Le rapport de sécurité 2016 de Check Point met en lumière l'impact croissant des attaques informatiques, notamment la violation du Bureau de la gestion du personnel des États-Unis, qui a touché plus de 21 millions de personnes. Il souligne l'inefficacité des méthodes de protection réactives et plaide pour une approche proactive, incluant des recommandations telles que la segmentation du réseau et l'utilisation d'une architecture de sécurité unifiée. Les tendances récentes montrent une augmentation des logiciels malveillants et des violations de données, requérant une vigilance accrue des entreprises face aux cybermenaces.

1. 2016RAPPORT
SÉCURITÉ

2. CHECK POINT – RAPPORT SÉCURITÉ 2016 | 3
1. INTRODUCTION ET MÉTHODOLOGIE 04-11
2. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS 12-19
3. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 20-27
4. ÉTUDE DES MODÈLES D'ATTAQUES 28-37
5. RÉPERCUSSIONS DE L'INSÉCURITÉ 38-47
6. CONSERVEZ UNE LONGUEUR D'AVANCE 48-55
RÉFÉRENCES 56-58
2016RAPPORT
SÉCURITÉ

3. 4 | CHECK POINT – RAPPORT SÉCURITÉ 2016
1
« Nous subissons la technologie alors que nous voulons juste quelque
chose qui fonctionne. »
Douglas Adams, auteur et satiriste
INTRODUCTION ET
MÉTHODOLOGIE

4. INTRODUCTION ET MÉTHODOLOGIE | 5
Le prix de la plus importante faille de 2015 est décerné à l'OPM
(le Bureau de la gestion du personnel, une agence du gouvernement
américain). Des pirates originaires de Chine sont restés dans les réseaux d'OPM
pendant plus d'un an avant d'être découverts. Lorsque la brèche a finalement été
découverte, les premières estimations ont placé le nombre de victimes à quatre millions.
Ce chiffre a ensuite dépassé 21 millions, dont environ 19 millions de personnes qui ont
demandé des autorisations gouvernementales de sécurité et ont été soumises à des
vérifications d'antécédents, et 1,8 million de conjoints et partenaires de ces candidats.
Les pirates ont mis la main sur un trésor de données confidentielles, y compris les
formulaires SF-86 des personnes qui ont demandé des autorisations. Ces formulaires
peuvent contenir une grande quantité de données confidentielles, non seulement
sur les employés qui cherchent à obtenir une autorisation de sécurité, mais
également sur leurs amis, leurs conjoints et autres membres de leur famille.
«
«
— Wired Magazine, 23 décembre 2015
Même si plusieurs failles notables se sont
produites en 2015, la faille OPM a suscité
beaucoup d'attention car il a fallu plus d'un an
pour la découvrir, et les répercussions de cette
faille particulière sont considérables. En lisant
le Rapport Sécurité de cette année, il apparaît
clairement que le modèle de protection de la
sécurité qui réagit aux menaces ne suffit plus à
protéger les entreprises d'aujourd'hui. La défaite
devient une possibilité réelle. Ce type de faille
peut arriver à tout le monde. Pour vous aider à
protéger votre entreprise, vos données et vos
clients, nous avons tissé des recommandations
dans chacun des chapitres du rapport. Chaque
faille est un apprentissage qui nous incite à mieux
nous protéger. Nous avons tous à apprendre de
l'expérience d'OPM.
En avril 2015, près de 21 millions
de dossiers personnels ont été dérobés
auprès du Bureau de la gestion du personnel,
le référentiel central des ressources
humaines du gouvernement des États-Unis.

5. Ces dossiers comprenaient les formulaires
détaillés des demandes d'autorisation de sécurité
ainsi que les empreintes digitales de 5,6 millions
d'employés. Selon des représentants du
gouvernement, il s'agit de l'une des plus grandes
fuites de données gouvernementales de l'histoire
des États-Unis.
Selon Andy Ozment, un représentant du
Département de la sécurité intérieure des États-
Unis, la faille a débuté près d'un an avant sa
découverte. Les agresseurs ont d'abord obtenu
des identifiants utilisateur valides pour accéder
au système, probablement par des méthodes
d'ingénierie sociale. Une fois à l'intérieur, ils ont
activé un logiciel malveillant qui a ouvert une
porte dérobée pour garantir un accès continu. Ils
ont ensuite élevé leurs privilèges pour accéder à
d'autres systèmes d'OPM.
Cet incident illustre la manière dont
une modeste brèche dans un réseau peut se
développer à grande échelle pour conduire à
À votre tour d'implémenter
la prévention
Toutes les entreprises peuvent tirer des enseignements de la faille OPM.
Empêcher les attaques avant qu'elles n'infligent des dégâts et utiliser une
architecture de sécurité unifiée pour simplifier et renforcer la sécurité est
essentiel dans le paysage des menaces d'aujourd'hui.
Segmentez votre réseau et appliquez des politiques de sécurité uniformes à tous
les segments à l'aide d'une architecture de sécurité unifiée.
Les correctifs ne sont pas entièrement efficaces. Utilisez les correctifs virtuels
du système de prévention d'intrusions pour assurer une protection entre les phases
de mises à jour périodiques.
Stoppez les infections de logiciels malveillants en temps réel grâce à la prévention
des menaces au niveau du processeur et du système d'exploitation.
Supervisez tous les segments réseau via une console unique.
l'extraction de données pendant plusieurs mois.
À mesure que les réseaux se développent et sont
segmentés, puis reconnectés, il peut être difficile
de maîtriser le schéma des ressources du réseau.
Le volume des attaques ciblant les frontières de
plus en plus floues du réseau complique encore
plus les choses. La faille OPM montre clairement
la nécessité d'une architecture de sécurité unifiée
couvrant tous les environnements serveurs et tous
les types de postes, avec des mesures de sécurité
préventives en temps réel ainsi que des mesures
qui appliquent uniformément la prévention des
fuites de données. L'analyse proactive des réseaux
internes, la segmentation des éléments du réseau
et l'authentification multifacteurs, contribuent
également à assurer la sécurité. Celles-ci doivent
faire partie de la posture de sécurité de chaque
entreprise. Lorsqu'une attaque est réussie,
l'analyse des méthodes utilisées en dit long sur
un agresseur et ses motivations, et comment vous
pouvez mieux vous en protéger à l'avenir.
6 | INTRODUCTION ET MÉTHODOLOGIE

6. TOUTES LES 4SECONDES
Un logiciel malveillant
connu est téléchargé
TOUTES LES 5SECONDES
Un poste accède à
un site web malveillant
TOUTES LES 30SECONDES
Un événement d’émulation
de menace se produit
TOUTES LES 53SECONDES
Un bot communique
avec son serveur de
commande et de contrôle
TOUTES LES 81SECONDES
Un logiciel malveillant connu est téléchargé
TOUTES LES 4MINUTES
Une application à haut risque est utilisée
TOUTES LES 32MINUTES
Des données confidentielles sont
envoyées à l’extérieur de l’entreprise
S E C O N D E S
M I N U T E S
INTRODUCTION ET MÉTHODOLOGIE | 7
1.1 SOURCE : Check Point Software Technologies
UNE JOURNÉE
TYPIQUE EN
ENTREPRISE

7. 8 | INTRODUCTION ET MÉTHODOLOGIE
entier tout au long de 2015 : les conclusions
de plus de 1 100 rapports Security Checkup,
des événements découverts via ThreatCloud
(qui est connecté à plus de 25 000 passerelles
dans le monde), et plus de 6 000 rapports de
passerelles transmis à Threat Emulation Cloud.
Nous avons combiné ces données avec l'analyse
des tendances externes et les connaissances de
nos équipes de recherche pour développer les
recommandations de chaque section.
SOURCES
DE L'ÉTUDE
CHECK POINT
Pour conserver une longueur d'avance, nous
avons recueilli des données d'événements
provenant de différentes sources dans le monde
1.2 SOURCE : Check Point Software Technologies
ENTREPRISES ÉTUDIÉES PAR RÉGION
AMÉRIQUES 26 %
EMEA 35 %
APAC 39 %

8. STRUCTURE
DU RAPPORT
SÉCURITÉ 2016
Notre Rapport Sécurité 2016 se penche sur les
logiciels malveillants connus et inconnus, et
les tendances d'attaques, rencontrés par les
entreprises, ainsi que l'impact du nombre croissant
d'appareils mobiles dans l'entreprise. Nous
examinons également les impacts des attaques
réussies sur les entreprises et les dépenses
supplémentaires qui vont bien au-delà des coûts
évidents de désinfection
Le chapitre 2 analyse les différents types
de logiciels malveillants et comment ils profitent
1.3 SOURCE : Check Point Software Technologies
ENTREPRISES ÉTUDIÉES PAR SECTEUR
COMMERCE DE DÉTAIL ET DE GROS
CONSEIL
FINANCE
INDUSTRIE
TÉLÉCOM.
AUTRE*
GOUVERNEMENT
4%
1%
15%
40%
4%
23%
13%
?
* Juridique, loisirs/hospitalité, publicité/medias, placements, autres
INTRODUCTION ET MÉTHODOLOGIE | 9

9. 75 %
des entreprises
ont subi
des infections
de bots 82 %
des entreprises
ont accédé à
un site web
malveillant
88 %
des entreprises
ont subi un
incident de fuite
de données
89 %
des entreprises
ont téléchargé
un fichier
malveillant
94 %
des entreprises
ont utilisé au
moins une
application à
haut risque
400 %
d’augmentation
des fuites de
données durant
les trois dernières
années
1,5 milliard
de fichiers analysés
dans ce rapport
10 | INTRODUCTION ET MÉTHODOLOGIE
1.4 SOURCE : Check Point Software Technologies
2015
EN
CHIFFRES

10. du comportement des utilisateurs. La majorité des
faillesàgrandeéchellede2015aétérenduepossible
par l'exploitation de vulnérabilités existantes, des
logiciels malveillants connus et, bien sûr, des
méthodes d'ingénierie sociale. Même si le nombre
d'utilisateurs qui tente d'accéder à des sites
malveillants augmente, le service informatique
parvient à les en empêcher légèrement plus
rapidement, ce qui limite l'efficacité de ce vecteur
d'attaque. Les infections de bots diminuent, mais
la fréquence de leurs tentatives de communication
par jour est nettement plus élevée.
Le chapitre 3 analyse la manière dont
la révolution mobile continue d'engendrer de
nouvelles possibilités d'attaque à mesure qu'un
plus grand nombre d'appareils mobiles échappant
à tout contrôle entre dans l'entreprise. Les
entreprises réalisent qu'elles ne peuvent pas
empêcher facilement les employés de connecter
leurs appareils personnels aux ressources de
l'entreprise,carellesontdécouvertquel'utilisation
des appareils personnels en entreprise (BYOD)
augmente considérablement la productivité.
Malheureusement, la plate-forme mobile est une
cible attrayante pour les agresseurs, la plupart des
entreprises n'ayant pas implémenté de contrôles
pour les protéger efficacement.
Dans le chapitre 4, nous examinons
les modèles d'attaques par région du monde et
par type. Les États-Unis sont toujours en tête
pour l'hébergement de sites web et de fichiers
malveillants, en grande partie en raison du
pourcentage nettement plus élevé d'utilisateurs
actifs et de l'abondance des ressources. Quant
aux vecteurs d'attaques préférés des pirates,
l'exécution de code telle que ROP (return-
oriented programming) est apparue comme
étant le vecteur d'attaque le plus populaire parmi
les pirates, puisque le déploiement de parades
aux vulnérabilités de dépassement de mémoire
tampon a rendu les vecteurs d'attaque les plus
populaires de 2014 moins attrayants. Dans
l'ensemble, les vulnérabilités se sont légèrement
repliées en 2015, mais les éditeurs comptant les
vulnérabilités les plus critiques ont changé. Les
tendances peuvent changer, mais si les entreprises
ne parviennent pas à implémenter des correctifs
vitaux, les vecteurs d'attaques ne s'éteindront
jamais vraiment.
Bien que les coûts initiaux d'une brèche
soient bien documentés, l'impact financier global
est beaucoup plus élevé. Dans le chapitre 5, nous
explorons les répercussions de l'insécurité, et
présentons des exemples dans les secteurs de
la finance, de la santé et de l'industrie. Maintenir
la vitesse de l'activité de l'entreprise tout en la
protégeant est votre meilleure stratégie financière.
Conserver une longueur d'avance signifie
maîtrisertouslesdomaines :logicielsmalveillants,
tendances d'attaques, révolution mobile, et être
conscient de l'impact de tout manquement. Vous
trouverez nos recommandations dans chaque
chapitre pour vous aider à conserver une longueur
d'avance sur les cybercriminels.
« Toute technologie suffisamment avancée est indiscernable de la magie. »
Arthur C. Clarke, auteur de science-fiction
INTRODUCTION ET MÉTHODOLOGIE | 11

11. 12 | CHECK POINT – RAPPORT SÉCURITÉ 2016
2
L'ARSENAL
D'ATTAQUES :
LOGICIELS
MALVEILLANTS
CONNUS ET
INCONNUS
Benjamin Franklin, politicien et auteur
« En omettant de vous préparer,
vous vous préparez à l'échec. »

12. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 13
La première étape d'une attaque consiste à amener
un logiciel malveillant au travers des défenses
de sécurité. En 2015, de nombreuses attaques
différentes ont permis d'accomplir cela. La plupart
des logiciels malveillants se cache dans du trafic
légitime ou des pièces jointes, ou exploite les
fonctionslégitimesdecontrôleoud'accèsauréseau.
Que ce soit dans un lien, dans un document, ou en
exploitant une vulnérabilité du shell, les agresseurs
utilisent différentes méthodes de pénétration.
Indépendamment de la méthode d'entrée,
nous pouvons catégoriser les logiciels malveillants
selon trois types de base : logiciels malveillants
connus, inconnus et zero-day.
Près d'un million de nouveaux logiciels
malveillants sont lancés chaque jour.1
L'enquête
de Verizon sur les fuites de données en 2015
estime que près de 90 pour cent des attaques de
2015 ont utilisé une vulnérabilité existant depuis
2002. Le tout dernier rapport sur les risques de
cybersécurité de HP2
affirme que les dix premières
vulnérabilités exploitées en 2015 étaient âgées de
plus d'un an, et que 29 pour cent des attaques ont
utilisé un vecteur d'infection de 2010 pour lesquels
il existe deux différents correctifs. Bien que le taux
de logiciels malveillants inconnus soit à la hausse,
les vecteurs connus continuent de dominer le
paysage des menaces.
Logiciel malveillant
connu
Un logiciel malveillant identifié
par une signature.
De nombreux outils de sécurité
utilisent des techniques d'analyse
par signature et prennent des
décisions quant au blocage, mais
obligent les utilisateurs à mettre
à jour la base de données des
signatures de leur pare-feu et de
leur antivirus.
Logiciel malveillant
inconnu
Un logiciel malveillant non
identifié pour lequel il n'existe
pas de signature.
Il suffit simplement d'effectuer
une petite modification dans un
logiciel malveillant connu ou
le reconditionner avec du code
malveillant différent pour créer
un logiciel malveillant inconnu.
Cette nouvelle version inconnue
peut alors contourner les défenses
reposant sur des signatures.
Zero-day
Une exploitation de
vulnérabilité qui tire parti de
failles de sécurité inconnues
pour lesquelles il n'existe
aucune protection.
TOUTES LES 5 SECONDES, UN UTILISATEUR ACCÈDE
À UN SITE WEB MALVEILLANT.

13. 14 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS
Cloud :
votre trafic de
données pourrait
ne pas prendre
le bon chemin
Les prévisions du jour pour les datacenters
sont nuageuses. Cisco estime que les
datacenters dans le Cloud traiteront plus
de 86 pour cent des charges de travail
informatiques en 2019.3
Selon RightScale,
95 pour cent des entreprises emploient déjà
des plates-formes dans le Cloud, et utilisent en
moyenne 3 Clouds publics et 3 Clouds privés.4
En dépit de la migration rapide
vers le Cloud, peu de professionnels de
l'informatique considère que le transfert des
services dans des environnements de Cloud
public et privé virtualisés pourrait entraîner
des turbulences pour leur sécurité. La cause
des turbulences est la transition du modèle de
trafic de données nord/sud des datacenters
traditionnels vers le modèle est/ouest des
environnements de Cloud public, à mesure que
les charges de travail sont transférées hors site
dans des Clouds publics.
Vous direz ce que vous voudrez des
datacenters traditionnels, ils ajoutent plusieurs
mois au déploiement de nouvelles applications
et ne sont pas très évolutifs. Ils nécessitent
également une tonne d'interventions manuelles
pour fonctionner. Mais en termes de sécurité,
les datacenters traditionnels sont assez
performants lorsqu'une passerelle de sécurité
supervise les connexions entrantes. En effet,
dans les datacenters traditionnels, le trafic
se déplace du nord depuis les serveurs vers
la passerelle de sécurité et du sud depuis la
passerelle vers les serveurs. Le trafic peut
même suivre des trajets nord/sud en « épingle
à cheveux » qui vont d'un serveur à une
passerelle puis vers un autre serveur au sein
du datacenter, afin que le trafic interne puisse
être inspecté.
Cependant, dans les réseaux virtualisés
ou logiciels déployés dans des environnements
de Cloud privé, jusqu'à 80 pour cent du
trafic se déplace d'est en ouest entre les
applications virtualisées et différents secteurs
du réseau. Les applications virtualisées
peuvent migrer d'un serveur à un autre en
fonction de l'utilisation des ressources. Dans
ces conditions, la majorité du trafic contourne
entièrement la passerelle de sécurité au niveau
du périmètre. Les applications mobiles, les
applications dans le Cloud, les applications
des partenaires et même les applications
hébergées des clients, peuvent connecter des
services à des utilisateurs à l'extérieur du
datacenter via différentes voies non surveillées
par les contrôles de sécurité du périmètre.
Lorsque des agresseurs parviennent à
compromettre l'un des services web mineurs
d'une entreprise par un logiciel malveillant,
l'ensemble du réseau, y compris les services de
base, sont menacés.
Par conséquent, pour maintenir
la sécurité informatique dans les Clouds
virtualisés publics et privés, il est utile de
penser à segmenter votre réseau et vos
applications à l'aide des mêmes fonctionnalités
de sécurité que les passerelles physiques,
mais en ajoutant la prise en charge flexible de
la micro-segmentation logicielle, qui peut être
gérée de manière centralisée. Une meilleure
visibilité sur les applications est également
critique pour protéger les services dans le
Cloud qui se déplacent dans de nouvelles
directions en raison des domaines et des
plates-formes dans le Cloud.

14. augmente. En 2015, 89 % des entreprises ont
téléchargé un fichier malveillant, contre 63 % en
2014. En 2015, les entreprises ont téléchargé des
logiciels malveillants quatre fois plus souvent,
toutes les 81 secondes, plutôt que toutes les
6 minutes en 2014.
Qu'est-ce que cela signifie ? Alors que les
entreprises réussissent à mieux bloquer l'accès
aux sites et aux fichiers malveillants, le volume
des attaques donne l'avantage aux agresseurs.
Les entreprises doivent évaluer et filtrer de plus
importants volumes de contenus potentiellement
malveillants tout en maintenant la productivité des
utilisateurs. Elles doivent instantanément isoler les
logiciels malveillants en temps réel pour empêcher
leur propagation et leur impact négatif.
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 15
PLUS D'APPAREILS,
DONC PLUS DE
FAÇONS D'ENTRER
L'entreprise d'aujourd'hui doit protéger un nombre
de télétravailleurs en augmentation spectaculaire,
plusieurs sites, des applications dans le Cloud,
et bien plus d'appareils que jamais auparavant.
Le nombre de points d'entrée réseau nécessitant
une protection continue d'augmenter. Chaque
point d'entrée filaire et sans fil, les serveurs et
l'infrastructure qui hébergent les applications
d'entreprise, et les outils de prévention des
menaces reposant sur des signatures qui les
protègent, ont constamment besoin de correctifs et
de mises à jour.
La gestion des correctifs de sécurité
critiques continue d'être un problème en 2015.
Notre étude montre que les entreprises réussissent
un peu mieux à empêcher les utilisateurs d'accéder
àdessitesmalveillants.En2015,seulement82 %des
entreprises ont accédé à un site malveillant,soit un
peu moins que les 86 % de 2014. Malheureusement,
d'autres indicateurs ne sont pas aussi positifs.
Dans les entreprises, les utilisateurs
accèdent à un site web malveillant cinq fois plus
souvent en 2015, toutes les 5 secondes, plutôt que
toutes les 24 secondes l'année précédente.
Plus l'accès est fréquent, plus le nombre
de logiciels malveillants affectant les entreprises
DISCIPLINE :
MEILLEURE, MAIS
PAS ENCORE
SUFFISANTE
UN UTILISATEUR TÉLÉCHARGE
UN LOGICIEL MALVEILLANT
TOUTES LES 81 SECONDES
2.1 SOURCE : Check Point Software Technologies

15. 16 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS
PERSISTANCE
DES BOTS
Les bots restent une méthode d'attaque préférée
pour les agresseurs. Semblable à des vers ou des
chevaux de Troie, les bots exécutent une variété de
tâches automatisées une fois parvenus à l'intérieur
d'un réseau, et communiquent régulièrement. Ils se
répliquent sur les réseaux et les appareils adjacents
ou se projettent à l'extérieur du réseau infecté. Ils
envoient du spam ou participent à des attaques de
déni de service et autres types d'attaques.
Certains bots restent dormants jusqu'à
ce qu'ils soient activés à distance via une action
prédéterminée sur le poste de leur victime ou
à une date ultérieure spécifique. Malgré leurs
différences, les bots communiquent généralement
avec un serveur de commande et de contrôle pour
signaler l'état de leur activation et recevoir des
instructions. Ces communications peuvent être
isolées, surveillées et bloquées.
En 2015, un bot typique tentait de
communiquer avec son serveur de commande et
de contrôle plus de 1 630 fois par jour, soit une fois
toutes les 52,8 secondes. Cette fréquence continue
d'augmenter : 12 % de plus que l'année précédente,
et 95 % de plus qu'en 2012.
Bien que les niveaux d'infections de bots
ont diminué de près de 10 % en 2015 par rapport
à 2014, ces chiffres restent inquiétants. Près de
75 % des entreprises étudiées ont été infectées par
des bots en 2015, et 44 % des bots restaient actifs
pendant plus de quatre semaines.
Les attaques de bots dérobent des
informations confidentielles telles que des
identifiants, désactivent les services de sécurité du
système, et fournissent un accès à distance pour
des attaques. Les bots effectuent également des
opérations à distance et téléchargent des logiciels
malveillants supplémentaires.
Uneanalysedesdonnéesd'attaquedesbots
montrequequatrebotsspécifiques,Sality,Conficker,
ZeroAccess et Cutwail, étaient responsables de
50 % des attaques de bots reconnues en 2015. Fait
intéressant, ces bots proviennent tous de logiciels
malveillants bien connus.
2.2 SOURCE : Check Point Software Technologies
LES BOTS ESSAIENT DE
COMMUNIQUER AVEC DES
SERVEURS DE COMMANDE ET DE
CONTRÔLE PLUS DE 1 630 FOIS
PAR JOUR, SOIT TOUTES LES
52,8 SECONDES
FAMILLE DOMMAGES POURCENT.
SALITY Dérobe des données confidentielles 18,6 %
CONFICKER Désactive les services de sécurité du système et fournit un accès à distance 18,6 %
ZEROACCESS Permet des opérations à distance et télécharge des logiciels malveillants 6,7 %
CUTWAIL Diffuse du spam 5,1 %
GAMARUE Ouvre une porte dérobée pour des attaques 3,0 %
ZEUS Dérobe des identifiants bancaires 2,7 %
LDPINCH Dérobe des données confidentielles 2,1 %
DELF Dérobe des identifiants 1,1 %
RAMNIT Dérobe des identifiants bancaires 1,0 %
GRAFTOR Télécharge des fichiers malveillants 0,9 %
ATTAQUES DE BOTS RECONNUS EN 2015

16. 274 NOUVEAUX LOGICIELS
MALVEILLANTS INCONNUS
ONT ÉTÉ DÉCOUVERT
CHAQUE MINUTE EN 2015
HAUSSE
CONTINUE
DES LOGICIELS
MALVEILLANTS
INCONNUS
Dans l'ensemble, l'utilisation de logiciels
malveillants inconnus par des agresseurs est
restée à des niveaux historiquement élevés, en
légère croissance en 2015 selon AV-TEST.5
En
2015, près de 144 millions de nouveaux logiciels
malveillants ont été découverts : 274 nouveaux
logiciels malveillants inconnus ont été produits et
lancés toutes les minutes en 2015.
Au cours de 2015, Check Point a analysé
plus de 6 000 passerelles, découvrant que 52,7 %
d'entre elles ont téléchargé au moins un fichier
infecté par des logiciels malveillants inconnus. En
moyenne, 2 372 fichiers infectés ont été signalés
par passerelle.
Du côté des utilisateurs, les attaques
étaient plus fréquentes et variées. Avec plus de
971 téléchargements de logiciels malveillants
inconnus par heure, soit 9 fois plus que les
106 téléchargements par heure de l'année
précédente, de nombreuses entreprises ont du mal
à suivre.
La plupart des utilisateurs savent que les
risques d'infections sont plus élevés pour certains
types de fichiers. Comme prévu, les fichiers .exe
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 17
2.3 SOURCE : Check Point Software Technologies
75 %
DES ENTREPRISES ÉTUDIÉES
ÉTAIENT INFECTÉES PAR DES BOTS
52%
DES PASSERELLES ONT
TÉLÉCHARGÉ AU MOINS UN
FICHIER INFECTÉ PAR UN LOGICIEL
MALVEILLANT INCONNU
971
LOGICIELS MALVEILLANTS
INCONNUS FRAPPENT LES
ENTREPRISES TOUTES LES HEURES
28 %
DES FICHIERS INFECTÉS PAR DES
LOGICIELS MALVEILLANTS SONT
DES FICHIERS SWF (FORMAT DE
FICHIER FLASH)

17. ÉTAT DE LA
PROTECTION
représentaient près de 30 % des fichiers infectés, et
les formats de fichiers archives tels que .zip et .jar
représentaient plus de 16 % en 2015. Le nombre de
logiciels malveillants continue de croître dans les
types de fichiers auxquels les utilisateurs font le
plus confiance, tels que les fichiers Microsoft Office,
PDF ou Flash, à mesure que les pirates profitent de
ces types de fichiers moins menaçants. En 2015, les
formats de fichiers Microsoft Office représentaient
plus de 9 % des fichiers malveillants rencontrés, et
les fichiers PDF représentaient 7,5 %.
Flash a continué d'être un mécanisme de
diffusion de logiciels malveillants, représentant
28 % des fichiers infectés par des logiciels
malveillants inconnus. Les utilisateurs sont
beaucoup moins susceptibles de soupçonner
une infection lorsque les logiciels malveillants
sont intégrés à un fichier Flash. Les infections
attribuées aux publicités malveillantes et aux
téléchargements automatiques exposent les
utilisateursàdeslogicielsmalveillantsplusinvasifs
sans qu'une action spécifique ne soit requise.
L'utilisation de logiciels malveillants
inconnus dans une attaque augmente les chances
de réussite pour les cybercriminels. Grâce
aux logiciels malveillants inconnus, les pirates
travaillent plus intelligemment et ont besoin de
moinsdetentativespourrencontrerplusdesuccès.
La création de logiciels malveillants inconnus
est plus facile que jamais. Il suffit d'apporter
une légère modification à un logiciel malveillant
existant pour créer une nouvelle variante inconnue
et contourner les systèmes antivirus reposant sur
des signatures connues.
Avec près de 12 millions de nouvelles
variantes de logiciels malveillants découvertes
chaquemois,plusdenouveauxlogicielsmalveillants
ont été découverts au cours des deux dernières
années que dans les 29 années précédentes.6
4 FOIS PLUS DE TÉLÉCHARGEMENTS
DE LOGICIELS MALVEILLANTS EN 2015
18 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS
Même si les taux d'attaques et d'infections en 2015
n'ont pas augmenté au même rythme exponentiel
qu'en 2013 et 2014, ils restent néanmoins stables.
Le taux d'infections a même légèrement diminué
en raison de l'utilisation de meilleures ressources
de protection et de la sensibilisation des
utilisateurs. L'érosion continue du périmètre du
réseau et l'augmentation du nombre d'appareils
accédant aux réseaux internes continuent de
compliquer la protection.
Dans le paysage actuel sans frontières du
Cloud, de l'Internet des objets et des datacenters
hybrides, les outils de cybersécurité doivent fournir
un contrôle granulaire sur tous les segments et
les environnements réseau. Les techniques de bac
à sable traditionnelles ne sont plus une option,
mais elles imposent des délais de traitement.
Pour se protéger des attaques d'aujourd'hui,
l'accent est mis sur la vitesse et la prévention.
Les nouvelles techniques de protection analysent
les comportements au niveau du système
d'exploitation et du processeur pour stopper les
logiciels malveillants lors de la phase d'exploitation
d'une vulnérabilité avant qu'ils n'aient l'occasion de
se déployer.
Le fort volume et la combinaison d'attaques
connues, inconnues et zero-day, nécessitent
une approche multicouches pour protéger les
entreprises. Bien qu'aucune technologie ne puisse
fournir une protection complète contre tous les
vecteurs de menaces, une approche bien conçue
combinant plusieurs méthodes de protection et de
détection peut minimiser la réussite des attaques.
Avec des protections supplémentaires au stade de
la post-infection, les entreprises peuvent limiter les
dommages et les mouvements est-ouest.

18. PRENEZDESMESURES
RECOMMANDATIONS
L'informatique évolue rapidement et le paysage des menaces se transforme lui aussi.
Ce changement nécessite une architecture de sécurité multicouches comprenant
la prévention des menaces en temps réel et l'administration unifiée couvrant les
environnements virtuels, mobiles et dans le Cloud.
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 19
DÉPLOYEZ UNE CYBERSÉCURITÉ
MULTICOUCHES
La sécurité devrait être implémentée en
de multiples couches qui coordonnent
automatiquement les différentes protections,
en intégrant notamment : une passerelle de
sécurité, des fonctions de prévention des menaces
avancées, de contrôle des applications, de prise
en charge des identités, de filtrage des URL,
de prévention d'intrusions, de protection de la
messagerie, antispam, antibots et antivirus.
STOPPEZ LES LOGICIELS
MALVEILLANTS ZERO-DAY
Les techniques d'évasion inconnues rendent les
bacs à sable traditionnels inefficaces. La prévention
des menaces en temps réel qui stoppe les logiciels
malveillants dès le premier contact est la nouvelle
norme de prévention des menaces. Cependant,
même le meilleur bac à sable pourrait laisser
passer une menace intégrée dans un document.
La suppression des contenus actifs des documents
évite les menaces cachées et donne aux utilisateurs
un accès rapide aux contenus sains.
UTILISEZ DES CORRECTIFS
VIRTUELS
La correction des logiciels est une pratique
nécessaire, mais elle est insuffisante pour stopper
les menaces. Tout d'abord, il n'existe pas de
correctifs pour les vulnérabilités zero-day qui n'ont
pas encore été découvertes par les chercheurs.
Ensuite, pour les vulnérabilités découvertes, les
éditeurs de logiciels ont besoin de temps pour
1
2
3
PRÉVENTION
créer et diffuser des correctifs, ce qui laisse les
réseaux ouverts à des attaques. Enfin, les équipes
informatiques ont également besoin de temps pour
appliquer les correctifs.
Les correctifs virtuels utilisent le système de
prévention d'intrusions pour protéger contre les
attaques qui exploitent des vulnérabilités zero-day
et connues, qui ne peuvent être corrigées ou qui
n'ont pas encore été corrigées.
SIMPLIFIEZ L'ADMINISTRATION
DE LA SÉCURITÉ
L'utilisation de plusieurs consoles pour administrer
la sécurité de chaque segment réseau est inefficace.
Elle conduit à des erreurs de configuration et
des incohérences entre les couches de sécurité.
L'administration des fonctions de sécurité, des
segments et des environnements via une seule
console permet de réduire les erreurs lors de la
coordination des politiques de sécurité des couches
de protection.
UNIFIEZ LES
CONTRÔLES
Implémentez des contrôles unifiés qui s'étendent
à tous les réseaux, systèmes, postes et
environnements, y compris traditionnels, virtuels,
mobiles, hybrides, dans le Cloud, et les objets
connectés.
1
2
POUR EN SAVOIR PLUS
checkpoint.com/sandblast
ARCHITECTURE

19. 20 | CHECK POINT – RAPPORT SÉCURITÉ 2016
3
UN APPAREIL POUR
USAGE PERSONNEL
ET PROFESSIONNEL
« Je reçois des emails donc j'existe. »
Scott Adams, dessinateur, créateur de Dilbert

20. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 21
Plus puissants que jamais, les appareils mobiles
améliorent continuellement l'accessibilité et la
productivité des employés. Ils sont de plus en plus
abordables, et la plupart des employés gardent
leurs appareils mobiles sur eux tout au long de
leur journée de travail, qu'ils les utilisent ou non
pour leur travail. Avec une telle omniprésence,
les appareils mobiles s'intègrent dans le tissu
des entreprises de manières visible et invisible.
À mesure que
le nombre d'utilisateurs
mobiles augmente,
un tournant dans les
habitudes d'utilisation
s'opère, comme on peut
le voir dans l'enquête
de comScore en 2014.
Tout d'abord, le mobile
a dépassé l'ordinateur
pour la consultation
des médias et la navigation web.1
Parallèlement
à cela, les utilisateurs brouillent facilement les
lignes entre leur usage personnel et professionnel
de ces appareils. Que ce soit rendu possible ou non
par l'entreprise, les employés travaillent à partir
de leurs appareils personnels, et accèdent à des
informations personnelles sur leurs appareils
professionnels, sans nécessairement réfléchir aux
conséquences.
L'utilisation de smartphones a augmenté
de 394 % et l'utilisation de tablettes a augmenté
de plus de 1 700 % au cours des quatre dernières
années. Ensemble, ces plateformes représentent
60 % du temps de
consultation des médias
numériques.2
Une
troisième étude menée
par comScore et Yahoo
Flurry Analytics montre
qu'en moyenne, les
Américains passent
162 minutes par jour à
utiliser des appareils
mobiles pour toutes
sortes d'activités.3
Ensemble, ces trois tendances
mettent en évidence un désir croissant d'accès
instantané et continu à des données, que ce soit sur
un appareil professionnel ou personnel.
2000
1 800
1 600
1 400
1 200
1 000
800
600
400
200
0
2007 2008 2009 2010 2011 2012 2013 2014 2015
Mobile
Fixe
NOMBRE D’UTILISATEURS MONDIAUX (MILLIONS)
3.1 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014
IL SUFFIT D'UNE INFECTION
SUR UN APPAREIL POUR
COMPROMETTRE DES
DONNÉES ET DES
RÉSEAUX PERSONNELS
ET PROFESSIONNELS

21. 34 % Autres
25 % Réseaux sociaux
4 % Messagerie instantanée
Radio 8 %
Jeux 16 %
Multimédia 5 %
Achats 5 %
Photos 4 %
TEMPS D’UTILISATION DES APPLICATIONS MOBILES
3.2 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014
22 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
LÀ OÙ
LA SÉCURITÉ
EST ADAPTÉE
Comme les sites web dans les années 1990 et
l'accès à distance pour les ordinateurs portables
une décennie plus tard, les appareils mobiles sont
à la fois une malédiction en termes de sécurité
et une bénédiction en termes de productivité.
Comme pour les autres tendances d'accès avant
eux, la sécurité mobile est en retard sur l'adoption
de la mobilité, à mesure que les utilisateurs
découvrent de nouvelles façons d'en tirer parti
pendant leurs déplacements.
La sécurité mobile est un sujet difficile
pour les entreprises. Elle fait l'objet de compromis
entre productivité, protection et confidentialité.
Les entreprises et les utilisateurs veulent à la fois
bénéficier de la productivité accrue des appareils
mobiles et d'une protection lors des accès aux
informations de l'entreprise, mais personne n'aime
l'idée de subir des restrictions unilatérales ni se
sentir surveillé.
Les utilisateurs s'attendent à bénéficier
d'unaccèsentoutlieuetlapossibilitéd'utiliserleurs
appareils personnels à des fins professionnelles.
L'employeur a pour responsabilité de comprendre
comment sécuriser ses propres données, sauf si
cela signifie surveiller les activités en ligne de ses
employés. L'entreprise, d'autre part, doit protéger
ses données avec le fardeau supplémentaire de
devoir se conformer à différentes réglementations
sur la confidentialité des données personnelles à
travers le monde. Les exigences d'identification
personnelles obligatoires dans un pays pourraient
enfreindre les lois sur la vie privée dans un autre
pays. L'entreprise doit pourtant se conformer aux
deux à la fois.
UN EMPLOYÉ SUR CINQ
SERA LA CAUSE D'UNE FAILLE
DU SYSTÈME D'INFORMATION
DE L'ENTREPRISE, VIA DES
LOGICIELS MALVEILLANTS
OU DES CONNEXIONS WI-FI
MALVEILLANTES

22. 19 %
Outils d’accès
à distance
43 %
Logiciels malveillants
génériques
11 %
Interception
réseau
12 %
Vol de données
1 %
App de phishing
0,5 %
Logiciels
rançonneurs
0,5 %
Fausses
app
13 %
Numéroteurs
surtaxés
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 23
Les logiciels malveillants, le phishing, les
points d'accès Wi-Fi malveillants et autres dangers
en ligne, inquiètent tout le monde. Les employés ne
veulent pas être la cause d'une faille dans le réseau
de l'entreprise. Pourtant, une personne sur cinq en
sera la cause, via des logiciels malveillants ou des
connexions Wi-Fi malveillantes.4
La sécurité mobile doit inclure plusieurs
briques répondant aux différents aspects de la
problématique de sécurité :
Les conteneurs sécurisés empêchent les fuites
de données entre les applications personnelles et
professionnelles hébergées sur le même appareil
La prévention des menaces mobiles offre une
protection contre les comportements malveillantes
des applications et stoppe en temps réel les
menaces connues, inconnues et zero-day qui
ciblent les appareils iOS et Android.
Ces fonctions seules ne sont pas
suffisantes, et les équipes informatiques n'ont bien
entendu pas besoin d'un système de plus à gérer.
Leur intégration dans une console de sécurité
unique est une priorité.
3.3 SOURCE : Check Point Software Technologies
TENDANCES
D'ATTAQUES
MOBILES
Après avoir analysé les tendances de 2015, nous
possédons désormais une visibilité sur les points
d'entrée des attaques, ainsi que sur les types de
données dérobées. Les trois principaux vecteurs
d'attaques utilisés pour cibler les appareils mobiles
sont les applications infectées, les attaques réseau
et l'exploitation des vulnérabilités des systèmes
d'exploitation. Une fois à l'intérieur d'un appareil
mobile, les cybercriminels exfiltrent des données
et des identifiants par email, accèdent aux capteurs
tels que le microphone ou l'appareil photo, et
surveillent la localisation de l'appareil.
Entre septembre 2014 et février 2015,
Apple iOS était la cible la plus fréquente des
cybercriminels, avec cinq différentes attaques
contre le système d'exploitation : XSSer, WireLurker,
Masque, Pawn Storm, et des outils commerciaux
d'accès à distance. À l'automne 2015, le nombre
d'attaques menées contre les appareils Apple iOS
et Android a été multiplié par cinq.
MENACES
MOBILES

23. Mobilité :
cinq nouvelles
tendances
des logiciels
malveillants
Android
La domination d'Android sur le marché mobile
a inauguré une nouvelle ère pour les logiciels
malveillants. Les logiciels malveillants ciblant
les appareils Android ont gagné en sophistication
en quelques années. Voici quelques-unes des
dernières menaces Android que les chercheurs
de Check Point ont découvert.
1. Obscurcissement. À mesure que les
éditeurs de solutions de sécurité combattent
les logiciels malveillants Android, les
cybercriminels développent de nouvelles
manière de masquer ou « obscurcir » leurs
logiciels malveillants. En chiffrant les
composants malveillants, les cybercriminels
peuvent contourner de nombreuses solutions
de sécurité, y compris Google Bouncer qui
protège la boutique d'applications Google Play.
Certains auteurs dissimulent même les clés
qu'ils utilisent pour déchiffrer les composants
malveillants, ce qui rend leurs attaques encore
plus difficiles à détecter.
2. Téléchargeurs. Les auteurs de logiciels
malveillants utilisent des « téléchargeurs »
pour s'infiltrer dans Google Play. Ils
commencent par soumettre une application
apparemment bénigne dans Google Play.
Google approuve l'application car elle ne
contient pas de code malveillant. Une fois qu'un
utilisateur installe l'application sur un appareil,
celle-ci contacte le serveur de l'agresseur,
et télécharge un composant malveillant dans
l'appareil de l'utilisateur.
3. Redondance. Les logiciels malveillants
intègrent souvent plusieurs composants conçus
dans un but différent. Deux composants peuvent
chercher à atteindre le même objectif, mais de
façon différente. Si un composant malveillant est
détecté et désinfecté, l'attaque peut se poursuivre
à l'aide du second composant. Même si un
élément critique est désactivé, il est plus facile
pour l'agresseur de modifier cette partie que de
modifier l'ensemble du logiciel malveillant.
4. Persistance. Les auteurs de logiciels
malveillants utilisent plusieurs tactiques pour
rester sur les appareils infectés. Par exemple,
ils pourraient cacher l'icône de l'application,
retarder une activité malveillante pendant des
semaines ou des mois, se faire passer pour une
autre application, ou obtenir des privilèges élevés
pour empêcher les utilisateurs de la désinstaller.
L'objectif est le même : rester sur l'appareil pour
effectuer des activités malveillantes.
5. Élévation de privilège. Récemment, les
auteurs de logiciels malveillants ont utilisé des
méthodes d'ingénierie sociale pour tromper les
utilisateurs et les conduire à leur affecter des
privilèges élevés. D'autres agresseurs utilisent
des exploitations de vulnérabilités pour obtenir
des autorisations privilégiées. En raison des
différentes versions d'Android utilisées, chacun
avec ses propres vulnérabilités, les correctifs de
sécurité peuvent prendre des mois pour atteindre
les utilisateurs, si toutefois ils les atteignent.
Cela laisse les utilisateurs vulnérables aux
menaces connues pendant de longues périodes.
Les auteurs de logiciels malveillants utilisent ces
délais pour cibler les utilisateurs à l'aide de kits
capables d'exploiter des vulnérabilités connues
dans les appareils Android.
Ils sont aussi novateurs et bien financés qu'ils
sont persistants, et ils continueront de mettre
au point de nouvelles techniques pour atteindre
leurs objectifs. Pour conserver une longueur
d'avance sur l'évolution des menaces Android,
les entreprises et les utilisateurs doivent utiliser
des solutions avancées capables de stopper les
menaces mobiles.
24 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL

24. 3.4 SOURCE : Check Point Software Technologies
Dans l'ensemble, les cinq grandes
catégories d'attaques et de vulnérabilités ciblant
les appareils mobiles sont :
1.Vulnérabilitéssystème.Lesvariantesdusystème
d'exploitation augmentent le nombre de vecteurs
d'attaques. Android est particulièrement vulnérable
car il prend en charge plus de 24 000 types de
smartphones et tablettes. Les correctifs de sécurité
pour chaque version peuvent prendre des semaines
ou des mois de développements et de tests, ce qui
fait des utilisateurs des proies faciles.
2. Accès root et changements de configuration.
Le rootage ou jailbreaking d'un téléphone donne
non seulement aux amateurs un accès plus
étendu, mais aux cybercriminels également.
Une série d'attaques prévue pour contourner
les limites de la politique de sécurité en
matière de modification des paramètres et des
configurations crée des changements subtils
sans que les utilisateurs le sachent.
3. Fausses applications et applications
reconverties. Comme le phishing, les fausses
applications semblent réelles, mais ont des
fonctionnalités inattendues. Les applications
malveillantes qui contrôlent à distance, activent le
microphone, l'appareil photo ou le GPS, sont de
plus en plus courantes.
4. Chevaux de Troie et logiciels malveillants.
L'intégration de code malveillant dans des
pièces jointes et des applications reste un sujet
de préoccupation sur les appareils mobiles.
Beaucoup ne possèdent pas d'antivirus ni de
système de prévention des menaces, et les écrans
de taille réduite ne facilitent pas la détection des
inexactitudes dans les applications.
5. Attaques de type « homme du milieu ». Les
points d'accès Wi-Fi gratuits et publics sont très
faciles à contrefaire, ce qui les rend plus courants.
La contrefaçon de certificats de sécurité facilite
l'interception et la modification des données en
transit, ou installation de chevaux de Troie.
TOUTES DERNIÈRES ATTAQUES
ET VULNÉRABILITÉS
iOS Android
Attaque
XSSer
SEPTEMBRE
Attaque
WireLurker
Masque
NOVEMBRE
Attaque
Pawn Storm
Outils commerciaux
d’accès à distance
FÉVRIER
Attaque
Fobus (fraude)
JUILLET
Attaque
Hacking Team
Masque
KeyRaider
Vulnérabilité
Ins0mnia
Quicksand
Vulnérabilité
Navig. Dolphin
Stagefright
Serialization
Certifi-gate
Multitasking
AOÛT
Attaque
XcodeGhost
Vulnérabilité
Messages SiriAccess
Attaque
Hacking Team
MKero.A (CAPTCHA)
Recordable Activator
Mapin (botnet)
Brain Test (obscurcis.)
Vulnérabilité
Lockerpin.A (log. rançon.)
Contournement de l’écran
de verrouillage
SEPTEMBRE
OCTOBRE
Vulnérabilité
Nouvelle vulnérabilité
CPiOS
DÉCEMBRE
Attaque
YiSpecter
Vulnérabilité
Control Siri
Attaque
Kemoge
Vulnérabilité
Stagefright 2.0
2014 2015
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 25

25. CRÉATION D'UNE
BARRIÈRE
La prévention des menaces mobiles crée
une barrière fiable. Elle utilise l'analyse des
comportements pour bloquer les menaces avant
qu'elles ne pénètrent dans les appareils mobiles,
et offre une visibilité sur les tentatives d'attaques.
À un niveau plus élevé, l'intégration de la
gestion des appareils et la prévention des menaces
avec le pare-feu de nouvelle génération et la
sécurité virtualisée dans le Cloud améliore à la fois
la détection et le blocage des tentatives d'attaques.
Bien sûr, toutes ces ressources doivent être gérées.
Leur intégration dans une plate-forme de gestion
unifiée est essentielle à l'efficacité de votre barrière
de sécurité mobile.
La mobilité exige la sensibilisation des
utilisateurs et leur vigilance. Bien que les types
d'attaques varient, l'objectif de l'entreprise reste le
même. Les équipes de sécurité doivent créer une
barrière entre l'appareil personnel d'un employé
et le réseau de l'entreprise, à l'aide de plusieurs
éléments fonctionnant en parallèle.
26 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
Elie Wiesel, écrivain
et activiste politique
« Une fois que vous mettez une vie
au monde, vous devez la protéger.
Nous devons la protéger
en changeant le monde. »

26. PRENEZDESMESURES
MEILLEURES PRATIQUES POUR
PROTÉGER VOS ACTIVITÉS MOBILES
SENSIBILISEZ VOS
COLLABORATEURS
Nous sous-estimons souvent le risque pour la
confidentialité et la sécurité que nos smartphones
et tablettes nous apportent. Assurez-vous que vos
collaborateurs comprennent les menaces telles
que les escroqueries par phishing et les points
d'accès Wi-Fi non sécurisés. Devenir une victime
ne compromet pas seulement la confidentialité des
données personnelles, mais peut également mettre
en péril les données confidentielles de l'entreprise
hébergées sur les appareils mobiles.
DÉFINISSEZ VOTRE NIVEAU
DE TOLÉRANCE AUX RISQUES
Toutes les entreprises ont les mêmes besoins
en sécurité mobile, mais pas tous les employés
ont besoin du même niveau de protection. Il est
également important de trouver un juste équilibre
entre protection contre les menaces et expérience
utilisateur. Envisagez une approche prescriptive
de la sécurité mobile capable de faire les deux.
Définissez des politiques de sécurité reposant à la
fois sur les rôles des employés qui ont accès et les
types de protection adaptés aux différents types de
données confidentielles.
APPLIQUEZ DES MESURES
DE BASE
Un nombre surprenant de gens ne comprennent pas
entièrement les bases de la sécurité mobile : Activez
les mots de passe ou les verrous biométriques,
activez la localisation et les fonctionnalités de
suppression à distance, et utilisez le chiffrement
sur l'appareil s'il est disponible. Veiller à ce que les
utilisateurs finaux disposent toujours des toutes
dernières versions du système d'exploitation. Ces
mesures de base protègent les appareils mobiles
1
2
3
et les données, ont un net impact sur vos efforts
de sécurité, et protègent également les données
personnelles.
SÉPAREZ DONNÉES
PERSONNELLES ET
PROFESSIONNELLES
La création d'une barrière sécurisée entre les
données professionnelles confidentielles et les
données personnelles des employés hébergées
sur leurs appareils mobiles est un excellent moyen
d'assurer que des erreurs ne se produisent pas.
Les messages et les fichiers stockés dans des
conteneurs sécurisés peuvent être protégés et
chiffrés séparément de l'espace personnel sur un
appareil. La gestion des conteneurs sécurisés pour
gérer les données est plus rapide et plus facile que
la gestion des appareils et de multiples politiques.
INVESTISSEZ EN PRÉVISION
D'UN AVENIR INCERTAIN
Vous pouvez être sûr que les menaces dont vous
n'avez pas conscience aujourd'hui sont celles
qui vous prendront demain au dépourvu. Il est
donc important d'investir dans des technologies
de prévention qui conservent une avance sur
les menaces. Celles-ci devraient également
s'intégrer avec les solutions que vous avez en place
aujourd'hui pour protéger les appareils mobiles tout
en prolongeant votre retour sur investissement.
4
5
POUR EN SAVOIR PLUS
checkpoint.com/mobilesecurity
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 27

27. 28 | CHECK POINT – RAPPORT SÉCURITÉ 2016
4
« Toutes les technologies doivent être considérées comme étant
coupables jusqu'à preuve de leur innocence. »
Jerry Mander, activiste et auteur
ÉTUDE DES
MODÈLES
D'ATTAQUES

28. ÉTUDE DES MODÈLES D'ATTAQUES | 29
que près de 50 % des internautes dans le monde
se situent en Asie, ils représentent le plus petit
pourcentage de comportement malveillant.1
Les
États-Unis, qui représentent moins de 10 % des
internautes du monde entier, hébergent 26 % des
contenus malveillants.
Même s'il semble que les agresseurs
introduisent constamment de nouvelles attaques,
l'analyse montre que le plus souvent, les logiciels
malveillants et les techniques d'attaques tirent parti
d'attaques antérieures et de faiblesses connues.
Créer de nouvelles variantes inconnues à partir de
logiciels malveillants connus est relativement peu
coûteuxetsimplepourlespirates,mêmedébutants.
Les kits d'exploitation de vulnérabilités sont passés
de simples trousses à outils à des offres complètes
de services pour la cybercriminalité. Dans le cadre
de ces offres, les opérateurs paient à l'utilisation,
uniquementlorsqueleslogicielsmalveillantsontété
installés avec succès sur la machine d'une victime.
Les pirates ont une multitude de choix quant
Pour conserver une longueur d'avance sur les
agresseurs, il faut comprendre les méthodes qu'ils
utilisent, les voies qu'ils suivent et les endroits
où ils obtiennent des résultats. L'étude des
caractéristiques et des tendances d'attaques est
une partie importante de ce récit.
En 2015, les logiciels rançonneurs ont
fait la une de l'actualité, car les entreprises et les
particuliers étaient prêts à payer pour récupérer
l'accès à leurs fichiers chiffrés et verrouillés
par des logiciels malveillants. L'absence de
sauvegarde récente ou le temps nécessaire à
la restauration de la sauvegarde a conduit de
nombreuses entreprises à choisir de payer pour
obtenir la clé de déchiffrement de leurs propres
contenus, tout en essayant d'empêcher la
prochaine attaque. Dès qu'il existe une solution
pour lutter contre un type d'attaque, de nouvelles
méthodes alternatives le remplacent.
L'analyse révèle des modèles distincts
dans ces nouvelles menaces. Par exemple, alors
4.1 SOURCE : Statistiques mondiales d'Internet, www.internetworldstats.com/stats.htm, novembre 2015
INTERNAUTES DANS LE MONDE PAR RÉGION
Amérique latine/
Caraïbes 10,2 %
48,2 % Asie
Europe 18 %
Amérique du Nord 9,3 %
Afrique 9,8 %
3,7 % Moyen-Orient
Océanie/
0,8 % Australie

29. Logiciels rançonneurs :
pour s'enrichir plus intelligemment
sans effort
30 | ÉTUDE DES MODÈLES D'ATTAQUES
Comme les entreprises légitimes, les cybercriminels doivent parfois se réoutiller lorsque la
performance d'un « produit » diminue. En analysant les renseignements de cette année, Check
Point a découvert que les criminels développaient leurs attaques de logiciels rançonneurs tout
en réduisant celles des chevaux de Troie bancaires. Il existe plusieurs raisons pour lesquelles
nous pensons que les logiciels rançonneurs, qui attaquent en chiffrant les fichiers d'un utilisateur
et en exigeant le paiement d'une rançon pour les déchiffrer, deviendront la méthode d'attaque
privilégiée de ceux qui veulent « voler intelligemment sans effort ».
Vol difficile :
les logiciels malveillants bancaires
Vider des comptes bancaires en ligne était
auparavant facile : il suffisait d'amener les
utilisateurs à une fausse copie du site web de leur
banque, capturer leurs identifiants de connexion,
puis se connecter sur le véritable site web de la
banque pour transférer des fonds vers le compte
d'une mule. Les agresseurs doivent désormais composer avec l'authentification à 2 facteurs et se
connecter au site de la banque à partir de l'ordinateur et de l'appareil reconnu des utilisateurs.
Les transferts de fonds peuvent déclencher des systèmes antifraude qui bloquent les transferts
et gèlent les comptes. Les criminels doivent également personnaliser les contenus des faux sites
web de chaque banque cible.
Vol intelligent :
les logiciels rançonneurs
Les logiciels rançonneurs peuvent attaquer
n'importe quel utilisateur, pas seulement les clients
des banques, ce qui augmente considérablement
la population de cibles potentielles par rapport
aux logiciels malveillants bancaires. Ils forcent les
victimes à payer rapidement au risque de perdre
l'accès à leurs contenus vitaux sans qu'il soit nécessaire aux utilisateurs de se connecter pour
capturer leurs identifiants. Après le chiffrement des données, une demande de rançon indique
aux victimes comment payer, ou comment trouver le « propriétaire » dans l'Internet anonyme et
clandestin TOR. De récentes données montrent que certains logiciels rançonneurs intègrent une
clé afin de leur éviter d'avoir à communiquer avec un serveur externe pour obtenir les clés de

30. ÉTUDES DES MODÈLES D'ATTAQUES | 31
chiffrement avant de lancer l'attaque. Aucun serveur de contrôle n'étant nécessaire, une seule
approche de logiciel rançonneur fonctionne pour tous les utilisateurs. Seule la courte note de
rançon nécessite une traduction mais les agresseurs peuvent diriger les victimes vers Google
Translate pour éviter entièrement ce travail de traduction.
Les logiciels rançonneurs utilisent généralement des méthodes de paiement alternatives telles
que bitcoin, ce qui permet des transferts de fonds que les utilisateurs ne peuvent contester et que
les banques ne peuvent annuler. Le brouillage des portefeuilles de bitcoins empêche les autorités
de retracer les transactions, et il est facile de convertir anonymement des bitcoins dans toute
autre monnaie.
Résumé
Quatre facteurs facilitent les attaques de logiciels rançonneurs :
1. Les logiciels rançonneurs ciblent de nombreuses victimes potentielles.
2. Les attaques nécessitent peu d'efforts car il n'est pas nécessaire d'héberger ni de maintenir de
serveurs personnalisés pour chaque base ciblée.
3. Les attaques sont simples à réaliser de bout en bout.
4. La réception des paiements des victimes est quasi-assurée et intraçable.
Prédictions
• Avec des profits élevés et peu d'efforts, nous nous attendons à ce que les attaques de logiciels
rançonneurs augmentent.
• Comme les logiciels malveillants bancaires, nous nous attendons à ce que des défenses avancées
forcent les logiciels rançonneurs à devenir plus complexes et plus évasifs.
• Le nombre réduit de victimes de logiciels rançonneurs obligera les menaces à cibler les grandes
entreprises pour améliorer les résultats de chaque attaque. Nous nous attendons à voir plus de
cas similaires aux attaques telles que Samsam sur des hôpitaux et des entreprises.
• Les attaques vont se déplacer à l'intérieur des entreprises ou sur du stockage partagé pour
chiffrer les données. Cela permettra d'accroître le montant des paiements en impliquant plusieurs
utilisateurs.
• Pour le secteur public, nous nous attendons à l'émergence de nouvelles formes d'attaques
telles que des logiciels rançonneurs de chantage, menaçant de divulguer des informations
embarrassantes au risque d'exposer publiquement les utilisateurs s'ils ne paient pas.

31. 9,5 %
Pays-Bas
5,2 %
Suisse
5,3 %
Pologne
47,6 %États-Unis
4,9 %
Chine
26 %
Allemagne
8,7 %
Portugal
5,4 %
Grande-Bretagne
États-Unis
24,8 %Autres
3,9 %
Fichiers malveillants Sites web malveillants
32 | ÉTUDE DES MODÈLES D'ATTAQUES
aux logiciels malveillants connus et inconnus, et
les points d'entrée facilement exploitables dans
Android et Microsoft Windows.
Pour conserver une longueur d'avance,
notre équipe de recherche analyse un large
éventail d'aspects de ces d'attaque et améliore
en permanence les défenses contre les menaces
inconnues et zero-day. Certains éléments
comprennent :
• La provenance des attaques
• Les types d'attaques les plus populaires
• Les plus grandes zones de vulnérabilité
• Comment les agresseurs parviennent à entrer
Ces données aident Check Point à ajuster
et affiner ses flux de renseignements sur les
menaces. La compréhension des origines, des
destinations et des méthodes clés des attaques,
façonne les approches pour une meilleure défense.
ORIGINE DES
ATTAQUES
Parmi les 7,4 milliards de personnes sur la planète,
moins de 5 % vivent aux États-Unis. Malgré cela, les
États-Unis sont en tête en matière d'hébergement
de fichiers et de sites web malveillants. Bien
que cela semble disproportionné, les États-Unis
comptent deux foix plus d'internautes par habitant
que le reste du monde, avec une moyenne de
87,9 % par rapport à la moyenne du reste du monde
de 44,2%.2
Les États-Unis comptent également
la majorité des marques Internet pionnières, ce
qui en fait une cible attrayante. Une population
technophile crée plus d'innovations, à la fois utiles
et malveillantes.
4.2 SOURCE : Check Point Software Technologies
POURCENTAGE DES
PRINCIPAUX
PAYS HÉBERGEANT DES
FICHIERS ET DES SITES
MALVEILLANTS

32. 2014
2015
POURCENTAGE DES PRINCIPAUX VECTEURS D’ATTAQUES
DÉNI DE
SERVICE
FUITE DE
DONNÉES
CORRUPTION
MÉMOIRE
EXÉCUTION DE
CODE
60 %
35 %
10 %
34 %
30 %
19 %
68 %
39 %
6 %
43 %DÉPASSEMENT DE
MÉMOIRE TAMPON
ÉTUDE DES MODÈLES D'ATTAQUES | 33
laisser de trace. Pour plus d'informations sur ce
sujet, consultez notre billet de blog Heartbleed sur
www.checkpoint.com.
Avec la disponibilité de correctifs
pour protéger les entreprises contre cette
vulnérabilité, les agresseurs ont été obligé de
passer à d'autres vecteurs d'attaques. Même des
années après la disponibilité de correctifs pour
Heartbleed, l'exploitation de cette vulnérabilité3
reste encore viable car toutes les entreprises ne
les ont pas installés.
En 2015, les modèles d'attaques ont
changé, et près de 68 % des entreprises ont connu
au moins une attaque d'exécution de code. Ces
attaques ont besoin d'une technique pour exécuter
du code à distance.
Les exécutions de code peuvent être
déclenchées même en présence de défenses, ce
qui les rend très attrayantes. Une des techniques
d'exécution de code les plus populaires est
TYPES
D'ATTAQUES
LES PLUS
POPULAIRES
Les passerelles de sécurité Check Point signalent
chaque année les méthodes d'attaques privilégiées,
ou principaux vecteurs d'attaques. En 2014, les trois
principaux vecteurs d'attaques étaient les dénis
de service (DoS), les dépassements de mémoire
tampon et l'exécution de code. En 2015, les
dépassements de mémoire tampon ont fortement
chuté, et l'exécution de code est devenue le vecteur
le plus populaire.
LebugHeartbleedafaitdudépassementde
mémoire tampon la méthode d'attaque dominante
de 2014. Son nom provient de l'exploitation d'une
faille dans la fonction heartbeat du protocole TLS
(sécurité de la couche de transport).
Grâce à ce bug, des agresseurs utilisaient
des serveurs vulnérables pour récupérer jusqu'à
64 Ko de données confidentielles de manière
répétée dans la mémoire de l'ordinateur, sans
36 ATTAQUES D'EXÉCUTION
DE CODE ONT EU LIEU
CHAQUE JOUR EN 2015
4.3 SOURCE : Check Point Software Technologies

33. 34 | ÉTUDE DES MODÈLES D'ATTAQUES
ROP (return-oriented programming). Lors de
l'ouverture d'un document infecté, ROP détourne
de petits morceaux de code légitimes et ordonne au
processeur de les charger et d'exécuter le logiciel
malveillant réel. Apparaissant légitime pour la
plupart des systèmes de sécurité, la détection de
cette manipulation au niveau du processeur est
essentielle pour stopper les attaques avant même
qu'elles ne se produisent.
Les dénis de service continuent d'être un
moyen attrayant d'attaque et de perturbation, avec
35,1 % des entreprises victimes d'au moins une
attaque DDoS. En 2015, les attaques DDoS sont
passées à 73 événements par jour, par rapport à un
chiffre déjà stupéfiant de 48 événements par jour
en 2014.
UNE NOUVELLE ATTAQUE
DDOS S'EST PRODUITE
TOUTES LES 20 MINUTES
PLUS GRANDES
ZONES DE
VULNÉRABILITÉS
Des vulnérabilités existent dans la plupart des
logiciels que nous utilisons dans l'entreprise.
L'un des plus grands référentiels de vulnérabilités
connues, la base de données CVE (vulnérabilités
courantes), signale que les vulnérabilités de 2015
étaient de 15 % supérieures à la moyenne observée
au cours des huit précédentes années. Les logiciels
malveillants qui exploitent des vulnérabilités
connues restent une menace importante, ce qui
fait des correctifs et des mises à jour une nécessité
pour tous les logiciels.
Des points d'entrée existent dans de
nombreux endroits. La lutte contre les logiciels
malveillants connus nécessite l'application
régulière de patchs correctifs et de mises à
5 6322008
5 7322009
4 6392010
4 1502011
5 2882012
5 1862013
7 9372014
6 4882015
NOMBRE DE VULNÉRABILITÉS COURANTES
4.4 SOURCE : Base de données CVE (vulnérabilités courantes)

34. ÉTUDE DES MODÈLES D'ATTAQUES | 35
jour sur une quantité sans cesse croissante de
matériels. Les serveurs, les outils de sécurité, les
ordinateurs, les points d'accès sans fil et même
les imprimantes réseau nécessitent des mises à
jour régulières. Avec autant d'équipements et de
points d'entrée dans le réseau, il est facile d'en
oublier certains.
COMMENT
LES PIRATES
PARVIENNENT
À ENTRER
Même si elle est en légère diminution par
rapport aux années précédentes, l'énorme base
installée de systèmes d'exploitation, navigateurs,
applications de productivité et autres de Microsoft,
reste en tête du volume d'événements de sécurité.
Joomla et WordPress pour le web et le commerce
électronique sont remontés dans le classement
cette année. L'open source est très commun, et
les systèmes de gestion des contenus (CMS) sont
des applications extrêmement attrayantes pour
les cybercriminels, comme moyen de diffusion de
logiciels malveillants.
SuperFish a rejoint les premières places
du classement en 2015. Ce logiciel publicitaire,
découvert sur de nombreux ordinateurs Lenovo,
fait bien plus que d'intercepter des résultats
de recherche. Il est mesure d'intercepter les
recherches chiffrées en installant un certificat
racine de confiance non unique pour usurper le
trafic HTTPS. SuperFish permet à des pirates
d'exécuter une attaque classique de type homme
du milieu sans alerter le navigateur. C'est devenu
un vecteur d'attaque populaire, qui a entraîné
un avertissement de la part du gouvernement
américain en février 2015 pour les utilisateurs de
Lenovo.4
Lenovo l'a depuis retiré de ses nouveaux
ordinateurs.
4.5 SOURCE : Check Point Software Technologies
2014
2015
POURCENTAGE D’ÉVÉNEMENTS DE SÉCURITÉ
PAR PRINCIPAUX ÉDITEURS
MICROSOFT
ADOBE
APACHE
HP
SUN/ORACLE
MOZILLA
JOOMLA
MICROSOFT
JOOMLA
SUPERFISH
WORDPRESS
MORPHEUS
APACHE
ADOBE
8 %
8 %
63 %
17 %
12 %
9 %
7 %
6 %
5 %
14 %
3 %
6 %
3 %
77 %

35. Phishing :
de plus gros appâts
pour attraper les
entreprises
Au bout de deux décennies, les escroqueries
par phishing qui convainquent les utilisateurs
de révéler des informations confidentielles,
telles que des numéros de cartes bancaires et
des identifiants bancaires, restent une source
de revenus populaire pour les cybercriminels.
Comme les utilisateurs sont devenus plus
conscients des risques, et que la détection
du spam et du phishing s'est améliorée,
les criminels se sont tournés vers d'autres
techniques pour améliorer leur taux de
réussite. Cependant, ces nouvelles approches
prennent plus de temps et d'efforts à mettre
en œuvre, et fournissent des résultats
relativement modestes pour chaque délit.
Pour maximiser leur « prise », les criminels
recalibrent les attaques de phishing massives
prévues pour des utilisateurs aléatoires en
attaques très ciblées sur des employés de
grande valeur en entreprise.
Évolution du phishing
Le phishing ciblé est le nom donné à des
attaques très ciblées qui utilisent des méthodes
d'escroquerie et d'ingénierie sociale pour
dérober des identifiants et autres informations
utiles auprès de groupes d'utilisateurs
spécifiques, d'entreprises spécifiques, ou
même d'individus spécifiques. Pour mener
une attaque de phishing ciblée réussie,
l'auteur investit beaucoup plus de temps et
d'efforts de préparation pour recueillir des
informations détaillées sur les cibles visées.
Par exemple, un agresseur peut mener des
recherches sur les fournisseurs utilisés par la
société, les prestataires tels que les cabinets
comptables ou les partenaires commerciaux de
l'entreprise. L'agresseur identifie ensuite des
individus spécifiques et leurs adresses email,
et leur envoie des emails falsifiés apparaissant
comme légitime à presque tous les égards.
Les emails invitent les utilisateurs à ouvrir
une pièce jointe ou les redirigent vers un site
web contrefait de grande qualité. Le résultat
net de ces méthodes améliorées d'ingénierie
sociale est un taux de réussite beaucoup plus
élevé. Les entreprises ayant généralement
des réserves financières beaucoup plus
importantes que l'utilisateur moyen, la
« prise » typique de chaque escroquerie de
phishing ciblé est nettement plus élevée.
Chasse à la baleine
Le phishing ciblé se transforme désormais
en attaques de « chasse à la baleine ».
Cette forme élaborée de phishing ciblé vise
généralement les cadres de direction, et tire
son nom de la « pêche aux gros poissons ».
Par exemple, un agresseur pourrait envoyer
un email falsifié se faisant passer pour une
correspondance du PDG au directeur financier,
lui demandant de transférer des fonds sur un
compte bancaire spécifique. Ces approches
sont si crédibles qu'elles ont réussi à
convaincre certains professionnels avisés. Au
moment où la vérité est découverte, l'argent
a disparu depuis longtemps. Pour effacer
toute trace, certains agresseurs utilisent des
comptes de mules pour une seule attaque.
Selon le FBI, au cours des deux dernières
années et demie, les escroqueries de chasse
à la baleine ont détourné plus de 2 milliards
d'euros des entreprises.
Il est certain que les agresseurs
continueront de développer des moyens
innovants pour conduire les utilisateurs
à compromettre leurs systèmes. La
sensibilisation des utilisateurs et des
technologies de pointe sont nécessaires pour
empêcher les utilisateurs de devenir victimes
de ces escroqueries.
36 | ÉTUDE DES MODÈLES D'ATTAQUES

36. PRENEZDESMESURES
MEILLEURES PRATIQUES
Les entreprises ont besoin d'une stratégie unifiée de prévention des menaces. Les
logiciels malveillants connus restent une grande menace. De nouvelles techniques
font croître le volume de logiciels malveillants inconnus et zero-day de manière
significative. Elles exigent des solutions capables de stopper les menaces connues et
inconnues en temps réel, y compris les menaces les plus évasives. La supervision des
communicationssortantesestégalementimportantepourrepérerlescomportements
anormaux avant que des dommages ne se produisent.
UNIFIEZ
L'ARCHITECTURE
Protégez votre réseau contre les logiciels
malveillants et les menaces zero-day avancées.
Étendez ces protections aux postes fixes et mobiles,
aux services dans le Cloud et aux environnements
virtuels pour empêcher les menaces de se propager
dans l'entreprise.
PROTÉGEZ TOUS LES
ENVIRONNEMENTS
Utilisez une architecture de sécurité agnostique
pour stopper les menaces de manière uniforme
contre les datacenters, les plates-formes dans
Cloud, les datacenters logiciels, sous forme de
services, hybrides, et les environnements mobiles.
STOPPEZ LES LOGICIELS
MALVEILLANTS ET LES
EXPLOITATIONS DE
VULNÉRABILITÉS ZERO-DAY
L'augmentation des attaques d'exécution de code,
y compris des techniques avancées telles que
ROP, contournent les bacs à sable traditionnels.
L'émulation des menaces au niveau du processeur
détecte les logiciels malveillants lors de la phase
d'exploitation, avant que les pirates n'appliquent
des techniques de contournement du bac à sable.
1
2
3
ADMINISTREZ LA SÉCURITÉ
VIA UNE SEULE CONSOLE
L'administration unifiée de la sécurité améliore
l'efficacité de la sécurité et la visibilité sur les
journaux.
ADOPTEZ UNE MÉTHODOLOGIE
DE TRAITEMENT DES INCIDENTS
Jusqu'à ce que vous ayez unifié la prévention en
temps réel, vous avez besoin de continuer de
traiter les incidents. L'équipe de traitement des
incidents de Check Point est disponible 24 heures
sur 24 et 365 jours par an pour analyser et résoudre
les attaques de logiciels malveillants et autres
événements de sécurité touchant votre entreprise.
Contactez-nous au +1 866 923 0907 ou par email à
emergency-response@checkpoint.com.
4
5
POUR EN SAVOIR PLUS
checkpoint.com/management
ÉTUDE DES MODÈLES D'ATTAQUES | 37

37. 38 | CHECK POINT – RAPPORT SÉCURITÉ 2016
5
RÉPERCUSSIONS
DE L'INSÉCURITÉ
« Tout ce que nous faisons, même la moindre chose, peut avoir une
conséquence et des répercussions qui en émanent. Si vous jetez un
caillou dans l'eau d'un côté de l'océan, un raz de marée peut se
produire de l'autre côté. »
Victor Webster, acteur

38. RÉPERCUSSIONS DE L'INSÉCURITÉ | 39
Vous changerez vos habitudes non seulement pour
combattre l'insécurité, mais pour vous sentir plus
en sécurité, ce qui peut être plus coûteux. Les failles
en entreprise ne sont pas différentes. Là aussi, les
répercussions peuvent être plus dommageables
que l'événement initial.
Le calcul de la valeur financière de
l'informationestcomplexe,maisilexisteaujourd'hui
plusieurs façons de l'estimer. En 2013 et en 2014,
une vague d'attaques a ciblé de grandes entreprises
telles qu'Anthem, Target, Home Depot et Sony, pour
obtenir des renseignements personnels. Le coût
moyen d'une fuite de données est de 136 euros
par enregistrement selon une étude de Ponemon,
et pour les nombreux incidents impliquant des
milliers, voire des millions d'enregistrements,
le coût total moyen d'une seule fuite est passé à
3,35 millions d'euros en 2015.1
L'impact de la cybercriminalité coûte plus cher
que la valeur de l'information dérobée. Les
répercussions sont souvent plus dommageables
que le vol même. La perte de confiance, aussi bien
au sein de votre entreprise que de vos clients, vous
conduit à dépenser plus que nécessaire sur les
remèdes, tels que dédommager les fournisseurs
et les partenaires touchés, et provoque la fuite de
vos clients.
Si quelqu'un faisait irruption dans votre
maison, vous ne vous sentiriez pas en sécurité. Votre
compagnie d'assurance vous remboursera la valeur
des objets volés, mais le sentiment de sécurité ne
peut être remplacé si facilement. Vous deviendrez
plus prudent et investirez même dans un système
de sécurité plus moderne, ou commencerez à
stocker vos objets de valeur ailleurs, ou bien vous
sortirez moins, pour vous sentir plus en sécurité.
5.1 SOURCE : Indice de niveau de faille de Gemalto
2014
2015
RÉPARTITION
DES PRINCIPALES
FUITES DE DONNÉES
PAR SECTEUR
COMMERCE DE DÉTAIL
TECHNOLOGIE AUTRE
SANTÉ
GOUVERNEMENTÉDUCATION
9%
17%
19%
4%
42%
3%
5%
53%
5%
14%
5%

39. 40 | RÉPERCUSSIONS DE L'INSÉCURITÉ
En 2015, le nombre de failles a diminué
légèrement, passant de 1 milliard de dossiers en
2014 à un peu plus de 700 millions en 2015, selon
le cabinet d'études Gemalto.2
Bien que cela semble
prometteur, tous les enregistrements n'ont pas la
même valeur.
En 2014, la cible principale était les
données de cartes bancaires qui ont une durée
de vie relativement courte, les banques annulant
les débits et réémettant de nouvelles cartes
rapidement. En 2015, les agresseurs sont passés
à des données avec une durée de vie plus longue :
renseignements personnels et vol d'identité. Les
agresseurs sont passés de cibles principalement
dans les secteurs financiers et du commerce de
détail en 2014 à des cibles dans les secteurs du
gouvernement et de la santé en 2015. Plus la durée
de conservation d'un enregistrement est longue,
plus la remise en état est coûteuse.
Le calcul des coûts initiaux d'une
faille comprend plusieurs dépenses directes :
• La valeur de la propriété intellectuelle dérobée
• Le délai d'analyse, de remise en état et
d'amélioration des défenses de tous les systèmes
compromis
• La vérification de tous les systèmes de l'entreprise
à la recherche de toute infection cachée
• La restauration des systèmes à partir des
sauvegardes, y compris la vérification de ces
sauvegardes à la recherche de vulnérabilités
• La modification des procédures de sécurité et la
formation du personnel aux nouvelles procédures
Les coûts des répercussions moins
évidentes, cependant, occultent rapidement ces
coûts directs. Dans le cas de l'attaque contre
Target, les 40 millions de cartes bancaires dérobées
fin 2013 a coûté à Target 220 millions d'euros en
dépenses directes les deux premières années, mais
5.2 SOURCE : Check Point Software Technologies
RÉPARTITION DES ENTREPRISES
AYANT SUBI DES FUITES DE DONNÉES
100 %
88 %
86 %
85 %
81 %
73 %
CONSEIL
INDUSTRIE
GOUVERNEMENT
FINANCE
COMMERCE DE DÉTAIL ET DE GROS
TÉLÉCOM.

40. ce chiffre continue d'augmenter. Certaines sources
estiment que les coûts dépasseront finalement
2 milliards d'euros en incluant les pertes des débits
frauduleux, le remboursement des fournisseurs
et les pénalités issues des procès. La reprise sur
incident coûte cher.
Les failles de sécurité servent
généralement à dérober des données, et souvent
les petites entreprises sont plus faciles à attaquer
que les grandes. Selon une étude de Trustwave,
90 pour cent des fuites de données touchent les
petites entreprises, qui ont beaucoup plus de
difficultés à survivre à l'impact. Même si les petites
entreprises ne sont pas en possession de grandes
quantitésdedonnéespersonnelles,ellesdétiennent
souvent les clés d'accès à ceux qui en possèdent.
Les répercussions sur la réputation
de l'entreprise sont difficiles à estimer, mais
sont très réelles. Si une entreprise dispose
d'un bon soutien auprès de sa clientèle et gère
soigneusement la situation, les clients seront
peut-être ébranlés mais ne partiront pas.
Cependant, pour les petites entreprises, toute
perte de confiance des clients est dévastatrice.
Les failles au niveau du gouvernement
entraînent de gros problèmes de confiance, mais
RÉPERCUSSIONS DE L'INSÉCURITÉ | 41
leur impact financier est limité par rapport à une
entreprise publique ou privée. Les trois secteurs
privés qui subissent les impacts financiers les
plus forts sont les services financiers, la santé
et l'industrie. Comme beaucoup de gens ont la
mauvaise habitude de réutiliser leurs mots de
passe, la perte d'un mot de passe sur un site
a souvent des répercussions. Les agresseurs
utilisent un mot de passe dérobé pour accéder
à d'autres sites et applications utilisées par
la victime, ce qui produit de multiples failles.
5.3 SOURCE : Check Point Software Technologies
SERVICES
FINANCIERS
Notre étude montre que les institutions
financières font face à des taux beaucoup plus
élevés d'attaques que tout autre secteur. Nous
ne sommes pas les seuls à tirer cette conclusion.
Un rapport de Websense Security Labs en 2015
souligne également que les institutions financières
subissent 300 pour cent plus de cyberattaques que
tout autre secteur.3
LES FUITES D'INFORMATIONS ONT
AUGMENTÉ DE PLUS DE 400 % AU
COURS DES TROIS DERNIÈRES ANNÉES

41. Parmi les plus importantes pressions sur le marché de la finance en 2015 :
42 | RÉPERCUSSIONS DE L'INSÉCURITÉ
Conclusions pour le secteur de
la finance en 2015
83 % des dirigeants d'entreprises du secteur de la finance conviennent que la capacité de
lutter contre les cybermenaces et la protection des données personnelles seront l'un des
plus grands défis en matière de renforcement de la réputation au cours des 12 prochains
mois4
24 % d'augmentation des pertes financières suite à des incidents5
73 % des consommateurs américains changent de prestataire de services financiers suite
à des failles ou des fuites de données personnelles6
61 % des consommateurs ne font pas confiance aux institutions financières7
44 % des entreprises du secteur de la finance ont signalé des pertes d'activité de 20 %
ou plus au cours des douze derniers mois en raison de problèmes de réputation et de
satisfaction client. La moyenne se situant à 17 %,soit presque le double de la moyenne
de 20148
42 % des consommateurs américains estiment que ne pas protéger leurs informations
personnelles et financières est la plus grande menace pouvant peser sur la réputation des
entreprises du secteur de la finance9
68 % des consommateurs signalent que toute actualité négative au sujet de leur prestataire
de services financiers, problèmes de conformité réglementaire, activités illégales, amendes,
etc., les conduiront probablement à changer de prestataire10

42. Les sociétés financières sont des cibles
idéales car leurs données sont plus attrayantes
sur le marché. Les banques de détail, les banques
commerciales avec des bureaux dispersés à
travers le monde, les entreprises de cartes de
crédit, les compagnies d'assurance et les sociétés
de commerce possèdent toutes des données, et
sont connectées à d'autres données. Les services
financiers ne sont pas en tête de la liste des cibles
des attaques en 2015, simplement parce que leurs
efforts en 2014 pour fortifier leurs défenses ont font
une cible plus difficile à pénétrer.
La cybersécurité financière est
un écosystème profondément complexe et
multiforme. Les grandes institutions financières
se sont remises en question après 2014. Elles ont
commencé à investir dans des solutions intégrées
plutôt que des produits disparates pour améliorer
encore la protection contre le déluge de menaces
persistantes avancées et les attaques zero-day.
Le volume des attaques et des cibles
nécessite une visibilité complète sur les opérations
et l'administration centralisée de la sécurité, mais
pas une transparence totale. Comme les nations
protégeant leurs citoyens, les directions des
grandes institutions financières sont prudentes
quand il s'agit de révéler les méthodes de
protection ou les détails des attaques. Lorsque les
cybercriminels constatent si leurs attaques ont un
impact, ou n'en ont pas, ils adaptent leurs tactiques
ou leurs représailles.
La perception de la protection est aussi
importante, sinon plus, que la protection réelle. Les
incidents qui ne produisent aucune fuite de données
personnelles secouent malgré tout la confiance
des clients. Pour cette raison, les institutions
financières partagent désormais des détails sur
les attaques via des flux de renseignements sur
les menaces. Nos partenaires proposent certains
de ces flux. Comme la plupart des pirates utilisent
habituellement les mêmes méthodes d'attaques
couronnées de succès contre plusieurs victimes,
leurs coûts augmentent lorsqu'une méthode
d'attaque ne fonctionne qu'une fois. Plus le piratage
coûte cher, plus le nombre de pirates diminue, ce
qui est plus sécurisant pour tout le monde.
SECTEUR MÉDICAL
Les dossiers médicaux des patients ont la plus
grande valeur sur le marché noir, dix fois plus que
les cartes bancaires et autres données financières.11
Alors qu'un numéro de carte bancaire ou un
identifiant de connexion à un compte bancaire peut
être rapidement réédité, un dossier médical ne le
peut pas. Ils exposent beaucoup plus d'informations
sur un individu, y compris ses sensibilités, ses
vulnérabilités et ses préoccupations personnelles,
ce qui les rend précieux à des fins d'espionnage.
Les entreprises du secteur médical sont des cibles
privilégiées pour les cybercriminels.
En2015etaudébutde2016,denombreuses
entreprises du secteur médical ont été victimes
d'une multitude d'attaques, principalement de
la part de logiciels rançonneurs. Le secteur de
la santé est traditionnellement en retard sur
des cibles privilégiées telles que le secteur de la
finance en termes de robustesse de la sécurité,
et de nouvelles règlementations concernant la
confidentialité des renseignements personnels
compliquent également l'évolution de la sécurité.
RÉPERCUSSIONS DE L'INSÉCURITÉ | 43
5.4 SOURCE : Check Point Software Technologies
9 % DES ENTREPRISES DU SECTEUR
MÉDICAL/DE L'ASSURANCE ONT SUBI
UNE PERTE DE DONNÉES HIPAA

43. 44 | RÉPERCUSSIONS DE L'INSÉCURITÉ
Conclusions pour le secteur
médical en 2015
60 % d'augmentation des incidents de sécurité dans le secteur médical12
2 % des entreprises du secteur médical aux États-Unis ont signalé au moins un cas de vol
d'identité médicale13
282 % d'augmentation des coûts des failles de sécurité dans le secteur médical au cours des
12 derniers mois14
89 % des prestataires du secteur médical aux États-Unis mettent les données des patients à la
disposition des patients, de substituts et/ou d'autres personnes désignées15
11 types d'outils techniques de sécurité sont mis en œuvre en moyenne par les entreprises du
secteur médical aux États-Unis16
21 % des entreprises du secteur médical aux États-Unis n'utilisent pas de technologie de reprise
sur incident et 51,7 % de celles-ci ont l'intention de s'en procurer une à l'avenir17
54 % des entreprises du secteur médical aux États-Unis ne disposent pas d'un moyen
d'authentification unique (SSO), et 49,3 % d'entre elles ont l'intention de s'en procurer un
à l'avenir18
60 % des entreprises du secteur médical aux États-Unis n'ont pas implémenté de mécanisme
d'authentification à deux facteurs19
19 % des entreprises du secteur médical aux États-Unis déclarent avoir subi une faille de
sécurité l'année dernière20
Seulement 54 % des professionnels de l'informatique auprès des prestataires du secteur
médical aux États-Unis ont testé leur plan d'intervention en cas de fuite de données21
Dans le secteur médical aux États-Unis, les trois premières menaces perçues sont :
(80 %) les travailleurs qui espionnent les données des parents/amis,
(66 %) le vol d'identité financière,
(51 %) le vol d'identité22

44. RÉPERCUSSIONS DE L'INSÉCURITÉ | 45
OBJETS
CONNECTÉS
INDUSTRIELS
Les objets connectés dans le secteur de l'industrie
(IIoT) sont une tendance significative à la hausse
en 2015, et ont des implications importantes pour
l'économie mondiale. Selon Oxford Economics,23
ce segment regroupe les industries qui contribuent
à 62 pour cent du produit intérieur brut (PIB)
des pays du G20, y compris les services publics,
l'industrie du pétrole et du gaz, l'agriculture
et la fabrication. Sont également incluses les
entreprises de transport et d'infrastructure de
transport (rail, ports), de logistique et de services
médicaux des hôpitaux, et les centrales de
production d'électricité.
L'une des plus grandes attractions de
l'IIoT est la promesse d'efficacité opérationnelle.
Les techniques d'automatisation et de production
flexibles conduisent à une augmentation de la
productivité pouvant aller jusqu'à 30 pour cent.24
Cependant, ces appareils sont tous connectés,
sont généralement accessibles et sont laissés
sans surveillance, avec peu ou pas de protection
pour leurs terminaux.
Les répercussions des failles des objets
connectés dans le secteur de l'industrie sont
difficiles à mesurer, mais sont généralement
facteurs de perturbations. Les perturbations
des infrastructures essentielles ont d'énormes
implications. Toute panne pourrait avoir un impact
sur des centaines, voire des milliers d'entreprises,
de manière difficilement quantifiable.
Parmi tous les progrès actuels de
la technologie, l'IIoT peut potentiellement
produire le plus grand impact et causer le
plus de perturbations. Par exemple, Google
et Tesla produisant des voitures autonomes
sont susceptibles de perturber une multitude
de secteurs, y compris l'industrie automobile,
l'assurance automobile et l'octroi de licences
auprès du gouvernement. Le HealthKit d'Apple
est un autre exemple d'objet connecté ayant de
profondes implications. Si les capteurs de santé
et les applications de santé sont soudainement
librement accessibles aux patients, l'écosystème
des données de santé maintenant occupé par des
médecins, des organismes d'assurance et des
sociétés pharmaceutiques se déplacerait vers les
particuliers.25
Les avantages de l'efficacité accrue seront
rapidement éclipsés en cas de fuites de données.
Des programmes tels que HIPAA énoncent
des règles strictes concernant la communication
intentionnelle ou accidentelle de renseignements
personnels, mais peuvent entraîner de nouvelles
vulnérabilités. Les prestataires de santé de toute
taille doivent se conformer à ces règlementations
sur les renseignements personnels et leur
sécurité. La protection des renseignements
personnels est parfois prioritaire sur les contrôles
d'accès. L'intégration des appareils connectés
dans les environnements de santé augmente
considérablement la surface d'attaque dans
ce secteur, qui ne s'adapte pas à la taille des
prestataires, ce qui fait des petits prestataires
des cibles de choix. La protection de ce secteur
est également difficile en raison des logiciels et
des systèmes d'exploitation des équipements
maintenant les patients en vie qui ne peuvent être
mis hors ligne pour mise à jour.
La conformité dans le secteur de la santé se
concentre principalement sur les contrôles internes
plutôt que sur la protection de l'information. Bien
que la conformité des médecins, des infirmières et
des administrateurs ayant accès aux données, mais
ayant une connaissance limitée des techniques
de cybercriminalité, est certainement importante,
l'accent doit être mis sur la protection des objets
connectés et les contrôles d'accès.
88 % DES ENTREPRISES ONT SUBI UNE FUITE DE DONNÉES

45. Sécurisation des objets connectés
dans le secteur de l'industrie
Prévention. Si la protection contre les
logiciels malveillants ne peut être implémentée
sur chaque équipement, elle peut résider sur
un point de communication commun à ces
équipements.
Segmentation. Les appareils connectés
devraient communiquer avec un contrôleur
central, et non pas les uns avec les autres.
Protocoles. Il est recommandé d'utiliser
une protection prenant en charge les protocoles
ICS/SCADA spécifiques.
Commandes directionnelles.
Les objets connectés devraient émettre
des rapports, et ne recevoir que quelques
commandes en entrée.
IDENTIFICATION
DES
RÉPERCUSSIONS
Les fuites de données peuvent avoir des impacts
financiers à court terme, qui sont relatifs en
comparaison des dégâts à long terme sur la
position d'une entreprise sur le marché. La valeur
de la marque diminue en moyenne de 21 % en
conséquence directe d'une faille de sécurité.26
La
restauration de votre réputation prend du temps et
dépend de la manière dont la situation est gérée.
Adoptez une approche holistique de
la sécurité au lieu d'assembler des solutions
individuelles. Optez pour la prévention des
H. W. Shaw (Josh Billings),
humoriste américain
« Le succès ne consiste pas
à ne jamais faire d'erreurs,
mais à ne jamais faire deux fois
la même. »
46 | RÉPERCUSSIONS DE L'INSÉCURITÉ
menaces, par opposition à la détection et au
traitement des menaces.
Pour réduire davantage les risques,
intégrez la prévention des fuites de données dans
votre infrastructure de sécurité et faites appel aux
meilleures pratiques lors de la configuration de
vos politiques de sécurité.
L'équipe de traitement des incidents de Check Point est disponible pour étudier et
résoudre des événements de sécurité complexes résultant d'attaques de logiciels
malveillants, d'intrusions ou d'attaques de déni de service. L'équipe est disponible
24 heures sur 24 et 365 jours par an via emergency-response@checkpoint.com
ou au +1 866 923 0907.

46. PRENEZDESMESURES
RÉPERCUSSIONS DE L'INSÉCURITÉ | 47
LORSQUE VOUS RÉFLÉCHISSEZ À
VOS OBJECTIFS EN MATIÈRE DE
CYBERSÉCURITÉ, POSEZ-VOUS
CES QUESTIONS
COMPRENDRE
LA SITUATION
À quel point faisons-nous confiance à l'efficacité de
notre cybersécurité contre les menaces zero-day ?
Mes collaborateurs sont-ils correctement formés
sur les cybermenaces et les conséquences
potentielles de leurs actions ?
S'ASSURER DE LA
VISIBILITÉ DES ACTIVITÉS
Avons-nous une visibilité claire sur l'activité de
journalisation dans tous les segments de notre
réseau, ou est-ce que la supervision est trop
complexe pour être utile ?
1
2
PROTÉGER LES CAPACITÉS
DE TRAITEMENT PLUTÔT QUE
LES SERVEURS
Est-ce que les capacités de traitement du Cloud et
des environnements virtuels ou logiciels bénéficient
des mêmes protections que celles gérées par mon
datacenter ?
SE PRÉPARER
Est-ce que les politiques de l'entreprise protègent
les informations et les ressources dans tous les
environnements ?
Comment la direction est-elle informée du niveau
actuel de menace et de l'impact potentiel des
cyberattaques sur notre activité ?
3
4
LANCEZ-VOUS
Découvrez les menaces actives sur votre réseau et les points faibles que vous
pouvez corriger/améliorer. Rendez-vous sur :
checkpoint.com/resources/securitycheckup

47. 48 | CHECK POINT – RAPPORT SÉCURITÉ 2016
6
CONSERVEZ UNE
LONGUEUR D'AVANCE
« Être bien préparé, c'est être à mi-chemin de la victoire. »
Miguel de Cervantes, auteur

48. Mobilité
Anglais et américains utilisent en moyenne 3 appareils mobiles par personne.1
Les employés combinent utilisation personnelle et professionnelle de leurs équipements,
et jusqu'à 5 appareils mobiles sont infectés.2
IoT
En 2016, 5,5 millions de nouveaux « objets » vont se connecter tous les jours.3
Cloud
Les dépenses mondiales en logiciels d'entreprise augmenteront de 7,5 pour cent
pour atteindre 133 milliards d'euros en 2015.4
CONSERVEZ UNE LONGUEUR D'AVANCE | 49
Les appareils mobiles, les objets
connectés et les applications dans le Cloud offrent
de nouvelles libertés, mais ces libertés comportent
de nouveaux risques de sécurité. Pour chaque
modèle d'entreprise perturbatrice, un service
informatique réfléchit à la façon de le protéger.
Par exemple, les communications des appareils
mobiles utilisés pour comptabiliser les stocks
en entrepôt ne doivent pas être compromises ni
interceptées. Les appareils qui automatisent les
relevés médicaux, la distribution d'énergie ou l'air
conditionné des bureaux, doivent être correctement
protégés de toute commande à distance risquant
de les perturber. Les applications dans le Cloud ne
devraient pas comporter d'interface ouverte non
contrôlée permettant à des pirates d'entrer dans
votre réseau.
La gestion de la sécurité des objets
connectés sous forme distincte augmentera la
complexité de la gestion de la sécurité. Idéalement,
la sécurité des objets connectés, que ce soit des
biens de consommation ou des systèmes SCADA
industriels, peut être intégrée à l'architecture de
sécurité unifiée et gérée par la même console que
les autres segments du réseau.
Pour qu'une stratégie de sécurité soit efficace,
vous devez comprendre les agresseurs. Le rapport
de cette année montre que l'environnement des
menaces continue de croître en complexité puisqu'il
est plus facile que jamais d'obtenir et déployer
des logiciels malveillants. Un million de nouveaux
logiciels malveillants étaient lancés en 2005. En
2015, ce sont un million de logiciels malveillants
lancés chaque jour.5
Les logiciels malveillants
sont de plus en plus faciles à obtenir et à lancer.
Examinez les attaques réussies, les dernières
vulnérabilités et les tendances d'attaques pour
créer une stratégie de sécurité adaptée à votre
entreprise.
Déterminez ensuite l'étendue de la surface
d'attaque de votre entreprise. Les frontières de
l'entreprise continuent de s'étirer et se brouiller, ce
qui complique encore plus la sécurité. Les serveurs
et les ordinateurs de l'entreprise ne définissent
plus ces frontières. Elles sont repoussées par un
nombre record d'appareils mobiles, d'applications
dans le Cloud, et un nombre croissant d'objets
connectés dont votre service informatique n'a pas
conscience. Ces outils améliorent la productivité,
mais chaque extension des frontières de
l'entreprise doit être protégée.

49. Conformité : la vraie raison
des meilleures pratiques
Savez-vous comment se nomme un groupe de méduses ? Bien qu'il n'existe pas de nom
spécifique pour désigner un groupe de personnes qui rédigent les règlementations en matière de
cybersécurité, comme dans le règne animal, les régulateurs semblent former des groupes. La
preuve d'un comportement de groupe apparaît dans les nombreuses exigences communes que
les régulateurs intègrent aux règles de cybersécurité qui émanent des entreprises du secteur
de l'industrie et du secteur public. Face à ce tissu complexe de règlementations et de lois,
l'utilisation des meilleures pratiques peut vous aider à tirer parti des exigences communes pour
simplifier et améliorer la conformité et la sécurité.
Par meilleures pratiques, nous entendons les lignes directrices qui ont pour objectif
d'optimiser la configuration des solutions de cybersécurité. L'élimination des erreurs humaines
est la principale raison de l'utilisation des meilleures pratiques. Selon Gartner, « Jusqu'en 2020,
99 % des failles des pare-feux seront causées par de simples erreurs de configuration du pare-
feu, et non des défauts. »6
Lewis Morgan déclare à propos de la gouvernance : « L'erreur humaine
est la cause de la plupart des fuites de données. Ce n'est donc pas un secret que la plus grande
menace pesant sur les données d'une entreprise provient de ses propres employés, que ce soit un
acte délibéré ou non. »7
Compte tenu de l'impact profond que peuvent avoir les erreurs de configuration sur la
sécurité et la conformité, les chercheurs de Check Point se sont intéressés à la manière dont
les entreprises utilisent efficacement les meilleures pratiques, et leur impact sur la conformité.
Ils ont surveillé la configuration des contrôles de sécurité tels que les pare-feux, les systèmes
de détection/prévention d'intrusions, les antivirus et autres, et ont produit des indices sur la
conformité.
Nos chercheurs ont été surpris de découvrir que 53,3 pour cent des paramètres de
configuration sont définis conformément aux meilleures pratiques du secteur. Les niveaux de
conformité avec les différents secteurs et normes réglementaires sont présentés dans le tableau
suivant :
Niveaux de conformité à 4 règlementations par secteur
50 | CONSERVEZ UNE LONGUEUR D'AVANCE
SECTEUR RÉGLEMENTATION ÉTAT DE LA CONFORMITÉ
Médical Sécurité HIPAA 59 %
Sécurité informatique générale ISO 27001 64 %
Énergie NERC CIP 67 %
Cartes de paiement PCI DSS 3.1 60 %

50. Notre étude montre qu'un segment important de professionnels de l'informatique à
travers un large éventail de secteurs n'optimise pas les configurations pour la sécurité et la
conformité. Pour comprendre cela plus en détail, le tableau 2 ci-dessous montre la conformité
avec les meilleures pratiques pour les entreprises des secteurs des infrastructures critiques et
de la finance.
Niveaux de conformité par norme de configuration et par secteur
Il est intéressant de noter que 3 entreprises sur 10 ne profitent pas de la technologie anti-
usurpation, et qu'une entreprise sur deux ne restreint pas l'accès aux applications à haut risque.
Compte tenu des risques associés à ces techniques de sécurité, ce sont des statistiques explosives.
Une autre constatation pertinente est que la base de règles n'est pas entièrement documentée pour
trois politiques de pare-feu sur quatre.
Meilleures pratiques et reporting
Les meilleures pratiques peuvent également vous aider pour le reporting et la supervision continue
de la conformité, notamment dans le cas d'un audit. La règle 11 de PCI-DSS,8
HIPAA CFR 160-
164,9
FISMA,10
FERPA 99.62,11
la règle 4530 de FINRA et de nombreuses autres réglementations,
nécessitent la supervision de la sécurité et des procédures de reporting. Une fois que vous avez
réglé la question de la configuration, vous pouvez citer les meilleures pratiques pour structurer
efficacement le contenu des rapports d'audit.
CONSERVEZ UNE LONGUEUR D'AVANCE | 51
MEILLEURE PRATIQUE TOUS SECTEURS INFRASTRUCTURES
CRITIQUES
SERVICES
FINANCIERS
Activer l'anti-usurpation 70,0 % 75,5 % 65,0 %
Assurer la documentation
correcte des règles du
pare-feu
28,0 % 30,0 % 30,0 %
Définir les options de
supervision des règles de
sécurité
20,0 % 22,0 % 30,0 %
Bloquer les applications
et les sites web à haut
risque
49,5 % 54,0 % 45,0 %

51. Il n'existe pas assez de professionnels de
la sécurité pour supporter la demande croissante
en administration et en supervision des systèmes
informatiques, et les professionnels disponibles
doivent jongler entre demandes de routine et
alertes urgentes. Ils sont également accaparés par
les processus manuels et les systèmes cloisonnés.
Ils ont besoin d'outils avancés de prévention des
menaces s'appliquant à tous les points, avec
administrationcentraliséeetexécutionméthodique,
pour les aider. Les systèmes d'administration qui
améliorent l'efficacité sont essentiels.
Les approches traditionnelles de la
sécurité ne suffisent plus. Pour s'adapter
à la constante expansion du périmètre des
réseaux, les équipes informatiques doivent
fondamentalement transformer leur approche
BEAUCOUP DE
FEUX, TRÈS PEU
DE POMPIERS
Avec tant de logiciels malveillants, tant de vecteurs
d'attaques et tant d'appareils à protéger, aucune
entreprise, grande, petite, privée ou publique,
n'est à l'abri. Nous courrons tous des risques.
À mesure que les menaces et les attaques se
développent, le nombre d'appareils et d'outils
de sécurité que votre service informatique doit
gérer suit cette tendance. Même avec des budgets
informatiques illimités, le nombre de personnes
qualifiées reste limité !
52 | CONSERVEZ UNE LONGUEUR D'AVANCE
6.1 SOURCE : Enquête de Verizon sur les fuites de données en 2016, page 10
Délai jusqu’à découverte
(réel)
100%
75%
50%
25 %
0 %
2005 2007 2009 2011 2013 2015
Délai jusqu’à vulnérabilité
(tendance)
Délai jusqu’à découverte
(tendance)
Délai jusqu’à vulnérabilité
(réel)
%
Fenêtre d’exposition
entre vulnérabilité
et découverte
Fenêtred’expositiondeplusieursjoursoumoins
FENÊTRE D’EXPOSITION ENTRE
VULNÉRABILITÉ ET DÉCOUVERTE
67 % 56 % 55 % 61 % 67 % 62 % 67 % 89 % 62 % 76 % 62 % 84 %

52. CONSERVEZ UNE LONGUEUR D'AVANCE | 53
tout derniers correctifs et faire en sorte qu'ils se
propagent sur tous les appareils et les ordinateurs
du réseau. Soyez organisé et méthodique.
Renforcez votre politique de gestion des correctifs
par des solutions capables de stopper les attaques
connues. Celles-ci devraient inclure un antivirus
traditionnel, un système de prévention d'intrusions
et un pare-feu de nouvelle génération, alimentés
continuellement par les renseignements les plus
récents sur les menaces.
Comme vous l'avez vu dans le chapitre 3,
les appareils mobiles brouillent les lignes entre
l'utilisation personnelle et professionnelle. Un
appareil infecté par des logiciels malveillants non
détectés risque d'infecter la totalité du réseau.
Il est donc essentiel de créer un environnement
professionnel protégé sur tout appareil mobile.
Le chapitre 4 présente l'augmentation
continue du nombre de logiciels malveillants
inconnus, aussi bien les véritables vulnérabilités
zero-day que les variantes reconditionnant
d'anciens logiciels malveillants. Ces attaques
sont plus difficiles à détecter. De nombreux
pirates apprennent à contourner les bacs à sable
de première génération qui ont été installés ces
dernières années. Heureusement, les solutions
modernes parviennent à détecter les attaques
avant que le code malveillant ne soit déployé.
Toute sécurité proactive se doit d'intégrer
un ensemble d'outils de sécurité fondamentaux
pour protéger entièrement votre entreprise :
prévention avancée des menaces, protection des
appareils mobiles et segmentation du réseau
afin qu'il puisse être surveillé de près. À une
époque où les coûts sont examinés attentivement,
maximisez l'efficacité et la productivité de votre
équipe informatique.
SOYEZ ORGANISÉ
Comme vous l'avez vu dans les chapitres 2 et
4, les logiciels malveillants inconnus sont en
progression. Cependant, la majorité des attaques
de 2015 provenaient de logiciels malveillants
connus, âgés de plus d'un an. La plupart de ces
attaques aurait pu être évitée. Il est nécessaire de
bien organiser et automatiser le déploiement des
de la sécurité. Traditionnellement composée
d'une série de modules administrés et supervisés
individuellement, la sécurité doit devenir un
système unifié. L'architecture de sécurité
d'aujourd'hui doit regrouper l'administration de
la sécurité des appareils mobiles, des appareils
connectés et des systèmes dans le Cloud, sous une
seule architecture d'administration souple capable
de prendre en charge plusieurs environnements
distribués dans le Cloud. La sécurité moderne
doit être rapide, ouverte, intégrée, et surtout,
administrée à partir d'une seule console.
Il suffit d'un point d'entrée et de quelques
minutes à un pirate chevronné pour pénétrer dans
votre réseau. Les pirates sont plus efficaces que
jamais pour entrer et repartir avec des données.
Il est donc essentiel de se concentrer sur la
prévention, et non plus seulement sur la détection.
Les toutes dernières conclusions de l'enquête de
Verizon sur les fuites de données en 2016 montrent
que chaque minute compte, car année après année,
les pirates parviennent à compromettre les réseaux
plus rapidement qu'ils ne peuvent être détectés.
« La meilleure façon de prédire l'avenir est de l'inventer. »
Alan Kay, informaticien

53. 54 | CONSERVEZ UNE LONGUEUR D'AVANCE
Repensez les
rôles de sécurité
Que vous le fassiez vous-même ou le
déléguiez à une équipe entière, des tâches
telles que l'installation de serveurs en rack
et l'ajustement de la température de l'air
conditionné de la salle des serveurs deviennent
rapidement le problème de quelqu'un d'autre :
quelqu'un travaillant dans un datacenter.
Cisco estime que 83 pour cent du trafic des
datacenters deviendra du trafic dans le Cloud
en 2019.12
La migration à grande échelle vers
le Cloud signale un changement fondamental.
Les infrastructures matérielles résidant dans
des datacenters en entreprise migrent vers
des infrastructures logicielles fonctionnant
sur des ensembles dynamiques de ressources
de traitement et de stockage. La transition
vers le Cloud est un moment propice pour
repenser aux solutions dont vous aurez
besoin pour protéger les actifs et les services
informatiques de votre entreprise quand ils
émaneront d'une plate-forme dans le Cloud, et
ce que cela signifie pour votre rôle en tant que
professionnel de l'informatique.
Le Cloud vous permet de proposer
des services extensibles plus rapidement et
à moindre coût sur des plates-formes telles
que Microsoft Azure, Amazon Web Services et
Google Cloud Platform, qui sont généralement
plus efficaces que leurs homologues dans des
datacenters en entreprise. Par exemple, les
datacenters dans le Cloud ont généralement
des densités plus élevées de machines
virtuelles hébergées sur des serveurs que dans
les environnements virtuels en entreprise.
La bande passante du Cloud s'adapte à des
pics de trafic et les ressources informatiques
disponibles à la demande rendent les services
plus fiables, plus évolutifs et plus économiques.
En laissant les prestataires d'infrastructure
sous forme de service (IaaS) et d'applications
sous forme de service (SaaS) gérer les
problèmes de matériel et de bande passante,
vous pouvez vous concentrer davantage sur
l'aspect logiciel de votre activité : déploiement
de portails d'applications en libre-service,
création de politiques, meilleures pratiques,
supervision de la sécurité.
La transition vers des réseaux hybrides
et dans le Cloud public ne signifie pas que les
services et les mesures de sécurité nécessaires
pour les protéger seront fondamentalement
différents. Dans le Cloud, vous avez toujours
besoin de fonctions de prévention des menaces,
de protection de la messagerie, du web et des
applications. Ce sont les mesures que vous
utilisez actuellement pour protéger votre
réseau sur site.
Même si les besoins en sécurité
restent constants, les rôles changent
lorsque vous migrez vers le Cloud. Ce ne
sont plus les administrateurs informatiques
et les administrateurs de la sécurité qui
décident des contrôles de sécurité et de
l'infrastructure, mais les développeurs
d'applications. Les administrateurs et les
développeurs d'applications devraient
étudier les moyens de combler le fossé des
connaissances qui sépare l'administration
informatique, l'administration de la sécurité
et le développement d'applications.
Vous devez aligner la sécurité avec les
flux des services applicatifs et les processus
d'orchestration qui vous permettent de
protéger les services et les données, et
d'appliquer des politiques de sécurité peu
importe l'origine ou la destination de vos
services.
Un serveur est un serveur, qu'il soit
dans votre datacenter ou dans un datacenter
dans le Cloud. Cependant, lorsque les serveurs
sont hébergés ailleurs, vous devez reporter
votre attention sur l'aspect logiciel du réseau et
de la sécurité.

54. PRENEZDESMESURES
CONSERVEZ UNE LONGUEUR D'AVANCE | 55
CYBERSÉCURITÉ
MULTICOUCHES
Les menaces revêtent de nombreuses formes.
Voici les technologies de sécurité à intégrer parmi
vos couches de sécurité : prévention des menaces
de nouvelle génération, pare-feu, contrôle des
applications, antibots, antivirus, prise en charge
des identités, protection de la messagerie et
antispam, système de prévention d'intrusions et
filtrage des URL.
BLOCAGE DES LOGICIELS
MALVEILLANTS DÈS
LE PREMIER CONTACT
La prévention des menaces en temps réel qui
bloque les logiciels malveillants dès le premier
contact est la nouvelle référence en matière
d'efficacité de la sécurité.
CORRECTIFS
VIRTUELS
Les correctifs virtuels protègent contre les
exploitations de vulnérabilités inopinées et offrent
une protection jusqu'à ce que les correctifs pour
les vulnérabilités connues soient disponibles
et déployés.
1
2
3
PRÉVENTION
SIMPLIFIEZ L'ADMINISTRATION
DE LA SÉCURITÉ
L'utilisation de plusieurs consoles pour administrer
la sécurité de chaque segment réseau est inefficace.
Elle conduit à des erreurs de configuration qui
dégradent la sécurité. La gestion de toutes
les fonctions de sécurité, des segments et des
environnements via une console unique simplifie
l'administration d'une sécurité plus robuste et plus
facile à gérer.
UNIFIEZ
LES CONTRÔLES
Implémentez des contrôles unifiés dans tous les
réseaux, systèmes, postes et environnements,
y compris les environnements traditionnels,
virtuels, mobiles et hybrides, dans le Cloud, et les
objets connectés.
1
2
ARCHITECTURE
CONSERVEZ UNE LONGUEUR D'AVANCE
L'axiome de Benjamin Franklin précisant « qu'une once de prévention vaut une livre
de guérison » est particulièrement valide à l'ère des logiciels malveillants et des
vulnérabilités zero-day inconnues. Idéalement, les ressources informatiques limitées
sont mieux investies dans la prévention des menaces que sur l'analyse des alertes et
le traitement des incidents de sécurité.
SEULS LES FAITS
COMPTENT
Découvrez les résultats de tests
impartiaux sur les taux de blocage
des logiciels malveillants, de
prévention des menaces en temps
réel, de gestion de l'évolutivité et
plus encore.
Téléchargez le rapport « Assez de
surenchère – Place aux faits ! »
sur checkpoint.com/facts

55. 56 | RÉFÉRENCES
RÉFÉRENCES
Chapitre 2
1 Harrison Virginie et Pagliery Jose. « Près d'un million de nouvelles menaces sont déclenchées tous les
jours. » CNN Money, 14 avril 2015.
http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/
2 Chickowski Ericka. « Les 5 tendances d'exploitation de vulnérabilités derrière les attaques
d'aujourd'hui. » Dark Reading, 17 février 2016.
http://www.darkreading.com/perimeter/5-exploit-trends-driving-attacks-today/d/d-id/1324352
3 Cisco. « Indice Cisco Global Cloud : prévisions et méthodologie, livre blanc 2014-2019 », 21 avril 2016.
4 Weins Kim. « Tendances du Cloud : Enquête sur l'état du Cloud en 2016 ». RightScale, 9 février 2016.
http://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2016-state-cloud-
survey
5 Statistiques sur les logiciels malveillants. AV-TEST. https://www.av-test.org/en/statistics/malware/
6 Statistiques sur les logiciels malveillants. AV-TEST. ibid.
Chapitre 3
1 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014
http://www.comscore.com/Insights/Presentations-and-Whitepapers/2014/The-US-Mobile-App-Report
2 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014. ibid.
3 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014. ibid.
4 Sécurité informatique. « BYOD Mobile Security Report Spotlight 2016. » Scribd.
https://www.scribd.com/doc/309703246/BYOD-and-Mobile-Security-Report-2016
Chapitre 4
1 Statistiques Internet mondiales, « Internautes dans le monde par région en 2015. »
http://www.internetworldstats.com/stats.htm
2 Statistiques Internet mondiales, « Taux de pénétration d'Internet par région, mise à jour de novembre
2015. » http://www.internetworldstats.com/stats.htm
3 Kerner Sean Michael. « Heartbleed demeure un risque 2 ans après sa découverte », eWeek, 7 avril 2016.
http://www.eweek.com/security/heartbleed-remains-a-risk-2-years-after-it-was-reported.html
4 Alerte US Cert TA15-051A, « Le logiciel publicitaire Lenovo Superfish est vulnérable à l'usurpation
HTTPS. » US-CERT, 24 février 2015. https://www.us-cert.gov/ncas/alerts/TA15-051A
Chapitre 5
1 Korolov Maria. « Ponemon : le coût moyen d'une fuite de données est maintenant de 136 € par dossier. »
CSO, 27 mai 2015. http://www.csoonline.com/article/2926727/data-protection/ponemon-data-breach-
costs-now-average-154-per-record.html
2 Gemalto. « Gemalto publie son indice de niveau de faille en 2015 », 23 février 2016.
http://www.gemalto.com/press/Pages/Gemalto-releases-findings-of-2015-Breach-Level-Index.aspx

56. RÉFÉRENCES | 57
3 Raytheon Websense. « Rapport de 2015 sur les services financiers », juin 2015.
4 Makovsky. « Les fuites de données et l'incapacité à protéger les informations personnelles
endommagent la réputation et les activités de Wall Street, » 28 mai 2015. http://www.makovsky.com/
news/data-breaches-and-failure-to-protect-personal-info-further-damage-wall-streets-reputation-
and-business-2/
5 PwC. « Enquête sur l'état de la sécurité de l'information en 2015 - Gestion des risques informatiques
dans un monde interconnecté », 2015. http://www.pwccn.com/home/eng/rcs_info_security_2015.html
6 Étude Makovsky sur la réputation de Wall Street op. cit.
7 Étude Makovsky sur la réputation de Wall Street ibid.
8 Étude Makovsky sur la réputation de Wall Street ibid.
9 Enquête sur l'état de la sécurité de l'information op. cit.
10 Étude Makovsky sur la réputation de Wall Street op. cit.
11 Wagstaff Jeremy. « Les données médicales Saint-Graal des cybercriminels, sont désormais la cible
de l'espionnage », Reuters, juin 2015. http://www.reuters.com/article/cybersecurity-usa-targets-
idUSL3N0YR30R20150605
12 Enquête sur l'état de la sécurité de l'information op. cit.
13 6e enquête HIMSS annuelle sur la sécurité.
http://www.himss.org/2013-himss-security-survey?ItemNumber=28270
14 6e enquête HIMSS annuelle sur la sécurité ibid.
15 6e enquête HIMSS annuelle sur la sécurité ibid.
16 6e enquête HIMSS annuelle sur la sécurité ibid.
17 6e enquête HIMSS annuelle sur la sécurité ibid.
18 6e enquête HIMSS annuelle sur la sécurité ibid.
19 6e enquête HIMSS annuelle sur la sécurité ibid.
20 6e enquête HIMSS annuelle sur la sécurité ibid.
21 6e enquête HIMSS annuelle sur la sécurité ibid.
22 6e enquête HIMSS annuelle sur la sécurité ibid.
23 Copyright Oxford Economics, Ltd. Base de données mondiale des secteurs.
http://www.oxfordeconomics.com/forecasts-and-models/industries/data-and-forecasts/global-
industry-databank/overview
24 Heng Stefan. « Industrie 4.0 : un énorme potentiel de création de valeur en attente d'être exploité »,
étude Deutsche Bank, mai 2014. http://www.dbresearch.com/servlet/reweb2.ReWEB?rwsite=DBR_
INTERNET_EN-PRODrwobj=ReDisplay.Start.classdocument=PROD
25 Boulton Clint. « L'intérêt d'Apple pour la santé vient à point », The Wall Street Journal, 10 juin 2014.
http://blogs.wsj.com/cio/2014/06/10/apples-new-health-focus-comes-at-propitious-time/
26 Experian. « Impact d'une fuite de données sur la réputation. »
https://www.experian.com/assets/data-breach/white-papers/reputation-study.pdf

57. Chapitre 6
1 Statista. « Nombre moyen d'appareils connectés utilisés par personne dans certains pays en 2014. »
http://www.statista.com/statistics/333861/connected-devices-per-person-in-selected-countries/
2 Sécurité informatique. « BYOD Mobile Security Report Spotlight 2016. » Scribd.
https://www.scribd.com/doc/309703246/BYOD-and-Mobile-Security-Report-2016
3 Gartner. « Gartner indique que 6,4 milliards d'objets connectés seront utilisés en 2016, soit 30 pour cent de
plus qu'en 2015 », 10 novembre 2015. http://www.gartner.com/newsroom/id/3165317
4 Gartner. « Gartner indique que les projets de modernisation et de transformation numérique sont à l'origine
de la croissance du marché des applications d'entreprise », 27 août 2015.
http://www.gartner.com/newsroom/id/3119717
5 AV-TEST. « Statistiques sur les logiciels malveillants. » https://www.av-test.org/en/statistics/malware/
6 Gartner. « Une seule marque de pare-feu est une bonne pratique pour la plupart des entreprises. » 18 février
2016. https://www.gartner.com/doc/3215918?ref=SiteSearchsthkw=One%20Brand%20of%20Firewall%20
is%20a%20Best%20Practice%20for%20Most%20Enterprisesfnl=searchsrcId=1-3478922254
7 Morgan Lewis. « Cinq fuites de données catastrophiques causées par une erreur humaine », IT Governance
Blog, 17 février 2016. https://www.itgovernance.co.uk/blog/five-damaging-data-breaches-caused-by-human-
error/
8 Conseil de normes de sécurité PCI. « Sécurité des paiements. »
https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security
9 Département de la Santé et des Services sociaux des États-Unis. « Résumé de la règle de sécurité HIPAA. »
http://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/
10 Institut national des normes et de la technologie. « Projet de mise en œuvre de la loi sur la gestion de la
sécurité de l'information (FISMA). » http://csrc.nist.gov/groups/SMA/fisma/
11 Département de l'Éducation des États-Unis. « Loi sur la vie privée et les droits éducatifs de la famille
(FERPA). » http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html
12 Cisco. « Indice Cisco Global Cloud : Prévisions et méthodologie, livre blanc 2014-2019 », page 5, 21 avril 2016.
58 | RÉFÉRENCES
À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com), le leader mondial dédié à la sécurité,
propose des solutions de pointe qui protègent les entreprises des cyberattaques, avec un taux de
blocage inégalé des logiciels malveillants et autres types d'attaques. Check Point propose une
architecture de sécurité complète qui défend les réseaux des entreprises et les appareils mobiles,
ainsi que l'administration de la sécurité la plus complète et la plus intuitive. Check Point protège plus
de 100 000 entreprises de toute taille.
© 2016 Check Point Software Technologies Ltd. Tous droits réservés.

58. checkpoint.com
SIÈGE MONDIAL
5 Ha’Solelim Street, Tel Aviv 67897, Israël
Tél. : +972 3 753 4555 | Fax : +972 3 624 1100
Email : info@checkpoint.com
SIÈGE FRANÇAIS
120 avenue Charles de Gaulle, 92200 Neuilly sur Seine, France
Tél. : +33 (0)1 55 49 12 00 | Email : info_fr@checkpoint.com