

 

HP crée HPE qui revendique 53 milliards de dollars de CA

HP annonce Hewlett Packard Enterprise créditée d'un CA de 53 milliards $

 

Lancement de la nouvelle entreprise leader dans les domaines de l’infrastructure, de la sécurité, du Big Data et des solutions de travail collaboratif, cotée au NYSE sous le code “HPE”

 

 

(Communication PR)

BOULOGNE, France, lundi 2 novembre 2015 – Aujourd'hui, fruit de la scission de Hewlett Packard Company, Hewlett Packard Enterprise (NYSE: HPE) est positionnée en tant que leader dans l’industrie des technologies pour les entreprises avec un chiffre d’affaires annuel de 53 milliards US$. Elle offre le portefeuille le plus complet de produits du marché et une vision unique sur l'avenir de l’industrie des technologies et les avantages potentiels que peuvent en retirer les entreprises clientes. A cette occasion, des représentants de Hewlett Packard Entreprise, dont sa Présidente et Chief Executive Officer Meg Whitman, ainsi que des partenaires et des clients vont se réunir pour sonner la cloche d'ouverture de la Bourse de New York, là où l’entreprise va commencer sa nouvelle vie boursière sous le symbole "HPE". "Les entreprises performantes dans le marché actuel seront celles qui sont capables de mettre la puissance de la technologie au service de la puissance des idées. La nouvelle Hewlett Packard Enterprise est conçue pour accélérer cette évolution au sein des entreprises", a déclaré Meg Whitman. "Hewlett Packard Enterprise a la vision, les ressources financières et la flexibilité pour aider ses clients à se développer tout en générant croissance et valeur à long terme pour nos actionnaires."

 

image-1x-md

 

 

Dans un marché très dynamique, la technologie transforme les activités et des pans entiers de l’industrie à un rythme jamais atteint auparavant. Hewlett Packard Enterprise se construit sur un héritage riche d’innovations et sur ses positions de leader dans l’industrie des technologies en matière d’infrastructures, de services, de logiciels et de services financiers. Hewlett Packard Enterprise propose à ses clients les solutions technologiques de pointe dont ils ont besoin pour optimiser leur informatique traditionnelle. Elle les aide également à bâtir un futur sécurisé, prêt pour le cloud et la mobilité, et totalement adapté à leurs besoins spécifiques. Hewlett Packard Enterprise est centrée sur 4 domaines clés qui constituent les fondations nécessaires à une transformation business et à la croissance, ce qui représente (selon des estimations tierces) un marché potentiel total de plus de 1 000 milliards US$ :

 Transformer l’infrastructure vers un modèle hybride en aidant les entreprises à traiter et gérer l’information de façon transparente sur des environnements IT traditionnels, sur des cloud privés, infogérés ou publics

 Renforcer le pouvoir des données pour transformer l’information en connaissance, puis la connaissance en actions business

 Protéger l’entreprise numérique, afin de gérer les risques, de superviser l’exploitation, de sécuriser l’information et les applications et de garantir une intégrité opérationnelle

 Améliorer la productivité de votre entreprise, afin de créer les meilleures expériences utilisateurs pour les employés, les clients et les partenaires grâce à des solutions réseaux et de mobilité

 

BONUS: 

https://www.hpe.com/us/en/solutions/protect-digital.html

 

www.eliasworldmedia.com/HewlettPackardEnterprise.

A propos de Hewlett Packard Enterprise Hewlett Packard Enterprise est une entreprise leader dans l’industrie des technologies qui permet à ses clients d'aller plus loin, plus vite. Avec l’offre la plus complète du marché, allant du cloud computing, aux data centers en passant par les solutions de travail collaboratif. Nos technologies et nos services aident nos clients à travers le monde à améliorer l’efficacité, la performance et la sécurité de leurs systèmes d’information. 

 

 

 

ROOMn 2015: La mobilité intégre la sécurité

 

Edition 2015 de ROOMn à Deauville : elle a tout d'une grande !

 

 

 

Plus de 700 participants et 70 exposants : belle réussite dans un contexte difficile pour le salon ROOMn sur la mobilité BtoB qui s'est tenu une troisième fois à Deauville les 1er et 2 avril.

 

 

Parmi les tendances fortes de cette 3eme édition de ROOMn 2015, les applications mobiles BtoB et leur environnement « sécuritaire » sont présentes sur la plupart des stands. Un environnement "sécu" si présent que l'on retrouvait dans les allées de ROOMn une ambiance « Assises de la sécurité » lors des premières éditions à ...Deauville au début des années 2000.

Des acteurs tels que CheckPoint, Sophos, Kaspersky, Cisco… côtoyaient les Pros. de la mobilité à commencer par Google, Samsung, Microsoft et de nombreuses autres entreprises. Microsoft a fait un beau cadeau aux organisateurs en annonçant son dernier né sur le marché de la mobilité: la tablette Surface3 dont le lancement commercial officiel en France est fixé au 7 mai. A Deauville, la version BtoB équipée de Windows 8.1 Pro a été dévoilée dans une configuration novatrice comparée à la surface 2 (puce Intel Atom x7-Z8700 , 2 ou 4 Go de RAM, 64 ou 128 Go de mémoire flash…) pour 600 euros TTC.

Google n'est pas non plus resté insensible à la côte normande. Lors d'une séance plénière, le patron de la division Google WORK a confirmé la mise en place d'applications BtoB spécifiques aux mobiles de La Poste pour ses milliers de facteurs. Tous seront prochainement équipés de mobiles avec applications multiservices Google WORK. La volonté de Google de s'imposer sur le marché de la mobilité BtoB se traduit aussi par des opérations de croissance externe. C'est le cas avec Divide reprise en mai 2014, start up qui a su parmi les premières séparés les usages entre applis Pro et applis privées sur un même mobile. Google joue a fond la carte de la croissance externe notamment en mobilité : SlickLogin, Motorola, DeeipMind, Nest… soit 17 milliards de dollars en moins de deux ans  Résultat : le leader des GAFA annonce suite à ses dernières acquisitions la sortie prochaine de smartphones autour de 50 dollars. La customisation joue également comme une grande tendance sur ROOMn 2015; le smartphone « Lego » hyper modulable de Google proposera à ses utilisateurs de choisir la fonction qu'ils souhaitent voire évoluer : mémoire, écran, appareil photo, son… Seule cette fonction via un module physique sera vendue en "add on" sur la « plate forme «  smartphone de départ.

 

ROOMn 2015

 

La mobilité ne peut rien sans la sécurité, c'est un fait et ROOMn le prouve. Michel Lanaspèze responsable du marketing pour l'Europe chez Sophos, acteur réputé en sécurité, l'explique avec clarté : « si l'on prend l'exemple du chiffrement indispensable aux applications accessibles à partir des mobiles, il faut offrir des solutions adaptées aux mobiles. L'enjeu consiste a réduire l'impact des moteurs de chiffrement sur les plates-formes sans ralentir les machines. C'est pour cette raison que nous avons opté avec Sophos SafeGuard Encryption pour une approche simplifiée sans pénaliser les utilisateurs. C'est avec ce type de fonction affinée que les offres se distinguent aujourd'hui. En fait la mobilité pousse les éditeurs a davantage de finesse technique dans leurs offres.» Pour cet éditeur de solutions de sécurité, la mobilité et la sécurité doivent répondre aussi à des nouvelles contraintes dictées par les évolutions réglementaires notamment européennes. « Le durcissement des programmes de surveillance gouvernementaux et la surmédiatisation des actes de violation de données affectent les mentalités. Il faut que les acteurs répondent avant que les utilisateurs évoluent vers une perte de confiance »  estime Michel Lanaspèze.

 

 Marché-Mobilité-5

 

   Marché-Mobilité-4

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.


 

ROOMn 2015 c'est aussi un lieu d'échange et de contacts. Au sein des ateliers dédiés, les utilisateurs témoignent. Lors d'un atelier orienté Mobilité et sécurité pour COMEX / CODIR  sur le partage de documents confidentiels via des mobiles, l'éditeur allemand Brainloop a fait témoigner Un de ses clients stratégiques: Suez Environnement.

Comment dématérialiser le partage de documents papier hyper-confidentiels nécessaires aux débats des administrateurs notamment lors de la tenu des conseils d'administration ? Le tout devant s'effectuer en parfaite conformité avec les exigences de la politique de sécurité du groupe (RSSI et Dir Sureté). Le contexte du client-utilisateur montrait une certaine exigence. Suez Environnement joue dans la cour des grands. Ce groupe spécialisé en économie circulaire (retraitement de déchets) intégre 80 000 collaborateurs et compte 323 000 clients pour 13 milliards de CA en 2014. Suite à une demande du secrétariat général, la DSI, la direction de la sécurité et de la sûreté se sont vues confiées une mission pour dématérialiser en toute sécurité des documents jusque-là envoyés dans toute l'Europe par coursiers aux différents administrateurs du groupe. Face à ces contraintes, la DSI a retenu la solution de Brainloop, entreprise d'origine allemande de 200 collaborateurs qui revendique 700 clients dans le monde dont en France SG, BPCE, Airbus, KPM… Brainloop est un éditeur qui propose une solution de service Dataroom sécurisé pour la gestion de documents dématérialisés en mode SaaS ou à partir d'un serveur installé chez le client. L'intelligence de la solution réside dans la disponibilité d'une plate-forme en ligne qui permet aux entreprises de développer leur approche de la sécurité et leurs règles de conformité. Cette « customization » s'effectue automatiquement à l'endroit où les documents hautement confidentiels sont édités et échangés avec des partenaires externes.

 

Suez-Environnement a opté pour une organisation dataroom sécurisée sur ses serveurs internes qui permet de classifier les documents en fonction des utilisateurs et des réunions. Chaque utilisateur "administrateur" du groupe disposait déjà d'un Ipad pour recevoir les documents dématérialisés. L'envoi et le partage des documents via la dataroom s'effectuent selon une procédure d'authentification basée sur un envoi SMS avec code confidentiel de quelques secondes ou envoi d'un QR Code scanné par le smartphone. Le code reçu est saisi sur les « Ipad » par chaque administrateur. Les données transmises sont chiffrées durant les étapes de transfert et de stockage (sur serveur et sur Ipad). La compatibilité de la solution secure de Brainloop est assurée avec les formats de documents DRM, Adobe et Microsoft.

Les fonctions liées au téléchargement, impression et consultation sont paramétrées par les « gestionnaires » de documents formés à l'outil en moins d'une journée. Une totale segmentation des contenus est réalisée dans la mesure ou DSI et managers Métiers ne peuvent accéder qu'au titre des documents confidentiels jamais à leur contenu exclusivement réservés aux administrateurs destinataires.

Les responsables de Suez Environnement soulignent les avantages de cette solution par la simplicité de la mise en œuvre, sa grande ergonomie pour des utilisateurs plus habitués au papier qu'aux écrans et les avantages d'un éditeur qui présente toutes les « certifications » nécessaire en Europe. Prochaine étape, obtenir pour Brainloop un label de l'ANSSI.

Autre aspect de ROOMn 2015: la vision économique du marché de la mobilité analysée par Eric Hazan de McKinsey. L'analyste à présenté une étude sur la perception de la mobilité par les entreprises. Pas de surprise : les Etats-unis adoptent plus facilement les solutions basées sur des applications mobiles. Le secteur bancaire est un des premiers concerné. L’étude prévoit que plus de 50% des utilisateurs se tourneront en 2016 vers la banque mobileCoté utilisateurs les jeunes adoptent plus rapidement ces nouveaux services et davantage les jeunes américains : 66% ont déjà opté pour ces services bancaires mobile contre 40% pour les jeunes européens.

Jean Philippe Bichard     

 

 

 

Marché-Mobilité-2

 

 

ROOMn : La « Little Barcelona » made in Normandie se porte bien

Sur ROOMn, on connaît les organisateurs DG Consultants filiale de COMEXPOSIUM, à l'origine des Assises de la Sécurité, autre évènement qui a aussi débuté a Deauville avant de migrer à Monaco. Il pourrait bien arriver la même évolution à ROOMn dès l'an prochain. Avec des Pros de l’événementiel comme DG tout est possible. La bande à GG (surnom de Gérard Rio) réussit souvent ses coups : à savoir convaincre les professionnels d'un marché IT que leur ROI est assuré via leurs évènements. Vérifions.

ROOMn 2015 c'est 70 exposants et des ateliers de qualité, une performance a saluer deux mois après la tenue du mondial de la mobilité à Barcelone. ROOMn 2015, 3eme édition, jeune bébé toujours porté par le débonnaire Gérard Rio, fondateur de DG Consultant (revendu une fortune à COMEXPOSIUM,c'est apparemment gagné.

Le secret de DG est simple : sentir le vent de l'innovation marketing avant tout le monde, offrir une gestion de type entreprises familiale, entretenir d'excellents relationnels, ne rien laisser au hasard dans la préparation (à l'exception des bus pour la presse), ajouter un zeste d'élégance pour le cadre et tenir presque tous les engagements pris en considérant les clients « comme une bande de potes » et les clients des exposants comme des « invités de marque ».

Et çà marche. Ce cocktail "Business GG" est apprécié de tous les acteurs même si certains trouvent que leur budget marketing est un peu trop mis a contribution. Reste que les retours sont là.  Pour cet habitué des salons Pro, directeur marketing Europe d'un grand acteur du secteur IT, sur 50 contacts Pro approchés pour venir à Deauville durant ROOMn 2015 (profils prospects grandes entreprises) 30 sont présents « et sur ces 30 bon nombre vont signer avec Nous ». Bref le business entre clients et éditeurs existent. Combien ROOMn génère de résultats pour les participants? C'est confidentiel mais Cyberisques NEWS va prochainement déjeuner avec Gérard Rio et vous le raconte dans un prochain article :)

JPB

 

BONUS :

Marchés OS Mobiles : http://wmpoweruser.com/windows-phone-back-over-10-market-share-in-europe-in-latest-kantar-numbers/?utm_content=buffer757c3&utm_medium=social&utm_source=linkedin.com&utm_campaign=buffer

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires