Cybercriminalité: comment agir dès aujourd'hui

780 vues

Publié le

Avec le développement du numérique dans les entreprises et les administrations, les risques liés à la cybercriminalité augmentent à grande vitesse. Et ce n’est pas
seulement de la science-fiction !

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
780
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
44
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cybercriminalité: comment agir dès aujourd'hui

  1. 1. LES SYNTHÈSES SOLUCOM Cybercriminalité : comment agir dès aujourd’hui Observatoire de la transformation des entreprises no 47
  2. 2. 2• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Marion Couturier est manager chez Solucom. Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et d’exercices de gestion de crise. Elle dispose également d’une large expertise sur les volets communication et sensibilisation. marion.couturier@solucom.fr Gérôme Billois est senior manager chez Solucom. Diplômé de l’INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l’évaluation et la mise en place de leur gouvernance sécurité et projets de sécurisation de l’information. Il accompagne nos clients dans la préparation et la gestion de crises réelles. gerome.billois@solucom.fr Chadi Hantouche est manager chez Solucom. Diplômé de l’ENSIMAG, il conseille nos clients dans la transformation de leurs modèles de sécurité, leurs stratégies de sécurité en mobilité et la mise en oeuvre de mécanismes de sécurité. chadi.hantouche@solucom.fr Marion Couturier Chadi Hantouche Gérôme Billois
  3. 3. Octobre 2013 - Les Synthèses © Solucom 3• ÉDITO La cybercriminalité au cœur de l’entreprise numérique Avec le développement du numérique dans les entreprises et les administrations, les risques liés à la cybercriminalité augmentent à grande vitesse. Et ce n’est pas seulement de la science-fiction ! Dorénavant, le sujet est présent quotidiennement dans l’actualité : atteinte à la pro- tection des données personnelles, dénis de service, vols de données… les angles d’attaques ne manquent pas pour des cybercriminels qui usent de moyens de plus en plus sophistiqués. Au-delà de ce que l’on peut lire dans la presse, nous l’avons nous-même constaté chez plusieurs clients qui ont été les cibles d’attaques complexes et à très fort impact. La bonne nouvelle, c’est que la prise de conscience commence à se faire. Les états s’emparent du sujet, augmentent leurs effectifs dans ce domaine et imposent des pratiques plus strictes dans la gestion des infrastructures vitales. Les Directions géné- rales des entreprises s’interrogent et demandent des réponses aux Responsables des risques et de la sécurité des SI. Mais ces réponses ne sont pas si simples : impossible en effet de tout protéger et de garantir une défense impénétrable contre les attaques. Il s’agit donc plutôt de construire un plan d’ensemble combinant gestion de crise efficace, polices d’assurance, organisation et mesures techniques. Un plan raisonné, orienté vers une protection ciblée des actifs sensibles et vers un entraînement plus poussé à la gestion de crise et à la communication associée. En effet, en cas d’incident, vous serez jugé autant sur votre capacité à rétablir le service ou à limiter le vol de données que sur la manière dont vous gérerez votre communication vers vos clients et vos actionnaires. Bonne lecture à tous ! Laurent Bellefin, directeur associé du cabinet Solucom directeur de la publication
  4. 4. 4• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité La menace explose et s’organise La cybercriminalité connaît une croissance démesurée. Elle évolue à un rythme effréné, suivant une dyna- mique similaire à celle de l’utilisation des systèmes d’information au sein de la société. Cette criminalité revêt de multiples formes et comporte de nombreuses dimensions que les grandes entreprises doivent com- prendre et considérer en fonction de leurs activités. Des motivations très variées Même s’il est parfois difficile d’établir une limite claire entre les différentes motivations des cybercriminels, nous pouvons en distinguer 4 majeures : • L’idéologie vise à défendre une conviction (par exemple poli- tique ou religieuse) à travers des attaques dont le but est d’inter- rompredesservicesàdiffuserdes messages partisans, ou à divul- guerlesdonnéesd’uneentreprise pour nuire à son image. • Les gains financiers directs : il s’agit par exemple du vol de données bancaires (en parti- culier des numéros de cartes), de données personnelles, mais aussi de données critiques de l’entreprise comme les secrets industriels ou les informations concernant sa stratégie. Elles seront revendues par la suite ou utilisées pour réaliser des fraudes. • La déstabilisation entre États ou le cyberterrorisme visent à détruire des systèmes ou à voler des données stratégiques afin de nuire au bon fonctionnement des services critiques ou vitaux des États. • Par ailleurs, l’obtention de capa- cités d’attaques est une moti- vation qui se développe. Elle consiste à voler les secrets des mécanismes de sécurité (mots de passe, certificats, failles de sécurité, etc.) ou à attaquer les SI des fournisseurs (infogérants, opérateurs de télécom, fournis- seurs de solutions de sécurité) de sociétés qui seront visées ultérieurement. Ces éléments sont utilisés plus tard pour lan- cer la véritable attaque. Peu importe la motivation, les cyber- criminels ne se fixent plus aucune limite dans la réalisation de leurs desseins. De nos jours, ces attaques peuvent toucher n’importe quelle entreprise, quel que soit son secteur d’activité, comme l’a récemment montré l’actualité. Denouveauxscénariosd’attaques à prendre en compte Les scénarios d’attaques les plus clas- siques sont souvent connus et maîtri- sés par lesgrandes entreprises. Ils’agit par exemple de l’ingénierie sociale par messagerie (phishing) ou téléphone, les dénis de service et les attaques sur les sites web.             Les motivations des cyberattaquants et quelques exemples d’états ou entreprises qui ont été ciblés
  5. 5. Octobre 2013 - Les Synthèses © Solucom 5• programme visait à collecter des don- nées bancaires auprès des internautes dont l’ordinateur avait été compro- mis. Un autre cas, encore plus ciblé, concerne un site dédié aux person- nels et sous-traitants du ministère de l’énergie aux USA ayant travaillé dans le secteur du nucléaire. Les attaques destructrices sont réelle- ment apparues en 2011. Elles visent à rendre inopérante une partie du système d’information en détruisant logiquement les postes de travail et les serveurs. Ce scénario commence souvent par une intrusion silencieuse qui permet de prendre le contrôle des éléments centraux du SI et ainsi de pouvoir déployer rapidement sur l’en- semble des postes de travail un code malicieux qui détruira les données pré- sentes sur le disque dur. La Corée du Sud a connu des vagues successives d’attaques destructrices visant des grandes banques et des chaînes de média. En utilisant un malware spé- cifique capable de se multiplier et en détournant les systèmes de télédistri- bution, les attaquants ont pu détruire logiquement plus de 30 000 postes de travail. Les grandes entreprises doivent enfin être attentives aux attaques de tiers et / ou de partenaires métiers. Dans ce cas, les attaquants visent un fournis- seur ou un partenaire clé plus facile à attaquer que la cible finale. Face à ces attaques, les sociétés visées sont sou- ventdépourvuesdemoyensderéponse rapides et efficaces. Par ailleurs, les problèmes de responsabilités et d’en- gagements contractuels complexifient la gestion de crise. RSA a ainsi subi en Mais de nouvelles formes de cyberat- taques apparaissent tous les jours et il est nécessaire de se préparer à lutter contre elles. Les attaques ciblées avec des e-mails piégés se développent. Également connue sous la dénomination spear phishing, ce type d’attaque prend la forme d’un message électronique qui semble émaner d’une personne ou d’une entreprise réputée et de confiance. Mais en réalité, il s’agit d’un message piégé qui permet de prendre le contrôle de l’ordinateur de la personne ciblée en contournant les mécanismes de sécurité présents à la fois sur la messagerie et sur le poste de travail. Ces attaques sont actuel- lement à l’origine de la majorité des incidents graves. Des cybercriminels ontparexempletentédedétournerdes fonds des entreprises Quick et Scor en usurpant l’identité des PDG auprès du service comptabilité. Heureusement, les versements frauduleux n’ont pas étéréalisés,maisceuniquementgrâce à la vigilance des services comptables. Le spear phishing aurait également été utilisé avec succès contre des struc- tures comme le ministère de l’écono- mie et des finances et a conduit à une intrusion sur son réseau. Un autre type d’attaque est en vogue, le waterholing. Ce terme vient d’une analogie avec les points d’eau où les prédateurs attendent patiemment des proiesvenuesboire.Ilconsisteàpiéger unsitewebparticulier,connupourêtre visité fréquemment par les personnes ciblées. L’attaquant réalise une intru- sion discrète lui permettant d’ajouter uncodemalicieuxsurlesite.Envisitant ce site, habituellement de confiance, la personne verra son ordinateur com- promismalgrélesprotectionsenplace. À titre d’exemple, des pirates sont parvenus à compromettre le site de la chaîne de télévision américaine NBC en diffusant auprès des visiteurs un cheval de Troie bancaire, Citadel. Ce 2011 une attaque visant à récupérer les informations concernant leur sys- tème d’authentification forte nommé SecurID, pour ensuite attaquer les systèmes du constructeur américain Lockheed Martin. Enfin, il est important de prêter atten- tion aux attaques qui visent vos clients sans pour autant attaquer vos SI. Des cas d’usurpations d’identités croi- sées sont de plus en plus courants. Par exemple, les attaquants utilisent l’image d’un service public pour voler les coordonnées bancaires. Une difficulté à évaluer les impacts de ces attaques Il est aujourd’hui difficile d’estimer de manière fiable les pertes engen- drées par la cybercriminalité. De très nombreux chiffres circulent, allant jusqu’à comparer cette forme de cri- minalité avec le trafic de drogue en termes de gains. La raison de ce flou est simple : les entreprises ne communiquent pas sur les incidents qu’elles rencon- trent. La plupart du temps, elles ne réalisent pas non plus d’analyse post-mortem pour évaluer les pertes directes (arrêt du SI, jours / hommes perdus, etc.) comme les pertes indirectes (contrats perdus, pro- priété intellectuelle dérobée, etc.). Cependant, nos observations sur le terrain montrent que des incidents cybercriminels importants entraînent des coûts directs liés à la gestion de crise et de remédiation dont le mon- tant varie généralement de 5 à 30 M€ par évènement. « Les coûts directs liés à la gestion de crise varient généralement de 5 à 30 M€ par évènement »
  6. 6. 6• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Face aux nouvelles menaces de la cybercriminalité, les États réagissent pour protéger les citoyens et les sys- tèmes cruciaux pour leurs activités. Devant cet enjeu militaire et écono- mique récent, des actions ont été lancées partout dans le monde. Un mouvementgénéralqui,malgrélacrise et les réductions de budget, trahit l’im- portance accordée au sujet : la cyber- défense tout comme la cybersécurité sontaujourd’huidevenuesdespriorités politiques. Pour les entreprises, ces démarches sont autant des opportu- nités que des contraintes. Protéger les entreprises en cas d’atteinte à leur SI En France, de nombreuses lois ont progressivement intégré la com- posante sécurité de l’information. Parmi les plus marquantes, nous pouvons citer : • La loi Godfrain qui sanctionne les intrusions dans les systèmes informatiques ; • La loi sur le secret des affaires : 2012 a vu l’adoption en première lecture d’un texte qui n’est pas encore allé plus loin dans le processus législa- tif. Inspiré du Cohen Act des États-Unis mais aussi d’autres textes européens, cette loi défi- nit la notion « d’informations protégées relevant du secret des affaires d’une entreprise » et introduit le délit de divul- gation de ces informations. Jusqu’ici, en cas de fuite, les responsabilités pouvaient être recherchées pour vol, abus de confiance ou encore violation de propriété intellectuelle. Il est difficile de faire reconnaître des délits « virtuels » touchant des données immatérielles non reconnues par le code pénal. Les peines prévues dans ce nouveau texte sont largement plus dissuasives : 3 ans de pri- son et 375 000€ d’amendes. Dans ce nouveau cadre, les entreprises auront intérêt à iden- tifier les données concernées, les marquer et mettre en place les mesures de sécurité ad hoc pour assurer la recevabilité d’une plainte devant un tribunal. Néanmoins, ce mouvement d’accom- pagnement aux entreprises reste en retrait par rapport à d’autres textes de loi, qui leur imposent de nombreuses exigences en matière de protection des données. Protéger les données à caractère personnel et la vie privée En France, la loi Informatique et Libertés de 1978 a été modifiée en 2004, renforçant les pouvoirs de la CNIL et les obligations d’information. Le projet de règlement européen sur la protection des données à caractère personnelprévupour2014-2015amè- nera de nombreuses nouveautés pour renforcer la protection de la vie privée numérique. Tout d’abord, il allègera les formalités administrativesenpassantd’unrégime déclaratif à l’obligation de nommer un délégué à la protection des données. Cette mesure s’accompagnera d’un alourdissementdessanctions:jusqu’à 1 M€ d’amende ou 2% du CA. Elles prendront donc une dimension autre quesymboliquepourlesgéantsduweb comme Google ou Amazon… Enfin, l’obligation de notifier toute violation d’un traitement de données à caractère personnel sera élargie à toutes les entreprises. Le Paquet Telecoms impose déjà depuis 2011 auxopérateursdetélécommunications de prévenir les autorités, puis si besoin lespersonnesconcernéesparunefuite de données à caractère personnel. Demain, ce sont toutes les entreprises qui seront concernées, quel que soit leur secteur. Les États contre-attaquent Trois axes de réglementation Trois axes de règlementation
  7. 7. Octobre 2013 - Les Synthèses © Solucom 7• En parallèle, l’Europe propose une directive sur la sécurité des réseaux et de l’information qui va dans le même sens que cette loi en élargissant le dispositif à une coopération européenne. Des textes à la pratique  : ressources humaines et matérielles se voient renforcées Afin de franchir une nouvelle étape dans sa capacité de protection, l’État français lance des actions sur d’autres axes. Le premier est celui des ressources humaines. Il s’agit de développer les compétences dans ce domaine et de former des experts à même de répondre à ces nouvelles situa- tions. Si le Ministère de la Défense va voir ses effectifs diminuer de plus de 34 000 emplois (-12,5%) d’ici 2019, certaines entités vont au contraire être renforcées. Ainsi, l’entité « Maîtrise de l’informa- tion » de la DGA (DGA-MI) va recru- ter 200 personnes d’ici à 2017 (+17%) et l’ANSSI encore près de 140 personnes d’ici 2015 (+39%). Cette dernière devrait compter près de 500 personnes 6 ans après sa création. Au-delà de spécialistes, il est néces- saire de faire de la sécurité de l’in- formation un incontournable de tout cursus de formation informatique afin de développer les compétences, mais aussi l’appétence, des informaticiens de demain sur ces sujets. En outre, la volonté de constitution d’une réserve de spécialistes de la cyberdéfense est affichée. Le second axe veut favoriser l’inves- tissement dans des produits de sécu- rité maîtrisés ce qui, complété par un renforcement des politiques d’achats, devrait permettre à l’État d’avoir toute confiance en ses fournisseurs. Les cré- dits consacrés aux études amont sont ainsi en train d’être triplés, passant de 10 à 30 M€ par an. Le troisième et dernier axe s’attache aux comportements humains. Il s’agit de sensibiliser les employés des entreprises, pour prévenir au maximum les incidents, mais aussi plus largement tous les utilisateurs d’internet qui peuvent être ciblés par la cybercriminalité au travers de phishing, waterholing, etc. Protéger les services essentiels de l’État En cours d’adoption, la loi de programmation militaire imposera la notification des atteintes à la sécurité de leur SI aux Opérateurs d’importance vitale (OIV), les entreprises et organismes névralgiques du pays dans les différents secteurs (santé, énergie et transport notamment). Elle donne à l’ANSSI des responsabilités associées : il s’agit ainsi d’imposer des mesures de protection, de détection et traitement des incidents touchant les systèmes sensibles. De nombreuses entreprises publiques et privées sont concernées sur leur périmètre d’importance vitale et devront mettre en place les mesures définies par l’ANSSI sous peine de sanctions pénales. Le champ d’action défensif de l’ANSSI sera également renforcé, lui permettant « d’accéder à un serveur informatique à l’origine d’une attaque afin d’en neutraliser les effets ». Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1,2 et 3 du code pénal qui répriment des actions de ce type.
  8. 8. 8• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Évaluer votre attractivité pour organiser efficacement votre réponse Les États ne pourront pas résoudre tous les problèmes liés à la cybercri- minalité. C’est la raison pour laquelle il est indispensable que les entre- prises se dotent de moyens pour agir contre ce phénomène. Ces mesures ne pourront être efficaces sans la mise en place de plans d’actions coordonnés et soigneusement réflé- chis. Et ces plans doivent être adap- tés aux enjeux métiers de chaque entreprise pour être plus pertinents et efficaces. Identifier ce qui pourrait motiver les cybercriminels… Première étape d’une démarche de lutte contre la cybercriminalité, l’évaluation de l’attractivité consiste à évaluer quel serait l’intérêt pour un cybercriminel d’attaquer l’entreprise. Pour cela, il est nécessaire d’évaluer à la fois les menaces qui peuvent peser sur l’entreprise et ce que les attaquants chercheraient à obtenir. Le secteur d’activité et le positionne- ment sur le marché sont des éléments déterminants. À titre d’exemple, le secteur de la finance reste une cible privilégiée pour les vols de données clients ou les fraudes. Ces attaques sont plutôt réalisées par des cyber- criminels opportunistes qui visent les entreprises les moins bien pro- tégées. Le secteur de l’industrie est, lui, visé majoritairement pour ses données stratégiques et la propriété intellectuelle. Les attaquants auront la volonté de prendre le contrôle du système d’information et de s’y installer dans la durée pour voler les données stratégiques au fil de l’eau. …afin de mieux cibler les réponses à apporter Suite à cette analyse de la menace, il est nécessaire de procéder à une identification rapide des actifs clés de l’entreprise. Cette action, menée avec les métiers, permettra d’identifier les périmètres géographiques et tech- niques potentiellement les plus ciblés. Loin de viser une analyse exhaustive, il s’agit à ce niveau d’identifier les 10 ou 15 périmètres les plus sensibles. Il est en effet illusoire de tout protéger. Habituellement, les systèmes de vente en ligne, les centres de R&D, les popu- lationsCOMEXsontdespérimètresqui ressortent des analyses. Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l’attractivité de l’en- treprise aux yeux d’attaquants. C’est particulièrement vrai pour les grands fournisseurs informatiques qui détiennent de très nombreuses données et des accès multiples aux SI de leurs clients. Les impacts tels que les pertes finan- cières et les pertes de savoir-faire ou avantage concurrentiel seront bien entendu au cœur de la réflexion. Mais les problématiques liées à l’image de l’entreprise vis-à-vis de son écosys- tème et / ou de ses clients sont aussi à prendre en compte. Cette évaluation doit s’inscrire dans une revue régulière des risques avec les métiers. En effet, les périmètres de risques peuvent très largement changer : acquisitions, lancement de projets innovants, communica- tion externe sur de nouveaux projets, etc. Tout peut être l’occasion pour les cybercriminels de lancer une cam- pagne d’attaques. L’évaluation doit donc être inscrite dans la démarche de gestion des risques globale. Une fois cette analyse effectuée, il faut choisir les meilleurs moyens de réponse, qu’ils soient organisation- nels ou techniques. La cybercriminalité touche tous les secteurs d’activité Répartition des incidents de cybercriminalité par secteur d’activité
  9. 9. Octobre 2013 - Les Synthèses © Solucom 9• Les assurances dédiées à la couverture des risques liés à la cybercriminalité (communément appelées cyberassu- rances) sont une solution permettant deréduirelesimpactssurdeuxaxes.Le premier correspond au recouvrement des coûts lié à une attaque cybercri- minelle, tandis que le second vise à diminuer l’impact de l’incident par un apport d’expertise. Cela permet de gagnerenréactivitéetenmaîtrisegrâce àdesspécialistesfinancésoumobilisés par l’assureur. Aujourd’hui, ces assurances peuvent apparaître comme une solution de protection miracle à l’évolution de la cybercriminalité et comme un outil pour répondre à l’évolution de la règle- mentation sur la notification en cas de fuitededonnéesàcaractèrepersonnel. Ces futures obligations font augmen- ter les coûts de gestion des incidents mais aussi la probabilité de recours des clients auprès de l’entreprise... Choisir une assurance en fonction de votre exposition Si elle ne peut empêcher les inci- dents, la cyberassurance est une des composantes à étudier et inté- grer le cas échéant à la réponse face à la cybercriminalité. Elle n’est cependant pas une solu- tion adaptée à tous les contextes. Elle doit être considérée en particu- lier si l’entreprise est dans l’un des cas suivants : • Les attaques potentielles ont des conséquences mesurables et donc remboursables (par exemple la perte de chiffre d’affaires sur un site de e-com- merce) ; • L’entreprise dispose d’un SI for- tement exposé sur internet où elle gère de nombreuses don- nées personnelles. Ces deux fac- teurs augmentent la probabilité d’une attaque et donc l’intérêt d’une assurance ; • Elle dispose d’un manque d’ex- pertise sur le sujet de la cybercri- minalité et souhaite pouvoir dis- poser d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cybe- rassureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juri- dique, communication, gestion de crise, forensics, etc.). Bien souscrire pour bien vous protéger......................... Le processus de souscription consti- tue le pilier fondateur d’un transfert de risques réussi. En premier lieu, le client doit confronter les risques à couvrir avec ceux déjà couverts par les assurances déjà souscrites. Pour ce faire, une analyse de risques et un bilan assurantiel impliquant toutes les parties de l’entreprise sont nécessaires. Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes. Il sera jugé sur son expertise cyber, sa capacité à offrir une couverture multi-assureurs et les modalités d’accompagnement au cours de la vie du contrat. Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité du client. Le courtier identifie ensuite, grâce à sa connais- sance poussée du marché, les assu- reurs les plus à même de répondre au besoin. Il sera alors temps d’en- tamer les négociations sur les critères classiques des assurances : montant de couverture, prime et franchise. Une réunion de marché permettra aussi aux assureurs de comprendre le risque pris en échangeant sur les mesures de sécurité en place. Une fois le contrat en place, il faudra informer régulièrement l’assureur et le courtier des évolutions du péri- mètre et mettre en place les proces- sus de déclaration et d’utilisation des services prévus. Une revue régulière permettra également en théorie d’ajuster le montant de la prime. Une solution émergente : la cyberassurance Les chiffres clés de la cyberassurance • Capacité du marché (montant maximum de couverture) : +/- 20 M€ par assureur, possibilité d’aller jusqu’à 100 à 150 M€ en contrat multi-assureurs. • Prime : 1 à 5% du montant annuel garanti; • Franchise : de 200 K€ à plus de  1 M€ pour les grands comptes (à partir de 5 K€ pour les PME). Frais couverts par les cyberassurances
  10. 10. 10• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Adapter votre gestion de crise à la cybercriminalité avancée Aujourd’hui, les entreprises dispo- sent de processus de gestion des incidents à même de traiter des situations classiques (virus ou indis- ponibilités). Ces moyens ne sont pas adaptés aux nouveaux scénarios de crise, et en particulier aux attaques ciblées. A contrario, le dispositif de gestion de crise est conçu et mis en place pour adresser des événements « disrup- tifs » majeurs qui interrompent ou modifient le fonctionnement au quotidien de l’organisation. C’est un dispositif avant tout managérial, qui repose sur plusieurs briques complémentaires : • Des mécanismes d’alerte ; • Des personnes capables d’ana- lyser et qualifier les alertes remontées par les processus de l’entreprise ; • Des personnes capables de réa- gir, traiter opérationnellement et prendre des décisions. Faire face à une menace discrète et évolutive : 8 conseils éprouvés pouradaptervotregestiondecrise Plusieurs enseignements issus du traitement de crises récentes chez des grandscomptesfrançaissontàprendre en compte dès maintenant pour faire évoluer le dispositif de crise et se pré- parer à une attaque ciblée. 1. Prendre du recul face aux inci- dents unitaires........................ Les incidents de sécurité font la plupart du temps l’objet d’un traite- ment unitaire. Résolus un par un, il est difficile d’établir un éventuel lien entre eux. Il faut donc prendre le recul nécessaire afin de détecter des com- portements dangereux qui se cachent derrière plusieurs anomalies d’appa- rence bénigne, sans exclure la pos- sibilité d’actes de diversion (attaque de manière visible sur des éléments finalement peu sensibles, durant les périodes d’inactivité comme la nuit, etc.). 2. Mobiliser les métiers................ Il faut absolument éviter de considérer de telles crises comme des incidents purement informatiques : il s’agit en réalité d’incidents métiers, puisque ce sont principalement eux qui en subis- sent les impacts. Les métiers doivent donc être en première ligne avec des équipes capables d’identifier les sys- tèmes et données critiques. 3. Mettre en place une organisation en miroir des attaquants.................... Les retours d’expérience de crises majeures des dernières années ont montré que les attaquants sont de plus en plus structurés autour de profils dis- tincts avec des expertises variées. Le pilote de l’attaque est le « cerveau » qui a la compréhension des enjeux, de la cible et la connaissance de l’infor- mation recherchée. Les équipes d’in- trusion sontspécialisées dansl’infiltra- tion : leur rôle est d’enfoncer les portes du SI. Elles disposent potentiellement de compétences techniques avancées et ont pour but de maintenir leur pré- sence le plus longtemps possible. Les données sont ensuite extraites par une troisième équipe, souvent moins compétente et qui peut parfois réaliser deserreurstrèsutilespourcomprendre l’objectif de l’attaque et les moyens mis en œuvre. Ilfautdoncs’organiserenconséquence. Les métiers doivent mettre en place des équipes de réaction dédiées pour identifier les systèmes et données cri- tiques. Côté SI, les équipes forensics ont pour tâche de comprendre le fonc- tionnement des attaques et donner les Les attaques ciblées, un nouveau défi pour la gestion de crise Les attaques ciblées ont pour spécificité de viser des informations et systèmes sensibles dans une entreprise. Ses auteurs sont mandatés pour viser une cible avec un objectif clair : voler ou altérer des données confidentielles, détruire le SI, etc. Le niveau de technicité et les moyens disponibles peuvent s’élever drastiquement. Ces crises, qui amènent à une prise de contrôle généralisée du SI dans la durée, sont à la fois les plus redoutées, celles qui peuvent causer le plus de dégâts dans l’entreprise, mais aussi celles auxquelles les entreprises sont aujourd’hui le moins préparées. En effet, peu d’entre elles les ont intégrées à leurs scénarios de crise. Il s’agit souvent d’une succession d’attaques silencieuses : prises unitairement, leurs effets sont bénins, mais leur articu- lation amène à une large compromission. C’est également la raison pour laquelle leur existence est généralement détectée bien après leur démarrage : en moyenne, presque un an. « Les incidents de cybercriminalité sont per- çus à tort comme des problèmes informa- tiques alors qu’il s’agit de crises métier »
  11. 11. Octobre 2013 - Les Synthèses © Solucom 11• sieurs mois, dont il est parfois délicat de discerner le début et la fin. Eneffet,unefoislesattaquesjugulées, les efforts sont loin d’être terminés : des actions de reconstruction sont nécessaires. Il faut recréer des zones de confiance, en privilégiant d’abord les fonctions les plus sensibles de l’en- treprise. Il faut également mettre sous surveillance ces zones assainies. 6. Éviter le phénomène de la « pyra- mide inversée  »...................... Enfin, attention à ne pas subir un phénomène de « pyramide inversée » créant des équipes à deux vitesses : les acteurs décisionnels de la gestion de crise en sureffectif par rapport à des acteurs opérationnels du SI, eux sub- mergés. Ceux-ci, seuls à disposer de la connaissance pour réaliser les actions techniques sur le SI, reçoivent souvent trop d’ordres contradictoires dans un faible intervalle de temps. 7. Penser des solutions SI dégra- dées indépendantes........... Il est parfois nécessaire d’innover durant ce type de crise, et passer s’il le faut par des mesures exception- nelles, comme l’utilisation de moyens informatiques alternatifs. Il s’agit par exemple de postes de travail décon- nectés du SI compromis, et donc hors de portée des attaques, ou encore d’adresses e-mail externes à l’abri des regards des attaquants en utilisant des services demessagerieCloudougrand public. 8. Prévoir les interactions externes Un contact en mesure de conserver les informations relatives à la crise confidentielles doit être identifié au préalable chez chacun des acteurs extérieurs impliqués dans une crise cybercriminalité – forces de l’ordre, assureurs, autorités de contrôle. éléments techniques d’identification, tandis que les équipes de réaction SI doiventpenserlareconstructiondansla durée, afin de ne plus subir à nouveau ce type d’intrusion. Au cœur du dispositif, il est nécessaire qu’une cellule de pilotage coordonne l’ensemble de ces acteurs. Notons que de nombreuses fonctions transverses doivent être impliquées : la direction juridique, la communication, la rela- tion client ont notamment un rôle important à jouer durant la crise. 4. Se doter de compétences forensics et d’un outillage adapté pour com- prendre l’attaque......................... Comprendre la succession d’évène- ments nécessite des équipes dédiées avec des compétences de foren- sics (investigation numérique). Ces équipes doivent disposer de moyens techniques, outils d’analyse de traces, accès aux journaux, plate-forme de stockagedesélémentstechniques,etc. 5. Anticiper dès maintenant une crise au long cours........................ L’un des aspects importants des com- promissions avancées est leur durée : il s’agit alors de gérer des crises de plu- Adapter sa structure de gestion de crise à l’attaque
  12. 12. 12• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité selon une étude Ponemon Institute en 2012, 83% des victimes d’une fuite de données pensent que l’en- treprise n’est pas digne de confiance. Il s’agit donc de réagir de manière à minimiser cette perception en com- muniquant de manière adaptée. Identifierlesscénariosredoutéspour préparer la notification aux clients Pour initier la démarche, l’entreprise doit se positionner sur les scénarios de risques qu’elle souhaite couvrir, en identifiant les scénarios redoutés les plus critiques, de par leur probabilité ou leur impact. Par exemple, un site de vente en ligne sera plus exposé à un vol de données clients par le web qu’un hôpital qui redoutera plutôt une attaque en profondeur sur le SI pour collecter des données médicales. Plusieurs actions devront être réa- lisées en amont : cartographie des données à caractère personnel, évaluation du degré de protection Vous préparer à la notification des fuites de données à caractère personnel Les exigences de notification des incidents se renforcent peu à peu. Demain, c’est l’ensemble des incidents de sécurité que les OIV en particulier devront notifier à l’ANSSI sous peine d’amende. Une nécessaire coordination devra donc être mise en place entre les différents acteurs concernés. En attendant, le sujet le plus urgent à traiter est celui de la notifica- tion relative aux clients car il a un impact direct et visible sur l’image de marque de l’entreprise. De nouvelles obligations liées aux données à caractère per- sonnel pour les entreprises Les obligations sont doubles : d’un côté, il s’agit de notifier aux autorités compétentes (la CNIL en France) la violation du traitement de données à caractère personnel, et de l’autre de notifier l’incident aux personnes concernées s’il représente un risque d’atteinte à leur vie privée. La notification devra se faire sous 24h à partir du moment où l’atteinte aux données est découverte. S’il peut s’avérer compliqué de donner les détails nécessaires sur l’incident dans les premières heures de la crise (nombre de personnes touchées, nature de l’incident, etc.), il est préférable de réaliser tout de même la notification dès que possible. Des compléments d’informations pourront par la suite être remis à l’autorité (dans les 3 jours). Et si l’obligation réglementaire de notification aux personnes ne touche aujourd’hui qu’une poignée d’entre- prises, nombre sont celles qui le font déjà dans un souci de transparence ou sont contraintes de fait de réali- ser cette notification : une fois l’in- formation ébruitée par les médias, elle devient inévitable. La remise en cause de la confidentialité des données des clients conduit à une perte de confiance dans la relation : Coordonner les différentes notifications aux autorités Si la notification aux personnes concernées nécessite de manière évidente une bonne maîtrise de la commu- nication, il ne faut pas sous-estimer la notification aux autorités et mettre en place des procédures efficaces. Des fuites de données à caractère personnel… L’interlocuteur en charge des notifications de violation de traitements de données à caractère personnel doit être connu et identifié par les équipes qui détectent les incidents et gèrent la crise, et intégré dans les communica- tions de crise SI. Il s’agit bien souvent du correspondant habituel de la CNIL pour les formalités déclaratives et les contrôles, en support du service juridique. …qui sont des incidents de sécurité D’autres autorités comme l’ANSSI ou certains services de l’État peuvent être à inclure dans la démarche de notification. Il sera donc nécessaire de capitaliser sur les acteurs impliqués et les processus mis en place pour les fuites de données à caractère personnel pour assurer la fluidité et la cohérence des notifications aux différents organismes : cohérence des informations et des mises à jour, simultanéité des notifications, etc. Attention, les enjeux de notification peuvent parfois s’opposer. Entre transparence et confidentialité, un juste équilibre devra être trouvé conjointement avec les autorités.
  13. 13. Octobre 2013 - Les Synthèses © Solucom 13• actuel (en particulier existence de chiffrement pour limiter le risque de devoir notifier les clients) mais la grande nouveauté vient des réflexions sur la notification en elle-même et sur les impacts dans l’entreprise. Au-delà du risque pour elle, elle doit également analyser ceux du point de vue de l’individu et placer la vie privée comme enjeu premier afin de préve- nir la fraude financière, l’usurpation d’identité, etc. Les questions clés à se poser pour qualifier le risque d’at- teinte à la vie privée seront donc les suivantes : • À quand remonte l’incident ? • Quelles sont les données concernées par l’incident au sein du SI ? • Quels types de données sont concernés (identification, mode de vie, etc.) ? • Qui est concerné par les données atteintes (collaborateurs, clients, etc.) ? • Quel est le nombre de personnes affectées ? • Et surtout, quel usage mal- veillant peut-il en être fait avec des conséquences néfastes pour les individus (sécurité des personnes, réputation, financier, etc.) ? - De par leur nature : don- nées médicales, opinions, etc. - De par l’usage : données ban- caires, état civil, etc. Le résultat de cette analyse doit permettre de définir le contenu de la communication mais aussi si la personne concernée doit elle- même réaliser une action pour réduire le risque, par exemple, un changement de mot de passe. Construire le plan de réponse d e m a n i è r e a n t i c i p é e Cadrer en amont les grandes lignes d’un plan de réponse permet d’être plus réactif le jour où un incident sur- vient, car l’ensemble des acteurs à mobiliser (relation client, marketing, RSSI, juristes, etc.) aura déjà tra- vaillé ensemble. Les canaux de com- munication doivent être identifiés et sélectionnés en fonction des canaux utilisés avec les clients : courrier, email, appel téléphonique, agence, etc. Identifier les solutions logistiques associées à la communication permet- tra une réactivité plus importante le jour J : capacité à contacter les clients (connaissance des adresses postales et électroniques), redimensionnement des capacités du CRC, impression de courriers en masse, assistance aux clients victimes de fraude. Pour éviter des effets désastreux, le contenu de la notification doit égale- ment être travaillé pour maximiser la perception positive de la communica- tion. Une étude Ponemon Institute a montré que 61% des destinataires de notifications les trouvent trop compli- quées à comprendre : la part à appor- ter aux explications et à la vulgarisa- tion des concepts techniques parfois compliqués prend toute son impor- tance ! Il est également nécessaire de présenter les risques identifiés et de rassurer sur les actions mises en œuvre pour protéger les données et éviter que l’incident ne se reproduise. La description des actions à réaliser, les ressources complémentaires (tuto- riels, etc.) et les contacts sont impor- tants à mentionner pour permettre aux clients d’en savoir plus. Une étude menée par AllclearID a en effet montré que 20% des personnes notifiées cherchent à contacter l’en- treprise pour avoir plus d’éléments et passent entre 5 et 20 minutes avec le service clients, ce qui peut entraîner en plus une paralysie des canaux de vente. Il s’agit donc bien là de bonnes pratiques indispensables à prendre en compte pour préserver la relation avec les clients. « 83% des victimes d’une fuite de données pensent que l’entreprise concernée n’est pas digne de confiance » 1 2 3 Les étapes préalables à la notification
  14. 14. 14• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Repenser votre modèle de sécurité pour l’adapter aux nouvelles menaces L’objectif a longtemps été pour les entreprises d’empêcher des intrusions sur leur SI. Cette approche, si elle a de nombreuses vertus, est dépassée par des attaques qui contournent facilement les mesures de sécurité usuelles (correctifs, antivirus, etc.). Il faut aujourd’hui accepter le caractère inévitable des intrusions, et donc se préparer à y faire face. Pour cela, le modèle de sécurité doit répondre à un objectif de protection ciblée, de détection et de réaction large. Protéger les périmètres sensibles Il faut dans un premier temps identi- fier et « sanctuariser » les périmètres les plus sensibles : les applications métier vitales, les données critiques ainsi que les collaborateurs qui les manipulent, ou encore les infras- tructures informatiques dont la compromission pourrait avoir un effet désastreux (système de gestion du SI, outils d’administration, etc.). Cette protection passe par la construc- tion de bastions sécurisés. Ils seront particulièrement surveillés grâce à des équipes et des moyens dédiés (annuaire spécifique, pare-feux, mécanismes de chiffrement, outils de surveillance, alerte sur modifica- tion, etc.). Il s’agit de les considérer comme des îlots indépendants du SI. Il sera aussi essentiel d’adopter une approche de sécurisation drastique des postes de travail concernés. D’autre part, dans l’objectif de rapprocher les protections au plus près des données, la mise en place d’une cellule de sécurité applicative est une bonne pratique encore peu répandue. Son rôle est d’agir sur la robustesse des applications internes, tant au moment de leur conception que durant leur cycle de vie (correc- tifs, mises à jour, etc.). Cette ini- tiative doit aussi être portée par les équipes internes mais aussi étendue à l’ensemble des prestations exter- nalisées (développement, héberge- ment, Cloud, etc.). En particulier, les applications métiers les plus exposées pourront faire l’ob- jet de mesures spécifiques : ana- lyse temps réel des transactions, alerte et blocage de flux en cas de fraudes, authentification basée sur les risques, contrôle d’intégrité, etc. Mettre en place des disposi- tifs techniques ciblés........... Se préparer à lutter contre des attaques cybercriminelles passe aussi par l’utilisation de solutions innovantes dédiées à ces nouvelles menaces. Sans prétendre à l’ex- haustivité, nous vous proposons quelques approches qui peuvent s’avérer efficaces pour lutter contre certaines catégories de cybercrimina- lité. Attention, pour bien fonctionner, ces solutions technologiques devront toujours être accompagnées d’un dis- positif humain adapté. Se protéger contre les DDoS....... Les DDoS, attaques par saturation d’un système afin de le rendre indis- ponible, sont devenues très cou- rantes. L’approche classique pour s’en protéger consistait à réagir avec l’opérateur télécom concerné en cas d’attaques : une solution longue à déclencher et très impactante. De nouvelles méthodes consistent à placer des mécanismes permettant de surveiller les tentatives de déni de service. Si une attaque est détec- tée, le trafic réseau est dévié auprès d’un fournisseur Cloud ou chez un opérateur. Disposant de l’outillage nécessaire pour nettoyer le trafic en isolant la partie malveillante puis en routant uniquement les flux légitimes vers l’entreprise. Une fois l’attaque passée, le trafic reprend son chemin normal. Mettre en place des « bacs à sable » d’analyse des fichiers................. Les antivirus fonctionnent depuis longtemps à l’aide de signatures : si un fichier ou une attaque répond à un certain nombre de critères précis, il est détecté comme malveillant. Cette approche montre chaque jour un peu plus ses limites avec les failles dites 0-day (encore non divulguées publi- quement). Une méthode aujourd’hui plus efficace est de simuler dans un « bac à sable » l’exécution de tout fichier circulant sur le réseau. Si le fichier a un comportement suspect, le système de protection peut alors le bloquer. Séparerlesusagesselonleursensibilité... Les utilisateurs traitent souvent sur le même ordinateur des infor- mations sensibles, des documents bureautiques, ou encore des fichiers personnels. Si l’utilisation de machines diffé- rentes pour chaque niveau de sen- sibilité est toujours difficile pour des raisons bien évidentes de coûts et de complexité d’usage, la virtualisation peut être une réponse technique à ce besoin. Sur un même poste, il exis- terait alors plusieurs environnements (confidentiel, bureautique, person- nel, etc.) étanches et disposant cha- cun du niveau de sécurité idoine. Réduire les privilèges des admi- nistrateurs........................... Un chantier de diminution des droits administrateurs doit également être engagé. Trop souvent, les comptes se démultiplient et les pratiques d’ad- ministration sont dangereuses (utili- sation de poste connecté à internet par exemple). Au-delà de l’utilisation de postes dédiés, des plates-formes de rebond doivent être utilisées pour tracer les actions d’administration.
  15. 15. Octobre 2013 - Les Synthèses © Solucom 15• Se doter d’un dispositif de détection et de réaction élargi Les entreprises doivent être en mesure, lorsqu’une attaque survient, de la détecter, de l’analyser et de réagir correctement. Renforcer ou créer un SOC / CERT... Avant même d’envisager le déploie- ment de solutions techniques à large échelle, il est nécessaire de se doter des compétences en interne pour coor- donner la détection des incidents et les réactions avec le recul nécessaire. Un centre des opérations sécurité (aussi appelé SOC, CERT ou encore CSIRT) devra être créé ou renforcé. Ses activités s’articulent autour de trois axes : • La prévention des attaques, à travers des actions de veille et de gestion des vul- nérabilités informatiques ; • La surveillance du SI et d’inter- net, à travers la détection d’inci- dents et le suivi d’indicateurs de compromission mais aussi pour suivre et détecter les usages malicieux de votre identité (phishing, noms de domaines, réseaux sociaux) ; • La gestion de crise : il sera le pilote technique des crises de cybercriminalité, apportant l’expertise permettant de com- prendre les incidents et réduire leurs impacts. Lors d’une attaque, il peut être le maître d’œuvre de réaction plus « active » (demande de fermeture des sites utilisés pour l’exfiltration, envoi de fausses informations, etc.) interve- nant en dehors du SI de l’entreprise concernée. Renforcer les opérations de détection enprofitantdelapuissancedu Cloud... En parallèle de cette structure, il est nécessaire de renforcer l’outillage de surveillance du système d’information. Mise en place de politique de journa- lisation et centralisation des journaux des équipements de sécurité et des serveurs les plus sensibles sont les premières actions à réaliser. D’autres plus avancées peuvent être envisagées, comme par exemple l’externalisation de cette surveillance auprès d’un MSSP (Managed Security Service Provider), ou encore le recours à des outils de cor- rélation des journaux, voire en utilisant des approches Big data. Par ailleurs, les éditeurs de solutions de sécurité proposent de plus en plus d’outils s’appuyant sur une approche Cloud, dont le principe est d’envoyer les données à analyser à l’éditeur plutôt que de reposer entièrement sur un outil déployé en interne. Il est ainsi possible de profiter de l’expérience acquise par le fournisseur au cours d’attaques pré- cédentes (notamment au sein d’autres entreprises) et de faire intervenir des experts en sécurité pour une analyse en temps réel. Connaître le niveau de vulnérabilités du SI Rôles et activités du CERT
  16. 16. 16• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Conclusion Les États investissent, les entreprises doivent emprunter le même chemin Aujourd’hui, l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. En regard, les grandes entreprises adoptent une approche encore trop timorée et réductrice face à l’évolution des menaces. Et si certaines ont su avancer, c’est bien souvent après avoir été durement touchées par un incident. Les directions générales commencent à prendre conscience des risques mais les investissements restent largement en retrait - souvent car il est difficile d’avoir une idée claire de la stratégie à suivre face à une menace en constante évolution. Changer de posture : allier protection, détection et réaction Au vu du niveau d’expertise des cybercriminels et de la faiblesse, par construction, des systèmes d’information, il est impossible d’empêcher toutes les attaques de réussir. Une nouvelle posture doit être adoptée, alliant une protection avancée des périmètres les plus sensibles et une forte capacité de détection et de réaction aux attaques. Cet équilibrage passe par une évaluation de l’attractivité de l’entreprise pour les cybercriminels et par la définition d’une cible parmi la profusion de solutions techniques, organisationnelles et juridiques adressant la cybercriminalité. Aucune solution ne répond intégralement au problème, la bonne approche se trouve dans une articulation de ces différentes solutions. Construire sa stratégie face à une profusion de solutions À réaliser en priorité, un exercice de gestion de crise sur un ou plusieurs scénarios pertinents pour les métiers permettra de prendre conscience du degré de préparation de l’entreprise. Il sera structurant pour définir les chantiers à court terme, telle que la cyberassurance ou les solutions techniques ciblées (lutte contre les dénis de service, protection des VIP, surveillance d’actifs sensibles, etc.). La préparation aux notifications des incidents aux clients et la mise en place ou le renforcement du SOC et son outillage devront également être envisagés dès aujourd’hui pour porter leurs fruits à moyen terme. 8 Une mobilisation transverse nécessaire
  17. 17. Octobre 2013 - Les Synthèses © Solucom 17• Lutter contre la cybercriminalité, c’est combiner l’ensemble des compétences de l’entreprise Le programme de lutte contre la cybercriminalité demande une mobilisation transverse au sein de l’entreprise, y com- pris d’acteurs encore éloignés de ces problématiques aujourd’hui. L’animateur de ce programme est le plus souvent le Responsable de la sécurité de l’information. Le Risk manager et / ou le DSI doivent aussi jouer des rôles déterminants, voire porter le sujet dans certains contextes. Vu la diversité des thèmes, l’ampleur des changements et les impacts potentiels pour les entreprises, il sera souvent nécessaire de mettre en place une structure transverse. Celle-ci regrou- pera des acteurs de la direction générale, du juridique, de la gestion des risques, de la DSI, de la communication, des principaux métiers : en particulier de la relation client. Ce comité existe déjà dans les entreprises les plus matures. Il suivra l’avancement des projets liés à la cybercrimina- lité. Il participera et animera également le processus de gestion de crise. Un reporting régulier devra être réalisé à la Direction générale sous forme d’indicateurs de risques. Une fenêtre d’opportunité sans précédent pour agir Aujourd’hui, la multiplication des attaques, des révélations et des actions des États offre une opportunité sans pareil pour adresser le sujet de la cybercriminalité en profondeur. Les fonctions dirigeantes des entreprises ne sont plus à sensibiliser, elles sont souvent en attente ! Il est grand temps de leur apporter une démarche claire et simple pour protéger les clients et le patrimoine de l’entreprise dans la durée.
  18. 18. 18• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Glossaire ANSSI ............................ L’Agence Nationale de la Sécurité des Systèmes d’Information, elle assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. A ce titre elle est char- gée de proposer les règles à appli- quer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées. Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notam- ment sur les réseaux de l’État. APT ........................................... Advanced Persistent Threats, caté- gorie de cyberattaques vidant des informations sensibles et précises dans l’organisation et dont le niveau de complexité est adapté à la cible. Authentification forte ............... Procédure d’identification qui requiert l’utilisation d’au moins deux facteurs d’authentification de nature distinctes afin de rendre la tâche plus compliquée à un éventuel attaquant. Certificat ............................... Carte d’identité numérique, il est utilisé principalement pour identifier une entité physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l’identité physique et l’entité numérique. Cheval de Troie.(Trojan)............ Logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l’utilisateur. En général, il utilise les droits appartenant à son environ- nement pour détourner, diffuser ou détruire des informations. Les trojans sont programmés pour être installés de manière invisible, notamment pour corrompre l’ordinateur hôte. DDoS ................................ Distributed Denial of service attack (attaque distribuée par deni de ser- vice), attaque visant à rendre indis- ponible pendant un temps indéter- miné les services ou ressources d’une organisation. Il s’agit la plupart du temps d’attaques à l’encontre des serveurs d’une entreprise, afin qu’ils ne puissent être utilisés et consultés. Faille 0-day .............................. Attaque exploitant une vulnérabilité inconnue jusqu’à ce jour dans une application, ce qui signifie que l’at- taque a lieu au « jour zéro » de détec- tion de la vulnérabilité. Forensics .............................. Ensemble des connaissances et méthodes qui permettent de collec- ter, conserver et analyser des preuves issues de supports numériques en vue de les produire dans le cadre d’une action en justice. Ingénierie sociale............. Escroquerie où des individus mal intentionnés utilisent leurs connais- sances (et leur audace) pour se faire passer pour quelqu’un d’autre. Ils vont tenter d’abuser de la confiance de l’utilisateur, ou de sa crédulité dans le but de lui soutirer un service ou des informations clés. Logs / traces ........................ Enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un pro- cessus particulier (application, acti- vité d’un réseau informatique, etc.). M S S P. . . . . . . . . . . . . . . . . . . . . . Managed Security Service Provider, infogérant proposant aux entre- prises d’externaliser la gestion de leur sécurité Informatique. OIV........................... Opérateurs d’importance vitale, ins- tallations physiques, technologies de l’information, réseaux, services et actifs qui, en cas d’arrêt ou de destruction, peuvent avoir de graves incidences sur la santé, la sécurité ou le bien-être économique des citoyens ou encore le travail des gouverne- ments des États. Phishing ......................... Technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La tech- nique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance afin de lui soutirer des renseignements personnels. Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques. SOC / CSIRT / CERT© ................. Security operation center / com- puter security incident response team / computer emergency res- ponse team : organismes chargés d’assurer des services de prévention des risques et d’assistance aux trai- tements d’incidents. Ces organismes sont des centres d’alerte et de réac- tion aux attaques informatiques, destinés aux entreprises et / ou aux administrations. Waterholing.................. Attaque se référant à un prédateur qui se terre près d’un point d’eau dans l’espoir qu’une proie s’y déplace pour boire. De la même façon, un hacker (le prédateur) utilisant cette technique n’attaque pas directement sa cible mais va plutôt compromettre un site (le point d’eau) pour que celui-ci infecte ses visiteurs.
  19. 19. Octobre 2013 - Les Synthèses © Solucom 19• À propos de Solucom Solucom est un cabinet indépendant de conseil en management et système d’information. Ses clients sont dans le top 200 des grandes entreprises et administrations. Pour eux, le cabinet est capable de mobiliser et de conjuguer les compétences de plus de 1200 collaborateurs. Sa mission ? Porter l’innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d’information un véritable actif au service de la stratégie de l’entreprise. Solucom est coté sur NYSE Euronext et a obtenu la qualification entreprise innovante décernée par OSEO Innovation. Découvrez SolucomINSIGHT, le magazine en ligne de Solucom : www.solucominsight.fr Imaginé sous forme de « club », et porté par deux directeurs du cabinet, l’Atelier Solucom est un rendez-vous bimestriel auquel sont conviés sur invitation une douzaine de clients. Certains sujets adressent les DSI, d’autres les directions métiers. L’objectif ? Identifier et réfléchir avec eux aux challenges de demain et s’y préparer. Quelques mois après chaque Atelier, la Synthèse associée est mise en ligne sur notre site internet. Quelques thèmes récents d’Ateliers : • L’entreprise face au risque cybercriminalité : think global ! • DSI, et si vous deveniez Cloud broker ? • Oser la rupture dans les relations DSI / Métiers pour accélérer les transformations du SI • Le pilotage économique : 1ère priorité du DSI ! • Smart - au-delà du buzzword, préparez la transformation ! Pour en savoir plus sur le programme, ateliersolucom@solucom.fr
  20. 20. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 92042 Paris La Défense Cedex Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01 www.solucom.fr CopyrightSolucom-ISBN978-2-918872-18-4EAN978291872184-Responsabledelapublication :LaurentBellefin

×