2016RAPPORT SÉCURITÉ

Transcription

2016
RAPPORT
SÉCURITÉ
1. INTRODUCTION ET MÉTHODOLOGIE 04-11
2. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS 12-19
3. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 20-27
4. ÉTUDE DES MODÈLES D'ATTAQUES 28-37
5. RÉPERCUSSIONS DE L'INSÉCURITÉ 38-47
6. CONSERVEZ UNE LONGUEUR D'AVANCE 48-55
RÉFÉRENCES 56-58
2016
RAPPORT
SÉCURITÉ
CHECK POINT – RAPPORT SÉCURITÉ 2016 | 3
1
INTRODUCTION ET
MÉTHODOLOGIE
« Nous subissons la technologie alors que nous voulons juste quelque
chose qui fonctionne. »
Douglas Adams, auteur et satiriste
4 | CHECK POINT – RAPPORT SÉCURITÉ 2016
«
Le prix de la plus importante faille de 2015 est décerné à l'OPM
(le Bureau de la gestion du personnel, une agence du gouvernement
américain). Des pirates originaires de Chine sont restés dans les réseaux d'OPM
pendant plus d'un an avant d'être découverts. Lorsque la brèche a finalement été
découverte, les premières estimations ont placé le nombre de victimes à quatre millions.
Ce chiffre a ensuite dépassé 21 millions, dont environ 19 millions de personnes qui ont
demandé des autorisations gouvernementales de sécurité et ont été soumises à des
vérifications d'antécédents, et 1,8 million de conjoints et partenaires de ces candidats.
«
Les pirates ont mis la main sur un trésor de données confidentielles, y compris les
formulaires SF-86 des personnes qui ont demandé des autorisations. Ces formulaires
peuvent contenir une grande quantité de données confidentielles, non seulement
sur les employés qui cherchent à obtenir une autorisation de sécurité, mais
également sur leurs amis, leurs conjoints et autres membres de leur famille.
— Wired Magazine, 23 décembre 2015
Même si plusieurs failles notables se sont
protéger votre entreprise, vos données et vos
produites en 2015, la faille OPM a suscité
clients, nous avons tissé des recommandations
beaucoup d'attention car il a fallu plus d'un an
dans chacun des chapitres du rapport. Chaque
pour la découvrir, et les répercussions de cette
faille est un apprentissage qui nous incite à mieux
faille particulière sont considérables. En lisant
nous protéger. Nous avons tous à apprendre de
le Rapport Sécurité de cette année, il apparaît
l'expérience d'OPM.
clairement que le modèle de protection de la
sécurité qui réagit aux menaces ne suffit plus à
de
protéger les entreprises d'aujourd'hui. La défaite
auprès du Bureau de la gestion du personnel,
devient une possibilité réelle. Ce type de faille
le
peut arriver à tout le monde. Pour vous aider à
humaines du gouvernement des États-Unis.
En avril 2015, près de 21 millions
dossiers
personnels
référentiel
central
ont
des
été
dérobés
ressources
INTRODUCTION ET MÉTHODOLOGIE | 5
Ces
formulaires
l'extraction de données pendant plusieurs mois.
détaillés des demandes d'autorisation de sécurité
dossiers
comprenaient
À mesure que les réseaux se développent et sont
ainsi que les empreintes digitales de 5,6 millions
segmentés, puis reconnectés, il peut être difficile
d'employés.
du
de maîtriser le schéma des ressources du réseau.
gouvernement, il s'agit de l'une des plus grandes
Le volume des attaques ciblant les frontières de
fuites de données gouvernementales de l'histoire
plus en plus floues du réseau complique encore
des États-Unis.
plus les choses. La faille OPM montre clairement
Selon Andy Ozment, un représentant du
la nécessité d'une architecture de sécurité unifiée
Département de la sécurité intérieure des États-
couvrant tous les environnements serveurs et tous
Unis, la faille a débuté près d'un an avant sa
les types de postes, avec des mesures de sécurité
découverte. Les agresseurs ont d'abord obtenu
préventives en temps réel ainsi que des mesures
des identifiants utilisateur valides pour accéder
qui appliquent uniformément la prévention des
au système, probablement par des méthodes
fuites de données. L'analyse proactive des réseaux
d'ingénierie sociale. Une fois à l'intérieur, ils ont
internes, la segmentation des éléments du réseau
activé un logiciel malveillant qui a ouvert une
et l'authentification multifacteurs, contribuent
porte dérobée pour garantir un accès continu. Ils
également à assurer la sécurité. Celles-ci doivent
ont ensuite élevé leurs privilèges pour accéder à
faire partie de la posture de sécurité de chaque
d'autres systèmes d'OPM.
entreprise.
Cet incident illustre la manière dont
l'analyse des méthodes utilisées en dit long sur
une modeste brèche dans un réseau peut se
un agresseur et ses motivations, et comment vous
développer à grande échelle pour conduire à
pouvez mieux vous en protéger à l'avenir.
Selon
des
les
représentants
Lorsqu'une
attaque
est
réussie,
À votre tour d'implémenter
la prévention
Toutes les entreprises peuvent tirer des enseignements de la faille OPM.
Empêcher les attaques avant qu'elles n'infligent des dégâts et utiliser une
architecture de sécurité unifiée pour simplifier et renforcer la sécurité est
essentiel dans le paysage des menaces d'aujourd'hui.
Segmentez votre réseau et appliquez des politiques de sécurité uniformes à tous
les segments à l'aide d'une architecture de sécurité unifiée.
Les correctifs ne sont pas entièrement efficaces. Utilisez les correctifs virtuels
du système de prévention d'intrusions pour assurer une protection entre les phases
de mises à jour périodiques.
Stoppez les infections de logiciels malveillants en temps réel grâce à la prévention
des menaces au niveau du processeur et du système d'exploitation.
Supervisez tous les segments réseau via une console unique.
6 | INTRODUCTION ET MÉTHODOLOGIE
UNE JOURNÉE
TYPIQUE EN
ENTREPRISE
MINUTES
TOUTES LES 81 SECONDES
Un logiciel malveillant connu est téléchargé
TOUTES LES 4 MINUTES
Une application à haut risque est utilisée
SECONDES
Un bot communique
avec son serveur de
commande et de contrôle
Un logiciel malveillant
connu est téléchargé
Un poste accède à
un site web malveillant
Un événement d’émulation
de menace se produit
Des données confidentielles sont
envoyées à l’extérieur de l’entreprise
1.1
SOURCE : Check Point Software Technologies
ENTREPRISES ÉTUDIÉES PAR RÉGION
EMEA
AMÉRIQUES
35 %
26 %
APAC
1.2
39 %
SOURCES
DE L'ÉTUDE
CHECK POINT
entier tout au long de 2015 : les conclusions
Pour conserver une longueur d'avance, nous
des tendances externes et les connaissances de
avons
nos équipes de recherche pour développer les
recueilli
des
données
d'événements
provenant de différentes sources dans le monde
de plus de 1 100 rapports Security Checkup,
des événements découverts via ThreatCloud
(qui est connecté à plus de 25 000 passerelles
dans le monde), et plus de 6 000 rapports de
passerelles transmis à Threat Emulation Cloud.
Nous avons combiné ces données avec l'analyse
recommandations de chaque section.
ENTREPRISES ÉTUDIÉES PAR SECTEUR
?
40%
INDUSTRIE
23%
AUTRE*
15%
FINANCE
13%
GOUVERNEMENT
4%
COMMERCE DE DÉTAIL ET DE GROS
4%
TÉLÉCOM.
1%
CONSEIL
* Juridique, loisirs/hospitalité, publicité/medias, placements, autres
1.3
STRUCTURE
DU RAPPORT
SÉCURITÉ 2016
les tendances d'attaques, rencontrés par les
entreprises, ainsi que l'impact du nombre croissant
d'appareils
mobiles
dans
l'entreprise.
Nous
examinons également les impacts des attaques
réussies sur les entreprises et les dépenses
supplémentaires qui vont bien au-delà des coûts
évidents de désinfection
Notre Rapport Sécurité 2016 se penche sur les
logiciels malveillants connus et inconnus, et
de logiciels malveillants et comment ils profitent
Le chapitre 2 analyse les différents types
75 %
des entreprises
ont subi
des infections
de bots
82 %
des entreprises
ont accédé à
un site web
malveillant
88 %
des entreprises
ont subi un
incident de fuite
des entreprises
de données
ont téléchargé
un fichier
malveillant
89 %
94 %
2015
EN
CHIFFRES
des entreprises
ont utilisé au
moins une
application à
haut risque
400 %
1.4
1,5 milliard
d’augmentation
de fichiers analysés
des fuites de
dans ce rapport
données durant
les trois dernières
années
du comportement des utilisateurs. La majorité des
pourcentage nettement plus élevé d'utilisateurs
failles à grande échelle de 2015 a été rendue possible
actifs et de l'abondance des ressources. Quant
par l'exploitation de vulnérabilités existantes, des
aux vecteurs d'attaques préférés des pirates,
logiciels malveillants connus et, bien sûr, des
l'exécution de code telle que ROP (return-
méthodes d'ingénierie sociale. Même si le nombre
oriented programming) est apparue comme
d'utilisateurs qui tente d'accéder à des sites
étant le vecteur d'attaque le plus populaire parmi
malveillants augmente, le service informatique
les pirates, puisque le déploiement de parades
parvient à les en empêcher légèrement plus
aux vulnérabilités de dépassement de mémoire
rapidement, ce qui limite l'efficacité de ce vecteur
tampon a rendu les vecteurs d'attaque les plus
d'attaque. Les infections de bots diminuent, mais
populaires de 2014 moins attrayants. Dans
la fréquence de leurs tentatives de communication
l'ensemble, les vulnérabilités se sont légèrement
par jour est nettement plus élevée.
repliées en 2015, mais les éditeurs comptant les
Le chapitre 3 analyse la manière dont
vulnérabilités les plus critiques ont changé. Les
la révolution mobile continue d'engendrer de
tendances peuvent changer, mais si les entreprises
nouvelles possibilités d'attaque à mesure qu'un
ne parviennent pas à implémenter des correctifs
plus grand nombre d'appareils mobiles échappant
vitaux, les vecteurs d'attaques ne s'éteindront
à tout contrôle entre dans l'entreprise. Les
jamais vraiment.
entreprises réalisent qu'elles ne peuvent pas
empêcher facilement les employés de connecter
soient bien documentés, l'impact financier global
leurs appareils personnels aux ressources de
est beaucoup plus élevé. Dans le chapitre 5, nous
l'entreprise, car elles ont découvert que l'utilisation
explorons les répercussions de l'insécurité, et
des appareils personnels en entreprise (BYOD)
présentons des exemples dans les secteurs de
augmente
productivité.
la finance, de la santé et de l'industrie. Maintenir
Malheureusement, la plate-forme mobile est une
la vitesse de l'activité de l'entreprise tout en la
cible attrayante pour les agresseurs, la plupart des
protégeant est votre meilleure stratégie financière.
entreprises n'ayant pas implémenté de contrôles
pour les protéger efficacement.
maîtriser tous les domaines : logiciels malveillants,
Dans le chapitre 4, nous examinons
tendances d'attaques, révolution mobile, et être
les modèles d'attaques par région du monde et
conscient de l'impact de tout manquement. Vous
par type. Les États-Unis sont toujours en tête
trouverez nos recommandations dans chaque
pour l'hébergement de sites web et de fichiers
chapitre pour vous aider à conserver une longueur
malveillants, en grande partie en raison du
d'avance sur les cybercriminels.
considérablement
la
Bien que les coûts initiaux d'une brèche
Conserver une longueur d'avance signifie
« Toute technologie suffisamment avancée est indiscernable de la magie. »
Arthur C. Clarke, auteur de science-fiction
2
L'ARSENAL
D'ATTAQUES :
LOGICIELS
MALVEILLANTS
CONNUS ET
INCONNUS
« En omettant de vous préparer,
vous vous préparez à l'échec. »
Benjamin Franklin, politicien et auteur
Logiciel malveillant Logiciel malveillant Zero-day
connu
inconnu
Un logiciel malveillant identifié
par une signature.
De nombreux outils de sécurité
utilisent des techniques d'analyse
par signature et prennent des
décisions quant au blocage, mais
obligent les utilisateurs à mettre
à jour la base de données des
signatures de leur pare-feu et de
leur antivirus.
Un logiciel malveillant non
identifié pour lequel il n'existe
pas de signature.
Il suffit simplement d'effectuer
une petite modification dans un
logiciel malveillant connu ou
le reconditionner avec du code
malveillant différent pour créer
un logiciel malveillant inconnu.
Cette nouvelle version inconnue
peut alors contourner les défenses
reposant sur des signatures.
Une exploitation de
vulnérabilité qui tire parti de
failles de sécurité inconnues
pour lesquelles il n'existe
aucune protection.
La première étape d'une attaque consiste à amener
un logiciel malveillant au travers des défenses
malveillants sont lancés chaque jour.1 L'enquête
de sécurité. En 2015, de nombreuses attaques
de Verizon sur les fuites de données en 2015
différentes ont permis d'accomplir cela. La plupart
estime que près de 90 pour cent des attaques de
des logiciels malveillants se cache dans du trafic
2015 ont utilisé une vulnérabilité existant depuis
légitime ou des pièces jointes, ou exploite les
2002. Le tout dernier rapport sur les risques de
fonctions légitimes de contrôle ou d'accès au réseau.
cybersécurité de HP2 affirme que les dix premières
Que ce soit dans un lien, dans un document, ou en
vulnérabilités exploitées en 2015 étaient âgées de
exploitant une vulnérabilité du shell, les agresseurs
plus d'un an, et que 29 pour cent des attaques ont
utilisent différentes méthodes de pénétration.
utilisé un vecteur d'infection de 2010 pour lesquels
Indépendamment de la méthode d'entrée,
il existe deux différents correctifs. Bien que le taux
nous pouvons catégoriser les logiciels malveillants
de logiciels malveillants inconnus soit à la hausse,
selon trois types de base : logiciels malveillants
les vecteurs connus continuent de dominer le
connus, inconnus et zero-day.
paysage des menaces.
Près d'un million de nouveaux logiciels
TOUTES LES 5 SECONDES, UN UTILISATEUR ACCÈDE
À UN SITE WEB MALVEILLANT.
L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 13
Les prévisions du jour pour les datacenters
sont nuageuses. Cisco estime que les
datacenters dans le Cloud traiteront plus
de 86 pour cent des charges de travail
informatiques en 2019.3 Selon RightScale,
95 pour cent des entreprises emploient déjà
des plates-formes dans le Cloud, et utilisent en
moyenne 3 Clouds publics et 3 Clouds privés.4
En dépit de la migration rapide
vers le Cloud, peu de professionnels de
l'informatique considère que le transfert des
services dans des environnements de Cloud
public et privé virtualisés pourrait entraîner
des turbulences pour leur sécurité. La cause
des turbulences est la transition du modèle de
trafic de données nord/sud des datacenters
traditionnels vers le modèle est/ouest des
environnements de Cloud public, à mesure que
les charges de travail sont transférées hors site
dans des Clouds publics.
Cloud :
votre trafic de
données pourrait
ne pas prendre
le bon chemin
Vous direz ce que vous voudrez des
datacenters traditionnels, ils ajoutent plusieurs
mois au déploiement de nouvelles applications
et ne sont pas très évolutifs. Ils nécessitent
également une tonne d'interventions manuelles
pour fonctionner. Mais en termes de sécurité,
les datacenters traditionnels sont assez
performants lorsqu'une passerelle de sécurité
supervise les connexions entrantes. En effet,
dans les datacenters traditionnels, le trafic
se déplace du nord depuis les serveurs vers
la passerelle de sécurité et du sud depuis la
passerelle vers les serveurs. Le trafic peut
même suivre des trajets nord/sud en « épingle
à cheveux » qui vont d'un serveur à une
passerelle puis vers un autre serveur au sein
du datacenter, afin que le trafic interne puisse
être inspecté.
Cependant, dans les réseaux virtualisés
ou logiciels déployés dans des environnements
de Cloud privé, jusqu'à 80 pour cent du
trafic se déplace d'est en ouest entre les
applications virtualisées et différents secteurs
du réseau. Les applications virtualisées
peuvent migrer d'un serveur à un autre en
fonction de l'utilisation des ressources. Dans
ces conditions, la majorité du trafic contourne
entièrement la passerelle de sécurité au niveau
du périmètre. Les applications mobiles, les
applications dans le Cloud, les applications
des partenaires et même les applications
hébergées des clients, peuvent connecter des
services à des utilisateurs à l'extérieur du
datacenter via différentes voies non surveillées
par les contrôles de sécurité du périmètre.
Lorsque des agresseurs parviennent à
compromettre l'un des services web mineurs
d'une entreprise par un logiciel malveillant,
l'ensemble du réseau, y compris les services de
base, sont menacés.
Par conséquent, pour maintenir
la sécurité informatique dans les Clouds
virtualisés publics et privés, il est utile de
penser à segmenter votre réseau et vos
applications à l'aide des mêmes fonctionnalités
de sécurité que les passerelles physiques,
mais en ajoutant la prise en charge flexible de
la micro-segmentation logicielle, qui peut être
gérée de manière centralisée. Une meilleure
visibilité sur les applications est également
critique pour protéger les services dans le
Cloud qui se déplacent dans de nouvelles
directions en raison des domaines et des
plates-formes dans le Cloud.
14 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS
PLUS D'APPAREILS,
DONC PLUS DE
FAÇONS D'ENTRER
augmente. En 2015, 89 % des entreprises ont
téléchargé un fichier malveillant, contre 63 % en
2014. En 2015, les entreprises ont téléchargé des
logiciels malveillants quatre fois plus souvent,
toutes les 81 secondes, plutôt que toutes les
6 minutes en 2014.
L'entreprise d'aujourd'hui doit protéger un nombre
de télétravailleurs en augmentation spectaculaire,
plusieurs sites, des applications dans le Cloud,
et bien plus d'appareils que jamais auparavant.
Le nombre de points d'entrée réseau nécessitant
une protection continue d'augmenter. Chaque
point d'entrée filaire et sans fil, les serveurs et
l'infrastructure qui hébergent les applications
d'entreprise, et les outils de prévention des
menaces reposant sur des signatures qui les
protègent, ont constamment besoin de correctifs et
de mises à jour.
La gestion des correctifs de sécurité
critiques continue d'être un problème en 2015.
DISCIPLINE :
MEILLEURE, MAIS
PAS ENCORE
SUFFISANTE
UN UTILISATEUR TÉLÉCHARGE
UN LOGICIEL MALVEILLANT
2.1
Notre étude montre que les entreprises réussissent
un peu mieux à empêcher les utilisateurs d'accéder
à des sites malveillants. En 2015, seulement 82 % des
entreprises ont accédé à un site malveillant,soit un
entreprises réussissent à mieux bloquer l'accès
peu moins que les 86 % de 2014. Malheureusement,
aux sites et aux fichiers malveillants, le volume
d'autres indicateurs ne sont pas aussi positifs.
des attaques donne l'avantage aux agresseurs.
Dans les entreprises, les utilisateurs
Les entreprises doivent évaluer et filtrer de plus
accèdent à un site web malveillant cinq fois plus
importants volumes de contenus potentiellement
souvent en 2015, toutes les 5 secondes, plutôt que
malveillants tout en maintenant la productivité des
toutes les 24 secondes l'année précédente.
utilisateurs. Elles doivent instantanément isoler les
logiciels malveillants en temps réel pour empêcher
Plus l'accès est fréquent, plus le nombre
de logiciels malveillants affectant les entreprises
Qu'est-ce que cela signifie ? Alors que les
leur propagation et leur impact négatif.
ATTAQUES DE BOTS RECONNUS EN 2015
2.2
FAMILLE
DOMMAGES
POURCENT.
SALITY
Dérobe des données confidentielles
18,6 %
CONFICKER
Désactive les services de sécurité du système et fournit un accès à distance
18,6 %
ZEROACCESS
Permet des opérations à distance et télécharge des logiciels malveillants
6,7 %
CUTWAIL
Diffuse du spam
5,1 %
GAMARUE
Ouvre une porte dérobée pour des attaques
3,0 %
ZEUS
Dérobe des identifiants bancaires
2,7 %
LDPINCH
Dérobe des données confidentielles
2,1 %
DELF
Dérobe des identifiants
1,1 %
RAMNIT
Dérobe des identifiants bancaires
1,0 %
GRAFTOR
Télécharge des fichiers malveillants
0,9 %
PERSISTANCE
DES BOTS
Bien que les niveaux d'infections de bots
ont diminué de près de 10 % en 2015 par rapport
à 2014, ces chiffres restent inquiétants. Près de
75 % des entreprises étudiées ont été infectées par
des bots en 2015, et 44 % des bots restaient actifs
Les bots restent une méthode d'attaque préférée
pendant plus de quatre semaines.
pour les agresseurs. Semblable à des vers ou des
chevaux de Troie, les bots exécutent une variété de
informations
tâches automatisées une fois parvenus à l'intérieur
identifiants, désactivent les services de sécurité du
d'un réseau, et communiquent régulièrement. Ils se
système, et fournissent un accès à distance pour
répliquent sur les réseaux et les appareils adjacents
des attaques. Les bots effectuent également des
ou se projettent à l'extérieur du réseau infecté. Ils
opérations à distance et téléchargent des logiciels
envoient du spam ou participent à des attaques de
malveillants supplémentaires.
déni de service et autres types d'attaques.
Certains bots restent dormants jusqu'à
montre que quatre bots spécifiques, Sality, Conficker,
ce qu'ils soient activés à distance via une action
ZeroAccess et Cutwail, étaient responsables de
prédéterminée sur le poste de leur victime ou
50 % des attaques de bots reconnues en 2015. Fait
à une date ultérieure spécifique. Malgré leurs
intéressant, ces bots proviennent tous de logiciels
différences, les bots communiquent généralement
malveillants bien connus.
Les attaques de bots dérobent des
confidentielles
telles
que
des
Une analyse des données d'attaque des bots
avec un serveur de commande et de contrôle pour
signaler l'état de leur activation et recevoir des
instructions. Ces communications peuvent être
isolées, surveillées et bloquées.
En 2015, un bot typique tentait de
communiquer avec son serveur de commande et
de contrôle plus de 1 630 fois par jour, soit une fois
toutes les 52,8 secondes. Cette fréquence continue
d'augmenter : 12 % de plus que l'année précédente,
LES BOTS ESSAIENT DE
COMMUNIQUER AVEC DES
SERVEURS DE COMMANDE ET DE
CONTRÔLE PLUS DE 1 630 FOIS
PAR JOUR, SOIT TOUTES LES
52,8 SECONDES
et 95 % de plus qu'en 2012.
274 NOUVEAUX LOGICIELS
MALVEILLANTS INCONNUS
ONT ÉTÉ DÉCOUVERT
CHAQUE MINUTE EN 2015
HAUSSE
CONTINUE
DES LOGICIELS
MALVEILLANTS
INCONNUS
Dans
l'ensemble,
l'utilisation
de
logiciels
malveillants inconnus par des agresseurs est
restée à des niveaux historiquement élevés, en
légère croissance en 2015 selon AV-TEST.5 En
75 %
DES ENTREPRISES ÉTUDIÉES
ÉTAIENT INFECTÉES PAR DES BOTS
52%
DES PASSERELLES ONT
TÉLÉCHARGÉ AU MOINS UN
FICHIER INFECTÉ PAR UN LOGICIEL
MALVEILLANT INCONNU
2015, près de 144 millions de nouveaux logiciels
malveillants ont été découverts : 274 nouveaux
logiciels malveillants inconnus ont été produits et
lancés toutes les minutes en 2015.
Au cours de 2015, Check Point a analysé
plus de 6 000 passerelles, découvrant que 52,7 %
d'entre elles ont téléchargé au moins un fichier
infecté par des logiciels malveillants inconnus. En
971
LOGICIELS MALVEILLANTS
INCONNUS FRAPPENT LES
ENTREPRISES TOUTES LES HEURES
moyenne, 2 372 fichiers infectés ont été signalés
par passerelle.
Du côté des utilisateurs, les attaques
étaient plus fréquentes et variées. Avec plus de
971 téléchargements de logiciels malveillants
inconnus par heure, soit 9 fois plus que les
106 téléchargements
par
heure
de
l'année
précédente, de nombreuses entreprises ont du mal
à suivre.
La plupart des utilisateurs savent que les
28 %
DES FICHIERS INFECTÉS PAR DES
LOGICIELS MALVEILLANTS SONT
DES FICHIERS SWF (FORMAT DE
FICHIER FLASH)
risques d'infections sont plus élevés pour certains
types de fichiers. Comme prévu, les fichiers .exe
2.3
représentaient près de 30 % des fichiers infectés, et
ÉTAT DE LA
PROTECTION
les formats de fichiers archives tels que .zip et .jar
représentaient plus de 16 % en 2015. Le nombre de
logiciels malveillants continue de croître dans les
types de fichiers auxquels les utilisateurs font le
plus confiance, tels que les fichiers Microsoft Office,
Même si les taux d'attaques et d'infections en 2015
PDF ou Flash, à mesure que les pirates profitent de
n'ont pas augmenté au même rythme exponentiel
ces types de fichiers moins menaçants. En 2015, les
qu'en 2013 et 2014, ils restent néanmoins stables.
formats de fichiers Microsoft Office représentaient
Le taux d'infections a même légèrement diminué
plus de 9 % des fichiers malveillants rencontrés, et
en raison de l'utilisation de meilleures ressources
les fichiers PDF représentaient 7,5 %.
de protection et de la sensibilisation des
Flash a continué d'être un mécanisme de
utilisateurs. L'érosion continue du périmètre du
diffusion de logiciels malveillants, représentant
réseau et l'augmentation du nombre d'appareils
28 % des fichiers infectés par des logiciels
accédant aux réseaux internes continuent de
malveillants
compliquer la protection.
inconnus.
Les
utilisateurs
sont
beaucoup moins susceptibles de soupçonner
une infection lorsque les logiciels malveillants
Cloud, de l'Internet des objets et des datacenters
sont intégrés à un fichier Flash. Les infections
hybrides, les outils de cybersécurité doivent fournir
attribuées aux publicités malveillantes et aux
un contrôle granulaire sur tous les segments et
téléchargements
les
les environnements réseau. Les techniques de bac
utilisateurs à des logiciels malveillants plus invasifs
à sable traditionnelles ne sont plus une option,
sans qu'une action spécifique ne soit requise.
mais elles imposent des délais de traitement.
malveillants
Pour se protéger des attaques d'aujourd'hui,
inconnus dans une attaque augmente les chances
l'accent est mis sur la vitesse et la prévention.
de réussite pour les cybercriminels. Grâce
Les nouvelles techniques de protection analysent
aux logiciels malveillants inconnus, les pirates
les
travaillent plus intelligemment et ont besoin de
d'exploitation et du processeur pour stopper les
moins de tentatives pour rencontrer plus de succès.
logiciels malveillants lors de la phase d'exploitation
La création de logiciels malveillants inconnus
d'une vulnérabilité avant qu'ils n'aient l'occasion de
est plus facile que jamais. Il suffit d'apporter
se déployer.
une légère modification à un logiciel malveillant
existant pour créer une nouvelle variante inconnue
connues,
et contourner les systèmes antivirus reposant sur
une approche multicouches pour protéger les
des signatures connues.
entreprises. Bien qu'aucune technologie ne puisse
Avec près de 12 millions de nouvelles
fournir une protection complète contre tous les
variantes de logiciels malveillants découvertes
vecteurs de menaces, une approche bien conçue
chaque mois, plus de nouveaux logiciels malveillants
combinant plusieurs méthodes de protection et de
ont été découverts au cours des deux dernières
détection peut minimiser la réussite des attaques.
années que dans les 29 années précédentes.6
Avec des protections supplémentaires au stade de
automatiques
L'utilisation
de
logiciels
exposent
Dans le paysage actuel sans frontières du
comportements
au
niveau
du
système
Le fort volume et la combinaison d'attaques
inconnues
et
zero-day,
nécessitent
la post-infection, les entreprises peuvent limiter les
dommages et les mouvements est-ouest.
4 FOIS PLUS DE TÉLÉCHARGEMENTS
DE LOGICIELS MALVEILLANTS EN 2015
L'informatique évolue rapidement et le paysage des menaces se transforme lui aussi.
Ce changement nécessite une architecture de sécurité multicouches comprenant
la prévention des menaces en temps réel et l'administration unifiée couvrant les
environnements virtuels, mobiles et dans le Cloud.
PRÉVENTION
1
DÉPLOYEZ UNE CYBERSÉCURITÉ
MULTICOUCHES
La sécurité devrait être implémentée en
de
multiples
couches
qui
coordonnent
automatiquement les différentes protections,
en intégrant notamment : une passerelle de
sécurité, des fonctions de prévention des menaces
avancées, de contrôle des applications, de prise
en charge des identités, de filtrage des URL,
de prévention d'intrusions, de protection de la
messagerie, antispam, antibots et antivirus.
2
STOPPEZ LES LOGICIELS
MALVEILLANTS ZERO-DAY
Les techniques d'évasion inconnues rendent les
bacs à sable traditionnels inefficaces. La prévention
des menaces en temps réel qui stoppe les logiciels
malveillants dès le premier contact est la nouvelle
norme de prévention des menaces. Cependant,
même le meilleur bac à sable pourrait laisser
passer une menace intégrée dans un document.
La suppression des contenus actifs des documents
évite les menaces cachées et donne aux utilisateurs
un accès rapide aux contenus sains.
3
UTILISEZ DES CORRECTIFS
VIRTUELS
La correction des logiciels est une pratique
nécessaire, mais elle est insuffisante pour stopper
les menaces. Tout d'abord, il n'existe pas de
correctifs pour les vulnérabilités zero-day qui n'ont
pas encore été découvertes par les chercheurs.
Ensuite, pour les vulnérabilités découvertes, les
éditeurs de logiciels ont besoin de temps pour
créer et diffuser des correctifs, ce qui laisse les
réseaux ouverts à des attaques. Enfin, les équipes
informatiques ont également besoin de temps pour
appliquer les correctifs.
Les correctifs virtuels utilisent le système de
prévention d'intrusions pour protéger contre les
attaques qui exploitent des vulnérabilités zero-day
et connues, qui ne peuvent être corrigées ou qui
n'ont pas encore été corrigées.
ARCHITECTURE
1
SIMPLIFIEZ L'ADMINISTRATION
DE LA SÉCURITÉ
L'utilisation de plusieurs consoles pour administrer
la sécurité de chaque segment réseau est inefficace.
Elle conduit à des erreurs de configuration et
des incohérences entre les couches de sécurité.
L'administration des fonctions de sécurité, des
segments et des environnements via une seule
console permet de réduire les erreurs lors de la
coordination des politiques de sécurité des couches
de protection.
2
UNIFIEZ LES
CONTRÔLES
PRENEZ DES MESURES
RECOMMANDATIONS
Implémentez des contrôles unifiés qui s'étendent
à tous les réseaux, systèmes, postes et
environnements, y compris traditionnels, virtuels,
mobiles, hybrides, dans le Cloud, et les objets
connectés.
POUR EN SAVOIR PLUS
checkpoint.com/sandblast
3
UN APPAREIL POUR
USAGE PERSONNEL
ET PROFESSIONNEL
« Je reçois des emails donc j'existe. »
Scott Adams, dessinateur, créateur de Dilbert
NOMBRE D’UTILISATEURS MONDIAUX (MILLIONS)
2 000
1 800
1 600
1 400
1 200
1 000
800
600
400
200
0
Mobile
Fixe
2007
2008
2009
2010
2011
3.1
2012
2013
2014
2015
SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014
Plus puissants que jamais, les appareils mobiles
par l'entreprise, les employés travaillent à partir
améliorent continuellement l'accessibilité et la
de leurs appareils personnels, et accèdent à des
productivité des employés. Ils sont de plus en plus
informations personnelles sur leurs appareils
abordables, et la plupart des employés gardent
professionnels, sans nécessairement réfléchir aux
leurs appareils mobiles sur eux tout au long de
conséquences.
leur journée de travail, qu'ils les utilisent ou non
pour leur travail. Avec une telle omniprésence,
de 394 % et l'utilisation de tablettes a augmenté
les appareils mobiles s'intègrent dans le tissu
de plus de 1 700 % au cours des quatre dernières
des entreprises de manières visible et invisible.
années. Ensemble, ces plateformes représentent
L'utilisation de smartphones a augmenté
60 % du temps de
À mesure que
le nombre d'utilisateurs
mobiles
augmente,
un tournant dans les
habitudes
d'utilisation
s'opère, comme on peut
le voir dans l'enquête
de comScore en 2014.
Tout d'abord, le mobile
a dépassé l'ordinateur
pour
la
IL SUFFIT D'UNE INFECTION
SUR UN APPAREIL POUR
COMPROMETTRE DES
DONNÉES ET DES
RÉSEAUX PERSONNELS
ET PROFESSIONNELS
consultation des médias
troisième étude menée
par comScore et Yahoo
Flurry Analytics montre
qu'en
moyenne,
Américains
les
passent
162 minutes par jour à
utiliser des appareils
mobiles
consultation
Une
numériques.2
pour
toutes
des médias et la navigation web. Parallèlement
sortes d'activités. Ensemble, ces trois tendances
à cela, les utilisateurs brouillent facilement les
mettent en évidence un désir croissant d'accès
lignes entre leur usage personnel et professionnel
instantané et continu à des données, que ce soit sur
de ces appareils. Que ce soit rendu possible ou non
un appareil professionnel ou personnel.
1
3
UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 21
TEMPS D’UTILISATION DES APPLICATIONS MOBILES
Jeux 16 %
34 % Autres
Radio 8 %
Multimédia 5 %
25 % Réseaux sociaux
Photos 4 %
4 % Messagerie instantanée
Achats 5 %
3.2
SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014
LÀ OÙ
LA SÉCURITÉ
EST ADAPTÉE
Les utilisateurs s'attendent à bénéficier
d'un accès en tout lieu et la possibilité d'utiliser leurs
appareils personnels à des fins professionnelles.
L'employeur a pour responsabilité de comprendre
comment sécuriser ses propres données, sauf si
cela signifie surveiller les activités en ligne de ses
employés. L'entreprise, d'autre part, doit protéger
Comme les sites web dans les années 1990 et
ses données avec le fardeau supplémentaire de
l'accès à distance pour les ordinateurs portables
devoir se conformer à différentes réglementations
une décennie plus tard, les appareils mobiles sont
sur la confidentialité des données personnelles à
à la fois une malédiction en termes de sécurité
travers le monde. Les exigences d'identification
et une bénédiction en termes de productivité.
personnelles obligatoires dans un pays pourraient
Comme pour les autres tendances d'accès avant
enfreindre les lois sur la vie privée dans un autre
eux, la sécurité mobile est en retard sur l'adoption
pays. L'entreprise doit pourtant se conformer aux
de la mobilité, à mesure que les utilisateurs
deux à la fois.
découvrent de nouvelles façons d'en tirer parti
pendant leurs déplacements.
La sécurité mobile est un sujet difficile
pour les entreprises. Elle fait l'objet de compromis
entre productivité, protection et confidentialité.
Les entreprises et les utilisateurs veulent à la fois
bénéficier de la productivité accrue des appareils
mobiles et d'une protection lors des accès aux
informations de l'entreprise, mais personne n'aime
l'idée de subir des restrictions unilatérales ni se
sentir surveillé.
22 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
UN EMPLOYÉ SUR CINQ
SERA LA CAUSE D'UNE FAILLE
DU SYSTÈME D'INFORMATION
DE L'ENTREPRISE, VIA DES
LOGICIELS MALVEILLANTS
OU DES CONNEXIONS WI-FI
MALVEILLANTES
Les logiciels malveillants, le phishing, les
TENDANCES
D'ATTAQUES
MOBILES
points d'accès Wi-Fi malveillants et autres dangers
en ligne, inquiètent tout le monde. Les employés ne
veulent pas être la cause d'une faille dans le réseau
de l'entreprise. Pourtant, une personne sur cinq en
sera la cause, via des logiciels malveillants ou des
connexions Wi-Fi malveillantes.4
La sécurité mobile doit inclure plusieurs
Après avoir analysé les tendances de 2015, nous
briques répondant aux différents aspects de la
possédons désormais une visibilité sur les points
problématique de sécurité :
d'entrée des attaques, ainsi que sur les types de
Les conteneurs sécurisés empêchent les fuites
données dérobées. Les trois principaux vecteurs
de données entre les applications personnelles et
d'attaques utilisés pour cibler les appareils mobiles
professionnelles hébergées sur le même appareil
sont les applications infectées, les attaques réseau
La prévention des menaces mobiles offre une
et l'exploitation des vulnérabilités des systèmes
protection contre les comportements malveillantes
d'exploitation. Une fois à l'intérieur d'un appareil
des applications et stoppe en temps réel les
mobile, les cybercriminels exfiltrent des données
menaces connues, inconnues et zero-day qui
et des identifiants par email, accèdent aux capteurs
ciblent les appareils iOS et Android.
tels que le microphone ou l'appareil photo, et
Ces
fonctions
seules
ne
sont
pas
surveillent la localisation de l'appareil.
suffisantes, et les équipes informatiques n'ont bien
entendu pas besoin d'un système de plus à gérer.
Apple iOS était la cible la plus fréquente des
Leur intégration dans une console de sécurité
cybercriminels, avec cinq différentes attaques
unique est une priorité.
contre le système d'exploitation : XSSer, WireLurker,
Entre septembre 2014 et février 2015,
Masque, Pawn Storm, et des outils commerciaux
d'accès à distance. À l'automne 2015, le nombre
d'attaques menées contre les appareils Apple iOS
et Android a été multiplié par cinq.
43 %
MENACES
MOBILES
Logiciels malveillants
génériques
19 %
Outils d’accès
à distance
13 %
12 %
11 %
Numéroteurs
surtaxés Vol de données
Interception
réseau
1%
0,5 %
App de phishing Fausses
app
3.3
0,5 %
Logiciels
rançonneurs
La domination d'Android sur le marché mobile
a inauguré une nouvelle ère pour les logiciels
malveillants. Les logiciels malveillants ciblant
les appareils Android ont gagné en sophistication
en quelques années. Voici quelques-unes des
dernières menaces Android que les chercheurs
de Check Point ont découvert.
1. Obscurcissement. À mesure que les
éditeurs de solutions de sécurité combattent
les logiciels malveillants Android, les
cybercriminels développent de nouvelles
manière de masquer ou « obscurcir » leurs
logiciels malveillants. En chiffrant les
composants malveillants, les cybercriminels
peuvent contourner de nombreuses solutions
de sécurité, y compris Google Bouncer qui
protège la boutique d'applications Google Play.
Certains auteurs dissimulent même les clés
qu'ils utilisent pour déchiffrer les composants
malveillants, ce qui rend leurs attaques encore
plus difficiles à détecter.
Mobilité :
cinq nouvelles
tendances
des logiciels
malveillants
Android
2. Téléchargeurs. Les auteurs de logiciels
malveillants utilisent des « téléchargeurs »
pour s'infiltrer dans Google Play. Ils
commencent par soumettre une application
apparemment bénigne dans Google Play.
Google approuve l'application car elle ne
contient pas de code malveillant. Une fois qu'un
utilisateur installe l'application sur un appareil,
celle-ci contacte le serveur de l'agresseur,
et télécharge un composant malveillant dans
l'appareil de l'utilisateur.
3. Redondance. Les logiciels malveillants
intègrent souvent plusieurs composants conçus
dans un but différent. Deux composants peuvent
chercher à atteindre le même objectif, mais de
façon différente. Si un composant malveillant est
détecté et désinfecté, l'attaque peut se poursuivre
à l'aide du second composant. Même si un
élément critique est désactivé, il est plus facile
pour l'agresseur de modifier cette partie que de
modifier l'ensemble du logiciel malveillant.
4. Persistance. Les auteurs de logiciels
malveillants utilisent plusieurs tactiques pour
rester sur les appareils infectés. Par exemple,
ils pourraient cacher l'icône de l'application,
retarder une activité malveillante pendant des
semaines ou des mois, se faire passer pour une
autre application, ou obtenir des privilèges élevés
pour empêcher les utilisateurs de la désinstaller.
L'objectif est le même : rester sur l'appareil pour
effectuer des activités malveillantes.
5. Élévation de privilège. Récemment, les
auteurs de logiciels malveillants ont utilisé des
méthodes d'ingénierie sociale pour tromper les
utilisateurs et les conduire à leur affecter des
privilèges élevés. D'autres agresseurs utilisent
des exploitations de vulnérabilités pour obtenir
des autorisations privilégiées. En raison des
différentes versions d'Android utilisées, chacun
avec ses propres vulnérabilités, les correctifs de
sécurité peuvent prendre des mois pour atteindre
les utilisateurs, si toutefois ils les atteignent.
Cela laisse les utilisateurs vulnérables aux
menaces connues pendant de longues périodes.
Les auteurs de logiciels malveillants utilisent ces
délais pour cibler les utilisateurs à l'aide de kits
capables d'exploiter des vulnérabilités connues
dans les appareils Android.
Ils sont aussi novateurs et bien financés qu'ils
sont persistants, et ils continueront de mettre
au point de nouvelles techniques pour atteindre
leurs objectifs. Pour conserver une longueur
d'avance sur l'évolution des menaces Android,
les entreprises et les utilisateurs doivent utiliser
des solutions avancées capables de stopper les
menaces mobiles.
TOUTES DERNIÈRES ATTAQUES
ET VULNÉRABILITÉS
SEPTEMBRE
Attaque
XcodeGhost
Vulnérabilité
NOVEMBRE
SEPTEMBRE
Attaque
Messages SiriAccess
FÉVRIER
Attaque
Attaque
Attaque
WireLurker
Masque
JUILLET
Pawn Storm
Outils commerciaux
d’accès à distance
XSSer
Hacking Team
MKero.A (CAPTCHA)
Recordable Activator
Mapin (botnet)
Brain Test (obscurcis.)
Attaque
Fobus (fraude)
DÉCEMBRE
Vulnérabilité
Nouvelle vulnérabilité
CPiOS
Vulnérabilité
Lockerpin.A (log. rançon.)
Contournement de l’écran
de verrouillage
2015
2014
Attaque
Attaque
Hacking Team
Masque
KeyRaider
YiSpecter
Vulnérabilité
Control Siri
Vulnérabilité
iOS
Attaque
Ins0mnia
Quicksand
Android
Kemoge
Vulnérabilité
Vulnérabilité
Stagefright 2.0
Navig. Dolphin
Stagefright
Serialization
Certifi-gate
Multitasking
OCTOBRE
AOÛT
3.4
Dans
l'ensemble,
les
cinq
grandes
3.
Fausses
applications
et
applications
catégories d'attaques et de vulnérabilités ciblant
reconverties. Comme le phishing, les fausses
les appareils mobiles sont :
applications semblent réelles, mais ont des
fonctionnalités
inattendues.
Les
applications
1. Vulnérabilités système. Les variantes du système
malveillantes qui contrôlent à distance, activent le
d'exploitation augmentent le nombre de vecteurs
microphone, l'appareil photo ou le GPS, sont de
d'attaques. Android est particulièrement vulnérable
plus en plus courantes.
car il prend en charge plus de 24 000 types de
4. Chevaux de Troie et logiciels malveillants.
smartphones et tablettes. Les correctifs de sécurité
L'intégration
pour chaque version peuvent prendre des semaines
pièces jointes et des applications reste un sujet
ou des mois de développements et de tests, ce qui
de préoccupation sur les appareils mobiles.
fait des utilisateurs des proies faciles.
Beaucoup ne possèdent pas d'antivirus ni de
2. Accès root et changements de configuration.
système de prévention des menaces, et les écrans
Le rootage ou jailbreaking d'un téléphone donne
de taille réduite ne facilitent pas la détection des
non seulement aux amateurs un accès plus
inexactitudes dans les applications.
étendu, mais aux cybercriminels également.
5. Attaques de type « homme du milieu ». Les
Une série d'attaques prévue pour contourner
points d'accès Wi-Fi gratuits et publics sont très
les limites de la politique de sécurité en
faciles à contrefaire, ce qui les rend plus courants.
matière de modification des paramètres et des
La contrefaçon de certificats de sécurité facilite
configurations crée des changements subtils
l'interception et la modification des données en
sans que les utilisateurs le sachent.
transit, ou installation de chevaux de Troie.
de
code
malveillant
dans
des
La mobilité exige la sensibilisation des
utilisateurs et leur vigilance. Bien que les types
d'attaques varient, l'objectif de l'entreprise reste le
même. Les équipes de sécurité doivent créer une
barrière entre l'appareil personnel d'un employé
et le réseau de l'entreprise, à l'aide de plusieurs
éléments fonctionnant en parallèle.
« Une fois que vous mettez une vie
au monde, vous devez la protéger.
Nous devons la protéger
en changeant le monde. »
Elie Wiesel, écrivain
et activiste politique
CRÉATION D'UNE
BARRIÈRE
La
prévention
des
menaces
mobiles
crée
une barrière fiable. Elle utilise l'analyse des
comportements pour bloquer les menaces avant
qu'elles ne pénètrent dans les appareils mobiles,
et offre une visibilité sur les tentatives d'attaques.
À un niveau plus élevé, l'intégration de la
gestion des appareils et la prévention des menaces
avec le pare-feu de nouvelle génération et la
sécurité virtualisée dans le Cloud améliore à la fois
la détection et le blocage des tentatives d'attaques.
Bien sûr, toutes ces ressources doivent être gérées.
Leur intégration dans une plate-forme de gestion
unifiée est essentielle à l'efficacité de votre barrière
de sécurité mobile.
1
SENSIBILISEZ VOS
COLLABORATEURS
Nous sous-estimons souvent le risque pour la
confidentialité et la sécurité que nos smartphones
et tablettes nous apportent. Assurez-vous que vos
collaborateurs comprennent les menaces telles
que les escroqueries par phishing et les points
d'accès Wi-Fi non sécurisés. Devenir une victime
ne compromet pas seulement la confidentialité des
données personnelles, mais peut également mettre
en péril les données confidentielles de l'entreprise
hébergées sur les appareils mobiles.
2
DÉFINISSEZ VOTRE NIVEAU
DE TOLÉRANCE AUX RISQUES
Toutes les entreprises ont les mêmes besoins
en sécurité mobile, mais pas tous les employés
ont besoin du même niveau de protection. Il est
également important de trouver un juste équilibre
entre protection contre les menaces et expérience
utilisateur. Envisagez une approche prescriptive
de la sécurité mobile capable de faire les deux.
Définissez des politiques de sécurité reposant à la
fois sur les rôles des employés qui ont accès et les
types de protection adaptés aux différents types de
données confidentielles.
3
APPLIQUEZ DES MESURES
DE BASE
Un nombre surprenant de gens ne comprennent pas
entièrement les bases de la sécurité mobile : Activez
les mots de passe ou les verrous biométriques,
activez la localisation et les fonctionnalités de
suppression à distance, et utilisez le chiffrement
sur l'appareil s'il est disponible. Veiller à ce que les
utilisateurs finaux disposent toujours des toutes
dernières versions du système d'exploitation. Ces
mesures de base protègent les appareils mobiles
et les données, ont un net impact sur vos efforts
de sécurité, et protègent également les données
personnelles.
4
SÉPAREZ DONNÉES
PERSONNELLES ET
PROFESSIONNELLES
La création d'une barrière sécurisée entre les
données professionnelles confidentielles et les
données personnelles des employés hébergées
sur leurs appareils mobiles est un excellent moyen
d'assurer que des erreurs ne se produisent pas.
Les messages et les fichiers stockés dans des
conteneurs sécurisés peuvent être protégés et
chiffrés séparément de l'espace personnel sur un
appareil. La gestion des conteneurs sécurisés pour
gérer les données est plus rapide et plus facile que
la gestion des appareils et de multiples politiques.
5
INVESTISSEZ EN PRÉVISION
D'UN AVENIR INCERTAIN
Vous pouvez être sûr que les menaces dont vous
n'avez pas conscience aujourd'hui sont celles
qui vous prendront demain au dépourvu. Il est
donc important d'investir dans des technologies
de prévention qui conservent une avance sur
les menaces. Celles-ci devraient également
s'intégrer avec les solutions que vous avez en place
aujourd'hui pour protéger les appareils mobiles tout
en prolongeant votre retour sur investissement.
PRENEZ DES MESURES
MEILLEURES PRATIQUES POUR
PROTÉGER VOS ACTIVITÉS MOBILES
POUR EN SAVOIR PLUS
checkpoint.com/mobilesecurity
4
ÉTUDE DES
MODÈLES
D'ATTAQUES
« Toutes les technologies doivent être considérées comme étant
coupables jusqu'à preuve de leur innocence. »
Jerry Mander, activiste et auteur
INTERNAUTES DANS LE MONDE PAR RÉGION
Europe 18 %
48,2 % Asie
Amérique latine/
Caraïbes 10,2 %
Océanie/
0,8 % Australie
Afrique 9,8 %
3,7 % Moyen-Orient
Amérique du Nord 9,3 %
4.1
SOURCE : Statistiques mondiales d'Internet, www.internetworldstats.com/stats.htm, novembre 2015
Pour conserver une longueur d'avance sur les
que près de 50 % des internautes dans le monde
agresseurs, il faut comprendre les méthodes qu'ils
se situent en Asie, ils représentent le plus petit
utilisent, les voies qu'ils suivent et les endroits
pourcentage de comportement malveillant.1 Les
où ils obtiennent des résultats. L'étude des
États-Unis, qui représentent moins de 10 % des
caractéristiques et des tendances d'attaques est
internautes du monde entier, hébergent 26 % des
une partie importante de ce récit.
contenus malveillants.
En 2015, les logiciels rançonneurs ont
Même s'il semble que les agresseurs
fait la une de l'actualité, car les entreprises et les
introduisent constamment de nouvelles attaques,
particuliers étaient prêts à payer pour récupérer
l'analyse montre que le plus souvent, les logiciels
l'accès à leurs fichiers chiffrés et verrouillés
malveillants et les techniques d'attaques tirent parti
par des logiciels malveillants. L'absence de
d'attaques antérieures et de faiblesses connues.
sauvegarde récente ou le temps nécessaire à
Créer de nouvelles variantes inconnues à partir de
la restauration de la sauvegarde a conduit de
logiciels malveillants connus est relativement peu
nombreuses entreprises à choisir de payer pour
coûteux et simple pour les pirates, même débutants.
obtenir la clé de déchiffrement de leurs propres
Les kits d'exploitation de vulnérabilités sont passés
contenus, tout en essayant d'empêcher la
de simples trousses à outils à des offres complètes
prochaine attaque. Dès qu'il existe une solution
de services pour la cybercriminalité. Dans le cadre
pour lutter contre un type d'attaque, de nouvelles
de ces offres, les opérateurs paient à l'utilisation,
méthodes alternatives le remplacent.
uniquement lorsque les logiciels malveillants ont été
L'analyse révèle des modèles distincts
installés avec succès sur la machine d'une victime.
dans ces nouvelles menaces. Par exemple, alors
Les pirates ont une multitude de choix quant
ÉTUDE DES MODÈLES D'ATTAQUES | 29
Logiciels rançonneurs :
pour s'enrichir plus intelligemment
sans effort
Comme les entreprises légitimes, les cybercriminels doivent parfois se réoutiller lorsque la
performance d'un « produit » diminue. En analysant les renseignements de cette année, Check
Point a découvert que les criminels développaient leurs attaques de logiciels rançonneurs tout
en réduisant celles des chevaux de Troie bancaires. Il existe plusieurs raisons pour lesquelles
nous pensons que les logiciels rançonneurs, qui attaquent en chiffrant les fichiers d'un utilisateur
et en exigeant le paiement d'une rançon pour les déchiffrer, deviendront la méthode d'attaque
privilégiée de ceux qui veulent « voler intelligemment sans effort ».
Vol difficile :
les logiciels malveillants bancaires
Vider des comptes bancaires en ligne était
auparavant facile : il suffisait d'amener les
utilisateurs à une fausse copie du site web de leur
banque, capturer leurs identifiants de connexion,
puis se connecter sur le véritable site web de la
banque pour transférer des fonds vers le compte
d'une mule. Les agresseurs doivent désormais composer avec l'authentification à 2 facteurs et se
connecter au site de la banque à partir de l'ordinateur et de l'appareil reconnu des utilisateurs.
Les transferts de fonds peuvent déclencher des systèmes antifraude qui bloquent les transferts
et gèlent les comptes. Les criminels doivent également personnaliser les contenus des faux sites
web de chaque banque cible.
Vol intelligent :
les logiciels rançonneurs
Les logiciels rançonneurs peuvent attaquer
n'importe quel utilisateur, pas seulement les clients
des banques, ce qui augmente considérablement
la population de cibles potentielles par rapport
aux logiciels malveillants bancaires. Ils forcent les
victimes à payer rapidement au risque de perdre
l'accès à leurs contenus vitaux sans qu'il soit nécessaire aux utilisateurs de se connecter pour
capturer leurs identifiants. Après le chiffrement des données, une demande de rançon indique
aux victimes comment payer, ou comment trouver le « propriétaire » dans l'Internet anonyme et
clandestin TOR. De récentes données montrent que certains logiciels rançonneurs intègrent une
clé afin de leur éviter d'avoir à communiquer avec un serveur externe pour obtenir les clés de
30 | ÉTUDE DES MODÈLES D'ATTAQUES
chiffrement avant de lancer l'attaque. Aucun serveur de contrôle n'étant nécessaire, une seule
approche de logiciel rançonneur fonctionne pour tous les utilisateurs. Seule la courte note de
rançon nécessite une traduction mais les agresseurs peuvent diriger les victimes vers Google
Translate pour éviter entièrement ce travail de traduction.
Les logiciels rançonneurs utilisent généralement des méthodes de paiement alternatives telles
que bitcoin, ce qui permet des transferts de fonds que les utilisateurs ne peuvent contester et que
les banques ne peuvent annuler. Le brouillage des portefeuilles de bitcoins empêche les autorités
de retracer les transactions, et il est facile de convertir anonymement des bitcoins dans toute
autre monnaie.
Résumé
Quatre facteurs facilitent les attaques de logiciels rançonneurs :
1. Les logiciels rançonneurs ciblent de nombreuses victimes potentielles.
2. L
es attaques nécessitent peu d'efforts car il n'est pas nécessaire d'héberger ni de maintenir de
serveurs personnalisés pour chaque base ciblée.
3. Les attaques sont simples à réaliser de bout en bout.
4. La réception des paiements des victimes est quasi-assurée et intraçable.
Prédictions
• Avec des profits élevés et peu d'efforts, nous nous attendons à ce que les attaques de logiciels
rançonneurs augmentent.
• Comme les logiciels malveillants bancaires, nous nous attendons à ce que des défenses avancées
forcent les logiciels rançonneurs à devenir plus complexes et plus évasifs.
• Le nombre réduit de victimes de logiciels rançonneurs obligera les menaces à cibler les grandes
entreprises pour améliorer les résultats de chaque attaque. Nous nous attendons à voir plus de
cas similaires aux attaques telles que Samsam sur des hôpitaux et des entreprises.
• Les attaques vont se déplacer à l'intérieur des entreprises ou sur du stockage partagé pour
chiffrer les données. Cela permettra d'accroître le montant des paiements en impliquant plusieurs
utilisateurs.
• Pour le secteur public, nous nous attendons à l'émergence de nouvelles formes d'attaques
telles que des logiciels rançonneurs de chantage, menaçant de divulguer des informations
embarrassantes au risque d'exposer publiquement les utilisateurs s'ils ne paient pas.
ÉTUDES DES MODÈLES D'ATTAQUES | 31
aux logiciels malveillants connus et inconnus, et
ORIGINE DES
ATTAQUES
les points d'entrée facilement exploitables dans
Android et Microsoft Windows.
Pour conserver une longueur d'avance,
notre équipe de recherche analyse un large
éventail d'aspects de ces d'attaque et améliore
Parmi les 7,4 milliards de personnes sur la planète,
en permanence les défenses contre les menaces
moins de 5 % vivent aux États-Unis. Malgré cela, les
inconnues
États-Unis sont en tête en matière d'hébergement
et
zero-day.
Certains
éléments
comprennent :
de fichiers et de sites web malveillants. Bien
• La provenance des attaques
que cela semble disproportionné, les États-Unis
• Les types d'attaques les plus populaires
comptent deux foix plus d'internautes par habitant
• Les plus grandes zones de vulnérabilité
que le reste du monde, avec une moyenne de
• Comment les agresseurs parviennent à entrer
87,9 % par rapport à la moyenne du reste du monde
Ces données aident Check Point à ajuster
de 44,2%.2 Les États-Unis comptent également
et affiner ses flux de renseignements sur les
la majorité des marques Internet pionnières, ce
menaces. La compréhension des origines, des
qui en fait une cible attrayante. Une population
destinations et des méthodes clés des attaques,
technophile crée plus d'innovations, à la fois utiles
façonne les approches pour une meilleure défense.
et malveillantes.
POURCENTAGE DES
PRINCIPAUX
PAYS HÉBERGEANT DES
FICHIERS ET DES SITES
MALVEILLANTS
47,6 %
États-Unis
26 %
États-Unis
Fichiers malveillants
9,5 %
Pays-Bas
5,4 %
5,3 %
Grande-Bretagne
Allemagne
8,7 %
Portugal
Sites web malveillants
5,2 %
Suisse
4,9 %
3,9 %
Pologne
Chine
24,8
%
Autres
4.2
POURCENTAGE DES PRINCIPAUX VECTEURS D’ATTAQUES
39 %
EXÉCUTION DE
CODE
68 %
35 %
10 %
34 %
19 %
CORRUPTION
MÉMOIRE
DÉPASSEMENT DE
MÉMOIRE TAMPON
2015
60 %
DÉNI DE
SERVICE
FUITE DE
DONNÉES
2014
30 %
43 %
6%
4.3
TYPES
D'ATTAQUES
LES PLUS
POPULAIRES
laisser de trace. Pour plus d'informations sur ce
Les passerelles de sécurité Check Point signalent
reste encore viable car toutes les entreprises ne
chaque année les méthodes d'attaques privilégiées,
les ont pas installés.
ou principaux vecteurs d'attaques. En 2014, les trois
principaux vecteurs d'attaques étaient les dénis
changé, et près de 68 % des entreprises ont connu
de service (DoS), les dépassements de mémoire
au moins une attaque d'exécution de code. Ces
tampon et l'exécution de code. En 2015, les
attaques ont besoin d'une technique pour exécuter
dépassements de mémoire tampon ont fortement
du code à distance.
chuté, et l'exécution de code est devenue le vecteur
le plus populaire.
déclenchées même en présence de défenses, ce
Le bug Heartbleed a fait du dépassement de
qui les rend très attrayantes. Une des techniques
mémoire tampon la méthode d'attaque dominante
d'exécution de code les plus populaires est
sujet, consultez notre billet de blog Heartbleed sur
www.checkpoint.com.
Avec
la
disponibilité
de
correctifs
pour protéger les entreprises contre cette
vulnérabilité, les agresseurs ont été obligé de
passer à d'autres vecteurs d'attaques. Même des
années après la disponibilité de correctifs pour
Heartbleed, l'exploitation de cette vulnérabilité3
En 2015, les modèles d'attaques ont
Les exécutions de code peuvent être
de 2014. Son nom provient de l'exploitation d'une
faille dans la fonction heartbeat du protocole TLS
(sécurité de la couche de transport).
Grâce à ce bug, des agresseurs utilisaient
des serveurs vulnérables pour récupérer jusqu'à
64 Ko de données confidentielles de manière
36 ATTAQUES D'EXÉCUTION
DE CODE ONT EU LIEU
CHAQUE JOUR EN 2015
répétée dans la mémoire de l'ordinateur, sans
ROP (return-oriented programming). Lors de
l'ouverture d'un document infecté, ROP détourne
de petits morceaux de code légitimes et ordonne au
processeur de les charger et d'exécuter le logiciel
malveillant réel. Apparaissant légitime pour la
plupart des systèmes de sécurité, la détection de
cette manipulation au niveau du processeur est
PLUS GRANDES
ZONES DE
VULNÉRABILITÉS
essentielle pour stopper les attaques avant même
Des vulnérabilités existent dans la plupart des
qu'elles ne se produisent.
logiciels que nous utilisons dans l'entreprise.
Les dénis de service continuent d'être un
L'un des plus grands référentiels de vulnérabilités
moyen attrayant d'attaque et de perturbation, avec
connues, la base de données CVE (vulnérabilités
35,1 % des entreprises victimes d'au moins une
courantes), signale que les vulnérabilités de 2015
attaque DDoS. En 2015, les attaques DDoS sont
étaient de 15 % supérieures à la moyenne observée
passées à 73 événements par jour, par rapport à un
au cours des huit précédentes années. Les logiciels
chiffre déjà stupéfiant de 48 événements par jour
malveillants qui exploitent des vulnérabilités
en 2014.
connues restent une menace importante, ce qui
fait des correctifs et des mises à jour une nécessité
pour tous les logiciels.
UNE NOUVELLE ATTAQUE
DDOS S'EST PRODUITE
Des points d'entrée existent dans de
nombreux endroits. La lutte contre les logiciels
malveillants
connus
nécessite
l'application
régulière de patchs correctifs et de mises à
NOMBRE DE VULNÉRABILITÉS COURANTES
2008
5 632
2009
5 732
2010
2011
4 639
4 150
2012
5 288
2013
5 186
7 937
2014
2015
6 488
4.4
SOURCE : Base de données CVE (vulnérabilités courantes)
POURCENTAGE D’ÉVÉNEMENTS DE SÉCURITÉ
PAR PRINCIPAUX ÉDITEURS
77 %
MICROSOFT
14 %
ADOBE
2014
2015
MICROSOFT
63 %
JOOMLA
17 %
APACHE
6%
SUPERFISH
HP
6%
WORDPRESS
SUN/ORACLE
5%
MORPHEUS
8%
8%
MOZILLA
3%
APACHE
JOOMLA
3%
ADOBE
12 %
9%
7%
4.5
jour sur une quantité sans cesse croissante de
reste en tête du volume d'événements de sécurité.
matériels. Les serveurs, les outils de sécurité, les
Joomla et WordPress pour le web et le commerce
ordinateurs, les points d'accès sans fil et même
électronique sont remontés dans le classement
les imprimantes réseau nécessitent des mises à
cette année. L'open source est très commun, et
jour régulières. Avec autant d'équipements et de
les systèmes de gestion des contenus (CMS) sont
points d'entrée dans le réseau, il est facile d'en
des applications extrêmement attrayantes pour
oublier certains.
les cybercriminels, comme moyen de diffusion de
logiciels malveillants.
SuperFish a rejoint les premières places
du classement en 2015. Ce logiciel publicitaire,
COMMENT
LES PIRATES
PARVIENNENT
À ENTRER
découvert sur de nombreux ordinateurs Lenovo,
Même si elle est en légère diminution par
un avertissement de la part du gouvernement
rapport aux années précédentes, l'énorme base
américain en février 2015 pour les utilisateurs de
installée de systèmes d'exploitation, navigateurs,
Lenovo.4 Lenovo l'a depuis retiré de ses nouveaux
applications de productivité et autres de Microsoft,
ordinateurs.
fait bien plus que d'intercepter des résultats
de recherche. Il est mesure d'intercepter les
recherches chiffrées en installant un certificat
racine de confiance non unique pour usurper le
trafic HTTPS. SuperFish permet à des pirates
d'exécuter une attaque classique de type homme
du milieu sans alerter le navigateur. C'est devenu
un vecteur d'attaque populaire, qui a entraîné
Au bout de deux décennies, les escroqueries
par phishing qui convainquent les utilisateurs
de révéler des informations confidentielles,
telles que des numéros de cartes bancaires et
des identifiants bancaires, restent une source
de revenus populaire pour les cybercriminels.
Comme les utilisateurs sont devenus plus
conscients des risques, et que la détection
du spam et du phishing s'est améliorée,
les criminels se sont tournés vers d'autres
techniques pour améliorer leur taux de
réussite. Cependant, ces nouvelles approches
prennent plus de temps et d'efforts à mettre
en œuvre, et fournissent des résultats
relativement modestes pour chaque délit.
Pour maximiser leur « prise », les criminels
recalibrent les attaques de phishing massives
prévues pour des utilisateurs aléatoires en
attaques très ciblées sur des employés de
grande valeur en entreprise.
Phishing :
de plus gros appâts
pour attraper les
entreprises
Évolution du phishing
Le phishing ciblé est le nom donné à des
attaques très ciblées qui utilisent des méthodes
d'escroquerie et d'ingénierie sociale pour
dérober des identifiants et autres informations
utiles auprès de groupes d'utilisateurs
spécifiques, d'entreprises spécifiques, ou
même d'individus spécifiques. Pour mener
une attaque de phishing ciblée réussie,
l'auteur investit beaucoup plus de temps et
d'efforts de préparation pour recueillir des
informations détaillées sur les cibles visées.
Par exemple, un agresseur peut mener des
recherches sur les fournisseurs utilisés par la
société, les prestataires tels que les cabinets
comptables ou les partenaires commerciaux de
l'entreprise. L'agresseur identifie ensuite des
individus spécifiques et leurs adresses email,
et leur envoie des emails falsifiés apparaissant
comme légitime à presque tous les égards.
Les emails invitent les utilisateurs à ouvrir
une pièce jointe ou les redirigent vers un site
web contrefait de grande qualité. Le résultat
net de ces méthodes améliorées d'ingénierie
sociale est un taux de réussite beaucoup plus
élevé. Les entreprises ayant généralement
des réserves financières beaucoup plus
importantes que l'utilisateur moyen, la
« prise » typique de chaque escroquerie de
phishing ciblé est nettement plus élevée.
Chasse à la baleine
Le phishing ciblé se transforme désormais
en attaques de « chasse à la baleine ».
Cette forme élaborée de phishing ciblé vise
généralement les cadres de direction, et tire
son nom de la « pêche aux gros poissons ».
Par exemple, un agresseur pourrait envoyer
un email falsifié se faisant passer pour une
correspondance du PDG au directeur financier,
lui demandant de transférer des fonds sur un
compte bancaire spécifique. Ces approches
sont si crédibles qu'elles ont réussi à
convaincre certains professionnels avisés. Au
moment où la vérité est découverte, l'argent
a disparu depuis longtemps. Pour effacer
toute trace, certains agresseurs utilisent des
comptes de mules pour une seule attaque.
Selon le FBI, au cours des deux dernières
années et demie, les escroqueries de chasse
à la baleine ont détourné plus de 2 milliards
d'euros des entreprises.
Il est certain que les agresseurs
continueront de développer des moyens
innovants pour conduire les utilisateurs
à compromettre leurs systèmes. La
sensibilisation des utilisateurs et des
technologies de pointe sont nécessaires pour
empêcher les utilisateurs de devenir victimes
de ces escroqueries.
Les entreprises ont besoin d'une stratégie unifiée de prévention des menaces. Les
logiciels malveillants connus restent une grande menace. De nouvelles techniques
font croître le volume de logiciels malveillants inconnus et zero-day de manière
significative. Elles exigent des solutions capables de stopper les menaces connues et
inconnues en temps réel, y compris les menaces les plus évasives. La supervision des
communications sortantes est également importante pour repérer les comportements
anormaux avant que des dommages ne se produisent.
1
UNIFIEZ
L'ARCHITECTURE
Protégez votre réseau contre les logiciels
malveillants et les menaces zero-day avancées.
Étendez ces protections aux postes fixes et mobiles,
aux services dans le Cloud et aux environnements
virtuels pour empêcher les menaces de se propager
dans l'entreprise.
2
PROTÉGEZ TOUS LES
ENVIRONNEMENTS
Utilisez une architecture de sécurité agnostique
pour stopper les menaces de manière uniforme
contre les datacenters, les plates-formes dans
Cloud, les datacenters logiciels, sous forme de
services, hybrides, et les environnements mobiles.
3
4
ADMINISTREZ LA SÉCURITÉ
VIA UNE SEULE CONSOLE
L'administration unifiée de la sécurité améliore
l'efficacité de la sécurité et la visibilité sur les
journaux.
5
ADOPTEZ UNE MÉTHODOLOGIE
DE TRAITEMENT DES INCIDENTS
Jusqu'à ce que vous ayez unifié la prévention en
temps réel, vous avez besoin de continuer de
traiter les incidents. L'équipe de traitement des
incidents de Check Point est disponible 24 heures
sur 24 et 365 jours par an pour analyser et résoudre
les attaques de logiciels malveillants et autres
événements de sécurité touchant votre entreprise.
Contactez-nous au +1 866 923 0907 ou par email à
[email protected].
STOPPEZ LES LOGICIELS
MALVEILLANTS ET LES
EXPLOITATIONS DE
VULNÉRABILITÉS ZERO-DAY
L'augmentation des attaques d'exécution de code,
y compris des techniques avancées telles que
ROP, contournent les bacs à sable traditionnels.
L'émulation des menaces au niveau du processeur
détecte les logiciels malveillants lors de la phase
d'exploitation, avant que les pirates n'appliquent
des techniques de contournement du bac à sable.
PRENEZ DES MESURES
MEILLEURES PRATIQUES
POUR EN SAVOIR PLUS
checkpoint.com/management
5
RÉPERCUSSIONS
DE L'INSÉCURITÉ
« Tout ce que nous faisons, même la moindre chose, peut avoir une
conséquence et des répercussions qui en émanent. Si vous jetez un
caillou dans l'eau d'un côté de l'océan, un raz de marée peut se
produire de l'autre côté. »
Victor Webster, acteur
RÉPARTITION
DES PRINCIPALES
FUITES DE DONNÉES
PAR SECTEUR
2014
53%
2015
42%
14%
5%
3%
17%
19%
9%
5%
4%
5%
ÉDUCATION
GOUVERNEMENT
COMMERCE DE DÉTAIL
SANTÉ
TECHNOLOGIE
AUTRE
5.1
SOURCE : Indice de niveau de faille de Gemalto
L'impact de la cybercriminalité coûte plus cher
Vous changerez vos habitudes non seulement pour
que la valeur de l'information dérobée. Les
combattre l'insécurité, mais pour vous sentir plus
répercussions sont souvent plus dommageables
en sécurité, ce qui peut être plus coûteux. Les failles
que le vol même. La perte de confiance, aussi bien
en entreprise ne sont pas différentes. Là aussi, les
au sein de votre entreprise que de vos clients, vous
répercussions peuvent être plus dommageables
conduit à dépenser plus que nécessaire sur les
que l'événement initial.
remèdes, tels que dédommager les fournisseurs
et les partenaires touchés, et provoque la fuite de
l'information est complexe, mais il existe aujourd'hui
vos clients.
plusieurs façons de l'estimer. En 2013 et en 2014,
Le calcul de la valeur financière de
Si quelqu'un faisait irruption dans votre
une vague d'attaques a ciblé de grandes entreprises
maison, vous ne vous sentiriez pas en sécurité. Votre
telles qu'Anthem, Target, Home Depot et Sony, pour
compagnie d'assurance vous remboursera la valeur
obtenir des renseignements personnels. Le coût
des objets volés, mais le sentiment de sécurité ne
moyen d'une fuite de données est de 136 euros
peut être remplacé si facilement. Vous deviendrez
par enregistrement selon une étude de Ponemon,
plus prudent et investirez même dans un système
et pour les nombreux incidents impliquant des
de sécurité plus moderne, ou commencerez à
milliers, voire des millions d'enregistrements,
stocker vos objets de valeur ailleurs, ou bien vous
le coût total moyen d'une seule fuite est passé à
sortirez moins, pour vous sentir plus en sécurité.
3,35 millions d'euros en 2015.1
RÉPERCUSSIONS DE L'INSÉCURITÉ | 39
En 2015, le nombre de failles a diminué
Le
calcul
des
coûts
initiaux
d'une
légèrement, passant de 1 milliard de dossiers en
faille comprend plusieurs dépenses directes :
2014 à un peu plus de 700 millions en 2015, selon
• La valeur de la propriété intellectuelle dérobée
le cabinet d'études Gemalto. Bien que cela semble
•
Le délai d'analyse, de remise en état et
prometteur, tous les enregistrements n'ont pas la
d'amélioration des défenses de tous les systèmes
même valeur.
compromis
2
En 2014, la cible principale était les
données de cartes bancaires qui ont une durée
• La vérification de tous les systèmes de l'entreprise
à la recherche de toute infection cachée
de vie relativement courte, les banques annulant
•
La restauration des systèmes à partir des
les débits et réémettant de nouvelles cartes
sauvegardes, y compris la vérification de ces
rapidement. En 2015, les agresseurs sont passés
sauvegardes à la recherche de vulnérabilités
à des données avec une durée de vie plus longue :
renseignements personnels et vol d'identité. Les
• La modification des procédures de sécurité et la
formation du personnel aux nouvelles procédures
agresseurs sont passés de cibles principalement
dans les secteurs financiers et du commerce de
évidentes, cependant, occultent rapidement ces
détail en 2014 à des cibles dans les secteurs du
coûts directs. Dans le cas de l'attaque contre
gouvernement et de la santé en 2015. Plus la durée
Target, les 40 millions de cartes bancaires dérobées
de conservation d'un enregistrement est longue,
fin 2013 a coûté à Target 220 millions d'euros en
plus la remise en état est coûteuse.
dépenses directes les deux premières années, mais
Les
coûts
des
répercussions
moins
RÉPARTITION DES ENTREPRISES
AYANT SUBI DES FUITES DE DONNÉES
100 %
CONSEIL
88 %
INDUSTRIE
GOUVERNEMENT
86 %
FINANCE
85 %
81 %
COMMERCE DE DÉTAIL ET DE GROS
TÉLÉCOM.
73 %
5.2
40 | RÉPERCUSSIONS DE L'INSÉCURITÉ
LES FUITES D'INFORMATIONS ONT
AUGMENTÉ DE PLUS DE 400 % AU
COURS DES TROIS DERNIÈRES ANNÉES
5.3
ce chiffre continue d'augmenter. Certaines sources
leur impact financier est limité par rapport à une
estiment que les coûts dépasseront finalement
entreprise publique ou privée. Les trois secteurs
2 milliards d'euros en incluant les pertes des débits
privés qui subissent les impacts financiers les
frauduleux, le remboursement des fournisseurs
plus forts sont les services financiers, la santé
et les pénalités issues des procès. La reprise sur
et l'industrie. Comme beaucoup de gens ont la
incident coûte cher.
mauvaise habitude de réutiliser leurs mots de
Les
failles
de
sécurité
servent
passe, la perte d'un mot de passe sur un site
généralement à dérober des données, et souvent
a souvent des répercussions. Les agresseurs
les petites entreprises sont plus faciles à attaquer
utilisent un mot de passe dérobé pour accéder
que les grandes. Selon une étude de Trustwave,
à d'autres sites et applications utilisées par
90 pour cent des fuites de données touchent les
la victime, ce qui produit de multiples failles.
petites entreprises, qui ont beaucoup plus de
difficultés à survivre à l'impact. Même si les petites
entreprises ne sont pas en possession de grandes
SERVICES
FINANCIERS
quantités de données personnelles, elles détiennent
souvent les clés d'accès à ceux qui en possèdent.
Les
répercussions
sur
la
réputation
de l'entreprise sont difficiles à estimer, mais
sont très réelles. Si une entreprise dispose
Notre
d'un bon soutien auprès de sa clientèle et gère
financières font face à des taux beaucoup plus
soigneusement la situation, les clients seront
élevés d'attaques que tout autre secteur. Nous
peut-être
pas.
ne sommes pas les seuls à tirer cette conclusion.
Cependant, pour les petites entreprises, toute
Un rapport de Websense Security Labs en 2015
perte de confiance des clients est dévastatrice.
souligne également que les institutions financières
subissent 300 pour cent plus de cyberattaques que
ébranlés
mais
ne
partiront
Les failles au niveau du gouvernement
entraînent de gros problèmes de confiance, mais
étude
montre
que
les
institutions
tout autre secteur.3
Conclusions pour le secteur de
la finance en 2015
Parmi les plus importantes pressions sur le marché de la finance en 2015 :
83 % des dirigeants d'entreprises du secteur de la finance conviennent que la capacité de
lutter contre les cybermenaces et la protection des données personnelles seront l'un des
plus grands défis en matière de renforcement de la réputation au cours des 12 prochains
mois4
24 % d'augmentation des pertes financières suite à des incidents5
73 % des consommateurs américains changent de prestataire de services financiers
suite
à des failles ou des fuites de données personnelles
6
61 % des consommateurs ne font pas confiance aux institutions financières7
44 % des entreprises du secteur de la finance ont signalé des pertes d'activité de 20 %
ou plus au cours des douze derniers mois en raison de problèmes de réputation et de
satisfaction client. La moyenne se situant à 17 %,soit presque le double de la moyenne
de 20148
42 % des consommateurs américains estiment que ne pas protéger leurs informations
personnelles et financières est la plus grande menace pouvant peser sur la réputation des
entreprises du secteur de la finance9
68 % des consommateurs signalent que toute actualité négative au sujet de leur prestataire
de services financiers, problèmes de conformité réglementaire, activités illégales, amendes,
etc., les conduiront probablement à changer de prestataire10
Les sociétés financières sont des cibles
idéales car leurs données sont plus attrayantes
sur le marché. Les banques de détail, les banques
SECTEUR MÉDICAL
commerciales avec des bureaux dispersés à
Les dossiers médicaux des patients ont la plus
travers le monde, les entreprises de cartes de
grande valeur sur le marché noir, dix fois plus que
crédit, les compagnies d'assurance et les sociétés
les cartes bancaires et autres données financières.11
de commerce possèdent toutes des données, et
Alors qu'un numéro de carte bancaire ou un
sont connectées à d'autres données. Les services
identifiant de connexion à un compte bancaire peut
financiers ne sont pas en tête de la liste des cibles
être rapidement réédité, un dossier médical ne le
des attaques en 2015, simplement parce que leurs
peut pas. Ils exposent beaucoup plus d'informations
efforts en 2014 pour fortifier leurs défenses ont font
sur un individu, y compris ses sensibilités, ses
une cible plus difficile à pénétrer.
vulnérabilités et ses préoccupations personnelles,
un
La
cybersécurité
écosystème
financière
profondément
complexe
est
ce qui les rend précieux à des fins d'espionnage.
et
Les entreprises du secteur médical sont des cibles
multiforme. Les grandes institutions financières
privilégiées pour les cybercriminels.
se sont remises en question après 2014. Elles ont
commencé à investir dans des solutions intégrées
plutôt que des produits disparates pour améliorer
encore la protection contre le déluge de menaces
persistantes avancées et les attaques zero-day.
Le volume des attaques et des cibles
nécessite une visibilité complète sur les opérations
et l'administration centralisée de la sécurité, mais
pas une transparence totale. Comme les nations
protégeant leurs citoyens, les directions des
grandes institutions financières sont prudentes
quand il s'agit de révéler les méthodes de
protection ou les détails des attaques. Lorsque les
cybercriminels constatent si leurs attaques ont un
9 % DES ENTREPRISES DU SECTEUR
MÉDICAL/DE L'ASSURANCE ONT SUBI
UNE PERTE DE DONNÉES HIPAA
impact, ou n'en ont pas, ils adaptent leurs tactiques
ou leurs représailles.
La perception de la protection est aussi
importante, sinon plus, que la protection réelle. Les
incidents qui ne produisent aucune fuite de données
5.4
personnelles secouent malgré tout la confiance
des clients. Pour cette raison, les institutions
financières partagent désormais des détails sur
les attaques via des flux de renseignements sur
entreprises du secteur médical ont été victimes
En 2015 et au début de 2016, de nombreuses
les menaces. Nos partenaires proposent certains
d'une multitude d'attaques, principalement de
de ces flux. Comme la plupart des pirates utilisent
la part de logiciels rançonneurs. Le secteur de
habituellement les mêmes méthodes d'attaques
la santé est traditionnellement en retard sur
couronnées de succès contre plusieurs victimes,
des cibles privilégiées telles que le secteur de la
leurs coûts augmentent lorsqu'une méthode
finance en termes de robustesse de la sécurité,
d'attaque ne fonctionne qu'une fois. Plus le piratage
et de nouvelles règlementations concernant la
coûte cher, plus le nombre de pirates diminue, ce
confidentialité des renseignements personnels
qui est plus sécurisant pour tout le monde.
compliquent également l'évolution de la sécurité.
Conclusions pour le secteur
médical en 2015
60 % d'augmentation des incidents de sécurité dans le secteur médical12
2 % des entreprises du secteur médical aux États-Unis ont signalé au moins un cas de vol
d'identité médicale13
282 % d'augmentation des coûts des failles de sécurité dans le secteur médical au cours des
12 derniers mois14
89 % des prestataires du secteur médical aux États-Unis mettent les données des patients à la
disposition des patients, de substituts et/ou d'autres personnes désignées15
11 types d'outils techniques de sécurité sont mis en œuvre en moyenne par les entreprises du
secteur médical aux États-Unis16
21 % des entreprises du secteur médical aux États-Unis n'utilisent pas de technologie de reprise
sur incident et 51,7 % de celles-ci ont l'intention de s'en procurer une à l'avenir17
54 % des entreprises du secteur médical aux États-Unis ne disposent pas d'un moyen
d'authentification unique (SSO), et 49,3 % d'entre elles ont l'intention de s'en procurer un
à l'avenir18
60 % des entreprises du secteur médical aux États-Unis n'ont pas implémenté de mécanisme
d'authentification à deux facteurs19
19 % des entreprises du secteur médical aux États-Unis déclarent avoir subi une faille de
sécurité l'année dernière20
Seulement 54 % des professionnels de l'informatique auprès des prestataires du secteur
médical aux États-Unis ont testé leur plan d'intervention en cas de fuite de données21
Dans le secteur médical aux États-Unis, les trois premières menaces perçues sont :
(80 %) les travailleurs qui espionnent les données des parents/amis,
(66 %) le vol d'identité financière,
(51 %) le vol d'identité22
Des programmes tels que HIPAA énoncent
des pays du G20, y compris les services publics,
des règles strictes concernant la communication
l'industrie du pétrole et du gaz, l'agriculture
intentionnelle ou accidentelle de renseignements
et la fabrication. Sont également incluses les
personnels, mais peuvent entraîner de nouvelles
entreprises de transport et d'infrastructure de
vulnérabilités. Les prestataires de santé de toute
transport (rail, ports), de logistique et de services
taille doivent se conformer à ces règlementations
médicaux des hôpitaux, et les centrales de
sur les renseignements personnels et leur
production d'électricité.
sécurité.
La
protection
des
renseignements
L'une des plus grandes attractions de
personnels est parfois prioritaire sur les contrôles
l'IIoT est la promesse d'efficacité opérationnelle.
d'accès. L'intégration des appareils connectés
Les techniques d'automatisation et de production
dans les environnements de santé augmente
flexibles conduisent à une augmentation de la
considérablement
dans
productivité pouvant aller jusqu'à 30 pour cent.24
ce secteur, qui ne s'adapte pas à la taille des
Cependant, ces appareils sont tous connectés,
prestataires, ce qui fait des petits prestataires
sont généralement accessibles et sont laissés
des cibles de choix. La protection de ce secteur
sans surveillance, avec peu ou pas de protection
est également difficile en raison des logiciels et
pour leurs terminaux.
des systèmes d'exploitation des équipements
maintenant les patients en vie qui ne peuvent être
connectés dans le secteur de l'industrie sont
mis hors ligne pour mise à jour.
difficiles à mesurer, mais sont généralement
La conformité dans le secteur de la santé se
facteurs de perturbations. Les perturbations
concentre principalement sur les contrôles internes
des infrastructures essentielles ont d'énormes
plutôt que sur la protection de l'information. Bien
implications. Toute panne pourrait avoir un impact
que la conformité des médecins, des infirmières et
sur des centaines, voire des milliers d'entreprises,
des administrateurs ayant accès aux données, mais
de manière difficilement quantifiable.
ayant une connaissance limitée des techniques
de cybercriminalité, est certainement importante,
la
l'accent doit être mis sur la protection des objets
produire le plus grand impact et causer le
connectés et les contrôles d'accès.
plus de perturbations. Par exemple, Google
la
surface
d'attaque
Les répercussions des failles des objets
Parmi tous les progrès actuels de
technologie,
l'IIoT
peut
potentiellement
et Tesla produisant des voitures autonomes
sont susceptibles de perturber une multitude
OBJETS
CONNECTÉS
INDUSTRIELS
de secteurs, y compris l'industrie automobile,
Les objets connectés dans le secteur de l'industrie
des données de santé maintenant occupé par des
(IIoT) sont une tendance significative à la hausse
médecins, des organismes d'assurance et des
en 2015, et ont des implications importantes pour
sociétés pharmaceutiques se déplacerait vers les
l'économie mondiale. Selon Oxford Economics,
particuliers.25
l'assurance automobile et l'octroi de licences
auprès du gouvernement. Le HealthKit d'Apple
est un autre exemple d'objet connecté ayant de
profondes implications. Si les capteurs de santé
et les applications de santé sont soudainement
librement accessibles aux patients, l'écosystème
23
ce segment regroupe les industries qui contribuent
Les avantages de l'efficacité accrue seront
à 62 pour cent du produit intérieur brut (PIB)
rapidement éclipsés en cas de fuites de données.
88 % DES ENTREPRISES ONT SUBI UNE FUITE DE DONNÉES
Sécurisation des objets connectés
dans le secteur de l'industrie
Prévention. Si la protection contre les
Protocoles. Il est recommandé d'utiliser
logiciels malveillants ne peut être implémentée
sur chaque équipement, elle peut résider sur
un point de communication commun à ces
équipements.
une protection prenant en charge les protocoles
ICS/SCADA spécifiques.
Commandes directionnelles.
Les objets connectés devraient émettre
des rapports, et ne recevoir que quelques
commandes en entrée.
Segmentation. Les appareils connectés
devraient communiquer avec un contrôleur
central, et non pas les uns avec les autres.
IDENTIFICATION
DES
RÉPERCUSSIONS
menaces, par opposition à la détection et au
traitement des menaces.
Pour réduire davantage les risques,
intégrez la prévention des fuites de données dans
votre infrastructure de sécurité et faites appel aux
meilleures pratiques lors de la configuration de
vos politiques de sécurité.
Les fuites de données peuvent avoir des impacts
financiers à court terme, qui sont relatifs en
comparaison des dégâts à long terme sur la
position d'une entreprise sur le marché. La valeur
de la marque diminue en moyenne de 21 % en
conséquence directe d'une faille de sécurité.26 La
restauration de votre réputation prend du temps et
dépend de la manière dont la situation est gérée.
Adoptez une approche holistique de
la sécurité au lieu d'assembler des solutions
individuelles. Optez pour la prévention des
« Le succès ne consiste pas
à ne jamais faire d'erreurs,
mais à ne jamais faire deux fois
la même. »
H. W. Shaw (Josh Billings),
humoriste américain
L'équipe de traitement des incidents de Check Point est disponible pour étudier et
résoudre des événements de sécurité complexes résultant d'attaques de logiciels
malveillants, d'intrusions ou d'attaques de déni de service. L'équipe est disponible
24 heures sur 24 et 365 jours par an via [email protected]
ou au +1 866 923 0907.
1
COMPRENDRE
LA SITUATION
À quel point faisons-nous confiance à l'efficacité de
notre cybersécurité contre les menaces zero-day ?
Mes collaborateurs sont-ils correctement formés
sur les cybermenaces et les conséquences
potentielles de leurs actions ?
2
S'ASSURER DE LA
VISIBILITÉ DES ACTIVITÉS
Avons-nous une visibilité claire sur l'activité de
journalisation dans tous les segments de notre
réseau, ou est-ce que la supervision est trop
complexe pour être utile ?
3
PROTÉGER LES CAPACITÉS
DE TRAITEMENT PLUTÔT QUE
LES SERVEURS
Est-ce que les capacités de traitement du Cloud et
des environnements virtuels ou logiciels bénéficient
des mêmes protections que celles gérées par mon
datacenter ?
4
SE PRÉPARER
Est-ce que les politiques de l'entreprise protègent
les informations et les ressources dans tous les
environnements ?
Comment la direction est-elle informée du niveau
actuel de menace et de l'impact potentiel des
cyberattaques sur notre activité ?
PRENEZ DES MESURES
LORSQUE VOUS RÉFLÉCHISSEZ À
VOS OBJECTIFS EN MATIÈRE DE
CYBERSÉCURITÉ, POSEZ-VOUS
CES QUESTIONS
LANCEZ-VOUS
Découvrez les menaces actives sur votre réseau et les points faibles que vous
pouvez corriger/améliorer. Rendez-vous sur :
checkpoint.com/resources/securitycheckup
6
CONSERVEZ UNE
LONGUEUR D'AVANCE
« Être bien préparé, c'est être à mi-chemin de la victoire. »
Miguel de Cervantes, auteur
Mobilité
Anglais et américains utilisent en moyenne 3 appareils mobiles par personne.1
Les employés combinent utilisation personnelle et professionnelle de leurs équipements,
et jusqu'à 5 appareils mobiles sont infectés.2
IoT
En 2016, 5,5 millions de nouveaux « objets » vont se connecter tous les jours.3
Cloud
Les dépenses mondiales en logiciels d'entreprise augmenteront de 7,5 pour cent
pour atteindre 133 milliards d'euros en 2015.4
Pour qu'une stratégie de sécurité soit efficace,
vous devez comprendre les agresseurs. Le rapport
connectés et les applications dans le Cloud offrent
de cette année montre que l'environnement des
de nouvelles libertés, mais ces libertés comportent
menaces continue de croître en complexité puisqu'il
de nouveaux risques de sécurité. Pour chaque
est plus facile que jamais d'obtenir et déployer
modèle d'entreprise perturbatrice, un service
des logiciels malveillants. Un million de nouveaux
informatique réfléchit à la façon de le protéger.
logiciels malveillants étaient lancés en 2005. En
Par exemple, les communications des appareils
2015, ce sont un million de logiciels malveillants
mobiles utilisés pour comptabiliser les stocks
lancés chaque jour.5 Les logiciels malveillants
en entrepôt ne doivent pas être compromises ni
sont de plus en plus faciles à obtenir et à lancer.
interceptées. Les appareils qui automatisent les
Examinez les attaques réussies, les dernières
relevés médicaux, la distribution d'énergie ou l'air
vulnérabilités et les tendances d'attaques pour
conditionné des bureaux, doivent être correctement
créer une stratégie de sécurité adaptée à votre
protégés de toute commande à distance risquant
entreprise.
de les perturber. Les applications dans le Cloud ne
Déterminez ensuite l'étendue de la surface
devraient pas comporter d'interface ouverte non
d'attaque de votre entreprise. Les frontières de
contrôlée permettant à des pirates d'entrer dans
l'entreprise continuent de s'étirer et se brouiller, ce
votre réseau.
qui complique encore plus la sécurité. Les serveurs
et les ordinateurs de l'entreprise ne définissent
connectés sous forme distincte augmentera la
plus ces frontières. Elles sont repoussées par un
complexité de la gestion de la sécurité. Idéalement,
nombre record d'appareils mobiles, d'applications
la sécurité des objets connectés, que ce soit des
dans le Cloud, et un nombre croissant d'objets
biens de consommation ou des systèmes SCADA
connectés dont votre service informatique n'a pas
industriels, peut être intégrée à l'architecture de
conscience. Ces outils améliorent la productivité,
sécurité unifiée et gérée par la même console que
mais
les autres segments du réseau.
chaque
extension
des
frontières
de
Les
appareils
mobiles,
les
objets
La gestion de la sécurité des objets
l'entreprise doit être protégée.
CONSERVEZ UNE LONGUEUR D'AVANCE | 49
Conformité : la vraie raison
des meilleures pratiques
Savez-vous comment se nomme un groupe de méduses ? Bien qu'il n'existe pas de nom
spécifique pour désigner un groupe de personnes qui rédigent les règlementations en matière de
cybersécurité, comme dans le règne animal, les régulateurs semblent former des groupes. La
preuve d'un comportement de groupe apparaît dans les nombreuses exigences communes que
les régulateurs intègrent aux règles de cybersécurité qui émanent des entreprises du secteur
de l'industrie et du secteur public. Face à ce tissu complexe de règlementations et de lois,
l'utilisation des meilleures pratiques peut vous aider à tirer parti des exigences communes pour
simplifier et améliorer la conformité et la sécurité.
Par meilleures pratiques, nous entendons les lignes directrices qui ont pour objectif
d'optimiser la configuration des solutions de cybersécurité. L'élimination des erreurs humaines
est la principale raison de l'utilisation des meilleures pratiques. Selon Gartner, « Jusqu'en 2020,
99 % des failles des pare-feux seront causées par de simples erreurs de configuration du parefeu, et non des défauts. »6 Lewis Morgan déclare à propos de la gouvernance : « L'erreur humaine
est la cause de la plupart des fuites de données. Ce n'est donc pas un secret que la plus grande
menace pesant sur les données d'une entreprise provient de ses propres employés, que ce soit un
acte délibéré ou non. »7
Compte tenu de l'impact profond que peuvent avoir les erreurs de configuration sur la
sécurité et la conformité, les chercheurs de Check Point se sont intéressés à la manière dont
les entreprises utilisent efficacement les meilleures pratiques, et leur impact sur la conformité.
Ils ont surveillé la configuration des contrôles de sécurité tels que les pare-feux, les systèmes
de détection/prévention d'intrusions, les antivirus et autres, et ont produit des indices sur la
conformité.
Nos chercheurs ont été surpris de découvrir que 53,3 pour cent des paramètres de
configuration sont définis conformément aux meilleures pratiques du secteur. Les niveaux de
conformité avec les différents secteurs et normes réglementaires sont présentés dans le tableau
suivant :
Niveaux de conformité à 4 règlementations par secteur
SECTEUR
RÉGLEMENTATION
ÉTAT DE LA CONFORMITÉ
Sécurité HIPAA
59 %
Sécurité informatique générale
ISO 27001
64 %
Énergie
NERC CIP
67 %
PCI DSS 3.1
60 %
Médical
Cartes de paiement
50 | CONSERVEZ UNE LONGUEUR D'AVANCE
Notre étude montre qu'un segment important de professionnels de l'informatique à
travers un large éventail de secteurs n'optimise pas les configurations pour la sécurité et la
conformité. Pour comprendre cela plus en détail, le tableau 2 ci-dessous montre la conformité
avec les meilleures pratiques pour les entreprises des secteurs des infrastructures critiques et
de la finance.
Niveaux de conformité par norme de configuration et par secteur
MEILLEURE PRATIQUE
TOUS SECTEURS
INFRASTRUCTURES
CRITIQUES
SERVICES
FINANCIERS
Activer l'anti-usurpation
70,0 %
75,5 %
65,0 %
Assurer la documentation
correcte des règles du
pare-feu
28,0 %
30,0 %
30,0 %
Définir les options de
supervision des règles de
sécurité
20,0 %
22,0 %
30,0 %
Bloquer les applications
et les sites web à haut
risque
49,5 %
54,0 %
45,0 %
Il est intéressant de noter que 3 entreprises sur 10 ne profitent pas de la technologie anti-
usurpation, et qu'une entreprise sur deux ne restreint pas l'accès aux applications à haut risque.
Compte tenu des risques associés à ces techniques de sécurité, ce sont des statistiques explosives.
Une autre constatation pertinente est que la base de règles n'est pas entièrement documentée pour
trois politiques de pare-feu sur quatre.
Meilleures pratiques et reporting
Les meilleures pratiques peuvent également vous aider pour le reporting et la supervision continue
de la conformité, notamment dans le cas d'un audit. La règle 11 de PCI-DSS,8 HIPAA CFR 160164,9 FISMA,10 FERPA 99.62,11 la règle 4530 de FINRA et de nombreuses autres réglementations,
nécessitent la supervision de la sécurité et des procédures de reporting. Une fois que vous avez
réglé la question de la configuration, vous pouvez citer les meilleures pratiques pour structurer
efficacement le contenu des rapports d'audit.
BEAUCOUP DE
FEUX, TRÈS PEU
DE POMPIERS
Il n'existe pas assez de professionnels de
la sécurité pour supporter la demande croissante
en administration et en supervision des systèmes
informatiques, et les professionnels disponibles
doivent jongler entre demandes de routine et
alertes urgentes. Ils sont également accaparés par
les processus manuels et les systèmes cloisonnés.
Avec tant de logiciels malveillants, tant de vecteurs
Ils ont besoin d'outils avancés de prévention des
d'attaques et tant d'appareils à protéger, aucune
menaces s'appliquant à tous les points, avec
entreprise, grande, petite, privée ou publique,
administration centralisée et exécution méthodique,
n'est à l'abri. Nous courrons tous des risques.
pour les aider. Les systèmes d'administration qui
À mesure que les menaces et les attaques se
améliorent l'efficacité sont essentiels.
développent, le nombre d'appareils et d'outils
de sécurité que votre service informatique doit
sécurité
gérer suit cette tendance. Même avec des budgets
à la constante expansion du périmètre des
informatiques illimités, le nombre de personnes
réseaux,
qualifiées reste limité !
fondamentalement transformer leur approche
Les
ne
les
approches
suffisent
équipes
traditionnelles
plus.
Pour
informatiques
de
la
s'adapter
doivent
FENÊTRE D’EXPOSITION ENTRE
VULNÉRABILITÉ ET DÉCOUVERTE
100 %
Fenêtre d’exposition de plusieurs jours ou moins
Délai jusqu’à vulnérabilité
(tendance)
Délai jusqu’à vulnérabilité
(réel)
75 %
Délai jusqu’à découverte
(tendance)
50 %
67 %
Délai jusqu’à découverte
(réel)
56 % 55 % 61 % 67 % 62 % 67 % 89 % 62 % 76 % 62 % 84 %
25 %
%
0%
2005
2007
2009
2011
2013
6.1
Fenêtre d’exposition
entre vulnérabilité
et découverte
2015
SOURCE : Enquête de Verizon sur les fuites de données en 2016, page 10
de la sécurité. Traditionnellement composée
tout derniers correctifs et faire en sorte qu'ils se
d'une série de modules administrés et supervisés
propagent sur tous les appareils et les ordinateurs
individuellement, la sécurité doit devenir un
du
système
sécurité
Renforcez votre politique de gestion des correctifs
d'aujourd'hui doit regrouper l'administration de
par des solutions capables de stopper les attaques
la sécurité des appareils mobiles, des appareils
connues. Celles-ci devraient inclure un antivirus
connectés et des systèmes dans le Cloud, sous une
traditionnel, un système de prévention d'intrusions
seule architecture d'administration souple capable
et un pare-feu de nouvelle génération, alimentés
de prendre en charge plusieurs environnements
continuellement par les renseignements les plus
distribués dans le Cloud. La sécurité moderne
récents sur les menaces.
doit être rapide, ouverte, intégrée, et surtout,
administrée à partir d'une seule console.
les appareils mobiles brouillent les lignes entre
unifié.
L'architecture
de
réseau.
Soyez
organisé
et
méthodique.
Comme vous l'avez vu dans le chapitre 3,
Il suffit d'un point d'entrée et de quelques
l'utilisation personnelle et professionnelle. Un
minutes à un pirate chevronné pour pénétrer dans
appareil infecté par des logiciels malveillants non
votre réseau. Les pirates sont plus efficaces que
détectés risque d'infecter la totalité du réseau.
jamais pour entrer et repartir avec des données.
Il est donc essentiel de créer un environnement
Il est donc essentiel de se concentrer sur la
professionnel protégé sur tout appareil mobile.
prévention, et non plus seulement sur la détection.
Les toutes dernières conclusions de l'enquête de
continue du nombre de logiciels malveillants
Verizon sur les fuites de données en 2016 montrent
inconnus, aussi bien les véritables vulnérabilités
que chaque minute compte, car année après année,
zero-day
les pirates parviennent à compromettre les réseaux
d'anciens logiciels malveillants. Ces attaques
plus rapidement qu'ils ne peuvent être détectés.
sont plus difficiles à détecter. De nombreux
Le chapitre 4 présente l'augmentation
que
les
variantes
reconditionnant
pirates apprennent à contourner les bacs à sable
de première génération qui ont été installés ces
dernières années. Heureusement, les solutions
modernes parviennent à détecter les attaques
SOYEZ ORGANISÉ
avant que le code malveillant ne soit déployé.
Toute sécurité proactive se doit d'intégrer
un ensemble d'outils de sécurité fondamentaux
Comme vous l'avez vu dans les chapitres 2 et
pour protéger entièrement votre entreprise :
4, les logiciels malveillants inconnus sont en
prévention avancée des menaces, protection des
progression. Cependant, la majorité des attaques
appareils mobiles et segmentation du réseau
de 2015 provenaient de logiciels malveillants
afin qu'il puisse être surveillé de près. À une
connus, âgés de plus d'un an. La plupart de ces
époque où les coûts sont examinés attentivement,
attaques aurait pu être évitée. Il est nécessaire de
maximisez l'efficacité et la productivité de votre
bien organiser et automatiser le déploiement des
équipe informatique.
« La meilleure façon de prédire l'avenir est de l'inventer. »
Alan Kay, informaticien
Que vous le fassiez vous-même ou le
déléguiez à une équipe entière, des tâches
telles que l'installation de serveurs en rack
et l'ajustement de la température de l'air
conditionné de la salle des serveurs deviennent
rapidement le problème de quelqu'un d'autre :
quelqu'un travaillant dans un datacenter.
Cisco estime que 83 pour cent du trafic des
datacenters deviendra du trafic dans le Cloud
en 2019.12 La migration à grande échelle vers
le Cloud signale un changement fondamental.
Les infrastructures matérielles résidant dans
des datacenters en entreprise migrent vers
des infrastructures logicielles fonctionnant
sur des ensembles dynamiques de ressources
de traitement et de stockage. La transition
vers le Cloud est un moment propice pour
repenser aux solutions dont vous aurez
besoin pour protéger les actifs et les services
informatiques de votre entreprise quand ils
émaneront d'une plate-forme dans le Cloud, et
ce que cela signifie pour votre rôle en tant que
professionnel de l'informatique.
Repensez les
rôles de sécurité
Le Cloud vous permet de proposer
des services extensibles plus rapidement et
à moindre coût sur des plates-formes telles
que Microsoft Azure, Amazon Web Services et
Google Cloud Platform, qui sont généralement
plus efficaces que leurs homologues dans des
datacenters en entreprise. Par exemple, les
datacenters dans le Cloud ont généralement
des densités plus élevées de machines
virtuelles hébergées sur des serveurs que dans
les environnements virtuels en entreprise.
La bande passante du Cloud s'adapte à des
pics de trafic et les ressources informatiques
disponibles à la demande rendent les services
plus fiables, plus évolutifs et plus économiques.
En laissant les prestataires d'infrastructure
sous forme de service (IaaS) et d'applications
sous forme de service (SaaS) gérer les
problèmes de matériel et de bande passante,
vous pouvez vous concentrer davantage sur
l'aspect logiciel de votre activité : déploiement
de portails d'applications en libre-service,
création de politiques, meilleures pratiques,
supervision de la sécurité.
La transition vers des réseaux hybrides
et dans le Cloud public ne signifie pas que les
services et les mesures de sécurité nécessaires
pour les protéger seront fondamentalement
différents. Dans le Cloud, vous avez toujours
besoin de fonctions de prévention des menaces,
de protection de la messagerie, du web et des
applications. Ce sont les mesures que vous
utilisez actuellement pour protéger votre
réseau sur site.
Même si les besoins en sécurité
restent constants, les rôles changent
lorsque vous migrez vers le Cloud. Ce ne
sont plus les administrateurs informatiques
et les administrateurs de la sécurité qui
décident des contrôles de sécurité et de
l'infrastructure, mais les développeurs
d'applications. Les administrateurs et les
développeurs d'applications devraient
étudier les moyens de combler le fossé des
connaissances qui sépare l'administration
informatique, l'administration de la sécurité
et le développement d'applications.
Vous devez aligner la sécurité avec les
flux des services applicatifs et les processus
d'orchestration qui vous permettent de
protéger les services et les données, et
d'appliquer des politiques de sécurité peu
importe l'origine ou la destination de vos
services.
Un serveur est un serveur, qu'il soit
dans votre datacenter ou dans un datacenter
dans le Cloud. Cependant, lorsque les serveurs
sont hébergés ailleurs, vous devez reporter
votre attention sur l'aspect logiciel du réseau et
de la sécurité.
L'axiome de Benjamin Franklin précisant « qu'une once de prévention vaut une livre
de guérison » est particulièrement valide à l'ère des logiciels malveillants et des
vulnérabilités zero-day inconnues. Idéalement, les ressources informatiques limitées
sont mieux investies dans la prévention des menaces que sur l'analyse des alertes et
le traitement des incidents de sécurité.
PRÉVENTION
ARCHITECTURE
1
1
CYBERSÉCURITÉ
MULTICOUCHES
SIMPLIFIEZ L'ADMINISTRATION
DE LA SÉCURITÉ
Les menaces revêtent de nombreuses formes.
Voici les technologies de sécurité à intégrer parmi
vos couches de sécurité : prévention des menaces
de nouvelle génération, pare-feu, contrôle des
applications, antibots, antivirus, prise en charge
des identités, protection de la messagerie et
antispam, système de prévention d'intrusions et
filtrage des URL.
L'utilisation de plusieurs consoles pour administrer
la sécurité de chaque segment réseau est inefficace.
Elle conduit à des erreurs de configuration qui
dégradent la sécurité. La gestion de toutes
les fonctions de sécurité, des segments et des
environnements via une console unique simplifie
l'administration d'une sécurité plus robuste et plus
facile à gérer.
2
2
BLOCAGE DES LOGICIELS
MALVEILLANTS DÈS
LE PREMIER CONTACT
La prévention des menaces en temps réel qui
bloque les logiciels malveillants dès le premier
contact est la nouvelle référence en matière
d'efficacité de la sécurité.
3
CORRECTIFS
VIRTUELS
Les correctifs virtuels protègent contre les
exploitations de vulnérabilités inopinées et offrent
une protection jusqu'à ce que les correctifs pour
les vulnérabilités connues soient disponibles
et déployés.
UNIFIEZ
LES CONTRÔLES
Implémentez des contrôles unifiés dans tous les
réseaux, systèmes, postes et environnements,
y compris les environnements traditionnels,
virtuels, mobiles et hybrides, dans le Cloud, et les
objets connectés.
PRENEZ DES MESURES
CONSERVEZ UNE LONGUEUR D'AVANCE
SEULS LES FAITS
COMPTENT
Découvrez les résultats de tests
impartiaux sur les taux de blocage
des logiciels malveillants, de
prévention des menaces en temps
réel, de gestion de l'évolutivité et
plus encore.
Téléchargez le rapport « Assez de
surenchère – Place aux faits ! » sur checkpoint.com/facts
RÉFÉRENCES
Chapitre 2
1 Harrison Virginie et Pagliery Jose. « Près d'un million de nouvelles menaces sont déclenchées tous les
jours. » CNN Money, 14 avril 2015.
http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/
2 Chickowski Ericka. « Les 5 tendances d'exploitation de vulnérabilités derrière les attaques
d'aujourd'hui. » Dark Reading, 17 février 2016.
http://www.darkreading.com/perimeter/5-exploit-trends-driving-attacks-today/d/d-id/1324352
3 Cisco. « Indice Cisco Global Cloud : prévisions et méthodologie, livre blanc 2014-2019 », 21 avril 2016.
4 Weins Kim. « Tendances du Cloud : Enquête sur l'état du Cloud en 2016 ». RightScale, 9 février 2016.
http://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2016-state-cloudsurvey
5 Statistiques sur les logiciels malveillants. AV-TEST. https://www.av-test.org/en/statistics/malware/
6 Statistiques sur les logiciels malveillants. AV-TEST. ibid.
Chapitre 3
1 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014
http://www.comscore.com/Insights/Presentations-and-Whitepapers/2014/The-US-Mobile-App-Report
2 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014. ibid.
3 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014. ibid.
4 Sécurité informatique. « BYOD & Mobile Security Report Spotlight 2016. » Scribd.
https://www.scribd.com/doc/309703246/BYOD-and-Mobile-Security-Report-2016
Chapitre 4
1 Statistiques Internet mondiales, « Internautes dans le monde par région en 2015. »
http://www.internetworldstats.com/stats.htm
2 Statistiques Internet mondiales, « Taux de pénétration d'Internet par région, mise à jour de novembre
2015. » http://www.internetworldstats.com/stats.htm
3 Kerner Sean Michael. « Heartbleed demeure un risque 2 ans après sa découverte », eWeek, 7 avril 2016.
http://www.eweek.com/security/heartbleed-remains-a-risk-2-years-after-it-was-reported.html
4 Alerte US Cert TA15-051A, « Le logiciel publicitaire Lenovo Superfish est vulnérable à l'usurpation
HTTPS. » US-CERT, 24 février 2015. https://www.us-cert.gov/ncas/alerts/TA15-051A
Chapitre 5
1 Korolov Maria. « Ponemon : le coût moyen d'une fuite de données est maintenant de 136 € par dossier. »
CSO, 27 mai 2015. http://www.csoonline.com/article/2926727/data-protection/ponemon-data-breachcosts-now-average-154-per-record.html
2 Gemalto. « Gemalto publie son indice de niveau de faille en 2015 », 23 février 2016.
http://www.gemalto.com/press/Pages/Gemalto-releases-findings-of-2015-Breach-Level-Index.aspx
56 | RÉFÉRENCES
3 Raytheon Websense. « Rapport de 2015 sur les services financiers », juin 2015.
4 Makovsky. « Les fuites de données et l'incapacité à protéger les informations personnelles
endommagent la réputation et les activités de Wall Street, » 28 mai 2015. http://www.makovsky.com/
news/data-breaches-and-failure-to-protect-personal-info-further-damage-wall-streets-reputationand-business-2/
5 PwC. « Enquête sur l'état de la sécurité de l'information en 2015 - Gestion des risques informatiques
dans un monde interconnecté », 2015. http://www.pwccn.com/home/eng/rcs_info_security_2015.html
6 Étude Makovsky sur la réputation de Wall Street op. cit.
7 Étude Makovsky sur la réputation de Wall Street ibid.
8 Étude Makovsky sur la réputation de Wall Street ibid.
9 Enquête sur l'état de la sécurité de l'information op. cit.
10 Étude Makovsky sur la réputation de Wall Street op. cit.
11 Wagstaff Jeremy. « Les données médicales Saint-Graal des cybercriminels, sont désormais la cible
de l'espionnage », Reuters, juin 2015. http://www.reuters.com/article/cybersecurity-usa-targetsidUSL3N0YR30R20150605
12 Enquête sur l'état de la sécurité de l'information op. cit.
13 6e enquête HIMSS annuelle sur la sécurité.
http://www.himss.org/2013-himss-security-survey?ItemNumber=28270
14 6e enquête HIMSS annuelle sur la sécurité ibid.
23 Copyright Oxford Economics, Ltd. Base de données mondiale des secteurs.
http://www.oxfordeconomics.com/forecasts-and-models/industries/data-and-forecasts/globalindustry-databank/overview
24 Heng Stefan. « Industrie 4.0 : un énorme potentiel de création de valeur en attente d'être exploité »,
étude Deutsche Bank, mai 2014. http://www.dbresearch.com/servlet/reweb2.ReWEB?rwsite=DBR_
INTERNET_EN-PROD&rwobj=ReDisplay.Start.class&document=PROD
25 Boulton Clint. « L'intérêt d'Apple pour la santé vient à point », The Wall Street Journal, 10 juin 2014.
http://blogs.wsj.com/cio/2014/06/10/apples-new-health-focus-comes-at-propitious-time/
26 Experian. « Impact d'une fuite de données sur la réputation. »
https://www.experian.com/assets/data-breach/white-papers/reputation-study.pdf
RÉFÉRENCES | 57
Chapitre 6
1 Statista. « Nombre moyen d'appareils connectés utilisés par personne dans certains pays en 2014. »
http://www.statista.com/statistics/333861/connected-devices-per-person-in-selected-countries/
2 Sécurité informatique. « BYOD & Mobile Security Report Spotlight 2016. » Scribd.
https://www.scribd.com/doc/309703246/BYOD-and-Mobile-Security-Report-2016
3 Gartner. « Gartner indique que 6,4 milliards d'objets connectés seront utilisés en 2016, soit 30 pour cent de
plus qu'en 2015 », 10 novembre 2015. http://www.gartner.com/newsroom/id/3165317
4 Gartner. « Gartner indique que les projets de modernisation et de transformation numérique sont à l'origine
de la croissance du marché des applications d'entreprise », 27 août 2015.
http://www.gartner.com/newsroom/id/3119717
5 AV-TEST. « Statistiques sur les logiciels malveillants. » https://www.av-test.org/en/statistics/malware/
6 Gartner. « Une seule marque de pare-feu est une bonne pratique pour la plupart des entreprises. » 18 février
2016. https://www.gartner.com/doc/3215918?ref=SiteSearch&sthkw=One%20Brand%20of%20Firewall%20
is%20a%20Best%20Practice%20for%20Most%20Enterprises&fnl=search&srcId=1-3478922254
7 Morgan Lewis. « Cinq fuites de données catastrophiques causées par une erreur humaine », IT Governance
Blog, 17 février 2016. https://www.itgovernance.co.uk/blog/five-damaging-data-breaches-caused-by-humanerror/
8 Conseil de normes de sécurité PCI. « Sécurité des paiements. »
https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security
9 Département de la Santé et des Services sociaux des États-Unis. « Résumé de la règle de sécurité HIPAA. »
http://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/
10 Institut national des normes et de la technologie. « Projet de mise en œuvre de la loi sur la gestion de la
sécurité de l'information (FISMA). » http://csrc.nist.gov/groups/SMA/fisma/
11 Département de l'Éducation des États-Unis. « Loi sur la vie privée et les droits éducatifs de la famille
(FERPA). » http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html
12 Cisco. « Indice Cisco Global Cloud : Prévisions et méthodologie, livre blanc 2014-2019 », page 5, 21 avril 2016.
À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com), le leader mondial dédié à la sécurité,
propose des solutions de pointe qui protègent les entreprises des cyberattaques, avec un taux de
blocage inégalé des logiciels malveillants et autres types d'attaques. Check Point propose une
architecture de sécurité complète qui défend les réseaux des entreprises et les appareils mobiles,
ainsi que l'administration de la sécurité la plus complète et la plus intuitive. Check Point protège plus
de 100 000 entreprises de toute taille.
© 2016 Check Point Software Technologies Ltd. Tous droits réservés.
58 | RÉFÉRENCES
SIÈGE MONDIAL
5 Ha’Solelim Street, Tel Aviv 67897, Israël
Tél. : +972 3 753 4555 | Fax : +972 3 624 1100
Email : [email protected]
SIÈGE FRANÇAIS
120 avenue Charles de Gaulle, 92200 Neuilly sur Seine, France
Tél. : +33 (0)1 55 49 12 00 | Email : [email protected]
checkpoint.com

2016RAPPORT SÉCURITÉ

Transcription

Documents pareils

QUESTIONS nettoyage des PC Note : Certains composants de

Bulletin du 18 Octobre

Outils et techniques d`analyse de code malveillant

livre blanc - Bitdefender

Lecture: Les mots de passe ‐ 1 ‐ Motivation Ce document à pour but

Cyber Risk Report 2015 Executive summary report - Crack

Supprimer les logiciels malveillants