Cybersécurité - Innovations digitales et numériques

Le nombre total de vulnérabilités "officielles" a, apparemment, baissé de 6 % en un an, tandis que le nombre de vulnérabilités importantes a diminué de 9%. C'est a priori une bonne nouvelle, mais HP se demande si ce déclin n'est pas l'arbre qui cache la fôret et si un certain nombre de vulnérabilités non dévoilées ne serait pas transmis au marché noir en vue d'une utilisation privée et/ou malveillante. 

Le Cyber Risk Report 2013 révèle également que près de 80 % des applications examinées contenaient des vulnérabilités dont l’origine se situe à l’extérieur du code source. Ce qui veut dire que même un logiciel développé avec rigueur peut s’avérer particulièrement vulnérable s’il est mal configuré.

McAfee ne manque pas non plus d'évoquer parmi les vulnérabilités les réseaux sociaux, les bitcoins, Android, la cybercriminalité en général et le grand sujet médiatique du moment, les objets connectés. Il prédit aussi l'arrivée des « ransomware » - les attaques et demandes de rançons - dans le monde de l'entreprise. Le paysage des menaces est décidément sans fin, « en 2003 quand je suis entré chez McAfee, c'était 1 000 à 2 000 nouveaux échantillons de virus par mois, aujourd'hui c'est 130 000 par jour, note David Grout, et 64 milliards de requêtes à travers nos 8 datacenters ».

Comment préparer la société à ce basculement ?

 » La société de l’intelligence artificielle dans le cyberespace, c’est extraordinaire mais en même temps, ça représente une menace. Il faut prendre conscience de tout cela, anticiper, avoir une vision prospective à dix ou quinze ans, retrouver un regard sur le long terme qu’on a un peu perdu. En 2025, nous aurons des voitures intelligentes au point de supplanter le conducteur. L’ambition du FIC est d’être un éveilleur d’intelligence, de dire :  » N’ayons pas peur.  » Soyons clairvoyants, conscients qu’il faut préserver notre liberté par de la sécurité et que par excès de sécurité, on tue notre liberté. Il faut partager une philosophie qui s’appuie sur l’équilibre entre liberté et sécurité.  »

La troisième hypothèse s'appuie en revanche sur l'idée d'une démarche proactive de la part du secteur public et privé qui parviennent à limiter la prolifération des attaques. L'innovation s'en trouve ainsi stimulée, les nouvelles technologies générant une valeur économique de l'ordre de 9.600 à 21.600 milliards de dollars sur le reste de la décennie.

Afin de mieux pouvoir lutter contre la cybercriminalité galopante, différents acteurs français dans la lutte contre ce fléau viennent de créer un centre d'expertise, à l'occasion du Forum International de la Cybercriminalité qui se tient actuellement à Lille. Baptisé CECyF (Centre Expert de lutte contre la Cybercriminalité Français), il a pour but de développer la formation, l'éducation et la recherche dans ce domaine. Il regroupe à ce jour deux universités (Montpellier 1, Université technologique de Troyes - UTT), une école d'ingénieurs (Epita), trois services de l'Etat (Gendarmerie nationale, Enquêtes fiscales, Douanes), quatre entreprises (CEIS, Microsoft, Orange, Thales) et deux associations (Alliance internationales de lutte contre les botnets, Association francophone des spécialistes des l'investigation numérique).

l avance même que le coût moyen par victime augmente de 51% dans le monde en mettant en avant les utilisateurs de smartphone qui ont été victimes d’actes de cybercriminalité au cours des 12 derniers mois.L’Internet et la connexion ont d’un côté fait que l’individu ait accès à la bibliothèque mondial et de l’autre côté les activités malveillantes en ligne et l’évolution des nouvelles technologies affectent la sécurité individuelle des particuliers. En touchant l’individu, on touche l’entreprise car énormément de  particuliers dans le monde utilisent leur terminal mobile personnel à la fois pour leur travail et leurs loisirs. Cet état fait qu les entreprises sont exposées à de nouveaux risques de sécurité, car les cybercriminels ont la possibilité d’accéder à des informations encore plus précieuses. Sans oublier que les cybercriminels utilisent des attaques de plus en plus sophistiquées qui leur rapportent plus d’argent qu’auparavant pour chaque opération.

Dans le document qui décrit le projet CyberCrime@Octopus, on apprends que 2012 et 2013 ont marqué pour la Convention de Budapest un soutien politique, et donc un budget, pour mettre en place des outils dédiés. Une coopération accrue entre états membres portant sur l’accès aux données est notamment évoqué. Jusque là, rien de plus normal… mais le Projet CyberCrime@Octopus c’est aussi et surtout des intervenants privés. Et c’est là que ça se complique.

On parle ici d’accès transfrontalier aux données, rien de plus normal entre services européens, et puis de toutes façons, même si nos services n’échangeaient pas entre eux, il y aurait toujours le GCHQ britannique pour tout aspirer et communiquer les données des européens à la NSA.

http://bluetouff.com/wp-content/uploads/2013/12/3021_octo_summary_V7WEB.pdf

Près de 60 % des entreprises ne prennent pas en compte les aspects juridiques et assurantiels d’une éventuelle cyber-attaque. « Il est temps de passer de la théorie à la pratique régulière ! Et de la ligne Maginot à une défense en profondeur agile et adaptative », juge Luc Delpha, directeur du département Gestion des Risques et Sécurité de l’information de Provadys.

http://www.slideshare.net/slideshow/embed_code/28834490#

Selon Steria, la cyber-criminalité aurait entraîné des pertes financières de 110 milliards d'euros dans le monde. Les cyber-attaques ciblées seraient également en forte croissance (+42% en 2012). Mais, malgré tout, les entreprises européennes semblent, selon leurs déclarations, assez confiantes. Même si cette confiance a des limites qui apparaissent vite.

Télécharger l'étude complète (gratuit contre qualification)

Il n'y a pas si longtemps encore, les fautes de français ou d'accent étaient telles, les tournures de phrases tellement alambiquées, qu'on pouvait repérer l'arnaque très facilement. Ce n'est plus le cas : les pirates se sont très dangereusement professionnalisés. Ils emploient désormais des rédacteurs parfaitement francophones, secondés parfois par des juristes. Ils n'hésitent pas à capter de vrais logos pour authentifier leurs messages et poussent même parfois le vice jusqu'à rajouter les mentions légales d'usage, comme les références à la CNIL ! Même un oeil averti peut s'y laisser prendre.

http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=norton-report-2013

Aux Etats-Unis, les responsables de la Défense estiment que les attaques contre les réseaux informatiques constituent la principale menace pour le pays, devant le terrorisme, selon un sondage publié en janvier par l’hebdomadaire spécialisé Defense News.

D’un autre côté, la nomination de Patrick Pailloux s’explique surtout par la nouvelle stratégie que souhaite adopter la DGSE. À la différence des Etats-Unis, par exemple, mais aussi comme de nombreux voisins européens, la France a opté pour une séparation entre sa « lutte informatique offensive » et sa « lutte informatique défensive », la première étant exécutée au Mortier, siège de la DGSE, et la deuxième étant justement l’une des principales fonctions de l’ANSSI. « Cette nomination est dans la continuité des grands programmes mis en place à la DGSE, avec une implication plus importante dans la cybersécurité. La direction générale des services extérieurs veut rendre ses moyens encore plus efficaces. Le fait que ces deux volets soit séparés pose cependant des problèmes d’organisation. Du point de vue du citoyen, c’est en tout cas une bonne chose car cela permet d’éviter des excès comme ceux de la NSA. Les Etats-Unis se sont même posés la question de séparer ces deux volets. »

Les Français négligent totalement la sécurité de leurs tablettes, de leurs smartphones : pas de mot de passe, pas de logiciel de sécurité... Ils sont 29% à utiliser leur ordinateur à la fois pour le travail et pour le privé, quand ils ne partagent pas leur code d'accès avec leur entourage ! Ce sont là de vrais comportements à risques, qu'il va falloir bien vite corriger...

Heureusement, il existe des moyens de protection contre ce type de menaces, à commencer par une sauvegarde régulière des données. Même si un malware chiffre vos données personnelles, vous pourrez toujours les récupérer. Dans le cas contraire, vous serez piégé. Récupérer des données chiffrées par RSA 2048 bits est quasi-impossible.  Vous serez alors tenté de payer, sachant qu’il n’y a aucune garantie que les cybercriminels vous transfèrent réellement la clé pour déchiffrer vos données.

Comme pour les autres fraudes, le cybercriminel est généralement un collaborateur de l’entreprise : il est majoritairement employé par les organisations visées, surtout dans l’informatique, mais aussi dans les finances ou les fonctions opérationnelles. 67 % des fraudeurs opérant dans la cybercriminalité ont agi en collusion avec des tiers, qui eux aussi étaient généralement employés dans l’entreprise touchée. Seuls certains « hackers » tendent à se détacher par des motivations idéologiques ou politiques. Toutefois, ils semblent poursuivre, aujourd’hui, des objectifs de plus en plus souvent financiers. « Si le profil type du fraudeur ne devrait pas évoluer prochainement, les fraudes deviendront de plus en plus onéreuses et complexes pour les entreprises du fait de l’utilisation des nouvelles technologies » juge Jean-Marc Lefort Associé KPMG Forensic, département en charge des investigations de fraudes.

«Une étude menée en Afrique l'année dernière, a démontré que la prolifération des smartphones a conduit à l'augmentation de l'utilisation des réseaux sociaux comme Facebook, Twitter et Google plus. Cependant, la plupart des personnes qui y sont inscrites deviennent des cibles faciles en raison de l'absence de protection, un environnement propice pour les attaques de cybercriminalité», explique le site anglais.