Téléchargé parniokho
559 vues

Cp 2013 security_report_web_fr(1)

Le rapport Check Point de sécurité 2013 examine l'évolution des cybermenaces et les défis de sécurité auxquels les entreprises font face, en mettant l'accent sur les techniques sophistiquées employées par les attaquants. Il analyse les incidents de sécurité survenus en 2012, les vulnérabilités des applications, et les fuites de données causées par des erreurs humaines, tout en proposant des recommandations pour atténuer ces risques. La méthodologie se base sur une étude approfondie de données collectées auprès de diverses entreprises pour évaluer les tendances de sécurité mondiales.

Intégrer la présentation

Téléchargé 14 fois
JANVIER 2013 CHECK POINT RAPPORT SÉCURITÉ 2013
003 CHECK POINT - RAPPORT SÉCURITÉ 2013 CHECK POINT RAPPORT SÉCURITÉ 2013 01 Introduction et méthodologie 004 02 Menaces pour votre entreprise 006 03 Applications utilisées dans l'espace de travail de l'entreprise 020 04 Fuites de données dans votre réseau 030 AN Annexes 042 06 À propos de Check Point Software Technologies 038 05 Résumé et stratégie de sécurité 036
CHECK POINT - RAPPORT SÉCURITÉ 2013 004 01 « TOUT COMME L’EAU N’A PAS DE FORME CONSTANTE, L’ART DE LA GUERRE N’EST PAS FIXE. »1 BIEN QUE CETTE PHRASE SOIT ÂGÉE DE 2 600 ANS, ELLE RESTE ÉTONNAMMENT PERTINENTE, ET REFLÈTE LA GUERRE MODERNE D'AUJOURD'HUI : LA CYBERGUERRE. Les techniques employées par les pirates sont en constante évolution et font appel à des méthodes d'attaque plus avancées et plus sophistiquées. Elles repoussent les défis de la sécuritéàdesniveauxsansprécédent.Lescentresdedonnées, les ordinateurs et les téléphones mobiles des employés sont des cibles de choix pour les pirates qui déploient une variété inépuisabledelogicielsmalveillantstelsquebots,chevauxde Troie et infections par téléchargements automatiques. Les pirates utilisent la ruse et l'ingénierie sociale pour manipuler d'innocents utilisateurs et accéder aux informations de l'entreprise, telles que documents internes, dossiers financiers, numéros de cartes de paiement et informations d'identification des utilisateurs, ou pour tout simplement empêcher le bon fonctionnement de l'activité de l'entreprise par des attaques de déni de service. Cette guerre moderne de menaces et d'attaques avancées n'est pas prête de s'arrêter. La quantité d'informations professionnelles stockées dans des centres de données, des serveurs, des ordinateurs et des téléphones mobiles augmente à la vitesse de la lumière, et plus de données et de plates-formes signifient encore plus de risques. Enfin, la liste des menaces ne diminue pas, et chaque nouvelle attaque révèle un niveau de sophistication encore plus avancé. Quels ont été les principaux risques de sécurité pour votre environnement réseau l'année dernière ? Quels seront les risques l'année prochaine ? Telles étaient les questions clés qui ont occupé les équipes de recherche de Check Point ces quelques derniers mois. Pour répondre à ces questions, Check Point a procédé à une analyse intensive de la sécurité. Ce rapport fournit un aperçu des événements de sécurité réseau qui se sont produits en 2012 dans des entreprises à travers le monde. Le rapport présente les événements de sécurité découverts dans ces entreprises, ainsi que des exemples d'incidents annoncés publiquement, des explications sur la manière dont certaines de ces attaques ont été menées, suivies de recommandations sur la manière de se protéger contre de telles menaces. Le rapport est divisé en trois parties. Chaque partie est dédiée à un aspect spécifique de la sécurité. La première partie se concentre sur les menaces représentées par les bots, les virus, les failles de sécurité et les attaques. La seconde partie traite des applications web à risque qui compromettent la sécurité d'un réseau d'entreprise. La dernière partie est consacrée aux fuites de données occasionnées par les actions non intentionnelles des employés. Méthodologie Le Rapport Sécurité 2013 de Check Point repose sur une étude et une analyse collaboratives des événements de sécurité rassemblés à partir de quatre sources principales : Les rapports d'analyse des passerelles sécurité de Check Point2 , Check Point ThreatCloud™3 , le réseau Check Point SensorNet™ et les rapports de Check Point Endpoint Security. Une méta-analyse des événements de sécurité réseau de 888 entreprises a été effectuée à partir des données recueillies sur les passerelles sécurité Check Point chargées d'analyser en direct le trafic entrant et sortant de ces entreprises. Le trafic a été inspecté grâce à la technologie multi-couche Check Point Software Blades afin de détecter différents types de menaces tels que les applications à haut risque, les tentatives INTRODUCTION ET MÉTHODOLOGIE
005 CHECK POINT - RAPPORT SÉCURITÉ 2013 01 _ INTRODUCTION ET MÉTHODOLOGIE d'intrusions, les virus et les bots, les fuites de données confidentielles, etc. Le trafic réseau de chaque entreprise était surveillé en temps réel via le mode en ligne ou le mode surveillance des passerelles sécurité de Check Point, pendant 134 heures en moyenne. Les entreprises étudiées sont issues d'un large éventail de secteurs et sont situées dans le monde entier comme le montre les graphiques 1-A et 1-B. En outre, plus de 111,7 millions d'événements extraits de 1 494 passerelles de sécurité ont été analysés à l'aide des données générées par Check Point ThreatCloud™. ThreatCloud est une base de données massive mise à jour en temps réel à partir de données de sécurité provenant d'un vaste réseau mondial de capteurs placés stratégiquement autour du globe, qui collectent des informations sur les menacesetlesattaquesdelogicielsmalveillants.ThreatCloud permet d'identifier les nouvelles tendances mondiales de sécurité et de menaces, pour constituer un réseau collaboratif de lutte contre la cybercriminalité. Pour notre étude, nous avons analysé les données de ThreatCloud recueillies sur une période de 3 mois entre août et octobre 2012. Des références pour les données des menaces ont été recueillies par le réseau de capteurs Check Point SensorNet™, du 1er juillet au 30 septembre 2012. Check Point SensorNet est un réseau mondial de capteurs distribués, qui fournissent des informations de sécurité et des statistiques de trafic à un système central d'analyse. Ces données sont analysées afin de détecter les tendances et les anomalies, et développer une vision en temps réel de la sécurité dans le monde. Enfin, une méta-analyse de 628 rapports de sécurité de postes de travail provenant de différentes entreprises a été effectuée.L'analysedelasécuritéévaluaitnotammentchaque hôte pour estimer les risques de fuites de données, les risques d'intrusions et les risques liés aux logiciels malveillants. L'analyse a été réalisée avec l'outil de reporting Check Point Endpoint Security pour vérifier la présence d'un antivirus sur les hôtes, s'il est à jour, si les logiciels utilisés sont les dernières versions, et plus encore. Cet outil est gratuit et disponible publiquement. Il peut être téléchargé depuis le site de Check Point4 . * APAC- Asie Pacifique et Japon. EMEA- Europe, Moyen-Orient et Afrique 26%Autre235 39%Industrie346 14%Finance128 10%Gouvernement89 7%Télécommunication59 4%Conseil31 Secteurs Régions 40%EMEA*354 40%Amériques356 20%APAC*178 Source:CheckPointSoftwareTechnologies Graphiques 1-A et 1-Bׁ Ce rapport repose sur des données recueillies à partir de ces sources. Spécification des secteurs Industrie – Chimie/Raffinerie, Santé, Pharmacie, Informatique, Production, Transport, Service public, Infrastructure. Finance – Finance, Comptabilité, Services bancaires, Investissement. Gouvernement – Administration publique, Armée. Télécommunication – Télécommunication, Opérateurs, FAI, Services managés. Conseil – Services de conseil. Autres – Publicité/Médias, Distributeur, Éducation, Justice, Loisirs/Hospitalité, Commerce de détail et de gros, Valeurs et titres, Autre.
CHECK POINT - RAPPORT SÉCURITÉ 2013 02MENACES POUR VOTRE ENTREPRISE BLACKHOLE - LE KIT D'EXPLOITATION DES VULNÉRABILITÉS DE MONSIEUR TOUT LE MONDE Le succès des activités malveillantes de l'année dernière peut-être en partie attribuée aux pirates qui utilisent des outils d'attaque prêts à l'emploi. Un seul clic suffit à télécharger une suite d'attaque complète et hautement sophistiquée. BlackHole, une application web très répandue d'exploitation de vulnérabilités, est un exemple de ce type de suite. Elle intègre un ensemble d'outils qui exploitent les failles de sécurité des navigateurs pour télécharger des virus, des bots, des chevaux de Troie et autres formes de logiciels malveillants sur les ordinateurs des victimes. Les prix de ces kits varie de quelques dizaines d'euros pour une utilisation à la journée à 1 300 euros pour une année complète9 . et de ressources à recueillir des renseignements. Leurs activités criminelles causent de graves dommages aux entreprises, telles que des fuites de données confidentielles, l'interruption de l'activité, l'atteinte à la réputation et bien sûr des pertes financières. Les attaques et à long terme les plus sophistiquées, menées dans un but prédéterminé et très spécifique, sont appelées « menaces persistantes avancées » (APT). Ces attaques ne sont généralement pas détectées par les systèmes de sécurité traditionnels, mettant ainsi en danger les gouvernements, les petites entreprises aussi bien que les grandes entreprises, et les réseaux personnels. Dans une attaque APT, la première action consiste typiquement à effectuer une reconnaissance de la cible pour recueillir des renseignements. Ensuite, les agresseurs font une première intrusion dans le réseau de la cible pour ouvrir une porte dérobée et rester actif dans le réseau. Ceci est Dernières nouvelles : une nouvelle cyberattaque découverte En 2012, les cyberattaques ont continué de proliférer et faire la une des journaux. Presque tous les jours, les menaces de logiciels malveillants, les attaques et les botnets, sont en première page, démontrant ainsi la réussite des pirates à dérober des données, paralyser l'activité des entreprises, ou espionner des entreprises et des gouvernements. Les exemples suivants ne sont que la partie visible de l'iceberg des cyberattaques qui se sont produites en 2012 : des pirates attaquant le réseau de la Maison Blanche6 , le groupe d'hacktivistes Anonymous stoppant le fonctionnement des sites Internet des associations de commerce U.S. Telecom Association et TechAmerica7 , des cyberattaques ciblant Capital One Financial Corp., BB&T Corp., HSBC Bank USA8 et de nombreuses autres institutions financières. Menaces persistantes avancées Les cybercriminels ne sont plus de simples amateurs isolés. Ils appartiennent dans de nombreux cas à des groupes bien structurés ressemblant à des organisations terroristes, avec du financement, de la motivation et des objectifs. Les cybercriminels semblent consacrer beaucoup de temps « IL N'EXISTE QUE DEUX TYPES D'ENTREPRISES, CELLES QUI ONT ÉTÉ PIRATÉES ET CELLES QUI LE SERONT. » Robert Mueller, Directeur du FBI, mars 20125
007 02 _ MENACES POUR VOTRE ENTREPRISE Global Payments Inc. Une entreprise mondiale de traitement des paiements piratée en juin 2012. Les données de plus de 1,5 million de cartes de paiement ont été dérobées. Clarksville, Tennessee, États-Unis En juin 2012, des pirates se sont introduits dans le systèmeinformatiquedesécolesducomtédeClarksville- Montgomery, et ont dérobé les noms, numéros de sécurité sociale et autres données personnelles d'environ 110 000 personnes. Les pirates ont utilisé les informations postées par des employés et des étudiants en ligne pour accéder au système10 . Serco Thrift Savings Plan En mai 2012, une attaque informatique menée contre Serco aux États-Unis a permis de dérober les données personnelles de 123 000 employés fédéraux. Une intrusion à l'Université du Nebraska a permis le vol de plus de 650 000 fichiers de données personnelles relatives aux élèves, anciens élèves, parents et employés depuis la base de données du système d'information étudiants de l'université. DépartementdesServicesTechnologiques de l'Utah, États-Unis En mars 2012, 780 000 dossiers de patients liés à des demandes de remboursement du programme de santé Medicaid ont été dérobés dans un serveur par des pirates probablement situés en Europe de l'Est. Sécurité sociale du Royaume-Uni Entre juillet 2011 et juillet 2012, la Sécurité sociale du Royaume-Uni a subi plusieurs attaques qui ont exposé les dossiers de près de 1,8 million de patients11 . FUITES DE DONNÉES EN 2012 Les botnets ne disparaîtront pas de sitôt. Ils sont une des menaces les plus importantes auxquelles les entreprises doivent aujourd'hui faire face pour protéger leur réseau. Un bot est un logiciel malveillant qui envahit et infecte un ordinateur pour permettre à des criminels de le contrôler à distance. L'ordinateur infecté peut effectuer des activités illégales telles que le vol de données, la diffusion de spam, la diffusion de logiciels malveillants et la participation à des attaques de déni de service (DoS). Le propriétaire de l'ordinateur infecté n'est généralement pas conscient de ces activités. Les bots jouent également un rôle clé dans les attaques APT ciblées. Il existe deux grandes tendances motivant les attaques de bots dans le paysage actuel des menaces. La première tendance en forte croissance est celle de la cybercriminalité à des fins lucratives, comprenant les opérateurs et les fournisseurs de habituellement accompli en infectant un hôte à l'aide d'un bot permettant aux agresseurs de communiquer avec l'hôte infecté sans être détectés. Les agresseurs tentent ensuite d'accéder à d'autres ressources du réseau et compromettre encore plus de nœuds. Après cette étape, les agresseurs ont atteint leur cible, et peuvent maintenant exploiter les hôtes infectés pour collecter des données ou causer les dommages prévus, à distance et tout en restant hors d'atteinte sur le long terme. DES KITS DE BOTS SONT VENDUS EN LIGNE POUR QUELQUES CENTAINES D'EUROS ET LEURS DOMMAGES COÛTENT DES MILLIONS D'EUROS De nombreux incidents ayant pour conséquence des fuites de données se sont produits cette année, exposant les données liées aux cartes de paiement, aux clients, aux élèves ou aux patients, stockées sur des serveurs d'entreprise. Ces activités malveillantes ont pour objectif commun d'obtenir des informations confidentielles. La liste suivante présente quelques exemples :
CHECK POINT - RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE ACTIVITÉS DES BOTNETS Envoyer du spam Attaquer des ordinateurs et des serveurs Dérober des données Diffuser des logiciels malveillants Répandre des virus logiciels malveillants, des programmeurs, et des programmes d'affiliation. Ses « produits et services » peuvent être facilement achetés en ligne sur de nombreux sites (par exemple : kits de logiciels malveillants, envoi de spam, vol de données, attaque de déni de service) et les entreprises ont beaucoup de mal à lutter contre ces attaques. La seconde tendance est celle des attaques idéologiques et des attaques lancées par des états contre des individus et des entreprises cibles pour promouvoir une cause politique ou mener une campagne de cyberguerre. Les botnets ne disparaîtront pas de sitôt. Contrairement aux virus et autres logiciels malveillants traditionnels statiques (dontlecodeetlaformerestentlesmêmes),lesbotnetssontde naturedynamique,etpeuventchangerrapidementdeformeet de modèle de communication. Des boîtes à outils de création de bots sont vendues en ligne pour quelques centaines d'euros et leurs attaques coûtent des millions d'euros aux entreprises. Le problème des bots est devenu un problème d'envergure.
009 Les réseaux de zombies sont partout. Cette situation est-elle alarmante ? Il est estimé que plus d'un quart de tous les ordinateurs personnels connectés à Internet font partie d'un botnet.12 . Nos récentes recherches montrent que dans 63 % des entreprises, au moins un bot a été détecté. La plupart des entreprises sont infectées par une variété de bots. Fonctionnement des botnets Un botnet se compose généralement d'un certain nombre d'ordinateurs infectés par des logiciels malveillants qui établissent une connexion réseau avec un système de contrôle appelé « serveur de commande et de contrôle ». Lorsqu'un bot infecte un ordinateur, il prend le contrôle de l'ordinateur et neutralise les défenses antivirus. Les bots sont difficiles à détecter car ils se cachent à l'intérieur des ordinateurs et DES ENTREPRISES ÉTUDIÉES SONT INFECTÉES PAR DES BOTS 63% Nombre d'hôtes infectés par des bots (% des entreprises) 48 % 1 à 3 hôtes 18 % 4 à 6 hôtes 10%7à9hôtes 18%10à21hôtes 6 % Plus de 21 hôtes modifient la manière dont ils se comportent pour les logiciels antivirus. Le bot se connecte alors au serveur de commande et de contrôle pour obtenir des instructions de la part des cybercriminels. De nombreux protocoles de communication sont utilisés pour ces connexions, y compris IRC, HTTP, ICMP,DNS,SMTP,SSL,etdanscertainscas,desprotocoles personnalisés créés par les auteurs des botnets. Spam, virus, DDoS Responsable de botnet Bot Commande et contrôle Ordinateurs sur Internet Graphique 2-A Source:CheckPointSoftwareTechnologies
CHECK POINT - RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE 010 Activités de commande et de contrôle Les bots revêtent différentes formes et peuvent effectuer de nombreuses activités. Dans de nombreux cas, un seul bot peut créer de multiples menaces. Une fois sous le contrôle du serveur de commande et de contrôle, le botnet peut être activé par un pirate pour mener des activités illégales à l'insu de l'utilisateur. Ces activités comprennent l'infection d'autres machines afin de les ajouter au botnet, l'emailing de masse, les attaques DDoS, et le vol de données personnelles, financières ou confidentielles. Les bots sont également souvent utilisés comme outils d'attaque APT ciblant des individus ou des entreprises. Le graphique 2-B présente la fréquence des communications des bots avec leur serveur de commande et de contrôle. 70 % des bots détectés durant nos recherches communiquaient avec leur serveur de commande et de contrôle au moins une fois toutes les 2 heures. La majorité des activités de commande et de contrôle se situent aux États-Unis, puis en Allemagne, aux Pays-Bas et en France, comme le montre le graphique 2-C. Les différents types de communication des bots avec leur serveur de commande et de contrôle comprennent le signalement de nouveaux hôtes infectés, les messages de maintiend'activité(« keep-alive »),etlesdonnéesrecueillies surlesystèmehôte.Nosrecherchesmontrentqu'enmoyenne, un bot communique avec son serveur de commande et de contrôle une fois toutes les 21 minutes. Quels sont les botnets auxquels nous devrions faire attention ? Des milliers de botnets existent aujourd'hui. Le tableau suivant présente les principaux botnets découverts durant nos recherches. Pour mieux comprendre ces menaces furtives, des informations complémentaires sur chaque menace ont été compilées dans l'Annexe A. Famille de bots Activité malveillante Zeus Vol d'identifiants bancaires en ligne Zwangi Présentation de publicités indésirables Sality Virus auto-diffusé Kuluoz Activation de fichiers à distance Juasek Actions malveillantes à distance : ouverture de l'invite de commandes, rech./créa./suppr. de fichiers, etc. Papras Vol de données financières et accès à distance Détails supplémentaires dans l'Annexe A TOUTES LES 21 MINUTES UN BOT COMMUNIQUE AVEC SON SERVEUR DE COMMANDE ET DE CONTRÔLE Graphique 2-B Source:CheckPointSoftwareTechnologies Fréquence des communications des bots avec leur serveur de commande et de contrôle 25 % Jusqu'à 1 heure 45 % 1 à 2 heures 6 % 2 à 4 heures 24 % Plus de 4 heures
DES ENTREPRISES, DES HÔTES ACCÈDENT À DES SITES WEB MALVEILLANTS 75%DANS Principales localisation des serveurs de commande et de contrôle 58 % États-Unis 3 % Canada 3 % Australie 4 % Chine 9 % Allemagne 7 % Pays-Bas 3 % Venezuela 3 % Roumanie 3 % Argentine 7 % France Graphique 2-C Source:CheckPointSoftwareTechnologies
CHECK POINT - RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE 012 Comment votre entreprise peut être infectée par un logiciel malveillant Il existe de nombreux points d'entrée pour pénétrer les défenses d'une entreprise, dont notamment les vulnérabilités des navigateurs, les téléphones mobiles, les pièces jointes malveillantes et les supports amovibles, pour n'en citer que quelques exemples. L'explosion du nombre d'applications web 2.0 et des réseaux sociaux utilisés comme outils professionnels fournit également aux pirates des armes pour tromper leurs victimes et les inciter à cliquer sur des liens malveillants ou de fausses publicités présentées sur des sites légitimes. Même si les botnets sont considérés comme l'une des menaces les plus graves aujourd'hui, les entreprises sont toujours confrontées par ailleurs aux menaces présentées par les logiciels malveillants : virus, vers, logiciels espions, logiciels publicitaires, chevaux de Troie, etc. Nos recherches montrent que dans 75 % des entreprises, un hôte accède à un site web malveillant. Le graphique suivant présente le nombre d'hôtes qui a accédé à des sites web malveillants par pourcentage d'entreprises. 18 % 3 à 4 hôtes 31%1à2hôtes 16 % 9 à 16 heures 15 % Plus de 16 hôtes 20%5à8hôtes Accès à des sites malveillants par nombre d'hôtes (% des entreprises) Dans plus de 50 % des entreprises, au moins cinq hôtes ont accédé à des sites web malveillants. Un logiciel malveillant peut être téléchargé par un utilisateur ou un bot qui a déjà infecté l'hôte. Nous avons découvert que dans 53 % des entreprises, un logiciel malveillant a été téléchargé depuis le réseau de l'entreprise. Dans plus de 50 % de ces entreprises, nous avons également découvert que plus de quatre hôtes ont téléchargé des logiciels malveillants. Téléchargements de logiciels malveillants (% des entreprises) 43 % Plus d'une journée 14%Jusqu'à2heures 19%2à6heures 12 % 6 à 12 heures 12 % 12 à 24 heures TOUTES LES 23 MINUTES UN HÔTE ACCÈDE À UN SITE WEB MALVEILLANT Le graphique suivant présente la fréquence moyenne de téléchargement de logiciels malveillants dans les entreprises étudiées. Le graphique 2-G présente le nombre d'hôtes qui a téléchargé des logiciels malveillants. Dans plus de 50 % des entreprises, au moins cinq hôtes ont téléchargé des logiciels malveillants. Nos recherches montrent que la majorité des logiciels malveillants proviennent des États-Unis, puis du Canada et du Royaume-Uni, comme indiqué dans le graphique 2-F. La protection antivirus est une des méthodes de protection contre les infections de logiciels malveillants. Toutefois, nos recherches montrent que 23 % des hôtes en entreprise ne mettentpasleurantivirusàjourquotidiennement.UnhôteneGraphique 2-D Graphique 2-E Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies
013 PRINCIPALES SOURCES DE LOGICIELS MALVEILLANTS 71 % États-Unis 8 % Canada 2 % Chine 3 % Israël 3 % Allemagne 4 % Royaume- Uni 2 % Slovaquie 2 % République tchèque 2 % France 3 % Turquie disposant pas d'un antivirus à jour est exposé aux virus. Nous avons également découvert que 14 % des hôtes en entreprise ne disposent même pas d'un antivirus. Les probabilités d'infection par logiciels malveillants des hôtes qui ne sont pas équipés d'un antivirus sont extrêmement élevées. Nous vous présentons « miniFlame », le petit frère encore plus dangereux de Flame Il semble que le logiciel malveillant Flame découvert plus tôt cette année n'était que le premier de sa série. Il existe désormais un programme similaire appelé « miniFlame », capable de mener des attaques plus précises sur des cibles situées au Moyen-Orient. miniFlame intègre une porte Hôtes ayant téléchargé des logiciels malveillants (% des entreprises) 45%1à4hôtes 20%Plusde33 12%17à32hôtes 13%5à8hôtes 10%9à16hôtes Graphique 2-F Graphique 2-G Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies
014 ATTAQUE EUROGRABBER PLUS DE 36 MILLIONS D'EUROS DÉROBÉS SUR PLUS DE 30 000 COMPTES BANCAIRES En 2012, une attaque sophistiquée, multi-dimensionnelle et ciblée, a réussi à détourner plus de 36 millions d'euros provenant de plus de 30 000 comptes d'usagers de plusieurs banques à travers toute l'Europe. Les usagers des services bancaires en ligne ne savaient absolument pas qu'ils étaient infectés par des chevaux de Troie, que leurs sessions bancaires en ligne étaient compromises et que des fonds avaient été dérobés de leurs comptes. Une fois découverte, cette vague d'attaques a été nommée « Eurograbber » par Versafe et Check Point Software Technologies. L'attaque Eurograbber emploie une nouvelle variante très efficace du cheval de Troie ZITMO (Zeus-In-The-Mobile). À ce jour, les attaques n'ont été constatées que dans les pays de la zone euro, mais une variante pourrait très bien affecter des banques de pays situés hors de l'Union Européenne L'attaque en plusieurs étapes a infecté les ordinateurs et les appareils mobiles des usagers des services bancaires en ligne, et une fois que le cheval de Troie Eurograbber a été installé sur les deux, les sessions des usagers ont pu être complètement surveillées et manipulées par les agresseurs. Le mécanisme d'authentification à deux facteurs utilisé par les banques pour assurer la sécurité des transactions bancaires en ligne a été contourné lors de l'attaque, et même utilisé par les agresseurs pour authentifier leurs propres transferts illicites. Le cheval de Troie utilisé pour attaquer les appareils mobiles a été développé à la fois pour Blackberry et Android afin de maximiser le nombre de cibles. Il a ainsi pu infecter aussi bien des particuliers que des entreprises usagers des services bancaires, et détourner des sommes allant de 500 à 250 000 euros par compte. Des informations complémentaires sur l'attaque Eurograbber, y compris le détail de ses étapes, sont disponibles dans l'étude de cas d'Eurograbber12 sur le site web de Check Point. dérobée permettant le contrôle, le vol de données et la possibilité de faire des captures d'écran, à distance. Plus de vulnérabilités donc plus d'exploitation des vulnérabilités Les vulnérabilités bien connues sont des cibles clés pour les pirates qui tablent sur le simple fait que de nombreuses entreprises ne mettent pas leurs logiciels à jour régulièrement. Plus les entreprises sont grandes, plus il est difficile pour les administrateurs de sécurité de maintenir tous les systèmes à jour. Ainsi, dans de nombreux cas, une ancienne vulnérabilité déjà corrigée peut-être encore utilisée pour infiltrer les systèmes des petites et des grandes entreprises qui n'ont pas mis leur système à jour avec les tous derniers correctifs. Le nombre de vulnérabilités découvertes chaque année est impressionnant, avec plus de 5 00013 nouvelles façons en Nombre total de vulnérabilités courantes 5 672 2012 5 235 2011 5 279 2010 5 132 2009 Graphique 2-H Source:CVE(vulnérabilitéscourantes)
015 02 _ MENACES POUR VOTRE ENTREPRISE 2012 pour les pirates de provoquer des dommages et accéder à des systèmes. Et de nombreuses vulnérabilités non encore découvertes sont activement utilisées par les cybercriminels. Le graphique 2 démontre que les produits les plus populaires d'exploitation. Ne pas utiliser les tous derniers Service Packs signifie s'exposer à des risques. De plus, nous avons découvert que des événements de sécurité liés aux produits Microsoft se sont produits dans 68 % des entreprises. Des événements de sécurité liés à d'autres éditeurs tels qu'Adobe et Apple se sont produits dans un nombre nettement moins élevé d'entreprises. Il est intéressant de noter que bien qu'Apple soit second en nombre de vulnérabilités, seul un faible pourcentage d'entreprises ont Nombre de vulnérabilités par éditeur 59 HP 62 PHP 80 Google 118 IBM 119 Cisco 119 Adobe 150 Firefox 222 Microsoft 260 Apple 384Oracle utilisés par quasiment toutes les entreprises dans le monde entier sont également les plus vulnérables, avec Oracle, Apple et Microsoft en tête des éditeurs les plus vulnérables. Nos recherches montrent que 75 % des hôtes des entreprises n'utilisent pas les toutes dernières versions (par exemple : AcrobatReader,FlashPlayer,InternetExplorer,JavaRuntime Environment, etc.). La conséquence étant que les hôtes sont exposés à un grand nombre de vulnérabilités pouvant être exploitées par des pirates. Nos recherches montrent également que 44 % des hôtes des entreprises n'utilisent pas les tous derniers Service Packs de Microsoft. Les Service Packs incluent généralement des mises à jour pour le système CHECK POINT - RAPPORT SÉCURITÉ 2013 subi des événements de sécurité liés aux produits Apple. Les pirates utilisent de nombreuses techniques appelées vecteurs d'attaques. Le graphique 2-K liste certains de ces vecteurs d'attaques en fonction du pourcentage d'entreprises qui les ont subies. Corruption de la mémoire, dépassement de tampon, et déni de service sont les vecteurs d'attaques les plus populaires découverts dans nos recherches. Graphique 2-I Source:CVE(vulnérabilitéscourantes) Événements de sécurité par éditeur % des entreprises 3 % HP 4 % Apple 5 % Apache 5 % Novell 13 % Adobe 15 % Oracle 68%Microsoft Graphique 2-J Source:CheckPointSoftwareTechnologies
CHECK POINT - RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE 016 À quoi ressemble une attaque d'injection SQL ? Chronique d'une injection SQL Ce qui suit est un véritable exemple d'une série d'attaques par injection SQL qui se sont déroulées de juillet à octobre 2012 dans un environnement client Check Point. Ces attaques ont été détectées et bloquées par une passerelle Check Point. Cet exemple nous est rapporté par l'équipe des services managés Check Point ThreatCloud. L'injection SQL est une exploitation de vulnérabilité (CVE-2005-0537) par laquelle un agresseur ajoute du code SQL au champ d'un formulaire web pour obtenir l'accès à des ressources ou modifier les données stockées. Le graphique 2-M montre à quoi ressemble l'attaque. Le texte surligné correspond aux données auxquelles le pirate a tenté d'accéder via l'injection SQL (des noms d'utilisateurs et des mots de passe dans le cas présent). Les commandes SQL utilisées sont : select, concat et from. L'attaque a été menée depuis 99 adresses IP différentes. Bien que l'entreprise ciblée soit située en Europe, les attaques provenaient de nombreux pays différents, tel qu'illustré dans le graphique 2-M. L'injectionSQLpeutêtreeffectuéemanuellement(unpirateà son clavier) où automatiquement (attaque par script). Dans le cas présent, tel que démontré dans le graphique 2-L, un pic de 4 184 tentatives d'attaques (très certainement automatisées) s'est produit pendant deux jours, à l'aide du même code et provenant de la même adresse IP source. Principaux vecteurs d'attaque Dépassement de tampon 32 % Corruption mémoire 32 % Déni de service 32 % Exécution de code 24 % 19 % Dépassementdepile 15 % Usurpation d'enregistrement 10 % Dépassement d'entier 8 % Fuite d'information 6 % Déréférencement de pointeur null 5 % Escalade de privilèges 2 % Dépassement de tampon 1 % Contournement d'authentification 22 juil. 5 août 19 août 2 sept. 16 sept. 30 sept. 14 oct. 28 oct. 2 500 1 500 500 2 000 1 000 Taux d'injections SQL Nombre d'injections SQL Graphique 2-L Graphique 2-K Source:CheckPointSoftwareTechnologies
017 • Un antibot pour détecter et empêcher les dommages causés par les bots • Un système de prévention d'intrusions proactif • Le filtrage des URL et le contrôle des applications pour empêcher l'accès à des sites web hébergeant/propageant des logiciels malveillants • Des données sur les menaces en temps réel et collaboration mondiale • Une surveillance intelligente permettant des analyses proactives RECOMMANDATIONS DE SÉCURITÉ PLUSIEURS COUCHES DE SÉCURITÉ Les menaces devenant de plus en plus sophistiquées, les problématiques de sécurité continuent de se complexifier. Pour maximiser la sécurité réseau de l'entreprise, un mécanisme de protection multicouche est nécessaire afin d'offrir une protection contre les différents vecteurs d'attaques : • Un antivirus pour identifier et bloquer les logiciels malveillants INJECTIONS SQL PAR PAYS D'ORIGINE TOP 10 http:// ______________/ns/index. php?action=com_clan&cid=185 and 1=2 union select 1,2,3,4,5,6,concat(0x26, 0x26,0x26,0x25,0x25,0x25,nom_utilisateur, 0x3a mot_de_passe 0x25,0x25,0x25,0x26, 0x26,0x26),8 from jos_users-- 37 Royaume-Uni 369 États-Unis 42 Roumanie 52 Ukraine 53 Géorgie 58 Espagne 98 Allemagne 122Pays-Bas 130Algérie 198Russie Graphique 2-M Source:CheckPointSoftwareTechnologies
018 Blocage des fichiers malveillants entrants Les entreprises doivent s'équiper d'une solution antimalwares analysant les fichiers entrant dans le réseau et capable de décider en temps réel si les fichiers sont infectés par des logiciels malveillants. Cette solution doit empêcher les fichiers malveillants d'infecter le réseau interne et également empêcherl'accèsauxsiteswebinfestésdelogicielsmalveillants qui tentent d'effectuer des téléchargements automatiques. Protection antibot multicouches La protection contre les bots comporte deux phases : la détection et le blocage. Pour maximiser sa capacité à détecter un bot dans un réseau, un mécanisme de détection multicouche est nécessaire pour couvrir tous les aspects du comportement des bots. Une solution de détection de bot doit intégrer un mécanisme de vérification de la réputation capable de détecter les adresses IP, URL et DNS utilisées par les agresseurs pour se connecter aux botnets. Il est également très important que cette protection inclut la possibilité de détecter les protocoles et les modèles de communication uniques à chaque famille de botnet. La détection des actions des bots est une autre fonction essentielle de la protection antibot. La solution doit être capable d'identifier les activités des bots, telles que l'envoi de spam, le détournement de clics et l'autodiffusion. La seconde phase faisant suite à la découverte des machines infectées est le blocage des communications sortantes des bots vers les serveurs de commande et de contrôle. Cette phase neutralise la menace et s'assure que les bots ne peuvent ni communiquer d'informations confidentielles ni recevoir d'instructions pour d'autres activités malveillantes. Les dommages causés par les bots sont ainsi immédiatement neutralisés. Cette approche permet aux entreprises de maintenir la continuité de leur activité. Les utilisateurs peuvent travailler normalement, sans avoir conscience que les communications spécifiques des bots sont bloquées et que l'entreprise est protégée, sans aucun impact sur la productivité. Le climat de turbulence politique qui a débuté en 2010 par le soulèvement de nombreux pays arabes s'est poursuivi en 2012 par des manifestations publiques dans d'autres pays. c'est donc sans surprise que nous avons constaté une vague de cyberattaques reposant sur ces agendas idéologiques. Foxconn, un fournisseur d'Apple à Taiwan, a été piraté par le groupe Swagg Security. Ce groupe réagissait apparemment aux annonces faites dans la presse des conditions de travail déplorables dans les entreprises du constructeur électronique en Chine14 . Le groupe d'activistes Anonymous a annoncé avoir piraté un serveur du département de la justice américaine hébergeantlesitedesstatistiquesdubureaudelajustice,et a publié 1,7 Go de données dérobées. Le groupe a publié l'annonce suivante à propos des données volées : « Nous publions ces données pour mettre fin à la corruption et véritablement libérer ceux qui sont oppressés. »15 . Le Vatican a également subit pendant une semaine des attaques du groupe Anonymous sur ses sites web et ses serveurs de messagerie internes. Le groupe a revendiqué son action en indiquant que les transmetteurs du système radio du Vatican situés dans les campagnes aux alentours de Rome posaient soi-disant un risque de santé. Le groupe prétendais que les émetteurs provoquaient « des leucémies et des cancers » chez les personnes habitant à proximité. Le groupe a également justifié son attaque en indiquant que le Vatican avait soi-disant aidé les nazis à détruire des ouvrages de valeur historique, et que le clergé commettait des agressions sexuelles sur des enfants16 . Lors d'une autre cyberattaque, Anonymous a stoppé le fonctionnement des sites Internet des associations de commerce U.S. Telecom Association et TechAmerica. Ces attaques ont apparemment été mené en raison du soutien de ces associations à la loi sécuritaire proposée par le républicain Mike Rogers. Cette loi permettrait à des sociétés privées et au gouvernement de partager directement des informations « sur des vulnérabilités ou des menaces » pesant sur des réseaux d'ordinateurs17 . 2012, UNE ANNÉE D'HACKTIVISME
019 CHECK POINT - RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE Collaboration mondiale en temps réel Le problème des cyberattaques est trop vaste pour qu'une entreprise seule s'y attaque. Les entreprises ont plus de chance de maîtriser ce défi croissant en collaborant et en bénéficiant d'une assistance professionnelle. Lorsque les cybercriminels utilisent des logiciels malveillants, bots et autres formes de menaces avancées, ils ciblent souvent plusieurs sites et entreprises pour augmenter les chances de réussite de leurs attaques. Lorsque les entreprises combattent ces menaces séparément, de nombreuses attaques ne peuvent être détectées car les entreprises ne sont pas en mesure de partager d'informations sur les menaces. Pour continuer de devancer les menaces, les entreprises doivent collaborer et partager des données sur les menaces. La protection ne peut se renforcer et devenir plus efficace que si elles joignent leurs efforts. Prévention d'intrusions La prévention d'intrusions est une couche de sécurité obligatoire pour combattre les différents vecteurs des cyberattaques. Une solution de prévention d'intrusions est requise pour inspecter le trafic en profondeur, et empêcher les tentatives d'infiltration et d'accès aux ressources de l'entreprise.Unesolutionadéquateintègrelesfonctionnalités suivantes : • Validation des protocoles et détection des anomalies, Identification et blocage du trafic non conforme avec les protocoles standards, et pouvant entraîner le malfonctionnement des équipements ou des problèmes de sécurité. • Blocage des charges inconnues capables d'exploiter une vulnérabilité spécifique. • Blocage des communications excessives indiquant une attaque de déni de service (DoS). Voir la section Paysage des menaces et mesures Une visibilité claire sur les événements de sécurité et les tendances est un autre composant clé de la lutte contre la cybercriminalité. Les administrateurs de sécurité doivent être constamment et clairement en mesure de comprendre l'état de la sécurité du réseau pour contrer les menaces et les attaques ciblant l'entreprise. Cette compréhension requiert une solution de sécurité capable de fournir une visibilité de haut niveau sur les protections, et mettre en évidence les informations critiques et les attaques potentielles. La solution doit également être en mesure d'analyser des éléments spécifiques en profondeur. La possibilité de prendre immédiatement des mesures à partir de ces informations est essentielle pour empêcher les attaques en temps réel et bloquer proactivement les menaces futures. La solution de sécurité doit intégrer un mécanisme d'administration intuitif et souple pour simplifier l'analyse des menaces et réduire le coût d'adaptation. Mises à jour de sécurité et assistance En raison des menaces en constante évolution, les défenses doivent évoluer pour continuer de les devancer. Les produits de sécurité ne peuvent traiter efficacement les tous derniers logiciels malveillants et vulnérabilités que si leurs éditeurs sont en mesure d'effectuer des recherches et fournir des mises à jour fréquentes. Un excellent service de sécurité repose sur : • La recherche interne de l'éditeur et sa capacité à collecter des informations depuis différentes sources • Des mises à jour de sécurité fréquentes pour toutes les technologies appropriées, dont la prévention d'intrusions, l'antivirus et l'antibot • Une assistance pratique et facile d'accès capable de répondre aux questions et traiter les problèmes spécifiques à l'environnement de ses clients
CHECK POINT - RAPPORT SÉCURITÉ 2013 Les règles du jeu ont changé. Les règles du jeu ont changé. Les applications Internet étaient autrefois considérées comme un passe-temps, un moyen de voir les photos de voyage de ses amis et regarder des films drôles. Les applications du web 2.0 sont devenues des outils essentiels pour les entreprises modernes. Nous communiquons avec des collègues, clients et partenaires, nous partageons des informations, et nous nous tenons informé de l'actualité et des opinions d'autres internautes. Des outils Internet tels que Facebook, Twitter, Webex, LinkedIn et Youtube pour n'en citer que quelques-uns, sont de plus en plus répandus dans les entreprises qui les utilisent comme des facilitateurs. Dans cette section de notre étude, nous détaillons les risques introduitsparlesapplicationsduweb2.0etleurinfrastructure, puis nous nous concentrons sur les applications spécifiques utilisées par les entreprises de notre étude. Les résultats sont illustrés à l'aide de véritables exemples d'incidents. Les applications web ne sont pas des jeux L'évolution de la technologie entraîne la complexification des problématiques de sécurité. Les outils Internet introduisent également de nouveaux risques de sécurité. De nombreuses applications Internet légitimes sont utilisées comme outil d'attaque contre les entreprises ou entraînent des failles de sécurité dans les réseaux. Des applications d'anonymat, de stockageetdepartagedefichiers,departagedefichiersenP2P, d‘administration à distance et les réseaux sociaux, sont utilisés par des agresseurs pour exploiter les failles des entreprises. Il existe une multitude de plates-formes et d'applications pouvant être utilisées à des fins personnelles ou professionnelles. Chaque entreprise doit être consciente de ce que font ses employés, et à quelles fins, puis définir sa propre politique d'utilisation d'Internet. Ilestànoterque91%desentreprisesutilisentdesapplications capables de potentiellement contourner la sécurité, masquer les identités, provoquer des fuites de données et même introduire des infections à leur insu. 03 APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE En juin 2012, la FTC (agence américaine de régulation des échanges commerciaux) a allégué que deux entreprises avaient publié des informations confidentielles sur des réseaux de partage de fichiers en P2P, mettant en danger des milliers de consommateurs. La FTC a indiqué que l'une des entreprises, EPN, Inc., une agence de recouvrement de créances, avait rendu des données confidentielles, y compris les numéros de sécurité sociale, les numéros d'assurés sociaux et les diagnostics médicaux de 3 800 patients, disponibles à tout ordinateur connecté au réseau de P2P. La FTC a indiqué que l'autre entreprise, Franklin‘s Budget Car Sales, Inc.,unconcessionnaireautomobile,avaitexposélesdonnées de95 000 consommateurssurunréseaudeP2P.Lesdonnées comprenaientlesnoms,adresses,numérosdesécuritésociale, dates de naissance et numéros de permis de conduire18 . En 2010, la FTC a signalé à une centaine d'entreprises que des informations personnelles, comprenant des données confidentielles sur des consommateurs et/ou des employés, avaient été partagées sur leurs réseaux et étaient disponibles sur les réseaux de partage de fichiers en P2P. N'importe quel utilisateurdecesréseauxpouvaitutiliserlesdonnéesàdesfins d'usurpation d'identité ou de fraude19 . DONNÉES CONFIDENTIELLES PARTAGÉES PAR DES APPLICATIONS DE PARTAGE DE FICHIERS EN P2P
03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 021 Les applications de P2P ouvrent des portes dérobées dans votre réseau Les applications de P2P (pair à pair) sont utilisées pour partager des fichiers entre utilisateurs. La technologie P2P est de plus en plus prisée par les agresseurs pour propager des programmes malveillants parmi les fichiers partagés. Les applications de P2P sont essentiellement des portes dérobées pour accéder à votre réseau. Elle permettent aux utilisateurs de partager des dossiers et provoquer d'éventuelles fuites de données confidentielles, et peuvent rendre les entreprises responsables d'acquisitions illégales par leurs employés via les réseaux P2P. Nous avons constaté un fort taux d'utilisation des applications de P2P. Elles sont utilisées dans plus de la moitié des entreprises (61 %). Les clients BitTorrent sont les outils de partage de fichiers en P2P les plus utilisés. D'un point de vue régional, le graphique suivant montre qu'en Asie-Pacifique, les applications de partage de fichiers en P2P sont plus populaires que dans d'autres régions. 021 DES ENTREPRISES, UNE APPLICATION DE PARTAGE DE FICHIERS EN P2P EST UTILISÉE 61%DANS 0 Principales applications de partage de fichiers en P2P (% des entreprises) Des informations supplémentaires sur les principales applications de P2P sont disponibles dans l'Annexe B. 20 % eMule 19 % SoulSeek 7 % Windows Live Mesh 6 % BoxCloud 10 % Sopcast 11 % Gnutella 40%BitTorrent 7 % iMesh Graphique 3-A Utilisation d‘applications de partage de fichiers en P2P par région (% des entreprises) 72%APAC 62%Amériques 55%EMEA Graphique 3-B Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies Les applications d'anonymat contournent les règles de sécurité des entreprises Unanonymiseur(ouproxyanonyme)estunoutilpermettant de masquer toute trace des activités des utilisateurs sur Internet. Une telle application utilise un serveur de proxy qui agitentantquefiltreentrelesordinateursdesclientsetlereste d'Internet. Elle accède à Internet à la place des utilisateurs, en masquant les informations personnelles de leur ordinateur et la destination à laquelle ils accèdent. Les applications
CHECK POINT - RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 022 Utilisation des applications d'anonymat par région (% des entreprises) 49%Amériques 40%EMEA 35%APAC Serveur web Proxy Ultrasurf Client Ultrasurf Ultrasurf se connecte à un de ses serveurs de proxy Internet d'anonymat peuvent être utilisées pour contourner les règles de sécurité qui sont essentiellement construites autour des identités des utilisateurs et des sites/URL de destination. En utilisant des anonymiseurs, les utilisateurs se matérialisent à partir d'une adresse IP différente et accèdent à une destination différente. Les règles de sécurité ne peuvent être appliquées sur ces nouvelles adresses IP/destinations. Dans certains cas, les anonymiseurs peuvent être également utilisés pour dissimuler des activités criminelles. Dans 43 % des entreprises de notre étude, au moins une applicationd'anonymatestutilisée.Dans86%desentreprises utilisant ce type d'application, l'utilisation n'est pas légitime et contradictoire à la politique de sécurité. Lorsque nous regardons l'utilisation des applications d'anonymat par région, nous pouvons voir qu'elles sont plus populaires dans les Amériques et moins en Asie-Pacifique. Comment fonctionne l'anonymiseur Ultrasurf ? Ultrasurf est un anonymiseur extrêmement sophistiqué fonctionnant sous forme de proxy client et créant un tunnel HTTP chiffré entre l'ordinateur des utilisateurs et un pool central de serveurs de proxy, pour permettre aux utilisateurs de contourner les pare-feux et la censure. Le mécanisme de découverte des serveurs de proxy d'Ultrasurf est très résistant, et intègre un cache des adresses IP des serveurs, des requêtes DNS qui renvoient les adresses IP des serveurs de proxy chiffrées, des documents chiffrés dans Google Docs, et une liste programmée en dur dans l‘outil des adresses IP des serveurs de proxy. Ces techniques rendent sa détection encore plus difficile. Graphique 3-D Source:CheckPointSoftwareTechnologies 13 % CGI-Proxy 8 % Ultrasurf 7 % Hopster 7 % Hide My Ass 6 % Hamachi Applications d'anonymat les plus populaires (% des entreprises) Des informations supplémentaires sur les principales applications d'anonymat sont disponibles dans l'Annexe B. Graphique 3-C 23%TorSource:CheckPointSoftwareTechnologies
023 Outils d'administration à distance utilisés pour des attaques malveillantes Les outils d'administration à distance sont généralement des outils légitimes lorsqu'ils sont utilisés par des administrateurs et desservicesd'assistance.Toutefois,plusieursattaquesmenéesces dernières années ont fait appel à de tels outils pour contrôler à distance des machines infectées, infiltrer des réseaux, enregistrer desfrappesauclavieretdéroberdesinformationsconfidentielles. Étant donné que ces outils sont habituellement utilisés en entreprise, ils ne devraient pas être bloqués systématiquement. Cependant,leurutilisationdoitêtresurveilléeetcontrôléepour empêcher toute utilisation malintentionnée. 81 % des entreprises de notre étude utilisent au moins une application d'administration à distance ; Microsoft RDP étant la plus populaire. Des recherches récentes ont identifié un botnet contrôlé par des agresseurs dans un serveur IRC fonctionnant sous forme de service caché dans le réseau Tor. Les connexions entre les utilisateurs et les nœuds Tor étant chiffrées sur plusieurs niveaux, il est extrêmement difficile pour les systèmes de surveillance fonctionnant au niveau du réseau local ou du FAI de déterminer la véritable destination des utilisateurs20 . Le principal objectif du réseau Tor est de rendre la navigation sur Internet anonyme. Bien qu'il soit très populaire, son utilisation en entreprise pose plusieurs problèmes de sécurité. Tor peut également être facilement utilisé pour contourner les règles de sécurité de l'entreprise puisqu'il est spécifiquement conçu pour rendre ses utilisateurs anonymes. Lors de l'utilisation de Tor pour accéder à des ressources sur Internet, les requêtes envoyées depuis un ordinateur sont redirigées de manière aléatoire au travers d'une série de nœuds mis à disposition volontairement par d'autres utilisateurs de Tor. DANS 43%DES ENTREPRISES, DES ANONYMISEURS SONT UTILISÉS 81 % DES ENTREPRISES UTILISENT DES OUTILS D'ADMINISTRATION À DISTANCE Principales applications d'administration à distance (% des entreprises) 17 % VNC 4 % Bomgar 3 % Gbridge Des informations supplémentaires sur les principales applications d'administration à distance sont disponibles dans l'Annexe B. Graphique 3-F 52%TeamViewer 43%LogMeIn 58%MS-RDP Source:CheckPointSoftwareTechnologies L'ANONYMISEUR TOR COMPROMET LA SÉCURITÉ
03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 0240 Partager ne signifie pas toujours se soucier L'expression « partager c'est se soucier » signifie généralement que lorsque quelqu'un partage avec d'autres cela signifie qu'elle se soucie des autres. Mais ce n'est pas toujours le cas lorsque l'on partage des fichiers en entreprise à Principales applications de stockage et de partage de fichiers (% des entreprises) Des informations supplémentaires sur les principales applications de stockage et de partage de fichiers sont disponibles dans l'Annexe B. Source:CheckPointSoftwareTechnologies 51%WindowsLiveOffice 9 % Microsoft SkyDrive 22 % YouSendIt 13 % Sugarsync 10 % PutLocker 69%Dropbox Graphique 3-G De juillet à septembre 2011 s'est déroulée une campagne d'attaques nommée « Nitro ». Des agresseurs ont utilisé unoutild'accèsàdistanceappeléPoisonIvypourdénicher des secrets dans près d'une cinquantaine d'entreprises, la plupart dans les secteurs de la chimie et de la défense. Poison Ivy a été introduit dans les PC sous Windows de victimes d'une escroquerie envoyée par email. Les emails contenaient des demandes de réunion de la part de partenaires commerciaux de bonne réputation, ou dans certains cas, des mises à jour de logiciels antivirus ou d'Adobe Flash Player. Lorsque les utilisateurs ouvraient les pièces jointes, Poison Ivy s'installait sur leur ordinateur à leur insu. Les agresseurs pouvaient alors envoyer des instructions aux ordinateurs compromis pour obtenir des mots de passe d'accès à des serveurs hébergeant des données confidentielles, et envoyer les informations dérobées à des systèmes contrôlés par les pirates. 29 des 48 entreprises attaquées faisaient partie du secteur de la commercialisationdeproduitschimiquesetavancés,dont certaines avec des connexions à des véhicules militaires, tandis que les 19 autres provenaient de différents secteurs, y compris la défense21. Nitro n'est pas le seul exemple d'utilisation malintentionnée des outils d'accès à distance ; RSA breach, ShadyRAT et l'opération Aurora en sont d'autres. Poison Ivy était cependant utilisé dans tous les cas. PIRATÉ PAR DES OUTILS D'ACCÈS À DISTANCE l'aide d'applications de stockage et de partage de fichiers. Une des plus grandes caractéristiques du web 2.0 est la possibilité de générer du contenu et le partager avec d'autres, mais cela présente également un risque. Des informations confidentielles peuvent tomber dans de mauvaises mains lorsque des fichiers confidentiels sont partagés. Notre étude porte également sur les applications de stockage et de partage de fichiers pouvant provoquer des fuites de données ou des infections de logiciels malveillants à l'insu des utilisateurs. Notre étude montre que 80 % des entreprises utilisent au moins une application de stockage ou de partage de fichiers dans leur réseau. L'utilisation de Dropbox compte pour 69 % des événements de sécurité, Windows Live Office arrivant en seconde place avec 51 %. Utilisation des applications à haut risque par secteur d'activité Check Point a analysé l'utilisation des applications à haut risque d'un point de vue sectoriel. Le graphique 3-E montre que les entreprises industrielles et les administrations publiques sont les plus importantes utilisatrices d'applications à haut risque. L'utilisation de certaines de ces applications peut être légitime en entreprise, par exemple 80 % DES ENTREPRISES UTILISENT DES APPLICATIONS DE STOCKAGE ET DE PARTAGE DE FICHIERS
CHECK POINT - RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 025 Adm inistrationàdistance Stockageetpartagedefichiers PartagedefichiersenP2P Anonym iseur 81 % 82 % 82 % 82 % 76 % 71 % 81 % 71 % 62 %63 % 59 % 55 % 48% 44% 44% 42% 84% 70 % 38% 29% < Pertinence avec l'activité de l'entreprise 0 POURCENTAGE DES ENTREPRISES UTILISANT DES APPLICATIONS À HAUT RISQUE PAR SECTEUR D'ACTIVITÉ Administration publique Industrie Finance Télécommunication Conseil (% des entreprises) Graphique 3-E Source:CheckPointSoftwareTechnologies
0260 Source:CheckPointSoftwareTechnologies DEUX INCIDENTS MAJEURS SUR DROPBOX EN DEUX ANS 13 % Twitter 12 % LinkedIn 59%Facebook Utilisation de la bande passante par les réseaux sociaux Utilisation moyenne calculée dans les applications de réseaux sociaux Graphique 3-H l'utilisation d'outils d'administration à distance pour des services d'assistance. La barre horizontale de ce graphique indique en conséquence le niveau d'utilisation légitime dans un environnement professionnel. Message légitime sur Facebook ou virus ? Avec la popularité croissante des réseaux sociaux, les entreprises font face à de nouvelles problématiques. Poster des informations confidentielles par inadvertance peut nuire à la réputation de l'entreprise, et entraîner la perte de l'avantage concurrentiel ou des pertes financières. Les pirates tirent également parti de techniques de piratage associées à l'ingénierie sociale pour diriger l'activité des botnets. Les vidéos et les liens intégrés aux pages des réseaux sociaux sont en train de devenir des moyens populaires pour les pirates d'intégrer des logiciels malveillants. En plus des risques de sécurité, les applications de réseaux sociaux étouffent la bande passante. Facebook est sans aucun doute le réseau social le plus utilisé. Twitter et LinkedIn sont d'autres réseaux sociaux visités durant les heures de travail (mais nettement moins que Facebook). Un lien Facebook menant à un site malveillant : En juillet 2012, une attaque a été menée contre des utilisateurs de Dropbox. Des noms d'utilisateurs et mots de passe Dropbox publiés sur un site web ont été testés sur des comptes Dropbox. Les pirates ont utilisé un mot de passe dérobé pour se connecter au compte d'un employé de Dropbox contenant un document avec les adresses email des utilisateurs. Des spammeurs ont utilisé ces adresses email pour envoyer du spam22 . Cet incident illustre une tactique fréquemment utilisée par les pirates. Les pirates dérobent souvent des noms d'utilisateurs et mots de passe de sites qui semblent à première vue ne pas contenir d'informations personnelles ou financières de valeur. Ils testent ensuite ces identifiants sur les sites web de différentes institutions financières, puis sur des comptes Dropbox pouvant potentiellement contenir des informations plus lucratives. En 2011, un bug d'une mise à jour de Dropbox a permis à quiconque de se connecter à n'importe quel compte Dropbox, lorsque l'adresse email du détenteur du compte était connue. Ce bug a exposé les informations et documents partagés des utilisateurs. Le problème a été corrigé en quelques heures, mais il a servi de mise en garde aussi bien aux utilisateurs qu'aux entreprises dont les employés utilisent des services de stockage et de partage de fichiers tels que Dropbox et Google Docs pour stocker des informations d'entreprise confidentielles23 .
CHECK POINT - RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 027 que Gmail, Facebook, etc., mais pire encore, ils peuvent les utiliser pour accéder à des comptes bancaires ou encore des services pour entreprises telles que SalesForce et autres. RECOMMANDATIONS POUR SÉCURISER L'UTILISATION DES APPLICATIONS WEB DANS VOTRE RÉSEAU Commentdévelopperuneprotectionweb2.0efficace? La première étape pour sécuriser l'utilisation des applications web en entreprise consiste à utiliser une solution de sécurité capable de contrôler et d'appliquer des règles de sécurité à tous les aspects de l'utilisation du web. Une visibilité complète sur toutes les applications utilisées dans l'environnement est requise, avec la possibilité de contrôler leur utilisation. Ce niveau de contrôle doit être maintenu sur les applications client (telles que Skype) et également sur les aspects les plus traditionnels du web via URL : les sites web. Comme de nombreux sites (tels que Facebook) permettent à de nombreuses applications d'utiliser leur URL, il est essentiel de disposer d'une granularité au-delà des URL ; par exemple pour le chat Facebook et des applications de jeux. Les entreprises sont alors en mesure de facilement bloquer les applications mettant leur sécurité en danger. Autorisation des réseaux sociaux pour l'activité de l'entreprise Des entreprises choisissent de bloquer Facebook dans certains cas, mais celui-ci est un outil de travail indispensable pour de nombreuses entreprises. Les entreprises publient souvent des informations sur leurs prochains webinaires et événements, des informations sur les produits et les toutes dernières nouveautés, des liens vers des articles intéressants et des vidéos. Comment pouvons-nous permettre l'utilisation des réseaux sociaux dans l'entreprise sans compromettre la sécurité ? En contrôlant les fonctionnalités et les widgets de ces applications et plates-formes. En autorisant l'utilisation de Facebook tout en bloquant ses fonctionnalités moins utiles à l'entreprise, il est possible de rendre ce réseau social utile tout en minimisant ses risques de sécurité. Étude de cas des attaques d'ingénierie sociale De récentes attaques démontrent que les pirates migrent des emails traditionnels aux réseaux sociaux comme canal de diffusion. Le cas suivant est tiré d'une véritable attaque qui s'est produite en août 2012. Des pirates ont utilisé des techniques d'ingénierie sociale Twitter et Facebook pour diffuser des contenus malveillants. À l'aide d'un compte Twitter compromis, les pirates ont envoyé directement des messages à toutes les personnes suivant le compte piraté. Le message indiquait : « que faisiez-vous dans ce film (URL Facebook]... c'est choquant ». L'URL pointait sur une application Facebook nécessitant des « identifiants Twitter ». L'écran d'identification était un serveur web appartenant aux pirates et utilisé pour collecter les identifiants Twitter des destinataires. À l'aide des identifiants Twitter, les pirates ont pu répéter le même processus avec les nouveaux comptes piratés pour obtenir encore plus de mots de passe. Les pirates peuvent utiliser ces identifiants dérobés avec d'autres services tels 0
CHECK POINT - RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 028 Différents utilisateurs ont différents besoins Les différents utilisateurs de l'entreprise ont des besoins différents, et la politique de sécurité doit maximiser le potentiel des activités, et non les freiner. Par exemple, le service commercial peut utiliser Facebook pour rester en contact avec ses clients et partenaires, alors que le service informatique peut l'utiliser pour se tenir informé des toutes dernières actualités. Comment pouvons-nous alors assurer que les utilisateurs bénéficient de l'accès dont ils ont besoin ? Est-il pratique de demander au responsable de la sécurité de savoir ce à quoi chaque utilisateur ou groupe devrait ou ne devrait pas avoir accès ? Une solution pratique doit pouvoir identifier les utilisateurs, les groupes et les postes de manière granulaire afin de distinguer facilement les employés des autres (invités et sous- traitants). Un autre aspect important est la possibilité d'engager et sensibiliser les utilisateurs en temps réel lorsqu'ils utilisent des applications. Lorsqu'un utilisateur se rend sur un site web douteux ou lance une application douteuse, un message apparaît lui demandant de justifier de son utilisation pour pouvoir y accéder. Sa réponse est journalisée et supervisée. Le message peut également l'informer sur la politique d'utilisation professionnelle d'Internet, et lui signifier que son utilisation de telles applications est surveillée. La « compréhension » est un composant essentiel du contrôle du web Les administrateurs doivent avoir une vue d'ensemble des événements de sécurité Internet pour assurer le contrôle du web. Une solution de sécurité fournissant une visibilité claire et étendue sur tous les événements de sécurité liés au web est nécessaire. La solution doit fournir une visibilité et des fonctions de supervision telles qu'une vue d'ensemble graphique, une chronologie des événements, et une liste des événements pouvant être ordonnés, regroupés et triés par utilisateur,application,catégorie,niveauderisque,utilisation delabandepassante,dutemps,etc.Ilestimportantdepouvoir également générer des rapports pour mettre en évidence les principales catégories, applications, sites et utilisateurs, afin de connaître les tendances et planifier les capacités. Résumé Les règles du jeu ont changé. Sécuriser le web 2.0 ne revient plus simplement à bloquer une URL inappropriée. Il ne s'agit plus de seulement empêcher une application de s'exécuter. Sécuriser le web 2.0 requiert une approche intégrée de protection multicouche avec filtrage des URL, contrôle des applications, protection antimalwares et antibots, ainsi que l'identification des utilisateurs, la sensibilisation des utilisateurs, et des outils sophistiqués de supervision et d'analysedesévénementspourpermettreauxadministrateurs de conserver le contrôle de toutes les situations. 0 LA SÉCURISATION DU WEB 2.0 REQUIERT UNE APPROCHE INTÉGRÉE DU FILTRAGE DES URL, DE CONTRÔLE DES APPLICATIONS, D'IDENTIFICATION DES UTILISATEURS, DE SENSIBILISATION DES UTILISATEURS ET D'UNE MANIÈRE D'AUGMENTER LA VISIBILITÉ SUR LE CONTRÔLE DU WEB POUR LES ADMINISTRATEURS.
CHECK POINT - RAPPORT SÉCURITÉ 2013 04 FUITES DE DONNÉES DANS VOTRE RÉSEAU Les données des entreprises : leur bien le plus précieux Les données des entreprises sont de plus en plus accessibles et transmissibles que jamais auparavant, et la majorité des données sont confidentielles. Certaines sont confidentielles car elles contiennent tout simplement des données internes à l'entreprise qui ne sont pas destinées à être communiquées publiquement. D'autres sont également confidentielles pour desraisonsdeconformitéaveclapolitiquedel'entreprise,etdes législations nationales et internationales. Dans de nombreux cas, la valeur des données dépend de leur confidentialité. C'est le cas notamment de la propriété intellectuelle et des informations sur les concurrents de l'entreprise. Pour complexifier encore plus les choses, au-delà de la gravité des fuites de données, nous disposons maintenant d'outils et depratiquesquifacilitentencoreplusleserreursirréversibles : serveurs dans le cloud, Google docs, et tout simplement le non respect des procédures de l'entreprise, lorsque des employés emportent par exemple leur travail à domicile. En fait, la plupart des cas de fuites de données se produisant sont des fuites involontaires. Les fuites de données peuvent arriver à tout le monde Desfuitesdedonnéespeuventêtreprovoquéesnonseulement par des cybercriminels, mais également involontairement par des employés. Un document confidentiel peut être envoyé par erreur à la mauvaise personne, partagé sur un site public, ou envoyé sur un compte de messagerie personnelle non autorisé. N'importe lequel de ces scénarios peut se arriver à chacun d'entre nous, avec des conséquences désastreuses. Les fuites de données confidentielles portent préjudice à l'image de l'entreprise, entraînent des non-conformités et même de lourdes amendes. Notre étude Lorsque des entreprises doivent préciser les données qui ne devraient pas sortir de l'entreprise, de nombreuses variables doivent être prises en compte. De quel type de données s'agit- il ? Qui en est le propriétaire ? Qui en est l'expéditeur ? Qui est le destinataire prévu ? Quand sont-elles envoyées ? Quel est le coût de l'interruption des processus métiers lorsque la politique de sécurité est plus stricte que nécessaire ? DES ENTREPRISES DE NOTRE ÉTUDE ONT SUBI AU MOINS UN INCIDENT POTENTIEL DE FUITE DE DONNÉES 54%
031 Nous avons analysé dans notre étude le trafic transitant de l'intérieurversl'extérieurdesentreprises.Nousavonsexaminé le trafic HTTP et SMTP. Par exemple, dans le cas d'emails envoyés à un destinataire externe, des appareils Check Point ontinspectélecorpsdumessage,lesdestinatairesetlespièces jointes(mêmecompressées).Nousavonségalementinspecté les activités web, telles que la publication de messages et les webmails. Comme règles de sécurité sur ces appareils, nous avons choisi les types de données prédéfinis par défaut pour détecter les données confidentielles, les formulaires et les modèles (tels que numéros de cartes de paiement, code source, données financières et autres) pouvant constituer des fuites de données potentielles si elles tombaient dans de mauvaises mains. Une liste détaillée des types de données est disponible dans l'Annexe D. Fuites de données potentielles dans votre entreprise Nos recherches ont montré que dans 54 % des entreprises, au moins un événement de sécurité relevant potentiellement Voici quelques exemples de fuites de données provoquées involontairement par des employés en 2012 : En october 2012, le conseil municipal de Stoke- on-Trent au Royaume-Uni a été condamné à verser une amende de 120 000 livres après la découverte de l'envoi d'informations confidentielles à la mauvaise adresse par un membre de son service juridique. Onze emails destinés à un avocat travaillant sur un dossier ont été envoyés à une autre adresse email suite à une faute de frappe. Le journal japonais Yomiuri Shimbun a licencié un de sesjournalistesenoctobre2012pouravoiraccidentellement envoyé les informations confidentielles d'une enquête aux mauvais destinataire. Le journaliste avait l'intention d'envoyer les résultats de ses recherches à des collègues par email, mais a envoyé les messages à plusieurs bureaux de presse à la place, dévoilant ainsi l'identité de ses sources24 . En avril 2012, l'Institut militaire de Virginie à Lexington aux États-Unis a involontairement envoyé les notes des étudiants sous forme de pièce jointe. Un email a été envoyé au président de classe contenant une feuille de calcul révélant les notes de chaque senior. Ignorant de la présence de la pièce jointe, le président a ensuite transmis le message à 258 étudiants. L'intention initiale était d'envoyer unemailavecunefeuilledecalculnecontenantquelesnoms et adresses postales des étudiants afin qu'ils confirment leurs coordonnées25 . L'Université A&M du Texas a envoyé par accident un email avec une pièce jointe contenant les numéros de sécuritésociale,nomsetadressesde4 000 anciensétudiants, qui ont ensuite informé l'université de son erreur. L'accident s'est produit en avril 201226 . OUPS... J'AI ENVOYÉ L'EMAIL À LA MAUVAISE ADRESSE 61 % Finance 50 % Industrie 45 % Télécommunication 33 % Conseil 54 % Autres 70 % Admin. pub. Pourcentage d'entreprises avec au moins un événement de fuite de données potentielle par secteur d'activité (% des entreprises) Graphique 4-Aׁ Source:CheckPointSoftwareTechnologies
CHECK POINT - RAPPORT SÉCURITÉ 2013 04 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU 032 d'une fuite de données se produit en moyenne tous les 6 jours. Nous avons pris en compte des événements liés à des informations internes (voir la liste des types de données dans l'Annexe D) envoyées à des ressources externes, soit par l'envoi d'un email à un destinataire externe ou la publication d'un message en ligne. Nos recherches montrent que les administrations publiques et les entreprises du secteur financier sont les plus exposées aux risques de fuites de données (voir graphique 4-A). Emails internes envoyés à l'extérieur de l'entreprise Dans de nombreux cas, des fuites de données se produisent involontairement lorsque des employés envoient des emails aux mauvais destinataires. Nous avons analysé deux types d'email pouvant relever de tels cas. Le premier type comprend des emails envoyés à des destinataires internes visibles (champs À et CC) et des destinataires externes dans le champ BCC. Dans la plupart des cas, ces emails semblent internes mais sortent effectivement de l'entreprise. Le second type comprend des emails envoyés à plusieurs destinataires internes et un seul destinataire externe. De tels emails sont généralement envoyés involontairement au mauvais destinataire externe. Des événements de ces deux types se sont produits dans 28 % des entreprises étudiées. Quels sont les types de données envoyés par les employés à des destinataires externes ou publiés en ligne ? Le graphique 4-C montre les principaux types de données envoyéesàdestiersàl'extérieurdel'entreprise.Lesinformations sur les cartes de paiement sont en tête de liste, suivis des codes source et des fichiers protégés par mot de passe. Votre entreprise est-elle conforme à PCI ? Les employés envoient leur propre numéro de carte de paiement et ceux de leurs clients sur Internet. Ils envoient des reçus de paiement des clients contenant leur numéro de carte de paiement sous forme de pièces jointes. Ils répondent aux emails des clients contenant initialement leur numéro de carte de paiement dans le corps du message. Ils envoient même quelquefois des feuilles de calcul contenant des donnés client à des comptes de messagerie personnels ou des partenaires commerciaux. Les incidents liés aux numéros de cartes de paiement sont souvent le résultat d'un processus métier défaillant ou d'une inattention. Ces incidents peuvent également indiquer que la politique de sécurité de l'entreprise ne répond pas aux objectifs de sensibilisation à la sécurité et d'utilisation prudente des ressources de l'entreprise. De plus, l'envoi de numéros de cartes de paiement sur Internet n'est pas conforme à la norme PCI DSS stipulant que les données des titulaires de cartes de paiement doivent être chiffrées lors des transmissions sur des réseaux publics ouverts. La non conformité à la norme PCI DSS peut nuire à la réputation de l'entreprise, et entraîner des poursuites et des dédommagements, des annulations de contrats, des problèmes de cartes de paiement et des amendes. 36 % Finance 26 % Industrie 18 % Télécommunication 11 % Conseil 26 % Autre 47 % Admin. pub. Pourcentage d'entreprises par secteur dans lesquelles des informations de cartes de paiement ont été envoyées à des ressources externes (% des entreprises) DANS 28 % DES ENTREPRISES, UN EMAIL INTERNE A ÉTÉ ENVOYÉ À UN DESTINATAIRE EXTERNE Graphique 4-B Source:CheckPointSoftwareTechnologies
DONNÉES ENVOYÉES À L'EXTÉRIEUR DE L'ENTREPRISE PAR DES EMPLOYÉS Source:CheckPointSoftwareTechnologies Graphique 4-C ÉES À 'ENTREPRISE YÉS 29 % Inform ationsdecartesdepaim ent 13% Informationsderémunération 14 %Fichier protégé par mot de passe 24 % Code source 7 %Email désigné comme étant confidentiel 21%Autre 6% Dossiersd'entreprise 3%Numérosdecomptes (% des entreprises) DES ENTREPRISES DU SECTEUR FINANCIER ONT ENVOYÉ DES INFORMATIONS DE CARTES DE PAIEMENT À L'EXTÉRIEUR DE L'ENTREPRISE 36%
CHECK POINT - RAPPORT SÉCURITÉ 2013 04 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU Nous avons inspecté le trafic sortant des entreprises et analysé le contenu de tous les messages, y compris les pièces jointes et les archives, à la recherche de numéros de cartes de paiement ou de données sur leurs titulaires. Les analyses utilisent des expressions régulières, la validation des sommes de contrôle, et les règles de conformité aux normes PCI DSS. Dans 29 % des entreprises, au moins un événement a été découvert, indiquant que des informations liées à PCI ont été envoyées à l'extérieur de l'entreprise. Dans 36 % des entreprises du secteur financier, qui sont généralement obligées d'être conformes aux normes PCI, au moins un événement s'est produit. HIPAA Les règles de confidentialité HIPAA aux États-Unis ont pour objectif de protéger les informations de santé et donner aux patients un certain nombre de droits quant à ces informations. Elles permettent cependant de communiquer des informations de santé lorsque cela est requis pour le traitement des patients ou autre nécessité.27 Elles permettent aux organismes de santé d'utiliser la messagerie électronique pour discuter des problèmes de santé avec leurs patients, à condition de mettre en place des garde-fous raisonnables. Le chiffrement n'est pas obligatoire, cependant, un niveau de confidentialité raisonnable doit être garanti.Commentlaisserlecanaldecommunicationouvertavec lespatientsetlespartenairestoutenprotégeantlaconfidentialité et en maintenant la conformité avec HIPAA ? Nous avons surveillé le trafic sortant des entreprises tout en analysant les emails et les pièces jointes, à la recherche d‘informations privées sur les patients, par identification des données personnelles (telles que des numéros de sécurité sociale) et des termes médicaux. Dans 16 % des entreprises de santé et d‘assurance, des informations confidentielles sont envoyées à l'extérieur des entreprises, à des destinataires externes ou publiées en ligne. RECOMMANDATIONS DE SÉCURITÉ Dans un monde où les pertes de données sont un phénomène croissant, les entreprises doivent se charger elles-mêmes de la protection de leurs données confidentielles. La meilleure solution pour empêcher les fuites de données involontaires consiste à implémenter des règles de sécurité automatiques qui détectent les données protégées avant qu'elles ne quittent l'entreprise. Une telle solution est appelée « prévention des pertes de données » (DLP). Les produits de DLP intègrent un ensemble complet de fonctionnalités, et les entreprises disposent de plusieurs options pour les déployer. Avant de déployer une solution de DLP, les entreprises doivent développer des stratégies précises avec des critères concrets précisant ce qui est considéré comme étant des informations confidentielles, qui peut les envoyer, etc. DES ENTREPRISES DES SECTEURS DE LA SANTÉ ET DES ASSURANCES, DES INFORMATIONS CONFIDENTIELLES ONT ÉTÉ ENVOYÉES À L'EXTÉRIEUR DE L'ENTREPRISE 16%DANS
035 CHECK POINT - RAPPORT SÉCURITÉ 2013 04 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU Moteur de classification des données L'identification fiable des données confidentielles est un composant essentiel de la solution de DLP, qui doit être en mesure de détecter les informations personnellement identifiables, les données de conformité, et les données confidentielles. Elle doit inspecter les flux de contenus et appliquer les règles de sécurité dans les protocoles TCP les plus utilisés et les webmail. Elle doit également effectuer des analyses reposant sur des correspondances avec des modèles et desclassificationsdefichiers,pouridentifierlestypesdecontenu quelquesoitl'extensiondesfichiersetleurcompression. De plus, la solution de DLP doit être en mesure de reconnaître et protéger les formulaires confidentiels, selon des modèles prédéfinis et la correspondance fichiers/formulaire. Une fonctionnalitéimportantedelasolutiondeDLPestlapossibilité de créer des types de données personnalisés en plus des types de données fournis par l'éditeur, pour maximiser la souplesse. Autoremédiation des incidents Les solutions de DLP traditionnelles peuvent détecter, classifier et même reconnaître des documents spécifiques et différents typesdefichiers,maisellesnepeuventdéterminerl'intentiondes utilisateurs lorsqu'ils partagent des informations confidentielles. Latechnologieseulen'estpassuffisantecarellenepeutidentifier cette intention et prendre les décisions qui s'imposent. Ainsi, une bonne solution de DLP doit engager les utilisateurs en leur permettant de remédier eux-mêmes aux incidents en temps réel. Elle doit informer les utilisateurs que leurs actions peuvent provoquer des fuites de données, et leur permettre de stopper leurs actions ou de les effectuer malgré tout. La sécurité est amélioréegrâceàlasensibilisationauxpolitiquesd'utilisationdes données, en alertant les utilisateurs d'erreurs potentielles et en leurpermettantd'yremédierimmédiatement,toutenautorisant les communications légitimes. L'administration est également simplifiée, car les administrateurs peuvent suivre les événements de DLP pour les analyser, sans qu‘il leur soit nécessaire de traiter en temps réel les demandes d'envoi de données vers l'extérieur. Protection contre les fuites de données internes UneautrefonctionnalitéimportantedelaDLPestlapossibilité d'empêcher les fuites de données internes, en inspectant et en contrôlant les emails confidentiels entre départements. Des règles de sécurité peuvent être définies pour empêcher des données confidentielles d'atteindre les mauvais départements, notamment les schémas de rémunération, les documents confidentiels de ressources humaines, les documents de fusions/acquisitions et les formulaires médicaux. Protection des données sur disques durs Les entreprises doivent protéger les données des ordinateurs portables pour compléter leur politique de sécurité. Sans protection des données, des tiers malintentionnés peuvent obtenir des données importantes en cas de perte ou de vol des ordinateurs portables, et entraîner des répercussions juridiques et financières. Une solution appropriée doit empêcher les utilisateurs non autorisés d'accéder aux informations en chiffrant les données sur tous les disques durs des postes de travail, y compris les données utilisateur, les fichiers du système d'exploitation, les fichiers temporaires et les fichiers supprimés. Protection des données sur supports amovibles Pour empêcher les données d'entreprise de tomber dans de mauvaises mains via des périphériques de stockage USB et autres supports amovibles, le chiffrement et la prévention des accès non autorisés sont nécessaires sur ces appareils. Les employés combinent souvent des fichiers personnels (musique, photos et documents) avec des fichiers professionnels sur des supports amovibles,cequirendencoreplusdifficilelecontrôledesdonnées d'entreprise.Lesfuitesdedonnéespeuventêtre minimiséesparle chiffrement des appareils de stockage amovibles. Protection des documents Des documents d'entreprise sont régulièrement stockées sur le web, envoyés sur des smartphones personnels, copiés sur des supportsamoviblesetpartagésavecdespartenairescommerciaux externes.Chacunedecesopérationsmetlesdonnéesendanger : risques de fuites, d'utilisation malintentionnée, ou d'accès par des individus non autorisés. Pour protéger les documents d'entreprise, la solution de sécurité doit pouvoir les chiffrer via des règles de sécurité et contrôler leur accès. Gestion des événements La définition de règles de DLP répondant à la politique d'utilisation des données de l'entreprise doit s'accompagner de solides fonctions de supervision et de reporting. Pour minimiser les fuites de données potentielles, la solution de sécurité doit intégrer la surveillance et l'analyse des événements de DLP passés et en temps réel, pour apporter une visibilité claire et étendue sur les informations envoyées à l'extérieur et leurs sources, et la possibilité d'agir en temps réel si nécessaire.
CHECK POINT - RAPPORT SÉCURITÉ 2013 036 2 600 ans plus tard, la même approche est parfaitement adaptée à la lutte contre la cyberguerre. La meilleure sécurité est obtenue par l'harmonisation des différentes couches de protection du réseau pour lutter contre les différents angles des menaces. Ce rapport a couvert les différents aspects des risques de sécurité que Check Point a détecté dans un grand nombre d'entreprises. Il a montré que les bots, les virus, les failles et les attaques sont une menace réelle et constante pour les entreprises. Le rapport a ensuite montré que certaines applications web utilisées par les employés peuvent compromettre la sécurité du réseau. Enfin, il a montré que les employés effectuent involontairement de nombreuses actions pouvant entraîner des fuites de données confidentielles. Pour votre stratégie de sécurité : la technologie seule n'est pas suffisante L'approche de Check Point pour obtenir le niveau de sécurité requis pour protéger une entreprise reconnaît que la technologie seule n'est pas suffisante. La sécurité doit évoluer d'une simple superposition de technologies et de pratiques vers un processus métier efficace. Check Point recommande aux entreprises de considérer trois dimensions lorsqu'elles déploient une stratégie et une solution de sécurité : les règles de sécurité, le facteur humain, et la mise en application des règles de sécurité. Les règles de sécurité Une politique de sécurité bien définie, largement comprise et étroitementalignéesurlesbesoinsetlastratégiedel'entreprise, plutôt qu'un assemblage de technologies disparates et de vérifications au niveau des systèmes, est le point d'entrée de la sécurité. Les règles de sécurité devraient prendre en compte les priorités de l'entreprise et suggérer des moyens d'assurer son activité dans un environnement sécurisé. Par exemple, durant notre étude, nous avons découvert que certains employés utilisent des applications web nécessaires à leur métier mais qui peuvent également compromettre la sécurité. Si nous déployons uniquement des technologies qui bloquent de telles applications web, le résultat serait des plaintes en masse auprès des administrateurs de sécurité, ou pire encore, les employés trouveraient des moyens de contourner les règles de sécurité, créant ainsi encore plus de problèmes. Au lieu de cela, Check Point recommande la création d'une politique de sécurité qui reconnaît les cas d'utilisation de telles applications et définit une procédure permettant leur utilisation de manière sécurisée. Les utilisateurs devraient être informés automatiquement de toute application nécessaire des règles de sécurité. Le facteur humain Les utilisateurs des systèmes informatiques font partie intégrante du processus de sécurité. Ce sont souvent les utilisateurs qui commettent des erreurs provoquant des infections de logiciels malveillants et des fuites de données. Les entreprises doivent s'assurer que les utilisateurs sont impliqués dans le processus de sécurité. Les employés NOUS CONCLUONS CE RAPPORT PAR UNE AUTRE CITATION DE SUN TZU TIRÉE DE L'ART DE LA GUERRE : UN CONSEIL POUR UN GÉNÉRAL D'ARMÉE : « UNE FOIS SON ARMÉE CONSTITUÉE, SES FORCES FOCALISÉES, IL DOIT MIXER LES DIFFÉRENTS ÉLÉMENTS ET HARMONISER L’ESPRIT DE SES TROUPES AVANT DE CHOISIR UN LIEU DE CAMPEMENT »28 05 RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ
037 CHECK POINT - RAPPORT SÉCURITÉ 2013 05 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ doivent être informés et sensibilisés à la politique de sécurité, et ce qui est attendu d'eux lorsqu'ils surfent sur Internet ou partagent des données confidentielles. La sécurité devrait être aussi transparente que possible, sans modifier leur façon de travailler. L'implémentation d'un programme de sécurité devrait comprendre : • Un programme de formation garantissant que tous les utilisateurs sont conscients que les systèmes sont potentiellement vulnérables à des attaques et que leurs actions peuvent les favoriser ou les empêcher. • De la technologie indiquant aux employés en temps réel que certaines actions sont risquées et comment les effectuer de manière sécurisée. La mise en application des règles de sécurité Le déploiement de solutions technologiques de sécurité telles que des passerelles de sécurité et des logiciels de protection de postes est vital pour protéger les entreprises des failles et des fuites de données. Des passerelles de sécurité devraient être installées à tous les points de connexion pour garantir que seul le trafic approprié et autorisé entre ou sort de l'entreprise. Cette validation devrait être effectuée à tous les niveaux de la sécurité et sur toutes les communications, protocoles, méthodes, requêtes, réponses et charges, à l'aide de solutions de sécurité telles que : pare-feu, contrôle des applications, filtrage des URL, prévention des fuites de données, prévention des intrusions, antivirus et antibot.
CHECK POINT - RAPPORT SÉCURITÉ 2013 038 Check Point Software Technologies Ltd. (www.checkpoint. com), le leader mondial de la sécurité sur Internet, assure aux clients un niveau optimal de protection contre tous les types de menaces, simplifie l'installation et la maintenance des dispositifs de sécurité, et réduit leur coût total de possession. Précurseur de la technologie Firewall-1 et du standard de la sécurité des réseaux Stateful Inspection, Check Point est toujours à la pointe de la technologie. Check Point continue d'innover, notamment via l'Architecture Software Blades, et propose aujourd'hui des solutionsàlafoisfiables,flexiblesetsimplesd'utilisation,pouvant être totalement personnalisées pour répondre aux besoins spécifiques de chaque entreprise. Check Point est le seul éditeur quitransformelasécuritéenunvéritableprocessusmétier.Check Point 3D Security combine le facteur humain, la politique de sécurité et sa mise en application, pour une protection renforcée des données, et aide les entreprises à implémenter des plans de sécurité qui s'alignent avec leurs besoins. Check Point compte parmisesclientstouteslessociétésfigurantdansleslistesFortune 100etGlobal100,ainsiquedesdizainesdemilliersd'entreprises de toute taille. Les solutions ZoneAlarm de Check Point protègentlesPCdemillionsdeparticulierscontrelespirates,les logicielsespionsetlesvolsdedonnées. Check Point 3D Security Check Point 3D Security redéfinit la sécurité comme étant un processus métier tridimensionnel combinant le facteur humain, la politique de sécurité et sa mise en application, pour une protection renforcée et étendue à l'ensemble des couches de sécurité – y compris le réseau, les données et les postes. Pour parvenir au niveau de protection requis en ce 21ème siècle, la sécurité doit évoluer d'une simple superposition de technologies versunprocessusmétierefficace.Avec3DSecurity,lesentreprises peuvent implémenter un schéma de sécurité allant bien au-delà du cadre de la technologie pour garantir l'intégrité des systèmes informatiques. Check Point 3D Security permet aux entreprises de redéfinir la sécurité en intégrant les dimensions suivantes au sein d'un processus: Architecture Software Blade de Check Point Outil clé d'une véritable sécurité complète, l'Architecture Software Blades de Check Point permet aux entreprises d'appliquer des règles de sécurité tout en y sensibilisant les utilisateurs.L'architectureSoftwareBladeestlatoutepremière et la seule architecture de sécurité offrant une protection complète, souple et administrable, aux entreprises de toute taille. De plus, l'Architecture Software Blade de Check Point étend les services de sécurité à la demande, rapidement et de manière souple, pour faire face aux nouvelles menaces ou à de nouveaux besoins, sans ajouter de nouveaux équipements et sans rendre l'ensemble plus complexe à administrer. Toutes les solutions sont administrées de manière centralisée à partir d'une console unique réduisant la complexité et les coûts de fonctionnement. Une protection multicouche est essentielle aujourd'hui pour combattre les menaces dynamiques telles que bots, chevaux de Troie et menaces persistantes avancées (APT). Les pare-feux ressemblent de plus en plus à des passerelles multifonction, mais toutes les entreprises n'ont pas besoin des même fonctions de sécurité. Elles recherchent une souplesse et un contrôle sur leurs ressources de sécurité. Les blades sont des applications de sécurité ou des modules tels que pare-feu, réseau privé virtuel (VPN), système de La mise en application, la consolidation et le contrôle de toutes les couches de sécurité : réseau, données, applications, contenus et utilisateurs Une sécurité intégrant le facteur humain dans la définition de la politique de sécurité, la sensibilisation des utilisateurs et la résolution des incidents Des politiques de sécurité qui prennent en charge les besoins de l'entreprise et transforment la sécurité en un processus métier 06 À PROPOS DE CHECK POINT SOFTWARE TECHNOLOGIES
039 CHECK POINT - RAPPORT SÉCURITÉ 2013 06 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ prévention d'intrusions (IPS), ou contrôle des applications pour n'en citer que quelques un, indépendantes, modulaires et administrées de manière centralisée. Elles permettent aux entreprises d'adapter leur configuration de sécurité afin d'obtenirunéquilibreparfaitentresécuritéetinvestissement. Les blades peuvent être rapidement activées et configurées sur n'importe quelle passerelle et système d'administration, d'un simple clic de souris, sans qu'il soit nécessaire de faire évoluer le matériel, le micro-logiciel ou les pilotes. En cas d'évolution des besoins, des blades supplémentaires peuvent être facilement activées pour étendre la sécurité d'une configuration existante sur le même équipement de sécurité. Check Point propose une administration centralisée des événements pour tous les produits Check Point y compris les systèmes tiers. La visualisation des événements en temps réel permet de saisir rapidement la situation de la sécurité et agir en conséquence, depuis une console unique. L'affichage sous forme de chronologie permet de voir les tendances et la propagation des attaques. L'affichage sous forme de graphique fournit des statistiques en camembert ou en barres. L'affichage sous forme de carte permet d'identifier les menaces potentielles par pays. Check Point Security Gateway SmartDashboard. Écran d'activation des blades Administration des événements de sécurité Check Point SmartEvent. Visibilité en temps réel.
CHECK POINT - RAPPORT SÉCURITÉ 2013 06 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ 040 Renseignements de sécurité en temps réel ThreatCloud™ ThreatCloud est un réseau collaboratif et une base de connaissances dans le cloud qui fournit des renseignements dynamiques de sécurité en temps réel aux passerelles de sécurité. Ces renseignements sont utilisés pour identifier les foyers émergents et les tendances des menaces. ThreatCloud et la blade Anti-Bot permettent aux passerelles d'analyser les adresses IP, DNS et URL continuellement changeantes des serveurs de commande et de contrôle connus. Comme le traitement est fait dans le cloud, des millions de signatures de logiciels malveillants peuvent être analysées en temps réel. La base de connaissances ThreatCloud est mise à jour dynamiquement via des données provenant de passerelles à traverslemonde,d'unréseaumondialdecapteursdemenaces, des laboratoires de recherche de Check Point et des meilleurs flux antimalwares du marché. Les données corrélées sur les menaces sont ensuite partagées collectivement entre toutes les passerelles. Appliances Check Point Dans les environnements réseau actuels, les passerelles de sécurité sont plus que des pare-feux. Ce sont des équipements de sécurité qui doivent faire face à un nombre toujours croissant de menaces sophistiquées. Elles doivent faire appel à différentes technologies pour contrôler les accès au réseau, détecter les attaques sophistiquées et fournir des fonctionnalités de sécurité supplémentaires, telles que la prévention des pertes de données et la prévention contre les attaques provenant du web, et sécuriser un nombre croissant d'appareils mobiles tels qu'iPhone et tablettes utilisés dans l'entreprise. Ces menaces et ces fonctions de sécurité avancées nécessitent des appliances de sécurité performantes et polyvalentes. Grâce à Check Point GAiA, le système d'exploitation de future génération, les appliances Check Point combinent des possibilités multicœur haute performance avec des technologies réseau rapides afin de proposer une sécurité de haut niveau pour les données, le réseau et les employés. Optimisées pour l'architecture Software Blades, chaque appliance est en mesure d'intégrer n'importe quelle combinaison de blade, dont les blades Firewall, IPsec VPN, IPS, Application Control, Mobile Access, DLP, URL Filtering, Anti-Bot, Antivirus, Anti-spam, Identity Awareness et Advanced Networking & Clustering, pour fournir la souplesse et le niveau de sécurité précis pour toute entreprise et à tout niveau du réseau. En consolidant plusieurs technologies de sécurité dans un passerelle de sécurité unique, les appliances sont conçues pour fournir des solutions de sécurité intégrées et avancées répondant à tous les besoins en sécurité des entreprises. Lancé en août 2011, SecurityPower™ est un indice de mesure de la capacité d'une appliance à effectuer plusieurs fonctions avancées de sécurité dans un volume de trafic spécifique. Il fournit un référentiel révolutionnaire qui permet aux clients de sélectionner l'appliance de sécurité appropriée à leur scénario de déploiement spécifique. Les indices SecurityPower reposent sur du trafic réel, plusieurs fonctions de sécurité et des politiques de sécurité typiques. Appliance Check Point 61000
041 CHECK POINT - RAPPORT SÉCURITÉ 2013 06 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ Protection des postes Check Point Les blades Check Point Endpoint Security fournissent une souplesse, un contrôle et une efficacité sans précédent pour le déploiement et l'administration de la protection des postes. Les responsables informatiques peuvent choisir parmi six blades Endpoint Security pour déployer uniquement la protection requise, avec la possibilité de pouvoir renforcer la protection à tout moment. La blade Full Disk Encryption (chiffrement des disques) protège automatiquement et en toute transparence les données situées sur les disques durs des postes. L’authentification multifacteur avant l’initialisation garanti l'identité des utilisateurs. La blade Media Encryption (chiffrement des supports) permet une mise en application granulaire et centralisée du chiffrement des supports de stockage amovibles, avec la possibilité de ne chiffrer que les données liées à l'activité de l'entreprise tout en engageant et en sensibilisant les utilisateurs. La blade Remote Access VPN (VPN avec accès distant) fournit aux utilisateurs un accès sécurisé et transparent au réseau et aux ressources de l'entreprise, lorsqu'ils sont en déplacement ou travaillent à distance. La blade Anti-Malware and Program Control (antimalwares et contrôle des programmes) détecte et supprime efficacement en une seule analyse les logiciels malveillants. Le contrôle des programmes garantit que seuls les programmes légitimes et approuvés sont utilisés sur les postes. La blade Firewall and Security Compliance Verification (pare-feu et vérification de la conformité) protège le trafic entrant et sortant de manière proactive afin d'empêcher des logiciels malveillants d'infecter les systèmes des postes, bloque les attaques et stoppe le trafic indésirable. La vérification de la conformité garantit que les postes sont toujours conformes à la politique de sécurité définie dans l'entreprise. La blade WebCheck Secure Browsing (sécurisation de la navigation web) protègent contre les toutes dernières menaces web, y compris les téléchargements automatiques, les sites de phishing et les attaques « zero- day ». Les sessions du navigateur sont exécutées dans un environnement virtuel sécurisé. Client Check Point Endpoint Security
CHECK POINT - RAPPORT SÉCURITÉ 2013 042 A Cette annexe fournit des informations complémentaires sur les principaux logiciels malveillants décrits dans notre étude. La base de données complète de Check Point sur les logiciels malveillants est disponible à l'adresse threatwiki.checkpoint. com Zeus est un bot ouvrant des portes dérobées sur la plate- forme Windows. Une porte dérobée est une méthode permettant de contourner les procédures d'authentification. Lorsqu'un système est compromis, une ou plusieurs portes dérobées peuvent être installées pour faciliter un accès ultérieur29 . Nos recherches ont permis de découvrir des bots Zeus générés par la boîte à outils Zeus version 2.0.8.9. Zeus est une famille de chevaux de Troie bancaires disposant d'un nombre considérable de versions et de variantes. Ce logiciel malveillant permet à des agresseurs d'accéder à distance à des systèmes infectés. Son objectif principal est le vol des identifiants bancaires des utilisateurs pour accéder à leur compte bancaire. Zwangi est un logiciel publicitaire ciblant la plate-forme Microsoft Windows. Il s'installe en tant qu'objet d'un navigateur dans un système infecté. Il peut éventuellement créerunebarred'outilspersonnaliséedansInternetExplorer et présenter à l'utilisateur des publicités indésirables. Ce logiciel malveillant infecte des systèmes via des bundles logiciels. Sality est un virus se diffusant par infection et modification de fichiers exécutables, et en se recopiant sur des disques amovibles et des dossiers partagés. Kuluoz estunbotciblantlaplate-formeMicrosoftWindows. Ce bot est envoyé dans des messages de spam provenant prétendument des services postaux américains. Il envoie des informations système et reçoit en retour des instructions de la part d'un serveur distant pour télécharger et exécuter des fichiers malveillants sur les ordinateurs infectés. De plus, il ajoute des informations à la base de registre pour s'exécuter après redémarrage de l'ordinateur. Juasek est un bot ouvrant des portes dérobées sur la plate- forme Windows. Ce logiciel malveillant permet à des agresseurs distants et non authentifiés d'effectuer des actions malveillantes, telles que l'ouverture de l'invite de commande, le téléchargement de fichiers, la création de nouveaux processus, l'arrêt de processus, la recherche/création/ suppression de fichiers et la collecte d'informations système. Il s'installe également sous forme de service pour rester actif après redémarrage des ordinateurs infectés. Papras est un cheval de Troie bancaire ciblant la plate-forme Windows 32 et 64 bits. Ce logiciel malveillant envoie des informations système et demande des informations de configuration à un hôte distant. Il détourne les fonctions réseau et surveille les activités en ligne des utilisateurs pour dérober des informations financières confidentielles. De plus, sa fonctionnalité de création de porte dérobée donne à des agresseurs distants un accès non autorisé aux ordinateurs infectés. Les commandes acceptées comprennent le téléchargement d'autres fichiers malveillants, la collecte de cookies et d'informations sur les certificats, le redémarrage et l'arrêt du système, l'envoi de journaux, la prise de captures d'écran, la configuration d'une connexion à un hôte distant pour d'autres activités, etc. Papras s'injecte dans des processus et injecte éventuellement d'autres fichiers malveillants dans les processus ciblés. ANNEXE A : PRINCIPAUX LOGICIELS MALVEILLANTS
043 CHECK POINT - RAPPORT SÉCURITÉ 2013 B ANNEXE B : PRINCIPALES APPLICATIONS À HAUT RISQUE Cette annexe fournit des informations complémentaires sur les principales applications décrites dans notre étude. La base de données complète de Check Point sur les applications est disponible à l'adresse threatwiki.checkpoint.com Anonymiseurs Tor est une application prévue pour garantir l'anonymat en ligne. Le logiciel client Tor redirige le trafic Internet vers un réseau mondial de serveurs bénévoles pour masquer la localisation géographique et les activités des utilisateurs de toute surveillance ou analyse du trafic réseau. L'utilisation de Tor complique la traçabilité des activités Internet jusqu'à ses utilisateurs, y compris pour les visites sur des sites web, les publications en ligne, les messages instantanés et autres formes de communication. CGI-Proxy est une interface-passerelle. Il s'agit d'une page web permettant à ses utilisateurs d'accéder à un site différent. Les protocoles pris en charge sont HTTP, FTP et SSL. Hopster est une application permettant de contourner des pare-feux et des proxies, pour surfer et communiquer de manière anonyme. Hide My Ass est un proxy web gratuit masquant l'adresse IP de ses utilisateurs pour leur permettre de se connecter à des sites web de manière anonyme. Hamachi est un réseau privé virtuel. Il est utilisé pour établir des connexions sur Internet émulant la connexion sur un réseau local. Ultrasurf est un proxy gratuit permettant à ses utilisateurs de contourner des pare-feux et des logiciels de blocage des contenus Internet. OpenVPN est un logiciel open source gratuit qui implémente des techniques de réseau privé virtuel pour créer des connexions sécurisées de point à point ou de site à site, dans des configuration routage ou pont, et des sites distants. Partage de fichiers en P2P BitTorrent estunprotocoledecommunicationpourlepartage de fichiers de pair à pair. C'est une méthode de distribution étendue de grandes quantités de donnée ne nécessitant pas pour l'émetteur initial la prise en charge de la totalité du coût en termes de matériel, d'hébergement et de bande passante. Lorsque les données sont diffusées à l'aide du protocole BitTorrent,chaquedestinatairefournitunepartiedesdonnées à d'autres destinataires, ce qui réduit ainsi le coût et la charge de chaque source individuelle, permet une redondance contre les problèmes système, et réduit la dépendance à l'émetteur initial. Il existe de nombreux clients BitTorrent créés à l'aide de différents langages de programmation et fonctionnant sur différentes plates-formes. eMule est une application de partage de fichiers de pair à pair se connectant aux réseaux eDonkey et Kad. Le logiciel permet le partage direct des sources entre les clients, la récupération de téléchargements corrompus, et comprend l'utilisation d'un système de crédit pour récompenser les gros fournisseurs. eMule transmet des données compressées pour économiser la bande passante. Soulseek est une application de partage de fichiers de pair à pair. Elle est principalement utilisée pour partager de la musique, même si ses utilisateurs sont en mesure de partager d'autres types de fichiers. Gnutellaestunréseaupopulairedepartagedefichiersetundes protocoles P2P les plus populaires utilisé par des applications telles que BearShare, Shareaza, Morpheus et iMesh. Il est communément utilisé pour partager des fichiers musicaux au format MP3, des vidéos, des applications et des documents. Sopcast est une application de streaming via réseaux P2P. Sopcast permet à ses utilisateurs de diffuser des contenus à d'autres utilisateurs ou de regarder les contenus diffusés par d'autres utilisateurs.
CHECK POINT - RAPPORT SÉCURITÉ 2013 044 Applications de stockage et de partage de fichiers Dropbox est une application permettant à ses utilisateurs de partager des fichiers. Dropbox est le service d'hébergement de fichiers proposé par la société Dropbox, Inc. avec stockage dans le cloud, synchronisation des fichiers et logiciel client. En bref, Dropbox permet à ses utilisateurs de créer un dossier spécial sur leur ordinateur, avec lequel Dropbox se synchronise afin qu'il soit identique (même contenu) quel que soit l'ordinateur utilisé pour le consulter. Les fichiers placés dans ce dossier sont également accessibles via un site web et une application mobile. Windows Live Office est un outil en ligne de stockage, d'édition et de partage de documents Microsoft Office, créé par Microsoft. Grâce aux applications Office Web Apps, les utilisateurs peuvent créer, visualiser, éditer, partager et collaborer sur des documents, feuilles de calcul et notes en ligne, en tout lieu via une connexion Internet. Curl est un outil en ligne de commande permettant à ses utilisateurs de transmettre des données à l'aide d'une syntaxe de type URL. Il prend notamment en charge les protocoles FILE, FTP, HTTP, HTTPS et les certificats SSL. YouSendIt est un service d'expédition numérique de fichiers. Le service permet à ses utilisateurs d'envoyer, recevoir et suivre des fichiers à la demande. Outils d'administration à distance RDP (Remote Desktop Protocol) est une application propriétaire développée par Microsoft fournissant à ses utilisateurs une interface vers d'autres ordinateurs. Team Viewer permet à ses utilisateurs de contrôler des ordinateurs distants à l'aide d'un logiciel client ou en s'identifiant sur un site web. LogMeIn est une suite de services logiciels fournissant un accès à distance à des ordinateurs sur Internet. Les différentes versions du produit sont prévues pour des utilisateurs finaux ou des professionnels des services d'assistance. Les produits d'accès à distance LogMeIn utilisent un protocole RDP propriétaire transmis sur SSL. Les utilisateurs accèdent à des postes distants à l'aide d'un portail web ou de l'application LogMeIn Ignition. VNC est un logiciel composé d'une application serveur et d'une application client utilisant le protocole VNC (Virtual Network Computing) pour contrôler d'autres ordinateurs à distance. Le logiciel fonctionne avec les systèmes d'exploitation Windows, Mac OS X et Unix. VNC fonctionne également sur la plate-forme Java, ainsi que sur l'iPhone, l'iPod touch et l'iPad d'Apple. ANNEXE
045 CHECK POINT - RAPPORT SÉCURITÉ 2013 ANNEXE C : CONCLUSIONS SUPPLÉMENTAIRES - UTILISATION DES APPLICATIONS WEB Les données suivantes fournissent des détails supplémentaires sur les résultats de l'étude présentés dans la section « Applications utilisées dans l'espace de travail de l'entreprise ». Les graphiques C-A et C-B résument l'utilisation des applications par catégorie et par région. Utilisation par catégorie (% des entreprises) 81 % Administration à distance 80 % Stockage/partage de fichiers 61 % Partage de fichiers en P2P 43 % Anonymiseur Utilisation par région (% des entreprises) Outils d'administration à distance 83 % EMEA 80 % Amériques 77 % APAC Stockage et partage de fichiers 82 % Amériques 81 % EMEA 72 % APAC Partage de fichiers en P2P 72 % APAC 62 % Amériques 55 % EMEA C Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies Anonymiseur 49 % Amériques 40 % EMEA 35 % APAC Graphique C-A Graphique C-B
CHECK POINT - RAPPORT SÉCURITÉ 2013 046 Les tableaux suivants fournissent des informations supplémentaires sur les clients BitTorrent et Gnutella les plus populaires Principaux clients BitTorrent Nombre d'entreprises Vuze 108 Xunlei 74 uTorrent 55 BitComet 25 FlashGet 21 QQ Download 8 Pando 7 P2P Cache 7 Transmission 6 Autres 242 Principaux clients Gnutella Nombre d'entreprises BearShare 52 LimeWire 23 FrostWire 16 Foxy 2 Autres 31 Catégorie d'application Région Nom de l'application % des entreprises Anonymiseur Amériques Tor 24 % CGI-Proxy 16 % Hamachi 8 % Hopster 8 % Ultrasurf 7 % EMEA Tor 23 % CGI-Proxy 12 % Hamachi 4 % Hopster 7 % Hide My Ass 7 % APAC Tor 20 % Hopster 6 % CGI-Proxy 6 % Hamachi 6 % Hide My Ass 7 % Le tableau suivant fournit des informations supplémentaires sur les principales applications utilisées, par catégorie et par région ANNEXE
047 CHECK POINT - RAPPORT SÉCURITÉ 2013 ANNEXE Catégorie d'application Région Nom de l'application % des entreprises Partage de fichiers en P2P Amériques Clients BitTorrent 35 % SoulSeek 23 % eMule 21 % Windows Live Mesh 8 % Sopcast 8 % EMEA Clients BitTorrent 33 % SoulSeek 19 % eMule 15 % Sopcast 12 % iMesh 10 % APAC Clients BitTorrent 62 % eMule 26 % SoulSeek 11 % Sopcast 10 % BearShare 8 % Stockage et partage de fichiers Amériques Dropbox 73 % Windows Live Office 52 % Curl 28 % YouSendIt 26 % ZumoDrive 12 % EMEA Dropbox 71 % Windows Live Office 51 % Curl 22 % YouSendIt 21 % ImageVenue 18 % APAC Dropbox 57 % Windows Live Office 50 % Curl 26 % YouSendIt 16 % Hotfile 10 %
CHECK POINT - RAPPORT SÉCURITÉ 2013 ANNEXE 048 Catégorie d'application Région Nom de l'application % des entreprises Administration à distance Amériques MS-RDP 59 % LogMeIn 51 % TeamViewer 45 % VNC 14 % Bomgar 8 % EMEA MS-RDP 60 % TeamViewer 55 % LogMeIn 44 % VNC 20 % pcAnywhere 3 % APAC TeamViewer 58 % MS-RDP 51 % LogMeIn 26 % VNC 16 % Gbridge 3 %
049 CHECK POINT - RAPPORT SÉCURITÉ 2013 Notre étude comprend l'inspection de douzaines de types de données différents, à la recherche d'éventuelles fuites de données. La liste suivante présente les principaux types de données de DLP inspectées et détectées par la blade Check Point DLP. Code Source - Correspond aux données contenant des lignes de langages de programmation, tels que C, C++, C#, JAVA et autres, indiquant une fuite de propriété intellectuelle. Information de cartes de paiement - Comprend deux types de données : les numéros de cartes de paiement et les données d'authentification PCI. • Numéros de cartes de paiement : Critères de correspondance : Des données contenant des numéros de cartes de paiement MasterCard, Visa, JCB, American Express, Discover et Diners Club ; correspondance reposant sur le modèle (expression régulière) et la validation des sommes de vérification du schéma défini dans l'Annexe B de ISO/IEC 7812-1 et dans JTC 1/SC 17 (algorithme Luhn MOD-10) ; indique une fuite de données confidentielles. Exemple : 4580-0000-0000-0000. • Données d'authentification PCI : Critères de correspondance : Des informations correspondant à des données d'authentification confidentielles selon la norme de sécurisation des données de PCI (DSS). Contrairement aux informations portant sur les titulaires de cartes de paiement, de telles données sont extrêmement confidentielles et PCI DSS n'autorise pas son stockage. Correspondance avec des informations contenant les données des pistes magnétiques des cartes de paiement (pistes 1, 2 ou 3), le code PIN chiffré ou non, et le code de sécurité (CSC). Exemples : %B4580000000000000^JAMES /L.^99011200000000000?, 2580.D0D6.B489.DD1B, 2827. Fichier protégé par mot de passe - Correspond à des fichiers protégés par mot de passe ou chiffrés. De tels fichiers peuvent contenir des informations confidentielles. Fichier de bulletin de salaire - Correspond à des fichiers contenant un bulletin de salaire ; indique une fuite de données personnelles. Email confidentiel - Correspond à des messages Microsoft Outlook désignés par l'expéditeur comme étant « confidentiels » ; de tels emails contiennent généralement des données confidentielles. Remarque : Microsoft Outlook permet aux expéditeurs de désigner des emails par différents degrés de confidentialité ; ce type de données correspond aux emails désignés comme étant « confidentiels » à l'aide de l'option de confidentialité d'Outlook. Information de rémunération - Correspond aux documents contenant des mots et des phrases liés aux données de rémunération des employés, tels que : salaire, prime, etc. D'autrestypesdedonnéesontétédétectésdurantlesrecherches : Cartes d'identité à Hong Kong, rapports financier¸ numéros de comptes bancaires, codes IBAN en Finlande, numéros de sécurité sociale au Canada, FERPA - dossiers scolaires confidentiels, codes postaux américains, numéro de TVA au Royaume-Uni, numéros de sécurité sociale au Mexique, numéros de sécurité sociale aux États-Unis, GPA - notes des étudiants, cartes d'identité à Hong Kong, numéros de comptes bancaires, rapports Salesforce, numéro d'identité en Finlande, ITAR - Réglementation du trafic d'armes international, dossiers personnels confidentiels, fichiers de CAO/DAO ou de conception graphique, HIPAA - informations protégées sur la santé, numéros de sécurité sociale en France, noms des employés, revenus en Nouvelle- Zélande, PCI - Données des titulaires de cartes de paiement, numéros de permis de conduire aux États-Unis, HIPAA - Numéros de dossiers médicaux, numéros de sécurité sociale au Canada, codes IBAN en Finlande, HIPAA - ICD-9, codes IBAN au Danemark, numéros de TVA en Finlande, numéros d'identité en Finlande, codes IBAN, cartes d'identité à Hong Kong et autres. ANNEXE D : TYPES DE DONNÉES DE DLPD
CHECK POINT - RAPPORT SÉCURITÉ 2013 050 1 L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf 2 http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html 3 http://www.checkpoint.com/products/threatcloud/index.html 4 http://supportcontent.checkpoint.com/file_download?id=20602 5 http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home 6 http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch 7 http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=4 8 http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses 9 http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/ 10 http://www.networkworld.com/slideshow/52525/#slide1 11 http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx 12 http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf 13 http://cve.mitre.org/index.html 14 http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html 15 http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/ 16 http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/ 17 http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/ 18 http://www.ftc.gov/opa/2012/06/epn-franklin.shtm 19 http://www.ftc.gov/opa/2010/02/p2palert.shtm 20 http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html 21 http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres 22 http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/ 23 http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/ 24 http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-159277 25 http://www.roanoke.com/news/roanoke/wb/307564 26 http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/ 27 www.hhs.gov/ocr/privacy/hipaa/index.html 28 L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf 29 http://en.wikipedia.org/wiki/Malware#Backdoors RÉFÉRENCES
www.checkpoint.com esesesDesesDesDesDesDesDesDesesDesDesDesDesDeDeDeDeDeDeeDDDign:RoniLevit.com Catégorie : [Protégé] - Tous droits réservés. © 2003-2013 Check Point Software Technologies Ltd. Tous droits réservés. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check Point 4600, Check Point 4800, les Appliances Check Point 12000, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On Demand, le logo Check Point, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, le logo the More, better, Simpler Security, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, le logo puresecurity, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, et le logo Zone Labs sont des appellations commerciales ou des marques déposées de Check Point Software Technologies Ltd. ou de ses filiales. ZoneAlarm est une société du groupe Check Point Software Technologies, Inc. Tous les noms de produits mentionnés dans ce document sont des marques commerciales ou des marques déposées appartenant à leurs propriétaires respectifs. Les produits décrits dans ce document sont protégés par les brevets américains No. 5 606 668, 5 835 726, 5 987 611, 6 496 935, 6 873 988, 6 850 943, 7 165 076, 7 540 013, 7 725 737 et 7 788 726, et sont éventuellement protégés par d’autres brevets américains, étrangers ou des demandes de brevet en cours. Janvier 2013 CONTACTS CHECK POINT Siège mondial 5 Ha’Solelim Street, Tel Aviv 67897, Israël | Tél. : +972 3 753 4555 | Fax : +972 3 624 1100 | Email : info@checkpoint.com Siège français 1 place Victor Hugo, Les Renardières, 92400 Courbevoie, France | Tél. : +33 (0)1 55 49 12 00 | Fax : +33 (0)1 55 49 12 01 Email : info_fr@checkpoint.com | URL : http://www.checkpoint.com

Contenu connexe

PDF
Cyberattaques : prenez de l’avance sur les cybercriminels
parEY
 
PPT
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 
PDF
Webinar ATN+ symantec
parAssociation Transition Numérique +
 
PDF
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
PDF
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
parNetSecure Day
 
PDF
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
parEric DUPUIS
 
PDF
EI-Institut - Newsletter Check Point - Septembre 2013
parPierre SARROLA
 
PPTX
METHODE OCTAVE
pardazaiazouze
 
Cyberattaques : prenez de l’avance sur les cybercriminels
parEY
 
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 
Webinar ATN+ symantec
parAssociation Transition Numérique +
 
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
parNetSecure Day
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
parEric DUPUIS
 
EI-Institut - Newsletter Check Point - Septembre 2013
parPierre SARROLA
 
METHODE OCTAVE
pardazaiazouze
 

En vedette

PDF
Etude de la réponse immunitaire in vitro contre Plasmodium: exemples et leçons
parInstitut Pasteur de Madagascar
 
PDF
Le paludisme de la femme enceinte. Épidémiologie et prévention
parInstitut Pasteur de Madagascar
 
PDF
Si j'étais Dieu
parInstitut Pasteur de Madagascar
 
PDF
Les stratégies de lutte contre le paludisme sont-elles les mêmes en Asie, en ...
parInstitut Pasteur de Madagascar
 
PDF
Résistance de Plasmodium falciparum aux aminoalcools (quinine et méfloquine)
parInstitut Pasteur de Madagascar
 
PDF
UDOTSI Manche - Rapport d'activité AG 2013
parUDOTSI50
 
PDF
Bioécologie larvaire et distribution des anophèles en Afrique
parInstitut Pasteur de Madagascar
 
PDF
Les structures de santé privées dans la mise en œuvre de la politique nationa...
parInstitut Pasteur de Madagascar
 
PDF
Stratégies de distribution d'antipaludiques et automédication en zone enclavée
parInstitut Pasteur de Madagascar
 
PDF
Faut-il traiter les porteurs asymptomatiques de plasmodies?
parInstitut Pasteur de Madagascar
 
RTF
Formation cybercriminalite-alain-stevens-reputation-diffamation
parlecointe666
 
PDF
La commandite: Tendances et conséquences
parSubstance stratégies
 
PDF
Génétique humaine et la forme grave de l'accès palustre.Aperçu sur l'état des...
parInstitut Pasteur de Madagascar
 
PDF
Aspersion intra domiciliaires d’insecticides pour le contrôle du paludisme
parInstitut Pasteur de Madagascar
 
PDF
Parasitisme: équilibre entre adhérence forte et modérée des plasmodies
parInstitut Pasteur de Madagascar
 
PDF
Que peut apporter la recherche dans la lutte contre le paludisme ?
parInstitut Pasteur de Madagascar
 
PDF
Image2013 11-23-021610
parAdriana Marin
 
PDF
Nomination au sein de l'administration publique
parCommunication_HT
 
PDF
L'objectif mortalité zéro est-il possible ? Si oui comment ? Si non pourquoi ?
parInstitut Pasteur de Madagascar
 
PDF
Contraintes et difficultés rencontrées pour la mise en œuvre des stratégies d...
parInstitut Pasteur de Madagascar
 
Etude de la réponse immunitaire in vitro contre Plasmodium: exemples et leçons
parInstitut Pasteur de Madagascar
 
Le paludisme de la femme enceinte. Épidémiologie et prévention
parInstitut Pasteur de Madagascar
 
Si j'étais Dieu
parInstitut Pasteur de Madagascar
 
Les stratégies de lutte contre le paludisme sont-elles les mêmes en Asie, en ...
parInstitut Pasteur de Madagascar
 
Résistance de Plasmodium falciparum aux aminoalcools (quinine et méfloquine)
parInstitut Pasteur de Madagascar
 
UDOTSI Manche - Rapport d'activité AG 2013
parUDOTSI50
 
Bioécologie larvaire et distribution des anophèles en Afrique
parInstitut Pasteur de Madagascar
 
Les structures de santé privées dans la mise en œuvre de la politique nationa...
parInstitut Pasteur de Madagascar
 
Stratégies de distribution d'antipaludiques et automédication en zone enclavée
parInstitut Pasteur de Madagascar
 
Faut-il traiter les porteurs asymptomatiques de plasmodies?
parInstitut Pasteur de Madagascar
 
Formation cybercriminalite-alain-stevens-reputation-diffamation
parlecointe666
 
La commandite: Tendances et conséquences
parSubstance stratégies
 
Génétique humaine et la forme grave de l'accès palustre.Aperçu sur l'état des...
parInstitut Pasteur de Madagascar
 
Aspersion intra domiciliaires d’insecticides pour le contrôle du paludisme
parInstitut Pasteur de Madagascar
 
Parasitisme: équilibre entre adhérence forte et modérée des plasmodies
parInstitut Pasteur de Madagascar
 
Que peut apporter la recherche dans la lutte contre le paludisme ?
parInstitut Pasteur de Madagascar
 
Image2013 11-23-021610
parAdriana Marin
 
Nomination au sein de l'administration publique
parCommunication_HT
 
L'objectif mortalité zéro est-il possible ? Si oui comment ? Si non pourquoi ?
parInstitut Pasteur de Madagascar
 
Contraintes et difficultés rencontrées pour la mise en œuvre des stratégies d...
parInstitut Pasteur de Madagascar
 

Similaire à Cp 2013 security_report_web_fr(1)

PDF
siris1.pdf
parssuserdd27481
 
PDF
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
parSymantec
 
PDF
Sécurité informatique - Etat des menaces
parMaxime ALAY-EDDINE
 
PDF
Algorithmique et programmation Algorithmique et programmation
parISMAILNEGABI1
 
PDF
Gestion des vulnérabilités dans l'IoT
parMaxime ALAY-EDDINE
 
PDF
Rapport de Sécurité Check Point 2016
parBlandine Delaporte
 
PDF
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
parOpinionWay
 
PPTX
Gestion des risques de l'environnement réseaux des entreprises et des réseaux
parviperkingspoof
 
PPTX
securisation inormatiquepourlaformation.pptx
parMahRandriamitsiry
 
PDF
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
parMaxime ALAY-EDDINE
 
PDF
Cybersécurité : les règles à appliquer [Webinaire]
parTechnologia Formation
 
PDF
Résumé de l’étude sur la sécurité de Scalar 2016
parScalar Decisions
 
PPT
0_Etat de l'art de la sécurité informatique - Introduction - V 1.01.ppt
parANISZEBOUCHI
 
PDF
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
parMaxime ALAY-EDDINE
 
PDF
Rapport Threat Intelligence Check Point du 9 mai 2016
parBlandine Delaporte
 
PPTX
Conférence IIRCO - Projection des conflits sur l'espace numérique
parOPcyberland
 
PPTX
Rdv tic cybersécurité
parCOMPETITIC
 
PDF
IBM SW Les nouveaux enjeux de la sécurité
parPatrick Bouillaud
 
PPT
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
PDF
Cybersecurité dossier
parMandyDentzer
 
siris1.pdf
parssuserdd27481
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
parSymantec
 
Sécurité informatique - Etat des menaces
parMaxime ALAY-EDDINE
 
Algorithmique et programmation Algorithmique et programmation
parISMAILNEGABI1
 
Gestion des vulnérabilités dans l'IoT
parMaxime ALAY-EDDINE
 
Rapport de Sécurité Check Point 2016
parBlandine Delaporte
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
parOpinionWay
 
Gestion des risques de l'environnement réseaux des entreprises et des réseaux
parviperkingspoof
 
securisation inormatiquepourlaformation.pptx
parMahRandriamitsiry
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
parMaxime ALAY-EDDINE
 
Cybersécurité : les règles à appliquer [Webinaire]
parTechnologia Formation
 
Résumé de l’étude sur la sécurité de Scalar 2016
parScalar Decisions
 
0_Etat de l'art de la sécurité informatique - Introduction - V 1.01.ppt
parANISZEBOUCHI
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
parMaxime ALAY-EDDINE
 
Rapport Threat Intelligence Check Point du 9 mai 2016
parBlandine Delaporte
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
parOPcyberland
 
Rdv tic cybersécurité
parCOMPETITIC
 
IBM SW Les nouveaux enjeux de la sécurité
parPatrick Bouillaud
 
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
Cybersecurité dossier
parMandyDentzer
 

Cp 2013 security_report_web_fr(1)

  • 1.
  • 2.
    003 CHECK POINT -RAPPORT SÉCURITÉ 2013 CHECK POINT RAPPORT SÉCURITÉ 2013 01 Introduction et méthodologie 004 02 Menaces pour votre entreprise 006 03 Applications utilisées dans l'espace de travail de l'entreprise 020 04 Fuites de données dans votre réseau 030 AN Annexes 042 06 À propos de Check Point Software Technologies 038 05 Résumé et stratégie de sécurité 036
  • 3.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 004 01 « TOUT COMME L’EAU N’A PAS DE FORME CONSTANTE, L’ART DE LA GUERRE N’EST PAS FIXE. »1 BIEN QUE CETTE PHRASE SOIT ÂGÉE DE 2 600 ANS, ELLE RESTE ÉTONNAMMENT PERTINENTE, ET REFLÈTE LA GUERRE MODERNE D'AUJOURD'HUI : LA CYBERGUERRE. Les techniques employées par les pirates sont en constante évolution et font appel à des méthodes d'attaque plus avancées et plus sophistiquées. Elles repoussent les défis de la sécuritéàdesniveauxsansprécédent.Lescentresdedonnées, les ordinateurs et les téléphones mobiles des employés sont des cibles de choix pour les pirates qui déploient une variété inépuisabledelogicielsmalveillantstelsquebots,chevauxde Troie et infections par téléchargements automatiques. Les pirates utilisent la ruse et l'ingénierie sociale pour manipuler d'innocents utilisateurs et accéder aux informations de l'entreprise, telles que documents internes, dossiers financiers, numéros de cartes de paiement et informations d'identification des utilisateurs, ou pour tout simplement empêcher le bon fonctionnement de l'activité de l'entreprise par des attaques de déni de service. Cette guerre moderne de menaces et d'attaques avancées n'est pas prête de s'arrêter. La quantité d'informations professionnelles stockées dans des centres de données, des serveurs, des ordinateurs et des téléphones mobiles augmente à la vitesse de la lumière, et plus de données et de plates-formes signifient encore plus de risques. Enfin, la liste des menaces ne diminue pas, et chaque nouvelle attaque révèle un niveau de sophistication encore plus avancé. Quels ont été les principaux risques de sécurité pour votre environnement réseau l'année dernière ? Quels seront les risques l'année prochaine ? Telles étaient les questions clés qui ont occupé les équipes de recherche de Check Point ces quelques derniers mois. Pour répondre à ces questions, Check Point a procédé à une analyse intensive de la sécurité. Ce rapport fournit un aperçu des événements de sécurité réseau qui se sont produits en 2012 dans des entreprises à travers le monde. Le rapport présente les événements de sécurité découverts dans ces entreprises, ainsi que des exemples d'incidents annoncés publiquement, des explications sur la manière dont certaines de ces attaques ont été menées, suivies de recommandations sur la manière de se protéger contre de telles menaces. Le rapport est divisé en trois parties. Chaque partie est dédiée à un aspect spécifique de la sécurité. La première partie se concentre sur les menaces représentées par les bots, les virus, les failles de sécurité et les attaques. La seconde partie traite des applications web à risque qui compromettent la sécurité d'un réseau d'entreprise. La dernière partie est consacrée aux fuites de données occasionnées par les actions non intentionnelles des employés. Méthodologie Le Rapport Sécurité 2013 de Check Point repose sur une étude et une analyse collaboratives des événements de sécurité rassemblés à partir de quatre sources principales : Les rapports d'analyse des passerelles sécurité de Check Point2 , Check Point ThreatCloud™3 , le réseau Check Point SensorNet™ et les rapports de Check Point Endpoint Security. Une méta-analyse des événements de sécurité réseau de 888 entreprises a été effectuée à partir des données recueillies sur les passerelles sécurité Check Point chargées d'analyser en direct le trafic entrant et sortant de ces entreprises. Le trafic a été inspecté grâce à la technologie multi-couche Check Point Software Blades afin de détecter différents types de menaces tels que les applications à haut risque, les tentatives INTRODUCTION ET MÉTHODOLOGIE
  • 4.
    005 CHECK POINT -RAPPORT SÉCURITÉ 2013 01 _ INTRODUCTION ET MÉTHODOLOGIE d'intrusions, les virus et les bots, les fuites de données confidentielles, etc. Le trafic réseau de chaque entreprise était surveillé en temps réel via le mode en ligne ou le mode surveillance des passerelles sécurité de Check Point, pendant 134 heures en moyenne. Les entreprises étudiées sont issues d'un large éventail de secteurs et sont situées dans le monde entier comme le montre les graphiques 1-A et 1-B. En outre, plus de 111,7 millions d'événements extraits de 1 494 passerelles de sécurité ont été analysés à l'aide des données générées par Check Point ThreatCloud™. ThreatCloud est une base de données massive mise à jour en temps réel à partir de données de sécurité provenant d'un vaste réseau mondial de capteurs placés stratégiquement autour du globe, qui collectent des informations sur les menacesetlesattaquesdelogicielsmalveillants.ThreatCloud permet d'identifier les nouvelles tendances mondiales de sécurité et de menaces, pour constituer un réseau collaboratif de lutte contre la cybercriminalité. Pour notre étude, nous avons analysé les données de ThreatCloud recueillies sur une période de 3 mois entre août et octobre 2012. Des références pour les données des menaces ont été recueillies par le réseau de capteurs Check Point SensorNet™, du 1er juillet au 30 septembre 2012. Check Point SensorNet est un réseau mondial de capteurs distribués, qui fournissent des informations de sécurité et des statistiques de trafic à un système central d'analyse. Ces données sont analysées afin de détecter les tendances et les anomalies, et développer une vision en temps réel de la sécurité dans le monde. Enfin, une méta-analyse de 628 rapports de sécurité de postes de travail provenant de différentes entreprises a été effectuée.L'analysedelasécuritéévaluaitnotammentchaque hôte pour estimer les risques de fuites de données, les risques d'intrusions et les risques liés aux logiciels malveillants. L'analyse a été réalisée avec l'outil de reporting Check Point Endpoint Security pour vérifier la présence d'un antivirus sur les hôtes, s'il est à jour, si les logiciels utilisés sont les dernières versions, et plus encore. Cet outil est gratuit et disponible publiquement. Il peut être téléchargé depuis le site de Check Point4 . * APAC- Asie Pacifique et Japon. EMEA- Europe, Moyen-Orient et Afrique 26%Autre235 39%Industrie346 14%Finance128 10%Gouvernement89 7%Télécommunication59 4%Conseil31 Secteurs Régions 40%EMEA*354 40%Amériques356 20%APAC*178 Source:CheckPointSoftwareTechnologies Graphiques 1-A et 1-Bׁ Ce rapport repose sur des données recueillies à partir de ces sources. Spécification des secteurs Industrie – Chimie/Raffinerie, Santé, Pharmacie, Informatique, Production, Transport, Service public, Infrastructure. Finance – Finance, Comptabilité, Services bancaires, Investissement. Gouvernement – Administration publique, Armée. Télécommunication – Télécommunication, Opérateurs, FAI, Services managés. Conseil – Services de conseil. Autres – Publicité/Médias, Distributeur, Éducation, Justice, Loisirs/Hospitalité, Commerce de détail et de gros, Valeurs et titres, Autre.
  • 5.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 02MENACES POUR VOTRE ENTREPRISE BLACKHOLE - LE KIT D'EXPLOITATION DES VULNÉRABILITÉS DE MONSIEUR TOUT LE MONDE Le succès des activités malveillantes de l'année dernière peut-être en partie attribuée aux pirates qui utilisent des outils d'attaque prêts à l'emploi. Un seul clic suffit à télécharger une suite d'attaque complète et hautement sophistiquée. BlackHole, une application web très répandue d'exploitation de vulnérabilités, est un exemple de ce type de suite. Elle intègre un ensemble d'outils qui exploitent les failles de sécurité des navigateurs pour télécharger des virus, des bots, des chevaux de Troie et autres formes de logiciels malveillants sur les ordinateurs des victimes. Les prix de ces kits varie de quelques dizaines d'euros pour une utilisation à la journée à 1 300 euros pour une année complète9 . et de ressources à recueillir des renseignements. Leurs activités criminelles causent de graves dommages aux entreprises, telles que des fuites de données confidentielles, l'interruption de l'activité, l'atteinte à la réputation et bien sûr des pertes financières. Les attaques et à long terme les plus sophistiquées, menées dans un but prédéterminé et très spécifique, sont appelées « menaces persistantes avancées » (APT). Ces attaques ne sont généralement pas détectées par les systèmes de sécurité traditionnels, mettant ainsi en danger les gouvernements, les petites entreprises aussi bien que les grandes entreprises, et les réseaux personnels. Dans une attaque APT, la première action consiste typiquement à effectuer une reconnaissance de la cible pour recueillir des renseignements. Ensuite, les agresseurs font une première intrusion dans le réseau de la cible pour ouvrir une porte dérobée et rester actif dans le réseau. Ceci est Dernières nouvelles : une nouvelle cyberattaque découverte En 2012, les cyberattaques ont continué de proliférer et faire la une des journaux. Presque tous les jours, les menaces de logiciels malveillants, les attaques et les botnets, sont en première page, démontrant ainsi la réussite des pirates à dérober des données, paralyser l'activité des entreprises, ou espionner des entreprises et des gouvernements. Les exemples suivants ne sont que la partie visible de l'iceberg des cyberattaques qui se sont produites en 2012 : des pirates attaquant le réseau de la Maison Blanche6 , le groupe d'hacktivistes Anonymous stoppant le fonctionnement des sites Internet des associations de commerce U.S. Telecom Association et TechAmerica7 , des cyberattaques ciblant Capital One Financial Corp., BB&T Corp., HSBC Bank USA8 et de nombreuses autres institutions financières. Menaces persistantes avancées Les cybercriminels ne sont plus de simples amateurs isolés. Ils appartiennent dans de nombreux cas à des groupes bien structurés ressemblant à des organisations terroristes, avec du financement, de la motivation et des objectifs. Les cybercriminels semblent consacrer beaucoup de temps « IL N'EXISTE QUE DEUX TYPES D'ENTREPRISES, CELLES QUI ONT ÉTÉ PIRATÉES ET CELLES QUI LE SERONT. » Robert Mueller, Directeur du FBI, mars 20125
  • 6.
    007 02 _ MENACESPOUR VOTRE ENTREPRISE Global Payments Inc. Une entreprise mondiale de traitement des paiements piratée en juin 2012. Les données de plus de 1,5 million de cartes de paiement ont été dérobées. Clarksville, Tennessee, États-Unis En juin 2012, des pirates se sont introduits dans le systèmeinformatiquedesécolesducomtédeClarksville- Montgomery, et ont dérobé les noms, numéros de sécurité sociale et autres données personnelles d'environ 110 000 personnes. Les pirates ont utilisé les informations postées par des employés et des étudiants en ligne pour accéder au système10 . Serco Thrift Savings Plan En mai 2012, une attaque informatique menée contre Serco aux États-Unis a permis de dérober les données personnelles de 123 000 employés fédéraux. Une intrusion à l'Université du Nebraska a permis le vol de plus de 650 000 fichiers de données personnelles relatives aux élèves, anciens élèves, parents et employés depuis la base de données du système d'information étudiants de l'université. DépartementdesServicesTechnologiques de l'Utah, États-Unis En mars 2012, 780 000 dossiers de patients liés à des demandes de remboursement du programme de santé Medicaid ont été dérobés dans un serveur par des pirates probablement situés en Europe de l'Est. Sécurité sociale du Royaume-Uni Entre juillet 2011 et juillet 2012, la Sécurité sociale du Royaume-Uni a subi plusieurs attaques qui ont exposé les dossiers de près de 1,8 million de patients11 . FUITES DE DONNÉES EN 2012 Les botnets ne disparaîtront pas de sitôt. Ils sont une des menaces les plus importantes auxquelles les entreprises doivent aujourd'hui faire face pour protéger leur réseau. Un bot est un logiciel malveillant qui envahit et infecte un ordinateur pour permettre à des criminels de le contrôler à distance. L'ordinateur infecté peut effectuer des activités illégales telles que le vol de données, la diffusion de spam, la diffusion de logiciels malveillants et la participation à des attaques de déni de service (DoS). Le propriétaire de l'ordinateur infecté n'est généralement pas conscient de ces activités. Les bots jouent également un rôle clé dans les attaques APT ciblées. Il existe deux grandes tendances motivant les attaques de bots dans le paysage actuel des menaces. La première tendance en forte croissance est celle de la cybercriminalité à des fins lucratives, comprenant les opérateurs et les fournisseurs de habituellement accompli en infectant un hôte à l'aide d'un bot permettant aux agresseurs de communiquer avec l'hôte infecté sans être détectés. Les agresseurs tentent ensuite d'accéder à d'autres ressources du réseau et compromettre encore plus de nœuds. Après cette étape, les agresseurs ont atteint leur cible, et peuvent maintenant exploiter les hôtes infectés pour collecter des données ou causer les dommages prévus, à distance et tout en restant hors d'atteinte sur le long terme. DES KITS DE BOTS SONT VENDUS EN LIGNE POUR QUELQUES CENTAINES D'EUROS ET LEURS DOMMAGES COÛTENT DES MILLIONS D'EUROS De nombreux incidents ayant pour conséquence des fuites de données se sont produits cette année, exposant les données liées aux cartes de paiement, aux clients, aux élèves ou aux patients, stockées sur des serveurs d'entreprise. Ces activités malveillantes ont pour objectif commun d'obtenir des informations confidentielles. La liste suivante présente quelques exemples :
  • 7.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE ACTIVITÉS DES BOTNETS Envoyer du spam Attaquer des ordinateurs et des serveurs Dérober des données Diffuser des logiciels malveillants Répandre des virus logiciels malveillants, des programmeurs, et des programmes d'affiliation. Ses « produits et services » peuvent être facilement achetés en ligne sur de nombreux sites (par exemple : kits de logiciels malveillants, envoi de spam, vol de données, attaque de déni de service) et les entreprises ont beaucoup de mal à lutter contre ces attaques. La seconde tendance est celle des attaques idéologiques et des attaques lancées par des états contre des individus et des entreprises cibles pour promouvoir une cause politique ou mener une campagne de cyberguerre. Les botnets ne disparaîtront pas de sitôt. Contrairement aux virus et autres logiciels malveillants traditionnels statiques (dontlecodeetlaformerestentlesmêmes),lesbotnetssontde naturedynamique,etpeuventchangerrapidementdeformeet de modèle de communication. Des boîtes à outils de création de bots sont vendues en ligne pour quelques centaines d'euros et leurs attaques coûtent des millions d'euros aux entreprises. Le problème des bots est devenu un problème d'envergure.
  • 8.
    009 Les réseaux dezombies sont partout. Cette situation est-elle alarmante ? Il est estimé que plus d'un quart de tous les ordinateurs personnels connectés à Internet font partie d'un botnet.12 . Nos récentes recherches montrent que dans 63 % des entreprises, au moins un bot a été détecté. La plupart des entreprises sont infectées par une variété de bots. Fonctionnement des botnets Un botnet se compose généralement d'un certain nombre d'ordinateurs infectés par des logiciels malveillants qui établissent une connexion réseau avec un système de contrôle appelé « serveur de commande et de contrôle ». Lorsqu'un bot infecte un ordinateur, il prend le contrôle de l'ordinateur et neutralise les défenses antivirus. Les bots sont difficiles à détecter car ils se cachent à l'intérieur des ordinateurs et DES ENTREPRISES ÉTUDIÉES SONT INFECTÉES PAR DES BOTS 63% Nombre d'hôtes infectés par des bots (% des entreprises) 48 % 1 à 3 hôtes 18 % 4 à 6 hôtes 10%7à9hôtes 18%10à21hôtes 6 % Plus de 21 hôtes modifient la manière dont ils se comportent pour les logiciels antivirus. Le bot se connecte alors au serveur de commande et de contrôle pour obtenir des instructions de la part des cybercriminels. De nombreux protocoles de communication sont utilisés pour ces connexions, y compris IRC, HTTP, ICMP,DNS,SMTP,SSL,etdanscertainscas,desprotocoles personnalisés créés par les auteurs des botnets. Spam, virus, DDoS Responsable de botnet Bot Commande et contrôle Ordinateurs sur Internet Graphique 2-A Source:CheckPointSoftwareTechnologies
  • 9.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE 010 Activités de commande et de contrôle Les bots revêtent différentes formes et peuvent effectuer de nombreuses activités. Dans de nombreux cas, un seul bot peut créer de multiples menaces. Une fois sous le contrôle du serveur de commande et de contrôle, le botnet peut être activé par un pirate pour mener des activités illégales à l'insu de l'utilisateur. Ces activités comprennent l'infection d'autres machines afin de les ajouter au botnet, l'emailing de masse, les attaques DDoS, et le vol de données personnelles, financières ou confidentielles. Les bots sont également souvent utilisés comme outils d'attaque APT ciblant des individus ou des entreprises. Le graphique 2-B présente la fréquence des communications des bots avec leur serveur de commande et de contrôle. 70 % des bots détectés durant nos recherches communiquaient avec leur serveur de commande et de contrôle au moins une fois toutes les 2 heures. La majorité des activités de commande et de contrôle se situent aux États-Unis, puis en Allemagne, aux Pays-Bas et en France, comme le montre le graphique 2-C. Les différents types de communication des bots avec leur serveur de commande et de contrôle comprennent le signalement de nouveaux hôtes infectés, les messages de maintiend'activité(« keep-alive »),etlesdonnéesrecueillies surlesystèmehôte.Nosrecherchesmontrentqu'enmoyenne, un bot communique avec son serveur de commande et de contrôle une fois toutes les 21 minutes. Quels sont les botnets auxquels nous devrions faire attention ? Des milliers de botnets existent aujourd'hui. Le tableau suivant présente les principaux botnets découverts durant nos recherches. Pour mieux comprendre ces menaces furtives, des informations complémentaires sur chaque menace ont été compilées dans l'Annexe A. Famille de bots Activité malveillante Zeus Vol d'identifiants bancaires en ligne Zwangi Présentation de publicités indésirables Sality Virus auto-diffusé Kuluoz Activation de fichiers à distance Juasek Actions malveillantes à distance : ouverture de l'invite de commandes, rech./créa./suppr. de fichiers, etc. Papras Vol de données financières et accès à distance Détails supplémentaires dans l'Annexe A TOUTES LES 21 MINUTES UN BOT COMMUNIQUE AVEC SON SERVEUR DE COMMANDE ET DE CONTRÔLE Graphique 2-B Source:CheckPointSoftwareTechnologies Fréquence des communications des bots avec leur serveur de commande et de contrôle 25 % Jusqu'à 1 heure 45 % 1 à 2 heures 6 % 2 à 4 heures 24 % Plus de 4 heures
  • 10.
    DES ENTREPRISES, DESHÔTES ACCÈDENT À DES SITES WEB MALVEILLANTS 75%DANS Principales localisation des serveurs de commande et de contrôle 58 % États-Unis 3 % Canada 3 % Australie 4 % Chine 9 % Allemagne 7 % Pays-Bas 3 % Venezuela 3 % Roumanie 3 % Argentine 7 % France Graphique 2-C Source:CheckPointSoftwareTechnologies
  • 11.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE 012 Comment votre entreprise peut être infectée par un logiciel malveillant Il existe de nombreux points d'entrée pour pénétrer les défenses d'une entreprise, dont notamment les vulnérabilités des navigateurs, les téléphones mobiles, les pièces jointes malveillantes et les supports amovibles, pour n'en citer que quelques exemples. L'explosion du nombre d'applications web 2.0 et des réseaux sociaux utilisés comme outils professionnels fournit également aux pirates des armes pour tromper leurs victimes et les inciter à cliquer sur des liens malveillants ou de fausses publicités présentées sur des sites légitimes. Même si les botnets sont considérés comme l'une des menaces les plus graves aujourd'hui, les entreprises sont toujours confrontées par ailleurs aux menaces présentées par les logiciels malveillants : virus, vers, logiciels espions, logiciels publicitaires, chevaux de Troie, etc. Nos recherches montrent que dans 75 % des entreprises, un hôte accède à un site web malveillant. Le graphique suivant présente le nombre d'hôtes qui a accédé à des sites web malveillants par pourcentage d'entreprises. 18 % 3 à 4 hôtes 31%1à2hôtes 16 % 9 à 16 heures 15 % Plus de 16 hôtes 20%5à8hôtes Accès à des sites malveillants par nombre d'hôtes (% des entreprises) Dans plus de 50 % des entreprises, au moins cinq hôtes ont accédé à des sites web malveillants. Un logiciel malveillant peut être téléchargé par un utilisateur ou un bot qui a déjà infecté l'hôte. Nous avons découvert que dans 53 % des entreprises, un logiciel malveillant a été téléchargé depuis le réseau de l'entreprise. Dans plus de 50 % de ces entreprises, nous avons également découvert que plus de quatre hôtes ont téléchargé des logiciels malveillants. Téléchargements de logiciels malveillants (% des entreprises) 43 % Plus d'une journée 14%Jusqu'à2heures 19%2à6heures 12 % 6 à 12 heures 12 % 12 à 24 heures TOUTES LES 23 MINUTES UN HÔTE ACCÈDE À UN SITE WEB MALVEILLANT Le graphique suivant présente la fréquence moyenne de téléchargement de logiciels malveillants dans les entreprises étudiées. Le graphique 2-G présente le nombre d'hôtes qui a téléchargé des logiciels malveillants. Dans plus de 50 % des entreprises, au moins cinq hôtes ont téléchargé des logiciels malveillants. Nos recherches montrent que la majorité des logiciels malveillants proviennent des États-Unis, puis du Canada et du Royaume-Uni, comme indiqué dans le graphique 2-F. La protection antivirus est une des méthodes de protection contre les infections de logiciels malveillants. Toutefois, nos recherches montrent que 23 % des hôtes en entreprise ne mettentpasleurantivirusàjourquotidiennement.UnhôteneGraphique 2-D Graphique 2-E Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies
  • 12.
    013 PRINCIPALES SOURCES DELOGICIELS MALVEILLANTS 71 % États-Unis 8 % Canada 2 % Chine 3 % Israël 3 % Allemagne 4 % Royaume- Uni 2 % Slovaquie 2 % République tchèque 2 % France 3 % Turquie disposant pas d'un antivirus à jour est exposé aux virus. Nous avons également découvert que 14 % des hôtes en entreprise ne disposent même pas d'un antivirus. Les probabilités d'infection par logiciels malveillants des hôtes qui ne sont pas équipés d'un antivirus sont extrêmement élevées. Nous vous présentons « miniFlame », le petit frère encore plus dangereux de Flame Il semble que le logiciel malveillant Flame découvert plus tôt cette année n'était que le premier de sa série. Il existe désormais un programme similaire appelé « miniFlame », capable de mener des attaques plus précises sur des cibles situées au Moyen-Orient. miniFlame intègre une porte Hôtes ayant téléchargé des logiciels malveillants (% des entreprises) 45%1à4hôtes 20%Plusde33 12%17à32hôtes 13%5à8hôtes 10%9à16hôtes Graphique 2-F Graphique 2-G Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies
  • 13.
    014 ATTAQUE EUROGRABBER PLUS DE36 MILLIONS D'EUROS DÉROBÉS SUR PLUS DE 30 000 COMPTES BANCAIRES En 2012, une attaque sophistiquée, multi-dimensionnelle et ciblée, a réussi à détourner plus de 36 millions d'euros provenant de plus de 30 000 comptes d'usagers de plusieurs banques à travers toute l'Europe. Les usagers des services bancaires en ligne ne savaient absolument pas qu'ils étaient infectés par des chevaux de Troie, que leurs sessions bancaires en ligne étaient compromises et que des fonds avaient été dérobés de leurs comptes. Une fois découverte, cette vague d'attaques a été nommée « Eurograbber » par Versafe et Check Point Software Technologies. L'attaque Eurograbber emploie une nouvelle variante très efficace du cheval de Troie ZITMO (Zeus-In-The-Mobile). À ce jour, les attaques n'ont été constatées que dans les pays de la zone euro, mais une variante pourrait très bien affecter des banques de pays situés hors de l'Union Européenne L'attaque en plusieurs étapes a infecté les ordinateurs et les appareils mobiles des usagers des services bancaires en ligne, et une fois que le cheval de Troie Eurograbber a été installé sur les deux, les sessions des usagers ont pu être complètement surveillées et manipulées par les agresseurs. Le mécanisme d'authentification à deux facteurs utilisé par les banques pour assurer la sécurité des transactions bancaires en ligne a été contourné lors de l'attaque, et même utilisé par les agresseurs pour authentifier leurs propres transferts illicites. Le cheval de Troie utilisé pour attaquer les appareils mobiles a été développé à la fois pour Blackberry et Android afin de maximiser le nombre de cibles. Il a ainsi pu infecter aussi bien des particuliers que des entreprises usagers des services bancaires, et détourner des sommes allant de 500 à 250 000 euros par compte. Des informations complémentaires sur l'attaque Eurograbber, y compris le détail de ses étapes, sont disponibles dans l'étude de cas d'Eurograbber12 sur le site web de Check Point. dérobée permettant le contrôle, le vol de données et la possibilité de faire des captures d'écran, à distance. Plus de vulnérabilités donc plus d'exploitation des vulnérabilités Les vulnérabilités bien connues sont des cibles clés pour les pirates qui tablent sur le simple fait que de nombreuses entreprises ne mettent pas leurs logiciels à jour régulièrement. Plus les entreprises sont grandes, plus il est difficile pour les administrateurs de sécurité de maintenir tous les systèmes à jour. Ainsi, dans de nombreux cas, une ancienne vulnérabilité déjà corrigée peut-être encore utilisée pour infiltrer les systèmes des petites et des grandes entreprises qui n'ont pas mis leur système à jour avec les tous derniers correctifs. Le nombre de vulnérabilités découvertes chaque année est impressionnant, avec plus de 5 00013 nouvelles façons en Nombre total de vulnérabilités courantes 5 672 2012 5 235 2011 5 279 2010 5 132 2009 Graphique 2-H Source:CVE(vulnérabilitéscourantes)
  • 14.
    015 02 _ MENACESPOUR VOTRE ENTREPRISE 2012 pour les pirates de provoquer des dommages et accéder à des systèmes. Et de nombreuses vulnérabilités non encore découvertes sont activement utilisées par les cybercriminels. Le graphique 2 démontre que les produits les plus populaires d'exploitation. Ne pas utiliser les tous derniers Service Packs signifie s'exposer à des risques. De plus, nous avons découvert que des événements de sécurité liés aux produits Microsoft se sont produits dans 68 % des entreprises. Des événements de sécurité liés à d'autres éditeurs tels qu'Adobe et Apple se sont produits dans un nombre nettement moins élevé d'entreprises. Il est intéressant de noter que bien qu'Apple soit second en nombre de vulnérabilités, seul un faible pourcentage d'entreprises ont Nombre de vulnérabilités par éditeur 59 HP 62 PHP 80 Google 118 IBM 119 Cisco 119 Adobe 150 Firefox 222 Microsoft 260 Apple 384Oracle utilisés par quasiment toutes les entreprises dans le monde entier sont également les plus vulnérables, avec Oracle, Apple et Microsoft en tête des éditeurs les plus vulnérables. Nos recherches montrent que 75 % des hôtes des entreprises n'utilisent pas les toutes dernières versions (par exemple : AcrobatReader,FlashPlayer,InternetExplorer,JavaRuntime Environment, etc.). La conséquence étant que les hôtes sont exposés à un grand nombre de vulnérabilités pouvant être exploitées par des pirates. Nos recherches montrent également que 44 % des hôtes des entreprises n'utilisent pas les tous derniers Service Packs de Microsoft. Les Service Packs incluent généralement des mises à jour pour le système CHECK POINT - RAPPORT SÉCURITÉ 2013 subi des événements de sécurité liés aux produits Apple. Les pirates utilisent de nombreuses techniques appelées vecteurs d'attaques. Le graphique 2-K liste certains de ces vecteurs d'attaques en fonction du pourcentage d'entreprises qui les ont subies. Corruption de la mémoire, dépassement de tampon, et déni de service sont les vecteurs d'attaques les plus populaires découverts dans nos recherches. Graphique 2-I Source:CVE(vulnérabilitéscourantes) Événements de sécurité par éditeur % des entreprises 3 % HP 4 % Apple 5 % Apache 5 % Novell 13 % Adobe 15 % Oracle 68%Microsoft Graphique 2-J Source:CheckPointSoftwareTechnologies
  • 15.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE 016 À quoi ressemble une attaque d'injection SQL ? Chronique d'une injection SQL Ce qui suit est un véritable exemple d'une série d'attaques par injection SQL qui se sont déroulées de juillet à octobre 2012 dans un environnement client Check Point. Ces attaques ont été détectées et bloquées par une passerelle Check Point. Cet exemple nous est rapporté par l'équipe des services managés Check Point ThreatCloud. L'injection SQL est une exploitation de vulnérabilité (CVE-2005-0537) par laquelle un agresseur ajoute du code SQL au champ d'un formulaire web pour obtenir l'accès à des ressources ou modifier les données stockées. Le graphique 2-M montre à quoi ressemble l'attaque. Le texte surligné correspond aux données auxquelles le pirate a tenté d'accéder via l'injection SQL (des noms d'utilisateurs et des mots de passe dans le cas présent). Les commandes SQL utilisées sont : select, concat et from. L'attaque a été menée depuis 99 adresses IP différentes. Bien que l'entreprise ciblée soit située en Europe, les attaques provenaient de nombreux pays différents, tel qu'illustré dans le graphique 2-M. L'injectionSQLpeutêtreeffectuéemanuellement(unpirateà son clavier) où automatiquement (attaque par script). Dans le cas présent, tel que démontré dans le graphique 2-L, un pic de 4 184 tentatives d'attaques (très certainement automatisées) s'est produit pendant deux jours, à l'aide du même code et provenant de la même adresse IP source. Principaux vecteurs d'attaque Dépassement de tampon 32 % Corruption mémoire 32 % Déni de service 32 % Exécution de code 24 % 19 % Dépassementdepile 15 % Usurpation d'enregistrement 10 % Dépassement d'entier 8 % Fuite d'information 6 % Déréférencement de pointeur null 5 % Escalade de privilèges 2 % Dépassement de tampon 1 % Contournement d'authentification 22 juil. 5 août 19 août 2 sept. 16 sept. 30 sept. 14 oct. 28 oct. 2 500 1 500 500 2 000 1 000 Taux d'injections SQL Nombre d'injections SQL Graphique 2-L Graphique 2-K Source:CheckPointSoftwareTechnologies
  • 16.
    017 • Un antibotpour détecter et empêcher les dommages causés par les bots • Un système de prévention d'intrusions proactif • Le filtrage des URL et le contrôle des applications pour empêcher l'accès à des sites web hébergeant/propageant des logiciels malveillants • Des données sur les menaces en temps réel et collaboration mondiale • Une surveillance intelligente permettant des analyses proactives RECOMMANDATIONS DE SÉCURITÉ PLUSIEURS COUCHES DE SÉCURITÉ Les menaces devenant de plus en plus sophistiquées, les problématiques de sécurité continuent de se complexifier. Pour maximiser la sécurité réseau de l'entreprise, un mécanisme de protection multicouche est nécessaire afin d'offrir une protection contre les différents vecteurs d'attaques : • Un antivirus pour identifier et bloquer les logiciels malveillants INJECTIONS SQL PAR PAYS D'ORIGINE TOP 10 http:// ______________/ns/index. php?action=com_clan&cid=185 and 1=2 union select 1,2,3,4,5,6,concat(0x26, 0x26,0x26,0x25,0x25,0x25,nom_utilisateur, 0x3a mot_de_passe 0x25,0x25,0x25,0x26, 0x26,0x26),8 from jos_users-- 37 Royaume-Uni 369 États-Unis 42 Roumanie 52 Ukraine 53 Géorgie 58 Espagne 98 Allemagne 122Pays-Bas 130Algérie 198Russie Graphique 2-M Source:CheckPointSoftwareTechnologies
  • 17.
    018 Blocage des fichiersmalveillants entrants Les entreprises doivent s'équiper d'une solution antimalwares analysant les fichiers entrant dans le réseau et capable de décider en temps réel si les fichiers sont infectés par des logiciels malveillants. Cette solution doit empêcher les fichiers malveillants d'infecter le réseau interne et également empêcherl'accèsauxsiteswebinfestésdelogicielsmalveillants qui tentent d'effectuer des téléchargements automatiques. Protection antibot multicouches La protection contre les bots comporte deux phases : la détection et le blocage. Pour maximiser sa capacité à détecter un bot dans un réseau, un mécanisme de détection multicouche est nécessaire pour couvrir tous les aspects du comportement des bots. Une solution de détection de bot doit intégrer un mécanisme de vérification de la réputation capable de détecter les adresses IP, URL et DNS utilisées par les agresseurs pour se connecter aux botnets. Il est également très important que cette protection inclut la possibilité de détecter les protocoles et les modèles de communication uniques à chaque famille de botnet. La détection des actions des bots est une autre fonction essentielle de la protection antibot. La solution doit être capable d'identifier les activités des bots, telles que l'envoi de spam, le détournement de clics et l'autodiffusion. La seconde phase faisant suite à la découverte des machines infectées est le blocage des communications sortantes des bots vers les serveurs de commande et de contrôle. Cette phase neutralise la menace et s'assure que les bots ne peuvent ni communiquer d'informations confidentielles ni recevoir d'instructions pour d'autres activités malveillantes. Les dommages causés par les bots sont ainsi immédiatement neutralisés. Cette approche permet aux entreprises de maintenir la continuité de leur activité. Les utilisateurs peuvent travailler normalement, sans avoir conscience que les communications spécifiques des bots sont bloquées et que l'entreprise est protégée, sans aucun impact sur la productivité. Le climat de turbulence politique qui a débuté en 2010 par le soulèvement de nombreux pays arabes s'est poursuivi en 2012 par des manifestations publiques dans d'autres pays. c'est donc sans surprise que nous avons constaté une vague de cyberattaques reposant sur ces agendas idéologiques. Foxconn, un fournisseur d'Apple à Taiwan, a été piraté par le groupe Swagg Security. Ce groupe réagissait apparemment aux annonces faites dans la presse des conditions de travail déplorables dans les entreprises du constructeur électronique en Chine14 . Le groupe d'activistes Anonymous a annoncé avoir piraté un serveur du département de la justice américaine hébergeantlesitedesstatistiquesdubureaudelajustice,et a publié 1,7 Go de données dérobées. Le groupe a publié l'annonce suivante à propos des données volées : « Nous publions ces données pour mettre fin à la corruption et véritablement libérer ceux qui sont oppressés. »15 . Le Vatican a également subit pendant une semaine des attaques du groupe Anonymous sur ses sites web et ses serveurs de messagerie internes. Le groupe a revendiqué son action en indiquant que les transmetteurs du système radio du Vatican situés dans les campagnes aux alentours de Rome posaient soi-disant un risque de santé. Le groupe prétendais que les émetteurs provoquaient « des leucémies et des cancers » chez les personnes habitant à proximité. Le groupe a également justifié son attaque en indiquant que le Vatican avait soi-disant aidé les nazis à détruire des ouvrages de valeur historique, et que le clergé commettait des agressions sexuelles sur des enfants16 . Lors d'une autre cyberattaque, Anonymous a stoppé le fonctionnement des sites Internet des associations de commerce U.S. Telecom Association et TechAmerica. Ces attaques ont apparemment été mené en raison du soutien de ces associations à la loi sécuritaire proposée par le républicain Mike Rogers. Cette loi permettrait à des sociétés privées et au gouvernement de partager directement des informations « sur des vulnérabilités ou des menaces » pesant sur des réseaux d'ordinateurs17 . 2012, UNE ANNÉE D'HACKTIVISME
  • 18.
    019 CHECK POINT -RAPPORT SÉCURITÉ 2013 02 _ MENACES POUR VOTRE ENTREPRISE Collaboration mondiale en temps réel Le problème des cyberattaques est trop vaste pour qu'une entreprise seule s'y attaque. Les entreprises ont plus de chance de maîtriser ce défi croissant en collaborant et en bénéficiant d'une assistance professionnelle. Lorsque les cybercriminels utilisent des logiciels malveillants, bots et autres formes de menaces avancées, ils ciblent souvent plusieurs sites et entreprises pour augmenter les chances de réussite de leurs attaques. Lorsque les entreprises combattent ces menaces séparément, de nombreuses attaques ne peuvent être détectées car les entreprises ne sont pas en mesure de partager d'informations sur les menaces. Pour continuer de devancer les menaces, les entreprises doivent collaborer et partager des données sur les menaces. La protection ne peut se renforcer et devenir plus efficace que si elles joignent leurs efforts. Prévention d'intrusions La prévention d'intrusions est une couche de sécurité obligatoire pour combattre les différents vecteurs des cyberattaques. Une solution de prévention d'intrusions est requise pour inspecter le trafic en profondeur, et empêcher les tentatives d'infiltration et d'accès aux ressources de l'entreprise.Unesolutionadéquateintègrelesfonctionnalités suivantes : • Validation des protocoles et détection des anomalies, Identification et blocage du trafic non conforme avec les protocoles standards, et pouvant entraîner le malfonctionnement des équipements ou des problèmes de sécurité. • Blocage des charges inconnues capables d'exploiter une vulnérabilité spécifique. • Blocage des communications excessives indiquant une attaque de déni de service (DoS). Voir la section Paysage des menaces et mesures Une visibilité claire sur les événements de sécurité et les tendances est un autre composant clé de la lutte contre la cybercriminalité. Les administrateurs de sécurité doivent être constamment et clairement en mesure de comprendre l'état de la sécurité du réseau pour contrer les menaces et les attaques ciblant l'entreprise. Cette compréhension requiert une solution de sécurité capable de fournir une visibilité de haut niveau sur les protections, et mettre en évidence les informations critiques et les attaques potentielles. La solution doit également être en mesure d'analyser des éléments spécifiques en profondeur. La possibilité de prendre immédiatement des mesures à partir de ces informations est essentielle pour empêcher les attaques en temps réel et bloquer proactivement les menaces futures. La solution de sécurité doit intégrer un mécanisme d'administration intuitif et souple pour simplifier l'analyse des menaces et réduire le coût d'adaptation. Mises à jour de sécurité et assistance En raison des menaces en constante évolution, les défenses doivent évoluer pour continuer de les devancer. Les produits de sécurité ne peuvent traiter efficacement les tous derniers logiciels malveillants et vulnérabilités que si leurs éditeurs sont en mesure d'effectuer des recherches et fournir des mises à jour fréquentes. Un excellent service de sécurité repose sur : • La recherche interne de l'éditeur et sa capacité à collecter des informations depuis différentes sources • Des mises à jour de sécurité fréquentes pour toutes les technologies appropriées, dont la prévention d'intrusions, l'antivirus et l'antibot • Une assistance pratique et facile d'accès capable de répondre aux questions et traiter les problèmes spécifiques à l'environnement de ses clients
  • 19.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 Les règles du jeu ont changé. Les règles du jeu ont changé. Les applications Internet étaient autrefois considérées comme un passe-temps, un moyen de voir les photos de voyage de ses amis et regarder des films drôles. Les applications du web 2.0 sont devenues des outils essentiels pour les entreprises modernes. Nous communiquons avec des collègues, clients et partenaires, nous partageons des informations, et nous nous tenons informé de l'actualité et des opinions d'autres internautes. Des outils Internet tels que Facebook, Twitter, Webex, LinkedIn et Youtube pour n'en citer que quelques-uns, sont de plus en plus répandus dans les entreprises qui les utilisent comme des facilitateurs. Dans cette section de notre étude, nous détaillons les risques introduitsparlesapplicationsduweb2.0etleurinfrastructure, puis nous nous concentrons sur les applications spécifiques utilisées par les entreprises de notre étude. Les résultats sont illustrés à l'aide de véritables exemples d'incidents. Les applications web ne sont pas des jeux L'évolution de la technologie entraîne la complexification des problématiques de sécurité. Les outils Internet introduisent également de nouveaux risques de sécurité. De nombreuses applications Internet légitimes sont utilisées comme outil d'attaque contre les entreprises ou entraînent des failles de sécurité dans les réseaux. Des applications d'anonymat, de stockageetdepartagedefichiers,departagedefichiersenP2P, d‘administration à distance et les réseaux sociaux, sont utilisés par des agresseurs pour exploiter les failles des entreprises. Il existe une multitude de plates-formes et d'applications pouvant être utilisées à des fins personnelles ou professionnelles. Chaque entreprise doit être consciente de ce que font ses employés, et à quelles fins, puis définir sa propre politique d'utilisation d'Internet. Ilestànoterque91%desentreprisesutilisentdesapplications capables de potentiellement contourner la sécurité, masquer les identités, provoquer des fuites de données et même introduire des infections à leur insu. 03 APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE En juin 2012, la FTC (agence américaine de régulation des échanges commerciaux) a allégué que deux entreprises avaient publié des informations confidentielles sur des réseaux de partage de fichiers en P2P, mettant en danger des milliers de consommateurs. La FTC a indiqué que l'une des entreprises, EPN, Inc., une agence de recouvrement de créances, avait rendu des données confidentielles, y compris les numéros de sécurité sociale, les numéros d'assurés sociaux et les diagnostics médicaux de 3 800 patients, disponibles à tout ordinateur connecté au réseau de P2P. La FTC a indiqué que l'autre entreprise, Franklin‘s Budget Car Sales, Inc.,unconcessionnaireautomobile,avaitexposélesdonnées de95 000 consommateurssurunréseaudeP2P.Lesdonnées comprenaientlesnoms,adresses,numérosdesécuritésociale, dates de naissance et numéros de permis de conduire18 . En 2010, la FTC a signalé à une centaine d'entreprises que des informations personnelles, comprenant des données confidentielles sur des consommateurs et/ou des employés, avaient été partagées sur leurs réseaux et étaient disponibles sur les réseaux de partage de fichiers en P2P. N'importe quel utilisateurdecesréseauxpouvaitutiliserlesdonnéesàdesfins d'usurpation d'identité ou de fraude19 . DONNÉES CONFIDENTIELLES PARTAGÉES PAR DES APPLICATIONS DE PARTAGE DE FICHIERS EN P2P
  • 20.
    03 _ APPLICATIONSUTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 021 Les applications de P2P ouvrent des portes dérobées dans votre réseau Les applications de P2P (pair à pair) sont utilisées pour partager des fichiers entre utilisateurs. La technologie P2P est de plus en plus prisée par les agresseurs pour propager des programmes malveillants parmi les fichiers partagés. Les applications de P2P sont essentiellement des portes dérobées pour accéder à votre réseau. Elle permettent aux utilisateurs de partager des dossiers et provoquer d'éventuelles fuites de données confidentielles, et peuvent rendre les entreprises responsables d'acquisitions illégales par leurs employés via les réseaux P2P. Nous avons constaté un fort taux d'utilisation des applications de P2P. Elles sont utilisées dans plus de la moitié des entreprises (61 %). Les clients BitTorrent sont les outils de partage de fichiers en P2P les plus utilisés. D'un point de vue régional, le graphique suivant montre qu'en Asie-Pacifique, les applications de partage de fichiers en P2P sont plus populaires que dans d'autres régions. 021 DES ENTREPRISES, UNE APPLICATION DE PARTAGE DE FICHIERS EN P2P EST UTILISÉE 61%DANS 0 Principales applications de partage de fichiers en P2P (% des entreprises) Des informations supplémentaires sur les principales applications de P2P sont disponibles dans l'Annexe B. 20 % eMule 19 % SoulSeek 7 % Windows Live Mesh 6 % BoxCloud 10 % Sopcast 11 % Gnutella 40%BitTorrent 7 % iMesh Graphique 3-A Utilisation d‘applications de partage de fichiers en P2P par région (% des entreprises) 72%APAC 62%Amériques 55%EMEA Graphique 3-B Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies Les applications d'anonymat contournent les règles de sécurité des entreprises Unanonymiseur(ouproxyanonyme)estunoutilpermettant de masquer toute trace des activités des utilisateurs sur Internet. Une telle application utilise un serveur de proxy qui agitentantquefiltreentrelesordinateursdesclientsetlereste d'Internet. Elle accède à Internet à la place des utilisateurs, en masquant les informations personnelles de leur ordinateur et la destination à laquelle ils accèdent. Les applications
  • 21.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 022 Utilisation des applications d'anonymat par région (% des entreprises) 49%Amériques 40%EMEA 35%APAC Serveur web Proxy Ultrasurf Client Ultrasurf Ultrasurf se connecte à un de ses serveurs de proxy Internet d'anonymat peuvent être utilisées pour contourner les règles de sécurité qui sont essentiellement construites autour des identités des utilisateurs et des sites/URL de destination. En utilisant des anonymiseurs, les utilisateurs se matérialisent à partir d'une adresse IP différente et accèdent à une destination différente. Les règles de sécurité ne peuvent être appliquées sur ces nouvelles adresses IP/destinations. Dans certains cas, les anonymiseurs peuvent être également utilisés pour dissimuler des activités criminelles. Dans 43 % des entreprises de notre étude, au moins une applicationd'anonymatestutilisée.Dans86%desentreprises utilisant ce type d'application, l'utilisation n'est pas légitime et contradictoire à la politique de sécurité. Lorsque nous regardons l'utilisation des applications d'anonymat par région, nous pouvons voir qu'elles sont plus populaires dans les Amériques et moins en Asie-Pacifique. Comment fonctionne l'anonymiseur Ultrasurf ? Ultrasurf est un anonymiseur extrêmement sophistiqué fonctionnant sous forme de proxy client et créant un tunnel HTTP chiffré entre l'ordinateur des utilisateurs et un pool central de serveurs de proxy, pour permettre aux utilisateurs de contourner les pare-feux et la censure. Le mécanisme de découverte des serveurs de proxy d'Ultrasurf est très résistant, et intègre un cache des adresses IP des serveurs, des requêtes DNS qui renvoient les adresses IP des serveurs de proxy chiffrées, des documents chiffrés dans Google Docs, et une liste programmée en dur dans l‘outil des adresses IP des serveurs de proxy. Ces techniques rendent sa détection encore plus difficile. Graphique 3-D Source:CheckPointSoftwareTechnologies 13 % CGI-Proxy 8 % Ultrasurf 7 % Hopster 7 % Hide My Ass 6 % Hamachi Applications d'anonymat les plus populaires (% des entreprises) Des informations supplémentaires sur les principales applications d'anonymat sont disponibles dans l'Annexe B. Graphique 3-C 23%TorSource:CheckPointSoftwareTechnologies
  • 22.
    023 Outils d'administration àdistance utilisés pour des attaques malveillantes Les outils d'administration à distance sont généralement des outils légitimes lorsqu'ils sont utilisés par des administrateurs et desservicesd'assistance.Toutefois,plusieursattaquesmenéesces dernières années ont fait appel à de tels outils pour contrôler à distance des machines infectées, infiltrer des réseaux, enregistrer desfrappesauclavieretdéroberdesinformationsconfidentielles. Étant donné que ces outils sont habituellement utilisés en entreprise, ils ne devraient pas être bloqués systématiquement. Cependant,leurutilisationdoitêtresurveilléeetcontrôléepour empêcher toute utilisation malintentionnée. 81 % des entreprises de notre étude utilisent au moins une application d'administration à distance ; Microsoft RDP étant la plus populaire. Des recherches récentes ont identifié un botnet contrôlé par des agresseurs dans un serveur IRC fonctionnant sous forme de service caché dans le réseau Tor. Les connexions entre les utilisateurs et les nœuds Tor étant chiffrées sur plusieurs niveaux, il est extrêmement difficile pour les systèmes de surveillance fonctionnant au niveau du réseau local ou du FAI de déterminer la véritable destination des utilisateurs20 . Le principal objectif du réseau Tor est de rendre la navigation sur Internet anonyme. Bien qu'il soit très populaire, son utilisation en entreprise pose plusieurs problèmes de sécurité. Tor peut également être facilement utilisé pour contourner les règles de sécurité de l'entreprise puisqu'il est spécifiquement conçu pour rendre ses utilisateurs anonymes. Lors de l'utilisation de Tor pour accéder à des ressources sur Internet, les requêtes envoyées depuis un ordinateur sont redirigées de manière aléatoire au travers d'une série de nœuds mis à disposition volontairement par d'autres utilisateurs de Tor. DANS 43%DES ENTREPRISES, DES ANONYMISEURS SONT UTILISÉS 81 % DES ENTREPRISES UTILISENT DES OUTILS D'ADMINISTRATION À DISTANCE Principales applications d'administration à distance (% des entreprises) 17 % VNC 4 % Bomgar 3 % Gbridge Des informations supplémentaires sur les principales applications d'administration à distance sont disponibles dans l'Annexe B. Graphique 3-F 52%TeamViewer 43%LogMeIn 58%MS-RDP Source:CheckPointSoftwareTechnologies L'ANONYMISEUR TOR COMPROMET LA SÉCURITÉ
  • 23.
    03 _ APPLICATIONSUTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 0240 Partager ne signifie pas toujours se soucier L'expression « partager c'est se soucier » signifie généralement que lorsque quelqu'un partage avec d'autres cela signifie qu'elle se soucie des autres. Mais ce n'est pas toujours le cas lorsque l'on partage des fichiers en entreprise à Principales applications de stockage et de partage de fichiers (% des entreprises) Des informations supplémentaires sur les principales applications de stockage et de partage de fichiers sont disponibles dans l'Annexe B. Source:CheckPointSoftwareTechnologies 51%WindowsLiveOffice 9 % Microsoft SkyDrive 22 % YouSendIt 13 % Sugarsync 10 % PutLocker 69%Dropbox Graphique 3-G De juillet à septembre 2011 s'est déroulée une campagne d'attaques nommée « Nitro ». Des agresseurs ont utilisé unoutild'accèsàdistanceappeléPoisonIvypourdénicher des secrets dans près d'une cinquantaine d'entreprises, la plupart dans les secteurs de la chimie et de la défense. Poison Ivy a été introduit dans les PC sous Windows de victimes d'une escroquerie envoyée par email. Les emails contenaient des demandes de réunion de la part de partenaires commerciaux de bonne réputation, ou dans certains cas, des mises à jour de logiciels antivirus ou d'Adobe Flash Player. Lorsque les utilisateurs ouvraient les pièces jointes, Poison Ivy s'installait sur leur ordinateur à leur insu. Les agresseurs pouvaient alors envoyer des instructions aux ordinateurs compromis pour obtenir des mots de passe d'accès à des serveurs hébergeant des données confidentielles, et envoyer les informations dérobées à des systèmes contrôlés par les pirates. 29 des 48 entreprises attaquées faisaient partie du secteur de la commercialisationdeproduitschimiquesetavancés,dont certaines avec des connexions à des véhicules militaires, tandis que les 19 autres provenaient de différents secteurs, y compris la défense21. Nitro n'est pas le seul exemple d'utilisation malintentionnée des outils d'accès à distance ; RSA breach, ShadyRAT et l'opération Aurora en sont d'autres. Poison Ivy était cependant utilisé dans tous les cas. PIRATÉ PAR DES OUTILS D'ACCÈS À DISTANCE l'aide d'applications de stockage et de partage de fichiers. Une des plus grandes caractéristiques du web 2.0 est la possibilité de générer du contenu et le partager avec d'autres, mais cela présente également un risque. Des informations confidentielles peuvent tomber dans de mauvaises mains lorsque des fichiers confidentiels sont partagés. Notre étude porte également sur les applications de stockage et de partage de fichiers pouvant provoquer des fuites de données ou des infections de logiciels malveillants à l'insu des utilisateurs. Notre étude montre que 80 % des entreprises utilisent au moins une application de stockage ou de partage de fichiers dans leur réseau. L'utilisation de Dropbox compte pour 69 % des événements de sécurité, Windows Live Office arrivant en seconde place avec 51 %. Utilisation des applications à haut risque par secteur d'activité Check Point a analysé l'utilisation des applications à haut risque d'un point de vue sectoriel. Le graphique 3-E montre que les entreprises industrielles et les administrations publiques sont les plus importantes utilisatrices d'applications à haut risque. L'utilisation de certaines de ces applications peut être légitime en entreprise, par exemple 80 % DES ENTREPRISES UTILISENT DES APPLICATIONS DE STOCKAGE ET DE PARTAGE DE FICHIERS
  • 24.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 025 Adm inistrationàdistance Stockageetpartagedefichiers PartagedefichiersenP2P Anonym iseur 81 % 82 % 82 % 82 % 76 % 71 % 81 % 71 % 62 %63 % 59 % 55 % 48% 44% 44% 42% 84% 70 % 38% 29% < Pertinence avec l'activité de l'entreprise 0 POURCENTAGE DES ENTREPRISES UTILISANT DES APPLICATIONS À HAUT RISQUE PAR SECTEUR D'ACTIVITÉ Administration publique Industrie Finance Télécommunication Conseil (% des entreprises) Graphique 3-E Source:CheckPointSoftwareTechnologies
  • 25.
    0260 Source:CheckPointSoftwareTechnologies DEUX INCIDENTS MAJEURSSUR DROPBOX EN DEUX ANS 13 % Twitter 12 % LinkedIn 59%Facebook Utilisation de la bande passante par les réseaux sociaux Utilisation moyenne calculée dans les applications de réseaux sociaux Graphique 3-H l'utilisation d'outils d'administration à distance pour des services d'assistance. La barre horizontale de ce graphique indique en conséquence le niveau d'utilisation légitime dans un environnement professionnel. Message légitime sur Facebook ou virus ? Avec la popularité croissante des réseaux sociaux, les entreprises font face à de nouvelles problématiques. Poster des informations confidentielles par inadvertance peut nuire à la réputation de l'entreprise, et entraîner la perte de l'avantage concurrentiel ou des pertes financières. Les pirates tirent également parti de techniques de piratage associées à l'ingénierie sociale pour diriger l'activité des botnets. Les vidéos et les liens intégrés aux pages des réseaux sociaux sont en train de devenir des moyens populaires pour les pirates d'intégrer des logiciels malveillants. En plus des risques de sécurité, les applications de réseaux sociaux étouffent la bande passante. Facebook est sans aucun doute le réseau social le plus utilisé. Twitter et LinkedIn sont d'autres réseaux sociaux visités durant les heures de travail (mais nettement moins que Facebook). Un lien Facebook menant à un site malveillant : En juillet 2012, une attaque a été menée contre des utilisateurs de Dropbox. Des noms d'utilisateurs et mots de passe Dropbox publiés sur un site web ont été testés sur des comptes Dropbox. Les pirates ont utilisé un mot de passe dérobé pour se connecter au compte d'un employé de Dropbox contenant un document avec les adresses email des utilisateurs. Des spammeurs ont utilisé ces adresses email pour envoyer du spam22 . Cet incident illustre une tactique fréquemment utilisée par les pirates. Les pirates dérobent souvent des noms d'utilisateurs et mots de passe de sites qui semblent à première vue ne pas contenir d'informations personnelles ou financières de valeur. Ils testent ensuite ces identifiants sur les sites web de différentes institutions financières, puis sur des comptes Dropbox pouvant potentiellement contenir des informations plus lucratives. En 2011, un bug d'une mise à jour de Dropbox a permis à quiconque de se connecter à n'importe quel compte Dropbox, lorsque l'adresse email du détenteur du compte était connue. Ce bug a exposé les informations et documents partagés des utilisateurs. Le problème a été corrigé en quelques heures, mais il a servi de mise en garde aussi bien aux utilisateurs qu'aux entreprises dont les employés utilisent des services de stockage et de partage de fichiers tels que Dropbox et Google Docs pour stocker des informations d'entreprise confidentielles23 .
  • 26.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 027 que Gmail, Facebook, etc., mais pire encore, ils peuvent les utiliser pour accéder à des comptes bancaires ou encore des services pour entreprises telles que SalesForce et autres. RECOMMANDATIONS POUR SÉCURISER L'UTILISATION DES APPLICATIONS WEB DANS VOTRE RÉSEAU Commentdévelopperuneprotectionweb2.0efficace? La première étape pour sécuriser l'utilisation des applications web en entreprise consiste à utiliser une solution de sécurité capable de contrôler et d'appliquer des règles de sécurité à tous les aspects de l'utilisation du web. Une visibilité complète sur toutes les applications utilisées dans l'environnement est requise, avec la possibilité de contrôler leur utilisation. Ce niveau de contrôle doit être maintenu sur les applications client (telles que Skype) et également sur les aspects les plus traditionnels du web via URL : les sites web. Comme de nombreux sites (tels que Facebook) permettent à de nombreuses applications d'utiliser leur URL, il est essentiel de disposer d'une granularité au-delà des URL ; par exemple pour le chat Facebook et des applications de jeux. Les entreprises sont alors en mesure de facilement bloquer les applications mettant leur sécurité en danger. Autorisation des réseaux sociaux pour l'activité de l'entreprise Des entreprises choisissent de bloquer Facebook dans certains cas, mais celui-ci est un outil de travail indispensable pour de nombreuses entreprises. Les entreprises publient souvent des informations sur leurs prochains webinaires et événements, des informations sur les produits et les toutes dernières nouveautés, des liens vers des articles intéressants et des vidéos. Comment pouvons-nous permettre l'utilisation des réseaux sociaux dans l'entreprise sans compromettre la sécurité ? En contrôlant les fonctionnalités et les widgets de ces applications et plates-formes. En autorisant l'utilisation de Facebook tout en bloquant ses fonctionnalités moins utiles à l'entreprise, il est possible de rendre ce réseau social utile tout en minimisant ses risques de sécurité. Étude de cas des attaques d'ingénierie sociale De récentes attaques démontrent que les pirates migrent des emails traditionnels aux réseaux sociaux comme canal de diffusion. Le cas suivant est tiré d'une véritable attaque qui s'est produite en août 2012. Des pirates ont utilisé des techniques d'ingénierie sociale Twitter et Facebook pour diffuser des contenus malveillants. À l'aide d'un compte Twitter compromis, les pirates ont envoyé directement des messages à toutes les personnes suivant le compte piraté. Le message indiquait : « que faisiez-vous dans ce film (URL Facebook]... c'est choquant ». L'URL pointait sur une application Facebook nécessitant des « identifiants Twitter ». L'écran d'identification était un serveur web appartenant aux pirates et utilisé pour collecter les identifiants Twitter des destinataires. À l'aide des identifiants Twitter, les pirates ont pu répéter le même processus avec les nouveaux comptes piratés pour obtenir encore plus de mots de passe. Les pirates peuvent utiliser ces identifiants dérobés avec d'autres services tels 0
  • 27.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE 028 Différents utilisateurs ont différents besoins Les différents utilisateurs de l'entreprise ont des besoins différents, et la politique de sécurité doit maximiser le potentiel des activités, et non les freiner. Par exemple, le service commercial peut utiliser Facebook pour rester en contact avec ses clients et partenaires, alors que le service informatique peut l'utiliser pour se tenir informé des toutes dernières actualités. Comment pouvons-nous alors assurer que les utilisateurs bénéficient de l'accès dont ils ont besoin ? Est-il pratique de demander au responsable de la sécurité de savoir ce à quoi chaque utilisateur ou groupe devrait ou ne devrait pas avoir accès ? Une solution pratique doit pouvoir identifier les utilisateurs, les groupes et les postes de manière granulaire afin de distinguer facilement les employés des autres (invités et sous- traitants). Un autre aspect important est la possibilité d'engager et sensibiliser les utilisateurs en temps réel lorsqu'ils utilisent des applications. Lorsqu'un utilisateur se rend sur un site web douteux ou lance une application douteuse, un message apparaît lui demandant de justifier de son utilisation pour pouvoir y accéder. Sa réponse est journalisée et supervisée. Le message peut également l'informer sur la politique d'utilisation professionnelle d'Internet, et lui signifier que son utilisation de telles applications est surveillée. La « compréhension » est un composant essentiel du contrôle du web Les administrateurs doivent avoir une vue d'ensemble des événements de sécurité Internet pour assurer le contrôle du web. Une solution de sécurité fournissant une visibilité claire et étendue sur tous les événements de sécurité liés au web est nécessaire. La solution doit fournir une visibilité et des fonctions de supervision telles qu'une vue d'ensemble graphique, une chronologie des événements, et une liste des événements pouvant être ordonnés, regroupés et triés par utilisateur,application,catégorie,niveauderisque,utilisation delabandepassante,dutemps,etc.Ilestimportantdepouvoir également générer des rapports pour mettre en évidence les principales catégories, applications, sites et utilisateurs, afin de connaître les tendances et planifier les capacités. Résumé Les règles du jeu ont changé. Sécuriser le web 2.0 ne revient plus simplement à bloquer une URL inappropriée. Il ne s'agit plus de seulement empêcher une application de s'exécuter. Sécuriser le web 2.0 requiert une approche intégrée de protection multicouche avec filtrage des URL, contrôle des applications, protection antimalwares et antibots, ainsi que l'identification des utilisateurs, la sensibilisation des utilisateurs, et des outils sophistiqués de supervision et d'analysedesévénementspourpermettreauxadministrateurs de conserver le contrôle de toutes les situations. 0 LA SÉCURISATION DU WEB 2.0 REQUIERT UNE APPROCHE INTÉGRÉE DU FILTRAGE DES URL, DE CONTRÔLE DES APPLICATIONS, D'IDENTIFICATION DES UTILISATEURS, DE SENSIBILISATION DES UTILISATEURS ET D'UNE MANIÈRE D'AUGMENTER LA VISIBILITÉ SUR LE CONTRÔLE DU WEB POUR LES ADMINISTRATEURS.
  • 29.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 04 FUITES DE DONNÉES DANS VOTRE RÉSEAU Les données des entreprises : leur bien le plus précieux Les données des entreprises sont de plus en plus accessibles et transmissibles que jamais auparavant, et la majorité des données sont confidentielles. Certaines sont confidentielles car elles contiennent tout simplement des données internes à l'entreprise qui ne sont pas destinées à être communiquées publiquement. D'autres sont également confidentielles pour desraisonsdeconformitéaveclapolitiquedel'entreprise,etdes législations nationales et internationales. Dans de nombreux cas, la valeur des données dépend de leur confidentialité. C'est le cas notamment de la propriété intellectuelle et des informations sur les concurrents de l'entreprise. Pour complexifier encore plus les choses, au-delà de la gravité des fuites de données, nous disposons maintenant d'outils et depratiquesquifacilitentencoreplusleserreursirréversibles : serveurs dans le cloud, Google docs, et tout simplement le non respect des procédures de l'entreprise, lorsque des employés emportent par exemple leur travail à domicile. En fait, la plupart des cas de fuites de données se produisant sont des fuites involontaires. Les fuites de données peuvent arriver à tout le monde Desfuitesdedonnéespeuventêtreprovoquéesnonseulement par des cybercriminels, mais également involontairement par des employés. Un document confidentiel peut être envoyé par erreur à la mauvaise personne, partagé sur un site public, ou envoyé sur un compte de messagerie personnelle non autorisé. N'importe lequel de ces scénarios peut se arriver à chacun d'entre nous, avec des conséquences désastreuses. Les fuites de données confidentielles portent préjudice à l'image de l'entreprise, entraînent des non-conformités et même de lourdes amendes. Notre étude Lorsque des entreprises doivent préciser les données qui ne devraient pas sortir de l'entreprise, de nombreuses variables doivent être prises en compte. De quel type de données s'agit- il ? Qui en est le propriétaire ? Qui en est l'expéditeur ? Qui est le destinataire prévu ? Quand sont-elles envoyées ? Quel est le coût de l'interruption des processus métiers lorsque la politique de sécurité est plus stricte que nécessaire ? DES ENTREPRISES DE NOTRE ÉTUDE ONT SUBI AU MOINS UN INCIDENT POTENTIEL DE FUITE DE DONNÉES 54%
  • 30.
    031 Nous avons analysédans notre étude le trafic transitant de l'intérieurversl'extérieurdesentreprises.Nousavonsexaminé le trafic HTTP et SMTP. Par exemple, dans le cas d'emails envoyés à un destinataire externe, des appareils Check Point ontinspectélecorpsdumessage,lesdestinatairesetlespièces jointes(mêmecompressées).Nousavonségalementinspecté les activités web, telles que la publication de messages et les webmails. Comme règles de sécurité sur ces appareils, nous avons choisi les types de données prédéfinis par défaut pour détecter les données confidentielles, les formulaires et les modèles (tels que numéros de cartes de paiement, code source, données financières et autres) pouvant constituer des fuites de données potentielles si elles tombaient dans de mauvaises mains. Une liste détaillée des types de données est disponible dans l'Annexe D. Fuites de données potentielles dans votre entreprise Nos recherches ont montré que dans 54 % des entreprises, au moins un événement de sécurité relevant potentiellement Voici quelques exemples de fuites de données provoquées involontairement par des employés en 2012 : En october 2012, le conseil municipal de Stoke- on-Trent au Royaume-Uni a été condamné à verser une amende de 120 000 livres après la découverte de l'envoi d'informations confidentielles à la mauvaise adresse par un membre de son service juridique. Onze emails destinés à un avocat travaillant sur un dossier ont été envoyés à une autre adresse email suite à une faute de frappe. Le journal japonais Yomiuri Shimbun a licencié un de sesjournalistesenoctobre2012pouravoiraccidentellement envoyé les informations confidentielles d'une enquête aux mauvais destinataire. Le journaliste avait l'intention d'envoyer les résultats de ses recherches à des collègues par email, mais a envoyé les messages à plusieurs bureaux de presse à la place, dévoilant ainsi l'identité de ses sources24 . En avril 2012, l'Institut militaire de Virginie à Lexington aux États-Unis a involontairement envoyé les notes des étudiants sous forme de pièce jointe. Un email a été envoyé au président de classe contenant une feuille de calcul révélant les notes de chaque senior. Ignorant de la présence de la pièce jointe, le président a ensuite transmis le message à 258 étudiants. L'intention initiale était d'envoyer unemailavecunefeuilledecalculnecontenantquelesnoms et adresses postales des étudiants afin qu'ils confirment leurs coordonnées25 . L'Université A&M du Texas a envoyé par accident un email avec une pièce jointe contenant les numéros de sécuritésociale,nomsetadressesde4 000 anciensétudiants, qui ont ensuite informé l'université de son erreur. L'accident s'est produit en avril 201226 . OUPS... J'AI ENVOYÉ L'EMAIL À LA MAUVAISE ADRESSE 61 % Finance 50 % Industrie 45 % Télécommunication 33 % Conseil 54 % Autres 70 % Admin. pub. Pourcentage d'entreprises avec au moins un événement de fuite de données potentielle par secteur d'activité (% des entreprises) Graphique 4-Aׁ Source:CheckPointSoftwareTechnologies
  • 31.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 04 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU 032 d'une fuite de données se produit en moyenne tous les 6 jours. Nous avons pris en compte des événements liés à des informations internes (voir la liste des types de données dans l'Annexe D) envoyées à des ressources externes, soit par l'envoi d'un email à un destinataire externe ou la publication d'un message en ligne. Nos recherches montrent que les administrations publiques et les entreprises du secteur financier sont les plus exposées aux risques de fuites de données (voir graphique 4-A). Emails internes envoyés à l'extérieur de l'entreprise Dans de nombreux cas, des fuites de données se produisent involontairement lorsque des employés envoient des emails aux mauvais destinataires. Nous avons analysé deux types d'email pouvant relever de tels cas. Le premier type comprend des emails envoyés à des destinataires internes visibles (champs À et CC) et des destinataires externes dans le champ BCC. Dans la plupart des cas, ces emails semblent internes mais sortent effectivement de l'entreprise. Le second type comprend des emails envoyés à plusieurs destinataires internes et un seul destinataire externe. De tels emails sont généralement envoyés involontairement au mauvais destinataire externe. Des événements de ces deux types se sont produits dans 28 % des entreprises étudiées. Quels sont les types de données envoyés par les employés à des destinataires externes ou publiés en ligne ? Le graphique 4-C montre les principaux types de données envoyéesàdestiersàl'extérieurdel'entreprise.Lesinformations sur les cartes de paiement sont en tête de liste, suivis des codes source et des fichiers protégés par mot de passe. Votre entreprise est-elle conforme à PCI ? Les employés envoient leur propre numéro de carte de paiement et ceux de leurs clients sur Internet. Ils envoient des reçus de paiement des clients contenant leur numéro de carte de paiement sous forme de pièces jointes. Ils répondent aux emails des clients contenant initialement leur numéro de carte de paiement dans le corps du message. Ils envoient même quelquefois des feuilles de calcul contenant des donnés client à des comptes de messagerie personnels ou des partenaires commerciaux. Les incidents liés aux numéros de cartes de paiement sont souvent le résultat d'un processus métier défaillant ou d'une inattention. Ces incidents peuvent également indiquer que la politique de sécurité de l'entreprise ne répond pas aux objectifs de sensibilisation à la sécurité et d'utilisation prudente des ressources de l'entreprise. De plus, l'envoi de numéros de cartes de paiement sur Internet n'est pas conforme à la norme PCI DSS stipulant que les données des titulaires de cartes de paiement doivent être chiffrées lors des transmissions sur des réseaux publics ouverts. La non conformité à la norme PCI DSS peut nuire à la réputation de l'entreprise, et entraîner des poursuites et des dédommagements, des annulations de contrats, des problèmes de cartes de paiement et des amendes. 36 % Finance 26 % Industrie 18 % Télécommunication 11 % Conseil 26 % Autre 47 % Admin. pub. Pourcentage d'entreprises par secteur dans lesquelles des informations de cartes de paiement ont été envoyées à des ressources externes (% des entreprises) DANS 28 % DES ENTREPRISES, UN EMAIL INTERNE A ÉTÉ ENVOYÉ À UN DESTINATAIRE EXTERNE Graphique 4-B Source:CheckPointSoftwareTechnologies
  • 32.
    DONNÉES ENVOYÉES À L'EXTÉRIEURDE L'ENTREPRISE PAR DES EMPLOYÉS Source:CheckPointSoftwareTechnologies Graphique 4-C ÉES À 'ENTREPRISE YÉS 29 % Inform ationsdecartesdepaim ent 13% Informationsderémunération 14 %Fichier protégé par mot de passe 24 % Code source 7 %Email désigné comme étant confidentiel 21%Autre 6% Dossiersd'entreprise 3%Numérosdecomptes (% des entreprises) DES ENTREPRISES DU SECTEUR FINANCIER ONT ENVOYÉ DES INFORMATIONS DE CARTES DE PAIEMENT À L'EXTÉRIEUR DE L'ENTREPRISE 36%
  • 33.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 04 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU Nous avons inspecté le trafic sortant des entreprises et analysé le contenu de tous les messages, y compris les pièces jointes et les archives, à la recherche de numéros de cartes de paiement ou de données sur leurs titulaires. Les analyses utilisent des expressions régulières, la validation des sommes de contrôle, et les règles de conformité aux normes PCI DSS. Dans 29 % des entreprises, au moins un événement a été découvert, indiquant que des informations liées à PCI ont été envoyées à l'extérieur de l'entreprise. Dans 36 % des entreprises du secteur financier, qui sont généralement obligées d'être conformes aux normes PCI, au moins un événement s'est produit. HIPAA Les règles de confidentialité HIPAA aux États-Unis ont pour objectif de protéger les informations de santé et donner aux patients un certain nombre de droits quant à ces informations. Elles permettent cependant de communiquer des informations de santé lorsque cela est requis pour le traitement des patients ou autre nécessité.27 Elles permettent aux organismes de santé d'utiliser la messagerie électronique pour discuter des problèmes de santé avec leurs patients, à condition de mettre en place des garde-fous raisonnables. Le chiffrement n'est pas obligatoire, cependant, un niveau de confidentialité raisonnable doit être garanti.Commentlaisserlecanaldecommunicationouvertavec lespatientsetlespartenairestoutenprotégeantlaconfidentialité et en maintenant la conformité avec HIPAA ? Nous avons surveillé le trafic sortant des entreprises tout en analysant les emails et les pièces jointes, à la recherche d‘informations privées sur les patients, par identification des données personnelles (telles que des numéros de sécurité sociale) et des termes médicaux. Dans 16 % des entreprises de santé et d‘assurance, des informations confidentielles sont envoyées à l'extérieur des entreprises, à des destinataires externes ou publiées en ligne. RECOMMANDATIONS DE SÉCURITÉ Dans un monde où les pertes de données sont un phénomène croissant, les entreprises doivent se charger elles-mêmes de la protection de leurs données confidentielles. La meilleure solution pour empêcher les fuites de données involontaires consiste à implémenter des règles de sécurité automatiques qui détectent les données protégées avant qu'elles ne quittent l'entreprise. Une telle solution est appelée « prévention des pertes de données » (DLP). Les produits de DLP intègrent un ensemble complet de fonctionnalités, et les entreprises disposent de plusieurs options pour les déployer. Avant de déployer une solution de DLP, les entreprises doivent développer des stratégies précises avec des critères concrets précisant ce qui est considéré comme étant des informations confidentielles, qui peut les envoyer, etc. DES ENTREPRISES DES SECTEURS DE LA SANTÉ ET DES ASSURANCES, DES INFORMATIONS CONFIDENTIELLES ONT ÉTÉ ENVOYÉES À L'EXTÉRIEUR DE L'ENTREPRISE 16%DANS
  • 34.
    035 CHECK POINT -RAPPORT SÉCURITÉ 2013 04 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU Moteur de classification des données L'identification fiable des données confidentielles est un composant essentiel de la solution de DLP, qui doit être en mesure de détecter les informations personnellement identifiables, les données de conformité, et les données confidentielles. Elle doit inspecter les flux de contenus et appliquer les règles de sécurité dans les protocoles TCP les plus utilisés et les webmail. Elle doit également effectuer des analyses reposant sur des correspondances avec des modèles et desclassificationsdefichiers,pouridentifierlestypesdecontenu quelquesoitl'extensiondesfichiersetleurcompression. De plus, la solution de DLP doit être en mesure de reconnaître et protéger les formulaires confidentiels, selon des modèles prédéfinis et la correspondance fichiers/formulaire. Une fonctionnalitéimportantedelasolutiondeDLPestlapossibilité de créer des types de données personnalisés en plus des types de données fournis par l'éditeur, pour maximiser la souplesse. Autoremédiation des incidents Les solutions de DLP traditionnelles peuvent détecter, classifier et même reconnaître des documents spécifiques et différents typesdefichiers,maisellesnepeuventdéterminerl'intentiondes utilisateurs lorsqu'ils partagent des informations confidentielles. Latechnologieseulen'estpassuffisantecarellenepeutidentifier cette intention et prendre les décisions qui s'imposent. Ainsi, une bonne solution de DLP doit engager les utilisateurs en leur permettant de remédier eux-mêmes aux incidents en temps réel. Elle doit informer les utilisateurs que leurs actions peuvent provoquer des fuites de données, et leur permettre de stopper leurs actions ou de les effectuer malgré tout. La sécurité est amélioréegrâceàlasensibilisationauxpolitiquesd'utilisationdes données, en alertant les utilisateurs d'erreurs potentielles et en leurpermettantd'yremédierimmédiatement,toutenautorisant les communications légitimes. L'administration est également simplifiée, car les administrateurs peuvent suivre les événements de DLP pour les analyser, sans qu‘il leur soit nécessaire de traiter en temps réel les demandes d'envoi de données vers l'extérieur. Protection contre les fuites de données internes UneautrefonctionnalitéimportantedelaDLPestlapossibilité d'empêcher les fuites de données internes, en inspectant et en contrôlant les emails confidentiels entre départements. Des règles de sécurité peuvent être définies pour empêcher des données confidentielles d'atteindre les mauvais départements, notamment les schémas de rémunération, les documents confidentiels de ressources humaines, les documents de fusions/acquisitions et les formulaires médicaux. Protection des données sur disques durs Les entreprises doivent protéger les données des ordinateurs portables pour compléter leur politique de sécurité. Sans protection des données, des tiers malintentionnés peuvent obtenir des données importantes en cas de perte ou de vol des ordinateurs portables, et entraîner des répercussions juridiques et financières. Une solution appropriée doit empêcher les utilisateurs non autorisés d'accéder aux informations en chiffrant les données sur tous les disques durs des postes de travail, y compris les données utilisateur, les fichiers du système d'exploitation, les fichiers temporaires et les fichiers supprimés. Protection des données sur supports amovibles Pour empêcher les données d'entreprise de tomber dans de mauvaises mains via des périphériques de stockage USB et autres supports amovibles, le chiffrement et la prévention des accès non autorisés sont nécessaires sur ces appareils. Les employés combinent souvent des fichiers personnels (musique, photos et documents) avec des fichiers professionnels sur des supports amovibles,cequirendencoreplusdifficilelecontrôledesdonnées d'entreprise.Lesfuitesdedonnéespeuventêtre minimiséesparle chiffrement des appareils de stockage amovibles. Protection des documents Des documents d'entreprise sont régulièrement stockées sur le web, envoyés sur des smartphones personnels, copiés sur des supportsamoviblesetpartagésavecdespartenairescommerciaux externes.Chacunedecesopérationsmetlesdonnéesendanger : risques de fuites, d'utilisation malintentionnée, ou d'accès par des individus non autorisés. Pour protéger les documents d'entreprise, la solution de sécurité doit pouvoir les chiffrer via des règles de sécurité et contrôler leur accès. Gestion des événements La définition de règles de DLP répondant à la politique d'utilisation des données de l'entreprise doit s'accompagner de solides fonctions de supervision et de reporting. Pour minimiser les fuites de données potentielles, la solution de sécurité doit intégrer la surveillance et l'analyse des événements de DLP passés et en temps réel, pour apporter une visibilité claire et étendue sur les informations envoyées à l'extérieur et leurs sources, et la possibilité d'agir en temps réel si nécessaire.
  • 35.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 036 2 600 ans plus tard, la même approche est parfaitement adaptée à la lutte contre la cyberguerre. La meilleure sécurité est obtenue par l'harmonisation des différentes couches de protection du réseau pour lutter contre les différents angles des menaces. Ce rapport a couvert les différents aspects des risques de sécurité que Check Point a détecté dans un grand nombre d'entreprises. Il a montré que les bots, les virus, les failles et les attaques sont une menace réelle et constante pour les entreprises. Le rapport a ensuite montré que certaines applications web utilisées par les employés peuvent compromettre la sécurité du réseau. Enfin, il a montré que les employés effectuent involontairement de nombreuses actions pouvant entraîner des fuites de données confidentielles. Pour votre stratégie de sécurité : la technologie seule n'est pas suffisante L'approche de Check Point pour obtenir le niveau de sécurité requis pour protéger une entreprise reconnaît que la technologie seule n'est pas suffisante. La sécurité doit évoluer d'une simple superposition de technologies et de pratiques vers un processus métier efficace. Check Point recommande aux entreprises de considérer trois dimensions lorsqu'elles déploient une stratégie et une solution de sécurité : les règles de sécurité, le facteur humain, et la mise en application des règles de sécurité. Les règles de sécurité Une politique de sécurité bien définie, largement comprise et étroitementalignéesurlesbesoinsetlastratégiedel'entreprise, plutôt qu'un assemblage de technologies disparates et de vérifications au niveau des systèmes, est le point d'entrée de la sécurité. Les règles de sécurité devraient prendre en compte les priorités de l'entreprise et suggérer des moyens d'assurer son activité dans un environnement sécurisé. Par exemple, durant notre étude, nous avons découvert que certains employés utilisent des applications web nécessaires à leur métier mais qui peuvent également compromettre la sécurité. Si nous déployons uniquement des technologies qui bloquent de telles applications web, le résultat serait des plaintes en masse auprès des administrateurs de sécurité, ou pire encore, les employés trouveraient des moyens de contourner les règles de sécurité, créant ainsi encore plus de problèmes. Au lieu de cela, Check Point recommande la création d'une politique de sécurité qui reconnaît les cas d'utilisation de telles applications et définit une procédure permettant leur utilisation de manière sécurisée. Les utilisateurs devraient être informés automatiquement de toute application nécessaire des règles de sécurité. Le facteur humain Les utilisateurs des systèmes informatiques font partie intégrante du processus de sécurité. Ce sont souvent les utilisateurs qui commettent des erreurs provoquant des infections de logiciels malveillants et des fuites de données. Les entreprises doivent s'assurer que les utilisateurs sont impliqués dans le processus de sécurité. Les employés NOUS CONCLUONS CE RAPPORT PAR UNE AUTRE CITATION DE SUN TZU TIRÉE DE L'ART DE LA GUERRE : UN CONSEIL POUR UN GÉNÉRAL D'ARMÉE : « UNE FOIS SON ARMÉE CONSTITUÉE, SES FORCES FOCALISÉES, IL DOIT MIXER LES DIFFÉRENTS ÉLÉMENTS ET HARMONISER L’ESPRIT DE SES TROUPES AVANT DE CHOISIR UN LIEU DE CAMPEMENT »28 05 RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ
  • 36.
    037 CHECK POINT -RAPPORT SÉCURITÉ 2013 05 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ doivent être informés et sensibilisés à la politique de sécurité, et ce qui est attendu d'eux lorsqu'ils surfent sur Internet ou partagent des données confidentielles. La sécurité devrait être aussi transparente que possible, sans modifier leur façon de travailler. L'implémentation d'un programme de sécurité devrait comprendre : • Un programme de formation garantissant que tous les utilisateurs sont conscients que les systèmes sont potentiellement vulnérables à des attaques et que leurs actions peuvent les favoriser ou les empêcher. • De la technologie indiquant aux employés en temps réel que certaines actions sont risquées et comment les effectuer de manière sécurisée. La mise en application des règles de sécurité Le déploiement de solutions technologiques de sécurité telles que des passerelles de sécurité et des logiciels de protection de postes est vital pour protéger les entreprises des failles et des fuites de données. Des passerelles de sécurité devraient être installées à tous les points de connexion pour garantir que seul le trafic approprié et autorisé entre ou sort de l'entreprise. Cette validation devrait être effectuée à tous les niveaux de la sécurité et sur toutes les communications, protocoles, méthodes, requêtes, réponses et charges, à l'aide de solutions de sécurité telles que : pare-feu, contrôle des applications, filtrage des URL, prévention des fuites de données, prévention des intrusions, antivirus et antibot.
  • 37.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 038 Check Point Software Technologies Ltd. (www.checkpoint. com), le leader mondial de la sécurité sur Internet, assure aux clients un niveau optimal de protection contre tous les types de menaces, simplifie l'installation et la maintenance des dispositifs de sécurité, et réduit leur coût total de possession. Précurseur de la technologie Firewall-1 et du standard de la sécurité des réseaux Stateful Inspection, Check Point est toujours à la pointe de la technologie. Check Point continue d'innover, notamment via l'Architecture Software Blades, et propose aujourd'hui des solutionsàlafoisfiables,flexiblesetsimplesd'utilisation,pouvant être totalement personnalisées pour répondre aux besoins spécifiques de chaque entreprise. Check Point est le seul éditeur quitransformelasécuritéenunvéritableprocessusmétier.Check Point 3D Security combine le facteur humain, la politique de sécurité et sa mise en application, pour une protection renforcée des données, et aide les entreprises à implémenter des plans de sécurité qui s'alignent avec leurs besoins. Check Point compte parmisesclientstouteslessociétésfigurantdansleslistesFortune 100etGlobal100,ainsiquedesdizainesdemilliersd'entreprises de toute taille. Les solutions ZoneAlarm de Check Point protègentlesPCdemillionsdeparticulierscontrelespirates,les logicielsespionsetlesvolsdedonnées. Check Point 3D Security Check Point 3D Security redéfinit la sécurité comme étant un processus métier tridimensionnel combinant le facteur humain, la politique de sécurité et sa mise en application, pour une protection renforcée et étendue à l'ensemble des couches de sécurité – y compris le réseau, les données et les postes. Pour parvenir au niveau de protection requis en ce 21ème siècle, la sécurité doit évoluer d'une simple superposition de technologies versunprocessusmétierefficace.Avec3DSecurity,lesentreprises peuvent implémenter un schéma de sécurité allant bien au-delà du cadre de la technologie pour garantir l'intégrité des systèmes informatiques. Check Point 3D Security permet aux entreprises de redéfinir la sécurité en intégrant les dimensions suivantes au sein d'un processus: Architecture Software Blade de Check Point Outil clé d'une véritable sécurité complète, l'Architecture Software Blades de Check Point permet aux entreprises d'appliquer des règles de sécurité tout en y sensibilisant les utilisateurs.L'architectureSoftwareBladeestlatoutepremière et la seule architecture de sécurité offrant une protection complète, souple et administrable, aux entreprises de toute taille. De plus, l'Architecture Software Blade de Check Point étend les services de sécurité à la demande, rapidement et de manière souple, pour faire face aux nouvelles menaces ou à de nouveaux besoins, sans ajouter de nouveaux équipements et sans rendre l'ensemble plus complexe à administrer. Toutes les solutions sont administrées de manière centralisée à partir d'une console unique réduisant la complexité et les coûts de fonctionnement. Une protection multicouche est essentielle aujourd'hui pour combattre les menaces dynamiques telles que bots, chevaux de Troie et menaces persistantes avancées (APT). Les pare-feux ressemblent de plus en plus à des passerelles multifonction, mais toutes les entreprises n'ont pas besoin des même fonctions de sécurité. Elles recherchent une souplesse et un contrôle sur leurs ressources de sécurité. Les blades sont des applications de sécurité ou des modules tels que pare-feu, réseau privé virtuel (VPN), système de La mise en application, la consolidation et le contrôle de toutes les couches de sécurité : réseau, données, applications, contenus et utilisateurs Une sécurité intégrant le facteur humain dans la définition de la politique de sécurité, la sensibilisation des utilisateurs et la résolution des incidents Des politiques de sécurité qui prennent en charge les besoins de l'entreprise et transforment la sécurité en un processus métier 06 À PROPOS DE CHECK POINT SOFTWARE TECHNOLOGIES
  • 38.
    039 CHECK POINT -RAPPORT SÉCURITÉ 2013 06 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ prévention d'intrusions (IPS), ou contrôle des applications pour n'en citer que quelques un, indépendantes, modulaires et administrées de manière centralisée. Elles permettent aux entreprises d'adapter leur configuration de sécurité afin d'obtenirunéquilibreparfaitentresécuritéetinvestissement. Les blades peuvent être rapidement activées et configurées sur n'importe quelle passerelle et système d'administration, d'un simple clic de souris, sans qu'il soit nécessaire de faire évoluer le matériel, le micro-logiciel ou les pilotes. En cas d'évolution des besoins, des blades supplémentaires peuvent être facilement activées pour étendre la sécurité d'une configuration existante sur le même équipement de sécurité. Check Point propose une administration centralisée des événements pour tous les produits Check Point y compris les systèmes tiers. La visualisation des événements en temps réel permet de saisir rapidement la situation de la sécurité et agir en conséquence, depuis une console unique. L'affichage sous forme de chronologie permet de voir les tendances et la propagation des attaques. L'affichage sous forme de graphique fournit des statistiques en camembert ou en barres. L'affichage sous forme de carte permet d'identifier les menaces potentielles par pays. Check Point Security Gateway SmartDashboard. Écran d'activation des blades Administration des événements de sécurité Check Point SmartEvent. Visibilité en temps réel.
  • 39.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 06 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ 040 Renseignements de sécurité en temps réel ThreatCloud™ ThreatCloud est un réseau collaboratif et une base de connaissances dans le cloud qui fournit des renseignements dynamiques de sécurité en temps réel aux passerelles de sécurité. Ces renseignements sont utilisés pour identifier les foyers émergents et les tendances des menaces. ThreatCloud et la blade Anti-Bot permettent aux passerelles d'analyser les adresses IP, DNS et URL continuellement changeantes des serveurs de commande et de contrôle connus. Comme le traitement est fait dans le cloud, des millions de signatures de logiciels malveillants peuvent être analysées en temps réel. La base de connaissances ThreatCloud est mise à jour dynamiquement via des données provenant de passerelles à traverslemonde,d'unréseaumondialdecapteursdemenaces, des laboratoires de recherche de Check Point et des meilleurs flux antimalwares du marché. Les données corrélées sur les menaces sont ensuite partagées collectivement entre toutes les passerelles. Appliances Check Point Dans les environnements réseau actuels, les passerelles de sécurité sont plus que des pare-feux. Ce sont des équipements de sécurité qui doivent faire face à un nombre toujours croissant de menaces sophistiquées. Elles doivent faire appel à différentes technologies pour contrôler les accès au réseau, détecter les attaques sophistiquées et fournir des fonctionnalités de sécurité supplémentaires, telles que la prévention des pertes de données et la prévention contre les attaques provenant du web, et sécuriser un nombre croissant d'appareils mobiles tels qu'iPhone et tablettes utilisés dans l'entreprise. Ces menaces et ces fonctions de sécurité avancées nécessitent des appliances de sécurité performantes et polyvalentes. Grâce à Check Point GAiA, le système d'exploitation de future génération, les appliances Check Point combinent des possibilités multicœur haute performance avec des technologies réseau rapides afin de proposer une sécurité de haut niveau pour les données, le réseau et les employés. Optimisées pour l'architecture Software Blades, chaque appliance est en mesure d'intégrer n'importe quelle combinaison de blade, dont les blades Firewall, IPsec VPN, IPS, Application Control, Mobile Access, DLP, URL Filtering, Anti-Bot, Antivirus, Anti-spam, Identity Awareness et Advanced Networking & Clustering, pour fournir la souplesse et le niveau de sécurité précis pour toute entreprise et à tout niveau du réseau. En consolidant plusieurs technologies de sécurité dans un passerelle de sécurité unique, les appliances sont conçues pour fournir des solutions de sécurité intégrées et avancées répondant à tous les besoins en sécurité des entreprises. Lancé en août 2011, SecurityPower™ est un indice de mesure de la capacité d'une appliance à effectuer plusieurs fonctions avancées de sécurité dans un volume de trafic spécifique. Il fournit un référentiel révolutionnaire qui permet aux clients de sélectionner l'appliance de sécurité appropriée à leur scénario de déploiement spécifique. Les indices SecurityPower reposent sur du trafic réel, plusieurs fonctions de sécurité et des politiques de sécurité typiques. Appliance Check Point 61000
  • 40.
    041 CHECK POINT -RAPPORT SÉCURITÉ 2013 06 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ Protection des postes Check Point Les blades Check Point Endpoint Security fournissent une souplesse, un contrôle et une efficacité sans précédent pour le déploiement et l'administration de la protection des postes. Les responsables informatiques peuvent choisir parmi six blades Endpoint Security pour déployer uniquement la protection requise, avec la possibilité de pouvoir renforcer la protection à tout moment. La blade Full Disk Encryption (chiffrement des disques) protège automatiquement et en toute transparence les données situées sur les disques durs des postes. L’authentification multifacteur avant l’initialisation garanti l'identité des utilisateurs. La blade Media Encryption (chiffrement des supports) permet une mise en application granulaire et centralisée du chiffrement des supports de stockage amovibles, avec la possibilité de ne chiffrer que les données liées à l'activité de l'entreprise tout en engageant et en sensibilisant les utilisateurs. La blade Remote Access VPN (VPN avec accès distant) fournit aux utilisateurs un accès sécurisé et transparent au réseau et aux ressources de l'entreprise, lorsqu'ils sont en déplacement ou travaillent à distance. La blade Anti-Malware and Program Control (antimalwares et contrôle des programmes) détecte et supprime efficacement en une seule analyse les logiciels malveillants. Le contrôle des programmes garantit que seuls les programmes légitimes et approuvés sont utilisés sur les postes. La blade Firewall and Security Compliance Verification (pare-feu et vérification de la conformité) protège le trafic entrant et sortant de manière proactive afin d'empêcher des logiciels malveillants d'infecter les systèmes des postes, bloque les attaques et stoppe le trafic indésirable. La vérification de la conformité garantit que les postes sont toujours conformes à la politique de sécurité définie dans l'entreprise. La blade WebCheck Secure Browsing (sécurisation de la navigation web) protègent contre les toutes dernières menaces web, y compris les téléchargements automatiques, les sites de phishing et les attaques « zero- day ». Les sessions du navigateur sont exécutées dans un environnement virtuel sécurisé. Client Check Point Endpoint Security
  • 41.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 042 A Cette annexe fournit des informations complémentaires sur les principaux logiciels malveillants décrits dans notre étude. La base de données complète de Check Point sur les logiciels malveillants est disponible à l'adresse threatwiki.checkpoint. com Zeus est un bot ouvrant des portes dérobées sur la plate- forme Windows. Une porte dérobée est une méthode permettant de contourner les procédures d'authentification. Lorsqu'un système est compromis, une ou plusieurs portes dérobées peuvent être installées pour faciliter un accès ultérieur29 . Nos recherches ont permis de découvrir des bots Zeus générés par la boîte à outils Zeus version 2.0.8.9. Zeus est une famille de chevaux de Troie bancaires disposant d'un nombre considérable de versions et de variantes. Ce logiciel malveillant permet à des agresseurs d'accéder à distance à des systèmes infectés. Son objectif principal est le vol des identifiants bancaires des utilisateurs pour accéder à leur compte bancaire. Zwangi est un logiciel publicitaire ciblant la plate-forme Microsoft Windows. Il s'installe en tant qu'objet d'un navigateur dans un système infecté. Il peut éventuellement créerunebarred'outilspersonnaliséedansInternetExplorer et présenter à l'utilisateur des publicités indésirables. Ce logiciel malveillant infecte des systèmes via des bundles logiciels. Sality est un virus se diffusant par infection et modification de fichiers exécutables, et en se recopiant sur des disques amovibles et des dossiers partagés. Kuluoz estunbotciblantlaplate-formeMicrosoftWindows. Ce bot est envoyé dans des messages de spam provenant prétendument des services postaux américains. Il envoie des informations système et reçoit en retour des instructions de la part d'un serveur distant pour télécharger et exécuter des fichiers malveillants sur les ordinateurs infectés. De plus, il ajoute des informations à la base de registre pour s'exécuter après redémarrage de l'ordinateur. Juasek est un bot ouvrant des portes dérobées sur la plate- forme Windows. Ce logiciel malveillant permet à des agresseurs distants et non authentifiés d'effectuer des actions malveillantes, telles que l'ouverture de l'invite de commande, le téléchargement de fichiers, la création de nouveaux processus, l'arrêt de processus, la recherche/création/ suppression de fichiers et la collecte d'informations système. Il s'installe également sous forme de service pour rester actif après redémarrage des ordinateurs infectés. Papras est un cheval de Troie bancaire ciblant la plate-forme Windows 32 et 64 bits. Ce logiciel malveillant envoie des informations système et demande des informations de configuration à un hôte distant. Il détourne les fonctions réseau et surveille les activités en ligne des utilisateurs pour dérober des informations financières confidentielles. De plus, sa fonctionnalité de création de porte dérobée donne à des agresseurs distants un accès non autorisé aux ordinateurs infectés. Les commandes acceptées comprennent le téléchargement d'autres fichiers malveillants, la collecte de cookies et d'informations sur les certificats, le redémarrage et l'arrêt du système, l'envoi de journaux, la prise de captures d'écran, la configuration d'une connexion à un hôte distant pour d'autres activités, etc. Papras s'injecte dans des processus et injecte éventuellement d'autres fichiers malveillants dans les processus ciblés. ANNEXE A : PRINCIPAUX LOGICIELS MALVEILLANTS
  • 42.
    043 CHECK POINT -RAPPORT SÉCURITÉ 2013 B ANNEXE B : PRINCIPALES APPLICATIONS À HAUT RISQUE Cette annexe fournit des informations complémentaires sur les principales applications décrites dans notre étude. La base de données complète de Check Point sur les applications est disponible à l'adresse threatwiki.checkpoint.com Anonymiseurs Tor est une application prévue pour garantir l'anonymat en ligne. Le logiciel client Tor redirige le trafic Internet vers un réseau mondial de serveurs bénévoles pour masquer la localisation géographique et les activités des utilisateurs de toute surveillance ou analyse du trafic réseau. L'utilisation de Tor complique la traçabilité des activités Internet jusqu'à ses utilisateurs, y compris pour les visites sur des sites web, les publications en ligne, les messages instantanés et autres formes de communication. CGI-Proxy est une interface-passerelle. Il s'agit d'une page web permettant à ses utilisateurs d'accéder à un site différent. Les protocoles pris en charge sont HTTP, FTP et SSL. Hopster est une application permettant de contourner des pare-feux et des proxies, pour surfer et communiquer de manière anonyme. Hide My Ass est un proxy web gratuit masquant l'adresse IP de ses utilisateurs pour leur permettre de se connecter à des sites web de manière anonyme. Hamachi est un réseau privé virtuel. Il est utilisé pour établir des connexions sur Internet émulant la connexion sur un réseau local. Ultrasurf est un proxy gratuit permettant à ses utilisateurs de contourner des pare-feux et des logiciels de blocage des contenus Internet. OpenVPN est un logiciel open source gratuit qui implémente des techniques de réseau privé virtuel pour créer des connexions sécurisées de point à point ou de site à site, dans des configuration routage ou pont, et des sites distants. Partage de fichiers en P2P BitTorrent estunprotocoledecommunicationpourlepartage de fichiers de pair à pair. C'est une méthode de distribution étendue de grandes quantités de donnée ne nécessitant pas pour l'émetteur initial la prise en charge de la totalité du coût en termes de matériel, d'hébergement et de bande passante. Lorsque les données sont diffusées à l'aide du protocole BitTorrent,chaquedestinatairefournitunepartiedesdonnées à d'autres destinataires, ce qui réduit ainsi le coût et la charge de chaque source individuelle, permet une redondance contre les problèmes système, et réduit la dépendance à l'émetteur initial. Il existe de nombreux clients BitTorrent créés à l'aide de différents langages de programmation et fonctionnant sur différentes plates-formes. eMule est une application de partage de fichiers de pair à pair se connectant aux réseaux eDonkey et Kad. Le logiciel permet le partage direct des sources entre les clients, la récupération de téléchargements corrompus, et comprend l'utilisation d'un système de crédit pour récompenser les gros fournisseurs. eMule transmet des données compressées pour économiser la bande passante. Soulseek est une application de partage de fichiers de pair à pair. Elle est principalement utilisée pour partager de la musique, même si ses utilisateurs sont en mesure de partager d'autres types de fichiers. Gnutellaestunréseaupopulairedepartagedefichiersetundes protocoles P2P les plus populaires utilisé par des applications telles que BearShare, Shareaza, Morpheus et iMesh. Il est communément utilisé pour partager des fichiers musicaux au format MP3, des vidéos, des applications et des documents. Sopcast est une application de streaming via réseaux P2P. Sopcast permet à ses utilisateurs de diffuser des contenus à d'autres utilisateurs ou de regarder les contenus diffusés par d'autres utilisateurs.
  • 43.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 044 Applications de stockage et de partage de fichiers Dropbox est une application permettant à ses utilisateurs de partager des fichiers. Dropbox est le service d'hébergement de fichiers proposé par la société Dropbox, Inc. avec stockage dans le cloud, synchronisation des fichiers et logiciel client. En bref, Dropbox permet à ses utilisateurs de créer un dossier spécial sur leur ordinateur, avec lequel Dropbox se synchronise afin qu'il soit identique (même contenu) quel que soit l'ordinateur utilisé pour le consulter. Les fichiers placés dans ce dossier sont également accessibles via un site web et une application mobile. Windows Live Office est un outil en ligne de stockage, d'édition et de partage de documents Microsoft Office, créé par Microsoft. Grâce aux applications Office Web Apps, les utilisateurs peuvent créer, visualiser, éditer, partager et collaborer sur des documents, feuilles de calcul et notes en ligne, en tout lieu via une connexion Internet. Curl est un outil en ligne de commande permettant à ses utilisateurs de transmettre des données à l'aide d'une syntaxe de type URL. Il prend notamment en charge les protocoles FILE, FTP, HTTP, HTTPS et les certificats SSL. YouSendIt est un service d'expédition numérique de fichiers. Le service permet à ses utilisateurs d'envoyer, recevoir et suivre des fichiers à la demande. Outils d'administration à distance RDP (Remote Desktop Protocol) est une application propriétaire développée par Microsoft fournissant à ses utilisateurs une interface vers d'autres ordinateurs. Team Viewer permet à ses utilisateurs de contrôler des ordinateurs distants à l'aide d'un logiciel client ou en s'identifiant sur un site web. LogMeIn est une suite de services logiciels fournissant un accès à distance à des ordinateurs sur Internet. Les différentes versions du produit sont prévues pour des utilisateurs finaux ou des professionnels des services d'assistance. Les produits d'accès à distance LogMeIn utilisent un protocole RDP propriétaire transmis sur SSL. Les utilisateurs accèdent à des postes distants à l'aide d'un portail web ou de l'application LogMeIn Ignition. VNC est un logiciel composé d'une application serveur et d'une application client utilisant le protocole VNC (Virtual Network Computing) pour contrôler d'autres ordinateurs à distance. Le logiciel fonctionne avec les systèmes d'exploitation Windows, Mac OS X et Unix. VNC fonctionne également sur la plate-forme Java, ainsi que sur l'iPhone, l'iPod touch et l'iPad d'Apple. ANNEXE
  • 44.
    045 CHECK POINT -RAPPORT SÉCURITÉ 2013 ANNEXE C : CONCLUSIONS SUPPLÉMENTAIRES - UTILISATION DES APPLICATIONS WEB Les données suivantes fournissent des détails supplémentaires sur les résultats de l'étude présentés dans la section « Applications utilisées dans l'espace de travail de l'entreprise ». Les graphiques C-A et C-B résument l'utilisation des applications par catégorie et par région. Utilisation par catégorie (% des entreprises) 81 % Administration à distance 80 % Stockage/partage de fichiers 61 % Partage de fichiers en P2P 43 % Anonymiseur Utilisation par région (% des entreprises) Outils d'administration à distance 83 % EMEA 80 % Amériques 77 % APAC Stockage et partage de fichiers 82 % Amériques 81 % EMEA 72 % APAC Partage de fichiers en P2P 72 % APAC 62 % Amériques 55 % EMEA C Source:CheckPointSoftwareTechnologies Source:CheckPointSoftwareTechnologies Anonymiseur 49 % Amériques 40 % EMEA 35 % APAC Graphique C-A Graphique C-B
  • 45.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 046 Les tableaux suivants fournissent des informations supplémentaires sur les clients BitTorrent et Gnutella les plus populaires Principaux clients BitTorrent Nombre d'entreprises Vuze 108 Xunlei 74 uTorrent 55 BitComet 25 FlashGet 21 QQ Download 8 Pando 7 P2P Cache 7 Transmission 6 Autres 242 Principaux clients Gnutella Nombre d'entreprises BearShare 52 LimeWire 23 FrostWire 16 Foxy 2 Autres 31 Catégorie d'application Région Nom de l'application % des entreprises Anonymiseur Amériques Tor 24 % CGI-Proxy 16 % Hamachi 8 % Hopster 8 % Ultrasurf 7 % EMEA Tor 23 % CGI-Proxy 12 % Hamachi 4 % Hopster 7 % Hide My Ass 7 % APAC Tor 20 % Hopster 6 % CGI-Proxy 6 % Hamachi 6 % Hide My Ass 7 % Le tableau suivant fournit des informations supplémentaires sur les principales applications utilisées, par catégorie et par région ANNEXE
  • 46.
    047 CHECK POINT -RAPPORT SÉCURITÉ 2013 ANNEXE Catégorie d'application Région Nom de l'application % des entreprises Partage de fichiers en P2P Amériques Clients BitTorrent 35 % SoulSeek 23 % eMule 21 % Windows Live Mesh 8 % Sopcast 8 % EMEA Clients BitTorrent 33 % SoulSeek 19 % eMule 15 % Sopcast 12 % iMesh 10 % APAC Clients BitTorrent 62 % eMule 26 % SoulSeek 11 % Sopcast 10 % BearShare 8 % Stockage et partage de fichiers Amériques Dropbox 73 % Windows Live Office 52 % Curl 28 % YouSendIt 26 % ZumoDrive 12 % EMEA Dropbox 71 % Windows Live Office 51 % Curl 22 % YouSendIt 21 % ImageVenue 18 % APAC Dropbox 57 % Windows Live Office 50 % Curl 26 % YouSendIt 16 % Hotfile 10 %
  • 47.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 ANNEXE 048 Catégorie d'application Région Nom de l'application % des entreprises Administration à distance Amériques MS-RDP 59 % LogMeIn 51 % TeamViewer 45 % VNC 14 % Bomgar 8 % EMEA MS-RDP 60 % TeamViewer 55 % LogMeIn 44 % VNC 20 % pcAnywhere 3 % APAC TeamViewer 58 % MS-RDP 51 % LogMeIn 26 % VNC 16 % Gbridge 3 %
  • 48.
    049 CHECK POINT -RAPPORT SÉCURITÉ 2013 Notre étude comprend l'inspection de douzaines de types de données différents, à la recherche d'éventuelles fuites de données. La liste suivante présente les principaux types de données de DLP inspectées et détectées par la blade Check Point DLP. Code Source - Correspond aux données contenant des lignes de langages de programmation, tels que C, C++, C#, JAVA et autres, indiquant une fuite de propriété intellectuelle. Information de cartes de paiement - Comprend deux types de données : les numéros de cartes de paiement et les données d'authentification PCI. • Numéros de cartes de paiement : Critères de correspondance : Des données contenant des numéros de cartes de paiement MasterCard, Visa, JCB, American Express, Discover et Diners Club ; correspondance reposant sur le modèle (expression régulière) et la validation des sommes de vérification du schéma défini dans l'Annexe B de ISO/IEC 7812-1 et dans JTC 1/SC 17 (algorithme Luhn MOD-10) ; indique une fuite de données confidentielles. Exemple : 4580-0000-0000-0000. • Données d'authentification PCI : Critères de correspondance : Des informations correspondant à des données d'authentification confidentielles selon la norme de sécurisation des données de PCI (DSS). Contrairement aux informations portant sur les titulaires de cartes de paiement, de telles données sont extrêmement confidentielles et PCI DSS n'autorise pas son stockage. Correspondance avec des informations contenant les données des pistes magnétiques des cartes de paiement (pistes 1, 2 ou 3), le code PIN chiffré ou non, et le code de sécurité (CSC). Exemples : %B4580000000000000^JAMES /L.^99011200000000000?, 2580.D0D6.B489.DD1B, 2827. Fichier protégé par mot de passe - Correspond à des fichiers protégés par mot de passe ou chiffrés. De tels fichiers peuvent contenir des informations confidentielles. Fichier de bulletin de salaire - Correspond à des fichiers contenant un bulletin de salaire ; indique une fuite de données personnelles. Email confidentiel - Correspond à des messages Microsoft Outlook désignés par l'expéditeur comme étant « confidentiels » ; de tels emails contiennent généralement des données confidentielles. Remarque : Microsoft Outlook permet aux expéditeurs de désigner des emails par différents degrés de confidentialité ; ce type de données correspond aux emails désignés comme étant « confidentiels » à l'aide de l'option de confidentialité d'Outlook. Information de rémunération - Correspond aux documents contenant des mots et des phrases liés aux données de rémunération des employés, tels que : salaire, prime, etc. D'autrestypesdedonnéesontétédétectésdurantlesrecherches : Cartes d'identité à Hong Kong, rapports financier¸ numéros de comptes bancaires, codes IBAN en Finlande, numéros de sécurité sociale au Canada, FERPA - dossiers scolaires confidentiels, codes postaux américains, numéro de TVA au Royaume-Uni, numéros de sécurité sociale au Mexique, numéros de sécurité sociale aux États-Unis, GPA - notes des étudiants, cartes d'identité à Hong Kong, numéros de comptes bancaires, rapports Salesforce, numéro d'identité en Finlande, ITAR - Réglementation du trafic d'armes international, dossiers personnels confidentiels, fichiers de CAO/DAO ou de conception graphique, HIPAA - informations protégées sur la santé, numéros de sécurité sociale en France, noms des employés, revenus en Nouvelle- Zélande, PCI - Données des titulaires de cartes de paiement, numéros de permis de conduire aux États-Unis, HIPAA - Numéros de dossiers médicaux, numéros de sécurité sociale au Canada, codes IBAN en Finlande, HIPAA - ICD-9, codes IBAN au Danemark, numéros de TVA en Finlande, numéros d'identité en Finlande, codes IBAN, cartes d'identité à Hong Kong et autres. ANNEXE D : TYPES DE DONNÉES DE DLPD
  • 49.
    CHECK POINT -RAPPORT SÉCURITÉ 2013 050 1 L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf 2 http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html 3 http://www.checkpoint.com/products/threatcloud/index.html 4 http://supportcontent.checkpoint.com/file_download?id=20602 5 http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home 6 http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch 7 http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=4 8 http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses 9 http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/ 10 http://www.networkworld.com/slideshow/52525/#slide1 11 http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx 12 http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf 13 http://cve.mitre.org/index.html 14 http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html 15 http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/ 16 http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/ 17 http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/ 18 http://www.ftc.gov/opa/2012/06/epn-franklin.shtm 19 http://www.ftc.gov/opa/2010/02/p2palert.shtm 20 http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html 21 http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres 22 http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/ 23 http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/ 24 http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-159277 25 http://www.roanoke.com/news/roanoke/wb/307564 26 http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/ 27 www.hhs.gov/ocr/privacy/hipaa/index.html 28 L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf 29 http://en.wikipedia.org/wiki/Malware#Backdoors RÉFÉRENCES
  • 50.
    www.checkpoint.com esesesDesesDesDesDesDesDesDesesDesDesDesDesDeDeDeDeDeDeeDDDign:RoniLevit.com Catégorie : [Protégé] -Tous droits réservés. © 2003-2013 Check Point Software Technologies Ltd. Tous droits réservés. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check Point 4600, Check Point 4800, les Appliances Check Point 12000, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On Demand, le logo Check Point, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, le logo the More, better, Simpler Security, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, le logo puresecurity, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, et le logo Zone Labs sont des appellations commerciales ou des marques déposées de Check Point Software Technologies Ltd. ou de ses filiales. ZoneAlarm est une société du groupe Check Point Software Technologies, Inc. Tous les noms de produits mentionnés dans ce document sont des marques commerciales ou des marques déposées appartenant à leurs propriétaires respectifs. Les produits décrits dans ce document sont protégés par les brevets américains No. 5 606 668, 5 835 726, 5 987 611, 6 496 935, 6 873 988, 6 850 943, 7 165 076, 7 540 013, 7 725 737 et 7 788 726, et sont éventuellement protégés par d’autres brevets américains, étrangers ou des demandes de brevet en cours. Janvier 2013 CONTACTS CHECK POINT Siège mondial 5 Ha’Solelim Street, Tel Aviv 67897, Israël | Tél. : +972 3 753 4555 | Fax : +972 3 624 1100 | Email : info@checkpoint.com Siège français 1 place Victor Hugo, Les Renardières, 92400 Courbevoie, France | Tél. : +33 (0)1 55 49 12 00 | Fax : +33 (0)1 55 49 12 01 Email : info_fr@checkpoint.com | URL : http://www.checkpoint.com