Cybersécurité - Innovations digitales et numériques

l avance même que le coût moyen par victime augmente de 51% dans le monde en mettant en avant les utilisateurs de smartphone qui ont été victimes d’actes de cybercriminalité au cours des 12 derniers mois.L’Internet et la connexion ont d’un côté fait que l’individu ait accès à la bibliothèque mondial et de l’autre côté les activités malveillantes en ligne et l’évolution des nouvelles technologies affectent la sécurité individuelle des particuliers. En touchant l’individu, on touche l’entreprise car énormément de  particuliers dans le monde utilisent leur terminal mobile personnel à la fois pour leur travail et leurs loisirs. Cet état fait qu les entreprises sont exposées à de nouveaux risques de sécurité, car les cybercriminels ont la possibilité d’accéder à des informations encore plus précieuses. Sans oublier que les cybercriminels utilisent des attaques de plus en plus sophistiquées qui leur rapportent plus d’argent qu’auparavant pour chaque opération.

Pour relever ces défis liés à la cyber-sécurité, une campagne internationale de sensibilisation à la sécurisation des données sensibles est lancée par les organisations et les éditeurs de sécurité afin de limiter ces attaques et notamment les conséquences parfois irréversibles qu’elles engendrent. CyberArk propose de se projeter dans les bonnes pratiques de l’année 2014 en 10 points clés :

En cas d’attaque, les entreprises cherchent avant tout à poursuivre l’activité et à limiter les impacts sur les clients ou l’image de marque. De plus en plus souvent, elles bénéficient de l’aide de leur assureur. D’autant qu’une évolution réglementaire européenne devrait les pousser à couvrir encore mieux ces risques. Les entreprises victimes pourraient être obligées à informer les clients dont les données ont été compromises. Les professionnels incitent également les victimes à déposer plainte « Il faut lutter contre le sentiment d’impunité des criminels informatiques », explique Thomas Gayet directeur du Cert Lexsi. En pratique, c’est le commissariat ou la gendarmerie dont dépend l’entreprise qui reçoit la plainte et la transmet aux autorités spécialisées, comme le Ntech de la gendarmerie ou les brigades spécialisées de la police.

Et c’est du tout bon ! Il y a du contenu, de l’analyse (même si je ne suis pas d’accord avec tout), des débats et même des invités. Dans le dernier numéro, l’interview d’un RSSI est particulièrement intéressante et pertinente. Le podcast est par contre assez long entre 1h à 1H30 voire 2h pour le numéro de cet été. C’est dense en informations avec plusieurs interludes musicales entre les différents sujets.

Avec des attaques de plus en plus sophistiquées de type APT, il devient urgent que les organisations industrielles prennent conscience que la sécurité des environnements SCADA est essentielle. Il en va de leur pérennité. Un contrôle précis sur leurs réseaux, utilisateurs et applications leur permettra de se prémunir d’éventuels risques qu’il est facile d’éviter. Enfin, il est important de bénéficier d’une protection en temps réel pour identifier rapidement les menaces potentielles et mettre en place les outils de protection adéquats conçus par des équipes spécialisées.

Plus du tiers des Canadiens utilisateurs de téléphones intelligents rapportent avoir été victimes d'actes de cybercriminalité.

Selon le directeur régional et spécialiste de la sécurité informatique chez Symantec, Stefano Tiranardi, les usagers sont négligents et sous-estiment les risques associés à la sécurité lorsqu'ils naviguent sur le web et effectuent des transactions. Il souligne que les pirates sont de plus en plus imaginatifs.

Ces 12 derniers mois, le coût direct moyen par victime de la cybercriminalité est estimé à 383 $, soit un total de plus de trois milliards de dollars au Canada. C'est plus du double des 12 mois précédents.

Les consommateurs canadiens ont par ailleurs des comportements à risque sur les médias sociaux. Plus de 42 % des utilisateurs de réseaux sociaux ne se déconnectent pas après chaque session, et 28 % partagent leurs mots de passe avec d'autres personnes.

Ces services critiques « se connecte de plus en plus à internet, sans que l'on se soit préoccupé de leur sécurité, de la défense contre les actions malveillantes », a résumé Patrick Pailloux. « Il est essentiel que l'on se retrousse les manches, il faut agir et agir vite », a-t-il martelé. L'ANSSI a mis en ligne il y a un an un guide pratique « d'hygiène informatique » à destination des entreprises et administrations, composé de treize étapes et quarante règles concrètes et pratiques pour « assainir » leurs systèmes d'information. L'agence est rattachée au Secrétariat général de la Défense et de la Sécurité nationale, un service du Premier ministre.

Ce guide a pour vocation d’aider les entreprises à mener une démarche de sensibilisation, dans le cadre d’un accompagnement au changement le plus souvent.

Il souligne combien un projet de sensibilisation doit être réfléchi et organisé pour se donner toutes les chances de succès et délivre quelques pistes de réflexion et d’actions qui doivent être adaptées à chaque culture d’entreprise.

Au sommaire de ce guide, deux grandes parties :

Quels leviers pour sensibiliser efficacement : notions importantes sur l’agilité, la perception, l’engagement…Comment s’y prendre : les principales étapes, l’état des lieux, la préparation et la réalisations des actions, l’exploitation des résultats…

Il est vrai que la vengeance des salariés concerne souvent le patrimoine informationnel de l'entreprise. En effet, 11% se vengeraient en sortant délibérément des informations confidentielles, sans qu'un lien direct ne puisse être nécessaire entre l'incident d'origine et la nature des informations détournées. Les bases de données clients sont visées au premier chef (51% des réponses), suivies des présentations (46%), des plans stratégiques et des feuilles de route produits (18%). Les personnels les plus concernés sont aussi les plus dangereux par les informations auxquelles ils accèdent : les membres de la direction finances et les RH (23% en Europe, 42% en France) suivis des commerciaux (20% en Europe, 43% en France).

Myris, que l'on peut charger sur une clé USB pour ouvrir son compte sur tout support informatique (PC, tablette, smartphone etc..), est doté d'une technologie capable de scanner l'iris de l'utilisateur et de crypter ses données d'identification personnelles.

« La sécurité informatique n’est pas une science exacte et aucune organisation n’est à l’abri d’un incident de sécurité, parce que la protection absolue est devenue totalement inaccessible. En tant qu’assureur spécialiste, notre rôle est de permettre à l’entreprise de travailler sur un transfert de ces risques spécifiques face à des conséquences stratégiques pour la survie de l’entreprise », conclut François Brisson.

La coalition va plaider pour la mise en place d'une règle européenne obligeant les entreprises à rendre des rapports sur les données de leurs clients qu'elles livrent aux pays tiers sans leur autorisation. En outre, elle fera pression pour que les accords americano-européens de lutte contre le terrorisme (Terrorist Finance Tracking Program) et de protection des données (Safe Harbour) soient renégociés.

« Internet a commencé à se fragmenter en réseaux nationaux. Les révélations de Snowden ont renforcé la demande de règles proscrivant l’utilisation de services étrangers. Les différents pays ne sont plus disposés à laisser filtrer un seul octet d’informations en dehors de leurs réseaux. Ces aspirations vont aller croissant et des contraintes législatives vont inévitablement se traduire en barrières techniques. L’étape suivante verra très probablement des tentatives de limiter les accès aux données à l’intérieur d’un pays depuis l’étranger. A mesure que cette tendance va s’accentuer, elle pourrait à terme aboutir à l’effondrement de l’Internet actuel, qui se fractionnerait en dizaines de réseaux nationaux. Darknet, l’Internet de l’ombre, deviendrait alors le seul véritable World Wide Web », observe Alexander Gostev, expert en chef de la sécurité au sein de l’équipe Global Research & Analysis Team de Kaspersky Lab.

Plusieurs pays ont adopté ou prévoient d’adopter une législation interdisant l’utilisation de services étrangers. En novembre, l’Allemagne a annoncé que toutes les communications entre ses pouvoirs publics seraient entièrement confinées à l’intérieur du pays. Le Brésil indique son intention de construire un autre canal Internet pour ne plus avoir à utiliser celui qui passe par la Floride aux Etats-Unis.

Exploitant une faille dans le logiciel de messagerie Exchange de Microsoft, utilisé dans l'ensemble des institutions européennes, cet expert informatique a réussi à avoir accès ces derniers mois « et de manière régulière » à l'ensemble des courriels de 14 députés, assistants parlementaires et employés européens qu'il avait sélectionnés de manière aléatoire, histoire de démontrer que le système n'était pas sûr. Parmi les élus espionnés figurent également des Français tels que Jean-Jacob Bicep (Verts), Maurice Ponga (UMP-PPE) et Constance Le Grip (UMP-PPE). Selon le hacker, cette faille rend facilement accessibles les données personnelles et des dizaines de milliers de mails d'élus européens.

L’étude s’est notamment penchée sur la qualité de la formation des utilisateurs finaux aux pratiques de référence en matière de sécurité de l’information en mode Cloud. A l’heure où même les ministres français sont rappelés à l’ordre et priés d’être plus vigilants quant à la sécurité des données qui transitent via leurs smartphones, qu’en est-il des utilisateurs finaux en entreprise ?

Dans son rapport de 28 pages, elle présente Hidden Lynx comme "une organisation professionnelle" pour laquelle travaillent 50 à 100 personnes ayant les qualifications nécessaires pour infiltrer les réseaux et dérober des données.