Cybersécurité - Innovations digitales et numériques

Les responsables de la sécurité des systèmes d’information (RSSI) savent que le risque zéro n’existe pas. La question pour eux n’est pas de savoir si leur entreprise sera attaquée, mais quand. Dès lors, la détection et la correction de la moindre faille de leur réseau deviennent pour eux une obsession. Ils espèrent ainsi rendre la tâche d’un pirate informatique la plus difficile possible. Dans un rapport sur la gestion des vulnérabilités, paru en mai, le Club français de la sécurité informatique (Clusif) rappelle qu’en 2013, 97 % des applications web restaient exposées à des faiblesses identifiées, pouvant permettre la récupération, le vol ou la destruction d’informations sensibles ! Et les hackers ont, semble-t-il, de beaux jours devant eux. Selon le cabinet d’études Gartner Group, 80 % des attaques réussies en 2015 exploiteront des vulnérabilités connues.

add your insight...

Pour se prémunir, la solution est alors de protéger le réseau sur lesquels ils communiquent. « Il s’agit d’encapsuler le trafic depuis et vers ses objets au sein d'une infrastructure cloud qui elle sera protégée », détaille Oded Gonda. C’est également ainsi que les téléphones mobiles sont sécurisées.

Si nous devions résumer ce que devrait être la cybersécurité de demain, pour ma part cela passerait donc par une vision, une appréhension et une problématique globale : Technique, Managériale, Juridique et Comportementale. C’est seulement de cette manière qu’on arrivera à améliorer la sécurité de notre patrimoine informationnel et celui des systèmes d’information des entreprises françaises ; dans lequel l’humain, la psychologie et la criminologie doivent être impliqué.

Le coût global des cyberattaques a été estimé à 300 milliards d’euros pour les entreprises en 2013. ITespresso.fr a dégagé dix tendances sur la cyber-sécurité et la cyber-criminalité qui se sont propagées courant 2013 et que l’on retrouvera inéluctablement sur 2014.

3 200 visiteurs ont arpenté les allées de ce salon aujourd’hui majeur, et qui confirme cette année encore le poids grandissant de l’Etat régalien dans la cybersécurité. Y compris dans les entreprises privées. Quelques semaines avant le FIC, la Loi de programmation militaire confirmait que les opérateurs d’importance vitale (OIV) – des organisations tant publiques que privées gérant des infrastructures jugées essentielles au fonctionnement de l’Etat – seraient soumises à des obligations strictes en matière de sécurité de leurs systèmes d’information.

Thales apporte son savoir-faire en matière d’audits de sécurité et de conseil, de développement et d’intégration de solutions de cybersécurité et de services de sécurité. Thales s’appuie sur une expertise inégalée dans le domaine de la supervision et de l’administration des grands réseaux et des systèmes d’information. Depuis 2001, Thales offre des services de protection des infrastructures critiques grâce à son centre de cybersécurité de classe mondiale. Ce centre assure 24h/24 et 7j/7 la supervision des systèmes d’information des principaux clients du Groupe, ainsi que la détection et la réaction aux cyber-attaques.

Cisco veut ainsi inciter les entreprises à mettre en place des politiques de sécurité centrées sur la menace, tout en tenant compte du comportement des utilisateurs. Car en France, la sécurité est un problème que beaucoup prennent à la légère. La preuve en chiffres :

• 82 % des salariés interrogés n’ont pas connaissance des récentes failles de sécurité (telles que Heartbleed),
• 77 % pensent que leur comportement n’a pas d’incidence sur la sécurité des données de leur entreprise,
• 25 % ne savent pas si leur entreprise dispose d’une politique de sécurité,
• 41 % se sentent peu ou pas du tout concernés par la politique de sécurité de l’entreprise.

Tom Scott, du projet Computerphile, prend le temps d'expliquer dans cette vidéo les origines des attaques dites de "déni de service" (DoS) et de leurs déclinaisons, les DDoS (pour Distributed Denial of Service) qui sont régulièrement utilisées sur la toile, mais aussi les attaques par DDoS amplifié, et notamment celles utilisant le NTP (Network Time Protocol) à des fins d'amplification. Cette méthode n'était pas inconnue jusqu'ici, mais son utilisation par les criminels est en plein essor, et l'entreprise spécialisée dans la sécurité CloudFare a enregistré le mois dernier une attaque record contre ses serveurs employant un débit de 400 Gbit/s.

La dangerosité de ce nouveau type d'attaque réside dans le fait que l'agresseur peut créer de plus grosses attaques avec un nombre beaucoup moins élevé de ressources. Tom Scott n'hésite d'ailleurs pas à évoquer un crash d'Internet si une attaque suffisamment importante était mise en œuvre...

Entre autres dans le numéro 22 de Global Security Mag, mais aussi tout au long de l’année dans notre magazine et sur notre site Web, le thème des menaces est abordé. En 2013, nous avions pronostiqué une année noire pour les équipes sécurité, avec une multiplication des menaces sur les mobiles, tous les OS, des APT… Benoit Grunemwald, Directeur des opérations chez ESET, a en préambule commenté l’actualité au regard des révélations liées aux pratiques de la National Security Agency (NSA). Selon lui, le thème principal de cette année porte sur la préoccupation croissante exprimée par les utilisateurs concernant leur vie privée en ligne et donc sur le défi de préserver leur confidentialité sur Internet. La progression exponentielle des ventes de smartphones aiguise également les appétits des cybercriminels. Avec 79% de parts de marché des équipements mobiles, Android devient la cible privilégiée et par conséquent une montée significative des menaces sur Android est à prévoir.

En 2013, on a constaté une multiplication des acteurs sources de menaces, avec en particulier l’entrée dans ce tableau des Etats, qui viennent se greffer aux Hacktvistes, aux Script Kidies, sans compter les professionnels du piratage. En 2013, la mobilité a été une cible de prédilection pour les pirates, en particulier sur Androïd, mais aussi sur les autres OS. Ces attaques ont concerné le plus souvent des arnaques au numéro d’appel surtaxé.
Bien entendu, les navigateurs ont également fait l’objet d’attaques. Il a aussi cité les malwares chiffrés pour ne pas être détectés par les antivirus. On a vu arriver aussi des Ransomwares estampillés Gendarmerie Nationale qui rançonnaient les internautes par des amendes pour comportements non appropriés. Bien sûr, l’utilisateur reste toujours le maillon faible d’autant qu’il utilise de plus en plus d’outils de communication.

Benoit Grunemwald a rappelé que les moyens les plus efficaces de parer les menaces sont la sensibilisation des utilisateurs, le déploiement de Tokens à deux facteurs utilisant des téléphones portables et la mise en œuvre d’outils de sécurité classiques. Il a recommandé, en outre, d’avoir recours à des solutions de chiffrement, comme DESLock, qui utilisent un FIPS 140-2/AES 256Bits. Dans cette panoplie de solutions, il a aussi recommandé de faire du filtrage Internet, via par exemple le Module End Point Security, qui intègre antivirus, contrôle des médias amovibles et de tous les points d’entrée. Dans les versions évoluées, cette solution comprend un pare feu, du filtrage Web, avec une version pour les Smartphones. Les solutions bénéficient d’une console d’administration centralisée. Il a rappelé que les solutions ESET sont nommées depuis plusieurs années dans le Virus Bulletin.

Pour relever ces défis liés à la cyber-sécurité, une campagne internationale de sensibilisation à la sécurisation des données sensibles est lancée par les organisations et les éditeurs de sécurité afin de limiter ces attaques et notamment les conséquences parfois irréversibles qu’elles engendrent. CyberArk propose de se projeter dans les bonnes pratiques de l’année 2014 en 10 points clés :

Monsieur de Maupeou, Directeur du secteur conseil en sécurité chez Thalès, nous présente son point de vue sur la cybercriminalité actuelle et à venir.