SlideShare une entreprise Scribd logo
2016RAPPORT
SÉCURITÉ
CHECK POINT – RAPPORT SÉCURITÉ 2016 | 3
1. INTRODUCTION ET MÉTHODOLOGIE 04-11
2. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS 12-19
3. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 20-27
4. ÉTUDE DES MODÈLES D'ATTAQUES 28-37
5. RÉPERCUSSIONS DE L'INSÉCURITÉ 38-47
6. CONSERVEZ UNE LONGUEUR D'AVANCE 48-55
RÉFÉRENCES 56-58
2016RAPPORT
SÉCURITÉ
4 | CHECK POINT – RAPPORT SÉCURITÉ 2016
1
« Nous subissons la technologie alors que nous voulons juste quelque
chose qui fonctionne. »
Douglas Adams, auteur et satiriste
INTRODUCTION ET
MÉTHODOLOGIE
INTRODUCTION ET MÉTHODOLOGIE | 5
	 Le prix de la plus importante faille de 2015 est décerné à l'OPM
	 (le Bureau de la gestion du personnel, une agence du gouvernement
américain). Des pirates originaires de Chine sont restés dans les réseaux d'OPM
pendant plus d'un an avant d'être découverts. Lorsque la brèche a finalement été
découverte, les premières estimations ont placé le nombre de victimes à quatre millions.
Ce chiffre a ensuite dépassé 21 millions, dont environ 19 millions de personnes qui ont
demandé des autorisations gouvernementales de sécurité et ont été soumises à des
vérifications d'antécédents, et 1,8 million de conjoints et partenaires de ces candidats.
Les pirates ont mis la main sur un trésor de données confidentielles, y compris les
formulaires SF-86 des personnes qui ont demandé des autorisations. Ces formulaires
peuvent contenir une grande quantité de données confidentielles, non seulement
sur les employés qui cherchent à obtenir une autorisation de sécurité, mais
également sur leurs amis, leurs conjoints et autres membres de leur famille.
«
«
— Wired Magazine, 23 décembre 2015
Même si plusieurs failles notables se sont
produites en 2015, la faille OPM a suscité
beaucoup d'attention car il a fallu plus d'un an
pour la découvrir, et les répercussions de cette
faille particulière sont considérables. En lisant
le Rapport Sécurité de cette année, il apparaît
clairement que le modèle de protection de la
sécurité qui réagit aux menaces ne suffit plus à
protéger les entreprises d'aujourd'hui. La défaite
devient une possibilité réelle. Ce type de faille
peut arriver à tout le monde. Pour vous aider à
protéger votre entreprise, vos données et vos
clients, nous avons tissé des recommandations
dans chacun des chapitres du rapport. Chaque
faille est un apprentissage qui nous incite à mieux
nous protéger. Nous avons tous à apprendre de
l'expérience d'OPM.
	 En avril 2015, près de 21  millions
de dossiers personnels ont été dérobés
auprès du Bureau de la gestion du personnel,
le référentiel central des ressources
humaines du gouvernement des États-Unis.
Ces dossiers comprenaient les formulaires
détaillés des demandes d'autorisation de sécurité
ainsi que les empreintes digitales de 5,6 millions
d'employés. Selon des représentants du
gouvernement, il s'agit de l'une des plus grandes
fuites de données gouvernementales de l'histoire
des États-Unis.
	 Selon Andy Ozment, un représentant du
Département de la sécurité intérieure des États-
Unis, la faille a débuté près d'un an avant sa
découverte. Les agresseurs ont d'abord obtenu
des identifiants utilisateur valides pour accéder
au système, probablement par des méthodes
d'ingénierie sociale. Une fois à l'intérieur, ils ont
activé un logiciel malveillant qui a ouvert une
porte dérobée pour garantir un accès continu. Ils
ont ensuite élevé leurs privilèges pour accéder à
d'autres systèmes d'OPM.
	 Cet incident illustre la manière dont
une modeste brèche dans un réseau peut se
développer à grande échelle pour conduire à
À votre tour d'implémenter
la prévention
Toutes les entreprises peuvent tirer des enseignements de la faille OPM.
Empêcher les attaques avant qu'elles n'infligent des dégâts et utiliser une
architecture de sécurité unifiée pour simplifier et renforcer la sécurité est
essentiel dans le paysage des menaces d'aujourd'hui.
Segmentez votre réseau et appliquez des politiques de sécurité uniformes à tous
les segments à l'aide d'une architecture de sécurité unifiée.
Les correctifs ne sont pas entièrement efficaces. Utilisez les correctifs virtuels
du système de prévention d'intrusions pour assurer une protection entre les phases
de mises à jour périodiques.
Stoppez les infections de logiciels malveillants en temps réel grâce à la prévention
des menaces au niveau du processeur et du système d'exploitation.
Supervisez tous les segments réseau via une console unique.
l'extraction de données pendant plusieurs mois.
À mesure que les réseaux se développent et sont
segmentés, puis reconnectés, il peut être difficile
de maîtriser le schéma des ressources du réseau.
Le volume des attaques ciblant les frontières de
plus en plus floues du réseau complique encore
plus les choses. La faille OPM montre clairement
la nécessité d'une architecture de sécurité unifiée
couvrant tous les environnements serveurs et tous
les types de postes, avec des mesures de sécurité
préventives en temps réel ainsi que des mesures
qui appliquent uniformément la prévention des
fuites de données. L'analyse proactive des réseaux
internes, la segmentation des éléments du réseau
et l'authentification multifacteurs, contribuent
également à assurer la sécurité. Celles-ci doivent
faire partie de la posture de sécurité de chaque
entreprise. Lorsqu'une attaque est réussie,
l'analyse des méthodes utilisées en dit long sur
un agresseur et ses motivations, et comment vous
pouvez mieux vous en protéger à l'avenir.
6 | INTRODUCTION ET MÉTHODOLOGIE
TOUTES LES 4SECONDES
Un logiciel malveillant
connu est téléchargé
TOUTES LES 5SECONDES
Un poste accède à
un site web malveillant
TOUTES LES 30SECONDES
Un événement d’émulation
de menace se produit
TOUTES LES 53SECONDES
Un bot communique
avec son serveur de
commande et de contrôle
TOUTES LES 81SECONDES
Un logiciel malveillant connu est téléchargé
TOUTES LES 4MINUTES
Une application à haut risque est utilisée
TOUTES LES 32MINUTES
Des données confidentielles sont
envoyées à l’extérieur de l’entreprise
S E C O N D E S
M I N U T E S
INTRODUCTION ET MÉTHODOLOGIE | 7
1.1 SOURCE : Check Point Software Technologies
UNE JOURNÉE
TYPIQUE EN
ENTREPRISE
8 | INTRODUCTION ET MÉTHODOLOGIE
entier tout au long de 2015  : les conclusions
de plus de 1  100  rapports Security Checkup,
des événements découverts via ThreatCloud
(qui est connecté à plus de 25  000  passerelles
dans le monde), et plus de 6  000  rapports de
passerelles transmis à Threat Emulation Cloud.
Nous avons combiné ces données avec l'analyse
des tendances externes et les connaissances de
nos équipes de recherche pour développer les
recommandations de chaque section.
SOURCES
DE L'ÉTUDE
CHECK POINT
Pour conserver une longueur d'avance, nous
avons recueilli des données d'événements
provenant de différentes sources dans le monde
1.2 SOURCE : Check Point Software Technologies
ENTREPRISES ÉTUDIÉES PAR RÉGION
AMÉRIQUES 26 %
EMEA 35 %
APAC 39 %
STRUCTURE
DU RAPPORT
SÉCURITÉ 2016
Notre Rapport Sécurité 2016 se penche sur les
logiciels malveillants connus et inconnus, et
les tendances d'attaques, rencontrés par les
entreprises, ainsi que l'impact du nombre croissant
d'appareils mobiles dans l'entreprise. Nous
examinons également les impacts des attaques
réussies sur les entreprises et les dépenses
supplémentaires qui vont bien au-delà des coûts
évidents de désinfection
	 Le chapitre 2 analyse les différents types
de logiciels malveillants et comment ils profitent
1.3 SOURCE : Check Point Software Technologies
ENTREPRISES ÉTUDIÉES PAR SECTEUR
COMMERCE DE DÉTAIL ET DE GROS
CONSEIL
FINANCE
INDUSTRIE
TÉLÉCOM.
AUTRE*
GOUVERNEMENT
4%
1%
15%
40%
4%
23%
13%
?
* Juridique, loisirs/hospitalité, publicité/medias, placements, autres
INTRODUCTION ET MÉTHODOLOGIE | 9
75 %
des entreprises
ont subi
des infections
de bots 82 %
des entreprises
ont accédé à
un site web
malveillant
88 %
des entreprises
ont subi un
incident de fuite
de données
89 %
des entreprises
ont téléchargé
un fichier
malveillant
94 %
des entreprises
ont utilisé au
moins une
application à
haut risque
400 %
d’augmentation
des fuites de
données durant
les trois dernières
années
1,5 milliard
de fichiers analysés
dans ce rapport
10 | INTRODUCTION ET MÉTHODOLOGIE
1.4 SOURCE : Check Point Software Technologies
2015
EN
CHIFFRES
du comportement des utilisateurs. La majorité des
faillesàgrandeéchellede2015aétérenduepossible
par l'exploitation de vulnérabilités existantes, des
logiciels malveillants connus et, bien sûr, des
méthodes d'ingénierie sociale. Même si le nombre
d'utilisateurs qui tente d'accéder à des sites
malveillants augmente, le service informatique
parvient à les en empêcher légèrement plus
rapidement, ce qui limite l'efficacité de ce vecteur
d'attaque. Les infections de bots diminuent, mais
la fréquence de leurs tentatives de communication
par jour est nettement plus élevée.
	 Le chapitre  3 analyse la manière dont
la révolution mobile continue d'engendrer de
nouvelles possibilités d'attaque à mesure qu'un
plus grand nombre d'appareils mobiles échappant
à tout contrôle entre dans l'entreprise. Les
entreprises réalisent qu'elles ne peuvent pas
empêcher facilement les employés de connecter
leurs appareils personnels aux ressources de
l'entreprise,carellesontdécouvertquel'utilisation
des appareils personnels en entreprise (BYOD)
augmente considérablement la productivité.
Malheureusement, la plate-forme mobile est une
cible attrayante pour les agresseurs, la plupart des
entreprises n'ayant pas implémenté de contrôles
pour les protéger efficacement.
	 Dans le chapitre  4, nous examinons
les modèles d'attaques par région du monde et
par type. Les États-Unis sont toujours en tête
pour l'hébergement de sites web et de fichiers
malveillants, en grande partie en raison du
pourcentage nettement plus élevé d'utilisateurs
actifs et de l'abondance des ressources. Quant
aux vecteurs d'attaques préférés des pirates,
l'exécution de code telle que ROP (return-
oriented programming) est apparue comme
étant le vecteur d'attaque le plus populaire parmi
les pirates, puisque le déploiement de parades
aux vulnérabilités de dépassement de mémoire
tampon a rendu les vecteurs d'attaque les plus
populaires de 2014 moins attrayants. Dans
l'ensemble, les vulnérabilités se sont légèrement
repliées en 2015, mais les éditeurs comptant les
vulnérabilités les plus critiques ont changé. Les
tendances peuvent changer, mais si les entreprises
ne parviennent pas à implémenter des correctifs
vitaux, les vecteurs d'attaques ne s'éteindront
jamais vraiment.
	 Bien que les coûts initiaux d'une brèche
soient bien documentés, l'impact financier global
est beaucoup plus élevé. Dans le chapitre 5, nous
explorons les répercussions de l'insécurité, et
présentons des exemples dans les secteurs de
la finance, de la santé et de l'industrie. Maintenir
la vitesse de l'activité de l'entreprise tout en la
protégeant est votre meilleure stratégie financière.
	 Conserver une longueur d'avance signifie
maîtrisertouslesdomaines :logicielsmalveillants,
tendances d'attaques, révolution mobile, et être
conscient de l'impact de tout manquement. Vous
trouverez nos recommandations dans chaque
chapitre pour vous aider à conserver une longueur
d'avance sur les cybercriminels.
« Toute technologie suffisamment avancée est indiscernable de la magie. »
Arthur C. Clarke, auteur de science-fiction
INTRODUCTION ET MÉTHODOLOGIE | 11
12 | CHECK POINT – RAPPORT SÉCURITÉ 2016
2
L'ARSENAL
D'ATTAQUES :
LOGICIELS
MALVEILLANTS
CONNUS ET
INCONNUS
Benjamin Franklin, politicien et auteur
« En omettant de vous préparer,
vous vous préparez à l'échec. »
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 13
La première étape d'une attaque consiste à amener
un logiciel malveillant au travers des défenses
de sécurité. En 2015, de nombreuses attaques
différentes ont permis d'accomplir cela. La plupart
des logiciels malveillants se cache dans du trafic
légitime ou des pièces jointes, ou exploite les
fonctionslégitimesdecontrôleoud'accèsauréseau.
Que ce soit dans un lien, dans un document, ou en
exploitant une vulnérabilité du shell, les agresseurs
utilisent différentes méthodes de pénétration.
	 Indépendamment de la méthode d'entrée,
nous pouvons catégoriser les logiciels malveillants
selon trois types de base  : logiciels malveillants
connus, inconnus et zero-day.
	 Près d'un million de nouveaux logiciels
malveillants sont lancés chaque jour.1
L'enquête
de Verizon sur les fuites de données en 2015
estime que près de 90 pour cent des attaques de
2015 ont utilisé une vulnérabilité existant depuis
2002. Le tout dernier rapport sur les risques de
cybersécurité de HP2
affirme que les dix premières
vulnérabilités exploitées en 2015 étaient âgées de
plus d'un an, et que 29 pour cent des attaques ont
utilisé un vecteur d'infection de 2010 pour lesquels
il existe deux différents correctifs. Bien que le taux
de logiciels malveillants inconnus soit à la hausse,
les vecteurs connus continuent de dominer le
paysage des menaces.
Logiciel malveillant
connu
Un logiciel malveillant identifié
par une signature.
De nombreux outils de sécurité
utilisent des techniques d'analyse
par signature et prennent des
décisions quant au blocage, mais
obligent les utilisateurs à mettre
à jour la base de données des
signatures de leur pare-feu et de
leur antivirus.
Logiciel malveillant
inconnu
Un logiciel malveillant non
identifié pour lequel il n'existe
pas de signature.
Il suffit simplement d'effectuer
une petite modification dans un
logiciel malveillant connu ou
le reconditionner avec du code
malveillant différent pour créer
un logiciel malveillant inconnu.
Cette nouvelle version inconnue
peut alors contourner les défenses
reposant sur des signatures.
Zero-day
Une exploitation de
vulnérabilité qui tire parti de
failles de sécurité inconnues
pour lesquelles il n'existe
aucune protection.
TOUTES LES 5 SECONDES, UN UTILISATEUR ACCÈDE
À UN SITE WEB MALVEILLANT.
14 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS
Cloud :
votre trafic de
données pourrait
ne pas prendre
le bon chemin
Les prévisions du jour pour les datacenters
sont nuageuses. Cisco estime que les
datacenters dans le Cloud traiteront plus
de 86 pour cent des charges de travail
informatiques en 2019.3
Selon RightScale,
95 pour cent des entreprises emploient déjà
des plates-formes dans le Cloud, et utilisent en
moyenne 3 Clouds publics et 3 Clouds privés.4
En dépit de la migration rapide
vers le Cloud, peu de professionnels de
l'informatique considère que le transfert des
services dans des environnements de Cloud
public et privé virtualisés pourrait entraîner
des turbulences pour leur sécurité. La cause
des turbulences est la transition du modèle de
trafic de données nord/sud des datacenters
traditionnels vers le modèle est/ouest des
environnements de Cloud public, à mesure que
les charges de travail sont transférées hors site
dans des Clouds publics.
	 Vous direz ce que vous voudrez des
datacenters traditionnels, ils ajoutent plusieurs
mois au déploiement de nouvelles applications
et ne sont pas très évolutifs. Ils nécessitent
également une tonne d'interventions manuelles
pour fonctionner. Mais en termes de sécurité,
les datacenters traditionnels sont assez
performants lorsqu'une passerelle de sécurité
supervise les connexions entrantes. En effet,
dans les datacenters traditionnels, le trafic
se déplace du nord depuis les serveurs vers
la passerelle de sécurité et du sud depuis la
passerelle vers les serveurs. Le trafic peut
même suivre des trajets nord/sud en « épingle
à cheveux » qui vont d'un serveur à une
passerelle puis vers un autre serveur au sein
du datacenter, afin que le trafic interne puisse
être inspecté.
	 Cependant, dans les réseaux virtualisés
ou logiciels déployés dans des environnements
de Cloud privé, jusqu'à 80 pour cent du
trafic se déplace d'est en ouest entre les
applications virtualisées et différents secteurs
du réseau. Les applications virtualisées
peuvent migrer d'un serveur à un autre en
fonction de l'utilisation des ressources. Dans
ces conditions, la majorité du trafic contourne
entièrement la passerelle de sécurité au niveau
du périmètre. Les applications mobiles, les
applications dans le Cloud, les applications
des partenaires et même les applications
hébergées des clients, peuvent connecter des
services à des utilisateurs à l'extérieur du
datacenter via différentes voies non surveillées
par les contrôles de sécurité du périmètre.
Lorsque des agresseurs parviennent à
compromettre l'un des services web mineurs
d'une entreprise par un logiciel malveillant,
l'ensemble du réseau, y compris les services de
base, sont menacés.
	 Par conséquent, pour maintenir
la sécurité informatique dans les Clouds
virtualisés publics et privés, il est utile de
penser à segmenter votre réseau et vos
applications à l'aide des mêmes fonctionnalités
de sécurité que les passerelles physiques,
mais en ajoutant la prise en charge flexible de
la micro-segmentation logicielle, qui peut être
gérée de manière centralisée. Une meilleure
visibilité sur les applications est également
critique pour protéger les services dans le
Cloud qui se déplacent dans de nouvelles
directions en raison des domaines et des
plates-formes dans le Cloud.
augmente. En 2015, 89  % des entreprises ont
téléchargé un fichier malveillant, contre 63  % en
2014. En 2015, les entreprises ont téléchargé des
logiciels malveillants quatre fois plus souvent,
toutes les 81  secondes, plutôt que toutes les
6 minutes en 2014.
	 Qu'est-ce que cela signifie ? Alors que les
entreprises réussissent à mieux bloquer l'accès
aux sites et aux fichiers malveillants, le volume
des attaques donne l'avantage aux agresseurs.
Les entreprises doivent évaluer et filtrer de plus
importants volumes de contenus potentiellement
malveillants tout en maintenant la productivité des
utilisateurs. Elles doivent instantanément isoler les
logiciels malveillants en temps réel pour empêcher
leur propagation et leur impact négatif.
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 15
PLUS D'APPAREILS,
DONC PLUS DE
FAÇONS D'ENTRER
L'entreprise d'aujourd'hui doit protéger un nombre
de télétravailleurs en augmentation spectaculaire,
plusieurs sites, des applications dans le Cloud,
et bien plus d'appareils que jamais auparavant.
Le nombre de points d'entrée réseau nécessitant
une protection continue d'augmenter. Chaque
point d'entrée filaire et sans fil, les serveurs et
l'infrastructure qui hébergent les applications
d'entreprise, et les outils de prévention des
menaces reposant sur des signatures qui les
protègent, ont constamment besoin de correctifs et
de mises à jour.
	 La gestion des correctifs de sécurité
critiques continue d'être un problème en 2015.
Notre étude montre que les entreprises réussissent
un peu mieux à empêcher les utilisateurs d'accéder
àdessitesmalveillants.En2015,seulement82 %des
entreprises ont accédé à un site malveillant,soit un
peu moins que les 86 % de 2014. Malheureusement,
d'autres indicateurs ne sont pas aussi positifs.
	 Dans les entreprises, les utilisateurs
accèdent à un site web malveillant cinq fois plus
souvent en 2015, toutes les 5 secondes, plutôt que
toutes les 24 secondes l'année précédente.
	 Plus l'accès est fréquent, plus le nombre
de logiciels malveillants affectant les entreprises
DISCIPLINE :
MEILLEURE, MAIS
PAS ENCORE
SUFFISANTE
UN UTILISATEUR TÉLÉCHARGE
UN LOGICIEL MALVEILLANT
TOUTES LES 81 SECONDES
2.1 SOURCE : Check Point Software Technologies
16 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS
PERSISTANCE
DES BOTS
Les bots restent une méthode d'attaque préférée
pour les agresseurs. Semblable à des vers ou des
chevaux de Troie, les bots exécutent une variété de
tâches automatisées une fois parvenus à l'intérieur
d'un réseau, et communiquent régulièrement. Ils se
répliquent sur les réseaux et les appareils adjacents
ou se projettent à l'extérieur du réseau infecté. Ils
envoient du spam ou participent à des attaques de
déni de service et autres types d'attaques.
	 Certains bots restent dormants jusqu'à
ce qu'ils soient activés à distance via une action
prédéterminée sur le poste de leur victime ou
à une date ultérieure spécifique. Malgré leurs
différences, les bots communiquent généralement
avec un serveur de commande et de contrôle pour
signaler l'état de leur activation et recevoir des
instructions. Ces communications peuvent être
isolées, surveillées et bloquées.
	 En 2015, un bot typique tentait de
communiquer avec son serveur de commande et
de contrôle plus de 1 630 fois par jour, soit une fois
toutes les 52,8 secondes. Cette fréquence continue
d'augmenter : 12 % de plus que l'année précédente,
et 95 % de plus qu'en 2012.
	 Bien que les niveaux d'infections de bots
ont diminué de près de 10 % en 2015 par rapport
à 2014, ces chiffres restent inquiétants. Près de
75 % des entreprises étudiées ont été infectées par
des bots en 2015, et 44 % des bots restaient actifs
pendant plus de quatre semaines.
	 Les attaques de bots dérobent des
informations confidentielles telles que des
identifiants, désactivent les services de sécurité du
système, et fournissent un accès à distance pour
des attaques. Les bots effectuent également des
opérations à distance et téléchargent des logiciels
malveillants supplémentaires.
	 Uneanalysedesdonnéesd'attaquedesbots
montrequequatrebotsspécifiques,Sality,Conficker,
ZeroAccess et Cutwail, étaient responsables de
50 % des attaques de bots reconnues en 2015. Fait
intéressant, ces bots proviennent tous de logiciels
malveillants bien connus.
2.2 SOURCE : Check Point Software Technologies
LES BOTS ESSAIENT DE
COMMUNIQUER AVEC DES
SERVEURS DE COMMANDE ET DE
CONTRÔLE PLUS DE 1 630 FOIS
PAR JOUR, SOIT TOUTES LES
52,8 SECONDES
FAMILLE DOMMAGES POURCENT.
SALITY Dérobe des données confidentielles 18,6 %
CONFICKER Désactive les services de sécurité du système et fournit un accès à distance 18,6 %
ZEROACCESS Permet des opérations à distance et télécharge des logiciels malveillants 6,7 %
CUTWAIL Diffuse du spam 5,1 %
GAMARUE Ouvre une porte dérobée pour des attaques 3,0 %
ZEUS Dérobe des identifiants bancaires 2,7 %
LDPINCH Dérobe des données confidentielles 2,1 %
DELF Dérobe des identifiants 1,1 %
RAMNIT Dérobe des identifiants bancaires 1,0 %
GRAFTOR Télécharge des fichiers malveillants 0,9 %
ATTAQUES DE BOTS RECONNUS EN 2015
274 NOUVEAUX LOGICIELS
MALVEILLANTS INCONNUS
ONT ÉTÉ DÉCOUVERT
CHAQUE MINUTE EN 2015
HAUSSE
CONTINUE
DES LOGICIELS
MALVEILLANTS
INCONNUS
Dans l'ensemble, l'utilisation de logiciels
malveillants inconnus par des agresseurs est
restée à des niveaux historiquement élevés, en
légère croissance en 2015 selon AV-TEST.5
En
2015, près de 144  millions de nouveaux logiciels
malveillants ont été découverts  : 274  nouveaux
logiciels malveillants inconnus ont été produits et
lancés toutes les minutes en 2015.
	 Au cours de 2015, Check Point a analysé
plus de 6 000 passerelles, découvrant que 52,7 %
d'entre elles ont téléchargé au moins un fichier
infecté par des logiciels malveillants inconnus. En
moyenne, 2  372  fichiers infectés ont été signalés
par passerelle.
	 Du côté des utilisateurs, les attaques
étaient plus fréquentes et variées. Avec plus de
971  téléchargements de logiciels malveillants
inconnus par heure, soit 9  fois plus que les
106  téléchargements par heure de l'année
précédente, de nombreuses entreprises ont du mal
à suivre.
	 La plupart des utilisateurs savent que les
risques d'infections sont plus élevés pour certains
types de fichiers. Comme prévu, les fichiers .exe
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 17
2.3 SOURCE : Check Point Software Technologies
75 %
DES ENTREPRISES ÉTUDIÉES
ÉTAIENT INFECTÉES PAR DES BOTS
52%
DES PASSERELLES ONT
TÉLÉCHARGÉ AU MOINS UN
FICHIER INFECTÉ PAR UN LOGICIEL
MALVEILLANT INCONNU
971
LOGICIELS MALVEILLANTS
INCONNUS FRAPPENT LES
ENTREPRISES TOUTES LES HEURES
28 %
DES FICHIERS INFECTÉS PAR DES
LOGICIELS MALVEILLANTS SONT
DES FICHIERS SWF (FORMAT DE
FICHIER FLASH)
ÉTAT DE LA
PROTECTION
représentaient près de 30 % des fichiers infectés, et
les formats de fichiers archives tels que .zip et .jar
représentaient plus de 16 % en 2015. Le nombre de
logiciels malveillants continue de croître dans les
types de fichiers auxquels les utilisateurs font le
plus confiance, tels que les fichiers Microsoft Office,
PDF ou Flash, à mesure que les pirates profitent de
ces types de fichiers moins menaçants. En 2015, les
formats de fichiers Microsoft Office représentaient
plus de 9 % des fichiers malveillants rencontrés, et
les fichiers PDF représentaient 7,5 %.
	 Flash a continué d'être un mécanisme de
diffusion de logiciels malveillants, représentant
28  % des fichiers infectés par des logiciels
malveillants inconnus. Les utilisateurs sont
beaucoup moins susceptibles de soupçonner
une infection lorsque les logiciels malveillants
sont intégrés à un fichier Flash. Les infections
attribuées aux publicités malveillantes et aux
téléchargements automatiques exposent les
utilisateursàdeslogicielsmalveillantsplusinvasifs
sans qu'une action spécifique ne soit requise.
	 L'utilisation de logiciels malveillants
inconnus dans une attaque augmente les chances
de réussite pour les cybercriminels. Grâce
aux logiciels malveillants inconnus, les pirates
travaillent plus intelligemment et ont besoin de
moinsdetentativespourrencontrerplusdesuccès.
La création de logiciels malveillants inconnus
est plus facile que jamais. Il suffit d'apporter
une légère modification à un logiciel malveillant
existant pour créer une nouvelle variante inconnue
et contourner les systèmes antivirus reposant sur
des signatures connues.
	 Avec près de 12  millions de nouvelles
variantes de logiciels malveillants découvertes
chaquemois,plusdenouveauxlogicielsmalveillants
ont été découverts au cours des deux dernières
années que dans les 29 années précédentes.6
4 FOIS PLUS DE TÉLÉCHARGEMENTS
DE LOGICIELS MALVEILLANTS EN 2015
18 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS
Même si les taux d'attaques et d'infections en 2015
n'ont pas augmenté au même rythme exponentiel
qu'en 2013 et 2014, ils restent néanmoins stables.
Le taux d'infections a même légèrement diminué
en raison de l'utilisation de meilleures ressources
de protection et de la sensibilisation des
utilisateurs. L'érosion continue du périmètre du
réseau et l'augmentation du nombre d'appareils
accédant aux réseaux internes continuent de
compliquer la protection.
	 Dans le paysage actuel sans frontières du
Cloud, de l'Internet des objets et des datacenters
hybrides, les outils de cybersécurité doivent fournir
un contrôle granulaire sur tous les segments et
les environnements réseau. Les techniques de bac
à sable traditionnelles ne sont plus une option,
mais elles imposent des délais de traitement.
Pour se protéger des attaques d'aujourd'hui,
l'accent est mis sur la vitesse et la prévention.
Les nouvelles techniques de protection analysent
les comportements au niveau du système
d'exploitation et du processeur pour stopper les
logiciels malveillants lors de la phase d'exploitation
d'une vulnérabilité avant qu'ils n'aient l'occasion de
se déployer.
	 Le fort volume et la combinaison d'attaques
connues, inconnues et zero-day, nécessitent
une approche multicouches pour protéger les
entreprises. Bien qu'aucune technologie ne puisse
fournir une protection complète contre tous les
vecteurs de menaces, une approche bien conçue
combinant plusieurs méthodes de protection et de
détection peut minimiser la réussite des attaques.
Avec des protections supplémentaires au stade de
la post-infection, les entreprises peuvent limiter les
dommages et les mouvements est-ouest.
PRENEZDESMESURES
RECOMMANDATIONS
L'informatique évolue rapidement et le paysage des menaces se transforme lui aussi.
Ce changement nécessite une architecture de sécurité multicouches comprenant
la prévention des menaces en temps réel et l'administration unifiée couvrant les
environnements virtuels, mobiles et dans le Cloud.
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 19
DÉPLOYEZ UNE CYBERSÉCURITÉ
MULTICOUCHES
La sécurité devrait être implémentée en
de multiples couches qui coordonnent
automatiquement les différentes protections,
en intégrant notamment  : une passerelle de
sécurité, des fonctions de prévention des menaces
avancées, de contrôle des applications, de prise
en charge des identités, de filtrage des URL,
de prévention d'intrusions, de protection de la
messagerie, antispam, antibots et antivirus.
STOPPEZ LES LOGICIELS
MALVEILLANTS ZERO-DAY
Les techniques d'évasion inconnues rendent les
bacs à sable traditionnels inefficaces. La prévention
des menaces en temps réel qui stoppe les logiciels
malveillants dès le premier contact est la nouvelle
norme de prévention des menaces. Cependant,
même le meilleur bac à sable pourrait laisser
passer une menace intégrée dans un document.
La suppression des contenus actifs des documents
évite les menaces cachées et donne aux utilisateurs
un accès rapide aux contenus sains.
UTILISEZ DES CORRECTIFS
VIRTUELS
La correction des logiciels est une pratique
nécessaire, mais elle est insuffisante pour stopper
les menaces. Tout d'abord, il n'existe pas de
correctifs pour les vulnérabilités zero-day qui n'ont
pas encore été découvertes par les chercheurs.
Ensuite, pour les vulnérabilités découvertes, les
éditeurs de logiciels ont besoin de temps pour
1
2
3
PRÉVENTION
créer et diffuser des correctifs, ce qui laisse les
réseaux ouverts à des attaques. Enfin, les équipes
informatiques ont également besoin de temps pour
appliquer les correctifs.
Les correctifs virtuels utilisent le système de
prévention d'intrusions pour protéger contre les
attaques qui exploitent des vulnérabilités zero-day
et connues, qui ne peuvent être corrigées ou qui
n'ont pas encore été corrigées.
SIMPLIFIEZ L'ADMINISTRATION
DE LA SÉCURITÉ
L'utilisation de plusieurs consoles pour administrer
la sécurité de chaque segment réseau est inefficace.
Elle conduit à des erreurs de configuration et
des incohérences entre les couches de sécurité.
L'administration des fonctions de sécurité, des
segments et des environnements via une seule
console permet de réduire les erreurs lors de la
coordination des politiques de sécurité des couches
de protection.
UNIFIEZ LES
CONTRÔLES
Implémentez des contrôles unifiés qui s'étendent
à tous les réseaux, systèmes, postes et
environnements, y compris traditionnels, virtuels,
mobiles, hybrides, dans le Cloud, et les objets
connectés.
1
2
POUR EN SAVOIR PLUS
checkpoint.com/sandblast
ARCHITECTURE
20 | CHECK POINT – RAPPORT SÉCURITÉ 2016
3
UN APPAREIL POUR
USAGE PERSONNEL
ET PROFESSIONNEL
« Je reçois des emails donc j'existe. »
Scott Adams, dessinateur, créateur de Dilbert
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 21
Plus puissants que jamais, les appareils mobiles
améliorent continuellement l'accessibilité et la
productivité des employés. Ils sont de plus en plus
abordables, et la plupart des employés gardent
leurs appareils mobiles sur eux tout au long de
leur journée de travail, qu'ils les utilisent ou non
pour leur travail. Avec une telle omniprésence,
les appareils mobiles s'intègrent dans le tissu
des entreprises de manières visible et invisible.
À mesure que
le nombre d'utilisateurs
mobiles augmente,
un tournant dans les
habitudes d'utilisation
s'opère, comme on peut
le voir dans l'enquête
de comScore en 2014.
Tout d'abord, le mobile
a dépassé l'ordinateur
pour la consultation
des médias et la navigation web.1
Parallèlement
à cela, les utilisateurs brouillent facilement les
lignes entre leur usage personnel et professionnel
de ces appareils. Que ce soit rendu possible ou non
par l'entreprise, les employés travaillent à partir
de leurs appareils personnels, et accèdent à des
informations personnelles sur leurs appareils
professionnels, sans nécessairement réfléchir aux
conséquences.
	 L'utilisation de smartphones a augmenté
de 394  % et l'utilisation de tablettes a augmenté
de plus de 1 700 % au cours des quatre dernières
années. Ensemble, ces plateformes représentent
60  % du temps de
consultation des médias
numériques.2
Une
troisième étude menée
par comScore et Yahoo
Flurry Analytics montre
qu'en moyenne, les
Américains passent
162  minutes par jour à
utiliser des appareils
mobiles pour toutes
sortes d'activités.3
Ensemble, ces trois tendances
mettent en évidence un désir croissant d'accès
instantané et continu à des données, que ce soit sur
un appareil professionnel ou personnel.
2000
1 800
1 600
1 400
1 200
1 000
800
600
400
200
0
2007 2008 2009 2010 2011 2012 2013 2014 2015
Mobile
Fixe
NOMBRE D’UTILISATEURS MONDIAUX (MILLIONS)
3.1 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014
IL SUFFIT D'UNE INFECTION
SUR UN APPAREIL POUR
COMPROMETTRE DES
DONNÉES ET DES
RÉSEAUX PERSONNELS
ET PROFESSIONNELS
34 % Autres
25 % Réseaux sociaux
4 % Messagerie instantanée
Radio 8 %
Jeux 16 %
Multimédia 5 %
Achats 5 %
Photos 4 %
TEMPS D’UTILISATION DES APPLICATIONS MOBILES
3.2 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014
22 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
LÀ OÙ
LA SÉCURITÉ
EST ADAPTÉE
Comme les sites web dans les années 1990 et
l'accès à distance pour les ordinateurs portables
une décennie plus tard, les appareils mobiles sont
à la fois une malédiction en termes de sécurité
et une bénédiction en termes de productivité.
Comme pour les autres tendances d'accès avant
eux, la sécurité mobile est en retard sur l'adoption
de la mobilité, à mesure que les utilisateurs
découvrent de nouvelles façons d'en tirer parti
pendant leurs déplacements.
	 La sécurité mobile est un sujet difficile
pour les entreprises. Elle fait l'objet de compromis
entre productivité, protection et confidentialité.
Les entreprises et les utilisateurs veulent à la fois
bénéficier de la productivité accrue des appareils
mobiles et d'une protection lors des accès aux
informations de l'entreprise, mais personne n'aime
l'idée de subir des restrictions unilatérales ni se
sentir surveillé.
	 Les utilisateurs s'attendent à bénéficier
d'unaccèsentoutlieuetlapossibilitéd'utiliserleurs
appareils personnels à des fins professionnelles.
L'employeur a pour responsabilité de comprendre
comment sécuriser ses propres données, sauf si
cela signifie surveiller les activités en ligne de ses
employés. L'entreprise, d'autre part, doit protéger
ses données avec le fardeau supplémentaire de
devoir se conformer à différentes réglementations
sur la confidentialité des données personnelles à
travers le monde. Les exigences d'identification
personnelles obligatoires dans un pays pourraient
enfreindre les lois sur la vie privée dans un autre
pays. L'entreprise doit pourtant se conformer aux
deux à la fois.
UN EMPLOYÉ SUR CINQ
SERA LA CAUSE D'UNE FAILLE
DU SYSTÈME D'INFORMATION
DE L'ENTREPRISE, VIA DES
LOGICIELS MALVEILLANTS
OU DES CONNEXIONS WI-FI
MALVEILLANTES
19 %
Outils d’accès
à distance
43 %
Logiciels malveillants
génériques
11 %
Interception
réseau
12 %
Vol de données
1 %
App de phishing
0,5 %
Logiciels
rançonneurs
0,5 %
Fausses
app
13 %
Numéroteurs
surtaxés
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 23
	 Les logiciels malveillants, le phishing, les
points d'accès Wi-Fi malveillants et autres dangers
en ligne, inquiètent tout le monde. Les employés ne
veulent pas être la cause d'une faille dans le réseau
de l'entreprise. Pourtant, une personne sur cinq en
sera la cause, via des logiciels malveillants ou des
connexions Wi-Fi malveillantes.4
	 La sécurité mobile doit inclure plusieurs
briques répondant aux différents aspects de la
problématique de sécurité :
Les conteneurs sécurisés empêchent les fuites
de données entre les applications personnelles et
professionnelles hébergées sur le même appareil
La prévention des menaces mobiles offre une
protection contre les comportements malveillantes
des applications et stoppe en temps réel les
menaces connues, inconnues et zero-day qui
ciblent les appareils iOS et Android.
	 Ces fonctions seules ne sont pas
suffisantes, et les équipes informatiques n'ont bien
entendu pas besoin d'un système de plus à gérer.
Leur intégration dans une console de sécurité
unique est une priorité.
3.3 SOURCE : Check Point Software Technologies
TENDANCES
D'ATTAQUES
MOBILES
Après avoir analysé les tendances de 2015, nous
possédons désormais une visibilité sur les points
d'entrée des attaques, ainsi que sur les types de
données dérobées. Les trois principaux vecteurs
d'attaques utilisés pour cibler les appareils mobiles
sont les applications infectées, les attaques réseau
et l'exploitation des vulnérabilités des systèmes
d'exploitation. Une fois à l'intérieur d'un appareil
mobile, les cybercriminels exfiltrent des données
et des identifiants par email, accèdent aux capteurs
tels que le microphone ou l'appareil photo, et
surveillent la localisation de l'appareil.
	 Entre septembre 2014 et février 2015,
Apple iOS était la cible la plus fréquente des
cybercriminels, avec cinq différentes attaques
contre le système d'exploitation : XSSer, WireLurker,
Masque, Pawn Storm, et des outils commerciaux
d'accès à distance. À l'automne 2015, le nombre
d'attaques menées contre les appareils Apple iOS
et Android a été multiplié par cinq.
MENACES
MOBILES
Mobilité :
cinq nouvelles
tendances
des logiciels
malveillants
Android
La domination d'Android sur le marché mobile
a inauguré une nouvelle ère pour les logiciels
malveillants. Les logiciels malveillants ciblant
les appareils Android ont gagné en sophistication
en quelques années. Voici quelques-unes des
dernières menaces Android que les chercheurs
de Check Point ont découvert.
1. Obscurcissement. À mesure que les
éditeurs de solutions de sécurité combattent
les logiciels malveillants Android, les
cybercriminels développent de nouvelles
manière de masquer ou « obscurcir » leurs
logiciels malveillants. En chiffrant les
composants malveillants, les cybercriminels
peuvent contourner de nombreuses solutions
de sécurité, y compris Google Bouncer qui
protège la boutique d'applications Google Play.
Certains auteurs dissimulent même les clés
qu'ils utilisent pour déchiffrer les composants
malveillants, ce qui rend leurs attaques encore
plus difficiles à détecter.
2. Téléchargeurs. Les auteurs de logiciels
malveillants utilisent des « téléchargeurs »
pour s'infiltrer dans Google Play. Ils
commencent par soumettre une application
apparemment bénigne dans Google Play.
Google approuve l'application car elle ne
contient pas de code malveillant. Une fois qu'un
utilisateur installe l'application sur un appareil,
celle-ci contacte le serveur de l'agresseur,
et télécharge un composant malveillant dans
l'appareil de l'utilisateur.
3. Redondance. Les logiciels malveillants
intègrent souvent plusieurs composants conçus
dans un but différent. Deux composants peuvent
chercher à atteindre le même objectif, mais de
façon différente. Si un composant malveillant est
détecté et désinfecté, l'attaque peut se poursuivre
à l'aide du second composant. Même si un
élément critique est désactivé, il est plus facile
pour l'agresseur de modifier cette partie que de
modifier l'ensemble du logiciel malveillant.
4. Persistance. Les auteurs de logiciels
malveillants utilisent plusieurs tactiques pour
rester sur les appareils infectés. Par exemple,
ils pourraient cacher l'icône de l'application,
retarder une activité malveillante pendant des
semaines ou des mois, se faire passer pour une
autre application, ou obtenir des privilèges élevés
pour empêcher les utilisateurs de la désinstaller.
L'objectif est le même : rester sur l'appareil pour
effectuer des activités malveillantes.
5. Élévation de privilège. Récemment, les
auteurs de logiciels malveillants ont utilisé des
méthodes d'ingénierie sociale pour tromper les
utilisateurs et les conduire à leur affecter des
privilèges élevés. D'autres agresseurs utilisent
des exploitations de vulnérabilités pour obtenir
des autorisations privilégiées. En raison des
différentes versions d'Android utilisées, chacun
avec ses propres vulnérabilités, les correctifs de
sécurité peuvent prendre des mois pour atteindre
les utilisateurs, si toutefois ils les atteignent.
Cela laisse les utilisateurs vulnérables aux
menaces connues pendant de longues périodes.
Les auteurs de logiciels malveillants utilisent ces
délais pour cibler les utilisateurs à l'aide de kits
capables d'exploiter des vulnérabilités connues
dans les appareils Android.
Ils sont aussi novateurs et bien financés qu'ils
sont persistants, et ils continueront de mettre
au point de nouvelles techniques pour atteindre
leurs objectifs. Pour conserver une longueur
d'avance sur l'évolution des menaces Android,
les entreprises et les utilisateurs doivent utiliser
des solutions avancées capables de stopper les
menaces mobiles.
24 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
3.4 SOURCE : Check Point Software Technologies
	 Dans l'ensemble, les cinq grandes
catégories d'attaques et de vulnérabilités ciblant
les appareils mobiles sont :
1.Vulnérabilitéssystème.Lesvariantesdusystème
d'exploitation augmentent le nombre de vecteurs
d'attaques. Android est particulièrement vulnérable
car il prend en charge plus de 24  000  types de
smartphones et tablettes. Les correctifs de sécurité
pour chaque version peuvent prendre des semaines
ou des mois de développements et de tests, ce qui
fait des utilisateurs des proies faciles.
2. Accès root et changements de configuration.
Le rootage ou jailbreaking d'un téléphone donne
non seulement aux amateurs un accès plus
étendu, mais aux cybercriminels également.
Une série d'attaques prévue pour contourner
les limites de la politique de sécurité en
matière de modification des paramètres et des
configurations crée des changements subtils
sans que les utilisateurs le sachent.
3. Fausses applications et applications
reconverties. Comme le phishing, les fausses
applications semblent réelles, mais ont des
fonctionnalités inattendues. Les applications
malveillantes qui contrôlent à distance, activent le
microphone, l'appareil photo ou le GPS, sont de
plus en plus courantes.
4. Chevaux de Troie et logiciels malveillants.
L'intégration de code malveillant dans des
pièces jointes et des applications reste un sujet
de préoccupation sur les appareils mobiles.
Beaucoup ne possèdent pas d'antivirus ni de
système de prévention des menaces, et les écrans
de taille réduite ne facilitent pas la détection des
inexactitudes dans les applications.
5. Attaques de type «  homme du milieu  ». Les
points d'accès Wi-Fi gratuits et publics sont très
faciles à contrefaire, ce qui les rend plus courants.
La contrefaçon de certificats de sécurité facilite
l'interception et la modification des données en
transit, ou installation de chevaux de Troie.
TOUTES DERNIÈRES ATTAQUES
ET VULNÉRABILITÉS
iOS Android
Attaque
XSSer
SEPTEMBRE
Attaque
WireLurker
Masque
NOVEMBRE
Attaque
Pawn Storm
Outils commerciaux
d’accès à distance
FÉVRIER
Attaque
Fobus (fraude)
JUILLET
Attaque
Hacking Team
Masque
KeyRaider
Vulnérabilité
Ins0mnia
Quicksand
Vulnérabilité
Navig. Dolphin
Stagefright
Serialization
Certifi-gate
Multitasking
AOÛT
Attaque
XcodeGhost
Vulnérabilité
Messages SiriAccess
Attaque
Hacking Team
MKero.A (CAPTCHA)
Recordable Activator
Mapin (botnet)
Brain Test (obscurcis.)
Vulnérabilité
Lockerpin.A (log. rançon.)
Contournement de l’écran
de verrouillage
SEPTEMBRE
OCTOBRE
Vulnérabilité
Nouvelle vulnérabilité
CPiOS
DÉCEMBRE
Attaque
YiSpecter
Vulnérabilité
Control Siri
Attaque
Kemoge
Vulnérabilité
Stagefright 2.0
2014 2015
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 25
CRÉATION D'UNE
BARRIÈRE
La prévention des menaces mobiles crée
une barrière fiable. Elle utilise l'analyse des
comportements pour bloquer les menaces avant
qu'elles ne pénètrent dans les appareils mobiles,
et offre une visibilité sur les tentatives d'attaques.
	 À un niveau plus élevé, l'intégration de la
gestion des appareils et la prévention des menaces
avec le pare-feu de nouvelle génération et la
sécurité virtualisée dans le Cloud améliore à la fois
la détection et le blocage des tentatives d'attaques.
Bien sûr, toutes ces ressources doivent être gérées.
Leur intégration dans une plate-forme de gestion
unifiée est essentielle à l'efficacité de votre barrière
de sécurité mobile.
	 La mobilité exige la sensibilisation des
utilisateurs et leur vigilance. Bien que les types
d'attaques varient, l'objectif de l'entreprise reste le
même. Les équipes de sécurité doivent créer une
barrière entre l'appareil personnel d'un employé
et le réseau de l'entreprise, à l'aide de plusieurs
éléments fonctionnant en parallèle.
26 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
Elie Wiesel, écrivain
et activiste politique
« Une fois que vous mettez une vie
au monde, vous devez la protéger.
Nous devons la protéger
en changeant le monde. »
PRENEZDESMESURES
MEILLEURES PRATIQUES POUR
PROTÉGER VOS ACTIVITÉS MOBILES
SENSIBILISEZ VOS
COLLABORATEURS
Nous sous-estimons souvent le risque pour la
confidentialité et la sécurité que nos smartphones
et tablettes nous apportent. Assurez-vous que vos
collaborateurs comprennent les menaces telles
que les escroqueries par phishing et les points
d'accès Wi-Fi non sécurisés. Devenir une victime
ne compromet pas seulement la confidentialité des
données personnelles, mais peut également mettre
en péril les données confidentielles de l'entreprise
hébergées sur les appareils mobiles.
DÉFINISSEZ VOTRE NIVEAU
DE TOLÉRANCE AUX RISQUES
Toutes les entreprises ont les mêmes besoins
en sécurité mobile, mais pas tous les employés
ont besoin du même niveau de protection. Il est
également important de trouver un juste équilibre
entre protection contre les menaces et expérience
utilisateur. Envisagez une approche prescriptive
de la sécurité mobile capable de faire les deux.
Définissez des politiques de sécurité reposant à la
fois sur les rôles des employés qui ont accès et les
types de protection adaptés aux différents types de
données confidentielles.
APPLIQUEZ DES MESURES
DE BASE
Un nombre surprenant de gens ne comprennent pas
entièrement les bases de la sécurité mobile : Activez
les mots de passe ou les verrous biométriques,
activez la localisation et les fonctionnalités de
suppression à distance, et utilisez le chiffrement
sur l'appareil s'il est disponible. Veiller à ce que les
utilisateurs finaux disposent toujours des toutes
dernières versions du système d'exploitation. Ces
mesures de base protègent les appareils mobiles
1
2
3
et les données, ont un net impact sur vos efforts
de sécurité, et protègent également les données
personnelles.
SÉPAREZ DONNÉES
PERSONNELLES ET
PROFESSIONNELLES
La création d'une barrière sécurisée entre les
données professionnelles confidentielles et les
données personnelles des employés hébergées
sur leurs appareils mobiles est un excellent moyen
d'assurer que des erreurs ne se produisent pas.
Les messages et les fichiers stockés dans des
conteneurs sécurisés peuvent être protégés et
chiffrés séparément de l'espace personnel sur un
appareil. La gestion des conteneurs sécurisés pour
gérer les données est plus rapide et plus facile que
la gestion des appareils et de multiples politiques.
INVESTISSEZ EN PRÉVISION
D'UN AVENIR INCERTAIN
Vous pouvez être sûr que les menaces dont vous
n'avez pas conscience aujourd'hui sont celles
qui vous prendront demain au dépourvu. Il est
donc important d'investir dans des technologies
de prévention qui conservent une avance sur
les menaces. Celles-ci devraient également
s'intégrer avec les solutions que vous avez en place
aujourd'hui pour protéger les appareils mobiles tout
en prolongeant votre retour sur investissement.
4
5
POUR EN SAVOIR PLUS
checkpoint.com/mobilesecurity
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 27
28 | CHECK POINT – RAPPORT SÉCURITÉ 2016
4
« Toutes les technologies doivent être considérées comme étant
coupables jusqu'à preuve de leur innocence. »
Jerry Mander, activiste et auteur
ÉTUDE DES
MODÈLES
D'ATTAQUES
ÉTUDE DES MODÈLES D'ATTAQUES | 29
que près de 50 % des internautes dans le monde
se situent en Asie, ils représentent le plus petit
pourcentage de comportement malveillant.1
Les
États-Unis, qui représentent moins de 10  % des
internautes du monde entier, hébergent 26 % des
contenus malveillants.
	 Même s'il semble que les agresseurs
introduisent constamment de nouvelles attaques,
l'analyse montre que le plus souvent, les logiciels
malveillants et les techniques d'attaques tirent parti
d'attaques antérieures et de faiblesses connues.
Créer de nouvelles variantes inconnues à partir de
logiciels malveillants connus est relativement peu
coûteuxetsimplepourlespirates,mêmedébutants.
Les kits d'exploitation de vulnérabilités sont passés
de simples trousses à outils à des offres complètes
de services pour la cybercriminalité. Dans le cadre
de ces offres, les opérateurs paient à l'utilisation,
uniquementlorsqueleslogicielsmalveillantsontété
installés avec succès sur la machine d'une victime.
Les pirates ont une multitude de choix quant
Pour conserver une longueur d'avance sur les
agresseurs, il faut comprendre les méthodes qu'ils
utilisent, les voies qu'ils suivent et les endroits
où ils obtiennent des résultats. L'étude des
caractéristiques et des tendances d'attaques est
une partie importante de ce récit.
	 En 2015, les logiciels rançonneurs ont
fait la une de l'actualité, car les entreprises et les
particuliers étaient prêts à payer pour récupérer
l'accès à leurs fichiers chiffrés et verrouillés
par des logiciels malveillants. L'absence de
sauvegarde récente ou le temps nécessaire à
la restauration de la sauvegarde a conduit de
nombreuses entreprises à choisir de payer pour
obtenir la clé de déchiffrement de leurs propres
contenus, tout en essayant d'empêcher la
prochaine attaque. Dès qu'il existe une solution
pour lutter contre un type d'attaque, de nouvelles
méthodes alternatives le remplacent.
	 L'analyse révèle des modèles distincts
dans ces nouvelles menaces. Par exemple, alors
4.1 SOURCE : Statistiques mondiales d'Internet, www.internetworldstats.com/stats.htm, novembre 2015
INTERNAUTES DANS LE MONDE PAR RÉGION
Amérique latine/
Caraïbes 10,2 %
48,2 % Asie
Europe 18 %
Amérique du Nord 9,3 %
Afrique 9,8 %
3,7 % Moyen-Orient
Océanie/
0,8 % Australie
Logiciels rançonneurs :
pour s'enrichir plus intelligemment
sans effort
30 | ÉTUDE DES MODÈLES D'ATTAQUES
Comme les entreprises légitimes, les cybercriminels doivent parfois se réoutiller lorsque la
performance d'un « produit » diminue. En analysant les renseignements de cette année, Check
Point a découvert que les criminels développaient leurs attaques de logiciels rançonneurs tout
en réduisant celles des chevaux de Troie bancaires. Il existe plusieurs raisons pour lesquelles
nous pensons que les logiciels rançonneurs, qui attaquent en chiffrant les fichiers d'un utilisateur
et en exigeant le paiement d'une rançon pour les déchiffrer, deviendront la méthode d'attaque
privilégiée de ceux qui veulent « voler intelligemment sans effort ».
Vol difficile :
les logiciels malveillants bancaires
Vider des comptes bancaires en ligne était
auparavant facile : il suffisait d'amener les
utilisateurs à une fausse copie du site web de leur
banque, capturer leurs identifiants de connexion,
puis se connecter sur le véritable site web de la
banque pour transférer des fonds vers le compte
d'une mule. Les agresseurs doivent désormais composer avec l'authentification à 2 facteurs et se
connecter au site de la banque à partir de l'ordinateur et de l'appareil reconnu des utilisateurs.
Les transferts de fonds peuvent déclencher des systèmes antifraude qui bloquent les transferts
et gèlent les comptes. Les criminels doivent également personnaliser les contenus des faux sites
web de chaque banque cible.
Vol intelligent :
les logiciels rançonneurs
Les logiciels rançonneurs peuvent attaquer
n'importe quel utilisateur, pas seulement les clients
des banques, ce qui augmente considérablement
la population de cibles potentielles par rapport
aux logiciels malveillants bancaires. Ils forcent les
victimes à payer rapidement au risque de perdre
l'accès à leurs contenus vitaux sans qu'il soit nécessaire aux utilisateurs de se connecter pour
capturer leurs identifiants. Après le chiffrement des données, une demande de rançon indique
aux victimes comment payer, ou comment trouver le « propriétaire » dans l'Internet anonyme et
clandestin TOR. De récentes données montrent que certains logiciels rançonneurs intègrent une
clé afin de leur éviter d'avoir à communiquer avec un serveur externe pour obtenir les clés de
ÉTUDES DES MODÈLES D'ATTAQUES | 31
chiffrement avant de lancer l'attaque. Aucun serveur de contrôle n'étant nécessaire, une seule
approche de logiciel rançonneur fonctionne pour tous les utilisateurs. Seule la courte note de
rançon nécessite une traduction mais les agresseurs peuvent diriger les victimes vers Google
Translate pour éviter entièrement ce travail de traduction.
Les logiciels rançonneurs utilisent généralement des méthodes de paiement alternatives telles
que bitcoin, ce qui permet des transferts de fonds que les utilisateurs ne peuvent contester et que
les banques ne peuvent annuler. Le brouillage des portefeuilles de bitcoins empêche les autorités
de retracer les transactions, et il est facile de convertir anonymement des bitcoins dans toute
autre monnaie.
Résumé
Quatre facteurs facilitent les attaques de logiciels rançonneurs :
1. Les logiciels rançonneurs ciblent de nombreuses victimes potentielles.
2. Les attaques nécessitent peu d'efforts car il n'est pas nécessaire d'héberger ni de maintenir de
serveurs personnalisés pour chaque base ciblée.
3. Les attaques sont simples à réaliser de bout en bout.
4. La réception des paiements des victimes est quasi-assurée et intraçable.
Prédictions
• Avec des profits élevés et peu d'efforts, nous nous attendons à ce que les attaques de logiciels
rançonneurs augmentent.
• Comme les logiciels malveillants bancaires, nous nous attendons à ce que des défenses avancées
forcent les logiciels rançonneurs à devenir plus complexes et plus évasifs.
• Le nombre réduit de victimes de logiciels rançonneurs obligera les menaces à cibler les grandes
entreprises pour améliorer les résultats de chaque attaque. Nous nous attendons à voir plus de
cas similaires aux attaques telles que Samsam sur des hôpitaux et des entreprises.
• Les attaques vont se déplacer à l'intérieur des entreprises ou sur du stockage partagé pour
chiffrer les données. Cela permettra d'accroître le montant des paiements en impliquant plusieurs
utilisateurs.
• Pour le secteur public, nous nous attendons à l'émergence de nouvelles formes d'attaques
telles que des logiciels rançonneurs de chantage, menaçant de divulguer des informations
embarrassantes au risque d'exposer publiquement les utilisateurs s'ils ne paient pas.
9,5 %
Pays-Bas
5,2 %
Suisse
5,3 %
Pologne
47,6 %États-Unis
4,9 %
Chine
26 %
Allemagne
8,7 %
Portugal
5,4 %
Grande-Bretagne
États-Unis
24,8 %Autres
3,9 %
Fichiers malveillants Sites web malveillants
32 | ÉTUDE DES MODÈLES D'ATTAQUES
aux logiciels malveillants connus et inconnus, et
les points d'entrée facilement exploitables dans
Android et Microsoft Windows.
	 Pour conserver une longueur d'avance,
notre équipe de recherche analyse un large
éventail d'aspects de ces d'attaque et améliore
en permanence les défenses contre les menaces
inconnues et zero-day. Certains éléments
comprennent :
• La provenance des attaques
• Les types d'attaques les plus populaires
• Les plus grandes zones de vulnérabilité
• Comment les agresseurs parviennent à entrer
	 Ces données aident Check Point à ajuster
et affiner ses flux de renseignements sur les
menaces. La compréhension des origines, des
destinations et des méthodes clés des attaques,
façonne les approches pour une meilleure défense.
ORIGINE DES
ATTAQUES
Parmi les 7,4 milliards de personnes sur la planète,
moins de 5 % vivent aux États-Unis. Malgré cela, les
États-Unis sont en tête en matière d'hébergement
de fichiers et de sites web malveillants. Bien
que cela semble disproportionné, les États-Unis
comptent deux foix plus d'internautes par habitant
que le reste du monde, avec une moyenne de
87,9 % par rapport à la moyenne du reste du monde
de 44,2%.2
Les États-Unis comptent également
la majorité des marques Internet pionnières, ce
qui en fait une cible attrayante. Une population
technophile crée plus d'innovations, à la fois utiles
et malveillantes.
4.2 SOURCE : Check Point Software Technologies
POURCENTAGE DES
PRINCIPAUX
PAYS HÉBERGEANT DES
FICHIERS ET DES SITES
MALVEILLANTS
2014
2015
POURCENTAGE DES PRINCIPAUX VECTEURS D’ATTAQUES
DÉNI DE
SERVICE
FUITE DE
DONNÉES
CORRUPTION
MÉMOIRE
EXÉCUTION DE
CODE
60 %
35 %
10 %
34 %
30 %
19 %
68 %
39 %
6 %
43 %DÉPASSEMENT DE
MÉMOIRE TAMPON
ÉTUDE DES MODÈLES D'ATTAQUES | 33
laisser de trace. Pour plus d'informations sur ce
sujet, consultez notre billet de blog Heartbleed sur
www.checkpoint.com.
	 Avec la disponibilité de correctifs
pour protéger les entreprises contre cette
vulnérabilité, les agresseurs ont été obligé de
passer à d'autres vecteurs d'attaques. Même des
années après la disponibilité de correctifs pour
Heartbleed, l'exploitation de cette vulnérabilité3
reste encore viable car toutes les entreprises ne
les ont pas installés.
	 En 2015, les modèles d'attaques ont
changé, et près de 68 % des entreprises ont connu
au moins une attaque d'exécution de code. Ces
attaques ont besoin d'une technique pour exécuter
du code à distance.
	 Les exécutions de code peuvent être
déclenchées même en présence de défenses, ce
qui les rend très attrayantes. Une des techniques
d'exécution de code les plus populaires est
TYPES
D'ATTAQUES
LES PLUS
POPULAIRES
Les passerelles de sécurité Check Point signalent
chaque année les méthodes d'attaques privilégiées,
ou principaux vecteurs d'attaques. En 2014, les trois
principaux vecteurs d'attaques étaient les dénis
de service (DoS), les dépassements de mémoire
tampon et l'exécution de code. En 2015, les
dépassements de mémoire tampon ont fortement
chuté, et l'exécution de code est devenue le vecteur
le plus populaire.
	 LebugHeartbleedafaitdudépassementde
mémoire tampon la méthode d'attaque dominante
de 2014. Son nom provient de l'exploitation d'une
faille dans la fonction heartbeat du protocole TLS
(sécurité de la couche de transport).
	 Grâce à ce bug, des agresseurs utilisaient
des serveurs vulnérables pour récupérer jusqu'à
64  Ko de données confidentielles de manière
répétée dans la mémoire de l'ordinateur, sans
36 ATTAQUES D'EXÉCUTION
DE CODE ONT EU LIEU
CHAQUE JOUR EN 2015
4.3 SOURCE : Check Point Software Technologies
34 | ÉTUDE DES MODÈLES D'ATTAQUES
ROP (return-oriented programming). Lors de
l'ouverture d'un document infecté, ROP détourne
de petits morceaux de code légitimes et ordonne au
processeur de les charger et d'exécuter le logiciel
malveillant réel. Apparaissant légitime pour la
plupart des systèmes de sécurité, la détection de
cette manipulation au niveau du processeur est
essentielle pour stopper les attaques avant même
qu'elles ne se produisent.
	 Les dénis de service continuent d'être un
moyen attrayant d'attaque et de perturbation, avec
35,1  % des entreprises victimes d'au moins une
attaque DDoS. En 2015, les attaques DDoS sont
passées à 73 événements par jour, par rapport à un
chiffre déjà stupéfiant de 48 événements par jour
en 2014.
UNE NOUVELLE ATTAQUE
DDOS S'EST PRODUITE
TOUTES LES 20 MINUTES
PLUS GRANDES
ZONES DE
VULNÉRABILITÉS
Des vulnérabilités existent dans la plupart des
logiciels que nous utilisons dans l'entreprise.
L'un des plus grands référentiels de vulnérabilités
connues, la base de données CVE (vulnérabilités
courantes), signale que les vulnérabilités de 2015
étaient de 15 % supérieures à la moyenne observée
au cours des huit précédentes années. Les logiciels
malveillants qui exploitent des vulnérabilités
connues restent une menace importante, ce qui
fait des correctifs et des mises à jour une nécessité
pour tous les logiciels.
	 Des points d'entrée existent dans de
nombreux endroits. La lutte contre les logiciels
malveillants connus nécessite l'application
régulière de patchs correctifs et de mises à
5 6322008
5 7322009
4 6392010
4 1502011
5 2882012
5 1862013
7 9372014
6 4882015
NOMBRE DE VULNÉRABILITÉS COURANTES
4.4 SOURCE : Base de données CVE (vulnérabilités courantes)
ÉTUDE DES MODÈLES D'ATTAQUES | 35
jour sur une quantité sans cesse croissante de
matériels. Les serveurs, les outils de sécurité, les
ordinateurs, les points d'accès sans fil et même
les imprimantes réseau nécessitent des mises à
jour régulières. Avec autant d'équipements et de
points d'entrée dans le réseau, il est facile d'en
oublier certains.
COMMENT
LES PIRATES
PARVIENNENT
À ENTRER
Même si elle est en légère diminution par
rapport aux années précédentes, l'énorme base
installée de systèmes d'exploitation, navigateurs,
applications de productivité et autres de Microsoft,
reste en tête du volume d'événements de sécurité.
Joomla et WordPress pour le web et le commerce
électronique sont remontés dans le classement
cette année. L'open source est très commun, et
les systèmes de gestion des contenus (CMS) sont
des applications extrêmement attrayantes pour
les cybercriminels, comme moyen de diffusion de
logiciels malveillants.
	 SuperFish a rejoint les premières places
du classement en 2015. Ce logiciel publicitaire,
découvert sur de nombreux ordinateurs Lenovo,
fait bien plus que d'intercepter des résultats
de recherche. Il est mesure d'intercepter les
recherches chiffrées en installant un certificat
racine de confiance non unique pour usurper le
trafic HTTPS. SuperFish permet à des pirates
d'exécuter une attaque classique de type homme
du milieu sans alerter le navigateur. C'est devenu
un vecteur d'attaque populaire, qui a entraîné
un avertissement de la part du gouvernement
américain en février 2015 pour les utilisateurs de
Lenovo.4
Lenovo l'a depuis retiré de ses nouveaux
ordinateurs.
4.5 SOURCE : Check Point Software Technologies
2014
2015
POURCENTAGE D’ÉVÉNEMENTS DE SÉCURITÉ
PAR PRINCIPAUX ÉDITEURS
MICROSOFT
ADOBE
APACHE
HP
SUN/ORACLE
MOZILLA
JOOMLA
MICROSOFT
JOOMLA
SUPERFISH
WORDPRESS
MORPHEUS
APACHE
ADOBE
8 %
8 %
63 %
17 %
12 %
9 %
7 %
6 %
5 %
14 %
3 %
6 %
3 %
77 %
Phishing :
de plus gros appâts
pour attraper les
entreprises
Au bout de deux décennies, les escroqueries
par phishing qui convainquent les utilisateurs
de révéler des informations confidentielles,
telles que des numéros de cartes bancaires et
des identifiants bancaires, restent une source
de revenus populaire pour les cybercriminels.
Comme les utilisateurs sont devenus plus
conscients des risques, et que la détection
du spam et du phishing s'est améliorée,
les criminels se sont tournés vers d'autres
techniques pour améliorer leur taux de
réussite. Cependant, ces nouvelles approches
prennent plus de temps et d'efforts à mettre
en œuvre, et fournissent des résultats
relativement modestes pour chaque délit.
Pour maximiser leur « prise », les criminels
recalibrent les attaques de phishing massives
prévues pour des utilisateurs aléatoires en
attaques très ciblées sur des employés de
grande valeur en entreprise.
Évolution du phishing
Le phishing ciblé est le nom donné à des
attaques très ciblées qui utilisent des méthodes
d'escroquerie et d'ingénierie sociale pour
dérober des identifiants et autres informations
utiles auprès de groupes d'utilisateurs
spécifiques, d'entreprises spécifiques, ou
même d'individus spécifiques. Pour mener
une attaque de phishing ciblée réussie,
l'auteur investit beaucoup plus de temps et
d'efforts de préparation pour recueillir des
informations détaillées sur les cibles visées.
Par exemple, un agresseur peut mener des
recherches sur les fournisseurs utilisés par la
société, les prestataires tels que les cabinets
comptables ou les partenaires commerciaux de
l'entreprise. L'agresseur identifie ensuite des
individus spécifiques et leurs adresses email,
et leur envoie des emails falsifiés apparaissant
comme légitime à presque tous les égards.
Les emails invitent les utilisateurs à ouvrir
une pièce jointe ou les redirigent vers un site
web contrefait de grande qualité. Le résultat
net de ces méthodes améliorées d'ingénierie
sociale est un taux de réussite beaucoup plus
élevé. Les entreprises ayant généralement
des réserves financières beaucoup plus
importantes que l'utilisateur moyen, la
« prise » typique de chaque escroquerie de
phishing ciblé est nettement plus élevée.
Chasse à la baleine
Le phishing ciblé se transforme désormais
en attaques de « chasse à la baleine ».
Cette forme élaborée de phishing ciblé vise
généralement les cadres de direction, et tire
son nom de la « pêche aux gros poissons ».
Par exemple, un agresseur pourrait envoyer
un email falsifié se faisant passer pour une
correspondance du PDG au directeur financier,
lui demandant de transférer des fonds sur un
compte bancaire spécifique. Ces approches
sont si crédibles qu'elles ont réussi à
convaincre certains professionnels avisés. Au
moment où la vérité est découverte, l'argent
a disparu depuis longtemps. Pour effacer
toute trace, certains agresseurs utilisent des
comptes de mules pour une seule attaque.
Selon le FBI, au cours des deux dernières
années et demie, les escroqueries de chasse
à la baleine ont détourné plus de 2 milliards
d'euros des entreprises.
	 Il est certain que les agresseurs
continueront de développer des moyens
innovants pour conduire les utilisateurs
à compromettre leurs systèmes. La
sensibilisation des utilisateurs et des
technologies de pointe sont nécessaires pour
empêcher les utilisateurs de devenir victimes
de ces escroqueries.
36 | ÉTUDE DES MODÈLES D'ATTAQUES
PRENEZDESMESURES
MEILLEURES PRATIQUES
Les entreprises ont besoin d'une stratégie unifiée de prévention des menaces. Les
logiciels malveillants connus restent une grande menace. De nouvelles techniques
font croître le volume de logiciels malveillants inconnus et zero-day de manière
significative. Elles exigent des solutions capables de stopper les menaces connues et
inconnues en temps réel, y compris les menaces les plus évasives. La supervision des
communicationssortantesestégalementimportantepourrepérerlescomportements
anormaux avant que des dommages ne se produisent.
UNIFIEZ
L'ARCHITECTURE
Protégez votre réseau contre les logiciels
malveillants et les menaces zero-day avancées.
Étendez ces protections aux postes fixes et mobiles,
aux services dans le Cloud et aux environnements
virtuels pour empêcher les menaces de se propager
dans l'entreprise.
PROTÉGEZ TOUS LES
ENVIRONNEMENTS
Utilisez une architecture de sécurité agnostique
pour stopper les menaces de manière uniforme
contre les datacenters, les plates-formes dans
Cloud, les datacenters logiciels, sous forme de
services, hybrides, et les environnements mobiles.
STOPPEZ LES LOGICIELS
MALVEILLANTS ET LES
EXPLOITATIONS DE
VULNÉRABILITÉS ZERO-DAY
L'augmentation des attaques d'exécution de code,
y compris des techniques avancées telles que
ROP, contournent les bacs à sable traditionnels.
L'émulation des menaces au niveau du processeur
détecte les logiciels malveillants lors de la phase
d'exploitation, avant que les pirates n'appliquent
des techniques de contournement du bac à sable.
1
2
3
ADMINISTREZ LA SÉCURITÉ
VIA UNE SEULE CONSOLE
L'administration unifiée de la sécurité améliore
l'efficacité de la sécurité et la visibilité sur les
journaux.
ADOPTEZ UNE MÉTHODOLOGIE
DE TRAITEMENT DES INCIDENTS
Jusqu'à ce que vous ayez unifié la prévention en
temps réel, vous avez besoin de continuer de
traiter les incidents. L'équipe de traitement des
incidents de Check Point est disponible 24 heures
sur 24 et 365 jours par an pour analyser et résoudre
les attaques de logiciels malveillants et autres
événements de sécurité touchant votre entreprise.
Contactez-nous au +1 866 923 0907 ou par email à
emergency-response@checkpoint.com.
4
5
POUR EN SAVOIR PLUS
checkpoint.com/management
ÉTUDE DES MODÈLES D'ATTAQUES | 37
38 | CHECK POINT – RAPPORT SÉCURITÉ 2016
5
RÉPERCUSSIONS
DE L'INSÉCURITÉ
« Tout ce que nous faisons, même la moindre chose, peut avoir une
conséquence et des répercussions qui en émanent. Si vous jetez un
caillou dans l'eau d'un côté de l'océan, un raz de marée peut se
produire de l'autre côté. »
Victor Webster, acteur
RÉPERCUSSIONS DE L'INSÉCURITÉ | 39
Vous changerez vos habitudes non seulement pour
combattre l'insécurité, mais pour vous sentir plus
en sécurité, ce qui peut être plus coûteux. Les failles
en entreprise ne sont pas différentes. Là aussi, les
répercussions peuvent être plus dommageables
que l'événement initial.
	 Le calcul de la valeur financière de
l'informationestcomplexe,maisilexisteaujourd'hui
plusieurs façons de l'estimer. En 2013 et en 2014,
une vague d'attaques a ciblé de grandes entreprises
telles qu'Anthem, Target, Home Depot et Sony, pour
obtenir des renseignements personnels. Le coût
moyen d'une fuite de données est de 136  euros
par enregistrement selon une étude de Ponemon,
et pour les nombreux incidents impliquant des
milliers, voire des millions d'enregistrements,
le coût total moyen d'une seule fuite est passé à
3,35 millions d'euros en 2015.1
	
L'impact de la cybercriminalité coûte plus cher
que la valeur de l'information dérobée. Les
répercussions sont souvent plus dommageables
que le vol même. La perte de confiance, aussi bien
au sein de votre entreprise que de vos clients, vous
conduit à dépenser plus que nécessaire sur les
remèdes, tels que dédommager les fournisseurs
et les partenaires touchés, et provoque la fuite de
vos clients.
	 Si quelqu'un faisait irruption dans votre
maison, vous ne vous sentiriez pas en sécurité. Votre
compagnie d'assurance vous remboursera la valeur
des objets volés, mais le sentiment de sécurité ne
peut être remplacé si facilement. Vous deviendrez
plus prudent et investirez même dans un système
de sécurité plus moderne, ou commencerez à
stocker vos objets de valeur ailleurs, ou bien vous
sortirez moins, pour vous sentir plus en sécurité.
5.1 SOURCE : Indice de niveau de faille de Gemalto
2014
2015
RÉPARTITION
DES PRINCIPALES
FUITES DE DONNÉES
PAR SECTEUR
COMMERCE DE DÉTAIL
TECHNOLOGIE AUTRE
SANTÉ
GOUVERNEMENTÉDUCATION
9%
17%
19%
4%
42%
3%
5%
53%
5%
14%
5%
40 | RÉPERCUSSIONS DE L'INSÉCURITÉ
	 En 2015, le nombre de failles a diminué
légèrement, passant de 1 milliard de dossiers en
2014 à un peu plus de 700 millions en 2015, selon
le cabinet d'études Gemalto.2
Bien que cela semble
prometteur, tous les enregistrements n'ont pas la
même valeur.
	 En 2014, la cible principale était les
données de cartes bancaires qui ont une durée
de vie relativement courte, les banques annulant
les débits et réémettant de nouvelles cartes
rapidement. En 2015, les agresseurs sont passés
à des données avec une durée de vie plus longue :
renseignements personnels et vol d'identité. Les
agresseurs sont passés de cibles principalement
dans les secteurs financiers et du commerce de
détail en 2014 à des cibles dans les secteurs du
gouvernement et de la santé en 2015. Plus la durée
de conservation d'un enregistrement est longue,
plus la remise en état est coûteuse.	
	 Le calcul des coûts initiaux d'une
faille comprend plusieurs dépenses directes  :
• La valeur de la propriété intellectuelle dérobée
• Le délai d'analyse, de remise en état et
d'amélioration des défenses de tous les systèmes
compromis
• La vérification de tous les systèmes de l'entreprise
à la recherche de toute infection cachée
• La restauration des systèmes à partir des
sauvegardes, y compris la vérification de ces
sauvegardes à la recherche de vulnérabilités
• La modification des procédures de sécurité et la
formation du personnel aux nouvelles procédures
	 Les coûts des répercussions moins
évidentes, cependant, occultent rapidement ces
coûts directs. Dans le cas de l'attaque contre
Target, les 40 millions de cartes bancaires dérobées
fin 2013 a coûté à Target 220 millions d'euros en
dépenses directes les deux premières années, mais
5.2 SOURCE : Check Point Software Technologies
RÉPARTITION DES ENTREPRISES
AYANT SUBI DES FUITES DE DONNÉES
100 %
88 %
86 %
85 %
81 %
73 %
CONSEIL
INDUSTRIE
GOUVERNEMENT
FINANCE
COMMERCE DE DÉTAIL ET DE GROS
TÉLÉCOM.
ce chiffre continue d'augmenter. Certaines sources
estiment que les coûts dépasseront finalement
2 milliards d'euros en incluant les pertes des débits
frauduleux, le remboursement des fournisseurs
et les pénalités issues des procès. La reprise sur
incident coûte cher.
	 Les failles de sécurité servent
généralement à dérober des données, et souvent
les petites entreprises sont plus faciles à attaquer
que les grandes. Selon une étude de Trustwave,
90  pour cent des fuites de données touchent les
petites entreprises, qui ont beaucoup plus de
difficultés à survivre à l'impact. Même si les petites
entreprises ne sont pas en possession de grandes
quantitésdedonnéespersonnelles,ellesdétiennent
souvent les clés d'accès à ceux qui en possèdent.
	 Les répercussions sur la réputation
de l'entreprise sont difficiles à estimer, mais
sont très réelles. Si une entreprise dispose
d'un bon soutien auprès de sa clientèle et gère
soigneusement la situation, les clients seront
peut-être ébranlés mais ne partiront pas.
Cependant, pour les petites entreprises, toute
perte de confiance des clients est dévastatrice.
	 Les failles au niveau du gouvernement
entraînent de gros problèmes de confiance, mais
RÉPERCUSSIONS DE L'INSÉCURITÉ | 41
leur impact financier est limité par rapport à une
entreprise publique ou privée. Les trois secteurs
privés qui subissent les impacts financiers les
plus forts sont les services financiers, la santé
et l'industrie. Comme beaucoup de gens ont la
mauvaise habitude de réutiliser leurs mots de
passe, la perte d'un mot de passe sur un site
a souvent des répercussions. Les agresseurs
utilisent un mot de passe dérobé pour accéder
à d'autres sites et applications utilisées par
la victime, ce qui produit de multiples failles.
5.3 SOURCE : Check Point Software Technologies
SERVICES
FINANCIERS
Notre étude montre que les institutions
financières font face à des taux beaucoup plus
élevés d'attaques que tout autre secteur. Nous
ne sommes pas les seuls à tirer cette conclusion.
Un rapport de Websense Security Labs en 2015
souligne également que les institutions financières
subissent 300 pour cent plus de cyberattaques que
tout autre secteur.3
LES FUITES D'INFORMATIONS ONT
AUGMENTÉ DE PLUS DE 400 % AU
COURS DES TROIS DERNIÈRES ANNÉES
Parmi les plus importantes pressions sur le marché de la finance en 2015 :
42 | RÉPERCUSSIONS DE L'INSÉCURITÉ
Conclusions pour le secteur de
la finance en 2015
83 % des dirigeants d'entreprises du secteur de la finance conviennent que la capacité de
lutter contre les cybermenaces et la protection des données personnelles seront l'un des
plus grands défis en matière de renforcement de la réputation au cours des 12 prochains
mois4
24 % d'augmentation des pertes financières suite à des incidents5
73 % des consommateurs américains changent de prestataire de services financiers suite
à des failles ou des fuites de données personnelles6
61 % des consommateurs ne font pas confiance aux institutions financières7
44 % des entreprises du secteur de la finance ont signalé des pertes d'activité de 20 %
ou plus au cours des douze derniers mois en raison de problèmes de réputation et de
satisfaction client. La moyenne se situant à 17 %,soit presque le double de la moyenne
de 20148
42 % des consommateurs américains estiment que ne pas protéger leurs informations
personnelles et financières est la plus grande menace pouvant peser sur la réputation des
entreprises du secteur de la finance9
68 % des consommateurs signalent que toute actualité négative au sujet de leur prestataire
de services financiers, problèmes de conformité réglementaire, activités illégales, amendes,
etc., les conduiront probablement à changer de prestataire10
Les sociétés financières sont des cibles
idéales car leurs données sont plus attrayantes
sur le marché. Les banques de détail, les banques
commerciales avec des bureaux dispersés à
travers le monde, les entreprises de cartes de
crédit, les compagnies d'assurance et les sociétés
de commerce possèdent toutes des données, et
sont connectées à d'autres données. Les services
financiers ne sont pas en tête de la liste des cibles
des attaques en 2015, simplement parce que leurs
efforts en 2014 pour fortifier leurs défenses ont font
une cible plus difficile à pénétrer.
	 La cybersécurité financière est
un écosystème profondément complexe et
multiforme. Les grandes institutions financières
se sont remises en question après 2014. Elles ont
commencé à investir dans des solutions intégrées
plutôt que des produits disparates pour améliorer
encore la protection contre le déluge de menaces
persistantes avancées et les attaques zero-day.
	 Le volume des attaques et des cibles
nécessite une visibilité complète sur les opérations
et l'administration centralisée de la sécurité, mais
pas une transparence totale. Comme les nations
protégeant leurs citoyens, les directions des
grandes institutions financières sont prudentes
quand il s'agit de révéler les méthodes de
protection ou les détails des attaques. Lorsque les
cybercriminels constatent si leurs attaques ont un
impact, ou n'en ont pas, ils adaptent leurs tactiques
ou leurs représailles.
	 La perception de la protection est aussi
importante, sinon plus, que la protection réelle. Les
incidents qui ne produisent aucune fuite de données
personnelles secouent malgré tout la confiance
des clients. Pour cette raison, les institutions
financières partagent désormais des détails sur
les attaques via des flux de renseignements sur
les menaces. Nos partenaires proposent certains
de ces flux. Comme la plupart des pirates utilisent
habituellement les mêmes méthodes d'attaques
couronnées de succès contre plusieurs victimes,
leurs coûts augmentent lorsqu'une méthode
d'attaque ne fonctionne qu'une fois. Plus le piratage
coûte cher, plus le nombre de pirates diminue, ce
qui est plus sécurisant pour tout le monde.
SECTEUR MÉDICAL
Les dossiers médicaux des patients ont la plus
grande valeur sur le marché noir, dix fois plus que
les cartes bancaires et autres données financières.11
Alors qu'un numéro de carte bancaire ou un
identifiant de connexion à un compte bancaire peut
être rapidement réédité, un dossier médical ne le
peut pas. Ils exposent beaucoup plus d'informations
sur un individu, y compris ses sensibilités, ses
vulnérabilités et ses préoccupations personnelles,
ce qui les rend précieux à des fins d'espionnage.
Les entreprises du secteur médical sont des cibles
privilégiées pour les cybercriminels.
	
	 En2015etaudébutde2016,denombreuses
entreprises du secteur médical ont été victimes
d'une multitude d'attaques, principalement de
la part de logiciels rançonneurs. Le secteur de
la santé est traditionnellement en retard sur
des cibles privilégiées telles que le secteur de la
finance en termes de robustesse de la sécurité,
et de nouvelles règlementations concernant la
confidentialité des renseignements personnels
compliquent également l'évolution de la sécurité.
RÉPERCUSSIONS DE L'INSÉCURITÉ | 43
5.4 SOURCE : Check Point Software Technologies
9 % DES ENTREPRISES DU SECTEUR
MÉDICAL/DE L'ASSURANCE ONT SUBI
UNE PERTE DE DONNÉES HIPAA
44 | RÉPERCUSSIONS DE L'INSÉCURITÉ
Conclusions pour le secteur
médical en 2015
60 % d'augmentation des incidents de sécurité dans le secteur médical12
2 % des entreprises du secteur médical aux États-Unis ont signalé au moins un cas de vol
d'identité médicale13
282 % d'augmentation des coûts des failles de sécurité dans le secteur médical au cours des
12 derniers mois14
89 % des prestataires du secteur médical aux États-Unis mettent les données des patients à la
disposition des patients, de substituts et/ou d'autres personnes désignées15
11 types d'outils techniques de sécurité sont mis en œuvre en moyenne par les entreprises du
secteur médical aux États-Unis16
21 % des entreprises du secteur médical aux États-Unis n'utilisent pas de technologie de reprise
sur incident et 51,7 % de celles-ci ont l'intention de s'en procurer une à l'avenir17
54 % des entreprises du secteur médical aux États-Unis ne disposent pas d'un moyen
d'authentification unique (SSO), et 49,3 % d'entre elles ont l'intention de s'en procurer un
à l'avenir18
60 % des entreprises du secteur médical aux États-Unis n'ont pas implémenté de mécanisme
d'authentification à deux facteurs19
19 % des entreprises du secteur médical aux États-Unis déclarent avoir subi une faille de
sécurité l'année dernière20
Seulement 54 % des professionnels de l'informatique auprès des prestataires du secteur
médical aux États-Unis ont testé leur plan d'intervention en cas de fuite de données21
Dans le secteur médical aux États-Unis, les trois premières menaces perçues sont :
(80 %) les travailleurs qui espionnent les données des parents/amis,
(66 %) le vol d'identité financière,
(51 %) le vol d'identité22
RÉPERCUSSIONS DE L'INSÉCURITÉ | 45
OBJETS
CONNECTÉS
INDUSTRIELS
Les objets connectés dans le secteur de l'industrie
(IIoT) sont une tendance significative à la hausse
en 2015, et ont des implications importantes pour
l'économie mondiale. Selon Oxford Economics,23
ce segment regroupe les industries qui contribuent
à 62  pour cent du produit intérieur brut (PIB)
des pays du G20, y compris les services publics,
l'industrie du pétrole et du gaz, l'agriculture
et la fabrication. Sont également incluses les
entreprises de transport et d'infrastructure de
transport (rail, ports), de logistique et de services
médicaux des hôpitaux, et les centrales de
production d'électricité.
	 L'une des plus grandes attractions de
l'IIoT est la promesse d'efficacité opérationnelle.
Les techniques d'automatisation et de production
flexibles conduisent à une augmentation de la
productivité pouvant aller jusqu'à 30 pour cent.24
Cependant, ces appareils sont tous connectés,
sont généralement accessibles et sont laissés
sans surveillance, avec peu ou pas de protection
pour leurs terminaux.
	 Les répercussions des failles des objets
connectés dans le secteur de l'industrie sont
difficiles à mesurer, mais sont généralement
facteurs de perturbations. Les perturbations
des infrastructures essentielles ont d'énormes
implications. Toute panne pourrait avoir un impact
sur des centaines, voire des milliers d'entreprises,
de manière difficilement quantifiable.
	 Parmi tous les progrès actuels de
la technologie, l'IIoT peut potentiellement
produire le plus grand impact et causer le
plus de perturbations. Par exemple, Google
et Tesla produisant des voitures autonomes
sont susceptibles de perturber une multitude
de secteurs, y compris l'industrie automobile,
l'assurance automobile et l'octroi de licences
auprès du gouvernement. Le HealthKit d'Apple
est un autre exemple d'objet connecté ayant de
profondes implications. Si les capteurs de santé
et les applications de santé sont soudainement
librement accessibles aux patients, l'écosystème
des données de santé maintenant occupé par des
médecins, des organismes d'assurance et des
sociétés pharmaceutiques se déplacerait vers les
particuliers.25
	 Les avantages de l'efficacité accrue seront
rapidement éclipsés en cas de fuites de données.
	 Des programmes tels que HIPAA énoncent
des règles strictes concernant la communication
intentionnelle ou accidentelle de renseignements
personnels, mais peuvent entraîner de nouvelles
vulnérabilités. Les prestataires de santé de toute
taille doivent se conformer à ces règlementations
sur les renseignements personnels et leur
sécurité. La protection des renseignements
personnels est parfois prioritaire sur les contrôles
d'accès. L'intégration des appareils connectés
dans les environnements de santé augmente
considérablement la surface d'attaque dans
ce secteur, qui ne s'adapte pas à la taille des
prestataires, ce qui fait des petits prestataires
des cibles de choix. La protection de ce secteur
est également difficile en raison des logiciels et
des systèmes d'exploitation des équipements
maintenant les patients en vie qui ne peuvent être
mis hors ligne pour mise à jour.
	 La conformité dans le secteur de la santé se
concentre principalement sur les contrôles internes
plutôt que sur la protection de l'information. Bien
que la conformité des médecins, des infirmières et
des administrateurs ayant accès aux données, mais
ayant une connaissance limitée des techniques
de cybercriminalité, est certainement importante,
l'accent doit être mis sur la protection des objets
connectés et les contrôles d'accès.
88 % DES ENTREPRISES ONT SUBI UNE FUITE DE DONNÉES
Sécurisation des objets connectés
dans le secteur de l'industrie
Prévention. Si la protection contre les
logiciels malveillants ne peut être implémentée
sur chaque équipement, elle peut résider sur
un point de communication commun à ces
équipements.
Segmentation. Les appareils connectés
devraient communiquer avec un contrôleur
central, et non pas les uns avec les autres.
Protocoles. Il est recommandé d'utiliser
une protection prenant en charge les protocoles
ICS/SCADA spécifiques.
Commandes directionnelles.
Les objets connectés devraient émettre
des rapports, et ne recevoir que quelques
commandes en entrée.
IDENTIFICATION
DES
RÉPERCUSSIONS
Les fuites de données peuvent avoir des impacts
financiers à court terme, qui sont relatifs en
comparaison des dégâts à long terme sur la
position d'une entreprise sur le marché. La valeur
de la marque diminue en moyenne de 21  % en
conséquence directe d'une faille de sécurité.26
La
restauration de votre réputation prend du temps et
dépend de la manière dont la situation est gérée.
	 Adoptez une approche holistique de
la sécurité au lieu d'assembler des solutions
individuelles. Optez pour la prévention des
H. W. Shaw (Josh Billings),
humoriste américain
« Le succès ne consiste pas
à ne jamais faire d'erreurs,
mais à ne jamais faire deux fois
la même. »
46 | RÉPERCUSSIONS DE L'INSÉCURITÉ
menaces, par opposition à la détection et au
traitement des menaces.
	 Pour réduire davantage les risques,
intégrez la prévention des fuites de données dans
votre infrastructure de sécurité et faites appel aux
meilleures pratiques lors de la configuration de
vos politiques de sécurité.
L'équipe de traitement des incidents de Check Point est disponible pour étudier et
résoudre des événements de sécurité complexes résultant d'attaques de logiciels
malveillants, d'intrusions ou d'attaques de déni de service. L'équipe est disponible
24 heures sur 24 et 365 jours par an via emergency-response@checkpoint.com
ou au +1 866 923 0907.
PRENEZDESMESURES
RÉPERCUSSIONS DE L'INSÉCURITÉ | 47
LORSQUE VOUS RÉFLÉCHISSEZ À
VOS OBJECTIFS EN MATIÈRE DE
CYBERSÉCURITÉ, POSEZ-VOUS
CES QUESTIONS
COMPRENDRE
LA SITUATION
À quel point faisons-nous confiance à l'efficacité de
notre cybersécurité contre les menaces zero-day ?
Mes collaborateurs sont-ils correctement formés
sur les cybermenaces et les conséquences
potentielles de leurs actions ?
S'ASSURER DE LA
VISIBILITÉ DES ACTIVITÉS
Avons-nous une visibilité claire sur l'activité de
journalisation dans tous les segments de notre
réseau, ou est-ce que la supervision est trop
complexe pour être utile ?
1
2
PROTÉGER LES CAPACITÉS
DE TRAITEMENT PLUTÔT QUE
LES SERVEURS
Est-ce que les capacités de traitement du Cloud et
des environnements virtuels ou logiciels bénéficient
des mêmes protections que celles gérées par mon
datacenter ?
SE PRÉPARER
Est-ce que les politiques de l'entreprise protègent
les informations et les ressources dans tous les
environnements ?
Comment la direction est-elle informée du niveau
actuel de menace et de l'impact potentiel des
cyberattaques sur notre activité ?
3
4
LANCEZ-VOUS
Découvrez les menaces actives sur votre réseau et les points faibles que vous
pouvez corriger/améliorer. Rendez-vous sur :
checkpoint.com/resources/securitycheckup
48 | CHECK POINT – RAPPORT SÉCURITÉ 2016
6
CONSERVEZ UNE
LONGUEUR D'AVANCE
« Être bien préparé, c'est être à mi-chemin de la victoire. »
Miguel de Cervantes, auteur
Mobilité
Anglais et américains utilisent en moyenne 3 appareils mobiles par personne.1
Les employés combinent utilisation personnelle et professionnelle de leurs équipements,
et jusqu'à 5 appareils mobiles sont infectés.2
IoT
En 2016, 5,5 millions de nouveaux « objets » vont se connecter tous les jours.3
Cloud
Les dépenses mondiales en logiciels d'entreprise augmenteront de 7,5 pour cent
pour atteindre 133 milliards d'euros en 2015.4
CONSERVEZ UNE LONGUEUR D'AVANCE | 49
	 Les appareils mobiles, les objets
connectés et les applications dans le Cloud offrent
de nouvelles libertés, mais ces libertés comportent
de nouveaux risques de sécurité. Pour chaque
modèle d'entreprise perturbatrice, un service
informatique réfléchit à la façon de le protéger.
Par exemple, les communications des appareils
mobiles utilisés pour comptabiliser les stocks
en entrepôt ne doivent pas être compromises ni
interceptées. Les appareils qui automatisent les
relevés médicaux, la distribution d'énergie ou l'air
conditionné des bureaux, doivent être correctement
protégés de toute commande à distance risquant
de les perturber. Les applications dans le Cloud ne
devraient pas comporter d'interface ouverte non
contrôlée permettant à des pirates d'entrer dans
votre réseau.
	 La gestion de la sécurité des objets
connectés sous forme distincte augmentera la
complexité de la gestion de la sécurité. Idéalement,
la sécurité des objets connectés, que ce soit des
biens de consommation ou des systèmes SCADA
industriels, peut être intégrée à l'architecture de
sécurité unifiée et gérée par la même console que
les autres segments du réseau.
Pour qu'une stratégie de sécurité soit efficace,
vous devez comprendre les agresseurs. Le rapport
de cette année montre que l'environnement des
menaces continue de croître en complexité puisqu'il
est plus facile que jamais d'obtenir et déployer
des logiciels malveillants. Un million de nouveaux
logiciels malveillants étaient lancés en 2005. En
2015, ce sont un million de logiciels malveillants
lancés chaque jour.5
Les logiciels malveillants
sont de plus en plus faciles à obtenir et à lancer.
Examinez les attaques réussies, les dernières
vulnérabilités et les tendances d'attaques pour
créer une stratégie de sécurité adaptée à votre
entreprise.
	 Déterminez ensuite l'étendue de la surface
d'attaque de votre entreprise. Les frontières de
l'entreprise continuent de s'étirer et se brouiller, ce
qui complique encore plus la sécurité. Les serveurs
et les ordinateurs de l'entreprise ne définissent
plus ces frontières. Elles sont repoussées par un
nombre record d'appareils mobiles, d'applications
dans le Cloud, et un nombre croissant d'objets
connectés dont votre service informatique n'a pas
conscience. Ces outils améliorent la productivité,
mais chaque extension des frontières de
l'entreprise doit être protégée.
Conformité : la vraie raison
des meilleures pratiques
Savez-vous comment se nomme un groupe de méduses ? Bien qu'il n'existe pas de nom
spécifique pour désigner un groupe de personnes qui rédigent les règlementations en matière de
cybersécurité, comme dans le règne animal, les régulateurs semblent former des groupes. La
preuve d'un comportement de groupe apparaît dans les nombreuses exigences communes que
les régulateurs intègrent aux règles de cybersécurité qui émanent des entreprises du secteur
de l'industrie et du secteur public. Face à ce tissu complexe de règlementations et de lois,
l'utilisation des meilleures pratiques peut vous aider à tirer parti des exigences communes pour
simplifier et améliorer la conformité et la sécurité.
	 Par meilleures pratiques, nous entendons les lignes directrices qui ont pour objectif
d'optimiser la configuration des solutions de cybersécurité. L'élimination des erreurs humaines
est la principale raison de l'utilisation des meilleures pratiques. Selon Gartner, « Jusqu'en 2020,
99 % des failles des pare-feux seront causées par de simples erreurs de configuration du pare-
feu, et non des défauts. »6
Lewis Morgan déclare à propos de la gouvernance : « L'erreur humaine
est la cause de la plupart des fuites de données. Ce n'est donc pas un secret que la plus grande
menace pesant sur les données d'une entreprise provient de ses propres employés, que ce soit un
acte délibéré ou non. »7
	 Compte tenu de l'impact profond que peuvent avoir les erreurs de configuration sur la
sécurité et la conformité, les chercheurs de Check Point se sont intéressés à la manière dont
les entreprises utilisent efficacement les meilleures pratiques, et leur impact sur la conformité.
Ils ont surveillé la configuration des contrôles de sécurité tels que les pare-feux, les systèmes
de détection/prévention d'intrusions, les antivirus et autres, et ont produit des indices sur la
conformité.
	 Nos chercheurs ont été surpris de découvrir que 53,3 pour cent des paramètres de
configuration sont définis conformément aux meilleures pratiques du secteur. Les niveaux de
conformité avec les différents secteurs et normes réglementaires sont présentés dans le tableau
suivant :
Niveaux de conformité à 4 règlementations par secteur
50 | CONSERVEZ UNE LONGUEUR D'AVANCE
SECTEUR RÉGLEMENTATION ÉTAT DE LA CONFORMITÉ
Médical Sécurité HIPAA 59 %
Sécurité informatique générale ISO 27001 64 %
Énergie NERC CIP 67 %
Cartes de paiement PCI DSS 3.1 60 %
Notre étude montre qu'un segment important de professionnels de l'informatique à
travers un large éventail de secteurs n'optimise pas les configurations pour la sécurité et la
conformité. Pour comprendre cela plus en détail, le tableau 2 ci-dessous montre la conformité
avec les meilleures pratiques pour les entreprises des secteurs des infrastructures critiques et
de la finance.
	
Niveaux de conformité par norme de configuration et par secteur
	 Il est intéressant de noter que 3 entreprises sur 10 ne profitent pas de la technologie anti-
usurpation, et qu'une entreprise sur deux ne restreint pas l'accès aux applications à haut risque.
Compte tenu des risques associés à ces techniques de sécurité, ce sont des statistiques explosives.
Une autre constatation pertinente est que la base de règles n'est pas entièrement documentée pour
trois politiques de pare-feu sur quatre.
Meilleures pratiques et reporting
Les meilleures pratiques peuvent également vous aider pour le reporting et la supervision continue
de la conformité, notamment dans le cas d'un audit. La règle 11 de PCI-DSS,8
HIPAA CFR 160-
164,9
FISMA,10
FERPA 99.62,11
la règle 4530 de FINRA et de nombreuses autres réglementations,
nécessitent la supervision de la sécurité et des procédures de reporting. Une fois que vous avez
réglé la question de la configuration, vous pouvez citer les meilleures pratiques pour structurer
efficacement le contenu des rapports d'audit.
CONSERVEZ UNE LONGUEUR D'AVANCE | 51
MEILLEURE PRATIQUE TOUS SECTEURS INFRASTRUCTURES
CRITIQUES
SERVICES
FINANCIERS
Activer l'anti-usurpation 70,0 % 75,5 % 65,0 %
Assurer la documentation
correcte des règles du
pare-feu
28,0 % 30,0 % 30,0 %
Définir les options de
supervision des règles de
sécurité
20,0 % 22,0 % 30,0 %
Bloquer les applications
et les sites web à haut
risque
49,5 % 54,0 % 45,0 %
Il n'existe pas assez de professionnels de
la sécurité pour supporter la demande croissante
en administration et en supervision des systèmes
informatiques, et les professionnels disponibles
doivent jongler entre demandes de routine et
alertes urgentes. Ils sont également accaparés par
les processus manuels et les systèmes cloisonnés.
Ils ont besoin d'outils avancés de prévention des
menaces s'appliquant à tous les points, avec
administrationcentraliséeetexécutionméthodique,
pour les aider. Les systèmes d'administration qui
améliorent l'efficacité sont essentiels.
	 Les approches traditionnelles de la
sécurité ne suffisent plus. Pour s'adapter
à la constante expansion du périmètre des
réseaux, les équipes informatiques doivent
fondamentalement transformer leur approche
BEAUCOUP DE
FEUX, TRÈS PEU
DE POMPIERS
Avec tant de logiciels malveillants, tant de vecteurs
d'attaques et tant d'appareils à protéger, aucune
entreprise, grande, petite, privée ou publique,
n'est à l'abri. Nous courrons tous des risques.
À mesure que les menaces et les attaques se
développent, le nombre d'appareils et d'outils
de sécurité que votre service informatique doit
gérer suit cette tendance. Même avec des budgets
informatiques illimités, le nombre de personnes
qualifiées reste limité !
52 | CONSERVEZ UNE LONGUEUR D'AVANCE
6.1 SOURCE : Enquête de Verizon sur les fuites de données en 2016, page 10
Délai jusqu’à découverte
(réel)
100%
75%
50%
25 %
0 %
2005 2007 2009 2011 2013 2015
Délai jusqu’à vulnérabilité
(tendance)
Délai jusqu’à découverte
(tendance)
Délai jusqu’à vulnérabilité
(réel)
%
Fenêtre d’exposition
entre vulnérabilité
et découverte
Fenêtred’expositiondeplusieursjoursoumoins
FENÊTRE D’EXPOSITION ENTRE
VULNÉRABILITÉ ET DÉCOUVERTE
67 % 56 % 55 % 61 % 67 % 62 % 67 % 89 % 62 % 76 % 62 % 84 %
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016

Contenu connexe

Tendances

Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Symantec
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
Robert Half France
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
OpinionWay
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
polenumerique33
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
OPcyberland
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
sidomanel
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Eric DUPUIS
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
ITrust - Cybersecurity as a Service
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 

Tendances (14)

Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Le Monde Informatique.PDF
Le Monde Informatique.PDFLe Monde Informatique.PDF
Le Monde Informatique.PDF
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 

En vedette

Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
Blandine Delaporte
 
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Wavestone
 
Recetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosaRecetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosa
antonio12345h
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
Les Français et la relation homme machine
Les Français et la relation homme machineLes Français et la relation homme machine
Les Français et la relation homme machine
Ipsos France
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]
Wixiweb
 
Organisation type-contrôleinterne
Organisation type-contrôleinterneOrganisation type-contrôleinterne
Organisation type-contrôleinterne
AZOUZ HASNAOUI
 
Ingénierie de la sécurité incendie
Ingénierie de la sécurité incendieIngénierie de la sécurité incendie
Ingénierie de la sécurité incendie
Professeur Falloul
 
La prevention des risques machines
La prevention des risques machinesLa prevention des risques machines
La prevention des risques machines
chokri SOLTANI
 
La demarche de prevention des risques machines
 La demarche de prevention des risques machines La demarche de prevention des risques machines
La demarche de prevention des risques machines
chokri SOLTANI
 
Présentation atelier tubes&co
Présentation atelier tubes&coPrésentation atelier tubes&co
Présentation atelier tubes&co
Sens&co
 
Atelier Lean Startup : Théorie et Pratique
Atelier Lean Startup : Théorie et PratiqueAtelier Lean Startup : Théorie et Pratique
Atelier Lean Startup : Théorie et Pratique
Sébastien Sacard
 
La sécurité et php
La sécurité et phpLa sécurité et php
La sécurité et php
Christophe Villeneuve
 

En vedette (14)

Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
 
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
 
Recetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosaRecetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosa
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite php
 
Les Français et la relation homme machine
Les Français et la relation homme machineLes Français et la relation homme machine
Les Français et la relation homme machine
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]
 
Organisation type-contrôleinterne
Organisation type-contrôleinterneOrganisation type-contrôleinterne
Organisation type-contrôleinterne
 
Ingénierie de la sécurité incendie
Ingénierie de la sécurité incendieIngénierie de la sécurité incendie
Ingénierie de la sécurité incendie
 
La prevention des risques machines
La prevention des risques machinesLa prevention des risques machines
La prevention des risques machines
 
La demarche de prevention des risques machines
 La demarche de prevention des risques machines La demarche de prevention des risques machines
La demarche de prevention des risques machines
 
Présentation atelier tubes&co
Présentation atelier tubes&coPrésentation atelier tubes&co
Présentation atelier tubes&co
 
Atelier Lean Startup : Théorie et Pratique
Atelier Lean Startup : Théorie et PratiqueAtelier Lean Startup : Théorie et Pratique
Atelier Lean Startup : Théorie et Pratique
 
Atelier projet urbain
Atelier  projet urbain Atelier  projet urbain
Atelier projet urbain
 
La sécurité et php
La sécurité et phpLa sécurité et php
La sécurité et php
 

Similaire à Rapport de Sécurité Check Point 2016

Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)niokho
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
FootballLovers9
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
Pierre SARROLA
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
ssuserc72852
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational_France
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
ITrust - Cybersecurity as a Service
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
Aurélie Sondag
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & Cisco
Exaprobe
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
Antoine Vigneron
 
Gestion de la sécurité des données en France - étude 2016
Gestion de la sécurité des données en France - étude 2016Gestion de la sécurité des données en France - étude 2016
Gestion de la sécurité des données en France - étude 2016
Laura Peytavin
 
Etude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les financesEtude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les finances
Thibault Deschamps
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Alain EJZYN
 
Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018
Société Tripalio
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
Serge Richard
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
EY
 

Similaire à Rapport de Sécurité Check Point 2016 (20)

Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & Cisco
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Gestion de la sécurité des données en France - étude 2016
Gestion de la sécurité des données en France - étude 2016Gestion de la sécurité des données en France - étude 2016
Gestion de la sécurité des données en France - étude 2016
 
Etude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les financesEtude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les finances
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
 
Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 

Plus de Blandine Delaporte

Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 28 novembre 2016
Rapport Threat Intelligence Check Point du 28 novembre 2016Rapport Threat Intelligence Check Point du 28 novembre 2016
Rapport Threat Intelligence Check Point du 28 novembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 21 novembre 2016
Rapport Threat Intelligence Check Point du 21 novembre 2016Rapport Threat Intelligence Check Point du 21 novembre 2016
Rapport Threat Intelligence Check Point du 21 novembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 14 novembre 2016
Rapport Threat Intelligence Check Point du 14 novembre 2016Rapport Threat Intelligence Check Point du 14 novembre 2016
Rapport Threat Intelligence Check Point du 14 novembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 26 septembre 2016
Rapport Threat Intelligence Check Point du 26 septembre 2016Rapport Threat Intelligence Check Point du 26 septembre 2016
Rapport Threat Intelligence Check Point du 26 septembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 12 septembre 2016
Rapport Threat Intelligence Check Point du 12 septembre 2016Rapport Threat Intelligence Check Point du 12 septembre 2016
Rapport Threat Intelligence Check Point du 12 septembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 22 août 2016
Rapport Threat Intelligence Check Point du 22 août 2016Rapport Threat Intelligence Check Point du 22 août 2016
Rapport Threat Intelligence Check Point du 22 août 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 27 juin 2016
Rapport Threat Intelligence Check Point du 27 juin 2016Rapport Threat Intelligence Check Point du 27 juin 2016
Rapport Threat Intelligence Check Point du 27 juin 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 13 juin 2016
Rapport Threat Intelligence Check Point du 13 juin 2016Rapport Threat Intelligence Check Point du 13 juin 2016
Rapport Threat Intelligence Check Point du 13 juin 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 30 mai 2016
Rapport Threat Intelligence Check Point du 30 mai 2016Rapport Threat Intelligence Check Point du 30 mai 2016
Rapport Threat Intelligence Check Point du 30 mai 2016
Blandine Delaporte
 

Plus de Blandine Delaporte (20)

Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
 
Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016
 
Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016
 
Rapport Threat Intelligence Check Point du 28 novembre 2016
Rapport Threat Intelligence Check Point du 28 novembre 2016Rapport Threat Intelligence Check Point du 28 novembre 2016
Rapport Threat Intelligence Check Point du 28 novembre 2016
 
Rapport Threat Intelligence Check Point du 21 novembre 2016
Rapport Threat Intelligence Check Point du 21 novembre 2016Rapport Threat Intelligence Check Point du 21 novembre 2016
Rapport Threat Intelligence Check Point du 21 novembre 2016
 
Rapport Threat Intelligence Check Point du 14 novembre 2016
Rapport Threat Intelligence Check Point du 14 novembre 2016Rapport Threat Intelligence Check Point du 14 novembre 2016
Rapport Threat Intelligence Check Point du 14 novembre 2016
 
Rapport Threat Intelligence Check Point du 26 septembre 2016
Rapport Threat Intelligence Check Point du 26 septembre 2016Rapport Threat Intelligence Check Point du 26 septembre 2016
Rapport Threat Intelligence Check Point du 26 septembre 2016
 
Rapport Threat Intelligence Check Point du 12 septembre 2016
Rapport Threat Intelligence Check Point du 12 septembre 2016Rapport Threat Intelligence Check Point du 12 septembre 2016
Rapport Threat Intelligence Check Point du 12 septembre 2016
 
Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016
 
Rapport Threat Intelligence Check Point du 22 août 2016
Rapport Threat Intelligence Check Point du 22 août 2016Rapport Threat Intelligence Check Point du 22 août 2016
Rapport Threat Intelligence Check Point du 22 août 2016
 
Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016
 
Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
 
Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016
 
Rapport Threat Intelligence Check Point du 27 juin 2016
Rapport Threat Intelligence Check Point du 27 juin 2016Rapport Threat Intelligence Check Point du 27 juin 2016
Rapport Threat Intelligence Check Point du 27 juin 2016
 
Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016
 
Rapport Threat Intelligence Check Point du 13 juin 2016
Rapport Threat Intelligence Check Point du 13 juin 2016Rapport Threat Intelligence Check Point du 13 juin 2016
Rapport Threat Intelligence Check Point du 13 juin 2016
 
Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016
 
Rapport Threat Intelligence Check Point du 30 mai 2016
Rapport Threat Intelligence Check Point du 30 mai 2016Rapport Threat Intelligence Check Point du 30 mai 2016
Rapport Threat Intelligence Check Point du 30 mai 2016
 

Dernier

Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 

Dernier (6)

Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 

Rapport de Sécurité Check Point 2016

  • 2. CHECK POINT – RAPPORT SÉCURITÉ 2016 | 3 1. INTRODUCTION ET MÉTHODOLOGIE 04-11 2. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS 12-19 3. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 20-27 4. ÉTUDE DES MODÈLES D'ATTAQUES 28-37 5. RÉPERCUSSIONS DE L'INSÉCURITÉ 38-47 6. CONSERVEZ UNE LONGUEUR D'AVANCE 48-55 RÉFÉRENCES 56-58 2016RAPPORT SÉCURITÉ
  • 3. 4 | CHECK POINT – RAPPORT SÉCURITÉ 2016 1 « Nous subissons la technologie alors que nous voulons juste quelque chose qui fonctionne. » Douglas Adams, auteur et satiriste INTRODUCTION ET MÉTHODOLOGIE
  • 4. INTRODUCTION ET MÉTHODOLOGIE | 5 Le prix de la plus importante faille de 2015 est décerné à l'OPM (le Bureau de la gestion du personnel, une agence du gouvernement américain). Des pirates originaires de Chine sont restés dans les réseaux d'OPM pendant plus d'un an avant d'être découverts. Lorsque la brèche a finalement été découverte, les premières estimations ont placé le nombre de victimes à quatre millions. Ce chiffre a ensuite dépassé 21 millions, dont environ 19 millions de personnes qui ont demandé des autorisations gouvernementales de sécurité et ont été soumises à des vérifications d'antécédents, et 1,8 million de conjoints et partenaires de ces candidats. Les pirates ont mis la main sur un trésor de données confidentielles, y compris les formulaires SF-86 des personnes qui ont demandé des autorisations. Ces formulaires peuvent contenir une grande quantité de données confidentielles, non seulement sur les employés qui cherchent à obtenir une autorisation de sécurité, mais également sur leurs amis, leurs conjoints et autres membres de leur famille. « « — Wired Magazine, 23 décembre 2015 Même si plusieurs failles notables se sont produites en 2015, la faille OPM a suscité beaucoup d'attention car il a fallu plus d'un an pour la découvrir, et les répercussions de cette faille particulière sont considérables. En lisant le Rapport Sécurité de cette année, il apparaît clairement que le modèle de protection de la sécurité qui réagit aux menaces ne suffit plus à protéger les entreprises d'aujourd'hui. La défaite devient une possibilité réelle. Ce type de faille peut arriver à tout le monde. Pour vous aider à protéger votre entreprise, vos données et vos clients, nous avons tissé des recommandations dans chacun des chapitres du rapport. Chaque faille est un apprentissage qui nous incite à mieux nous protéger. Nous avons tous à apprendre de l'expérience d'OPM. En avril 2015, près de 21  millions de dossiers personnels ont été dérobés auprès du Bureau de la gestion du personnel, le référentiel central des ressources humaines du gouvernement des États-Unis.
  • 5. Ces dossiers comprenaient les formulaires détaillés des demandes d'autorisation de sécurité ainsi que les empreintes digitales de 5,6 millions d'employés. Selon des représentants du gouvernement, il s'agit de l'une des plus grandes fuites de données gouvernementales de l'histoire des États-Unis. Selon Andy Ozment, un représentant du Département de la sécurité intérieure des États- Unis, la faille a débuté près d'un an avant sa découverte. Les agresseurs ont d'abord obtenu des identifiants utilisateur valides pour accéder au système, probablement par des méthodes d'ingénierie sociale. Une fois à l'intérieur, ils ont activé un logiciel malveillant qui a ouvert une porte dérobée pour garantir un accès continu. Ils ont ensuite élevé leurs privilèges pour accéder à d'autres systèmes d'OPM. Cet incident illustre la manière dont une modeste brèche dans un réseau peut se développer à grande échelle pour conduire à À votre tour d'implémenter la prévention Toutes les entreprises peuvent tirer des enseignements de la faille OPM. Empêcher les attaques avant qu'elles n'infligent des dégâts et utiliser une architecture de sécurité unifiée pour simplifier et renforcer la sécurité est essentiel dans le paysage des menaces d'aujourd'hui. Segmentez votre réseau et appliquez des politiques de sécurité uniformes à tous les segments à l'aide d'une architecture de sécurité unifiée. Les correctifs ne sont pas entièrement efficaces. Utilisez les correctifs virtuels du système de prévention d'intrusions pour assurer une protection entre les phases de mises à jour périodiques. Stoppez les infections de logiciels malveillants en temps réel grâce à la prévention des menaces au niveau du processeur et du système d'exploitation. Supervisez tous les segments réseau via une console unique. l'extraction de données pendant plusieurs mois. À mesure que les réseaux se développent et sont segmentés, puis reconnectés, il peut être difficile de maîtriser le schéma des ressources du réseau. Le volume des attaques ciblant les frontières de plus en plus floues du réseau complique encore plus les choses. La faille OPM montre clairement la nécessité d'une architecture de sécurité unifiée couvrant tous les environnements serveurs et tous les types de postes, avec des mesures de sécurité préventives en temps réel ainsi que des mesures qui appliquent uniformément la prévention des fuites de données. L'analyse proactive des réseaux internes, la segmentation des éléments du réseau et l'authentification multifacteurs, contribuent également à assurer la sécurité. Celles-ci doivent faire partie de la posture de sécurité de chaque entreprise. Lorsqu'une attaque est réussie, l'analyse des méthodes utilisées en dit long sur un agresseur et ses motivations, et comment vous pouvez mieux vous en protéger à l'avenir. 6 | INTRODUCTION ET MÉTHODOLOGIE
  • 6. TOUTES LES 4SECONDES Un logiciel malveillant connu est téléchargé TOUTES LES 5SECONDES Un poste accède à un site web malveillant TOUTES LES 30SECONDES Un événement d’émulation de menace se produit TOUTES LES 53SECONDES Un bot communique avec son serveur de commande et de contrôle TOUTES LES 81SECONDES Un logiciel malveillant connu est téléchargé TOUTES LES 4MINUTES Une application à haut risque est utilisée TOUTES LES 32MINUTES Des données confidentielles sont envoyées à l’extérieur de l’entreprise S E C O N D E S M I N U T E S INTRODUCTION ET MÉTHODOLOGIE | 7 1.1 SOURCE : Check Point Software Technologies UNE JOURNÉE TYPIQUE EN ENTREPRISE
  • 7. 8 | INTRODUCTION ET MÉTHODOLOGIE entier tout au long de 2015  : les conclusions de plus de 1  100  rapports Security Checkup, des événements découverts via ThreatCloud (qui est connecté à plus de 25  000  passerelles dans le monde), et plus de 6  000  rapports de passerelles transmis à Threat Emulation Cloud. Nous avons combiné ces données avec l'analyse des tendances externes et les connaissances de nos équipes de recherche pour développer les recommandations de chaque section. SOURCES DE L'ÉTUDE CHECK POINT Pour conserver une longueur d'avance, nous avons recueilli des données d'événements provenant de différentes sources dans le monde 1.2 SOURCE : Check Point Software Technologies ENTREPRISES ÉTUDIÉES PAR RÉGION AMÉRIQUES 26 % EMEA 35 % APAC 39 %
  • 8. STRUCTURE DU RAPPORT SÉCURITÉ 2016 Notre Rapport Sécurité 2016 se penche sur les logiciels malveillants connus et inconnus, et les tendances d'attaques, rencontrés par les entreprises, ainsi que l'impact du nombre croissant d'appareils mobiles dans l'entreprise. Nous examinons également les impacts des attaques réussies sur les entreprises et les dépenses supplémentaires qui vont bien au-delà des coûts évidents de désinfection Le chapitre 2 analyse les différents types de logiciels malveillants et comment ils profitent 1.3 SOURCE : Check Point Software Technologies ENTREPRISES ÉTUDIÉES PAR SECTEUR COMMERCE DE DÉTAIL ET DE GROS CONSEIL FINANCE INDUSTRIE TÉLÉCOM. AUTRE* GOUVERNEMENT 4% 1% 15% 40% 4% 23% 13% ? * Juridique, loisirs/hospitalité, publicité/medias, placements, autres INTRODUCTION ET MÉTHODOLOGIE | 9
  • 9. 75 % des entreprises ont subi des infections de bots 82 % des entreprises ont accédé à un site web malveillant 88 % des entreprises ont subi un incident de fuite de données 89 % des entreprises ont téléchargé un fichier malveillant 94 % des entreprises ont utilisé au moins une application à haut risque 400 % d’augmentation des fuites de données durant les trois dernières années 1,5 milliard de fichiers analysés dans ce rapport 10 | INTRODUCTION ET MÉTHODOLOGIE 1.4 SOURCE : Check Point Software Technologies 2015 EN CHIFFRES
  • 10. du comportement des utilisateurs. La majorité des faillesàgrandeéchellede2015aétérenduepossible par l'exploitation de vulnérabilités existantes, des logiciels malveillants connus et, bien sûr, des méthodes d'ingénierie sociale. Même si le nombre d'utilisateurs qui tente d'accéder à des sites malveillants augmente, le service informatique parvient à les en empêcher légèrement plus rapidement, ce qui limite l'efficacité de ce vecteur d'attaque. Les infections de bots diminuent, mais la fréquence de leurs tentatives de communication par jour est nettement plus élevée. Le chapitre  3 analyse la manière dont la révolution mobile continue d'engendrer de nouvelles possibilités d'attaque à mesure qu'un plus grand nombre d'appareils mobiles échappant à tout contrôle entre dans l'entreprise. Les entreprises réalisent qu'elles ne peuvent pas empêcher facilement les employés de connecter leurs appareils personnels aux ressources de l'entreprise,carellesontdécouvertquel'utilisation des appareils personnels en entreprise (BYOD) augmente considérablement la productivité. Malheureusement, la plate-forme mobile est une cible attrayante pour les agresseurs, la plupart des entreprises n'ayant pas implémenté de contrôles pour les protéger efficacement. Dans le chapitre  4, nous examinons les modèles d'attaques par région du monde et par type. Les États-Unis sont toujours en tête pour l'hébergement de sites web et de fichiers malveillants, en grande partie en raison du pourcentage nettement plus élevé d'utilisateurs actifs et de l'abondance des ressources. Quant aux vecteurs d'attaques préférés des pirates, l'exécution de code telle que ROP (return- oriented programming) est apparue comme étant le vecteur d'attaque le plus populaire parmi les pirates, puisque le déploiement de parades aux vulnérabilités de dépassement de mémoire tampon a rendu les vecteurs d'attaque les plus populaires de 2014 moins attrayants. Dans l'ensemble, les vulnérabilités se sont légèrement repliées en 2015, mais les éditeurs comptant les vulnérabilités les plus critiques ont changé. Les tendances peuvent changer, mais si les entreprises ne parviennent pas à implémenter des correctifs vitaux, les vecteurs d'attaques ne s'éteindront jamais vraiment. Bien que les coûts initiaux d'une brèche soient bien documentés, l'impact financier global est beaucoup plus élevé. Dans le chapitre 5, nous explorons les répercussions de l'insécurité, et présentons des exemples dans les secteurs de la finance, de la santé et de l'industrie. Maintenir la vitesse de l'activité de l'entreprise tout en la protégeant est votre meilleure stratégie financière. Conserver une longueur d'avance signifie maîtrisertouslesdomaines :logicielsmalveillants, tendances d'attaques, révolution mobile, et être conscient de l'impact de tout manquement. Vous trouverez nos recommandations dans chaque chapitre pour vous aider à conserver une longueur d'avance sur les cybercriminels. « Toute technologie suffisamment avancée est indiscernable de la magie. » Arthur C. Clarke, auteur de science-fiction INTRODUCTION ET MÉTHODOLOGIE | 11
  • 11. 12 | CHECK POINT – RAPPORT SÉCURITÉ 2016 2 L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS Benjamin Franklin, politicien et auteur « En omettant de vous préparer, vous vous préparez à l'échec. »
  • 12. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 13 La première étape d'une attaque consiste à amener un logiciel malveillant au travers des défenses de sécurité. En 2015, de nombreuses attaques différentes ont permis d'accomplir cela. La plupart des logiciels malveillants se cache dans du trafic légitime ou des pièces jointes, ou exploite les fonctionslégitimesdecontrôleoud'accèsauréseau. Que ce soit dans un lien, dans un document, ou en exploitant une vulnérabilité du shell, les agresseurs utilisent différentes méthodes de pénétration. Indépendamment de la méthode d'entrée, nous pouvons catégoriser les logiciels malveillants selon trois types de base  : logiciels malveillants connus, inconnus et zero-day. Près d'un million de nouveaux logiciels malveillants sont lancés chaque jour.1 L'enquête de Verizon sur les fuites de données en 2015 estime que près de 90 pour cent des attaques de 2015 ont utilisé une vulnérabilité existant depuis 2002. Le tout dernier rapport sur les risques de cybersécurité de HP2 affirme que les dix premières vulnérabilités exploitées en 2015 étaient âgées de plus d'un an, et que 29 pour cent des attaques ont utilisé un vecteur d'infection de 2010 pour lesquels il existe deux différents correctifs. Bien que le taux de logiciels malveillants inconnus soit à la hausse, les vecteurs connus continuent de dominer le paysage des menaces. Logiciel malveillant connu Un logiciel malveillant identifié par une signature. De nombreux outils de sécurité utilisent des techniques d'analyse par signature et prennent des décisions quant au blocage, mais obligent les utilisateurs à mettre à jour la base de données des signatures de leur pare-feu et de leur antivirus. Logiciel malveillant inconnu Un logiciel malveillant non identifié pour lequel il n'existe pas de signature. Il suffit simplement d'effectuer une petite modification dans un logiciel malveillant connu ou le reconditionner avec du code malveillant différent pour créer un logiciel malveillant inconnu. Cette nouvelle version inconnue peut alors contourner les défenses reposant sur des signatures. Zero-day Une exploitation de vulnérabilité qui tire parti de failles de sécurité inconnues pour lesquelles il n'existe aucune protection. TOUTES LES 5 SECONDES, UN UTILISATEUR ACCÈDE À UN SITE WEB MALVEILLANT.
  • 13. 14 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS Cloud : votre trafic de données pourrait ne pas prendre le bon chemin Les prévisions du jour pour les datacenters sont nuageuses. Cisco estime que les datacenters dans le Cloud traiteront plus de 86 pour cent des charges de travail informatiques en 2019.3 Selon RightScale, 95 pour cent des entreprises emploient déjà des plates-formes dans le Cloud, et utilisent en moyenne 3 Clouds publics et 3 Clouds privés.4 En dépit de la migration rapide vers le Cloud, peu de professionnels de l'informatique considère que le transfert des services dans des environnements de Cloud public et privé virtualisés pourrait entraîner des turbulences pour leur sécurité. La cause des turbulences est la transition du modèle de trafic de données nord/sud des datacenters traditionnels vers le modèle est/ouest des environnements de Cloud public, à mesure que les charges de travail sont transférées hors site dans des Clouds publics. Vous direz ce que vous voudrez des datacenters traditionnels, ils ajoutent plusieurs mois au déploiement de nouvelles applications et ne sont pas très évolutifs. Ils nécessitent également une tonne d'interventions manuelles pour fonctionner. Mais en termes de sécurité, les datacenters traditionnels sont assez performants lorsqu'une passerelle de sécurité supervise les connexions entrantes. En effet, dans les datacenters traditionnels, le trafic se déplace du nord depuis les serveurs vers la passerelle de sécurité et du sud depuis la passerelle vers les serveurs. Le trafic peut même suivre des trajets nord/sud en « épingle à cheveux » qui vont d'un serveur à une passerelle puis vers un autre serveur au sein du datacenter, afin que le trafic interne puisse être inspecté. Cependant, dans les réseaux virtualisés ou logiciels déployés dans des environnements de Cloud privé, jusqu'à 80 pour cent du trafic se déplace d'est en ouest entre les applications virtualisées et différents secteurs du réseau. Les applications virtualisées peuvent migrer d'un serveur à un autre en fonction de l'utilisation des ressources. Dans ces conditions, la majorité du trafic contourne entièrement la passerelle de sécurité au niveau du périmètre. Les applications mobiles, les applications dans le Cloud, les applications des partenaires et même les applications hébergées des clients, peuvent connecter des services à des utilisateurs à l'extérieur du datacenter via différentes voies non surveillées par les contrôles de sécurité du périmètre. Lorsque des agresseurs parviennent à compromettre l'un des services web mineurs d'une entreprise par un logiciel malveillant, l'ensemble du réseau, y compris les services de base, sont menacés. Par conséquent, pour maintenir la sécurité informatique dans les Clouds virtualisés publics et privés, il est utile de penser à segmenter votre réseau et vos applications à l'aide des mêmes fonctionnalités de sécurité que les passerelles physiques, mais en ajoutant la prise en charge flexible de la micro-segmentation logicielle, qui peut être gérée de manière centralisée. Une meilleure visibilité sur les applications est également critique pour protéger les services dans le Cloud qui se déplacent dans de nouvelles directions en raison des domaines et des plates-formes dans le Cloud.
  • 14. augmente. En 2015, 89  % des entreprises ont téléchargé un fichier malveillant, contre 63  % en 2014. En 2015, les entreprises ont téléchargé des logiciels malveillants quatre fois plus souvent, toutes les 81  secondes, plutôt que toutes les 6 minutes en 2014. Qu'est-ce que cela signifie ? Alors que les entreprises réussissent à mieux bloquer l'accès aux sites et aux fichiers malveillants, le volume des attaques donne l'avantage aux agresseurs. Les entreprises doivent évaluer et filtrer de plus importants volumes de contenus potentiellement malveillants tout en maintenant la productivité des utilisateurs. Elles doivent instantanément isoler les logiciels malveillants en temps réel pour empêcher leur propagation et leur impact négatif. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 15 PLUS D'APPAREILS, DONC PLUS DE FAÇONS D'ENTRER L'entreprise d'aujourd'hui doit protéger un nombre de télétravailleurs en augmentation spectaculaire, plusieurs sites, des applications dans le Cloud, et bien plus d'appareils que jamais auparavant. Le nombre de points d'entrée réseau nécessitant une protection continue d'augmenter. Chaque point d'entrée filaire et sans fil, les serveurs et l'infrastructure qui hébergent les applications d'entreprise, et les outils de prévention des menaces reposant sur des signatures qui les protègent, ont constamment besoin de correctifs et de mises à jour. La gestion des correctifs de sécurité critiques continue d'être un problème en 2015. Notre étude montre que les entreprises réussissent un peu mieux à empêcher les utilisateurs d'accéder àdessitesmalveillants.En2015,seulement82 %des entreprises ont accédé à un site malveillant,soit un peu moins que les 86 % de 2014. Malheureusement, d'autres indicateurs ne sont pas aussi positifs. Dans les entreprises, les utilisateurs accèdent à un site web malveillant cinq fois plus souvent en 2015, toutes les 5 secondes, plutôt que toutes les 24 secondes l'année précédente. Plus l'accès est fréquent, plus le nombre de logiciels malveillants affectant les entreprises DISCIPLINE : MEILLEURE, MAIS PAS ENCORE SUFFISANTE UN UTILISATEUR TÉLÉCHARGE UN LOGICIEL MALVEILLANT TOUTES LES 81 SECONDES 2.1 SOURCE : Check Point Software Technologies
  • 15. 16 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS PERSISTANCE DES BOTS Les bots restent une méthode d'attaque préférée pour les agresseurs. Semblable à des vers ou des chevaux de Troie, les bots exécutent une variété de tâches automatisées une fois parvenus à l'intérieur d'un réseau, et communiquent régulièrement. Ils se répliquent sur les réseaux et les appareils adjacents ou se projettent à l'extérieur du réseau infecté. Ils envoient du spam ou participent à des attaques de déni de service et autres types d'attaques. Certains bots restent dormants jusqu'à ce qu'ils soient activés à distance via une action prédéterminée sur le poste de leur victime ou à une date ultérieure spécifique. Malgré leurs différences, les bots communiquent généralement avec un serveur de commande et de contrôle pour signaler l'état de leur activation et recevoir des instructions. Ces communications peuvent être isolées, surveillées et bloquées. En 2015, un bot typique tentait de communiquer avec son serveur de commande et de contrôle plus de 1 630 fois par jour, soit une fois toutes les 52,8 secondes. Cette fréquence continue d'augmenter : 12 % de plus que l'année précédente, et 95 % de plus qu'en 2012. Bien que les niveaux d'infections de bots ont diminué de près de 10 % en 2015 par rapport à 2014, ces chiffres restent inquiétants. Près de 75 % des entreprises étudiées ont été infectées par des bots en 2015, et 44 % des bots restaient actifs pendant plus de quatre semaines. Les attaques de bots dérobent des informations confidentielles telles que des identifiants, désactivent les services de sécurité du système, et fournissent un accès à distance pour des attaques. Les bots effectuent également des opérations à distance et téléchargent des logiciels malveillants supplémentaires. Uneanalysedesdonnéesd'attaquedesbots montrequequatrebotsspécifiques,Sality,Conficker, ZeroAccess et Cutwail, étaient responsables de 50 % des attaques de bots reconnues en 2015. Fait intéressant, ces bots proviennent tous de logiciels malveillants bien connus. 2.2 SOURCE : Check Point Software Technologies LES BOTS ESSAIENT DE COMMUNIQUER AVEC DES SERVEURS DE COMMANDE ET DE CONTRÔLE PLUS DE 1 630 FOIS PAR JOUR, SOIT TOUTES LES 52,8 SECONDES FAMILLE DOMMAGES POURCENT. SALITY Dérobe des données confidentielles 18,6 % CONFICKER Désactive les services de sécurité du système et fournit un accès à distance 18,6 % ZEROACCESS Permet des opérations à distance et télécharge des logiciels malveillants 6,7 % CUTWAIL Diffuse du spam 5,1 % GAMARUE Ouvre une porte dérobée pour des attaques 3,0 % ZEUS Dérobe des identifiants bancaires 2,7 % LDPINCH Dérobe des données confidentielles 2,1 % DELF Dérobe des identifiants 1,1 % RAMNIT Dérobe des identifiants bancaires 1,0 % GRAFTOR Télécharge des fichiers malveillants 0,9 % ATTAQUES DE BOTS RECONNUS EN 2015
  • 16. 274 NOUVEAUX LOGICIELS MALVEILLANTS INCONNUS ONT ÉTÉ DÉCOUVERT CHAQUE MINUTE EN 2015 HAUSSE CONTINUE DES LOGICIELS MALVEILLANTS INCONNUS Dans l'ensemble, l'utilisation de logiciels malveillants inconnus par des agresseurs est restée à des niveaux historiquement élevés, en légère croissance en 2015 selon AV-TEST.5 En 2015, près de 144  millions de nouveaux logiciels malveillants ont été découverts  : 274  nouveaux logiciels malveillants inconnus ont été produits et lancés toutes les minutes en 2015. Au cours de 2015, Check Point a analysé plus de 6 000 passerelles, découvrant que 52,7 % d'entre elles ont téléchargé au moins un fichier infecté par des logiciels malveillants inconnus. En moyenne, 2  372  fichiers infectés ont été signalés par passerelle. Du côté des utilisateurs, les attaques étaient plus fréquentes et variées. Avec plus de 971  téléchargements de logiciels malveillants inconnus par heure, soit 9  fois plus que les 106  téléchargements par heure de l'année précédente, de nombreuses entreprises ont du mal à suivre. La plupart des utilisateurs savent que les risques d'infections sont plus élevés pour certains types de fichiers. Comme prévu, les fichiers .exe L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 17 2.3 SOURCE : Check Point Software Technologies 75 % DES ENTREPRISES ÉTUDIÉES ÉTAIENT INFECTÉES PAR DES BOTS 52% DES PASSERELLES ONT TÉLÉCHARGÉ AU MOINS UN FICHIER INFECTÉ PAR UN LOGICIEL MALVEILLANT INCONNU 971 LOGICIELS MALVEILLANTS INCONNUS FRAPPENT LES ENTREPRISES TOUTES LES HEURES 28 % DES FICHIERS INFECTÉS PAR DES LOGICIELS MALVEILLANTS SONT DES FICHIERS SWF (FORMAT DE FICHIER FLASH)
  • 17. ÉTAT DE LA PROTECTION représentaient près de 30 % des fichiers infectés, et les formats de fichiers archives tels que .zip et .jar représentaient plus de 16 % en 2015. Le nombre de logiciels malveillants continue de croître dans les types de fichiers auxquels les utilisateurs font le plus confiance, tels que les fichiers Microsoft Office, PDF ou Flash, à mesure que les pirates profitent de ces types de fichiers moins menaçants. En 2015, les formats de fichiers Microsoft Office représentaient plus de 9 % des fichiers malveillants rencontrés, et les fichiers PDF représentaient 7,5 %. Flash a continué d'être un mécanisme de diffusion de logiciels malveillants, représentant 28  % des fichiers infectés par des logiciels malveillants inconnus. Les utilisateurs sont beaucoup moins susceptibles de soupçonner une infection lorsque les logiciels malveillants sont intégrés à un fichier Flash. Les infections attribuées aux publicités malveillantes et aux téléchargements automatiques exposent les utilisateursàdeslogicielsmalveillantsplusinvasifs sans qu'une action spécifique ne soit requise. L'utilisation de logiciels malveillants inconnus dans une attaque augmente les chances de réussite pour les cybercriminels. Grâce aux logiciels malveillants inconnus, les pirates travaillent plus intelligemment et ont besoin de moinsdetentativespourrencontrerplusdesuccès. La création de logiciels malveillants inconnus est plus facile que jamais. Il suffit d'apporter une légère modification à un logiciel malveillant existant pour créer une nouvelle variante inconnue et contourner les systèmes antivirus reposant sur des signatures connues. Avec près de 12  millions de nouvelles variantes de logiciels malveillants découvertes chaquemois,plusdenouveauxlogicielsmalveillants ont été découverts au cours des deux dernières années que dans les 29 années précédentes.6 4 FOIS PLUS DE TÉLÉCHARGEMENTS DE LOGICIELS MALVEILLANTS EN 2015 18 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS Même si les taux d'attaques et d'infections en 2015 n'ont pas augmenté au même rythme exponentiel qu'en 2013 et 2014, ils restent néanmoins stables. Le taux d'infections a même légèrement diminué en raison de l'utilisation de meilleures ressources de protection et de la sensibilisation des utilisateurs. L'érosion continue du périmètre du réseau et l'augmentation du nombre d'appareils accédant aux réseaux internes continuent de compliquer la protection. Dans le paysage actuel sans frontières du Cloud, de l'Internet des objets et des datacenters hybrides, les outils de cybersécurité doivent fournir un contrôle granulaire sur tous les segments et les environnements réseau. Les techniques de bac à sable traditionnelles ne sont plus une option, mais elles imposent des délais de traitement. Pour se protéger des attaques d'aujourd'hui, l'accent est mis sur la vitesse et la prévention. Les nouvelles techniques de protection analysent les comportements au niveau du système d'exploitation et du processeur pour stopper les logiciels malveillants lors de la phase d'exploitation d'une vulnérabilité avant qu'ils n'aient l'occasion de se déployer. Le fort volume et la combinaison d'attaques connues, inconnues et zero-day, nécessitent une approche multicouches pour protéger les entreprises. Bien qu'aucune technologie ne puisse fournir une protection complète contre tous les vecteurs de menaces, une approche bien conçue combinant plusieurs méthodes de protection et de détection peut minimiser la réussite des attaques. Avec des protections supplémentaires au stade de la post-infection, les entreprises peuvent limiter les dommages et les mouvements est-ouest.
  • 18. PRENEZDESMESURES RECOMMANDATIONS L'informatique évolue rapidement et le paysage des menaces se transforme lui aussi. Ce changement nécessite une architecture de sécurité multicouches comprenant la prévention des menaces en temps réel et l'administration unifiée couvrant les environnements virtuels, mobiles et dans le Cloud. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 19 DÉPLOYEZ UNE CYBERSÉCURITÉ MULTICOUCHES La sécurité devrait être implémentée en de multiples couches qui coordonnent automatiquement les différentes protections, en intégrant notamment  : une passerelle de sécurité, des fonctions de prévention des menaces avancées, de contrôle des applications, de prise en charge des identités, de filtrage des URL, de prévention d'intrusions, de protection de la messagerie, antispam, antibots et antivirus. STOPPEZ LES LOGICIELS MALVEILLANTS ZERO-DAY Les techniques d'évasion inconnues rendent les bacs à sable traditionnels inefficaces. La prévention des menaces en temps réel qui stoppe les logiciels malveillants dès le premier contact est la nouvelle norme de prévention des menaces. Cependant, même le meilleur bac à sable pourrait laisser passer une menace intégrée dans un document. La suppression des contenus actifs des documents évite les menaces cachées et donne aux utilisateurs un accès rapide aux contenus sains. UTILISEZ DES CORRECTIFS VIRTUELS La correction des logiciels est une pratique nécessaire, mais elle est insuffisante pour stopper les menaces. Tout d'abord, il n'existe pas de correctifs pour les vulnérabilités zero-day qui n'ont pas encore été découvertes par les chercheurs. Ensuite, pour les vulnérabilités découvertes, les éditeurs de logiciels ont besoin de temps pour 1 2 3 PRÉVENTION créer et diffuser des correctifs, ce qui laisse les réseaux ouverts à des attaques. Enfin, les équipes informatiques ont également besoin de temps pour appliquer les correctifs. Les correctifs virtuels utilisent le système de prévention d'intrusions pour protéger contre les attaques qui exploitent des vulnérabilités zero-day et connues, qui ne peuvent être corrigées ou qui n'ont pas encore été corrigées. SIMPLIFIEZ L'ADMINISTRATION DE LA SÉCURITÉ L'utilisation de plusieurs consoles pour administrer la sécurité de chaque segment réseau est inefficace. Elle conduit à des erreurs de configuration et des incohérences entre les couches de sécurité. L'administration des fonctions de sécurité, des segments et des environnements via une seule console permet de réduire les erreurs lors de la coordination des politiques de sécurité des couches de protection. UNIFIEZ LES CONTRÔLES Implémentez des contrôles unifiés qui s'étendent à tous les réseaux, systèmes, postes et environnements, y compris traditionnels, virtuels, mobiles, hybrides, dans le Cloud, et les objets connectés. 1 2 POUR EN SAVOIR PLUS checkpoint.com/sandblast ARCHITECTURE
  • 19. 20 | CHECK POINT – RAPPORT SÉCURITÉ 2016 3 UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL « Je reçois des emails donc j'existe. » Scott Adams, dessinateur, créateur de Dilbert
  • 20. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 21 Plus puissants que jamais, les appareils mobiles améliorent continuellement l'accessibilité et la productivité des employés. Ils sont de plus en plus abordables, et la plupart des employés gardent leurs appareils mobiles sur eux tout au long de leur journée de travail, qu'ils les utilisent ou non pour leur travail. Avec une telle omniprésence, les appareils mobiles s'intègrent dans le tissu des entreprises de manières visible et invisible. À mesure que le nombre d'utilisateurs mobiles augmente, un tournant dans les habitudes d'utilisation s'opère, comme on peut le voir dans l'enquête de comScore en 2014. Tout d'abord, le mobile a dépassé l'ordinateur pour la consultation des médias et la navigation web.1 Parallèlement à cela, les utilisateurs brouillent facilement les lignes entre leur usage personnel et professionnel de ces appareils. Que ce soit rendu possible ou non par l'entreprise, les employés travaillent à partir de leurs appareils personnels, et accèdent à des informations personnelles sur leurs appareils professionnels, sans nécessairement réfléchir aux conséquences. L'utilisation de smartphones a augmenté de 394  % et l'utilisation de tablettes a augmenté de plus de 1 700 % au cours des quatre dernières années. Ensemble, ces plateformes représentent 60  % du temps de consultation des médias numériques.2 Une troisième étude menée par comScore et Yahoo Flurry Analytics montre qu'en moyenne, les Américains passent 162  minutes par jour à utiliser des appareils mobiles pour toutes sortes d'activités.3 Ensemble, ces trois tendances mettent en évidence un désir croissant d'accès instantané et continu à des données, que ce soit sur un appareil professionnel ou personnel. 2000 1 800 1 600 1 400 1 200 1 000 800 600 400 200 0 2007 2008 2009 2010 2011 2012 2013 2014 2015 Mobile Fixe NOMBRE D’UTILISATEURS MONDIAUX (MILLIONS) 3.1 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014 IL SUFFIT D'UNE INFECTION SUR UN APPAREIL POUR COMPROMETTRE DES DONNÉES ET DES RÉSEAUX PERSONNELS ET PROFESSIONNELS
  • 21. 34 % Autres 25 % Réseaux sociaux 4 % Messagerie instantanée Radio 8 % Jeux 16 % Multimédia 5 % Achats 5 % Photos 4 % TEMPS D’UTILISATION DES APPLICATIONS MOBILES 3.2 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014 22 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL LÀ OÙ LA SÉCURITÉ EST ADAPTÉE Comme les sites web dans les années 1990 et l'accès à distance pour les ordinateurs portables une décennie plus tard, les appareils mobiles sont à la fois une malédiction en termes de sécurité et une bénédiction en termes de productivité. Comme pour les autres tendances d'accès avant eux, la sécurité mobile est en retard sur l'adoption de la mobilité, à mesure que les utilisateurs découvrent de nouvelles façons d'en tirer parti pendant leurs déplacements. La sécurité mobile est un sujet difficile pour les entreprises. Elle fait l'objet de compromis entre productivité, protection et confidentialité. Les entreprises et les utilisateurs veulent à la fois bénéficier de la productivité accrue des appareils mobiles et d'une protection lors des accès aux informations de l'entreprise, mais personne n'aime l'idée de subir des restrictions unilatérales ni se sentir surveillé. Les utilisateurs s'attendent à bénéficier d'unaccèsentoutlieuetlapossibilitéd'utiliserleurs appareils personnels à des fins professionnelles. L'employeur a pour responsabilité de comprendre comment sécuriser ses propres données, sauf si cela signifie surveiller les activités en ligne de ses employés. L'entreprise, d'autre part, doit protéger ses données avec le fardeau supplémentaire de devoir se conformer à différentes réglementations sur la confidentialité des données personnelles à travers le monde. Les exigences d'identification personnelles obligatoires dans un pays pourraient enfreindre les lois sur la vie privée dans un autre pays. L'entreprise doit pourtant se conformer aux deux à la fois. UN EMPLOYÉ SUR CINQ SERA LA CAUSE D'UNE FAILLE DU SYSTÈME D'INFORMATION DE L'ENTREPRISE, VIA DES LOGICIELS MALVEILLANTS OU DES CONNEXIONS WI-FI MALVEILLANTES
  • 22. 19 % Outils d’accès à distance 43 % Logiciels malveillants génériques 11 % Interception réseau 12 % Vol de données 1 % App de phishing 0,5 % Logiciels rançonneurs 0,5 % Fausses app 13 % Numéroteurs surtaxés UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 23 Les logiciels malveillants, le phishing, les points d'accès Wi-Fi malveillants et autres dangers en ligne, inquiètent tout le monde. Les employés ne veulent pas être la cause d'une faille dans le réseau de l'entreprise. Pourtant, une personne sur cinq en sera la cause, via des logiciels malveillants ou des connexions Wi-Fi malveillantes.4 La sécurité mobile doit inclure plusieurs briques répondant aux différents aspects de la problématique de sécurité : Les conteneurs sécurisés empêchent les fuites de données entre les applications personnelles et professionnelles hébergées sur le même appareil La prévention des menaces mobiles offre une protection contre les comportements malveillantes des applications et stoppe en temps réel les menaces connues, inconnues et zero-day qui ciblent les appareils iOS et Android. Ces fonctions seules ne sont pas suffisantes, et les équipes informatiques n'ont bien entendu pas besoin d'un système de plus à gérer. Leur intégration dans une console de sécurité unique est une priorité. 3.3 SOURCE : Check Point Software Technologies TENDANCES D'ATTAQUES MOBILES Après avoir analysé les tendances de 2015, nous possédons désormais une visibilité sur les points d'entrée des attaques, ainsi que sur les types de données dérobées. Les trois principaux vecteurs d'attaques utilisés pour cibler les appareils mobiles sont les applications infectées, les attaques réseau et l'exploitation des vulnérabilités des systèmes d'exploitation. Une fois à l'intérieur d'un appareil mobile, les cybercriminels exfiltrent des données et des identifiants par email, accèdent aux capteurs tels que le microphone ou l'appareil photo, et surveillent la localisation de l'appareil. Entre septembre 2014 et février 2015, Apple iOS était la cible la plus fréquente des cybercriminels, avec cinq différentes attaques contre le système d'exploitation : XSSer, WireLurker, Masque, Pawn Storm, et des outils commerciaux d'accès à distance. À l'automne 2015, le nombre d'attaques menées contre les appareils Apple iOS et Android a été multiplié par cinq. MENACES MOBILES
  • 23. Mobilité : cinq nouvelles tendances des logiciels malveillants Android La domination d'Android sur le marché mobile a inauguré une nouvelle ère pour les logiciels malveillants. Les logiciels malveillants ciblant les appareils Android ont gagné en sophistication en quelques années. Voici quelques-unes des dernières menaces Android que les chercheurs de Check Point ont découvert. 1. Obscurcissement. À mesure que les éditeurs de solutions de sécurité combattent les logiciels malveillants Android, les cybercriminels développent de nouvelles manière de masquer ou « obscurcir » leurs logiciels malveillants. En chiffrant les composants malveillants, les cybercriminels peuvent contourner de nombreuses solutions de sécurité, y compris Google Bouncer qui protège la boutique d'applications Google Play. Certains auteurs dissimulent même les clés qu'ils utilisent pour déchiffrer les composants malveillants, ce qui rend leurs attaques encore plus difficiles à détecter. 2. Téléchargeurs. Les auteurs de logiciels malveillants utilisent des « téléchargeurs » pour s'infiltrer dans Google Play. Ils commencent par soumettre une application apparemment bénigne dans Google Play. Google approuve l'application car elle ne contient pas de code malveillant. Une fois qu'un utilisateur installe l'application sur un appareil, celle-ci contacte le serveur de l'agresseur, et télécharge un composant malveillant dans l'appareil de l'utilisateur. 3. Redondance. Les logiciels malveillants intègrent souvent plusieurs composants conçus dans un but différent. Deux composants peuvent chercher à atteindre le même objectif, mais de façon différente. Si un composant malveillant est détecté et désinfecté, l'attaque peut se poursuivre à l'aide du second composant. Même si un élément critique est désactivé, il est plus facile pour l'agresseur de modifier cette partie que de modifier l'ensemble du logiciel malveillant. 4. Persistance. Les auteurs de logiciels malveillants utilisent plusieurs tactiques pour rester sur les appareils infectés. Par exemple, ils pourraient cacher l'icône de l'application, retarder une activité malveillante pendant des semaines ou des mois, se faire passer pour une autre application, ou obtenir des privilèges élevés pour empêcher les utilisateurs de la désinstaller. L'objectif est le même : rester sur l'appareil pour effectuer des activités malveillantes. 5. Élévation de privilège. Récemment, les auteurs de logiciels malveillants ont utilisé des méthodes d'ingénierie sociale pour tromper les utilisateurs et les conduire à leur affecter des privilèges élevés. D'autres agresseurs utilisent des exploitations de vulnérabilités pour obtenir des autorisations privilégiées. En raison des différentes versions d'Android utilisées, chacun avec ses propres vulnérabilités, les correctifs de sécurité peuvent prendre des mois pour atteindre les utilisateurs, si toutefois ils les atteignent. Cela laisse les utilisateurs vulnérables aux menaces connues pendant de longues périodes. Les auteurs de logiciels malveillants utilisent ces délais pour cibler les utilisateurs à l'aide de kits capables d'exploiter des vulnérabilités connues dans les appareils Android. Ils sont aussi novateurs et bien financés qu'ils sont persistants, et ils continueront de mettre au point de nouvelles techniques pour atteindre leurs objectifs. Pour conserver une longueur d'avance sur l'évolution des menaces Android, les entreprises et les utilisateurs doivent utiliser des solutions avancées capables de stopper les menaces mobiles. 24 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
  • 24. 3.4 SOURCE : Check Point Software Technologies Dans l'ensemble, les cinq grandes catégories d'attaques et de vulnérabilités ciblant les appareils mobiles sont : 1.Vulnérabilitéssystème.Lesvariantesdusystème d'exploitation augmentent le nombre de vecteurs d'attaques. Android est particulièrement vulnérable car il prend en charge plus de 24  000  types de smartphones et tablettes. Les correctifs de sécurité pour chaque version peuvent prendre des semaines ou des mois de développements et de tests, ce qui fait des utilisateurs des proies faciles. 2. Accès root et changements de configuration. Le rootage ou jailbreaking d'un téléphone donne non seulement aux amateurs un accès plus étendu, mais aux cybercriminels également. Une série d'attaques prévue pour contourner les limites de la politique de sécurité en matière de modification des paramètres et des configurations crée des changements subtils sans que les utilisateurs le sachent. 3. Fausses applications et applications reconverties. Comme le phishing, les fausses applications semblent réelles, mais ont des fonctionnalités inattendues. Les applications malveillantes qui contrôlent à distance, activent le microphone, l'appareil photo ou le GPS, sont de plus en plus courantes. 4. Chevaux de Troie et logiciels malveillants. L'intégration de code malveillant dans des pièces jointes et des applications reste un sujet de préoccupation sur les appareils mobiles. Beaucoup ne possèdent pas d'antivirus ni de système de prévention des menaces, et les écrans de taille réduite ne facilitent pas la détection des inexactitudes dans les applications. 5. Attaques de type «  homme du milieu  ». Les points d'accès Wi-Fi gratuits et publics sont très faciles à contrefaire, ce qui les rend plus courants. La contrefaçon de certificats de sécurité facilite l'interception et la modification des données en transit, ou installation de chevaux de Troie. TOUTES DERNIÈRES ATTAQUES ET VULNÉRABILITÉS iOS Android Attaque XSSer SEPTEMBRE Attaque WireLurker Masque NOVEMBRE Attaque Pawn Storm Outils commerciaux d’accès à distance FÉVRIER Attaque Fobus (fraude) JUILLET Attaque Hacking Team Masque KeyRaider Vulnérabilité Ins0mnia Quicksand Vulnérabilité Navig. Dolphin Stagefright Serialization Certifi-gate Multitasking AOÛT Attaque XcodeGhost Vulnérabilité Messages SiriAccess Attaque Hacking Team MKero.A (CAPTCHA) Recordable Activator Mapin (botnet) Brain Test (obscurcis.) Vulnérabilité Lockerpin.A (log. rançon.) Contournement de l’écran de verrouillage SEPTEMBRE OCTOBRE Vulnérabilité Nouvelle vulnérabilité CPiOS DÉCEMBRE Attaque YiSpecter Vulnérabilité Control Siri Attaque Kemoge Vulnérabilité Stagefright 2.0 2014 2015 UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 25
  • 25. CRÉATION D'UNE BARRIÈRE La prévention des menaces mobiles crée une barrière fiable. Elle utilise l'analyse des comportements pour bloquer les menaces avant qu'elles ne pénètrent dans les appareils mobiles, et offre une visibilité sur les tentatives d'attaques. À un niveau plus élevé, l'intégration de la gestion des appareils et la prévention des menaces avec le pare-feu de nouvelle génération et la sécurité virtualisée dans le Cloud améliore à la fois la détection et le blocage des tentatives d'attaques. Bien sûr, toutes ces ressources doivent être gérées. Leur intégration dans une plate-forme de gestion unifiée est essentielle à l'efficacité de votre barrière de sécurité mobile. La mobilité exige la sensibilisation des utilisateurs et leur vigilance. Bien que les types d'attaques varient, l'objectif de l'entreprise reste le même. Les équipes de sécurité doivent créer une barrière entre l'appareil personnel d'un employé et le réseau de l'entreprise, à l'aide de plusieurs éléments fonctionnant en parallèle. 26 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL Elie Wiesel, écrivain et activiste politique « Une fois que vous mettez une vie au monde, vous devez la protéger. Nous devons la protéger en changeant le monde. »
  • 26. PRENEZDESMESURES MEILLEURES PRATIQUES POUR PROTÉGER VOS ACTIVITÉS MOBILES SENSIBILISEZ VOS COLLABORATEURS Nous sous-estimons souvent le risque pour la confidentialité et la sécurité que nos smartphones et tablettes nous apportent. Assurez-vous que vos collaborateurs comprennent les menaces telles que les escroqueries par phishing et les points d'accès Wi-Fi non sécurisés. Devenir une victime ne compromet pas seulement la confidentialité des données personnelles, mais peut également mettre en péril les données confidentielles de l'entreprise hébergées sur les appareils mobiles. DÉFINISSEZ VOTRE NIVEAU DE TOLÉRANCE AUX RISQUES Toutes les entreprises ont les mêmes besoins en sécurité mobile, mais pas tous les employés ont besoin du même niveau de protection. Il est également important de trouver un juste équilibre entre protection contre les menaces et expérience utilisateur. Envisagez une approche prescriptive de la sécurité mobile capable de faire les deux. Définissez des politiques de sécurité reposant à la fois sur les rôles des employés qui ont accès et les types de protection adaptés aux différents types de données confidentielles. APPLIQUEZ DES MESURES DE BASE Un nombre surprenant de gens ne comprennent pas entièrement les bases de la sécurité mobile : Activez les mots de passe ou les verrous biométriques, activez la localisation et les fonctionnalités de suppression à distance, et utilisez le chiffrement sur l'appareil s'il est disponible. Veiller à ce que les utilisateurs finaux disposent toujours des toutes dernières versions du système d'exploitation. Ces mesures de base protègent les appareils mobiles 1 2 3 et les données, ont un net impact sur vos efforts de sécurité, et protègent également les données personnelles. SÉPAREZ DONNÉES PERSONNELLES ET PROFESSIONNELLES La création d'une barrière sécurisée entre les données professionnelles confidentielles et les données personnelles des employés hébergées sur leurs appareils mobiles est un excellent moyen d'assurer que des erreurs ne se produisent pas. Les messages et les fichiers stockés dans des conteneurs sécurisés peuvent être protégés et chiffrés séparément de l'espace personnel sur un appareil. La gestion des conteneurs sécurisés pour gérer les données est plus rapide et plus facile que la gestion des appareils et de multiples politiques. INVESTISSEZ EN PRÉVISION D'UN AVENIR INCERTAIN Vous pouvez être sûr que les menaces dont vous n'avez pas conscience aujourd'hui sont celles qui vous prendront demain au dépourvu. Il est donc important d'investir dans des technologies de prévention qui conservent une avance sur les menaces. Celles-ci devraient également s'intégrer avec les solutions que vous avez en place aujourd'hui pour protéger les appareils mobiles tout en prolongeant votre retour sur investissement. 4 5 POUR EN SAVOIR PLUS checkpoint.com/mobilesecurity UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 27
  • 27. 28 | CHECK POINT – RAPPORT SÉCURITÉ 2016 4 « Toutes les technologies doivent être considérées comme étant coupables jusqu'à preuve de leur innocence. » Jerry Mander, activiste et auteur ÉTUDE DES MODÈLES D'ATTAQUES
  • 28. ÉTUDE DES MODÈLES D'ATTAQUES | 29 que près de 50 % des internautes dans le monde se situent en Asie, ils représentent le plus petit pourcentage de comportement malveillant.1 Les États-Unis, qui représentent moins de 10  % des internautes du monde entier, hébergent 26 % des contenus malveillants. Même s'il semble que les agresseurs introduisent constamment de nouvelles attaques, l'analyse montre que le plus souvent, les logiciels malveillants et les techniques d'attaques tirent parti d'attaques antérieures et de faiblesses connues. Créer de nouvelles variantes inconnues à partir de logiciels malveillants connus est relativement peu coûteuxetsimplepourlespirates,mêmedébutants. Les kits d'exploitation de vulnérabilités sont passés de simples trousses à outils à des offres complètes de services pour la cybercriminalité. Dans le cadre de ces offres, les opérateurs paient à l'utilisation, uniquementlorsqueleslogicielsmalveillantsontété installés avec succès sur la machine d'une victime. Les pirates ont une multitude de choix quant Pour conserver une longueur d'avance sur les agresseurs, il faut comprendre les méthodes qu'ils utilisent, les voies qu'ils suivent et les endroits où ils obtiennent des résultats. L'étude des caractéristiques et des tendances d'attaques est une partie importante de ce récit. En 2015, les logiciels rançonneurs ont fait la une de l'actualité, car les entreprises et les particuliers étaient prêts à payer pour récupérer l'accès à leurs fichiers chiffrés et verrouillés par des logiciels malveillants. L'absence de sauvegarde récente ou le temps nécessaire à la restauration de la sauvegarde a conduit de nombreuses entreprises à choisir de payer pour obtenir la clé de déchiffrement de leurs propres contenus, tout en essayant d'empêcher la prochaine attaque. Dès qu'il existe une solution pour lutter contre un type d'attaque, de nouvelles méthodes alternatives le remplacent. L'analyse révèle des modèles distincts dans ces nouvelles menaces. Par exemple, alors 4.1 SOURCE : Statistiques mondiales d'Internet, www.internetworldstats.com/stats.htm, novembre 2015 INTERNAUTES DANS LE MONDE PAR RÉGION Amérique latine/ Caraïbes 10,2 % 48,2 % Asie Europe 18 % Amérique du Nord 9,3 % Afrique 9,8 % 3,7 % Moyen-Orient Océanie/ 0,8 % Australie
  • 29. Logiciels rançonneurs : pour s'enrichir plus intelligemment sans effort 30 | ÉTUDE DES MODÈLES D'ATTAQUES Comme les entreprises légitimes, les cybercriminels doivent parfois se réoutiller lorsque la performance d'un « produit » diminue. En analysant les renseignements de cette année, Check Point a découvert que les criminels développaient leurs attaques de logiciels rançonneurs tout en réduisant celles des chevaux de Troie bancaires. Il existe plusieurs raisons pour lesquelles nous pensons que les logiciels rançonneurs, qui attaquent en chiffrant les fichiers d'un utilisateur et en exigeant le paiement d'une rançon pour les déchiffrer, deviendront la méthode d'attaque privilégiée de ceux qui veulent « voler intelligemment sans effort ». Vol difficile : les logiciels malveillants bancaires Vider des comptes bancaires en ligne était auparavant facile : il suffisait d'amener les utilisateurs à une fausse copie du site web de leur banque, capturer leurs identifiants de connexion, puis se connecter sur le véritable site web de la banque pour transférer des fonds vers le compte d'une mule. Les agresseurs doivent désormais composer avec l'authentification à 2 facteurs et se connecter au site de la banque à partir de l'ordinateur et de l'appareil reconnu des utilisateurs. Les transferts de fonds peuvent déclencher des systèmes antifraude qui bloquent les transferts et gèlent les comptes. Les criminels doivent également personnaliser les contenus des faux sites web de chaque banque cible. Vol intelligent : les logiciels rançonneurs Les logiciels rançonneurs peuvent attaquer n'importe quel utilisateur, pas seulement les clients des banques, ce qui augmente considérablement la population de cibles potentielles par rapport aux logiciels malveillants bancaires. Ils forcent les victimes à payer rapidement au risque de perdre l'accès à leurs contenus vitaux sans qu'il soit nécessaire aux utilisateurs de se connecter pour capturer leurs identifiants. Après le chiffrement des données, une demande de rançon indique aux victimes comment payer, ou comment trouver le « propriétaire » dans l'Internet anonyme et clandestin TOR. De récentes données montrent que certains logiciels rançonneurs intègrent une clé afin de leur éviter d'avoir à communiquer avec un serveur externe pour obtenir les clés de
  • 30. ÉTUDES DES MODÈLES D'ATTAQUES | 31 chiffrement avant de lancer l'attaque. Aucun serveur de contrôle n'étant nécessaire, une seule approche de logiciel rançonneur fonctionne pour tous les utilisateurs. Seule la courte note de rançon nécessite une traduction mais les agresseurs peuvent diriger les victimes vers Google Translate pour éviter entièrement ce travail de traduction. Les logiciels rançonneurs utilisent généralement des méthodes de paiement alternatives telles que bitcoin, ce qui permet des transferts de fonds que les utilisateurs ne peuvent contester et que les banques ne peuvent annuler. Le brouillage des portefeuilles de bitcoins empêche les autorités de retracer les transactions, et il est facile de convertir anonymement des bitcoins dans toute autre monnaie. Résumé Quatre facteurs facilitent les attaques de logiciels rançonneurs : 1. Les logiciels rançonneurs ciblent de nombreuses victimes potentielles. 2. Les attaques nécessitent peu d'efforts car il n'est pas nécessaire d'héberger ni de maintenir de serveurs personnalisés pour chaque base ciblée. 3. Les attaques sont simples à réaliser de bout en bout. 4. La réception des paiements des victimes est quasi-assurée et intraçable. Prédictions • Avec des profits élevés et peu d'efforts, nous nous attendons à ce que les attaques de logiciels rançonneurs augmentent. • Comme les logiciels malveillants bancaires, nous nous attendons à ce que des défenses avancées forcent les logiciels rançonneurs à devenir plus complexes et plus évasifs. • Le nombre réduit de victimes de logiciels rançonneurs obligera les menaces à cibler les grandes entreprises pour améliorer les résultats de chaque attaque. Nous nous attendons à voir plus de cas similaires aux attaques telles que Samsam sur des hôpitaux et des entreprises. • Les attaques vont se déplacer à l'intérieur des entreprises ou sur du stockage partagé pour chiffrer les données. Cela permettra d'accroître le montant des paiements en impliquant plusieurs utilisateurs. • Pour le secteur public, nous nous attendons à l'émergence de nouvelles formes d'attaques telles que des logiciels rançonneurs de chantage, menaçant de divulguer des informations embarrassantes au risque d'exposer publiquement les utilisateurs s'ils ne paient pas.
  • 31. 9,5 % Pays-Bas 5,2 % Suisse 5,3 % Pologne 47,6 %États-Unis 4,9 % Chine 26 % Allemagne 8,7 % Portugal 5,4 % Grande-Bretagne États-Unis 24,8 %Autres 3,9 % Fichiers malveillants Sites web malveillants 32 | ÉTUDE DES MODÈLES D'ATTAQUES aux logiciels malveillants connus et inconnus, et les points d'entrée facilement exploitables dans Android et Microsoft Windows. Pour conserver une longueur d'avance, notre équipe de recherche analyse un large éventail d'aspects de ces d'attaque et améliore en permanence les défenses contre les menaces inconnues et zero-day. Certains éléments comprennent : • La provenance des attaques • Les types d'attaques les plus populaires • Les plus grandes zones de vulnérabilité • Comment les agresseurs parviennent à entrer Ces données aident Check Point à ajuster et affiner ses flux de renseignements sur les menaces. La compréhension des origines, des destinations et des méthodes clés des attaques, façonne les approches pour une meilleure défense. ORIGINE DES ATTAQUES Parmi les 7,4 milliards de personnes sur la planète, moins de 5 % vivent aux États-Unis. Malgré cela, les États-Unis sont en tête en matière d'hébergement de fichiers et de sites web malveillants. Bien que cela semble disproportionné, les États-Unis comptent deux foix plus d'internautes par habitant que le reste du monde, avec une moyenne de 87,9 % par rapport à la moyenne du reste du monde de 44,2%.2 Les États-Unis comptent également la majorité des marques Internet pionnières, ce qui en fait une cible attrayante. Une population technophile crée plus d'innovations, à la fois utiles et malveillantes. 4.2 SOURCE : Check Point Software Technologies POURCENTAGE DES PRINCIPAUX PAYS HÉBERGEANT DES FICHIERS ET DES SITES MALVEILLANTS
  • 32. 2014 2015 POURCENTAGE DES PRINCIPAUX VECTEURS D’ATTAQUES DÉNI DE SERVICE FUITE DE DONNÉES CORRUPTION MÉMOIRE EXÉCUTION DE CODE 60 % 35 % 10 % 34 % 30 % 19 % 68 % 39 % 6 % 43 %DÉPASSEMENT DE MÉMOIRE TAMPON ÉTUDE DES MODÈLES D'ATTAQUES | 33 laisser de trace. Pour plus d'informations sur ce sujet, consultez notre billet de blog Heartbleed sur www.checkpoint.com. Avec la disponibilité de correctifs pour protéger les entreprises contre cette vulnérabilité, les agresseurs ont été obligé de passer à d'autres vecteurs d'attaques. Même des années après la disponibilité de correctifs pour Heartbleed, l'exploitation de cette vulnérabilité3 reste encore viable car toutes les entreprises ne les ont pas installés. En 2015, les modèles d'attaques ont changé, et près de 68 % des entreprises ont connu au moins une attaque d'exécution de code. Ces attaques ont besoin d'une technique pour exécuter du code à distance. Les exécutions de code peuvent être déclenchées même en présence de défenses, ce qui les rend très attrayantes. Une des techniques d'exécution de code les plus populaires est TYPES D'ATTAQUES LES PLUS POPULAIRES Les passerelles de sécurité Check Point signalent chaque année les méthodes d'attaques privilégiées, ou principaux vecteurs d'attaques. En 2014, les trois principaux vecteurs d'attaques étaient les dénis de service (DoS), les dépassements de mémoire tampon et l'exécution de code. En 2015, les dépassements de mémoire tampon ont fortement chuté, et l'exécution de code est devenue le vecteur le plus populaire. LebugHeartbleedafaitdudépassementde mémoire tampon la méthode d'attaque dominante de 2014. Son nom provient de l'exploitation d'une faille dans la fonction heartbeat du protocole TLS (sécurité de la couche de transport). Grâce à ce bug, des agresseurs utilisaient des serveurs vulnérables pour récupérer jusqu'à 64  Ko de données confidentielles de manière répétée dans la mémoire de l'ordinateur, sans 36 ATTAQUES D'EXÉCUTION DE CODE ONT EU LIEU CHAQUE JOUR EN 2015 4.3 SOURCE : Check Point Software Technologies
  • 33. 34 | ÉTUDE DES MODÈLES D'ATTAQUES ROP (return-oriented programming). Lors de l'ouverture d'un document infecté, ROP détourne de petits morceaux de code légitimes et ordonne au processeur de les charger et d'exécuter le logiciel malveillant réel. Apparaissant légitime pour la plupart des systèmes de sécurité, la détection de cette manipulation au niveau du processeur est essentielle pour stopper les attaques avant même qu'elles ne se produisent. Les dénis de service continuent d'être un moyen attrayant d'attaque et de perturbation, avec 35,1  % des entreprises victimes d'au moins une attaque DDoS. En 2015, les attaques DDoS sont passées à 73 événements par jour, par rapport à un chiffre déjà stupéfiant de 48 événements par jour en 2014. UNE NOUVELLE ATTAQUE DDOS S'EST PRODUITE TOUTES LES 20 MINUTES PLUS GRANDES ZONES DE VULNÉRABILITÉS Des vulnérabilités existent dans la plupart des logiciels que nous utilisons dans l'entreprise. L'un des plus grands référentiels de vulnérabilités connues, la base de données CVE (vulnérabilités courantes), signale que les vulnérabilités de 2015 étaient de 15 % supérieures à la moyenne observée au cours des huit précédentes années. Les logiciels malveillants qui exploitent des vulnérabilités connues restent une menace importante, ce qui fait des correctifs et des mises à jour une nécessité pour tous les logiciels. Des points d'entrée existent dans de nombreux endroits. La lutte contre les logiciels malveillants connus nécessite l'application régulière de patchs correctifs et de mises à 5 6322008 5 7322009 4 6392010 4 1502011 5 2882012 5 1862013 7 9372014 6 4882015 NOMBRE DE VULNÉRABILITÉS COURANTES 4.4 SOURCE : Base de données CVE (vulnérabilités courantes)
  • 34. ÉTUDE DES MODÈLES D'ATTAQUES | 35 jour sur une quantité sans cesse croissante de matériels. Les serveurs, les outils de sécurité, les ordinateurs, les points d'accès sans fil et même les imprimantes réseau nécessitent des mises à jour régulières. Avec autant d'équipements et de points d'entrée dans le réseau, il est facile d'en oublier certains. COMMENT LES PIRATES PARVIENNENT À ENTRER Même si elle est en légère diminution par rapport aux années précédentes, l'énorme base installée de systèmes d'exploitation, navigateurs, applications de productivité et autres de Microsoft, reste en tête du volume d'événements de sécurité. Joomla et WordPress pour le web et le commerce électronique sont remontés dans le classement cette année. L'open source est très commun, et les systèmes de gestion des contenus (CMS) sont des applications extrêmement attrayantes pour les cybercriminels, comme moyen de diffusion de logiciels malveillants. SuperFish a rejoint les premières places du classement en 2015. Ce logiciel publicitaire, découvert sur de nombreux ordinateurs Lenovo, fait bien plus que d'intercepter des résultats de recherche. Il est mesure d'intercepter les recherches chiffrées en installant un certificat racine de confiance non unique pour usurper le trafic HTTPS. SuperFish permet à des pirates d'exécuter une attaque classique de type homme du milieu sans alerter le navigateur. C'est devenu un vecteur d'attaque populaire, qui a entraîné un avertissement de la part du gouvernement américain en février 2015 pour les utilisateurs de Lenovo.4 Lenovo l'a depuis retiré de ses nouveaux ordinateurs. 4.5 SOURCE : Check Point Software Technologies 2014 2015 POURCENTAGE D’ÉVÉNEMENTS DE SÉCURITÉ PAR PRINCIPAUX ÉDITEURS MICROSOFT ADOBE APACHE HP SUN/ORACLE MOZILLA JOOMLA MICROSOFT JOOMLA SUPERFISH WORDPRESS MORPHEUS APACHE ADOBE 8 % 8 % 63 % 17 % 12 % 9 % 7 % 6 % 5 % 14 % 3 % 6 % 3 % 77 %
  • 35. Phishing : de plus gros appâts pour attraper les entreprises Au bout de deux décennies, les escroqueries par phishing qui convainquent les utilisateurs de révéler des informations confidentielles, telles que des numéros de cartes bancaires et des identifiants bancaires, restent une source de revenus populaire pour les cybercriminels. Comme les utilisateurs sont devenus plus conscients des risques, et que la détection du spam et du phishing s'est améliorée, les criminels se sont tournés vers d'autres techniques pour améliorer leur taux de réussite. Cependant, ces nouvelles approches prennent plus de temps et d'efforts à mettre en œuvre, et fournissent des résultats relativement modestes pour chaque délit. Pour maximiser leur « prise », les criminels recalibrent les attaques de phishing massives prévues pour des utilisateurs aléatoires en attaques très ciblées sur des employés de grande valeur en entreprise. Évolution du phishing Le phishing ciblé est le nom donné à des attaques très ciblées qui utilisent des méthodes d'escroquerie et d'ingénierie sociale pour dérober des identifiants et autres informations utiles auprès de groupes d'utilisateurs spécifiques, d'entreprises spécifiques, ou même d'individus spécifiques. Pour mener une attaque de phishing ciblée réussie, l'auteur investit beaucoup plus de temps et d'efforts de préparation pour recueillir des informations détaillées sur les cibles visées. Par exemple, un agresseur peut mener des recherches sur les fournisseurs utilisés par la société, les prestataires tels que les cabinets comptables ou les partenaires commerciaux de l'entreprise. L'agresseur identifie ensuite des individus spécifiques et leurs adresses email, et leur envoie des emails falsifiés apparaissant comme légitime à presque tous les égards. Les emails invitent les utilisateurs à ouvrir une pièce jointe ou les redirigent vers un site web contrefait de grande qualité. Le résultat net de ces méthodes améliorées d'ingénierie sociale est un taux de réussite beaucoup plus élevé. Les entreprises ayant généralement des réserves financières beaucoup plus importantes que l'utilisateur moyen, la « prise » typique de chaque escroquerie de phishing ciblé est nettement plus élevée. Chasse à la baleine Le phishing ciblé se transforme désormais en attaques de « chasse à la baleine ». Cette forme élaborée de phishing ciblé vise généralement les cadres de direction, et tire son nom de la « pêche aux gros poissons ». Par exemple, un agresseur pourrait envoyer un email falsifié se faisant passer pour une correspondance du PDG au directeur financier, lui demandant de transférer des fonds sur un compte bancaire spécifique. Ces approches sont si crédibles qu'elles ont réussi à convaincre certains professionnels avisés. Au moment où la vérité est découverte, l'argent a disparu depuis longtemps. Pour effacer toute trace, certains agresseurs utilisent des comptes de mules pour une seule attaque. Selon le FBI, au cours des deux dernières années et demie, les escroqueries de chasse à la baleine ont détourné plus de 2 milliards d'euros des entreprises. Il est certain que les agresseurs continueront de développer des moyens innovants pour conduire les utilisateurs à compromettre leurs systèmes. La sensibilisation des utilisateurs et des technologies de pointe sont nécessaires pour empêcher les utilisateurs de devenir victimes de ces escroqueries. 36 | ÉTUDE DES MODÈLES D'ATTAQUES
  • 36. PRENEZDESMESURES MEILLEURES PRATIQUES Les entreprises ont besoin d'une stratégie unifiée de prévention des menaces. Les logiciels malveillants connus restent une grande menace. De nouvelles techniques font croître le volume de logiciels malveillants inconnus et zero-day de manière significative. Elles exigent des solutions capables de stopper les menaces connues et inconnues en temps réel, y compris les menaces les plus évasives. La supervision des communicationssortantesestégalementimportantepourrepérerlescomportements anormaux avant que des dommages ne se produisent. UNIFIEZ L'ARCHITECTURE Protégez votre réseau contre les logiciels malveillants et les menaces zero-day avancées. Étendez ces protections aux postes fixes et mobiles, aux services dans le Cloud et aux environnements virtuels pour empêcher les menaces de se propager dans l'entreprise. PROTÉGEZ TOUS LES ENVIRONNEMENTS Utilisez une architecture de sécurité agnostique pour stopper les menaces de manière uniforme contre les datacenters, les plates-formes dans Cloud, les datacenters logiciels, sous forme de services, hybrides, et les environnements mobiles. STOPPEZ LES LOGICIELS MALVEILLANTS ET LES EXPLOITATIONS DE VULNÉRABILITÉS ZERO-DAY L'augmentation des attaques d'exécution de code, y compris des techniques avancées telles que ROP, contournent les bacs à sable traditionnels. L'émulation des menaces au niveau du processeur détecte les logiciels malveillants lors de la phase d'exploitation, avant que les pirates n'appliquent des techniques de contournement du bac à sable. 1 2 3 ADMINISTREZ LA SÉCURITÉ VIA UNE SEULE CONSOLE L'administration unifiée de la sécurité améliore l'efficacité de la sécurité et la visibilité sur les journaux. ADOPTEZ UNE MÉTHODOLOGIE DE TRAITEMENT DES INCIDENTS Jusqu'à ce que vous ayez unifié la prévention en temps réel, vous avez besoin de continuer de traiter les incidents. L'équipe de traitement des incidents de Check Point est disponible 24 heures sur 24 et 365 jours par an pour analyser et résoudre les attaques de logiciels malveillants et autres événements de sécurité touchant votre entreprise. Contactez-nous au +1 866 923 0907 ou par email à emergency-response@checkpoint.com. 4 5 POUR EN SAVOIR PLUS checkpoint.com/management ÉTUDE DES MODÈLES D'ATTAQUES | 37
  • 37. 38 | CHECK POINT – RAPPORT SÉCURITÉ 2016 5 RÉPERCUSSIONS DE L'INSÉCURITÉ « Tout ce que nous faisons, même la moindre chose, peut avoir une conséquence et des répercussions qui en émanent. Si vous jetez un caillou dans l'eau d'un côté de l'océan, un raz de marée peut se produire de l'autre côté. » Victor Webster, acteur
  • 38. RÉPERCUSSIONS DE L'INSÉCURITÉ | 39 Vous changerez vos habitudes non seulement pour combattre l'insécurité, mais pour vous sentir plus en sécurité, ce qui peut être plus coûteux. Les failles en entreprise ne sont pas différentes. Là aussi, les répercussions peuvent être plus dommageables que l'événement initial. Le calcul de la valeur financière de l'informationestcomplexe,maisilexisteaujourd'hui plusieurs façons de l'estimer. En 2013 et en 2014, une vague d'attaques a ciblé de grandes entreprises telles qu'Anthem, Target, Home Depot et Sony, pour obtenir des renseignements personnels. Le coût moyen d'une fuite de données est de 136  euros par enregistrement selon une étude de Ponemon, et pour les nombreux incidents impliquant des milliers, voire des millions d'enregistrements, le coût total moyen d'une seule fuite est passé à 3,35 millions d'euros en 2015.1 L'impact de la cybercriminalité coûte plus cher que la valeur de l'information dérobée. Les répercussions sont souvent plus dommageables que le vol même. La perte de confiance, aussi bien au sein de votre entreprise que de vos clients, vous conduit à dépenser plus que nécessaire sur les remèdes, tels que dédommager les fournisseurs et les partenaires touchés, et provoque la fuite de vos clients. Si quelqu'un faisait irruption dans votre maison, vous ne vous sentiriez pas en sécurité. Votre compagnie d'assurance vous remboursera la valeur des objets volés, mais le sentiment de sécurité ne peut être remplacé si facilement. Vous deviendrez plus prudent et investirez même dans un système de sécurité plus moderne, ou commencerez à stocker vos objets de valeur ailleurs, ou bien vous sortirez moins, pour vous sentir plus en sécurité. 5.1 SOURCE : Indice de niveau de faille de Gemalto 2014 2015 RÉPARTITION DES PRINCIPALES FUITES DE DONNÉES PAR SECTEUR COMMERCE DE DÉTAIL TECHNOLOGIE AUTRE SANTÉ GOUVERNEMENTÉDUCATION 9% 17% 19% 4% 42% 3% 5% 53% 5% 14% 5%
  • 39. 40 | RÉPERCUSSIONS DE L'INSÉCURITÉ En 2015, le nombre de failles a diminué légèrement, passant de 1 milliard de dossiers en 2014 à un peu plus de 700 millions en 2015, selon le cabinet d'études Gemalto.2 Bien que cela semble prometteur, tous les enregistrements n'ont pas la même valeur. En 2014, la cible principale était les données de cartes bancaires qui ont une durée de vie relativement courte, les banques annulant les débits et réémettant de nouvelles cartes rapidement. En 2015, les agresseurs sont passés à des données avec une durée de vie plus longue : renseignements personnels et vol d'identité. Les agresseurs sont passés de cibles principalement dans les secteurs financiers et du commerce de détail en 2014 à des cibles dans les secteurs du gouvernement et de la santé en 2015. Plus la durée de conservation d'un enregistrement est longue, plus la remise en état est coûteuse. Le calcul des coûts initiaux d'une faille comprend plusieurs dépenses directes  : • La valeur de la propriété intellectuelle dérobée • Le délai d'analyse, de remise en état et d'amélioration des défenses de tous les systèmes compromis • La vérification de tous les systèmes de l'entreprise à la recherche de toute infection cachée • La restauration des systèmes à partir des sauvegardes, y compris la vérification de ces sauvegardes à la recherche de vulnérabilités • La modification des procédures de sécurité et la formation du personnel aux nouvelles procédures Les coûts des répercussions moins évidentes, cependant, occultent rapidement ces coûts directs. Dans le cas de l'attaque contre Target, les 40 millions de cartes bancaires dérobées fin 2013 a coûté à Target 220 millions d'euros en dépenses directes les deux premières années, mais 5.2 SOURCE : Check Point Software Technologies RÉPARTITION DES ENTREPRISES AYANT SUBI DES FUITES DE DONNÉES 100 % 88 % 86 % 85 % 81 % 73 % CONSEIL INDUSTRIE GOUVERNEMENT FINANCE COMMERCE DE DÉTAIL ET DE GROS TÉLÉCOM.
  • 40. ce chiffre continue d'augmenter. Certaines sources estiment que les coûts dépasseront finalement 2 milliards d'euros en incluant les pertes des débits frauduleux, le remboursement des fournisseurs et les pénalités issues des procès. La reprise sur incident coûte cher. Les failles de sécurité servent généralement à dérober des données, et souvent les petites entreprises sont plus faciles à attaquer que les grandes. Selon une étude de Trustwave, 90  pour cent des fuites de données touchent les petites entreprises, qui ont beaucoup plus de difficultés à survivre à l'impact. Même si les petites entreprises ne sont pas en possession de grandes quantitésdedonnéespersonnelles,ellesdétiennent souvent les clés d'accès à ceux qui en possèdent. Les répercussions sur la réputation de l'entreprise sont difficiles à estimer, mais sont très réelles. Si une entreprise dispose d'un bon soutien auprès de sa clientèle et gère soigneusement la situation, les clients seront peut-être ébranlés mais ne partiront pas. Cependant, pour les petites entreprises, toute perte de confiance des clients est dévastatrice. Les failles au niveau du gouvernement entraînent de gros problèmes de confiance, mais RÉPERCUSSIONS DE L'INSÉCURITÉ | 41 leur impact financier est limité par rapport à une entreprise publique ou privée. Les trois secteurs privés qui subissent les impacts financiers les plus forts sont les services financiers, la santé et l'industrie. Comme beaucoup de gens ont la mauvaise habitude de réutiliser leurs mots de passe, la perte d'un mot de passe sur un site a souvent des répercussions. Les agresseurs utilisent un mot de passe dérobé pour accéder à d'autres sites et applications utilisées par la victime, ce qui produit de multiples failles. 5.3 SOURCE : Check Point Software Technologies SERVICES FINANCIERS Notre étude montre que les institutions financières font face à des taux beaucoup plus élevés d'attaques que tout autre secteur. Nous ne sommes pas les seuls à tirer cette conclusion. Un rapport de Websense Security Labs en 2015 souligne également que les institutions financières subissent 300 pour cent plus de cyberattaques que tout autre secteur.3 LES FUITES D'INFORMATIONS ONT AUGMENTÉ DE PLUS DE 400 % AU COURS DES TROIS DERNIÈRES ANNÉES
  • 41. Parmi les plus importantes pressions sur le marché de la finance en 2015 : 42 | RÉPERCUSSIONS DE L'INSÉCURITÉ Conclusions pour le secteur de la finance en 2015 83 % des dirigeants d'entreprises du secteur de la finance conviennent que la capacité de lutter contre les cybermenaces et la protection des données personnelles seront l'un des plus grands défis en matière de renforcement de la réputation au cours des 12 prochains mois4 24 % d'augmentation des pertes financières suite à des incidents5 73 % des consommateurs américains changent de prestataire de services financiers suite à des failles ou des fuites de données personnelles6 61 % des consommateurs ne font pas confiance aux institutions financières7 44 % des entreprises du secteur de la finance ont signalé des pertes d'activité de 20 % ou plus au cours des douze derniers mois en raison de problèmes de réputation et de satisfaction client. La moyenne se situant à 17 %,soit presque le double de la moyenne de 20148 42 % des consommateurs américains estiment que ne pas protéger leurs informations personnelles et financières est la plus grande menace pouvant peser sur la réputation des entreprises du secteur de la finance9 68 % des consommateurs signalent que toute actualité négative au sujet de leur prestataire de services financiers, problèmes de conformité réglementaire, activités illégales, amendes, etc., les conduiront probablement à changer de prestataire10
  • 42. Les sociétés financières sont des cibles idéales car leurs données sont plus attrayantes sur le marché. Les banques de détail, les banques commerciales avec des bureaux dispersés à travers le monde, les entreprises de cartes de crédit, les compagnies d'assurance et les sociétés de commerce possèdent toutes des données, et sont connectées à d'autres données. Les services financiers ne sont pas en tête de la liste des cibles des attaques en 2015, simplement parce que leurs efforts en 2014 pour fortifier leurs défenses ont font une cible plus difficile à pénétrer. La cybersécurité financière est un écosystème profondément complexe et multiforme. Les grandes institutions financières se sont remises en question après 2014. Elles ont commencé à investir dans des solutions intégrées plutôt que des produits disparates pour améliorer encore la protection contre le déluge de menaces persistantes avancées et les attaques zero-day. Le volume des attaques et des cibles nécessite une visibilité complète sur les opérations et l'administration centralisée de la sécurité, mais pas une transparence totale. Comme les nations protégeant leurs citoyens, les directions des grandes institutions financières sont prudentes quand il s'agit de révéler les méthodes de protection ou les détails des attaques. Lorsque les cybercriminels constatent si leurs attaques ont un impact, ou n'en ont pas, ils adaptent leurs tactiques ou leurs représailles. La perception de la protection est aussi importante, sinon plus, que la protection réelle. Les incidents qui ne produisent aucune fuite de données personnelles secouent malgré tout la confiance des clients. Pour cette raison, les institutions financières partagent désormais des détails sur les attaques via des flux de renseignements sur les menaces. Nos partenaires proposent certains de ces flux. Comme la plupart des pirates utilisent habituellement les mêmes méthodes d'attaques couronnées de succès contre plusieurs victimes, leurs coûts augmentent lorsqu'une méthode d'attaque ne fonctionne qu'une fois. Plus le piratage coûte cher, plus le nombre de pirates diminue, ce qui est plus sécurisant pour tout le monde. SECTEUR MÉDICAL Les dossiers médicaux des patients ont la plus grande valeur sur le marché noir, dix fois plus que les cartes bancaires et autres données financières.11 Alors qu'un numéro de carte bancaire ou un identifiant de connexion à un compte bancaire peut être rapidement réédité, un dossier médical ne le peut pas. Ils exposent beaucoup plus d'informations sur un individu, y compris ses sensibilités, ses vulnérabilités et ses préoccupations personnelles, ce qui les rend précieux à des fins d'espionnage. Les entreprises du secteur médical sont des cibles privilégiées pour les cybercriminels. En2015etaudébutde2016,denombreuses entreprises du secteur médical ont été victimes d'une multitude d'attaques, principalement de la part de logiciels rançonneurs. Le secteur de la santé est traditionnellement en retard sur des cibles privilégiées telles que le secteur de la finance en termes de robustesse de la sécurité, et de nouvelles règlementations concernant la confidentialité des renseignements personnels compliquent également l'évolution de la sécurité. RÉPERCUSSIONS DE L'INSÉCURITÉ | 43 5.4 SOURCE : Check Point Software Technologies 9 % DES ENTREPRISES DU SECTEUR MÉDICAL/DE L'ASSURANCE ONT SUBI UNE PERTE DE DONNÉES HIPAA
  • 43. 44 | RÉPERCUSSIONS DE L'INSÉCURITÉ Conclusions pour le secteur médical en 2015 60 % d'augmentation des incidents de sécurité dans le secteur médical12 2 % des entreprises du secteur médical aux États-Unis ont signalé au moins un cas de vol d'identité médicale13 282 % d'augmentation des coûts des failles de sécurité dans le secteur médical au cours des 12 derniers mois14 89 % des prestataires du secteur médical aux États-Unis mettent les données des patients à la disposition des patients, de substituts et/ou d'autres personnes désignées15 11 types d'outils techniques de sécurité sont mis en œuvre en moyenne par les entreprises du secteur médical aux États-Unis16 21 % des entreprises du secteur médical aux États-Unis n'utilisent pas de technologie de reprise sur incident et 51,7 % de celles-ci ont l'intention de s'en procurer une à l'avenir17 54 % des entreprises du secteur médical aux États-Unis ne disposent pas d'un moyen d'authentification unique (SSO), et 49,3 % d'entre elles ont l'intention de s'en procurer un à l'avenir18 60 % des entreprises du secteur médical aux États-Unis n'ont pas implémenté de mécanisme d'authentification à deux facteurs19 19 % des entreprises du secteur médical aux États-Unis déclarent avoir subi une faille de sécurité l'année dernière20 Seulement 54 % des professionnels de l'informatique auprès des prestataires du secteur médical aux États-Unis ont testé leur plan d'intervention en cas de fuite de données21 Dans le secteur médical aux États-Unis, les trois premières menaces perçues sont : (80 %) les travailleurs qui espionnent les données des parents/amis, (66 %) le vol d'identité financière, (51 %) le vol d'identité22
  • 44. RÉPERCUSSIONS DE L'INSÉCURITÉ | 45 OBJETS CONNECTÉS INDUSTRIELS Les objets connectés dans le secteur de l'industrie (IIoT) sont une tendance significative à la hausse en 2015, et ont des implications importantes pour l'économie mondiale. Selon Oxford Economics,23 ce segment regroupe les industries qui contribuent à 62  pour cent du produit intérieur brut (PIB) des pays du G20, y compris les services publics, l'industrie du pétrole et du gaz, l'agriculture et la fabrication. Sont également incluses les entreprises de transport et d'infrastructure de transport (rail, ports), de logistique et de services médicaux des hôpitaux, et les centrales de production d'électricité. L'une des plus grandes attractions de l'IIoT est la promesse d'efficacité opérationnelle. Les techniques d'automatisation et de production flexibles conduisent à une augmentation de la productivité pouvant aller jusqu'à 30 pour cent.24 Cependant, ces appareils sont tous connectés, sont généralement accessibles et sont laissés sans surveillance, avec peu ou pas de protection pour leurs terminaux. Les répercussions des failles des objets connectés dans le secteur de l'industrie sont difficiles à mesurer, mais sont généralement facteurs de perturbations. Les perturbations des infrastructures essentielles ont d'énormes implications. Toute panne pourrait avoir un impact sur des centaines, voire des milliers d'entreprises, de manière difficilement quantifiable. Parmi tous les progrès actuels de la technologie, l'IIoT peut potentiellement produire le plus grand impact et causer le plus de perturbations. Par exemple, Google et Tesla produisant des voitures autonomes sont susceptibles de perturber une multitude de secteurs, y compris l'industrie automobile, l'assurance automobile et l'octroi de licences auprès du gouvernement. Le HealthKit d'Apple est un autre exemple d'objet connecté ayant de profondes implications. Si les capteurs de santé et les applications de santé sont soudainement librement accessibles aux patients, l'écosystème des données de santé maintenant occupé par des médecins, des organismes d'assurance et des sociétés pharmaceutiques se déplacerait vers les particuliers.25 Les avantages de l'efficacité accrue seront rapidement éclipsés en cas de fuites de données. Des programmes tels que HIPAA énoncent des règles strictes concernant la communication intentionnelle ou accidentelle de renseignements personnels, mais peuvent entraîner de nouvelles vulnérabilités. Les prestataires de santé de toute taille doivent se conformer à ces règlementations sur les renseignements personnels et leur sécurité. La protection des renseignements personnels est parfois prioritaire sur les contrôles d'accès. L'intégration des appareils connectés dans les environnements de santé augmente considérablement la surface d'attaque dans ce secteur, qui ne s'adapte pas à la taille des prestataires, ce qui fait des petits prestataires des cibles de choix. La protection de ce secteur est également difficile en raison des logiciels et des systèmes d'exploitation des équipements maintenant les patients en vie qui ne peuvent être mis hors ligne pour mise à jour. La conformité dans le secteur de la santé se concentre principalement sur les contrôles internes plutôt que sur la protection de l'information. Bien que la conformité des médecins, des infirmières et des administrateurs ayant accès aux données, mais ayant une connaissance limitée des techniques de cybercriminalité, est certainement importante, l'accent doit être mis sur la protection des objets connectés et les contrôles d'accès. 88 % DES ENTREPRISES ONT SUBI UNE FUITE DE DONNÉES
  • 45. Sécurisation des objets connectés dans le secteur de l'industrie Prévention. Si la protection contre les logiciels malveillants ne peut être implémentée sur chaque équipement, elle peut résider sur un point de communication commun à ces équipements. Segmentation. Les appareils connectés devraient communiquer avec un contrôleur central, et non pas les uns avec les autres. Protocoles. Il est recommandé d'utiliser une protection prenant en charge les protocoles ICS/SCADA spécifiques. Commandes directionnelles. Les objets connectés devraient émettre des rapports, et ne recevoir que quelques commandes en entrée. IDENTIFICATION DES RÉPERCUSSIONS Les fuites de données peuvent avoir des impacts financiers à court terme, qui sont relatifs en comparaison des dégâts à long terme sur la position d'une entreprise sur le marché. La valeur de la marque diminue en moyenne de 21  % en conséquence directe d'une faille de sécurité.26 La restauration de votre réputation prend du temps et dépend de la manière dont la situation est gérée. Adoptez une approche holistique de la sécurité au lieu d'assembler des solutions individuelles. Optez pour la prévention des H. W. Shaw (Josh Billings), humoriste américain « Le succès ne consiste pas à ne jamais faire d'erreurs, mais à ne jamais faire deux fois la même. » 46 | RÉPERCUSSIONS DE L'INSÉCURITÉ menaces, par opposition à la détection et au traitement des menaces. Pour réduire davantage les risques, intégrez la prévention des fuites de données dans votre infrastructure de sécurité et faites appel aux meilleures pratiques lors de la configuration de vos politiques de sécurité. L'équipe de traitement des incidents de Check Point est disponible pour étudier et résoudre des événements de sécurité complexes résultant d'attaques de logiciels malveillants, d'intrusions ou d'attaques de déni de service. L'équipe est disponible 24 heures sur 24 et 365 jours par an via emergency-response@checkpoint.com ou au +1 866 923 0907.
  • 46. PRENEZDESMESURES RÉPERCUSSIONS DE L'INSÉCURITÉ | 47 LORSQUE VOUS RÉFLÉCHISSEZ À VOS OBJECTIFS EN MATIÈRE DE CYBERSÉCURITÉ, POSEZ-VOUS CES QUESTIONS COMPRENDRE LA SITUATION À quel point faisons-nous confiance à l'efficacité de notre cybersécurité contre les menaces zero-day ? Mes collaborateurs sont-ils correctement formés sur les cybermenaces et les conséquences potentielles de leurs actions ? S'ASSURER DE LA VISIBILITÉ DES ACTIVITÉS Avons-nous une visibilité claire sur l'activité de journalisation dans tous les segments de notre réseau, ou est-ce que la supervision est trop complexe pour être utile ? 1 2 PROTÉGER LES CAPACITÉS DE TRAITEMENT PLUTÔT QUE LES SERVEURS Est-ce que les capacités de traitement du Cloud et des environnements virtuels ou logiciels bénéficient des mêmes protections que celles gérées par mon datacenter ? SE PRÉPARER Est-ce que les politiques de l'entreprise protègent les informations et les ressources dans tous les environnements ? Comment la direction est-elle informée du niveau actuel de menace et de l'impact potentiel des cyberattaques sur notre activité ? 3 4 LANCEZ-VOUS Découvrez les menaces actives sur votre réseau et les points faibles que vous pouvez corriger/améliorer. Rendez-vous sur : checkpoint.com/resources/securitycheckup
  • 47. 48 | CHECK POINT – RAPPORT SÉCURITÉ 2016 6 CONSERVEZ UNE LONGUEUR D'AVANCE « Être bien préparé, c'est être à mi-chemin de la victoire. » Miguel de Cervantes, auteur
  • 48. Mobilité Anglais et américains utilisent en moyenne 3 appareils mobiles par personne.1 Les employés combinent utilisation personnelle et professionnelle de leurs équipements, et jusqu'à 5 appareils mobiles sont infectés.2 IoT En 2016, 5,5 millions de nouveaux « objets » vont se connecter tous les jours.3 Cloud Les dépenses mondiales en logiciels d'entreprise augmenteront de 7,5 pour cent pour atteindre 133 milliards d'euros en 2015.4 CONSERVEZ UNE LONGUEUR D'AVANCE | 49 Les appareils mobiles, les objets connectés et les applications dans le Cloud offrent de nouvelles libertés, mais ces libertés comportent de nouveaux risques de sécurité. Pour chaque modèle d'entreprise perturbatrice, un service informatique réfléchit à la façon de le protéger. Par exemple, les communications des appareils mobiles utilisés pour comptabiliser les stocks en entrepôt ne doivent pas être compromises ni interceptées. Les appareils qui automatisent les relevés médicaux, la distribution d'énergie ou l'air conditionné des bureaux, doivent être correctement protégés de toute commande à distance risquant de les perturber. Les applications dans le Cloud ne devraient pas comporter d'interface ouverte non contrôlée permettant à des pirates d'entrer dans votre réseau. La gestion de la sécurité des objets connectés sous forme distincte augmentera la complexité de la gestion de la sécurité. Idéalement, la sécurité des objets connectés, que ce soit des biens de consommation ou des systèmes SCADA industriels, peut être intégrée à l'architecture de sécurité unifiée et gérée par la même console que les autres segments du réseau. Pour qu'une stratégie de sécurité soit efficace, vous devez comprendre les agresseurs. Le rapport de cette année montre que l'environnement des menaces continue de croître en complexité puisqu'il est plus facile que jamais d'obtenir et déployer des logiciels malveillants. Un million de nouveaux logiciels malveillants étaient lancés en 2005. En 2015, ce sont un million de logiciels malveillants lancés chaque jour.5 Les logiciels malveillants sont de plus en plus faciles à obtenir et à lancer. Examinez les attaques réussies, les dernières vulnérabilités et les tendances d'attaques pour créer une stratégie de sécurité adaptée à votre entreprise. Déterminez ensuite l'étendue de la surface d'attaque de votre entreprise. Les frontières de l'entreprise continuent de s'étirer et se brouiller, ce qui complique encore plus la sécurité. Les serveurs et les ordinateurs de l'entreprise ne définissent plus ces frontières. Elles sont repoussées par un nombre record d'appareils mobiles, d'applications dans le Cloud, et un nombre croissant d'objets connectés dont votre service informatique n'a pas conscience. Ces outils améliorent la productivité, mais chaque extension des frontières de l'entreprise doit être protégée.
  • 49. Conformité : la vraie raison des meilleures pratiques Savez-vous comment se nomme un groupe de méduses ? Bien qu'il n'existe pas de nom spécifique pour désigner un groupe de personnes qui rédigent les règlementations en matière de cybersécurité, comme dans le règne animal, les régulateurs semblent former des groupes. La preuve d'un comportement de groupe apparaît dans les nombreuses exigences communes que les régulateurs intègrent aux règles de cybersécurité qui émanent des entreprises du secteur de l'industrie et du secteur public. Face à ce tissu complexe de règlementations et de lois, l'utilisation des meilleures pratiques peut vous aider à tirer parti des exigences communes pour simplifier et améliorer la conformité et la sécurité. Par meilleures pratiques, nous entendons les lignes directrices qui ont pour objectif d'optimiser la configuration des solutions de cybersécurité. L'élimination des erreurs humaines est la principale raison de l'utilisation des meilleures pratiques. Selon Gartner, « Jusqu'en 2020, 99 % des failles des pare-feux seront causées par de simples erreurs de configuration du pare- feu, et non des défauts. »6 Lewis Morgan déclare à propos de la gouvernance : « L'erreur humaine est la cause de la plupart des fuites de données. Ce n'est donc pas un secret que la plus grande menace pesant sur les données d'une entreprise provient de ses propres employés, que ce soit un acte délibéré ou non. »7 Compte tenu de l'impact profond que peuvent avoir les erreurs de configuration sur la sécurité et la conformité, les chercheurs de Check Point se sont intéressés à la manière dont les entreprises utilisent efficacement les meilleures pratiques, et leur impact sur la conformité. Ils ont surveillé la configuration des contrôles de sécurité tels que les pare-feux, les systèmes de détection/prévention d'intrusions, les antivirus et autres, et ont produit des indices sur la conformité. Nos chercheurs ont été surpris de découvrir que 53,3 pour cent des paramètres de configuration sont définis conformément aux meilleures pratiques du secteur. Les niveaux de conformité avec les différents secteurs et normes réglementaires sont présentés dans le tableau suivant : Niveaux de conformité à 4 règlementations par secteur 50 | CONSERVEZ UNE LONGUEUR D'AVANCE SECTEUR RÉGLEMENTATION ÉTAT DE LA CONFORMITÉ Médical Sécurité HIPAA 59 % Sécurité informatique générale ISO 27001 64 % Énergie NERC CIP 67 % Cartes de paiement PCI DSS 3.1 60 %
  • 50. Notre étude montre qu'un segment important de professionnels de l'informatique à travers un large éventail de secteurs n'optimise pas les configurations pour la sécurité et la conformité. Pour comprendre cela plus en détail, le tableau 2 ci-dessous montre la conformité avec les meilleures pratiques pour les entreprises des secteurs des infrastructures critiques et de la finance. Niveaux de conformité par norme de configuration et par secteur Il est intéressant de noter que 3 entreprises sur 10 ne profitent pas de la technologie anti- usurpation, et qu'une entreprise sur deux ne restreint pas l'accès aux applications à haut risque. Compte tenu des risques associés à ces techniques de sécurité, ce sont des statistiques explosives. Une autre constatation pertinente est que la base de règles n'est pas entièrement documentée pour trois politiques de pare-feu sur quatre. Meilleures pratiques et reporting Les meilleures pratiques peuvent également vous aider pour le reporting et la supervision continue de la conformité, notamment dans le cas d'un audit. La règle 11 de PCI-DSS,8 HIPAA CFR 160- 164,9 FISMA,10 FERPA 99.62,11 la règle 4530 de FINRA et de nombreuses autres réglementations, nécessitent la supervision de la sécurité et des procédures de reporting. Une fois que vous avez réglé la question de la configuration, vous pouvez citer les meilleures pratiques pour structurer efficacement le contenu des rapports d'audit. CONSERVEZ UNE LONGUEUR D'AVANCE | 51 MEILLEURE PRATIQUE TOUS SECTEURS INFRASTRUCTURES CRITIQUES SERVICES FINANCIERS Activer l'anti-usurpation 70,0 % 75,5 % 65,0 % Assurer la documentation correcte des règles du pare-feu 28,0 % 30,0 % 30,0 % Définir les options de supervision des règles de sécurité 20,0 % 22,0 % 30,0 % Bloquer les applications et les sites web à haut risque 49,5 % 54,0 % 45,0 %
  • 51. Il n'existe pas assez de professionnels de la sécurité pour supporter la demande croissante en administration et en supervision des systèmes informatiques, et les professionnels disponibles doivent jongler entre demandes de routine et alertes urgentes. Ils sont également accaparés par les processus manuels et les systèmes cloisonnés. Ils ont besoin d'outils avancés de prévention des menaces s'appliquant à tous les points, avec administrationcentraliséeetexécutionméthodique, pour les aider. Les systèmes d'administration qui améliorent l'efficacité sont essentiels. Les approches traditionnelles de la sécurité ne suffisent plus. Pour s'adapter à la constante expansion du périmètre des réseaux, les équipes informatiques doivent fondamentalement transformer leur approche BEAUCOUP DE FEUX, TRÈS PEU DE POMPIERS Avec tant de logiciels malveillants, tant de vecteurs d'attaques et tant d'appareils à protéger, aucune entreprise, grande, petite, privée ou publique, n'est à l'abri. Nous courrons tous des risques. À mesure que les menaces et les attaques se développent, le nombre d'appareils et d'outils de sécurité que votre service informatique doit gérer suit cette tendance. Même avec des budgets informatiques illimités, le nombre de personnes qualifiées reste limité ! 52 | CONSERVEZ UNE LONGUEUR D'AVANCE 6.1 SOURCE : Enquête de Verizon sur les fuites de données en 2016, page 10 Délai jusqu’à découverte (réel) 100% 75% 50% 25 % 0 % 2005 2007 2009 2011 2013 2015 Délai jusqu’à vulnérabilité (tendance) Délai jusqu’à découverte (tendance) Délai jusqu’à vulnérabilité (réel) % Fenêtre d’exposition entre vulnérabilité et découverte Fenêtred’expositiondeplusieursjoursoumoins FENÊTRE D’EXPOSITION ENTRE VULNÉRABILITÉ ET DÉCOUVERTE 67 % 56 % 55 % 61 % 67 % 62 % 67 % 89 % 62 % 76 % 62 % 84 %