Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
A l’occasion du Forum International de la Cybersécurité qui se tient en ce moment à Lille, voici quelques conseils pour mieux anticiper et gérer une cyber-attaque. Avec les nouvelles technologies et la multiplication des données, les attaques cybercriminelles contre particuliers et entreprises explosent. Parmi les secteurs les plus touchés aujourd’hui, on compte le commerce de détail traditionnel (GMS), le e-commerce, la santé, l’hôtellerie et les transports. 
No comment yet.
Sign up to comment
Scoop.it!
Des cyberattaques qui se multiplient, des escroqueries via internet de plus en plus perfectionnées et des criminels qui se professionnalisent: la menace de la cybercriminalité n’a jamais été aussi lourde, bien que les spécialistes peinent à cerner son ampleur.
Stéphane NEREAU's insight:
Aux Etats-Unis, les responsables de la Défense estiment que les attaques contre les réseaux informatiques constituent la principale menace pour le pays, devant le terrorisme, selon un sondage publié en janvier par l’hebdomadaire spécialisé Defense News.
Scoop.it!
La cybercriminalité pourrait engendrer 3.000 milliards de dollars (2.200 milliards d'euros) de perte pour l'économie mondiale d'ici à 2002, selon le Forum économique mondial.
Stéphane NEREAU's insight:
Gain potentiel de plus de 20.000 milliards de dollars
La troisième hypothèse s'appuie en revanche sur l'idée d'une démarche proactive de la part du secteur public et privé qui parviennent à limiter la prolifération des attaques. L'innovation s'en trouve ainsi stimulée, les nouvelles technologies générant une valeur économique de l'ordre de 9.600 à 21.600 milliards de dollars sur le reste de la décennie.
Scoop.it!
Le gouvernement a choisi le nom du nouveau chef de la « NSA à la française », qui remplacera Bernard Barbier à la direction technique de la Direction générale de la sécurité extérieure (DGSE). Selon nos informations, confirmées par une source ministérielle, la candidature de Patrick Pailloux, actuel directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui assure la défense de l'Etat et des entreprises contre les cyberattaques, a été retenue. Sa nomination devrait être entérinée lors d'un prochain conseil des ministres.
Stéphane NEREAU's insight:
M. Pailloux était en concurrence avec un membre actuel de la direction technique de la DGSE, un haut cadre du groupe de télécommunications Orange et l'ex-numéro deux de la direction technique de la DGSE, Philippe Duluc, aujourd'hui patron de la sécurité chez Bull après avoir occupé ces fonctions à France Télécom. Au regard du formidable poids pris par la technologie au sein du monde du renseignement et de la dépendance des Etats à la collecte, l'interception et le décryptage des données techniques à travers le monde, le directeur technique de la DGSE est devenu un personnage de premier plan, à l'image du patron de la NSA aux Etats-Unis. Plus de la moitié des effectifs de la DGSE travaillent au sein de sa direction technique, soit plus de 3 000 personnes, davantage que ce que ne veulent bien admettre les autorités.
Scoop.it!
Stéphane NEREAU's insight:
« La sécurité informatique n’est pas une science exacte et aucune organisation n’est à l’abri d’un incident de sécurité, parce que la protection absolue est devenue totalement inaccessible. En tant qu’assureur spécialiste, notre rôle est de permettre à l’entreprise de travailler sur un transfert de ces risques spécifiques face à des conséquences stratégiques pour la survie de l’entreprise », conclut François Brisson.
Scoop.it!
Stéphane NEREAU's insight:
Le problème serait avant tout financier : 65 % des entreprises déclarent que leurs moyens sont encore insuffisants pour se protéger correctement. Parmi les organisations ayant des revenus de 10 millions de dollars ou moins, ce chiffre s'élève à 71 %. Les ressources en hommes sont également défaillantes : 50 % des entreprises déclarent manquer de compétences pour se protéger correctement…
Scoop.it!
Selon une étude menée par le Cesin et Provadys, les RSSI ont des outils et des méthodes pour contrer les cyber-attaques. Mais posséder des outils ne suffit pas à être prêt.
Stéphane NEREAU's insight:
83% des entreprises n'ont pas d'équipe dédiée au traitement des cyber-attaques et 58% n'ont pas de procédure de notification en tel cas. Pourtant 52% savent qu'elles ont déjà été attaquées et 33% pensent que cela n'a pas été le cas. Les attaques sont à la fois ciblées et opportunistes pour 37% des répondants, opportunistes pour 26% et ciblées pour 25%. Ces chiffres sont issues d'une étude qui vient d'être publiée par le cabinet Provadys en collaboration avec le Cesin (Club des Experts de la Sécurité de l'Information et du Numérique).
Scoop.it!
Des cyberattaques qui recherchent le meilleur retour sur investissement, or, justement, les ordinateurs à la pomme ont tendance à souvent être choisis par des cibles de...
Stéphane NEREAU's insight:
Des pistes pour une solution
Afin d’apporter une solution à la preuve de concept qu’il vient de dévoiler, Daniel Pistelli avançait dans son post plusieurs pistes. La première impliquerait que les antivirus intègrent un mécanisme de déchiffrement afin de pouvoir reconnaître à nouveau le malware. La deuxième que ces systèmes de sécurité cherchent à trouver des segments chiffrés du code et, s’ils en trouvent, ne fassent confiance qu’aux exécutables signés par Apple lui-même. Enfin, troisième solution qu’en cas de découverte d’une partie de code chiffré, les antivirus ne laissent passer que les exécutables dont la signature de cryptographique corresponde à une clé de confiance.
Scoop.it!
En matière de sécurité, le savoir-faire des bidouilleurs informatiques est de plus en plus recherché. Une forme de réhabilitation pour ceux qui sont souvent assimilés à des pirates.
Stéphane NEREAU's insight:
Mieux vaut tard que jamais : l'heure est à la mobilisation générale. “ On manque cruellement de spécialistes, il faut briser les carcans et ne plus recruter uniquement les jeunes diplômés des grandes écoles, estime Eric Filiol, de l'Esiea. De nombreux hackers disposent d'un excellent niveau technique, mais non sanctionné d'un diplôme reconnu. ” Pour y remédier, ce spécialiste préconise de favoriser davantage l'alternance à tout âge, ainsi que la validation des acquis de l'expérience (VAE). Un pragmatisme qui a donné d'excellents résultats en dehors de nos frontières.
Scoop.it!
Stéphane NEREAU's insight:
Quels sont les mots de passe que les cybercriminels tentent d’abord d’utiliser ? Comment sensibilisez-vous vos employés à la politique de sécurité ? Vos employés ont-ils conscience des risques liés aux réseaux sociaux ? Check Point répond notamment à ces questions pour vous aider à améliorer votre sécurité dès aujourd’hui. Cet article décrit les 10 meilleures pratiques de sécurité que les petites entreprises doivent prendre en compte pour protéger leur réseau.
Scoop.it!
Aux États-Unis, les cyber-attaques coûtent en moyenne 9,4M de dollars, d’après une étude. Plus de la moitié des entreprises sondées a déjà été victime d’une infiltration ou d’un vol de données.
Stéphane NEREAU's insight:
41% des entreprises de plus de 500 employés considèrent désormais ces risques comme plus importants que des risques classiques comme les Cat’Nat’, incendies et interruptions d’activités. Et cette appréciation plus élevée du risque est partagée pour 76% des sondés qui ont déjà connu une attaque.
Scoop.it!
Le nombre de cyberattaques a atteint des sommets au deuxième trimestre de l’année en cours. Selon un rapport de l'entreprise FireHost, cette hausse s’explique par la combinaison des techniques d'intrusions.
Stéphane NEREAU's insight:
Les cyberattaques ont atteint 24 millions au cours du deuxième trimestre 2013. Cette information est révélée par une étude réalisée par une firme en sécurité. Le rapport indique que les pirates combinent plusieurs techniques pour dérober rapidement et furtivement les données comme installer des programmes malveillants sur les serveurs, assimiler de nouveaux zombies ou botnets ou tout simplement s’attaquer à site web. Le rapport ajoute que ces attaques sont de plus en plus orientées vers les réseaux des fournisseurs de services Cloud Computing.
|
Scoop.it!
La mobilisation contre les cyberattaques d'entreprise est à l'ordre du jour. L'agence nationale de sécurité des systèmes d'information (ANSSI) a identifié un peu plus de 200 entreprises et organisations publiques et privés d'importance vitale pour la ntaion, à protéger en priorité des cyberattaques.
Stéphane NEREAU's insight:
Cette responsabilité incombe en premier lieu, sur le plan opérationnel, aux directions des systèmes d'information de ces organisations et à leur responsable de la sécurité des S.I (RSSI). L'Anssi pourra décider de conduire des audits de sécurité dans ces entreprises, en cas de failles suspectées.
Scoop.it!
En 2013, le président Obama a signé le décret 13636, Improving Critical Infrastructure Cybersecurity (amélioration de la cyber-sécurité des infrastructures critiques).
Stéphane NEREAU's insight:
Mais, à la différence des entreprises américaines, les entreprises européennes seront soumises à des obligations légales directes d’améliorer leurs cyberdéfenses. La directive 20../../../EU prévoit explicitement « d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ». Et il existe une autre exigence controversée de notification des cyberattaques aux autorités nationales responsables de la sécurité des données.
La détection des modèles inhabituels de l’activité des utilisateurs et du système constitue la pierre angulaire des recommandations du NIST et un concept essentiel des nouvelles législations de l’UE. Même si ce n’est pas encore une obligation légale aux États-Unis, nous pensons que c’est une idée à explorer sérieusement en élaborant vos propres plans de sécurité informatique pour 2014, termine Norman Girard, Vice Président et directeur général Europe de Varonis.
Scoop.it!
Stéphane NEREAU's insight:
En général, ces nouveaux pirates du Net exigent une rançon de 2 à 4 Bitcoins, dont le cours oscille actuellement autour de 680 euros. Apparus en 2013 en ciblant à travers le monde des dizaines d'entreprises ayant des serveurs sur internet, les «cryptolockers» ont fait évoluer la menace en contaminant les postes de travail des ordinateurs des particuliers. Le virus, diffusé via des clefs USB infectées, des liens internet et des messages publicitaires piégés, frappe la Grande-Bretagne et les États-Unis, où 1300 attaques ont déjà été recensées mais aussi la France, qui serait le sixième pays le plus touché au monde.
Scoop.it!
Les contrôles critiques ont été développés ces dix dernières années par de nombreux experts en cyber sécurité fédéraux et civils, des chercheurs, des experts militaires ainsi que des DSI et des DSSI fédéraux qui connaissent bien les cyber attaques.
Stéphane NEREAU's insight:
Les nouveaux usages numériques accélèrent la perte de contrôle et de gouvernance. Nous constatons malheureusement en général que les RSSI disposent de moyens insuffisants et éprouvent des difficultés à piloter leur activité. De nombreuses entreprises continuent à gérer la sécurité de l’information au rythme d’une Élection présidentielle ! La vitesse de gestion de la sécurité n’a pas suivi l’accélération grandissante des cyber menaces.Dans ce contexte, la démarche des 20 contrôles de sécurité critiques du SANS Institute issue d’un consensus entre acteurs publics et privés apporte une réponse simple, mesurable, concrète et pragmatique à nos Dirigeants, afin de renforcer les systèmes de cyber défense de nos organisations.Des organisations de taille importante l’ont adoptée, déployée et en ont retiré des bénéfices conséquents.Ces démarches ont réussi pleinement car deux facteurs clefs de succès ont été mis en œuvre d’un point de vue managérial : un support très fort au plus haut niveau de l’organisation, et des récompenses fortes auprès des administrateurs informatiques. Doit-on envisager d’assigner des objectifs aux administrateurs informatiques sur l’application effective des correctifs de sécurité, et une rétribution en conséquence ?Un retour à une bonne hygiène informatique est plus qu’urgent !
Scoop.it!
Mots de passe complexes, tests d’intrusion, firewall et anti-virus… Voici 7 conseils pour se prémunir, au mieux, contre des attaques informatiques et contre l’espionnage.
Stéphane NEREAU's insight:
En cas d’attaque, les entreprises cherchent avant tout à poursuivre l’activité et à limiter les impacts sur les clients ou l’image de marque. De plus en plus souvent, elles bénéficient de l’aide de leur assureur. D’autant qu’une évolution réglementaire européenne devrait les pousser à couvrir encore mieux ces risques. Les entreprises victimes pourraient être obligées à informer les clients dont les données ont été compromises. Les professionnels incitent également les victimes à déposer plainte « Il faut lutter contre le sentiment d’impunité des criminels informatiques », explique Thomas Gayet directeur du Cert Lexsi. En pratique, c’est le commissariat ou la gendarmerie dont dépend l’entreprise qui reçoit la plainte et la transmet aux autorités spécialisées, comme le Ntech de la gendarmerie ou les brigades spécialisées de la police.
Scoop.it!
Stéphane NEREAU's insight:
Près de 60 % des entreprises ne prennent pas en compte les aspects juridiques et assurantiels d’une éventuelle cyber-attaque. « Il est temps de passer de la théorie à la pratique régulière ! Et de la ligne Maginot à une défense en profondeur agile et adaptative », juge Luc Delpha, directeur du département Gestion des Risques et Sécurité de l’information de Provadys.
Scoop.it!
Selon HP, le coût de la cybercriminalité a augmenté de 78 % en quatre ans et les délais nécessaires pour faire face aux attaques ont plus que doublé. L’étude publiée pour la quatrième fois par le Ponemon Institute confirme qu’une bonne gouvernance de la Sécurité des Systèmes d’information (SSI) et les solutions de Security Intelligence sont essentielles pour limiter l’impact des attaques, avec à la clé une économie moyenne de 4 millions de dollars par an et par entreprise.
Stéphane NEREAU's insight:
Si le coût de la cybercriminalité varie en fonction de la taille des entreprises, les petites structures affichent un coût par employé nettement plus élevé que les grands comptes.
Scoop.it!
Scoop.it!
Stéphane NEREAU's insight:
On ignore d'ailleurs toujours le type de données que le virus a permis de disséminer, car la clé de cryptage est particulièrement complexe et n'a pas encore pu être décodée. Mais les responsables de Belgacom, de même que Frank Robben, de la Commission de protection de la vie privée, ont exclu qu'il ait permis de voler des données en masse. Les flux constatés ne sont en effet pas assez importants, ont-ils précisé. Les responsables de Belgacom n'ont pas pu confirmer ou démentir l'hypothèse selon laquelle ce virus aurait été injecté par les services secrets britanniques. "Il s'agit d'une hypothèse, mais aucun fait ne nous permet à l'heure actuelle de la confirmer ou la démentir", ont-ils invariablement répondu aux commissaires qui les interrogeaient.
Scoop.it!
Que faut-il retenir de la dernière convention américaine Black Hat qui s’est tenue fin juillet à Las Vegas ? Une des présentations a particulièrement retenu l’attention. Deux chercheurs de l’entreprise spécialisée en sécurité informatique IOActive y ont dévoilé une possibilité de cyberattaque à longue distance (1) et sans passer par l’Internet. La cible : des modèles de sondes surveillant de nombreux paramètres et, en particulier, la pression et la température des flux transportés par pipelines et gazoducs.
Stéphane NEREAU's insight:
Cette énième découverte vient pourtant confirmer que les infrastructures critiques sont comme les écuries d’Augias : le chantier est colossal, les installations à sécuriser innombrables et les vulnérabilités logicielles inconnues…proportionnelles ! Un dispositif adapté ne sera pleinement efficace que si l’ensemble des industriels concernés, ainsi que leurs utilisateurs, décident de prendre pleinement la part de responsabilités qui leur incombe. L’Etat seul ne peut pas tout y compris, et peut-être surtout, en matière de sécurité nationale.
Scoop.it!
Cyrille Badeau, directeur Europe du Sud de l'éditeur de sécurité Sourcefire, fait le point sur la cybercriminalité. Il note que les cyberattaques se professionnalisent et ont une visée industrielle.
Stéphane NEREAU's insight:
Je pense qu'une grande partie de la cybercriminalité est de l'espionnage industriel. Et il s'est professionnalisé et organisé pour en tirer des profits. Imaginons que je veuille monter une entreprise et que je dispose de 1 million d'euros. Soit j'utilise ces fonds pour monter mon projet, mais si je suis sur un gros marché, ce sera difficile, d'autant plus si je dois dépenser en recherche et développement.
|
Une préparation en amont pour limiter les risques
Avant toute chose, l’entreprise doit faire un état des lieux de ses données sensibles (données clients, salariés, plans stratégiques, propriété intellectuelle, …) qui peuvent être ciblées par les hackers. Cette phase sera suivi par un audit technique régulier de son système IT (quantité des données, vulnérabilités, …), idéalement au moins une fois par trimestre. Ces mesures de prévention techniques permettront, en cas d’attaque, d’en trouver plus rapidement la source afin d’éviter sa propagation.
Nous conseillons également aux entreprises de sensibiliser leurs employés aux risques de cybercriminalité et de piratage des données. Une formation des différentes équipes et du Top management réduira ainsi les risques en permettant l’assimilation de bonnes pratiques en matière de cybersécurité : sécurisation des logins et mot de passe (un conseil : changer son mot de passe tous les mois !), accès à distance, sécurisation de son propre ordinateur (BYOD) ou de sa clé usb en cas d’utilisation professionnelle, …