522 000 euros. C’est le coût moyen (pour une grande entreprise) en cas de perte de données sérieuses, selon l’enquête sur les risques informatiques mondiaux pour les entreprises de Kaspersky Lab. Celui-ci s’élèverait à 36 000 euros pour les PME. Notons qu’il s’agit là des coûts directs nécessaires à l’entreprise pour surmonter une attaque. Des coûts indirects viennent ensuite s’additionner à ces derniers. Pour les grandes entreprises, ils seraient de l’ordre de 65 374 euros en moyenne ; 8 000 pour les PME.
Catégorie : Sécurité informatique
Protégez vos données et vos systèmes avec des solutions de sécurité informatique efficaces. Prévenez les cyberattaques, sécurisez vos réseaux
Imaginez un monde où nos données de santé dirigeraient notre vie et notre travail. De la pure science fiction ? Bien que nous soyons encore loin du monde dystopique 1 de Gattaca, l’invasion des Big Data 2 dans le domaine de la santé et la problématique liée à leur utilisation sont pourtant bien d’actualité.
Nos ingénieux équipiers ont trouvé un remède très efficace pour sensibiliser nos personnels, et ceux de nos Clients, à la sécurité informatique. Le principe est très simple, partez aux toilettes, allez boire un café ou fumer une cigarette faire du sport tout en laissant votre session ouverte sur votre ordinateur, même quelques minutes, et vous aurez un superbe fond d’écran « Kebab » ou vous aurez invité, à vos dépens, toute la société à un petit déjeuner croissants demain matin. Invitation qu’il vous faudra assumer ! C’est la punition 😉
Ces groupes ont été victimes d’une défaillance technique survenue chez le prestataire qui assure la gestion de leurs abonnés.
Les entreprises ne protègent pas assez leurs données
Une entreprise faisant partie du Fortune 1000 perd en moyenne 100 000 dollars US par heure lorsqu’elle est touchée par une panne d’infrastructure Informatique selon un rapport réalisé par IDC.
Le ransomware est l’attaque informatique du moment. Elle consiste à s’infiltrer sur un système d’information (généralement au travers d’emails frauduleux), puis à en chiffrer tous les fichiers, et enfin à exiger une rançon à payer en bitcoins. Les hôpitaux en font tout particulièrement les frais, et choisissent souvent de payer plutôt que de rester paralysés. Mais que se passe-t-il lorsque la rançon ne suffit pas ? C’est l’expérience amère que vit le Kansas Heart Hospital.
Ce n’est pas Noël mais Kaspersky nous gâte en partageant une infographie sur l’utilisation des mots de passe suivie d’un poster de sensibilisation aux bonnes pratiques de sécurité informatique. Les deux étant valables tant pour un usage personnel que dans des organisations de toute taille.
Un nouveau virus du nom de Locky fait des ravages au niveau mondial depuis la mi-février, ces derniers jours il s’est intensifié en France. C’est un virus de type rançongiciel, c’est à dire qu’il chiffre vos fichiers quelques secondes après avoir réussi son infection.
Début février, dans la nuit du 4 au 5 exactement, le Hollywood Presbyterian Medical Center (HPMC), un hôpital de Los Angeles aux USA, a fait l’objet d’une attaque virale via un virus de type ransomware (rançongiciel). Tout le Système d’Information Hospitalier (SIH) est devenu hors d’usage. Les pirates demandaient initialement, d’après les premiers journaux, plus de 3,6 millions de dollars à payer en Bitcoins, cette monnaie virtuelle difficile à tracer, pour fournir la clé de déchiffrement des données.
L’éditeur du meilleur¹ antivirus au monde, Kaspersky, nous a gâté en ce début d’année en produisant un excellent rapport, en 4 volets, sur la sécurité informatique tel qu’ils ont pu l’observer en 2015. On retrouve, dans le premier bulletin, les principaux événements qui se sont produits dans l’année. On soulignera, par exemple, une description sur le cybergang Carbanak qui a volé 1 milliard de dollars à une banque grâce à une attaque de type APT (Menaces Persistantes Avancées, en français).
Force est de constater qu’il n’est pas simple de migrer ses « vieux » serveurs, physiques ou virtuels, fonctionnant encore sous le système d’exploitation Microsoft Windows 2003.
Les TPE/PME sont confrontées, chaque jour, à de nouveaux risques menaçant leur intégrité, leur image et leur compétitivité : vol de données, escroqueries financières, sabotage de sites d’e-commerce, etc. Pour aider les entreprises à se protéger, l’ANSSI* et la CGPME* proposent un « Guide des bonnes pratiques de l’informatique », contenant 12 règles de prévention à destination des non-spécialistes, issues de l’analyse d’attaques réussies et de leurs causes.
« Divulguer un incident est la seule façon de rendre le monde plus sûr ». Eugène KASPERSKY Cela permet d’améliorer l’architecture des infrastructures de sécurité des entreprises, et aussi d’envoyer un message clair aux développeurs de ce malware : toute opération illégale sera stoppée et poursuivie. Le seul moyen de protéger le monde est que les agences d’application de la loi et les sociétés de sécurité combattent ces attaques ouvertement. Et nous continuerons de révéler ces attaques, quelles que soient leurs origines ». E. Kaspersky. Voici l’e-mail reçu de notre fournisseur de solutions antivirales Kaspersky qui communique sur l’importance de la transparence et du partage d’information. Une philosophie que nous partageons depuis longtemps chez OM Conseil. Cher clients, Aujourd’hui, Kaspersky Lab dévoile Duqu 2.0. Nous avons découvert la présence de cette APT sur nos réseaux internes et souhaitons partager trois points importants avec vous : – Nous sommes confiants dans le fait qu’il n’y a d’impact ni sur nos produits, technologies, services, ni sur la sécurité de nos clients et partenaires – Cette APT élaborée et furtive a exploité jusqu’à trois vulnérabilités Zero Day et a démontré une complexité inédite, au-delà de celle illustrée par le Group Equation – Cette attaque, dont le coût est sans nul doute exhorbitant, est en lien avec les événement et les lieux de rencontre des leaders mondiaux du P5+1 Dans sa communication officielle, Eugene Kaspersky, CEO de Kaspersky Lab affirme : « Divulguer un tel incident est la seule façon de rendre le monde plus sûr. Cela permet d’améliorer l’architecture des infrastructures de sécurité des entreprises, et aussi d’envoyer un message clair aux développeurs de ce malware : toute opération illégale sera stoppée et poursuivie. Le seul moyen de protéger le monde est que les agences d’application de la loi et les sociétés de sécurité combattent ces attaques ouvertement. Et nous continuerons de révéler ces attaques, quelles que soient leurs origines ». En communiquant sur cette attaque et en publiant le rapport technique sur Duqu 2.0, nous souhaitons envoyer un message aux entreprises, en les encourageant à divulguer les détails des cyber-attaques dont elles auraient été victime. Nous sommes convaincus que passer les incidents de sécurité sous silence est la source d’un cercle vicieux : le manque d’informations engendre le manque de prise de conscience du problème ce qui génère des protections beaucoup moins efficaces. Nous restons à votre disposition pour tout renseignement complémentaire. Cordialement. Tanguy de Coatpont Directeur Général, Kaspersky Lab France & Afrique du Nord Pour aller plus loin : Kaspersky Lab enquête sur une attaque de hackers sur son propre réseau The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns Forbes : Why hacking us was a silly thing to do
Nous vous alertons sur une vague importante d’attaque virale de type rançongiciels (Ransomware), son nom : CTBLocker.
Baptisée GHOST (CVE-2015-0235), cette vulnérabilité critique cible la bibliothèque C de GNU/Linux qui est très répandue sur les systèmes linux. Cette vulnérabilité permet à des personnes mal intentionnées de prendre le contrôle total d’un hôte linux en se passant des identifiants systèmes. A titre d’exemple, l’envoie d’un simple e-mail peut donner un accès total au serveur linux. Toutes les distributions linux sont touchées et beaucoup de matériels basés sur ces distributions sont vulnérables (Nas, routeurs etc…). Plus en détail, cette vulnérabilité touche les systèmes sous Linux à partir de la version glibc-2.2 publiée le 10 novembre 2000
Nous vous informons que le terrorisme qui nous a tous frappé la semaine passée trouve un relais dans le monde de l’internet via des actions de cyber-terrorisme. Ces attaques ont déjà commencé et trouveraient un point d’orgue le 15 janvier 2015. Plusieurs milliers de sites français ont été piratés en moins de 10 heures. Concernant le périmètre des ministères chargés des affaires sociales, différents sites ont fait l’objet d’un défacement ces derniers jours. Nous vous conseillons de : Il convient de surveiller vos sites Internet et vos applications ayant un accès externe. En effet, ces attaques sont souvent rendues possible par un défaut de sécurité. Plusieurs vecteurs sont exploités par des attaquants pour modifier de manière illégitime le contenu d’un site Web. La trop grande vulnérabilité des outils de « CMS » (Content Management System, en français Gestion de contenu), site web disposant de fonctionnalités de publication et offrant en particulier une interface d’administration (back-office) permettant à un administrateur de site de créer ou organiser les différentes rubriques. Les versions des outils utilisés sont souvent obsolètes, non mis à jour des correctifs de sécurité et ou les accès d’administrateur sont mal protégés. La défiguration d’un site Web est donc rendue possible par : Comment se prémunir : Il convient, comme rappelé régulièrement, de maintenir à jour et de corriger les vulnérabilités de l’ensemble des éléments entrant en jeu dans la mise en ligne d’un site Web : Bien qu’il soit tentant d’installer des modules supplémentaires ajoutant des fonctionnalités à un site Web, il est plus raisonnable de ne conserver que les éléments vitaux au fonctionnement du site. Une grande méfiance envers les modules de tierce partie, dont les développeurs négligent parfois la sécurité, est également de mise. Tout module supplémentaire augmente la surface d’attaque, et les vulnérabilités potentielles exploitables par un attaquant. Pour une petite structure, il est souvent plus simple de faire héberger son site chez un prestataire. La mise à jour des éléments listés ci-dessus devient contraignante (donc nécessite des procédures bien détaillées) et parfois impossible. Dans ce cas, il est recommandé d’interroger le prestataire sur sa politique de sécurité. De plus, dans le cadre d’un hébergement de type mutualisé, la compromission d’un site hébergé sur une plateforme par un attaquant signifie souvent que celui-ci peut modifier d’autres sites hébergés sur cette même plateforme. Les bonnes pratiques concernant l’hébergement mutualisé sont rappelées dans la note d’information du CERTA http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/ Quand le site Web est développé par un prestataire, il convient de vérifier son engagement sur le suivi de son produit. Appliquera-t-il les corrections de vulnérabilités découvertes dans les briques logicielles utilisées ? Pourra-t-il apporter un soutien pour rechercher et corriger la vulnérabilité utilisée en cas de compromission ? Conduite à tenir en cas de défacement ou de piratage de votre système d’information : Dès lors que la défiguration d’un site Web est découverte en interne ou signalée par une entité extérieure, plusieurs actions sont à entreprendre. Conservation des traces Une copie de l’état compromis du site Web (ou du serveur, si l’environnement n’est pas mutualisé) doit être réalisée. Cette copie sera utile pour l’analyse technique de la compromission, ou pour alimenter un dossier de dépôt de plainte. Il convient également de sauvegarder les journaux d’accès au site Web, et ceux de tous les services permettant de modifier le site à distance (FTP, SSH, etc.). Ces éléments doivent parfois être demandés à l’hébergeur du site Web. Lorsqu’ils existent, les traces des équipements environnants (pare-feux, serveurs mandataires, etc.) doivent également être consignés.L’analyse de la compromission est nécessaire pour trouver quelle vulnérabilité a été utilisée par l’attaquant pour compromettre le site. Il sera alors possible de combler cette vulnérabilité. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l’attaquant, qui pourra rapidement compromettre le site à nouveau. Il faut également garder à l’esprit qu’une vulnérabilité trouvée par une personne dont le but est de défigurer un site, a déjà pu être découverte et exploitée par un attaquant souhaitant réaliser d’autres opérations illégitimes de manière plus discrète. Recherche d’autres intrusions Comme rappelé ci-dessus, un site défiguré est un site vulnérable. Il faut donc rechercher d’autres traces de compromission et modifications du site. Il se peut que du contenu malveillant ait été déposé comme par exemple : Il ne suffit pas de vérifier la présence de nouveaux fichiers dans l’arborescence du site. Si le site s’appuie sur une base de données, celle-ci a également pu être modifiée, et devra être restaurée à partir d’une sauvegarde dont le contenu aura été vérifié. Reconstruction du site Il est possible, une fois la copie du site compromis (ou de l’intégralité du serveur, si possible) réalisée et sauvegardée, de restaurer le site dans son état normal. Toutefois, avant de le remettre en ligne, il est nécessaire de corriger d’abord les vulnérabilités précédemment identifiées. Si une sauvegarde est utilisée, il est impératif de s’assurer que celle-ci est bien saine et ne date pas d’un moment ultérieur à la défiguration. Si aucune sauvegarde n’est disponible, seuls les éléments de la défiguration pourront être modifiés ou supprimés. La vulnérabilité utilisée doit toujours être corrigée. Dépôt de plainte Vous pouvez déposer une plainte pour atteinte à un traitement automatisé de données (appellation juridique du piratage) prévu et puni par les articles 323-1 et suivants du code pénal. La plainte déposée a pour but de décrire l’attaque, sa réussite ou son échec, les éventuels dommages qui peuvent en résulter ainsi que toutes les autres conséquences (perte de temps pour vérification de l’intégrité du site ou des données, pertes d’argent, perte de crédibilité auprès des internautes etc…). La police envoie ensuite au parquet votre dossier qui décidera ou non d’instruire le dossier. Cette plainte peut-être recueillie par : Nous vous rappelons que notre équipe se tient à votre disposition pour vous accompagner sur la sécurisation de votre système d’information et vous aidez en cas de compromission de ce dernier.
Qui a modifié Quoi ? Où ? Quand ? et Comment ?
L’éditeur Russe de solutions de sécurité Kaspersky, que nous connaissons très bien depuis des années chez OM Conseil, a publié récemment quatre guides de bonnes pratiques sur différentes thématiques devenues incontournables aujourd’hui. Ces guides sont de bonne facture et complet par rapport aux habituels « 10 tips to become a winer! » 😉
QU’EST-CE QUE LE BYOD ? Le BYOD, en anglais Bring Your Own Device ou « apportez votre propre équipement », décrit le phénomène croissant des employés, partenaires et clients qui apportent au travail leurs équipements informatiques et télécom personnels. On parle aussi de « consumérisme informatique » ou le stress de l’informaticien qui voit débarquer sur les systèmes qu’il administre, de plus en plus d’équipements qu’il ne contrôle pas avec toutes les menaces qui y sont liées et les éventuelles demandes de support qu’il aura du mal à adresser. En tête de liste le smartphone dernier cri, suivi de près par la tablette puis l’ordinateur portable. On retrouve aussi les appareils photos et autres caméscopes numériques, tous de plus en plus puissants, dotés de réseaux embarqués et d’une capacité de stockage de plus en plus importante.
Vous êtes Chef d’entreprise, Directeur d’un petit établissement de santé, DG d’un petit établissement public, DAF, Responsable Comptable, peut-être même DRH ou encore et tout simplement informaticien aux commandes d’un système d’information d’une PME de 10 à 400 postes informatisés. Vous êtes amené, en plus de vos responsabilités quotidiennes, à devoir faire des choix sur des thématiques qui ne sont pas toujours très faciles à aborder. Vos questions et vos constats restent parfois sans réponse générant ainsi du stress et la désagréable sensation de ne pas avancer aussi vite et aussi bien qu’il le faudrait.
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié le 28 janvier une version finalisée de son guide d’hygiène informatique.