Livre blanc 
Pourquoi est-il si simple de dérober 
des données à une entreprise ? 
10 conseils aux entreprises pour amélio...
• POINTS CLÉS • 
Les entreprises doivent se protéger contre un large éventail de menaces 
de plus en plus nombreuses, déve...
DES menaces croissantes à différents niveaux 
• LES APPLICATIONS • 
Outre les différentes applications d’entreprise déploy...
Ainsi, Prolexic Technologies a constaté que les attaques par déni de 
service distribué (DDoS) au cours du troisième trime...
• En avril 2011, une tentative de spear phishing à l’encontre du 
Laboratoire National d'Oak Ridge a pu dérober plusieurs ...
De plus, si le spam n’est pas en lui-même toujours dangereux du 
point de vue de la sécurité, il fait perdre de la bande p...
• LES RÉSEAUX SOCIAUX • 
L’utilisation des trois principaux réseaux sociaux – Facebook, Twitter 
et LinkedIn- ainsi que de...
LA sécurité doit être lapriorité n°1 
Il y a plusieurs conséquences importantes associées à l’infiltration 
de menaces : s...
• La Loi britannique sur la protection des données requiert que 
les entreprises exerçant leur activité au Royaume-uni ass...
1. PRENDRE CONSCIENCE DE LA GRAVITÉ 
DES MENACES ACTUELLES 
De nombreux décideurs, notamment ceux des plus petites entrepr...
stratégie défensive efficace mais sont assurément une composante 
importante d’une défense fiable. 
4. LES POLITIQUES POUR...
1. ADOPTEZ UN PROGRAMME RÉGULIER 
DE CONNAISSANCE DES MENACES ET DE 
SENSIBILISATION À LA SÉCURITÉ 
La compréhension des m...
4. ADOPTEZ LES TECHNOLOGIES ADAPTÉES QUI ASSURERONT 
DES NIVEAUX DE SÉCURITÉ ACCEPTABLES 
Une sécurité fiable doit protége...
© 2013 Osterman Research, Inc. Tous droits réservés. 
Aucune partie du présent document ne peut être reproduite sous quelq...
Prochain SlideShare
Chargement dans…5
×

Pourquoi est-il si simple de dérober des données à une entreprise ?

1 619 vues

Publié le

La protection des données des entreprises, des biens financiers et autres biens électroniques passent par la sécurisation des messageries et du Web, ainsi que par une formation adaptée des procédures à suivre pour chaque utilisateur. Egedian vous livre ici un aperçu des attaques de plus en plus fréquentes et de plus en plus sérieuses subies par les entreprises aujourd’hui, ainsi que des conseils pour vous en prémunir.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 619
Sur SlideShare
0
Issues des intégrations
0
Intégrations
129
Actions
Partages
0
Téléchargements
19
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Pourquoi est-il si simple de dérober des données à une entreprise ?

  1. 1. Livre blanc Pourquoi est-il si simple de dérober des données à une entreprise ? 10 conseils aux entreprises pour améliorer la sécurité des messageries et du Web www.egedian.com Livre blanc écrit par Osterman Research, Inc. pour le compte d’Egedian. Osterman Research, Inc. P.O. Box 1058 • Black Diamond, Washington • 98010-1058 • USA Tél. : +1 253 630 5839 • Fax : +1 253 458 0934 • info@ostermanresearch.com www.ostermanresearch.com • twitter.com/mosterman
  2. 2. • POINTS CLÉS • Les entreprises doivent se protéger contre un large éventail de menaces de plus en plus nombreuses, développées par des cybercriminels et visant leurs données et leurs biens financiers. Les entreprises doivent être d’autant plus vigilantes que les malwares opèrent via un nombre croissant de canaux dont les outils traditionnels comme les e-mails et les ordinateurs de bureau mais également les médias sociaux, les applications de stockage dans le Cloud et de partage de fichiers, les smartphones, les tablettes, les ordinateurs personnels des employés, les lecteurs USB, etc. Les décideurs des entreprises doivent à la fois permettre l’utilisation des appareils appartenant aux employés et assurer une protection contre les menaces qu’ils introduisent. En résumé, les menaces deviennent de plus en plus sérieuses et les décideurs doivent davantage penser à protéger leurs biens essentiels par une meilleure formation des employés, un renforcement des procédures de sécurité et des technologies de sécurité plus sûres. • AU SUJET DE CE LIVRE BLANC • Ce livre blanc fournit un aperçu des menaces de sécurité auxquelles les entreprises sont actuellement confrontées et propose des conseils pratiques que les entreprises peuvent appliquer pour améliorer leur sécurité. Les menaces deviennent de plus en plus sérieuses et les décideurs doivent davantage penser à protéger leurs biens essentiels. 2 RéSUMé Une sécurité des messageries et du Web fiable, associée à une formation adaptée des utilisateurs et des procédures de sécurité, est absolument essentielle à la protection des données des entreprises, des biens financiers et d’autres biens électroniques. Sans solution et contrôle appropriés, les cybercriminels peuvent exploiter des failles de sécurité et provoquer d’importants dommages dans une entreprise. Par exemple : • Le 24 et le 26 décembre 2012, des cybercriminels ont utilisé des malwares installés sur un PC local d’Ascent Builders pour détourner 900 000 US$ du compte Bank of the West de l’entreprise. Le transfert a été suivi peu après d’une importante attaque de déni de service (DDoS) contre la banque, sans doute pour masquer le vol de fonds1. • En décembre 2012, des cybercriminels ont ajouté 11 faux employés au personnel de l’entreprise Niles Nursing en utilisant les identifiants de connexion du contrôleur de gestion de l’entreprise. Les paiements ACH effectués à partir du compte bancaire de Niles ont permis aux criminels de transférer initialement 58 000 US$ de fonds à des individus qui devaient transférer l’argent à des contacts en Russie et en Ukraine. Au total, environ 170 000 US$ ont été dérobés à l’entreprise2. • Une étude réalisée pour le Bureau du Cabinet britannique a révélé que la perte de propriété intellectuelle – causée en grande partie par des malwares et d’autres formes de cybercrime – coûtait aux entreprises britanniques plus de 9,2 milliards de livres par an3.
  3. 3. DES menaces croissantes à différents niveaux • LES APPLICATIONS • Outre les différentes applications d’entreprise déployées par le service informatique dans les entreprises classiques, Osterman Research a également observé une utilisation généralisée d’applications déployées par des individus, telles que des applications de stockage cloud et de synchronisation de fichiers. Elles sont la plupart du temps utilisées sans l’accord du service informatique. L’application Dropbox est par exemple utilisée dans 14% des entreprises de plus de 1000 employés avec l’accord du service informatique et dans 44% d’entre elles sans leur accord, comme l’indique le tableau suivant. Les principales applications cloud déployées par les utilisateurs En % des entreprises Application Jusqu’à 99 employés 100-999 employés + de 1 000 employés Dropbox Déployée par le service IT 17,3% 12,2% 5,7% Utilisée avec l’accord du service IT 39,5% 26,3% 13,2% Utilisée sans l’accord du service IT 21,0% 31,4% 43,1% Non utilisée 22,2% 30,1% 37,9% Apple iCloud Déployée par le service IT 10,1% 13,5% 7,0% Utilisée avec l’accord du service IT 34,2% 22,4% 21,1% Utilisée sans l’accord du service IT 20,3% 23,7% 33,3% Non utilisée 35,4% 40,4% 38,6% Google Drive Déployée par le service IT 7,7% 6,6% 6,7% Utilisée avec l’accord du service IT 28,2% 20,5% 11,0% Utilisée sans l’accord du service IT 20,5% 27,8% 37,8% Non utilisée 43,6% 45,0% 44,5% Google Docs Déployée par le service IT 7,7% 12,7% 10,6% Utilisée avec l’accord du service IT 25,6% 26,0% 12,9% Utilisée sans l’accord du service IT 19,2% 27,3% 38,8% Non utilisée 47,4% 34,0% 37,6% Microsoft SkyDrive Déployée par le service IT 21,0% 10,7% 10,8% Utilisée avec l’accord du service IT 33,3% 24,8% 10,8% Utilisée sans l’accord du service IT 7,4% 17,4% 28,3% Non utilisée 38,3% 47,0% 50,0% Source : Managing BYOD in Corporate Environments (La gestion du BYOD dans les environnements d’entreprise), Osterman Research, Inc. Les outils fournissant des informations de géolocalisation peuvent également être dommageables. Alors que la menace la plus directe provient des criminels qui peuvent cibler les individus, les cadres supérieurs, etc., des informations de géolocalisation à l’apparence inoffensive peuvent communiquer aux concurrents et autres les endroits où se trouvent les principaux dirigeants, entraînant la divulgation de données sensibles, telles que des projets de collaboration avec un nouveau distributeur ou un autre partenaire commercial. • LES ATTAQUES DIRECTES • Les attaques directes de hackers constituent un problème de plus en plus grave auquel les entreprises doivent être préparées. les applications déployées par les employés sont souvent utilisées sans l'accord de leur service informatique. 3
  4. 4. Ainsi, Prolexic Technologies a constaté que les attaques par déni de service distribué (DDoS) au cours du troisième trimestre 2012 étaient 88% plus fréquentes qu’au cours du même trimestre un an auparavant. De plus, alors que la durée d’une attaque DDos typique a diminué au cours de cette période, la bande passante moyenne consommée par ces attaques a augmenté de 230%, dépassant souvent les 20 Gbps4. • LES MALWARES • Les malwares constituent un problème extrêmement grave et affectent la grande majorité des entreprises, même celles qui veillent assidûment à leur protection. Les tentatives de phishing, de spear phishing, les keyloggers, les chevaux de Troie dérobant des mots de passe et les autres types de malwares posent un risque de plus en plus grand pour les données et les finances des entreprises. La cible des malwares est généralement le contenu sensible tel que des noms d’utilisateur et des mots de passe mais peut comprendre également des identifiants de connexion à des systèmes bancaires, des données clients, des secrets industriels et d’autres types de données confidentielles. Le vol d’informations (à la fois personnelles et professionnelles), les systèmes de piratage utilisés à des fins diverses et le lancement d’attaques malveillantes supplémentaires ont tous d’importantes implications commerciales, en plus de l’impact plus classique sur le stockage, la bande passante, l’infrastructure et d’autres coûts. On a observé récemment d’importantes incursions de malwares : • Mi-février 2013, Apple Computer a été victime d’une attaque de malwares qui a infecté des Macs de l’entreprise (nombre non communiqué). Les malwares sont entrés dans l’entreprise via un site Web légitime axé sur le développement logiciel et ont exploité un bug non patché de Java5. • Début février 2013, Twitter a été piraté et les informations de 250 000 comptes utilisateurs ont été exposées, sans doute en raison de l’exploit Java mentionné ci-dessus6. • En juillet 2012, Neurocare, un fabricant de matériel médical, a été attaqué par des malwares qui ont obtenu les identifiants de l’entreprise permettant d’accéder au prestataire externe de service paie. Cela a eu des répercussions négatives sur l’ensemble des employés de Neurocare7. • En juin 2011, le Fonds Monétaire International (FMI) a subi une attaque de spear phishing qui pourrait avoir été perpétrée par un état voyou. Bien que les employés aient reçu la consigne de ne pas ouvrir les pièces jointes inconnues ni les e-mails provenant d’expéditeurs inconnus et de ne pas cliquer sur des liens de vidéos, les malwares d’un e-mail sont parvenus à passer outre la défense du FMI et des informations ont été volées sur les ordinateurs corrompus8. • En avril 2011, des tentatives de phishing ciblant de nombreux employés non qualifiés de l’entreprise de sécurité RSA ont été concluantes. Ces e-mails avaient pour sujet “2011 Recruitment Plan” (Plan de recrutement 2011) et contenaient un fichier Excel comme pièce jointe exploitant une faille zero-day d’Adobe Flash. Bien que ces e-mails aient été envoyés dans les dossiers de spam de ces utilisateurs, ils ont été ouverts à partir de la quarantaine et un cheval de Troie a été installé, capable de recueillir les données de nombreux comptes d’employés, mettant en péril le système d’authentification de RSA. Des centaines d’entreprises ont été attaquées à l’aide du même mécanisme de commande et de contrôle dont IBM, Google, Microsoft et environ 20% des entreprises Fortune 50010. Les malwares constituent un problème extrêmement grave et affectent la grande majorité des entreprises, même celles qui veillent assidûment à leur protection. 4
  5. 5. • En avril 2011, une tentative de spear phishing à l’encontre du Laboratoire National d'Oak Ridge a pu dérober plusieurs mégaoctets de données avant que les administrateurs informatiques ne bloquent l’accès à Internet. L’e-mail envoyé aux employés était censé provenir du service RH du laboratoire et comprenait un lien malveillant. Sur les 530 employés qui l’ont reçu, 57 l’ont ouvert11. • L’UTILISATION LÉGITIME D’INTERNET • Les malwares peuvent accéder à une entreprise via une simple navigation sur Internet si des sites Web légitimes ont été infectés. Par exemple, un célèbre site Web bulgare vendant des montres a été infecté début 2013 et les personnes qui l’ont consulté ont été redirigées vers un site Web infectant les visiteurs avec des chevaux de Troie envoyant des SMS . Les principaux vecteurs de menaces sont les suivants : • Les attaques de type cross-site request forgery (CSRF) permettent à des sites web apparemment sûrs de générer des requêtes auprès de différents sites. Des attaques CSRF ont exploité des vulnérabilités dans Twitter, permettant aux propriétaires de sites d’acquérir les profils Twitter de leurs visiteurs. • Les applications du Web 2.0 exploitant XML, XPath, JavaScript et JSON, Adobe Flash et d’autres applications Internet riches sont souvent vulnérables aux attaques par injection utilisant ces environnements. Ces technologies sont souvent employées pour échapper aux mécanismes antivirus, ce qui motive les attaquants à les exploiter. • Des attaques avec plusieurs composants peuvent se produire lorsque deux malwares inoffensifs apparaissent sur la même page Web. Séparément, ils sont inoffensifs et difficiles à détecter. Cependant, lorsqu’ils apparaissent simultanément, ils peuvent infecter la machine d’un utilisateur avec des malwares. • Les attaques d'injections SQL se produisent lorsque des champs de données d'un site Web peuvent être détournés (via l'insertion de méta-caractères par exemple) afin de pouvoir faire exécuter des requêtes SQL non sollicitées à la faveur d'un potentiel attaquant. • Les attaques de cross-site scripting incorporent des balises dans les URL – lorsque les utilisateurs cliquent sur ces liens, du code Javascript malveillant s’exécute sur leurs machines. • LES E-MAILS • Les e-mails constituaient le premier canal de distribution des malwares du début des années 2000 jusqu’en 2009 environ, jusqu’à ce qu’Internet devienne le principal vecteur d’attaques. Ils demeurent toutefois une méthode clé dans la distribution du spam via différents moyens : messagerie du poste de travail, téléphones mobiles via les SMS/l’envoi de messages de texte etc. Plus récemment, on a observé des “menaces mixtes” : des spams contiennent des liens renvoyant vers des sites web infectés par des malwares. Les menaces mixtes sont une forme d’attaque plus élaborée car elles nécessitent une bonne sécurité Web associée à une protection des messageries électroniques. Si les spams sont moins nombreux aujourd’hui qu’ils ne l’étaient fin 2010, ils constituent toujours un problème important. En effet, les messages de spam standards, souvent utilisés pour distribuer des malwares peuvent causer d’importants dommages. Les malwares peuvent accéder à une entreprise via une simple navigation sur Internet si des sites Web légitimes ont été infectés. Les messages de spam standards, souvent utilisés pour distribuer des malwares peuvent causer d’importants dommages. 5
  6. 6. De plus, si le spam n’est pas en lui-même toujours dangereux du point de vue de la sécurité, il fait perdre de la bande passante, de l’espace et du temps aux employés, sans mentionner le coût associé au déploiement de systèmes pour identifier et supprimer le spam des réseaux d’entreprises. Le spam fait perdre du temps à l’IT et fait grimper le coût global des systèmes de messagerie et des autres systèmes administrés par l’IT. • L’UTILISATION CROISSANTE DES PLATEFORMES MOBILES • Les employés utilisent aujourd’hui de plus en plus de plates-formes mobiles et leurs propres appareils mobiles pour accéder à leur messagerie professionnelle et à d’autres données, comme l’illustrent les deux schémas suivants. Ainsi, le nombre de points d’entrée des malwares continue à augmenter. Pénétration des appareils mobiles fournis par l’entreprise, 2009-2012 Source : études Osterman Research. Le spam fait perdre du temps à l’IT et fait grimper le coût global des systèmes de messagerie et des autres systèmes administrés par l’IT. 120% 100% 80% 60% 40% 20% 0% 2009 2010 2011 2012 Entreprises équipées d'iPads Apple Entreprises équipées de Macbooks Entreprises équipées de smartphones Entreprises équipées d'ordinateurs portables Windows Pourcentage des entreprises utilisant des appareils mobiles 100% 80% 60% 40% 20% 0% 88% 88% 74% 72% iPad Apple iPhone Apple 56% 62% Smartphone BlackBerry 52% 81% Smartphone Android 29% 65% Tablette Android 26% 54% Téléphone Windows Appareil professionnel Appareil personnel 32% 31% 12% 10% Microsoft Surface RT Microsoft Surface Pro 6% 20% BlackBerry Playbook Source : Managing BYOD in Corporate Environments (La gestion du BYOD dans les environnements d’entreprise), Osterman Research, Inc. 6
  7. 7. • LES RÉSEAUX SOCIAUX • L’utilisation des trois principaux réseaux sociaux – Facebook, Twitter et LinkedIn- ainsi que de plus de 1000 réseaux dans le monde crée d’importants problèmes de sécurité, dont le fait que les réseaux sociaux puissent être utilisés comme porte d’entrée des malwares. Comme l’indique le graphique suivant, Osterman Research a constaté que des malwares s’étaient infiltrés dans 24% des entreprises via Facebook et dans 7% d’entre elles via Twitter et LinkedIn. Il est étonnant, cependant, qu’une grande proportion des entreprises ignore si des malwares sont entrés ou non via ces outils. L’infiltration des malwares via différents réseaux sociaux “Des malwares se sont-ils déjà infiltrés dans votre réseau d’entreprises via les réseaux sociaux suivants ?” 100% 80% 60% 40% 20% 0% Oui Non Incertain 24% 7% 7% 55% 67% 72% 21% 26% 21% Facebook Twitter LinkedIn Source : Why All Organizations Need to Manage and Archive Social Media (Pourquoi toutes les entreprises ont besoin de gérer et d’archiver les données des réseaux sociaux), Osterman Research, Inc. Alors que les outils antivirus et antimalwares traditionnels peuvent être relativement efficaces pour bloquer les menaces introduites par les réseaux sociaux, une détection des menaces “zero-hour” et la capacité à mettre en place des mesures correctives est absolument essentielle pour bloquer les malwares susceptibles de s’infiltrer via les réseaux sociaux. Ces systèmes de protection doivent inclure les menaces pouvant s’introduire via un appareil mobile dont l’utilisateur se connecte régulièrement à des réseaux sociaux. • LES VECTEURS DE MENACES DEVIENNENT DE PLUS EN PLUS NOMBREUX ET SÉRIEUX • En résumé, les vecteurs de menaces deviennent de plus en plus sérieux puisque les criminels adoptent de plus en plus de méthodes relevant de l’ingénierie sociale pour convaincre les utilisateurs de cliquer sur des liens et d’introduire des malwares dans les entreprises. Parallèlement les malwares qu’ils développent sont plus performants, plus discrets et le cybercrime génère des dividendes plus importants. Les malwares se sont infiltrés dans 24% des entreprises via Facebook et dans 7% d’entre elles via Twitter et LinkedIn. 7
  8. 8. LA sécurité doit être lapriorité n°1 Il y a plusieurs conséquences importantes associées à l’infiltration de menaces : si certaines sont simplement gênantes, d’autres sont capables de détruire une entreprise financièrement, comme le montrent les sections suivantes. • LE VOL DE COMPTES FINANCIERS D’ENTREPRISE • Un grand nombre d’entreprises de toutes tailles et de tous les secteurs d’activité est ciblé par des keyloggers et d’autres formes de malwares qui permettent aux criminels de détourner des fonds de comptes financiers d’entreprises. De nombreux cas de ce type de vol ont été recensés (d’autres n’ont pas été répertoriés). Bien que toute entreprise puisse être touchée par des malwares ou des attaques directes de hackers, les plus petites entreprises sont généralement des cibles plus rentables car elles ne disposent généralement pas de personnel informatique à temps plein connaissant bien les tactiques actuelles des cybercriminels et souvent, elles ne disposent pas d’une protection sophistiquée pour contrecarrer ces attaques. Les entreprises suivantes ont subi des pertes financières générées par des malwares ou des attaques : • Hillary Machinery : 800 000 US$ (leur banque a pu recouvrer uniquement 600 000 US$ ) • Le Diocèse Catholique de Des Moines : 600 000 US$ • Patco : 588 000 US$ • Le district scolaire du comté de Western Beaver : 700 000 US$ • Experi-Metal, Inc. : 560 000 US$ • Village View Escrow : 465 000 US$ • Une entreprise de construction de Californie non identifiée : 447 000 US$ • Choice Escrow : 440 000 US$ • Le gouvernement du comté de Bullitt, Kentucky : 415 000 US$ • La ville de Poughkeepsie, New York : 378 000 US$ • LA PERTE DE PROPRIÉTÉ INTELLECTUELLE • Les informations propriétaires telles que les secrets de fabrication, les informations confidentielles et sensibles et la propriété intellectuelle de l’entreprise peuvent être perdues suite à une sécurité laxiste, des attaques de hackers, des malwares et d’autres incursions. Ces pertes peuvent avoir lieu suite à la présence de contenu confidentiel dans un e-mail ou dans un transfert de fichier non chiffré, des données perdues sur un appareil mobile ou un support USB non crypté, ou des données que les employés emportent et conservent chez eux. • LES PROBLÈMES DE CONFORMITÉ • En l’absence de mesures de sécurité fiables et de pratiques de bon sens, les entreprises peuvent transgresser un grand nombre de lois requérant la protection des données sensibles. Malgré l’importance du respect des obligations légales, une étude indique que dans une entreprise sur cinq, les décideurs ne connaissent pas les lois s’appliquant à leur entreprise. Vous trouverez ci-dessous un aperçu de ces lois, ne constituant en aucune façon une liste exhaustive : Il y a plusieurs conséquences importantes associées à l’infiltration de menaces : si certaines sont simplement gênantes, d’autres sont capables de détruire une entreprise financièrement. 8
  9. 9. • La Loi britannique sur la protection des données requiert que les entreprises exerçant leur activité au Royaume-uni assurent la sécurité des informations personnelles qu'elles détiennent. • La Loi sur la protection des renseignements personnels et les documents électroniques (LPRDE), une loi canadienne sur la protection de la vie privée, s’applique à toutes les entreprises exerçant leur activité au Canada. Comme de nombreuses autres lois, elle stipule que les données personnelles doivent être conservées et transmises de façon sécurisée. • Le Payment Card Industry Data Security Standard (PCI DSS - norme de sécurité des données de l'industrie des cartes de paiement) est un ensemble d’obligations pour protéger les informations bancaires des utilisateurs et autres. Il requiert de créer et maintenir un réseau sécurisé, cryptant les données des titulaires de cartes lorsqu’elles sont transmises via des réseaux publics et attribuant un identifiant unique à chaque personne ayant accès aux données des détenteurs de cartes. • La Loi Gramm-Leach-Bliley (GLBA) impose que les institutions financières détenant des informations personnelles transfèrent et conservent ces informations de façon à ce que leur intégrité ne soit pas menacée. Le GLBA impose que les institutions financières respectent différentes règles de la Securities and Exchange Commission (la Commission américaine des opérations boursières) et de la NASD (National Association of Securities Dealers, Association nationale américaine des agents de change). • La Loi de protection des données personnelles du Japon vise à protéger les informations personnelles des consommateurs et des employés. Elle comprend, entre autres dispositions, des règles concernant la sécurité et la divulgation des bases de données contenant ces informations. • La première loi d’un état américain requérant la protection des données des consommateurs est la SB1386 de Californie (Database Security Breach Notification Act). Il s’agit d’une loi ambitieuse requérant que toute entreprise qui possède des données personnelles sur un résident de l’état de Californie, quel que soit l’endroit où elle est établie, informe toutes les personnes dont les informations peuvent avoir été exposées de quelque manière que ce soit, sauf si les données perdues ou volées étaient chiffrées. Depuis que la Californie a adopté cette loi avant-gardiste sur la notification des violations de données, de nombreux autres états américains ont adopté des lois similaires. • LES CONSÉQUENCES MOINS CONCRÈTES • Si les failles de sécurité entraînant des pertes financières, de données confidentielles, de propriété intellectuelle ou autres, ont souvent une incidence mesurable sur une entreprise, d’autres conséquences, pouvant être plus difficiles à évaluer, sont tout aussi importantes. Ainsi, une forte infection de malwares ou une violation de données nuira certainement à l’entreprise qui la subit et se traduira par une perte de confiance lorsque l’incident sera rendu public. Certains clients seront moins enclins à faire affaire avec une entreprise qui connaît un important problème de sécurité. Par exemple, l’Institut Ponemom observe systématiquement que le coût le plus important d’une violation de données est la perte de clients. Enfin, les failles de sécurité obligeant le service informatique et les décideurs de l’entreprise à résoudre le problème le plus rapidement possible, ceux-ci laisseront Certains clients seront moins enclins à faire affaire avec une entreprise qui connaît un important problème de sécurité. 9
  10. 10. 1. PRENDRE CONSCIENCE DE LA GRAVITÉ DES MENACES ACTUELLES De nombreux décideurs, notamment ceux des plus petites entreprises, n’ont pas conscience de l’importance des menaces. Ainsi, le Rapport Verizon 2012 Data Breach Investigations (DBIR) a observé qu’en 2011, 58% des vols de données étaient liés à des groupes d’activistes et que 81% de l’ensemble des violations avaient recours à une forme de piratage – des constatations dont de nombreux décideurs n’ont pas conscience. De plus, les chercheurs de Verizon considèrent que l’on observera en 2013 ce que l’entreprise appelle les attaques “faibles et lentes”, axées sur l’authentification, l’ingénierie sociale et différents exploits Web . Il est important de noter que l’évolution des menaces est rapide, le piratage et les malwares étant bien plus susceptibles de générer une violation de données que c’était le cas lorsque de nombreux systèmes de sécurité étaient déployés. 2. PRENDRE CONSCIENCE DE LA VALEUR DES DONNÉES D’ENTREPRISE ET LES BIENS FINANCIERS Les décideurs doivent également avoir conscience de la valeur qu’ont leurs données pour un hacker ou un autre cybercriminel. Ainsi, les cartes bancaires américaines se vendent entre 2 US$ et 6 US$ pièce sur le marché noir et les cartes britanniques entre 4 et 6 US$ . L’accès à des comptes bancaires se négocie entre 5 et 10% de leur solde actuel. Les secrets de fabrication peuvent valoir des millions de dollars. En résumé, les données clients, la propriété intellectuelle et l’accès aux comptes financiers des entreprises sont extrêmement précieux aux yeux des cybercriminels. C’est pourquoi il faut tenir compte de la valeur de ces données lorsque l’on définit le budget alloué à leur protection. 3. LES UTILISATEURS DOIVENT ÊTRE CONSIDÉRÉS COMME LA PREMIÈRE LIGNE DE DÉFENSE Alors que les discussions relatives à la sécurité portent principalement sur la technologie et les systèmes devant être déployés pour éviter l’intrusion de malwares, les violations de données, les attaques DDoS et autres, les décideurs doivent prendre conscience du fait que les utilisateurs constituent réellement la première ligne de défense de tout système de sécurité. Ceux-ci doivent être dûment formés à faire preuve de prudence en cas de doute concernant des e-mails ou de publications sur les réseaux sociaux et à ne pas cliquer sur les liens qu’ils contiennent à moins d’être certains de leur fiabilité. Les utilisateurs doivent également savoir qu’ils ne doivent pas retirer un message de la quarantaine de spam à moins qu’ils soient sûrs que celui-ci y a été placé à tort. Ils doivent être formés à l’utilisation appropriée des réseaux sociaux et autres outils pouvant mettre en péril la sécurité de l’entreprise. Ainsi, les utilisateurs sont un élément essentiel dans tout système de sécurité. Ils ne peuvent être le dernier maillon de la chaîne de sécurité puisque les systèmes de sécurité sont essentiels au maintien d’une De nombreux décideurs, notamment ceux des plus petites entreprises, n’ont pas conscience de l’importance des menaces. 10 de côté d’autres tâches, ce qui peut entraîner des retards dans d’autres projets, une mise sur le marché plus lente des nouveaux produits ou d’autres problèmes susceptibles d’avoir des répercussions sur le long terme. Les cinq principaux problèmes de sécurité auxquels les décideurs doivent prêter attention
  11. 11. stratégie défensive efficace mais sont assurément une composante importante d’une défense fiable. 4. LES POLITIQUES POUR GÉRER L’UTILISATION DES APPLICATIONS ET DES PLATEFORMES SONT SOUVENT INSUFFISANTES Toutes les entreprises cherchant à protéger leurs utilisateurs, données et réseaux contre les malwares et autres menaces doivent mettre en place des politiques détaillées et rigoureuses sur l’utilisation acceptable de tous leurs outils en ligne : messagerie, réseaux sociaux, autres applications du Web 2.0, outils de collaboration, messageries instantanées, smartphones et tablettes, clés USB et simple navigation sur Internet. Cela doit passer par une reconnaissance des menaces et des politiques d’utilisation de ces outils avant que des technologies ne soient déployées pour résoudre les problèmes. La plupart des entreprises n’a cependant pas créé de politiques détaillées et rigoureuses pour les différents types d’outils de messagerie ou de collaboration qu’elles ont déployés ou autorisent à utiliser. On peut ainsi voir sur le graphique suivant que seul un tiers des entreprises ou moins ont adopté ce niveau de précision dans leurs politiques de messagerie et de collaboration d’entreprises. État de différentes politiques d’utilisation dans les entreprises Smartphones fournis par l'employeur Utiisation d'Internet Utilisation des smartphones personnels pour accéder aux mails professionnels, au Web etc. Utilisation de linkedin Utilisation de la messagerie instantanée Utilisation de Facebook Utilisation des blogs Utilisation de Twitter 10% 8% 18% 32% 28% 29% 28% 34% 57% 59% 51% 46% 51% 50% 52% 49% 34% 33% 31% 22% 21% 21% 20% 17% 0% 20% 40% 60% 80% 100% Détaillée et rigoureuse Basique Pas de politique Source : Messaging Policy Market Trends 2011-2014 (Les tendances du marché des politiques de messagerie 2011-2014), Osterman Research, Inc. 5. LES CONTRÔLES DRACONIENS NE FONCTIONNENT PAS Les décideurs doivent avoir conscience que se contenter d’interdire l’utilisation d’un outil sans rendre effective cette même interdiction par le service informatique risque de ne pas être efficace puisque de nombreux utilisateurs l’emploieront malgré tout. C’est d’autant plus vrai pour les employés qui travaillent régulièrement chez eux et/ou utilisent leurs propres smartphones, tablettes ou applications pour effectuer leur travail. Même en cas de contrôles, ceux-ci peuvent s’avérer contre-productifs. Par exemple, interdire l’utilisation de réseaux sociaux tels que Twitter ou Facebook peut avoir un impact important sur la capacité Toutes les entreprises cherchant à protéger leurs utilisateurs, données et réseaux contre les malwares et autres menaces doivent mettre en place des politiques détaillées et rigoureuses sur l’utilisation acceptable de tous leurs outils en ligne. Les décideurs doivent avoir conscience que se contenter d’interdire l’utilisation d’un outil sans rendre effective cette même interdiction par le service informatique risque de ne pas être efficace. 11
  12. 12. 1. ADOPTEZ UN PROGRAMME RÉGULIER DE CONNAISSANCE DES MENACES ET DE SENSIBILISATION À LA SÉCURITÉ La compréhension des menaces est étroitement associée à l’accès à des informations actualisées sur les menaces nouvelles et émergentes. Par exemple, bien que Java soit un vecteur d’attaques bien connu en 2012, une nouvelle vulnérabilité Java majeure a été découverte le 10 janvier 2013. Windows 8 a été lancé le 26 octobre 2012 et cinq jours plus tard, on découvrait déjà un faux antivirus ciblant spécifiquement le nouveau système d’exploitation. . De plus, certains malwares et autres exploits sont conçus pour des secteurs spécifiques, comme Shamoon qui cible les ordinateurs Windows utilisés dans le secteur de l’énergie . Les décideurs doivent donc s’appuyer sur des éditeurs, des consultants, des analystes et d’autres sources de confiance pour être continuellement au fait des nouvelles menaces pouvant apparaître très rapidement. 2. METTEZ EN PLACE DES POLITIQUES DÉTAILLÉES ET GRANULAIRES POUR TOUTES LES APPLICATIONS ET PLATEFORMES Osterman Research recommande à toutes les entreprises d’élaborer des politiques détaillées sur tous les outils de messagerie, de collaboration et autres qui sont ou seront utilisés en interne, par les partenaires commerciaux et par les utilisateurs sur tout appareil se connectant au réseau de l’entreprise. De plus, pour que les politiques soient efficaces, elles doivent être acceptées dans l’entreprise. Comme nous l’avons fait remarquer précédemment, des politiques draconiennes ne seront simplement pas suivies et/ou seront contre-productives à la fois pour atteindre les objectifs fixés par les décideurs de l’entreprise et améliorer la sécurité. 3. ÉVALUEZ LE RETOUR SUR INVESTISSEMENTS DE LA SÉCURITÉ DE MESSAGERIE ET WEB Le coût total de possession d’une solution de messagerie ou de sécurité Web peut varier en fonction d’un certain nombre d’éléments, dont le coût initial d’acquisition de la solution, le coût du travail des salariés en interne nécessaires à l’administration du système en continu, le coût des licences logicielles et de la maintenance associée, le coût de tout matériel nécessaire au fonctionnement du logiciel, la capacité à réutiliser le matériel existant et d’autres éléments, ainsi que le coût des solutions cloud si c’est ce modèle qui est sélectionné. De plus, les différences de coût entre plusieurs solutions varient en fonction des caractéristiques et fonctionnalités proposées par la solution. Il est important d’évaluer à la fois le Coût total de possession (TCO) et le Coût total d’acquisition (TCA) des systèmes de sécurité Web, puisque ceux-ci peuvent avoir un impact important sur le Retour sur investissement (ROI). En résumé, les solutions ayant un TCA très faible peuvent en fait ne pas générer un ROI aussi élevé que des solutions plus chères. Pour que les politiques soient efficaces, elles doivent être acceptées dans l’entreprise. 12 du service marketing à établir l’image de l’entreprise. De même, ne pas autoriser l’utilisation d’outils de transfert de fichiers non autorisés ou de Webmail personnel peut empêcher l’envoi rapide de fichiers volumineux à des prospects ou à des clients. Les cinq principales recommandations pour la protection des données et des biens financiers
  13. 13. 4. ADOPTEZ LES TECHNOLOGIES ADAPTÉES QUI ASSURERONT DES NIVEAUX DE SÉCURITÉ ACCEPTABLES Une sécurité fiable doit protéger les données d’une entreprise, ses biens financiers et autres de façon acceptable, en adoptant un niveau de sécurité en fonction des biens à protéger. Osterman Research, ainsi que la plupart des entreprises recommandent une solution de sécurité offrant plusieurs couches de protection à tous les niveaux de l’infrastructure d’une entreprise – au niveau de la passerelle, du serveur, du client et, de plus en plus, dans le cloud. 5. OPTEZ POUR DE NOUVELLES APPROCHES POUR ADMINISTRER LA SÉCURITÉ Les avantages-clés du modèle cloud sont les suivants : a) aucun investissement en infrastructure n’est requis b) les coûts initiaux sont minimes c) les coûts récurrents sont prévisibles et d) toute l’administration et les mises à niveau du système sont gérées par le fournisseur de services cloud. Une approche hybride associant les services sur site et cloud est de plus en plus utilisée. Par exemple, un éditeur peut fournir une appliance de filtrage du spam sur site et l’associer à un service de filtrage du spam dans le cloud agissant comme une sorte de “pré-filtre”, ou il peut utiliser un service antimalware cloud et des outils antivirus pour postes de travail. De nombreuses entreprises déploient leurs propres solutions hybrides, en réunissant les offres cloud et sur site de différents éditeurs dans une solution hybride personnalisée. L’avantage de cette approche hybride multiniveau est que l’infrastructure sur site est protégée contre les événements inattendus comme les pics dans le trafic de spam ou des augmentations globales progressives du volume de trafic malveillant. Cela aide à préserver l’investissement sur site et à assurer des performances stables de l’infrastructure informatique comme le montrent des indicateurs tels que le délai de distribution des e-mails ou la latence de l’affichage des pages Web. Une sécurité fiable doit protéger les données d’une entreprise, ses biens financiers et autres de façon acceptable, en adoptant un niveau de sécurité en fonction des biens à protéger. 13
  14. 14. © 2013 Osterman Research, Inc. Tous droits réservés. Aucune partie du présent document ne peut être reproduite sous quelque forme que ce soit, distribuée sans le consentement d’Osterman Research, Inc, ni revendue ou distribuée par toute entité autre qu’Osterman Research, Inc., sans autorisation écrite préalable d’Osterman Research, Inc. Osterman Research, Inc ne fournit pas de conseils juridiques. Rien de ce qui est contenu dans ce document ne peut être considéré comme un conseil juridique et ce document ou tout produit logiciel ou autre offre mentionnée ici ne peut se substituer au respect des lois par le lecteur (y compris mais non limité à toute loi, statut, réglementation, règle, directive, décision administrative, décret, etc. (désignés sous le terme de “Lois”) mentionnés dans le présent document. Si besoin, le lecteur s’adressera à un conseiller juridique compétent pour obtenir des informations sur les lois mentionnées dans le présent document. Osterman Research, Inc. ne garantit ni certifie le caractère exhaustif ni l'exactitude des informations fournies par ce document. CE DOCUMENT EST FOURNI “EN L’ÉTAT” SANS GARANTIE D’AUCUNE SORTE. TOUTES LES REPRÉSENTATIONS EXPLICITES OU IMPLICITES, LES CONDITIONS ET GARANTIES, Y COMPRIS TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE ET D’ADÉQUATION À UN USAGE PARTICULIER SONT EXCLUES, SAUF DANS LA MESURE OÙ CES AVIS DE NON-RESPONSABILITÉ SONT CONSIDÉRÉS COMME ILLÉGAUX. 1 http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/ 2 http://krebsonsecurity.com/2013/01/big-bank-mules-target-small-bank-businesses/ 3 http://www.guardian.co.uk/media-network/media-network-blog/2013/feb/11/ intellectual-property-theft-cyber-security 4 http://news.softpedia.com/news/Number-of-DDOS-Attacks-Declined-But-Their- Size-Increased-Q3-2012-Study-Finds-300362.shtml 5 http://www.nbcnews.com/technology/technolog/apple-employees-attacked-hackers- infected-malware-1C8415368 6 http://securityledger.com/friday-night-massacre-twitter-hacked-info-on-250k-exposed/ 7 Source: PrivacyRights.org 8 http://www.eweek.com/c/a/Security/IMF-Breach-May-Be-StateSponsored-Spear- Phishing-Attack-526401/ 9 http://money.cnn.com/2011/10/27/technology/rsa_hack_widespread/index.htm 10 http://money.cnn.com/2011/10/27/technology/rsa_hack_widespread/index.htm 11 http://www.wired.com/threatlevel/2011/04/oak-ridge-lab-hack/ 12 http://news.softpedia.com/news/Cybercriminals-Compromise-Legitimate-Websites-to- Distribute-SMS-Trojans-323642.shtml 13 http://rixstep.com/1/1/20100126,00.shtml 14 http://krebsonsecurity.com/tag/catholic-diocese-of-des-moines/ 15 http://www.networkworld.com/news/2009/092409-construction-firm-sues-after-588000.html 16 http://www.post-gazette.com/pg/09195/983738-57.stm 17 http://www.computerworld.com/s/article/9156558/Michigan_firm_sues_bank_over_ theft_of_560_000_ 18 http://krebsonsecurity.com/2010/06/e-banking-bandits-stole-465000-from-calif-escrow-firm/ 19 http://www.technologyreview.com/computing/23488/?a=f 20 http://www.bankinfosecurity.com/articles.php?art_id=3159&opg=1 21 http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html 22 http://www.computerworld.com/s/article/9153598/Poughkeepsie_N.Y._slams_bank_for_ 378_000_online_theft 23 http://www.suite101.com/content/protect-yourself-against-banking-crimeware-a156086 24 http://www.abajournal.com/news/article/doj_says_massive_decade-old_botnet_ helped_web_thieves_steal_millions/ 25 http://voices.washingtonpost.com/securityfix/2009/07/the_pitfalls_of_business_banki.html 26 Source: Webroot Software, Inc. 27 http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report- 2012_en_xg.pdf?__ct_return=1 28 http://www.darkreading.com/cloud-security/167901092/security/news/240145073/ verizon-dbir-researchers-debunk-2013-security-predictions-inbox-9-x.html 29 http://blog.imperva.com/2011/10/current-value-of-credit-cards-on-the-black-market.html 30 http://www.businessidtheft.org/Education/BusinessIDTheftScams/InternetBlackMarket/ tabid/117/Default.aspx 31 http://thenextweb.com/microsoft/2012/10/31/malware-authors-quickly-create-fake- antivirus-just-for-windows-8/ 32 http://www.nbcnews.com/technology/technolog/shamoon-spyware-searches-then-destroys- 950609 ©2014 Osterman Research, Inc. so lut ions de sécurité informatique pou r les entreprises Egedian est une marque déposée de Profil technology S.A., éditeur et distributeur de logiciels pour les particuliers et les entreprises.

×