2016RAPPORT SÉCURITÉ
Transcription
2016RAPPORT SÉCURITÉ
2016 RAPPORT SÉCURITÉ 1. INTRODUCTION ET MÉTHODOLOGIE 04-11 2. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS 12-19 3. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 20-27 4. ÉTUDE DES MODÈLES D'ATTAQUES 28-37 5. RÉPERCUSSIONS DE L'INSÉCURITÉ 38-47 6. CONSERVEZ UNE LONGUEUR D'AVANCE 48-55 RÉFÉRENCES 56-58 2016 RAPPORT SÉCURITÉ CHECK POINT – RAPPORT SÉCURITÉ 2016 | 3 1 INTRODUCTION ET MÉTHODOLOGIE « Nous subissons la technologie alors que nous voulons juste quelque chose qui fonctionne. » Douglas Adams, auteur et satiriste 4 | CHECK POINT – RAPPORT SÉCURITÉ 2016 « Le prix de la plus importante faille de 2015 est décerné à l'OPM (le Bureau de la gestion du personnel, une agence du gouvernement américain). Des pirates originaires de Chine sont restés dans les réseaux d'OPM pendant plus d'un an avant d'être découverts. Lorsque la brèche a finalement été découverte, les premières estimations ont placé le nombre de victimes à quatre millions. Ce chiffre a ensuite dépassé 21 millions, dont environ 19 millions de personnes qui ont demandé des autorisations gouvernementales de sécurité et ont été soumises à des vérifications d'antécédents, et 1,8 million de conjoints et partenaires de ces candidats. « Les pirates ont mis la main sur un trésor de données confidentielles, y compris les formulaires SF-86 des personnes qui ont demandé des autorisations. Ces formulaires peuvent contenir une grande quantité de données confidentielles, non seulement sur les employés qui cherchent à obtenir une autorisation de sécurité, mais également sur leurs amis, leurs conjoints et autres membres de leur famille. — Wired Magazine, 23 décembre 2015 Même si plusieurs failles notables se sont protéger votre entreprise, vos données et vos produites en 2015, la faille OPM a suscité clients, nous avons tissé des recommandations beaucoup d'attention car il a fallu plus d'un an dans chacun des chapitres du rapport. Chaque pour la découvrir, et les répercussions de cette faille est un apprentissage qui nous incite à mieux faille particulière sont considérables. En lisant nous protéger. Nous avons tous à apprendre de le Rapport Sécurité de cette année, il apparaît l'expérience d'OPM. clairement que le modèle de protection de la sécurité qui réagit aux menaces ne suffit plus à de protéger les entreprises d'aujourd'hui. La défaite auprès du Bureau de la gestion du personnel, devient une possibilité réelle. Ce type de faille le peut arriver à tout le monde. Pour vous aider à humaines du gouvernement des États-Unis. En avril 2015, près de 21 millions dossiers personnels référentiel central ont des été dérobés ressources INTRODUCTION ET MÉTHODOLOGIE | 5 Ces formulaires l'extraction de données pendant plusieurs mois. détaillés des demandes d'autorisation de sécurité dossiers comprenaient À mesure que les réseaux se développent et sont ainsi que les empreintes digitales de 5,6 millions segmentés, puis reconnectés, il peut être difficile d'employés. du de maîtriser le schéma des ressources du réseau. gouvernement, il s'agit de l'une des plus grandes Le volume des attaques ciblant les frontières de fuites de données gouvernementales de l'histoire plus en plus floues du réseau complique encore des États-Unis. plus les choses. La faille OPM montre clairement Selon Andy Ozment, un représentant du la nécessité d'une architecture de sécurité unifiée Département de la sécurité intérieure des États- couvrant tous les environnements serveurs et tous Unis, la faille a débuté près d'un an avant sa les types de postes, avec des mesures de sécurité découverte. Les agresseurs ont d'abord obtenu préventives en temps réel ainsi que des mesures des identifiants utilisateur valides pour accéder qui appliquent uniformément la prévention des au système, probablement par des méthodes fuites de données. L'analyse proactive des réseaux d'ingénierie sociale. Une fois à l'intérieur, ils ont internes, la segmentation des éléments du réseau activé un logiciel malveillant qui a ouvert une et l'authentification multifacteurs, contribuent porte dérobée pour garantir un accès continu. Ils également à assurer la sécurité. Celles-ci doivent ont ensuite élevé leurs privilèges pour accéder à faire partie de la posture de sécurité de chaque d'autres systèmes d'OPM. entreprise. Cet incident illustre la manière dont l'analyse des méthodes utilisées en dit long sur une modeste brèche dans un réseau peut se un agresseur et ses motivations, et comment vous développer à grande échelle pour conduire à pouvez mieux vous en protéger à l'avenir. Selon des les représentants Lorsqu'une attaque est réussie, À votre tour d'implémenter la prévention Toutes les entreprises peuvent tirer des enseignements de la faille OPM. Empêcher les attaques avant qu'elles n'infligent des dégâts et utiliser une architecture de sécurité unifiée pour simplifier et renforcer la sécurité est essentiel dans le paysage des menaces d'aujourd'hui. Segmentez votre réseau et appliquez des politiques de sécurité uniformes à tous les segments à l'aide d'une architecture de sécurité unifiée. Les correctifs ne sont pas entièrement efficaces. Utilisez les correctifs virtuels du système de prévention d'intrusions pour assurer une protection entre les phases de mises à jour périodiques. Stoppez les infections de logiciels malveillants en temps réel grâce à la prévention des menaces au niveau du processeur et du système d'exploitation. Supervisez tous les segments réseau via une console unique. 6 | INTRODUCTION ET MÉTHODOLOGIE UNE JOURNÉE TYPIQUE EN ENTREPRISE MINUTES TOUTES LES 81 SECONDES Un logiciel malveillant connu est téléchargé TOUTES LES 4 MINUTES Une application à haut risque est utilisée SECONDES TOUTES LES 4 SECONDES TOUTES LES 53 SECONDES Un bot communique avec son serveur de commande et de contrôle Un logiciel malveillant connu est téléchargé TOUTES LES 5 SECONDES Un poste accède à un site web malveillant TOUTES LES 30 SECONDES Un événement d’émulation de menace se produit TOUTES LES 32 MINUTES Des données confidentielles sont envoyées à l’extérieur de l’entreprise 1.1 SOURCE : Check Point Software Technologies INTRODUCTION ET MÉTHODOLOGIE | 7 ENTREPRISES ÉTUDIÉES PAR RÉGION EMEA AMÉRIQUES 35 % 26 % APAC 1.2 39 % SOURCE : Check Point Software Technologies SOURCES DE L'ÉTUDE CHECK POINT entier tout au long de 2015 : les conclusions Pour conserver une longueur d'avance, nous des tendances externes et les connaissances de avons nos équipes de recherche pour développer les recueilli des données d'événements provenant de différentes sources dans le monde 8 | INTRODUCTION ET MÉTHODOLOGIE de plus de 1 100 rapports Security Checkup, des événements découverts via ThreatCloud (qui est connecté à plus de 25 000 passerelles dans le monde), et plus de 6 000 rapports de passerelles transmis à Threat Emulation Cloud. Nous avons combiné ces données avec l'analyse recommandations de chaque section. ENTREPRISES ÉTUDIÉES PAR SECTEUR ? 40% INDUSTRIE 23% AUTRE* 15% FINANCE 13% GOUVERNEMENT 4% COMMERCE DE DÉTAIL ET DE GROS 4% TÉLÉCOM. 1% CONSEIL * Juridique, loisirs/hospitalité, publicité/medias, placements, autres 1.3 STRUCTURE DU RAPPORT SÉCURITÉ 2016 SOURCE : Check Point Software Technologies les tendances d'attaques, rencontrés par les entreprises, ainsi que l'impact du nombre croissant d'appareils mobiles dans l'entreprise. Nous examinons également les impacts des attaques réussies sur les entreprises et les dépenses supplémentaires qui vont bien au-delà des coûts évidents de désinfection Notre Rapport Sécurité 2016 se penche sur les logiciels malveillants connus et inconnus, et de logiciels malveillants et comment ils profitent Le chapitre 2 analyse les différents types INTRODUCTION ET MÉTHODOLOGIE | 9 75 % des entreprises ont subi des infections de bots 82 % des entreprises ont accédé à un site web malveillant 88 % des entreprises ont subi un incident de fuite des entreprises de données ont téléchargé un fichier malveillant 89 % 94 % 2015 EN CHIFFRES des entreprises ont utilisé au moins une application à haut risque 400 % 1.4 10 | INTRODUCTION ET MÉTHODOLOGIE 1,5 milliard d’augmentation de fichiers analysés des fuites de dans ce rapport données durant les trois dernières années SOURCE : Check Point Software Technologies du comportement des utilisateurs. La majorité des pourcentage nettement plus élevé d'utilisateurs failles à grande échelle de 2015 a été rendue possible actifs et de l'abondance des ressources. Quant par l'exploitation de vulnérabilités existantes, des aux vecteurs d'attaques préférés des pirates, logiciels malveillants connus et, bien sûr, des l'exécution de code telle que ROP (return- méthodes d'ingénierie sociale. Même si le nombre oriented programming) est apparue comme d'utilisateurs qui tente d'accéder à des sites étant le vecteur d'attaque le plus populaire parmi malveillants augmente, le service informatique les pirates, puisque le déploiement de parades parvient à les en empêcher légèrement plus aux vulnérabilités de dépassement de mémoire rapidement, ce qui limite l'efficacité de ce vecteur tampon a rendu les vecteurs d'attaque les plus d'attaque. Les infections de bots diminuent, mais populaires de 2014 moins attrayants. Dans la fréquence de leurs tentatives de communication l'ensemble, les vulnérabilités se sont légèrement par jour est nettement plus élevée. repliées en 2015, mais les éditeurs comptant les Le chapitre 3 analyse la manière dont vulnérabilités les plus critiques ont changé. Les la révolution mobile continue d'engendrer de tendances peuvent changer, mais si les entreprises nouvelles possibilités d'attaque à mesure qu'un ne parviennent pas à implémenter des correctifs plus grand nombre d'appareils mobiles échappant vitaux, les vecteurs d'attaques ne s'éteindront à tout contrôle entre dans l'entreprise. Les jamais vraiment. entreprises réalisent qu'elles ne peuvent pas empêcher facilement les employés de connecter soient bien documentés, l'impact financier global leurs appareils personnels aux ressources de est beaucoup plus élevé. Dans le chapitre 5, nous l'entreprise, car elles ont découvert que l'utilisation explorons les répercussions de l'insécurité, et des appareils personnels en entreprise (BYOD) présentons des exemples dans les secteurs de augmente productivité. la finance, de la santé et de l'industrie. Maintenir Malheureusement, la plate-forme mobile est une la vitesse de l'activité de l'entreprise tout en la cible attrayante pour les agresseurs, la plupart des protégeant est votre meilleure stratégie financière. entreprises n'ayant pas implémenté de contrôles pour les protéger efficacement. maîtriser tous les domaines : logiciels malveillants, Dans le chapitre 4, nous examinons tendances d'attaques, révolution mobile, et être les modèles d'attaques par région du monde et conscient de l'impact de tout manquement. Vous par type. Les États-Unis sont toujours en tête trouverez nos recommandations dans chaque pour l'hébergement de sites web et de fichiers chapitre pour vous aider à conserver une longueur malveillants, en grande partie en raison du d'avance sur les cybercriminels. considérablement la Bien que les coûts initiaux d'une brèche Conserver une longueur d'avance signifie « Toute technologie suffisamment avancée est indiscernable de la magie. » Arthur C. Clarke, auteur de science-fiction INTRODUCTION ET MÉTHODOLOGIE | 11 2 L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS « En omettant de vous préparer, vous vous préparez à l'échec. » Benjamin Franklin, politicien et auteur 12 | CHECK POINT – RAPPORT SÉCURITÉ 2016 Logiciel malveillant Logiciel malveillant Zero-day connu inconnu Un logiciel malveillant identifié par une signature. De nombreux outils de sécurité utilisent des techniques d'analyse par signature et prennent des décisions quant au blocage, mais obligent les utilisateurs à mettre à jour la base de données des signatures de leur pare-feu et de leur antivirus. Un logiciel malveillant non identifié pour lequel il n'existe pas de signature. Il suffit simplement d'effectuer une petite modification dans un logiciel malveillant connu ou le reconditionner avec du code malveillant différent pour créer un logiciel malveillant inconnu. Cette nouvelle version inconnue peut alors contourner les défenses reposant sur des signatures. Une exploitation de vulnérabilité qui tire parti de failles de sécurité inconnues pour lesquelles il n'existe aucune protection. La première étape d'une attaque consiste à amener un logiciel malveillant au travers des défenses malveillants sont lancés chaque jour.1 L'enquête de sécurité. En 2015, de nombreuses attaques de Verizon sur les fuites de données en 2015 différentes ont permis d'accomplir cela. La plupart estime que près de 90 pour cent des attaques de des logiciels malveillants se cache dans du trafic 2015 ont utilisé une vulnérabilité existant depuis légitime ou des pièces jointes, ou exploite les 2002. Le tout dernier rapport sur les risques de fonctions légitimes de contrôle ou d'accès au réseau. cybersécurité de HP2 affirme que les dix premières Que ce soit dans un lien, dans un document, ou en vulnérabilités exploitées en 2015 étaient âgées de exploitant une vulnérabilité du shell, les agresseurs plus d'un an, et que 29 pour cent des attaques ont utilisent différentes méthodes de pénétration. utilisé un vecteur d'infection de 2010 pour lesquels Indépendamment de la méthode d'entrée, il existe deux différents correctifs. Bien que le taux nous pouvons catégoriser les logiciels malveillants de logiciels malveillants inconnus soit à la hausse, selon trois types de base : logiciels malveillants les vecteurs connus continuent de dominer le connus, inconnus et zero-day. paysage des menaces. Près d'un million de nouveaux logiciels TOUTES LES 5 SECONDES, UN UTILISATEUR ACCÈDE À UN SITE WEB MALVEILLANT. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 13 Les prévisions du jour pour les datacenters sont nuageuses. Cisco estime que les datacenters dans le Cloud traiteront plus de 86 pour cent des charges de travail informatiques en 2019.3 Selon RightScale, 95 pour cent des entreprises emploient déjà des plates-formes dans le Cloud, et utilisent en moyenne 3 Clouds publics et 3 Clouds privés.4 En dépit de la migration rapide vers le Cloud, peu de professionnels de l'informatique considère que le transfert des services dans des environnements de Cloud public et privé virtualisés pourrait entraîner des turbulences pour leur sécurité. La cause des turbulences est la transition du modèle de trafic de données nord/sud des datacenters traditionnels vers le modèle est/ouest des environnements de Cloud public, à mesure que les charges de travail sont transférées hors site dans des Clouds publics. Cloud : votre trafic de données pourrait ne pas prendre le bon chemin Vous direz ce que vous voudrez des datacenters traditionnels, ils ajoutent plusieurs mois au déploiement de nouvelles applications et ne sont pas très évolutifs. Ils nécessitent également une tonne d'interventions manuelles pour fonctionner. Mais en termes de sécurité, les datacenters traditionnels sont assez performants lorsqu'une passerelle de sécurité supervise les connexions entrantes. En effet, dans les datacenters traditionnels, le trafic se déplace du nord depuis les serveurs vers la passerelle de sécurité et du sud depuis la passerelle vers les serveurs. Le trafic peut même suivre des trajets nord/sud en « épingle à cheveux » qui vont d'un serveur à une passerelle puis vers un autre serveur au sein du datacenter, afin que le trafic interne puisse être inspecté. Cependant, dans les réseaux virtualisés ou logiciels déployés dans des environnements de Cloud privé, jusqu'à 80 pour cent du trafic se déplace d'est en ouest entre les applications virtualisées et différents secteurs du réseau. Les applications virtualisées peuvent migrer d'un serveur à un autre en fonction de l'utilisation des ressources. Dans ces conditions, la majorité du trafic contourne entièrement la passerelle de sécurité au niveau du périmètre. Les applications mobiles, les applications dans le Cloud, les applications des partenaires et même les applications hébergées des clients, peuvent connecter des services à des utilisateurs à l'extérieur du datacenter via différentes voies non surveillées par les contrôles de sécurité du périmètre. Lorsque des agresseurs parviennent à compromettre l'un des services web mineurs d'une entreprise par un logiciel malveillant, l'ensemble du réseau, y compris les services de base, sont menacés. Par conséquent, pour maintenir la sécurité informatique dans les Clouds virtualisés publics et privés, il est utile de penser à segmenter votre réseau et vos applications à l'aide des mêmes fonctionnalités de sécurité que les passerelles physiques, mais en ajoutant la prise en charge flexible de la micro-segmentation logicielle, qui peut être gérée de manière centralisée. Une meilleure visibilité sur les applications est également critique pour protéger les services dans le Cloud qui se déplacent dans de nouvelles directions en raison des domaines et des plates-formes dans le Cloud. 14 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS PLUS D'APPAREILS, DONC PLUS DE FAÇONS D'ENTRER augmente. En 2015, 89 % des entreprises ont téléchargé un fichier malveillant, contre 63 % en 2014. En 2015, les entreprises ont téléchargé des logiciels malveillants quatre fois plus souvent, toutes les 81 secondes, plutôt que toutes les 6 minutes en 2014. L'entreprise d'aujourd'hui doit protéger un nombre de télétravailleurs en augmentation spectaculaire, plusieurs sites, des applications dans le Cloud, et bien plus d'appareils que jamais auparavant. Le nombre de points d'entrée réseau nécessitant une protection continue d'augmenter. Chaque point d'entrée filaire et sans fil, les serveurs et l'infrastructure qui hébergent les applications d'entreprise, et les outils de prévention des menaces reposant sur des signatures qui les protègent, ont constamment besoin de correctifs et de mises à jour. La gestion des correctifs de sécurité critiques continue d'être un problème en 2015. DISCIPLINE : MEILLEURE, MAIS PAS ENCORE SUFFISANTE UN UTILISATEUR TÉLÉCHARGE UN LOGICIEL MALVEILLANT TOUTES LES 81 SECONDES 2.1 Notre étude montre que les entreprises réussissent SOURCE : Check Point Software Technologies un peu mieux à empêcher les utilisateurs d'accéder à des sites malveillants. En 2015, seulement 82 % des entreprises ont accédé à un site malveillant,soit un entreprises réussissent à mieux bloquer l'accès peu moins que les 86 % de 2014. Malheureusement, aux sites et aux fichiers malveillants, le volume d'autres indicateurs ne sont pas aussi positifs. des attaques donne l'avantage aux agresseurs. Dans les entreprises, les utilisateurs Les entreprises doivent évaluer et filtrer de plus accèdent à un site web malveillant cinq fois plus importants volumes de contenus potentiellement souvent en 2015, toutes les 5 secondes, plutôt que malveillants tout en maintenant la productivité des toutes les 24 secondes l'année précédente. utilisateurs. Elles doivent instantanément isoler les logiciels malveillants en temps réel pour empêcher Plus l'accès est fréquent, plus le nombre de logiciels malveillants affectant les entreprises Qu'est-ce que cela signifie ? Alors que les leur propagation et leur impact négatif. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 15 ATTAQUES DE BOTS RECONNUS EN 2015 2.2 FAMILLE DOMMAGES POURCENT. SALITY Dérobe des données confidentielles 18,6 % CONFICKER Désactive les services de sécurité du système et fournit un accès à distance 18,6 % ZEROACCESS Permet des opérations à distance et télécharge des logiciels malveillants 6,7 % CUTWAIL Diffuse du spam 5,1 % GAMARUE Ouvre une porte dérobée pour des attaques 3,0 % ZEUS Dérobe des identifiants bancaires 2,7 % LDPINCH Dérobe des données confidentielles 2,1 % DELF Dérobe des identifiants 1,1 % RAMNIT Dérobe des identifiants bancaires 1,0 % GRAFTOR Télécharge des fichiers malveillants 0,9 % SOURCE : Check Point Software Technologies PERSISTANCE DES BOTS Bien que les niveaux d'infections de bots ont diminué de près de 10 % en 2015 par rapport à 2014, ces chiffres restent inquiétants. Près de 75 % des entreprises étudiées ont été infectées par des bots en 2015, et 44 % des bots restaient actifs Les bots restent une méthode d'attaque préférée pendant plus de quatre semaines. pour les agresseurs. Semblable à des vers ou des chevaux de Troie, les bots exécutent une variété de informations tâches automatisées une fois parvenus à l'intérieur identifiants, désactivent les services de sécurité du d'un réseau, et communiquent régulièrement. Ils se système, et fournissent un accès à distance pour répliquent sur les réseaux et les appareils adjacents des attaques. Les bots effectuent également des ou se projettent à l'extérieur du réseau infecté. Ils opérations à distance et téléchargent des logiciels envoient du spam ou participent à des attaques de malveillants supplémentaires. déni de service et autres types d'attaques. Certains bots restent dormants jusqu'à montre que quatre bots spécifiques, Sality, Conficker, ce qu'ils soient activés à distance via une action ZeroAccess et Cutwail, étaient responsables de prédéterminée sur le poste de leur victime ou 50 % des attaques de bots reconnues en 2015. Fait à une date ultérieure spécifique. Malgré leurs intéressant, ces bots proviennent tous de logiciels différences, les bots communiquent généralement malveillants bien connus. Les attaques de bots dérobent des confidentielles telles que des Une analyse des données d'attaque des bots avec un serveur de commande et de contrôle pour signaler l'état de leur activation et recevoir des instructions. Ces communications peuvent être isolées, surveillées et bloquées. En 2015, un bot typique tentait de communiquer avec son serveur de commande et de contrôle plus de 1 630 fois par jour, soit une fois toutes les 52,8 secondes. Cette fréquence continue d'augmenter : 12 % de plus que l'année précédente, LES BOTS ESSAIENT DE COMMUNIQUER AVEC DES SERVEURS DE COMMANDE ET DE CONTRÔLE PLUS DE 1 630 FOIS PAR JOUR, SOIT TOUTES LES 52,8 SECONDES et 95 % de plus qu'en 2012. 16 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS 274 NOUVEAUX LOGICIELS MALVEILLANTS INCONNUS ONT ÉTÉ DÉCOUVERT CHAQUE MINUTE EN 2015 HAUSSE CONTINUE DES LOGICIELS MALVEILLANTS INCONNUS Dans l'ensemble, l'utilisation de logiciels malveillants inconnus par des agresseurs est restée à des niveaux historiquement élevés, en légère croissance en 2015 selon AV-TEST.5 En 75 % DES ENTREPRISES ÉTUDIÉES ÉTAIENT INFECTÉES PAR DES BOTS 52% DES PASSERELLES ONT TÉLÉCHARGÉ AU MOINS UN FICHIER INFECTÉ PAR UN LOGICIEL MALVEILLANT INCONNU 2015, près de 144 millions de nouveaux logiciels malveillants ont été découverts : 274 nouveaux logiciels malveillants inconnus ont été produits et lancés toutes les minutes en 2015. Au cours de 2015, Check Point a analysé plus de 6 000 passerelles, découvrant que 52,7 % d'entre elles ont téléchargé au moins un fichier infecté par des logiciels malveillants inconnus. En 971 LOGICIELS MALVEILLANTS INCONNUS FRAPPENT LES ENTREPRISES TOUTES LES HEURES moyenne, 2 372 fichiers infectés ont été signalés par passerelle. Du côté des utilisateurs, les attaques étaient plus fréquentes et variées. Avec plus de 971 téléchargements de logiciels malveillants inconnus par heure, soit 9 fois plus que les 106 téléchargements par heure de l'année précédente, de nombreuses entreprises ont du mal à suivre. La plupart des utilisateurs savent que les 28 % DES FICHIERS INFECTÉS PAR DES LOGICIELS MALVEILLANTS SONT DES FICHIERS SWF (FORMAT DE FICHIER FLASH) risques d'infections sont plus élevés pour certains types de fichiers. Comme prévu, les fichiers .exe 2.3 SOURCE : Check Point Software Technologies L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 17 représentaient près de 30 % des fichiers infectés, et ÉTAT DE LA PROTECTION les formats de fichiers archives tels que .zip et .jar représentaient plus de 16 % en 2015. Le nombre de logiciels malveillants continue de croître dans les types de fichiers auxquels les utilisateurs font le plus confiance, tels que les fichiers Microsoft Office, Même si les taux d'attaques et d'infections en 2015 PDF ou Flash, à mesure que les pirates profitent de n'ont pas augmenté au même rythme exponentiel ces types de fichiers moins menaçants. En 2015, les qu'en 2013 et 2014, ils restent néanmoins stables. formats de fichiers Microsoft Office représentaient Le taux d'infections a même légèrement diminué plus de 9 % des fichiers malveillants rencontrés, et en raison de l'utilisation de meilleures ressources les fichiers PDF représentaient 7,5 %. de protection et de la sensibilisation des Flash a continué d'être un mécanisme de utilisateurs. L'érosion continue du périmètre du diffusion de logiciels malveillants, représentant réseau et l'augmentation du nombre d'appareils 28 % des fichiers infectés par des logiciels accédant aux réseaux internes continuent de malveillants compliquer la protection. inconnus. Les utilisateurs sont beaucoup moins susceptibles de soupçonner une infection lorsque les logiciels malveillants Cloud, de l'Internet des objets et des datacenters sont intégrés à un fichier Flash. Les infections hybrides, les outils de cybersécurité doivent fournir attribuées aux publicités malveillantes et aux un contrôle granulaire sur tous les segments et téléchargements les les environnements réseau. Les techniques de bac utilisateurs à des logiciels malveillants plus invasifs à sable traditionnelles ne sont plus une option, sans qu'une action spécifique ne soit requise. mais elles imposent des délais de traitement. malveillants Pour se protéger des attaques d'aujourd'hui, inconnus dans une attaque augmente les chances l'accent est mis sur la vitesse et la prévention. de réussite pour les cybercriminels. Grâce Les nouvelles techniques de protection analysent aux logiciels malveillants inconnus, les pirates les travaillent plus intelligemment et ont besoin de d'exploitation et du processeur pour stopper les moins de tentatives pour rencontrer plus de succès. logiciels malveillants lors de la phase d'exploitation La création de logiciels malveillants inconnus d'une vulnérabilité avant qu'ils n'aient l'occasion de est plus facile que jamais. Il suffit d'apporter se déployer. une légère modification à un logiciel malveillant existant pour créer une nouvelle variante inconnue connues, et contourner les systèmes antivirus reposant sur une approche multicouches pour protéger les des signatures connues. entreprises. Bien qu'aucune technologie ne puisse Avec près de 12 millions de nouvelles fournir une protection complète contre tous les variantes de logiciels malveillants découvertes vecteurs de menaces, une approche bien conçue chaque mois, plus de nouveaux logiciels malveillants combinant plusieurs méthodes de protection et de ont été découverts au cours des deux dernières détection peut minimiser la réussite des attaques. années que dans les 29 années précédentes.6 Avec des protections supplémentaires au stade de automatiques L'utilisation de logiciels exposent Dans le paysage actuel sans frontières du comportements au niveau du système Le fort volume et la combinaison d'attaques inconnues et zero-day, nécessitent la post-infection, les entreprises peuvent limiter les dommages et les mouvements est-ouest. 4 FOIS PLUS DE TÉLÉCHARGEMENTS DE LOGICIELS MALVEILLANTS EN 2015 18 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS L'informatique évolue rapidement et le paysage des menaces se transforme lui aussi. Ce changement nécessite une architecture de sécurité multicouches comprenant la prévention des menaces en temps réel et l'administration unifiée couvrant les environnements virtuels, mobiles et dans le Cloud. PRÉVENTION 1 DÉPLOYEZ UNE CYBERSÉCURITÉ MULTICOUCHES La sécurité devrait être implémentée en de multiples couches qui coordonnent automatiquement les différentes protections, en intégrant notamment : une passerelle de sécurité, des fonctions de prévention des menaces avancées, de contrôle des applications, de prise en charge des identités, de filtrage des URL, de prévention d'intrusions, de protection de la messagerie, antispam, antibots et antivirus. 2 STOPPEZ LES LOGICIELS MALVEILLANTS ZERO-DAY Les techniques d'évasion inconnues rendent les bacs à sable traditionnels inefficaces. La prévention des menaces en temps réel qui stoppe les logiciels malveillants dès le premier contact est la nouvelle norme de prévention des menaces. Cependant, même le meilleur bac à sable pourrait laisser passer une menace intégrée dans un document. La suppression des contenus actifs des documents évite les menaces cachées et donne aux utilisateurs un accès rapide aux contenus sains. 3 UTILISEZ DES CORRECTIFS VIRTUELS La correction des logiciels est une pratique nécessaire, mais elle est insuffisante pour stopper les menaces. Tout d'abord, il n'existe pas de correctifs pour les vulnérabilités zero-day qui n'ont pas encore été découvertes par les chercheurs. Ensuite, pour les vulnérabilités découvertes, les éditeurs de logiciels ont besoin de temps pour créer et diffuser des correctifs, ce qui laisse les réseaux ouverts à des attaques. Enfin, les équipes informatiques ont également besoin de temps pour appliquer les correctifs. Les correctifs virtuels utilisent le système de prévention d'intrusions pour protéger contre les attaques qui exploitent des vulnérabilités zero-day et connues, qui ne peuvent être corrigées ou qui n'ont pas encore été corrigées. ARCHITECTURE 1 SIMPLIFIEZ L'ADMINISTRATION DE LA SÉCURITÉ L'utilisation de plusieurs consoles pour administrer la sécurité de chaque segment réseau est inefficace. Elle conduit à des erreurs de configuration et des incohérences entre les couches de sécurité. L'administration des fonctions de sécurité, des segments et des environnements via une seule console permet de réduire les erreurs lors de la coordination des politiques de sécurité des couches de protection. 2 UNIFIEZ LES CONTRÔLES PRENEZ DES MESURES RECOMMANDATIONS Implémentez des contrôles unifiés qui s'étendent à tous les réseaux, systèmes, postes et environnements, y compris traditionnels, virtuels, mobiles, hybrides, dans le Cloud, et les objets connectés. POUR EN SAVOIR PLUS checkpoint.com/sandblast L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 19 3 UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL « Je reçois des emails donc j'existe. » Scott Adams, dessinateur, créateur de Dilbert 20 | CHECK POINT – RAPPORT SÉCURITÉ 2016 NOMBRE D’UTILISATEURS MONDIAUX (MILLIONS) 2 000 1 800 1 600 1 400 1 200 1 000 800 600 400 200 0 Mobile Fixe 2007 2008 2009 2010 2011 3.1 2012 2013 2014 2015 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014 Plus puissants que jamais, les appareils mobiles par l'entreprise, les employés travaillent à partir améliorent continuellement l'accessibilité et la de leurs appareils personnels, et accèdent à des productivité des employés. Ils sont de plus en plus informations personnelles sur leurs appareils abordables, et la plupart des employés gardent professionnels, sans nécessairement réfléchir aux leurs appareils mobiles sur eux tout au long de conséquences. leur journée de travail, qu'ils les utilisent ou non pour leur travail. Avec une telle omniprésence, de 394 % et l'utilisation de tablettes a augmenté les appareils mobiles s'intègrent dans le tissu de plus de 1 700 % au cours des quatre dernières des entreprises de manières visible et invisible. années. Ensemble, ces plateformes représentent L'utilisation de smartphones a augmenté 60 % du temps de À mesure que le nombre d'utilisateurs mobiles augmente, un tournant dans les habitudes d'utilisation s'opère, comme on peut le voir dans l'enquête de comScore en 2014. Tout d'abord, le mobile a dépassé l'ordinateur pour la IL SUFFIT D'UNE INFECTION SUR UN APPAREIL POUR COMPROMETTRE DES DONNÉES ET DES RÉSEAUX PERSONNELS ET PROFESSIONNELS consultation des médias troisième étude menée par comScore et Yahoo Flurry Analytics montre qu'en moyenne, Américains les passent 162 minutes par jour à utiliser des appareils mobiles consultation Une numériques.2 pour toutes des médias et la navigation web. Parallèlement sortes d'activités. Ensemble, ces trois tendances à cela, les utilisateurs brouillent facilement les mettent en évidence un désir croissant d'accès lignes entre leur usage personnel et professionnel instantané et continu à des données, que ce soit sur de ces appareils. Que ce soit rendu possible ou non un appareil professionnel ou personnel. 1 3 UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 21 TEMPS D’UTILISATION DES APPLICATIONS MOBILES Jeux 16 % 34 % Autres Radio 8 % Multimédia 5 % 25 % Réseaux sociaux Photos 4 % 4 % Messagerie instantanée Achats 5 % 3.2 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014 LÀ OÙ LA SÉCURITÉ EST ADAPTÉE Les utilisateurs s'attendent à bénéficier d'un accès en tout lieu et la possibilité d'utiliser leurs appareils personnels à des fins professionnelles. L'employeur a pour responsabilité de comprendre comment sécuriser ses propres données, sauf si cela signifie surveiller les activités en ligne de ses employés. L'entreprise, d'autre part, doit protéger Comme les sites web dans les années 1990 et ses données avec le fardeau supplémentaire de l'accès à distance pour les ordinateurs portables devoir se conformer à différentes réglementations une décennie plus tard, les appareils mobiles sont sur la confidentialité des données personnelles à à la fois une malédiction en termes de sécurité travers le monde. Les exigences d'identification et une bénédiction en termes de productivité. personnelles obligatoires dans un pays pourraient Comme pour les autres tendances d'accès avant enfreindre les lois sur la vie privée dans un autre eux, la sécurité mobile est en retard sur l'adoption pays. L'entreprise doit pourtant se conformer aux de la mobilité, à mesure que les utilisateurs deux à la fois. découvrent de nouvelles façons d'en tirer parti pendant leurs déplacements. La sécurité mobile est un sujet difficile pour les entreprises. Elle fait l'objet de compromis entre productivité, protection et confidentialité. Les entreprises et les utilisateurs veulent à la fois bénéficier de la productivité accrue des appareils mobiles et d'une protection lors des accès aux informations de l'entreprise, mais personne n'aime l'idée de subir des restrictions unilatérales ni se sentir surveillé. 22 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL UN EMPLOYÉ SUR CINQ SERA LA CAUSE D'UNE FAILLE DU SYSTÈME D'INFORMATION DE L'ENTREPRISE, VIA DES LOGICIELS MALVEILLANTS OU DES CONNEXIONS WI-FI MALVEILLANTES Les logiciels malveillants, le phishing, les TENDANCES D'ATTAQUES MOBILES points d'accès Wi-Fi malveillants et autres dangers en ligne, inquiètent tout le monde. Les employés ne veulent pas être la cause d'une faille dans le réseau de l'entreprise. Pourtant, une personne sur cinq en sera la cause, via des logiciels malveillants ou des connexions Wi-Fi malveillantes.4 La sécurité mobile doit inclure plusieurs Après avoir analysé les tendances de 2015, nous briques répondant aux différents aspects de la possédons désormais une visibilité sur les points problématique de sécurité : d'entrée des attaques, ainsi que sur les types de Les conteneurs sécurisés empêchent les fuites données dérobées. Les trois principaux vecteurs de données entre les applications personnelles et d'attaques utilisés pour cibler les appareils mobiles professionnelles hébergées sur le même appareil sont les applications infectées, les attaques réseau La prévention des menaces mobiles offre une et l'exploitation des vulnérabilités des systèmes protection contre les comportements malveillantes d'exploitation. Une fois à l'intérieur d'un appareil des applications et stoppe en temps réel les mobile, les cybercriminels exfiltrent des données menaces connues, inconnues et zero-day qui et des identifiants par email, accèdent aux capteurs ciblent les appareils iOS et Android. tels que le microphone ou l'appareil photo, et Ces fonctions seules ne sont pas surveillent la localisation de l'appareil. suffisantes, et les équipes informatiques n'ont bien entendu pas besoin d'un système de plus à gérer. Apple iOS était la cible la plus fréquente des Leur intégration dans une console de sécurité cybercriminels, avec cinq différentes attaques unique est une priorité. contre le système d'exploitation : XSSer, WireLurker, Entre septembre 2014 et février 2015, Masque, Pawn Storm, et des outils commerciaux d'accès à distance. À l'automne 2015, le nombre d'attaques menées contre les appareils Apple iOS et Android a été multiplié par cinq. 43 % MENACES MOBILES Logiciels malveillants génériques 19 % Outils d’accès à distance 13 % 12 % 11 % Numéroteurs surtaxés Vol de données Interception réseau 1% 0,5 % App de phishing Fausses app 3.3 0,5 % Logiciels rançonneurs SOURCE : Check Point Software Technologies UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 23 La domination d'Android sur le marché mobile a inauguré une nouvelle ère pour les logiciels malveillants. Les logiciels malveillants ciblant les appareils Android ont gagné en sophistication en quelques années. Voici quelques-unes des dernières menaces Android que les chercheurs de Check Point ont découvert. 1. Obscurcissement. À mesure que les éditeurs de solutions de sécurité combattent les logiciels malveillants Android, les cybercriminels développent de nouvelles manière de masquer ou « obscurcir » leurs logiciels malveillants. En chiffrant les composants malveillants, les cybercriminels peuvent contourner de nombreuses solutions de sécurité, y compris Google Bouncer qui protège la boutique d'applications Google Play. Certains auteurs dissimulent même les clés qu'ils utilisent pour déchiffrer les composants malveillants, ce qui rend leurs attaques encore plus difficiles à détecter. Mobilité : cinq nouvelles tendances des logiciels malveillants Android 2. Téléchargeurs. Les auteurs de logiciels malveillants utilisent des « téléchargeurs » pour s'infiltrer dans Google Play. Ils commencent par soumettre une application apparemment bénigne dans Google Play. Google approuve l'application car elle ne contient pas de code malveillant. Une fois qu'un utilisateur installe l'application sur un appareil, celle-ci contacte le serveur de l'agresseur, et télécharge un composant malveillant dans l'appareil de l'utilisateur. 24 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 3. Redondance. Les logiciels malveillants intègrent souvent plusieurs composants conçus dans un but différent. Deux composants peuvent chercher à atteindre le même objectif, mais de façon différente. Si un composant malveillant est détecté et désinfecté, l'attaque peut se poursuivre à l'aide du second composant. Même si un élément critique est désactivé, il est plus facile pour l'agresseur de modifier cette partie que de modifier l'ensemble du logiciel malveillant. 4. Persistance. Les auteurs de logiciels malveillants utilisent plusieurs tactiques pour rester sur les appareils infectés. Par exemple, ils pourraient cacher l'icône de l'application, retarder une activité malveillante pendant des semaines ou des mois, se faire passer pour une autre application, ou obtenir des privilèges élevés pour empêcher les utilisateurs de la désinstaller. L'objectif est le même : rester sur l'appareil pour effectuer des activités malveillantes. 5. Élévation de privilège. Récemment, les auteurs de logiciels malveillants ont utilisé des méthodes d'ingénierie sociale pour tromper les utilisateurs et les conduire à leur affecter des privilèges élevés. D'autres agresseurs utilisent des exploitations de vulnérabilités pour obtenir des autorisations privilégiées. En raison des différentes versions d'Android utilisées, chacun avec ses propres vulnérabilités, les correctifs de sécurité peuvent prendre des mois pour atteindre les utilisateurs, si toutefois ils les atteignent. Cela laisse les utilisateurs vulnérables aux menaces connues pendant de longues périodes. Les auteurs de logiciels malveillants utilisent ces délais pour cibler les utilisateurs à l'aide de kits capables d'exploiter des vulnérabilités connues dans les appareils Android. Ils sont aussi novateurs et bien financés qu'ils sont persistants, et ils continueront de mettre au point de nouvelles techniques pour atteindre leurs objectifs. Pour conserver une longueur d'avance sur l'évolution des menaces Android, les entreprises et les utilisateurs doivent utiliser des solutions avancées capables de stopper les menaces mobiles. TOUTES DERNIÈRES ATTAQUES ET VULNÉRABILITÉS SEPTEMBRE Attaque XcodeGhost Vulnérabilité NOVEMBRE SEPTEMBRE Attaque Messages SiriAccess FÉVRIER Attaque Attaque Attaque WireLurker Masque JUILLET Pawn Storm Outils commerciaux d’accès à distance XSSer Hacking Team MKero.A (CAPTCHA) Recordable Activator Mapin (botnet) Brain Test (obscurcis.) Attaque Fobus (fraude) DÉCEMBRE Vulnérabilité Nouvelle vulnérabilité CPiOS Vulnérabilité Lockerpin.A (log. rançon.) Contournement de l’écran de verrouillage 2015 2014 Attaque Attaque Hacking Team Masque KeyRaider YiSpecter Vulnérabilité Control Siri Vulnérabilité iOS Attaque Ins0mnia Quicksand Android Kemoge Vulnérabilité Vulnérabilité Stagefright 2.0 Navig. Dolphin Stagefright Serialization Certifi-gate Multitasking OCTOBRE AOÛT 3.4 Dans l'ensemble, les cinq grandes 3. Fausses SOURCE : Check Point Software Technologies applications et applications catégories d'attaques et de vulnérabilités ciblant reconverties. Comme le phishing, les fausses les appareils mobiles sont : applications semblent réelles, mais ont des fonctionnalités inattendues. Les applications 1. Vulnérabilités système. Les variantes du système malveillantes qui contrôlent à distance, activent le d'exploitation augmentent le nombre de vecteurs microphone, l'appareil photo ou le GPS, sont de d'attaques. Android est particulièrement vulnérable plus en plus courantes. car il prend en charge plus de 24 000 types de 4. Chevaux de Troie et logiciels malveillants. smartphones et tablettes. Les correctifs de sécurité L'intégration pour chaque version peuvent prendre des semaines pièces jointes et des applications reste un sujet ou des mois de développements et de tests, ce qui de préoccupation sur les appareils mobiles. fait des utilisateurs des proies faciles. Beaucoup ne possèdent pas d'antivirus ni de 2. Accès root et changements de configuration. système de prévention des menaces, et les écrans Le rootage ou jailbreaking d'un téléphone donne de taille réduite ne facilitent pas la détection des non seulement aux amateurs un accès plus inexactitudes dans les applications. étendu, mais aux cybercriminels également. 5. Attaques de type « homme du milieu ». Les Une série d'attaques prévue pour contourner points d'accès Wi-Fi gratuits et publics sont très les limites de la politique de sécurité en faciles à contrefaire, ce qui les rend plus courants. matière de modification des paramètres et des La contrefaçon de certificats de sécurité facilite configurations crée des changements subtils l'interception et la modification des données en sans que les utilisateurs le sachent. transit, ou installation de chevaux de Troie. de code malveillant dans des UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 25 La mobilité exige la sensibilisation des utilisateurs et leur vigilance. Bien que les types d'attaques varient, l'objectif de l'entreprise reste le même. Les équipes de sécurité doivent créer une barrière entre l'appareil personnel d'un employé et le réseau de l'entreprise, à l'aide de plusieurs éléments fonctionnant en parallèle. « Une fois que vous mettez une vie au monde, vous devez la protéger. Nous devons la protéger en changeant le monde. » Elie Wiesel, écrivain et activiste politique CRÉATION D'UNE BARRIÈRE La prévention des menaces mobiles crée une barrière fiable. Elle utilise l'analyse des comportements pour bloquer les menaces avant qu'elles ne pénètrent dans les appareils mobiles, et offre une visibilité sur les tentatives d'attaques. À un niveau plus élevé, l'intégration de la gestion des appareils et la prévention des menaces avec le pare-feu de nouvelle génération et la sécurité virtualisée dans le Cloud améliore à la fois la détection et le blocage des tentatives d'attaques. Bien sûr, toutes ces ressources doivent être gérées. Leur intégration dans une plate-forme de gestion unifiée est essentielle à l'efficacité de votre barrière de sécurité mobile. 26 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 1 SENSIBILISEZ VOS COLLABORATEURS Nous sous-estimons souvent le risque pour la confidentialité et la sécurité que nos smartphones et tablettes nous apportent. Assurez-vous que vos collaborateurs comprennent les menaces telles que les escroqueries par phishing et les points d'accès Wi-Fi non sécurisés. Devenir une victime ne compromet pas seulement la confidentialité des données personnelles, mais peut également mettre en péril les données confidentielles de l'entreprise hébergées sur les appareils mobiles. 2 DÉFINISSEZ VOTRE NIVEAU DE TOLÉRANCE AUX RISQUES Toutes les entreprises ont les mêmes besoins en sécurité mobile, mais pas tous les employés ont besoin du même niveau de protection. Il est également important de trouver un juste équilibre entre protection contre les menaces et expérience utilisateur. Envisagez une approche prescriptive de la sécurité mobile capable de faire les deux. Définissez des politiques de sécurité reposant à la fois sur les rôles des employés qui ont accès et les types de protection adaptés aux différents types de données confidentielles. 3 APPLIQUEZ DES MESURES DE BASE Un nombre surprenant de gens ne comprennent pas entièrement les bases de la sécurité mobile : Activez les mots de passe ou les verrous biométriques, activez la localisation et les fonctionnalités de suppression à distance, et utilisez le chiffrement sur l'appareil s'il est disponible. Veiller à ce que les utilisateurs finaux disposent toujours des toutes dernières versions du système d'exploitation. Ces mesures de base protègent les appareils mobiles et les données, ont un net impact sur vos efforts de sécurité, et protègent également les données personnelles. 4 SÉPAREZ DONNÉES PERSONNELLES ET PROFESSIONNELLES La création d'une barrière sécurisée entre les données professionnelles confidentielles et les données personnelles des employés hébergées sur leurs appareils mobiles est un excellent moyen d'assurer que des erreurs ne se produisent pas. Les messages et les fichiers stockés dans des conteneurs sécurisés peuvent être protégés et chiffrés séparément de l'espace personnel sur un appareil. La gestion des conteneurs sécurisés pour gérer les données est plus rapide et plus facile que la gestion des appareils et de multiples politiques. 5 INVESTISSEZ EN PRÉVISION D'UN AVENIR INCERTAIN Vous pouvez être sûr que les menaces dont vous n'avez pas conscience aujourd'hui sont celles qui vous prendront demain au dépourvu. Il est donc important d'investir dans des technologies de prévention qui conservent une avance sur les menaces. Celles-ci devraient également s'intégrer avec les solutions que vous avez en place aujourd'hui pour protéger les appareils mobiles tout en prolongeant votre retour sur investissement. PRENEZ DES MESURES MEILLEURES PRATIQUES POUR PROTÉGER VOS ACTIVITÉS MOBILES POUR EN SAVOIR PLUS checkpoint.com/mobilesecurity UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 27 4 ÉTUDE DES MODÈLES D'ATTAQUES « Toutes les technologies doivent être considérées comme étant coupables jusqu'à preuve de leur innocence. » Jerry Mander, activiste et auteur 28 | CHECK POINT – RAPPORT SÉCURITÉ 2016 INTERNAUTES DANS LE MONDE PAR RÉGION Europe 18 % 48,2 % Asie Amérique latine/ Caraïbes 10,2 % Océanie/ 0,8 % Australie Afrique 9,8 % 3,7 % Moyen-Orient Amérique du Nord 9,3 % 4.1 SOURCE : Statistiques mondiales d'Internet, www.internetworldstats.com/stats.htm, novembre 2015 Pour conserver une longueur d'avance sur les que près de 50 % des internautes dans le monde agresseurs, il faut comprendre les méthodes qu'ils se situent en Asie, ils représentent le plus petit utilisent, les voies qu'ils suivent et les endroits pourcentage de comportement malveillant.1 Les où ils obtiennent des résultats. L'étude des États-Unis, qui représentent moins de 10 % des caractéristiques et des tendances d'attaques est internautes du monde entier, hébergent 26 % des une partie importante de ce récit. contenus malveillants. En 2015, les logiciels rançonneurs ont Même s'il semble que les agresseurs fait la une de l'actualité, car les entreprises et les introduisent constamment de nouvelles attaques, particuliers étaient prêts à payer pour récupérer l'analyse montre que le plus souvent, les logiciels l'accès à leurs fichiers chiffrés et verrouillés malveillants et les techniques d'attaques tirent parti par des logiciels malveillants. L'absence de d'attaques antérieures et de faiblesses connues. sauvegarde récente ou le temps nécessaire à Créer de nouvelles variantes inconnues à partir de la restauration de la sauvegarde a conduit de logiciels malveillants connus est relativement peu nombreuses entreprises à choisir de payer pour coûteux et simple pour les pirates, même débutants. obtenir la clé de déchiffrement de leurs propres Les kits d'exploitation de vulnérabilités sont passés contenus, tout en essayant d'empêcher la de simples trousses à outils à des offres complètes prochaine attaque. Dès qu'il existe une solution de services pour la cybercriminalité. Dans le cadre pour lutter contre un type d'attaque, de nouvelles de ces offres, les opérateurs paient à l'utilisation, méthodes alternatives le remplacent. uniquement lorsque les logiciels malveillants ont été L'analyse révèle des modèles distincts installés avec succès sur la machine d'une victime. dans ces nouvelles menaces. Par exemple, alors Les pirates ont une multitude de choix quant ÉTUDE DES MODÈLES D'ATTAQUES | 29 Logiciels rançonneurs : pour s'enrichir plus intelligemment sans effort Comme les entreprises légitimes, les cybercriminels doivent parfois se réoutiller lorsque la performance d'un « produit » diminue. En analysant les renseignements de cette année, Check Point a découvert que les criminels développaient leurs attaques de logiciels rançonneurs tout en réduisant celles des chevaux de Troie bancaires. Il existe plusieurs raisons pour lesquelles nous pensons que les logiciels rançonneurs, qui attaquent en chiffrant les fichiers d'un utilisateur et en exigeant le paiement d'une rançon pour les déchiffrer, deviendront la méthode d'attaque privilégiée de ceux qui veulent « voler intelligemment sans effort ». Vol difficile : les logiciels malveillants bancaires Vider des comptes bancaires en ligne était auparavant facile : il suffisait d'amener les utilisateurs à une fausse copie du site web de leur banque, capturer leurs identifiants de connexion, puis se connecter sur le véritable site web de la banque pour transférer des fonds vers le compte d'une mule. Les agresseurs doivent désormais composer avec l'authentification à 2 facteurs et se connecter au site de la banque à partir de l'ordinateur et de l'appareil reconnu des utilisateurs. Les transferts de fonds peuvent déclencher des systèmes antifraude qui bloquent les transferts et gèlent les comptes. Les criminels doivent également personnaliser les contenus des faux sites web de chaque banque cible. Vol intelligent : les logiciels rançonneurs Les logiciels rançonneurs peuvent attaquer n'importe quel utilisateur, pas seulement les clients des banques, ce qui augmente considérablement la population de cibles potentielles par rapport aux logiciels malveillants bancaires. Ils forcent les victimes à payer rapidement au risque de perdre l'accès à leurs contenus vitaux sans qu'il soit nécessaire aux utilisateurs de se connecter pour capturer leurs identifiants. Après le chiffrement des données, une demande de rançon indique aux victimes comment payer, ou comment trouver le « propriétaire » dans l'Internet anonyme et clandestin TOR. De récentes données montrent que certains logiciels rançonneurs intègrent une clé afin de leur éviter d'avoir à communiquer avec un serveur externe pour obtenir les clés de 30 | ÉTUDE DES MODÈLES D'ATTAQUES chiffrement avant de lancer l'attaque. Aucun serveur de contrôle n'étant nécessaire, une seule approche de logiciel rançonneur fonctionne pour tous les utilisateurs. Seule la courte note de rançon nécessite une traduction mais les agresseurs peuvent diriger les victimes vers Google Translate pour éviter entièrement ce travail de traduction. Les logiciels rançonneurs utilisent généralement des méthodes de paiement alternatives telles que bitcoin, ce qui permet des transferts de fonds que les utilisateurs ne peuvent contester et que les banques ne peuvent annuler. Le brouillage des portefeuilles de bitcoins empêche les autorités de retracer les transactions, et il est facile de convertir anonymement des bitcoins dans toute autre monnaie. Résumé Quatre facteurs facilitent les attaques de logiciels rançonneurs : 1. Les logiciels rançonneurs ciblent de nombreuses victimes potentielles. 2. L es attaques nécessitent peu d'efforts car il n'est pas nécessaire d'héberger ni de maintenir de serveurs personnalisés pour chaque base ciblée. 3. Les attaques sont simples à réaliser de bout en bout. 4. La réception des paiements des victimes est quasi-assurée et intraçable. Prédictions • Avec des profits élevés et peu d'efforts, nous nous attendons à ce que les attaques de logiciels rançonneurs augmentent. • Comme les logiciels malveillants bancaires, nous nous attendons à ce que des défenses avancées forcent les logiciels rançonneurs à devenir plus complexes et plus évasifs. • Le nombre réduit de victimes de logiciels rançonneurs obligera les menaces à cibler les grandes entreprises pour améliorer les résultats de chaque attaque. Nous nous attendons à voir plus de cas similaires aux attaques telles que Samsam sur des hôpitaux et des entreprises. • Les attaques vont se déplacer à l'intérieur des entreprises ou sur du stockage partagé pour chiffrer les données. Cela permettra d'accroître le montant des paiements en impliquant plusieurs utilisateurs. • Pour le secteur public, nous nous attendons à l'émergence de nouvelles formes d'attaques telles que des logiciels rançonneurs de chantage, menaçant de divulguer des informations embarrassantes au risque d'exposer publiquement les utilisateurs s'ils ne paient pas. ÉTUDES DES MODÈLES D'ATTAQUES | 31 aux logiciels malveillants connus et inconnus, et ORIGINE DES ATTAQUES les points d'entrée facilement exploitables dans Android et Microsoft Windows. Pour conserver une longueur d'avance, notre équipe de recherche analyse un large éventail d'aspects de ces d'attaque et améliore Parmi les 7,4 milliards de personnes sur la planète, en permanence les défenses contre les menaces moins de 5 % vivent aux États-Unis. Malgré cela, les inconnues États-Unis sont en tête en matière d'hébergement et zero-day. Certains éléments comprennent : de fichiers et de sites web malveillants. Bien • La provenance des attaques que cela semble disproportionné, les États-Unis • Les types d'attaques les plus populaires comptent deux foix plus d'internautes par habitant • Les plus grandes zones de vulnérabilité que le reste du monde, avec une moyenne de • Comment les agresseurs parviennent à entrer 87,9 % par rapport à la moyenne du reste du monde Ces données aident Check Point à ajuster de 44,2%.2 Les États-Unis comptent également et affiner ses flux de renseignements sur les la majorité des marques Internet pionnières, ce menaces. La compréhension des origines, des qui en fait une cible attrayante. Une population destinations et des méthodes clés des attaques, technophile crée plus d'innovations, à la fois utiles façonne les approches pour une meilleure défense. et malveillantes. POURCENTAGE DES PRINCIPAUX PAYS HÉBERGEANT DES FICHIERS ET DES SITES MALVEILLANTS 47,6 % États-Unis 26 % États-Unis Fichiers malveillants 9,5 % Pays-Bas 5,4 % 5,3 % Grande-Bretagne Allemagne 8,7 % Portugal Sites web malveillants 5,2 % Suisse 4,9 % 3,9 % Pologne Chine 24,8 % Autres 4.2 32 | ÉTUDE DES MODÈLES D'ATTAQUES SOURCE : Check Point Software Technologies POURCENTAGE DES PRINCIPAUX VECTEURS D’ATTAQUES 39 % EXÉCUTION DE CODE 68 % 35 % 10 % 34 % 19 % CORRUPTION MÉMOIRE DÉPASSEMENT DE MÉMOIRE TAMPON 2015 60 % DÉNI DE SERVICE FUITE DE DONNÉES 2014 30 % 43 % 6% 4.3 SOURCE : Check Point Software Technologies TYPES D'ATTAQUES LES PLUS POPULAIRES laisser de trace. Pour plus d'informations sur ce Les passerelles de sécurité Check Point signalent reste encore viable car toutes les entreprises ne chaque année les méthodes d'attaques privilégiées, les ont pas installés. ou principaux vecteurs d'attaques. En 2014, les trois principaux vecteurs d'attaques étaient les dénis changé, et près de 68 % des entreprises ont connu de service (DoS), les dépassements de mémoire au moins une attaque d'exécution de code. Ces tampon et l'exécution de code. En 2015, les attaques ont besoin d'une technique pour exécuter dépassements de mémoire tampon ont fortement du code à distance. chuté, et l'exécution de code est devenue le vecteur le plus populaire. déclenchées même en présence de défenses, ce Le bug Heartbleed a fait du dépassement de qui les rend très attrayantes. Une des techniques mémoire tampon la méthode d'attaque dominante d'exécution de code les plus populaires est sujet, consultez notre billet de blog Heartbleed sur www.checkpoint.com. Avec la disponibilité de correctifs pour protéger les entreprises contre cette vulnérabilité, les agresseurs ont été obligé de passer à d'autres vecteurs d'attaques. Même des années après la disponibilité de correctifs pour Heartbleed, l'exploitation de cette vulnérabilité3 En 2015, les modèles d'attaques ont Les exécutions de code peuvent être de 2014. Son nom provient de l'exploitation d'une faille dans la fonction heartbeat du protocole TLS (sécurité de la couche de transport). Grâce à ce bug, des agresseurs utilisaient des serveurs vulnérables pour récupérer jusqu'à 64 Ko de données confidentielles de manière 36 ATTAQUES D'EXÉCUTION DE CODE ONT EU LIEU CHAQUE JOUR EN 2015 répétée dans la mémoire de l'ordinateur, sans ÉTUDE DES MODÈLES D'ATTAQUES | 33 ROP (return-oriented programming). Lors de l'ouverture d'un document infecté, ROP détourne de petits morceaux de code légitimes et ordonne au processeur de les charger et d'exécuter le logiciel malveillant réel. Apparaissant légitime pour la plupart des systèmes de sécurité, la détection de cette manipulation au niveau du processeur est PLUS GRANDES ZONES DE VULNÉRABILITÉS essentielle pour stopper les attaques avant même Des vulnérabilités existent dans la plupart des qu'elles ne se produisent. logiciels que nous utilisons dans l'entreprise. Les dénis de service continuent d'être un L'un des plus grands référentiels de vulnérabilités moyen attrayant d'attaque et de perturbation, avec connues, la base de données CVE (vulnérabilités 35,1 % des entreprises victimes d'au moins une courantes), signale que les vulnérabilités de 2015 attaque DDoS. En 2015, les attaques DDoS sont étaient de 15 % supérieures à la moyenne observée passées à 73 événements par jour, par rapport à un au cours des huit précédentes années. Les logiciels chiffre déjà stupéfiant de 48 événements par jour malveillants qui exploitent des vulnérabilités en 2014. connues restent une menace importante, ce qui fait des correctifs et des mises à jour une nécessité pour tous les logiciels. UNE NOUVELLE ATTAQUE DDOS S'EST PRODUITE TOUTES LES 20 MINUTES Des points d'entrée existent dans de nombreux endroits. La lutte contre les logiciels malveillants connus nécessite l'application régulière de patchs correctifs et de mises à NOMBRE DE VULNÉRABILITÉS COURANTES 2008 5 632 2009 5 732 2010 2011 4 639 4 150 2012 5 288 2013 5 186 7 937 2014 2015 6 488 4.4 34 | ÉTUDE DES MODÈLES D'ATTAQUES SOURCE : Base de données CVE (vulnérabilités courantes) POURCENTAGE D’ÉVÉNEMENTS DE SÉCURITÉ PAR PRINCIPAUX ÉDITEURS 77 % MICROSOFT 14 % ADOBE 2014 2015 MICROSOFT 63 % JOOMLA 17 % APACHE 6% SUPERFISH HP 6% WORDPRESS SUN/ORACLE 5% MORPHEUS 8% 8% MOZILLA 3% APACHE JOOMLA 3% ADOBE 12 % 9% 7% 4.5 SOURCE : Check Point Software Technologies jour sur une quantité sans cesse croissante de reste en tête du volume d'événements de sécurité. matériels. Les serveurs, les outils de sécurité, les Joomla et WordPress pour le web et le commerce ordinateurs, les points d'accès sans fil et même électronique sont remontés dans le classement les imprimantes réseau nécessitent des mises à cette année. L'open source est très commun, et jour régulières. Avec autant d'équipements et de les systèmes de gestion des contenus (CMS) sont points d'entrée dans le réseau, il est facile d'en des applications extrêmement attrayantes pour oublier certains. les cybercriminels, comme moyen de diffusion de logiciels malveillants. SuperFish a rejoint les premières places du classement en 2015. Ce logiciel publicitaire, COMMENT LES PIRATES PARVIENNENT À ENTRER découvert sur de nombreux ordinateurs Lenovo, Même si elle est en légère diminution par un avertissement de la part du gouvernement rapport aux années précédentes, l'énorme base américain en février 2015 pour les utilisateurs de installée de systèmes d'exploitation, navigateurs, Lenovo.4 Lenovo l'a depuis retiré de ses nouveaux applications de productivité et autres de Microsoft, ordinateurs. fait bien plus que d'intercepter des résultats de recherche. Il est mesure d'intercepter les recherches chiffrées en installant un certificat racine de confiance non unique pour usurper le trafic HTTPS. SuperFish permet à des pirates d'exécuter une attaque classique de type homme du milieu sans alerter le navigateur. C'est devenu un vecteur d'attaque populaire, qui a entraîné ÉTUDE DES MODÈLES D'ATTAQUES | 35 Au bout de deux décennies, les escroqueries par phishing qui convainquent les utilisateurs de révéler des informations confidentielles, telles que des numéros de cartes bancaires et des identifiants bancaires, restent une source de revenus populaire pour les cybercriminels. Comme les utilisateurs sont devenus plus conscients des risques, et que la détection du spam et du phishing s'est améliorée, les criminels se sont tournés vers d'autres techniques pour améliorer leur taux de réussite. Cependant, ces nouvelles approches prennent plus de temps et d'efforts à mettre en œuvre, et fournissent des résultats relativement modestes pour chaque délit. Pour maximiser leur « prise », les criminels recalibrent les attaques de phishing massives prévues pour des utilisateurs aléatoires en attaques très ciblées sur des employés de grande valeur en entreprise. Phishing : de plus gros appâts pour attraper les entreprises Évolution du phishing Le phishing ciblé est le nom donné à des attaques très ciblées qui utilisent des méthodes d'escroquerie et d'ingénierie sociale pour dérober des identifiants et autres informations utiles auprès de groupes d'utilisateurs spécifiques, d'entreprises spécifiques, ou même d'individus spécifiques. Pour mener une attaque de phishing ciblée réussie, l'auteur investit beaucoup plus de temps et d'efforts de préparation pour recueillir des informations détaillées sur les cibles visées. Par exemple, un agresseur peut mener des recherches sur les fournisseurs utilisés par la 36 | ÉTUDE DES MODÈLES D'ATTAQUES société, les prestataires tels que les cabinets comptables ou les partenaires commerciaux de l'entreprise. L'agresseur identifie ensuite des individus spécifiques et leurs adresses email, et leur envoie des emails falsifiés apparaissant comme légitime à presque tous les égards. Les emails invitent les utilisateurs à ouvrir une pièce jointe ou les redirigent vers un site web contrefait de grande qualité. Le résultat net de ces méthodes améliorées d'ingénierie sociale est un taux de réussite beaucoup plus élevé. Les entreprises ayant généralement des réserves financières beaucoup plus importantes que l'utilisateur moyen, la « prise » typique de chaque escroquerie de phishing ciblé est nettement plus élevée. Chasse à la baleine Le phishing ciblé se transforme désormais en attaques de « chasse à la baleine ». Cette forme élaborée de phishing ciblé vise généralement les cadres de direction, et tire son nom de la « pêche aux gros poissons ». Par exemple, un agresseur pourrait envoyer un email falsifié se faisant passer pour une correspondance du PDG au directeur financier, lui demandant de transférer des fonds sur un compte bancaire spécifique. Ces approches sont si crédibles qu'elles ont réussi à convaincre certains professionnels avisés. Au moment où la vérité est découverte, l'argent a disparu depuis longtemps. Pour effacer toute trace, certains agresseurs utilisent des comptes de mules pour une seule attaque. Selon le FBI, au cours des deux dernières années et demie, les escroqueries de chasse à la baleine ont détourné plus de 2 milliards d'euros des entreprises. Il est certain que les agresseurs continueront de développer des moyens innovants pour conduire les utilisateurs à compromettre leurs systèmes. La sensibilisation des utilisateurs et des technologies de pointe sont nécessaires pour empêcher les utilisateurs de devenir victimes de ces escroqueries. Les entreprises ont besoin d'une stratégie unifiée de prévention des menaces. Les logiciels malveillants connus restent une grande menace. De nouvelles techniques font croître le volume de logiciels malveillants inconnus et zero-day de manière significative. Elles exigent des solutions capables de stopper les menaces connues et inconnues en temps réel, y compris les menaces les plus évasives. La supervision des communications sortantes est également importante pour repérer les comportements anormaux avant que des dommages ne se produisent. 1 UNIFIEZ L'ARCHITECTURE Protégez votre réseau contre les logiciels malveillants et les menaces zero-day avancées. Étendez ces protections aux postes fixes et mobiles, aux services dans le Cloud et aux environnements virtuels pour empêcher les menaces de se propager dans l'entreprise. 2 PROTÉGEZ TOUS LES ENVIRONNEMENTS Utilisez une architecture de sécurité agnostique pour stopper les menaces de manière uniforme contre les datacenters, les plates-formes dans Cloud, les datacenters logiciels, sous forme de services, hybrides, et les environnements mobiles. 3 4 ADMINISTREZ LA SÉCURITÉ VIA UNE SEULE CONSOLE L'administration unifiée de la sécurité améliore l'efficacité de la sécurité et la visibilité sur les journaux. 5 ADOPTEZ UNE MÉTHODOLOGIE DE TRAITEMENT DES INCIDENTS Jusqu'à ce que vous ayez unifié la prévention en temps réel, vous avez besoin de continuer de traiter les incidents. L'équipe de traitement des incidents de Check Point est disponible 24 heures sur 24 et 365 jours par an pour analyser et résoudre les attaques de logiciels malveillants et autres événements de sécurité touchant votre entreprise. Contactez-nous au +1 866 923 0907 ou par email à [email protected]. STOPPEZ LES LOGICIELS MALVEILLANTS ET LES EXPLOITATIONS DE VULNÉRABILITÉS ZERO-DAY L'augmentation des attaques d'exécution de code, y compris des techniques avancées telles que ROP, contournent les bacs à sable traditionnels. L'émulation des menaces au niveau du processeur détecte les logiciels malveillants lors de la phase d'exploitation, avant que les pirates n'appliquent des techniques de contournement du bac à sable. PRENEZ DES MESURES MEILLEURES PRATIQUES POUR EN SAVOIR PLUS checkpoint.com/management ÉTUDE DES MODÈLES D'ATTAQUES | 37 5 RÉPERCUSSIONS DE L'INSÉCURITÉ « Tout ce que nous faisons, même la moindre chose, peut avoir une conséquence et des répercussions qui en émanent. Si vous jetez un caillou dans l'eau d'un côté de l'océan, un raz de marée peut se produire de l'autre côté. » Victor Webster, acteur 38 | CHECK POINT – RAPPORT SÉCURITÉ 2016 RÉPARTITION DES PRINCIPALES FUITES DE DONNÉES PAR SECTEUR 2014 53% 2015 42% 14% 5% 3% 17% 19% 9% 5% 4% 5% ÉDUCATION GOUVERNEMENT COMMERCE DE DÉTAIL SANTÉ TECHNOLOGIE AUTRE 5.1 SOURCE : Indice de niveau de faille de Gemalto L'impact de la cybercriminalité coûte plus cher Vous changerez vos habitudes non seulement pour que la valeur de l'information dérobée. Les combattre l'insécurité, mais pour vous sentir plus répercussions sont souvent plus dommageables en sécurité, ce qui peut être plus coûteux. Les failles que le vol même. La perte de confiance, aussi bien en entreprise ne sont pas différentes. Là aussi, les au sein de votre entreprise que de vos clients, vous répercussions peuvent être plus dommageables conduit à dépenser plus que nécessaire sur les que l'événement initial. remèdes, tels que dédommager les fournisseurs et les partenaires touchés, et provoque la fuite de l'information est complexe, mais il existe aujourd'hui vos clients. plusieurs façons de l'estimer. En 2013 et en 2014, Le calcul de la valeur financière de Si quelqu'un faisait irruption dans votre une vague d'attaques a ciblé de grandes entreprises maison, vous ne vous sentiriez pas en sécurité. Votre telles qu'Anthem, Target, Home Depot et Sony, pour compagnie d'assurance vous remboursera la valeur obtenir des renseignements personnels. Le coût des objets volés, mais le sentiment de sécurité ne moyen d'une fuite de données est de 136 euros peut être remplacé si facilement. Vous deviendrez par enregistrement selon une étude de Ponemon, plus prudent et investirez même dans un système et pour les nombreux incidents impliquant des de sécurité plus moderne, ou commencerez à milliers, voire des millions d'enregistrements, stocker vos objets de valeur ailleurs, ou bien vous le coût total moyen d'une seule fuite est passé à sortirez moins, pour vous sentir plus en sécurité. 3,35 millions d'euros en 2015.1 RÉPERCUSSIONS DE L'INSÉCURITÉ | 39 En 2015, le nombre de failles a diminué Le calcul des coûts initiaux d'une légèrement, passant de 1 milliard de dossiers en faille comprend plusieurs dépenses directes : 2014 à un peu plus de 700 millions en 2015, selon • La valeur de la propriété intellectuelle dérobée le cabinet d'études Gemalto. Bien que cela semble • Le délai d'analyse, de remise en état et prometteur, tous les enregistrements n'ont pas la d'amélioration des défenses de tous les systèmes même valeur. compromis 2 En 2014, la cible principale était les données de cartes bancaires qui ont une durée • La vérification de tous les systèmes de l'entreprise à la recherche de toute infection cachée de vie relativement courte, les banques annulant • La restauration des systèmes à partir des les débits et réémettant de nouvelles cartes sauvegardes, y compris la vérification de ces rapidement. En 2015, les agresseurs sont passés sauvegardes à la recherche de vulnérabilités à des données avec une durée de vie plus longue : renseignements personnels et vol d'identité. Les • La modification des procédures de sécurité et la formation du personnel aux nouvelles procédures agresseurs sont passés de cibles principalement dans les secteurs financiers et du commerce de évidentes, cependant, occultent rapidement ces détail en 2014 à des cibles dans les secteurs du coûts directs. Dans le cas de l'attaque contre gouvernement et de la santé en 2015. Plus la durée Target, les 40 millions de cartes bancaires dérobées de conservation d'un enregistrement est longue, fin 2013 a coûté à Target 220 millions d'euros en plus la remise en état est coûteuse. dépenses directes les deux premières années, mais Les coûts des répercussions moins RÉPARTITION DES ENTREPRISES AYANT SUBI DES FUITES DE DONNÉES 100 % CONSEIL 88 % INDUSTRIE GOUVERNEMENT 86 % FINANCE 85 % 81 % COMMERCE DE DÉTAIL ET DE GROS TÉLÉCOM. 73 % 5.2 40 | RÉPERCUSSIONS DE L'INSÉCURITÉ SOURCE : Check Point Software Technologies LES FUITES D'INFORMATIONS ONT AUGMENTÉ DE PLUS DE 400 % AU COURS DES TROIS DERNIÈRES ANNÉES 5.3 SOURCE : Check Point Software Technologies ce chiffre continue d'augmenter. Certaines sources leur impact financier est limité par rapport à une estiment que les coûts dépasseront finalement entreprise publique ou privée. Les trois secteurs 2 milliards d'euros en incluant les pertes des débits privés qui subissent les impacts financiers les frauduleux, le remboursement des fournisseurs plus forts sont les services financiers, la santé et les pénalités issues des procès. La reprise sur et l'industrie. Comme beaucoup de gens ont la incident coûte cher. mauvaise habitude de réutiliser leurs mots de Les failles de sécurité servent passe, la perte d'un mot de passe sur un site généralement à dérober des données, et souvent a souvent des répercussions. Les agresseurs les petites entreprises sont plus faciles à attaquer utilisent un mot de passe dérobé pour accéder que les grandes. Selon une étude de Trustwave, à d'autres sites et applications utilisées par 90 pour cent des fuites de données touchent les la victime, ce qui produit de multiples failles. petites entreprises, qui ont beaucoup plus de difficultés à survivre à l'impact. Même si les petites entreprises ne sont pas en possession de grandes SERVICES FINANCIERS quantités de données personnelles, elles détiennent souvent les clés d'accès à ceux qui en possèdent. Les répercussions sur la réputation de l'entreprise sont difficiles à estimer, mais sont très réelles. Si une entreprise dispose Notre d'un bon soutien auprès de sa clientèle et gère financières font face à des taux beaucoup plus soigneusement la situation, les clients seront élevés d'attaques que tout autre secteur. Nous peut-être pas. ne sommes pas les seuls à tirer cette conclusion. Cependant, pour les petites entreprises, toute Un rapport de Websense Security Labs en 2015 perte de confiance des clients est dévastatrice. souligne également que les institutions financières subissent 300 pour cent plus de cyberattaques que ébranlés mais ne partiront Les failles au niveau du gouvernement entraînent de gros problèmes de confiance, mais étude montre que les institutions tout autre secteur.3 RÉPERCUSSIONS DE L'INSÉCURITÉ | 41 Conclusions pour le secteur de la finance en 2015 Parmi les plus importantes pressions sur le marché de la finance en 2015 : 83 % des dirigeants d'entreprises du secteur de la finance conviennent que la capacité de lutter contre les cybermenaces et la protection des données personnelles seront l'un des plus grands défis en matière de renforcement de la réputation au cours des 12 prochains mois4 24 % d'augmentation des pertes financières suite à des incidents5 73 % des consommateurs américains changent de prestataire de services financiers suite à des failles ou des fuites de données personnelles 6 61 % des consommateurs ne font pas confiance aux institutions financières7 44 % des entreprises du secteur de la finance ont signalé des pertes d'activité de 20 % ou plus au cours des douze derniers mois en raison de problèmes de réputation et de satisfaction client. La moyenne se situant à 17 %,soit presque le double de la moyenne de 20148 42 % des consommateurs américains estiment que ne pas protéger leurs informations personnelles et financières est la plus grande menace pouvant peser sur la réputation des entreprises du secteur de la finance9 68 % des consommateurs signalent que toute actualité négative au sujet de leur prestataire de services financiers, problèmes de conformité réglementaire, activités illégales, amendes, etc., les conduiront probablement à changer de prestataire10 42 | RÉPERCUSSIONS DE L'INSÉCURITÉ Les sociétés financières sont des cibles idéales car leurs données sont plus attrayantes sur le marché. Les banques de détail, les banques SECTEUR MÉDICAL commerciales avec des bureaux dispersés à Les dossiers médicaux des patients ont la plus travers le monde, les entreprises de cartes de grande valeur sur le marché noir, dix fois plus que crédit, les compagnies d'assurance et les sociétés les cartes bancaires et autres données financières.11 de commerce possèdent toutes des données, et Alors qu'un numéro de carte bancaire ou un sont connectées à d'autres données. Les services identifiant de connexion à un compte bancaire peut financiers ne sont pas en tête de la liste des cibles être rapidement réédité, un dossier médical ne le des attaques en 2015, simplement parce que leurs peut pas. Ils exposent beaucoup plus d'informations efforts en 2014 pour fortifier leurs défenses ont font sur un individu, y compris ses sensibilités, ses une cible plus difficile à pénétrer. vulnérabilités et ses préoccupations personnelles, un La cybersécurité écosystème financière profondément complexe est ce qui les rend précieux à des fins d'espionnage. et Les entreprises du secteur médical sont des cibles multiforme. Les grandes institutions financières privilégiées pour les cybercriminels. se sont remises en question après 2014. Elles ont commencé à investir dans des solutions intégrées plutôt que des produits disparates pour améliorer encore la protection contre le déluge de menaces persistantes avancées et les attaques zero-day. Le volume des attaques et des cibles nécessite une visibilité complète sur les opérations et l'administration centralisée de la sécurité, mais pas une transparence totale. Comme les nations protégeant leurs citoyens, les directions des grandes institutions financières sont prudentes quand il s'agit de révéler les méthodes de protection ou les détails des attaques. Lorsque les cybercriminels constatent si leurs attaques ont un 9 % DES ENTREPRISES DU SECTEUR MÉDICAL/DE L'ASSURANCE ONT SUBI UNE PERTE DE DONNÉES HIPAA impact, ou n'en ont pas, ils adaptent leurs tactiques ou leurs représailles. La perception de la protection est aussi importante, sinon plus, que la protection réelle. Les incidents qui ne produisent aucune fuite de données 5.4 personnelles secouent malgré tout la confiance SOURCE : Check Point Software Technologies des clients. Pour cette raison, les institutions financières partagent désormais des détails sur les attaques via des flux de renseignements sur entreprises du secteur médical ont été victimes En 2015 et au début de 2016, de nombreuses les menaces. Nos partenaires proposent certains d'une multitude d'attaques, principalement de de ces flux. Comme la plupart des pirates utilisent la part de logiciels rançonneurs. Le secteur de habituellement les mêmes méthodes d'attaques la santé est traditionnellement en retard sur couronnées de succès contre plusieurs victimes, des cibles privilégiées telles que le secteur de la leurs coûts augmentent lorsqu'une méthode finance en termes de robustesse de la sécurité, d'attaque ne fonctionne qu'une fois. Plus le piratage et de nouvelles règlementations concernant la coûte cher, plus le nombre de pirates diminue, ce confidentialité des renseignements personnels qui est plus sécurisant pour tout le monde. compliquent également l'évolution de la sécurité. RÉPERCUSSIONS DE L'INSÉCURITÉ | 43 Conclusions pour le secteur médical en 2015 60 % d'augmentation des incidents de sécurité dans le secteur médical12 2 % des entreprises du secteur médical aux États-Unis ont signalé au moins un cas de vol d'identité médicale13 282 % d'augmentation des coûts des failles de sécurité dans le secteur médical au cours des 12 derniers mois14 89 % des prestataires du secteur médical aux États-Unis mettent les données des patients à la disposition des patients, de substituts et/ou d'autres personnes désignées15 11 types d'outils techniques de sécurité sont mis en œuvre en moyenne par les entreprises du secteur médical aux États-Unis16 21 % des entreprises du secteur médical aux États-Unis n'utilisent pas de technologie de reprise sur incident et 51,7 % de celles-ci ont l'intention de s'en procurer une à l'avenir17 54 % des entreprises du secteur médical aux États-Unis ne disposent pas d'un moyen d'authentification unique (SSO), et 49,3 % d'entre elles ont l'intention de s'en procurer un à l'avenir18 60 % des entreprises du secteur médical aux États-Unis n'ont pas implémenté de mécanisme d'authentification à deux facteurs19 19 % des entreprises du secteur médical aux États-Unis déclarent avoir subi une faille de sécurité l'année dernière20 Seulement 54 % des professionnels de l'informatique auprès des prestataires du secteur médical aux États-Unis ont testé leur plan d'intervention en cas de fuite de données21 Dans le secteur médical aux États-Unis, les trois premières menaces perçues sont : (80 %) les travailleurs qui espionnent les données des parents/amis, (66 %) le vol d'identité financière, (51 %) le vol d'identité22 44 | RÉPERCUSSIONS DE L'INSÉCURITÉ Des programmes tels que HIPAA énoncent des pays du G20, y compris les services publics, des règles strictes concernant la communication l'industrie du pétrole et du gaz, l'agriculture intentionnelle ou accidentelle de renseignements et la fabrication. Sont également incluses les personnels, mais peuvent entraîner de nouvelles entreprises de transport et d'infrastructure de vulnérabilités. Les prestataires de santé de toute transport (rail, ports), de logistique et de services taille doivent se conformer à ces règlementations médicaux des hôpitaux, et les centrales de sur les renseignements personnels et leur production d'électricité. sécurité. La protection des renseignements L'une des plus grandes attractions de personnels est parfois prioritaire sur les contrôles l'IIoT est la promesse d'efficacité opérationnelle. d'accès. L'intégration des appareils connectés Les techniques d'automatisation et de production dans les environnements de santé augmente flexibles conduisent à une augmentation de la considérablement dans productivité pouvant aller jusqu'à 30 pour cent.24 ce secteur, qui ne s'adapte pas à la taille des Cependant, ces appareils sont tous connectés, prestataires, ce qui fait des petits prestataires sont généralement accessibles et sont laissés des cibles de choix. La protection de ce secteur sans surveillance, avec peu ou pas de protection est également difficile en raison des logiciels et pour leurs terminaux. des systèmes d'exploitation des équipements maintenant les patients en vie qui ne peuvent être connectés dans le secteur de l'industrie sont mis hors ligne pour mise à jour. difficiles à mesurer, mais sont généralement La conformité dans le secteur de la santé se facteurs de perturbations. Les perturbations concentre principalement sur les contrôles internes des infrastructures essentielles ont d'énormes plutôt que sur la protection de l'information. Bien implications. Toute panne pourrait avoir un impact que la conformité des médecins, des infirmières et sur des centaines, voire des milliers d'entreprises, des administrateurs ayant accès aux données, mais de manière difficilement quantifiable. ayant une connaissance limitée des techniques de cybercriminalité, est certainement importante, la l'accent doit être mis sur la protection des objets produire le plus grand impact et causer le connectés et les contrôles d'accès. plus de perturbations. Par exemple, Google la surface d'attaque Les répercussions des failles des objets Parmi tous les progrès actuels de technologie, l'IIoT peut potentiellement et Tesla produisant des voitures autonomes sont susceptibles de perturber une multitude OBJETS CONNECTÉS INDUSTRIELS de secteurs, y compris l'industrie automobile, Les objets connectés dans le secteur de l'industrie des données de santé maintenant occupé par des (IIoT) sont une tendance significative à la hausse médecins, des organismes d'assurance et des en 2015, et ont des implications importantes pour sociétés pharmaceutiques se déplacerait vers les l'économie mondiale. Selon Oxford Economics, particuliers.25 l'assurance automobile et l'octroi de licences auprès du gouvernement. Le HealthKit d'Apple est un autre exemple d'objet connecté ayant de profondes implications. Si les capteurs de santé et les applications de santé sont soudainement librement accessibles aux patients, l'écosystème 23 ce segment regroupe les industries qui contribuent Les avantages de l'efficacité accrue seront à 62 pour cent du produit intérieur brut (PIB) rapidement éclipsés en cas de fuites de données. 88 % DES ENTREPRISES ONT SUBI UNE FUITE DE DONNÉES RÉPERCUSSIONS DE L'INSÉCURITÉ | 45 Sécurisation des objets connectés dans le secteur de l'industrie Prévention. Si la protection contre les Protocoles. Il est recommandé d'utiliser logiciels malveillants ne peut être implémentée sur chaque équipement, elle peut résider sur un point de communication commun à ces équipements. une protection prenant en charge les protocoles ICS/SCADA spécifiques. Commandes directionnelles. Les objets connectés devraient émettre des rapports, et ne recevoir que quelques commandes en entrée. Segmentation. Les appareils connectés devraient communiquer avec un contrôleur central, et non pas les uns avec les autres. IDENTIFICATION DES RÉPERCUSSIONS menaces, par opposition à la détection et au traitement des menaces. Pour réduire davantage les risques, intégrez la prévention des fuites de données dans votre infrastructure de sécurité et faites appel aux meilleures pratiques lors de la configuration de vos politiques de sécurité. Les fuites de données peuvent avoir des impacts financiers à court terme, qui sont relatifs en comparaison des dégâts à long terme sur la position d'une entreprise sur le marché. La valeur de la marque diminue en moyenne de 21 % en conséquence directe d'une faille de sécurité.26 La restauration de votre réputation prend du temps et dépend de la manière dont la situation est gérée. Adoptez une approche holistique de la sécurité au lieu d'assembler des solutions individuelles. Optez pour la prévention des « Le succès ne consiste pas à ne jamais faire d'erreurs, mais à ne jamais faire deux fois la même. » H. W. Shaw (Josh Billings), humoriste américain L'équipe de traitement des incidents de Check Point est disponible pour étudier et résoudre des événements de sécurité complexes résultant d'attaques de logiciels malveillants, d'intrusions ou d'attaques de déni de service. L'équipe est disponible 24 heures sur 24 et 365 jours par an via [email protected] ou au +1 866 923 0907. 46 | RÉPERCUSSIONS DE L'INSÉCURITÉ 1 COMPRENDRE LA SITUATION À quel point faisons-nous confiance à l'efficacité de notre cybersécurité contre les menaces zero-day ? Mes collaborateurs sont-ils correctement formés sur les cybermenaces et les conséquences potentielles de leurs actions ? 2 S'ASSURER DE LA VISIBILITÉ DES ACTIVITÉS Avons-nous une visibilité claire sur l'activité de journalisation dans tous les segments de notre réseau, ou est-ce que la supervision est trop complexe pour être utile ? 3 PROTÉGER LES CAPACITÉS DE TRAITEMENT PLUTÔT QUE LES SERVEURS Est-ce que les capacités de traitement du Cloud et des environnements virtuels ou logiciels bénéficient des mêmes protections que celles gérées par mon datacenter ? 4 SE PRÉPARER Est-ce que les politiques de l'entreprise protègent les informations et les ressources dans tous les environnements ? Comment la direction est-elle informée du niveau actuel de menace et de l'impact potentiel des cyberattaques sur notre activité ? PRENEZ DES MESURES LORSQUE VOUS RÉFLÉCHISSEZ À VOS OBJECTIFS EN MATIÈRE DE CYBERSÉCURITÉ, POSEZ-VOUS CES QUESTIONS LANCEZ-VOUS Découvrez les menaces actives sur votre réseau et les points faibles que vous pouvez corriger/améliorer. Rendez-vous sur : checkpoint.com/resources/securitycheckup RÉPERCUSSIONS DE L'INSÉCURITÉ | 47 6 CONSERVEZ UNE LONGUEUR D'AVANCE « Être bien préparé, c'est être à mi-chemin de la victoire. » Miguel de Cervantes, auteur 48 | CHECK POINT – RAPPORT SÉCURITÉ 2016 Mobilité Anglais et américains utilisent en moyenne 3 appareils mobiles par personne.1 Les employés combinent utilisation personnelle et professionnelle de leurs équipements, et jusqu'à 5 appareils mobiles sont infectés.2 IoT En 2016, 5,5 millions de nouveaux « objets » vont se connecter tous les jours.3 Cloud Les dépenses mondiales en logiciels d'entreprise augmenteront de 7,5 pour cent pour atteindre 133 milliards d'euros en 2015.4 Pour qu'une stratégie de sécurité soit efficace, vous devez comprendre les agresseurs. Le rapport connectés et les applications dans le Cloud offrent de cette année montre que l'environnement des de nouvelles libertés, mais ces libertés comportent menaces continue de croître en complexité puisqu'il de nouveaux risques de sécurité. Pour chaque est plus facile que jamais d'obtenir et déployer modèle d'entreprise perturbatrice, un service des logiciels malveillants. Un million de nouveaux informatique réfléchit à la façon de le protéger. logiciels malveillants étaient lancés en 2005. En Par exemple, les communications des appareils 2015, ce sont un million de logiciels malveillants mobiles utilisés pour comptabiliser les stocks lancés chaque jour.5 Les logiciels malveillants en entrepôt ne doivent pas être compromises ni sont de plus en plus faciles à obtenir et à lancer. interceptées. Les appareils qui automatisent les Examinez les attaques réussies, les dernières relevés médicaux, la distribution d'énergie ou l'air vulnérabilités et les tendances d'attaques pour conditionné des bureaux, doivent être correctement créer une stratégie de sécurité adaptée à votre protégés de toute commande à distance risquant entreprise. de les perturber. Les applications dans le Cloud ne Déterminez ensuite l'étendue de la surface devraient pas comporter d'interface ouverte non d'attaque de votre entreprise. Les frontières de contrôlée permettant à des pirates d'entrer dans l'entreprise continuent de s'étirer et se brouiller, ce votre réseau. qui complique encore plus la sécurité. Les serveurs et les ordinateurs de l'entreprise ne définissent connectés sous forme distincte augmentera la plus ces frontières. Elles sont repoussées par un complexité de la gestion de la sécurité. Idéalement, nombre record d'appareils mobiles, d'applications la sécurité des objets connectés, que ce soit des dans le Cloud, et un nombre croissant d'objets biens de consommation ou des systèmes SCADA connectés dont votre service informatique n'a pas industriels, peut être intégrée à l'architecture de conscience. Ces outils améliorent la productivité, sécurité unifiée et gérée par la même console que mais les autres segments du réseau. chaque extension des frontières de Les appareils mobiles, les objets La gestion de la sécurité des objets l'entreprise doit être protégée. CONSERVEZ UNE LONGUEUR D'AVANCE | 49 Conformité : la vraie raison des meilleures pratiques Savez-vous comment se nomme un groupe de méduses ? Bien qu'il n'existe pas de nom spécifique pour désigner un groupe de personnes qui rédigent les règlementations en matière de cybersécurité, comme dans le règne animal, les régulateurs semblent former des groupes. La preuve d'un comportement de groupe apparaît dans les nombreuses exigences communes que les régulateurs intègrent aux règles de cybersécurité qui émanent des entreprises du secteur de l'industrie et du secteur public. Face à ce tissu complexe de règlementations et de lois, l'utilisation des meilleures pratiques peut vous aider à tirer parti des exigences communes pour simplifier et améliorer la conformité et la sécurité. Par meilleures pratiques, nous entendons les lignes directrices qui ont pour objectif d'optimiser la configuration des solutions de cybersécurité. L'élimination des erreurs humaines est la principale raison de l'utilisation des meilleures pratiques. Selon Gartner, « Jusqu'en 2020, 99 % des failles des pare-feux seront causées par de simples erreurs de configuration du parefeu, et non des défauts. »6 Lewis Morgan déclare à propos de la gouvernance : « L'erreur humaine est la cause de la plupart des fuites de données. Ce n'est donc pas un secret que la plus grande menace pesant sur les données d'une entreprise provient de ses propres employés, que ce soit un acte délibéré ou non. »7 Compte tenu de l'impact profond que peuvent avoir les erreurs de configuration sur la sécurité et la conformité, les chercheurs de Check Point se sont intéressés à la manière dont les entreprises utilisent efficacement les meilleures pratiques, et leur impact sur la conformité. Ils ont surveillé la configuration des contrôles de sécurité tels que les pare-feux, les systèmes de détection/prévention d'intrusions, les antivirus et autres, et ont produit des indices sur la conformité. Nos chercheurs ont été surpris de découvrir que 53,3 pour cent des paramètres de configuration sont définis conformément aux meilleures pratiques du secteur. Les niveaux de conformité avec les différents secteurs et normes réglementaires sont présentés dans le tableau suivant : Niveaux de conformité à 4 règlementations par secteur SECTEUR RÉGLEMENTATION ÉTAT DE LA CONFORMITÉ Sécurité HIPAA 59 % Sécurité informatique générale ISO 27001 64 % Énergie NERC CIP 67 % PCI DSS 3.1 60 % Médical Cartes de paiement 50 | CONSERVEZ UNE LONGUEUR D'AVANCE Notre étude montre qu'un segment important de professionnels de l'informatique à travers un large éventail de secteurs n'optimise pas les configurations pour la sécurité et la conformité. Pour comprendre cela plus en détail, le tableau 2 ci-dessous montre la conformité avec les meilleures pratiques pour les entreprises des secteurs des infrastructures critiques et de la finance. Niveaux de conformité par norme de configuration et par secteur MEILLEURE PRATIQUE TOUS SECTEURS INFRASTRUCTURES CRITIQUES SERVICES FINANCIERS Activer l'anti-usurpation 70,0 % 75,5 % 65,0 % Assurer la documentation correcte des règles du pare-feu 28,0 % 30,0 % 30,0 % Définir les options de supervision des règles de sécurité 20,0 % 22,0 % 30,0 % Bloquer les applications et les sites web à haut risque 49,5 % 54,0 % 45,0 % Il est intéressant de noter que 3 entreprises sur 10 ne profitent pas de la technologie anti- usurpation, et qu'une entreprise sur deux ne restreint pas l'accès aux applications à haut risque. Compte tenu des risques associés à ces techniques de sécurité, ce sont des statistiques explosives. Une autre constatation pertinente est que la base de règles n'est pas entièrement documentée pour trois politiques de pare-feu sur quatre. Meilleures pratiques et reporting Les meilleures pratiques peuvent également vous aider pour le reporting et la supervision continue de la conformité, notamment dans le cas d'un audit. La règle 11 de PCI-DSS,8 HIPAA CFR 160164,9 FISMA,10 FERPA 99.62,11 la règle 4530 de FINRA et de nombreuses autres réglementations, nécessitent la supervision de la sécurité et des procédures de reporting. Une fois que vous avez réglé la question de la configuration, vous pouvez citer les meilleures pratiques pour structurer efficacement le contenu des rapports d'audit. CONSERVEZ UNE LONGUEUR D'AVANCE | 51 BEAUCOUP DE FEUX, TRÈS PEU DE POMPIERS Il n'existe pas assez de professionnels de la sécurité pour supporter la demande croissante en administration et en supervision des systèmes informatiques, et les professionnels disponibles doivent jongler entre demandes de routine et alertes urgentes. Ils sont également accaparés par les processus manuels et les systèmes cloisonnés. Avec tant de logiciels malveillants, tant de vecteurs Ils ont besoin d'outils avancés de prévention des d'attaques et tant d'appareils à protéger, aucune menaces s'appliquant à tous les points, avec entreprise, grande, petite, privée ou publique, administration centralisée et exécution méthodique, n'est à l'abri. Nous courrons tous des risques. pour les aider. Les systèmes d'administration qui À mesure que les menaces et les attaques se améliorent l'efficacité sont essentiels. développent, le nombre d'appareils et d'outils de sécurité que votre service informatique doit sécurité gérer suit cette tendance. Même avec des budgets à la constante expansion du périmètre des informatiques illimités, le nombre de personnes réseaux, qualifiées reste limité ! fondamentalement transformer leur approche Les ne les approches suffisent équipes traditionnelles plus. Pour informatiques de la s'adapter doivent FENÊTRE D’EXPOSITION ENTRE VULNÉRABILITÉ ET DÉCOUVERTE 100 % Fenêtre d’exposition de plusieurs jours ou moins Délai jusqu’à vulnérabilité (tendance) Délai jusqu’à vulnérabilité (réel) 75 % Délai jusqu’à découverte (tendance) 50 % 67 % Délai jusqu’à découverte (réel) 56 % 55 % 61 % 67 % 62 % 67 % 89 % 62 % 76 % 62 % 84 % 25 % % 0% 2005 2007 2009 2011 2013 6.1 52 | CONSERVEZ UNE LONGUEUR D'AVANCE Fenêtre d’exposition entre vulnérabilité et découverte 2015 SOURCE : Enquête de Verizon sur les fuites de données en 2016, page 10 de la sécurité. Traditionnellement composée tout derniers correctifs et faire en sorte qu'ils se d'une série de modules administrés et supervisés propagent sur tous les appareils et les ordinateurs individuellement, la sécurité doit devenir un du système sécurité Renforcez votre politique de gestion des correctifs d'aujourd'hui doit regrouper l'administration de par des solutions capables de stopper les attaques la sécurité des appareils mobiles, des appareils connues. Celles-ci devraient inclure un antivirus connectés et des systèmes dans le Cloud, sous une traditionnel, un système de prévention d'intrusions seule architecture d'administration souple capable et un pare-feu de nouvelle génération, alimentés de prendre en charge plusieurs environnements continuellement par les renseignements les plus distribués dans le Cloud. La sécurité moderne récents sur les menaces. doit être rapide, ouverte, intégrée, et surtout, administrée à partir d'une seule console. les appareils mobiles brouillent les lignes entre unifié. L'architecture de réseau. Soyez organisé et méthodique. Comme vous l'avez vu dans le chapitre 3, Il suffit d'un point d'entrée et de quelques l'utilisation personnelle et professionnelle. Un minutes à un pirate chevronné pour pénétrer dans appareil infecté par des logiciels malveillants non votre réseau. Les pirates sont plus efficaces que détectés risque d'infecter la totalité du réseau. jamais pour entrer et repartir avec des données. Il est donc essentiel de créer un environnement Il est donc essentiel de se concentrer sur la professionnel protégé sur tout appareil mobile. prévention, et non plus seulement sur la détection. Les toutes dernières conclusions de l'enquête de continue du nombre de logiciels malveillants Verizon sur les fuites de données en 2016 montrent inconnus, aussi bien les véritables vulnérabilités que chaque minute compte, car année après année, zero-day les pirates parviennent à compromettre les réseaux d'anciens logiciels malveillants. Ces attaques plus rapidement qu'ils ne peuvent être détectés. sont plus difficiles à détecter. De nombreux Le chapitre 4 présente l'augmentation que les variantes reconditionnant pirates apprennent à contourner les bacs à sable de première génération qui ont été installés ces dernières années. Heureusement, les solutions modernes parviennent à détecter les attaques SOYEZ ORGANISÉ avant que le code malveillant ne soit déployé. Toute sécurité proactive se doit d'intégrer un ensemble d'outils de sécurité fondamentaux Comme vous l'avez vu dans les chapitres 2 et pour protéger entièrement votre entreprise : 4, les logiciels malveillants inconnus sont en prévention avancée des menaces, protection des progression. Cependant, la majorité des attaques appareils mobiles et segmentation du réseau de 2015 provenaient de logiciels malveillants afin qu'il puisse être surveillé de près. À une connus, âgés de plus d'un an. La plupart de ces époque où les coûts sont examinés attentivement, attaques aurait pu être évitée. Il est nécessaire de maximisez l'efficacité et la productivité de votre bien organiser et automatiser le déploiement des équipe informatique. « La meilleure façon de prédire l'avenir est de l'inventer. » Alan Kay, informaticien CONSERVEZ UNE LONGUEUR D'AVANCE | 53 Que vous le fassiez vous-même ou le déléguiez à une équipe entière, des tâches telles que l'installation de serveurs en rack et l'ajustement de la température de l'air conditionné de la salle des serveurs deviennent rapidement le problème de quelqu'un d'autre : quelqu'un travaillant dans un datacenter. Cisco estime que 83 pour cent du trafic des datacenters deviendra du trafic dans le Cloud en 2019.12 La migration à grande échelle vers le Cloud signale un changement fondamental. Les infrastructures matérielles résidant dans des datacenters en entreprise migrent vers des infrastructures logicielles fonctionnant sur des ensembles dynamiques de ressources de traitement et de stockage. La transition vers le Cloud est un moment propice pour repenser aux solutions dont vous aurez besoin pour protéger les actifs et les services informatiques de votre entreprise quand ils émaneront d'une plate-forme dans le Cloud, et ce que cela signifie pour votre rôle en tant que professionnel de l'informatique. Repensez les rôles de sécurité Le Cloud vous permet de proposer des services extensibles plus rapidement et à moindre coût sur des plates-formes telles que Microsoft Azure, Amazon Web Services et Google Cloud Platform, qui sont généralement plus efficaces que leurs homologues dans des datacenters en entreprise. Par exemple, les datacenters dans le Cloud ont généralement des densités plus élevées de machines virtuelles hébergées sur des serveurs que dans les environnements virtuels en entreprise. La bande passante du Cloud s'adapte à des pics de trafic et les ressources informatiques disponibles à la demande rendent les services plus fiables, plus évolutifs et plus économiques. 54 | CONSERVEZ UNE LONGUEUR D'AVANCE En laissant les prestataires d'infrastructure sous forme de service (IaaS) et d'applications sous forme de service (SaaS) gérer les problèmes de matériel et de bande passante, vous pouvez vous concentrer davantage sur l'aspect logiciel de votre activité : déploiement de portails d'applications en libre-service, création de politiques, meilleures pratiques, supervision de la sécurité. La transition vers des réseaux hybrides et dans le Cloud public ne signifie pas que les services et les mesures de sécurité nécessaires pour les protéger seront fondamentalement différents. Dans le Cloud, vous avez toujours besoin de fonctions de prévention des menaces, de protection de la messagerie, du web et des applications. Ce sont les mesures que vous utilisez actuellement pour protéger votre réseau sur site. Même si les besoins en sécurité restent constants, les rôles changent lorsque vous migrez vers le Cloud. Ce ne sont plus les administrateurs informatiques et les administrateurs de la sécurité qui décident des contrôles de sécurité et de l'infrastructure, mais les développeurs d'applications. Les administrateurs et les développeurs d'applications devraient étudier les moyens de combler le fossé des connaissances qui sépare l'administration informatique, l'administration de la sécurité et le développement d'applications. Vous devez aligner la sécurité avec les flux des services applicatifs et les processus d'orchestration qui vous permettent de protéger les services et les données, et d'appliquer des politiques de sécurité peu importe l'origine ou la destination de vos services. Un serveur est un serveur, qu'il soit dans votre datacenter ou dans un datacenter dans le Cloud. Cependant, lorsque les serveurs sont hébergés ailleurs, vous devez reporter votre attention sur l'aspect logiciel du réseau et de la sécurité. L'axiome de Benjamin Franklin précisant « qu'une once de prévention vaut une livre de guérison » est particulièrement valide à l'ère des logiciels malveillants et des vulnérabilités zero-day inconnues. Idéalement, les ressources informatiques limitées sont mieux investies dans la prévention des menaces que sur l'analyse des alertes et le traitement des incidents de sécurité. PRÉVENTION ARCHITECTURE 1 1 CYBERSÉCURITÉ MULTICOUCHES SIMPLIFIEZ L'ADMINISTRATION DE LA SÉCURITÉ Les menaces revêtent de nombreuses formes. Voici les technologies de sécurité à intégrer parmi vos couches de sécurité : prévention des menaces de nouvelle génération, pare-feu, contrôle des applications, antibots, antivirus, prise en charge des identités, protection de la messagerie et antispam, système de prévention d'intrusions et filtrage des URL. L'utilisation de plusieurs consoles pour administrer la sécurité de chaque segment réseau est inefficace. Elle conduit à des erreurs de configuration qui dégradent la sécurité. La gestion de toutes les fonctions de sécurité, des segments et des environnements via une console unique simplifie l'administration d'une sécurité plus robuste et plus facile à gérer. 2 2 BLOCAGE DES LOGICIELS MALVEILLANTS DÈS LE PREMIER CONTACT La prévention des menaces en temps réel qui bloque les logiciels malveillants dès le premier contact est la nouvelle référence en matière d'efficacité de la sécurité. 3 CORRECTIFS VIRTUELS Les correctifs virtuels protègent contre les exploitations de vulnérabilités inopinées et offrent une protection jusqu'à ce que les correctifs pour les vulnérabilités connues soient disponibles et déployés. UNIFIEZ LES CONTRÔLES Implémentez des contrôles unifiés dans tous les réseaux, systèmes, postes et environnements, y compris les environnements traditionnels, virtuels, mobiles et hybrides, dans le Cloud, et les objets connectés. PRENEZ DES MESURES CONSERVEZ UNE LONGUEUR D'AVANCE SEULS LES FAITS COMPTENT Découvrez les résultats de tests impartiaux sur les taux de blocage des logiciels malveillants, de prévention des menaces en temps réel, de gestion de l'évolutivité et plus encore. Téléchargez le rapport « Assez de surenchère – Place aux faits ! » sur checkpoint.com/facts CONSERVEZ UNE LONGUEUR D'AVANCE | 55 RÉFÉRENCES Chapitre 2 1 Harrison Virginie et Pagliery Jose. « Près d'un million de nouvelles menaces sont déclenchées tous les jours. » CNN Money, 14 avril 2015. http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/ 2 Chickowski Ericka. « Les 5 tendances d'exploitation de vulnérabilités derrière les attaques d'aujourd'hui. » Dark Reading, 17 février 2016. http://www.darkreading.com/perimeter/5-exploit-trends-driving-attacks-today/d/d-id/1324352 3 Cisco. « Indice Cisco Global Cloud : prévisions et méthodologie, livre blanc 2014-2019 », 21 avril 2016. 4 Weins Kim. « Tendances du Cloud : Enquête sur l'état du Cloud en 2016 ». RightScale, 9 février 2016. http://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2016-state-cloudsurvey 5 Statistiques sur les logiciels malveillants. AV-TEST. https://www.av-test.org/en/statistics/malware/ 6 Statistiques sur les logiciels malveillants. AV-TEST. ibid. Chapitre 3 1 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014 http://www.comscore.com/Insights/Presentations-and-Whitepapers/2014/The-US-Mobile-App-Report 2 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014. ibid. 3 Livre blanc comScore. « Rapport sur les applications mobiles aux États-Unis. » Août 2014. ibid. 4 Sécurité informatique. « BYOD & Mobile Security Report Spotlight 2016. » Scribd. https://www.scribd.com/doc/309703246/BYOD-and-Mobile-Security-Report-2016 Chapitre 4 1 Statistiques Internet mondiales, « Internautes dans le monde par région en 2015. » http://www.internetworldstats.com/stats.htm 2 Statistiques Internet mondiales, « Taux de pénétration d'Internet par région, mise à jour de novembre 2015. » http://www.internetworldstats.com/stats.htm 3 Kerner Sean Michael. « Heartbleed demeure un risque 2 ans après sa découverte », eWeek, 7 avril 2016. http://www.eweek.com/security/heartbleed-remains-a-risk-2-years-after-it-was-reported.html 4 Alerte US Cert TA15-051A, « Le logiciel publicitaire Lenovo Superfish est vulnérable à l'usurpation HTTPS. » US-CERT, 24 février 2015. https://www.us-cert.gov/ncas/alerts/TA15-051A Chapitre 5 1 Korolov Maria. « Ponemon : le coût moyen d'une fuite de données est maintenant de 136 € par dossier. » CSO, 27 mai 2015. http://www.csoonline.com/article/2926727/data-protection/ponemon-data-breachcosts-now-average-154-per-record.html 2 Gemalto. « Gemalto publie son indice de niveau de faille en 2015 », 23 février 2016. http://www.gemalto.com/press/Pages/Gemalto-releases-findings-of-2015-Breach-Level-Index.aspx 56 | RÉFÉRENCES 3 Raytheon Websense. « Rapport de 2015 sur les services financiers », juin 2015. 4 Makovsky. « Les fuites de données et l'incapacité à protéger les informations personnelles endommagent la réputation et les activités de Wall Street, » 28 mai 2015. http://www.makovsky.com/ news/data-breaches-and-failure-to-protect-personal-info-further-damage-wall-streets-reputationand-business-2/ 5 PwC. « Enquête sur l'état de la sécurité de l'information en 2015 - Gestion des risques informatiques dans un monde interconnecté », 2015. http://www.pwccn.com/home/eng/rcs_info_security_2015.html 6 Étude Makovsky sur la réputation de Wall Street op. cit. 7 Étude Makovsky sur la réputation de Wall Street ibid. 8 Étude Makovsky sur la réputation de Wall Street ibid. 9 Enquête sur l'état de la sécurité de l'information op. cit. 10 Étude Makovsky sur la réputation de Wall Street op. cit. 11 Wagstaff Jeremy. « Les données médicales Saint-Graal des cybercriminels, sont désormais la cible de l'espionnage », Reuters, juin 2015. http://www.reuters.com/article/cybersecurity-usa-targetsidUSL3N0YR30R20150605 12 Enquête sur l'état de la sécurité de l'information op. cit. 13 6e enquête HIMSS annuelle sur la sécurité. http://www.himss.org/2013-himss-security-survey?ItemNumber=28270 14 6e enquête HIMSS annuelle sur la sécurité ibid. 15 6e enquête HIMSS annuelle sur la sécurité ibid. 16 6e enquête HIMSS annuelle sur la sécurité ibid. 17 6e enquête HIMSS annuelle sur la sécurité ibid. 18 6e enquête HIMSS annuelle sur la sécurité ibid. 19 6e enquête HIMSS annuelle sur la sécurité ibid. 20 6e enquête HIMSS annuelle sur la sécurité ibid. 21 6e enquête HIMSS annuelle sur la sécurité ibid. 22 6e enquête HIMSS annuelle sur la sécurité ibid. 23 Copyright Oxford Economics, Ltd. Base de données mondiale des secteurs. http://www.oxfordeconomics.com/forecasts-and-models/industries/data-and-forecasts/globalindustry-databank/overview 24 Heng Stefan. « Industrie 4.0 : un énorme potentiel de création de valeur en attente d'être exploité », étude Deutsche Bank, mai 2014. http://www.dbresearch.com/servlet/reweb2.ReWEB?rwsite=DBR_ INTERNET_EN-PROD&rwobj=ReDisplay.Start.class&document=PROD 25 Boulton Clint. « L'intérêt d'Apple pour la santé vient à point », The Wall Street Journal, 10 juin 2014. http://blogs.wsj.com/cio/2014/06/10/apples-new-health-focus-comes-at-propitious-time/ 26 Experian. « Impact d'une fuite de données sur la réputation. » https://www.experian.com/assets/data-breach/white-papers/reputation-study.pdf RÉFÉRENCES | 57 Chapitre 6 1 Statista. « Nombre moyen d'appareils connectés utilisés par personne dans certains pays en 2014. » http://www.statista.com/statistics/333861/connected-devices-per-person-in-selected-countries/ 2 Sécurité informatique. « BYOD & Mobile Security Report Spotlight 2016. » Scribd. https://www.scribd.com/doc/309703246/BYOD-and-Mobile-Security-Report-2016 3 Gartner. « Gartner indique que 6,4 milliards d'objets connectés seront utilisés en 2016, soit 30 pour cent de plus qu'en 2015 », 10 novembre 2015. http://www.gartner.com/newsroom/id/3165317 4 Gartner. « Gartner indique que les projets de modernisation et de transformation numérique sont à l'origine de la croissance du marché des applications d'entreprise », 27 août 2015. http://www.gartner.com/newsroom/id/3119717 5 AV-TEST. « Statistiques sur les logiciels malveillants. » https://www.av-test.org/en/statistics/malware/ 6 Gartner. « Une seule marque de pare-feu est une bonne pratique pour la plupart des entreprises. » 18 février 2016. https://www.gartner.com/doc/3215918?ref=SiteSearch&sthkw=One%20Brand%20of%20Firewall%20 is%20a%20Best%20Practice%20for%20Most%20Enterprises&fnl=search&srcId=1-3478922254 7 Morgan Lewis. « Cinq fuites de données catastrophiques causées par une erreur humaine », IT Governance Blog, 17 février 2016. https://www.itgovernance.co.uk/blog/five-damaging-data-breaches-caused-by-humanerror/ 8 Conseil de normes de sécurité PCI. « Sécurité des paiements. » https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security 9 Département de la Santé et des Services sociaux des États-Unis. « Résumé de la règle de sécurité HIPAA. » http://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/ 10 Institut national des normes et de la technologie. « Projet de mise en œuvre de la loi sur la gestion de la sécurité de l'information (FISMA). » http://csrc.nist.gov/groups/SMA/fisma/ 11 Département de l'Éducation des États-Unis. « Loi sur la vie privée et les droits éducatifs de la famille (FERPA). » http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html 12 Cisco. « Indice Cisco Global Cloud : Prévisions et méthodologie, livre blanc 2014-2019 », page 5, 21 avril 2016. À propos de Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. (www.checkpoint.com), le leader mondial dédié à la sécurité, propose des solutions de pointe qui protègent les entreprises des cyberattaques, avec un taux de blocage inégalé des logiciels malveillants et autres types d'attaques. Check Point propose une architecture de sécurité complète qui défend les réseaux des entreprises et les appareils mobiles, ainsi que l'administration de la sécurité la plus complète et la plus intuitive. Check Point protège plus de 100 000 entreprises de toute taille. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. 58 | RÉFÉRENCES SIÈGE MONDIAL 5 Ha’Solelim Street, Tel Aviv 67897, Israël Tél. : +972 3 753 4555 | Fax : +972 3 624 1100 Email : [email protected] SIÈGE FRANÇAIS 120 avenue Charles de Gaulle, 92200 Neuilly sur Seine, France Tél. : +33 (0)1 55 49 12 00 | Email : [email protected] checkpoint.com