En matière de sécurité informatique, un Backdoor est une vulnérabilité dangereuse, car discrète par définition. Quels risques pour les utilisateurs d'un PC ?
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Tags |
---|
Scooped by
Stéphane NEREAU
onto Cybersécurité - Innovations digitales et numériques |
En matière de sécurité informatique, un Backdoor est une vulnérabilité dangereuse, car discrète par définition. Quels risques pour les utilisateurs d'un PC ?
Avez-vous déjà laissé la porte arrière de votre maison ouverte par inadvertance ? Cet oubli peut vite devenir stressant, car il laisse la possibilité à un inconnu de s’introduire chez vous, pour y voler tous vos effets personnels. En matière informatique, un « backdoor » (ou porte dérobée) représente le même risque, à la différence près que vous pouvez laisser cette porte ouverte pendant des mois avant de vous en apercevoir.
Les cybercriminels utilisent généralement un logiciel malveillant pour installer un Backdoor sur nos ordinateurs. Cette porte dérobée leur permet ensuite d’en prendre un contrôle partiel, voire total :
Your new post is loading...
Your new post is loading...
Scoop.it!
BPI France et la plateforme Cybermalveillance.gouv.fr viennent de publier un guide à destination des dirigeants de TPE, PME et ETI pour leur apprendre comment se protéger des cybermenaces.
Stéphane NEREAU's insight:
On y trouve des mesures simples et peu couteuses à mettre en place pour se prémunir efficacement contre le risque de cyberattaque. Pratique et pédagogique, ce guide propose des recommandations concrètes d’experts en cybersécurité et des témoignages de victimes de cyberattaques. L’objectif de la BPI France et de Cybermalveillance.gouv.fr est de développer une « culture de la cyber hygiène » en entreprise.
source : https://www.preventica.com/actu-enbref-guide-cyberattaque-dirigeants-tpe-pme-eti-250521.php
Scoop.it!
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) renforcent concrètement leur partenariat en publiant «Maîtrise du risque numérique – L’atout confiance», un guide en 15 étapes pour accompagner les dirigeants des organisations publiques et privées de toutes tailles dans la construction d’une politique de gestion du risque numérique. Le guide, disponible en français et en anglais, est présenté en Allemagne à Berlin au Ferma Forum, le congrès des associations européennes de Risk management, le 18 novembre 2019.
Scoop.it!
Tout juste un an après la mise en ligne du premier volet de sensibilisation, le second volet vient de faire son apparition sur la plate-forme www.cybermalveillance.gouv.fr. Pour rappel, ce site public, lancé par le gouvernement en 2017, a pour ambition d’accompagner les victimes d’attaques informatiques, entreprises et particuliers. S’y trouvent une liste de prestataires agréés spécialistes des risques informatiques, ainsi qu’un ensemble de conseils et de fiches pratiques. C’est dans ce dernier cadre que les kits de sensibilisations’inscrivent. Ils sont composés de fiches pédagogiques, de fiches mémo, de vidéos et d’infographies.
Stéphane NEREAU's insight:
Le second volet, dont la mise en ligne est intervenue ces derniers jours, revient, quant à lui, sur :- les bonnes pratiques à adopter en matière de mises à jour correctives et évolutives des logiciels et des logiciels embarqués (systématiser les mises à jour, les planifier, s’assurer de leur origine…) ;- les bonnes pratiques à adopter en matière de sauvegarde (en faire régulièrement, identifier les données sensibles, tester les sauvegardes…) ;- les bonnes pratiques à adopter sur les réseaux sociaux (protéger l’accès aux comptes, maîtriser les publications, gérer un bad buzz…) ;- l’arnaque au faux support technique (savoir l’identifier, comment réagir…) ;- les rançongiciels (comment s’en prémunir, comment réagir en cas d’attaque…).
Scoop.it!
Retour sur l’interview de Pascal Foulon et Vincent Tostain, organisée le 25 avril dernier par le Club Risques, au sein de l’Ecole de Guerre Economique et en présence des étudiants, et jeunes professionnels de l’école.
Stéphane NEREAU's insight:
Les risques ne sont pas tant dus uniquement à leur probabilité, qu'à leur criticité pour l'entreprise. C'est l'aspect clé du management de risques : évaluer son impact sur la société. Si on a un risque peu probable mais qui peut faire couler la boite, il sera à évaluer comme prioritaire. La gestion des priorités des risques est primordiale, c'est dans la façon d'évaluer la criticité du risque qu'on va lui donner une priorité plus ou moins forte.
Scoop.it!
Le Règlement Général sur la Protection des Données (RGPD) a changé le monde ! C’est une expression populaire aujourd’hui. En réalité, le champ d’applica- tion extraterritorial du RGPD oblige les entreprises du monde entier à se conformer à ses dispositions et cela
Stéphane NEREAU's insight:
En conclusion, il convient de noter que l’Union européenne a été un grand investisseur en Amérique latine et aux Caraïbes ces dernières années, représentant environ 39 % des nouveaux investissements directs étrangers. Ce n’est donc pas un hasard si les pays d’Amérique latine ont choisi de suivre le modèle européen de protection des données. Le moment est venu d’engager des actions concrètes de coopération entre l’Amé- rique latine et l’Union européenne sur la protection des don- nées personnelles.
Scoop.it!
Le cabinet d'études Gartner a identifié 7 tendances dans le domaine de la cybersécurité et de la gestion des risques. Parmi lesquelles le recours à un SOC, l'authentification sans mot de passe ou encore l'émergence des frameworks en gouvernance des données.
Stéphane NEREAU's insight:
Le cabinet d’analystes Gartner a identifié les sept tendances en matière de sécurité et de gestion des risques pour cette année. Selon lui, ces changements stratégiques, encore peu remarqués, pourraient avoir un impact considérable sur l'industrie et causer des perturbations importantes.
Scoop.it!
En octobre 2018, lors des Assises de la sécurité, le directeur général de l’ANSSI, Guillaume Poupard, dévoilait la nouvelle méthodologie EBIOS Risk Manager. « Fruit d’un travail de deux années de l’ANSSI et du Club EBIOS, qui regroupe des experts de la gestion des risques », ce nouvel outil doit permettre de répondre aux nouveaux enjeux que sont la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et le bouleversement numérique dans tous les secteurs d’activité.
Stéphane NEREAU's insight:
La nouvelle version, EBIOS Risk Manager, est divisée en 5 ateliers : le cadrage et socle de sécurité, les sources de risques, les scénarios stratégiques, les scénarios opérationnels, et enfin le traitement du risque. Elle a été élaborée pour apprécier les risques numériques actuels et identifier les mesures de sécurité à mettre en œuvre afin de les maîtriser.
Scoop.it!
La prise de conscience semble là : le volet technique de la prévention du hameçonnage ne suffit plus. Plusieurs opérations capitalistiques l’ont récemment montré. Ainsi que la multiplication des outils.
Scoop.it!
Sensibilisés par les cyberattaques WannaCry et NotPetya en 2017, gouvernements et grandes entreprises ont réagi en créant des instances et des plans de cyberdéfense. Mais les PME restent à la traîne.
Stéphane NEREAU's insight:
La situation est très différente dans les TPE, les PME et les ETI. La plupart d’entre elles ne prennent conscience des risques que lorsqu’elles subissent une attaque. C’est le cas de Herige, groupe de 2 500 personnes actif dans le négoce, le béton et la menuiserie industrielle. « En 2015, nous avons subi plusieurs attaques de rançongiciels qui ont causé des dégâts heureusement limités. A chaque fois, nous avons pu réinstaller la sauvegarde de la veille et nous n’avons pas perdu de données essentielles », raconte Jean-Michel Soulard, responsable de l’infrastructure informatique du groupe. Ces attaques ont sensibilisé la direction qui a alloué un budget à la mise en œuvre d’une solution de sécurisation des serveurs et des postes de travail.
Scoop.it!
Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.
Stéphane NEREAU's insight:
Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.
Scoop.it!
Les notions de RPO et RTO interviennent dans un certain contexte. Pour éviter de subir des pertes de données et des pertes financières, les entreprises prévoyantes réfléchissent à ce qui pourrait se passer en cas de sinistre informatique. La mise en place d’un DRP (Disaster Recovery Plan), désigné en français plan de reprise d’activité (PRA), contribue à formaliser des processus qui permettent de reprendre rapidement les activités. Ce dispositif détermine quoi faire en termes de logistique, informatique et humain. Celles-ci favorisent l’élaboration d’une stratégie d’investissement de mesures de sécurité informatique, et aident à déterminer les actions à mettre en place dans un ordre précis lors d’une catastrophe.
Scoop.it!
Lors d’une conférence à l’École de Guerre Économique organisée par le club Cyber de l’AEGE le 6 novembre 2018, Monsieur Laurent Heslault, directeur des stratégies de cybersécurité chez Symantec, a détaillé ce qu’il appelle « L’épidigitalogie », ou l’évolution de l’épidémiologie digitale. Allant de la genèse des premiers virus au plus contemporain des maliciels, de nombreux parallèles peuvent être tirés entre l’épidémiologie et l’analyse de cyberattaques. La conférence permis de mettre en exergue notre niveau de cyberdépendance, et apporter ainsi des solutions de cyberdéfense afin de continuer à tirer parti des opportunités de la transformation numérique.
Stéphane NEREAU's insight:
La seule solution à ces menaces serait d’interagir sur deux axes. L’un en amont, avec la gestion des risques dans une optique de préparation et de prévention. Le deuxième sur la gestion des incidents, afin de détecter et de répondre aux menaces et attaques. Cela implique la maîtrise des points de contrôles (terminal, proxy, mails, clouds…), pour se protéger au mieux des malveillances virtuelles.
Scoop.it!
Directeur général exécutif de Michelin, Florent Menegaux explique pourquoi et comment le géant du pneu est devenu une entreprise numérique. |
Scoop.it!
Le centre hospitalier, qui compte près de 2 500 lits d’accueil, se remet progressivement de la paralysie informatique provoquée par un virus de type rançongiciel.
Stéphane NEREAU's insight:
9 h 45, vendredi 15 novembre. Un « cryptovirus », de type rançongiciel selon les informations du Monde, est repéré par les services informatiques de ce CHU réparti sur cinq sites, comptant plus de 10 000 salariés et près de 2 500 lits. Afin d’éviter que le virus ne se propage, l’arrêt de tous les ordinateurs est rapidement décidé. L’hôpital passe alors en mode dit dégradé. Il l’était encore lundi dans la journée.
Scoop.it!
Les PME sont en train de devenir une cible de choix pour les cybercriminels.
Stéphane NEREAU's insight:
Une étude publiée ce mardi par le Ponemon Institute et réalisée pour le compte de Keeper Security, intitulée Global State of SMB Cybersecurity Report 2019, relève en effet que 66 % des PME du monde entier, dont 76 % d'américaines, ont signalé une cyberattaque au cours des 12 derniers mois.
Scoop.it!
Vous trouverez ci-dessous nos cinq navigateurs Web préférés qui minimisent le nettoyage des données. Et pour plus de sécurité, vos données de localisation resteront confidentielles.
Stéphane NEREAU's insight:
Ainsi, quand il s’agit de protéger votre vie privée en ligne, vous pouvez utiliser Firefoxquand vous voulez la vie privée et une belle expérience; Tor ou Épique quand vous ne voulez vraiment pas être identifié; Courageux quand vous voulez une interface propre avec de bonnes fonctionnalités de confidentialité; ou Safari si vous souhaitez utiliser quelque chose d’important mais que vous souhaitez tout de même disposer d’un niveau de protection de base contre le suivi indésirable.
Scoop.it!
L’impression est encore aujourd’hui « l’oubliée » de la sécurité, alors que le multifonction est passé du statut de périphérique à celui d’objet connecté, pleinement intégré dans le Système d’Information de l’entreprise.
Stéphane NEREAU's insight:
47% des PME de moins de 50 salariés ont déclaré un cyber incident en 2018, d'après le rapport d'Hiscox.
Scoop.it!
Google vient de lancer de nombreux produits et services d’intelligence artificielle. Parmi ces nouveautés, on compte une plateforme permettant aux entreprises de créer facilement leurs propres modèles d’intelligence artificielle…
Stéphane NEREAU's insight:
Cette plateforme va permettre aux développeurs et aux Data Scientists de développer, tester et déployer des modèles d’intelligence artificielle. Elle regroupe de nombreux outils permettant de créer une IA de A à Z, en commençant par importer des données, par les étiqueter, et par les utiliser pour entraîner des modèles. Pour ce faire, les utilisateurs pourront se servir de modèles déjà existants de classification, de reconnaissance d’objet ou d’extraction d’entité, ainsi que d’outils comme AutoML et le moteur Cloud Machine Learning.
Scoop.it!
La demande en personnels qualifiés en cybersécurité ne cesse de croître dans le privé. Mais la France est loin de disposer des compétences pour répondre à cet emballement. Pour répondre à la demande, les pouvoirs publics misent sur une solution : la formation.
Stéphane NEREAU's insight:
« Le secteur de la cybersécurité souffre d'une pénurie mondiale de compétence. Ubn situation qui pourrait se transformer rapidement en crise. 1,8 million d'experts en cybersécurité devraient manquer d'ici 2022 au niveau mondial. Et la France n'est pas épargnée. Nombre d'experts prennent leur retraite, sans assez de successeurs formés pour prendre leur suite. »
Scoop.it!
Le Cesin, en collaboration avec OpinionWay, dévoile les conclusions de son baromètre annuel sur la cybersécurité pour 2019. La lecture des chiffres liés aux cyberattaques fait office de premier constat notable pour cette quatrième édition de l’enquête annuelle du Club des Experts de la Sécurité de l’Information et du Numérique.
Stéphane NEREAU's insight:
Ce constat contient deux lectures. La première se veut plutôt rassurante. Ou en tout cas moins alarmante. D’après ce rapport, le nombre de cyberattaques reste en effet relativement stable pour plus de la moitié des entreprises touchées en 2018 (53 %, + 8 points par rapport à 2017). Reste néanmoins que pour 41 % des entreprises touchées, ces cyberattaques ont augmenté l’espace d’un an. Un chiffre élevé, qui reste cependant bien moins important par rapport à 2017 (48 %).
Scoop.it!
La protection des données est un véritable défi pour les entreprises françaises. Selon une étude réalisée par Veritas, 80% d’entre elles rencontrent des problèmes pour la protection et la conformité des données. Seuls 6% affirment ne rencontrer aucun problème lié à la gestion de données.
Scoop.it!
En France, seuls 1 200 des 6 000 postes ouverts en 2017 auraient été pourvus. Et il manquerait 350 000 spécialistes de cybersécurité en Europe d’ici à 2022.
Stéphane NEREAU's insight:
Un constat s’impose : la cybersécurité souffre d’un déficit d’image auprès des jeunes, et surtout des jeunes femmes, qui ne représentent que 10 % des effectifs des formations. L’image du « geek » asocial, en sweat-shirt à capuche devant son écran a la peau dure et nuit à l’attrait du secteur.
Scoop.it!
75% des employés ont du mal à identifier les bonnes pratiques et les comportements adéquats en matière de protection des données et de cybersécurité selon une étude récente (1).
Stéphane NEREAU's insight:
Dans tous les domaines mesurés, les résultats sont moins bons que pour l'année 2017. Les domaines qui connaissent une détérioration accrue sont : la capacité à identifier les signes avant-coureurs d'une infection par malware, la détection d’une attaque de phishing et une utilisation sécurisée des réseaux sociaux. Les employés occupant des positions plus importantes dans la hiérarchie ont aussi en général plus de pratiques risquées que les employés moins expérimentés.
Scoop.it!
À l’occasion de l’entrée en application du règlement général sur la protection des données (RGPD), l’ANSSI met à disposition de toutes les entités publiques et privées concernées, un « kit de la sécurité des données ». Management du risque, bonnes pratiques en matière d’hygiène informatique, sensibilisation des collaborateurs, solutions numériques de confiance... autant d’outils utiles au renforcement de la sécurité des données à caractère personnel traitées par les entreprises, administrations et collectivités.
Stéphane NEREAU's insight:
Engagée au quotidien en faveur du renforcement de la sécurité numérique en France, l’ANSSI met à disposition des TPE/PME, grandes entreprises, administrations et collectivités de nombreux supports et outils afin d’œuvrer au renforcement de la sécurité des données à caractère personnel et de leur sécurité numérique au sens large.
|
Une porte dérobée (Backdoor) permet au criminel de prendre un contrôle partiel, voire total de vos ordinateurs, pour le: vol, modification ou suppression de fichiers, de documents personnels ou installation de nouveaux logiciels malveillants.