Des attaques cybercriminelles d’une ampleur jusque-là inégalée

Ces attaques se répètent et n’épargnent personne. En novembre 2013, l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c’est au tour du géant américain de la distribution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires.

Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle.

La protection des données personnelles au cœur du débat

L’Union Européenne s’est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles  (N.B. le Conseil de l’UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.

Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.

Prioriser la détection et la réaction par la supervision sécurité

On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours !

L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervision sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil attentif et de réagir en cas d’identification de signaux faibles indiquant une compromission.

Traiter en priorité le maillon faible de la chaîne cyber-sécurité

Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s’appuyer sur les Ressources Humaines et la Communication Interne afin d’inscrire la sensibilisation SSI dans des actions de communication. A l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type.

Réagir à la survenance d’un incident

Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.

Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégration dans l’organisation de gestion de crise globale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches-réflexes, des checklists ou encore des éléments de communication (éléments de langage, communiqué de presse, etc.).

A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cyber-sécurité. Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.

Cet article Fuite de données personnelles : comment stopper l’hémorragie ? est apparu en premier sur RiskInsight.

L’utilisation du support papier fait du marché des titres-restaurants (3,5 millions de consommateurs et 5 milliards d’€ de CA) une cible de choix pour les criminels. C’est pourquoi, afin de lutter contre la fraude mais aussi de moderniser l’action publique, le législateur s’est positionné en juillet 2013  en faveur de la dématérialisation des titres-restaurants. Le décret a été publié le 2 avril. De cette évolution surgissent des questions légitimes : quels impacts pour les consommateurs au quotidien ? Et surtout quelle évolution des risques ?

La petite révolution du numérique

Ces titres dématérialisés peuvent être utilisés sur deux supports : via une carte à puce compatible avec n’importe quel terminal de paiement électronique ou via un smartphone (en utilisant une application qui génère des QR code) uniquement compatible avec un terminal spécifique fourni par l’émetteur de titres au restaurateur.

La dématérialisation va profondément modifier les usages. Les avantages sont multiples pour les usagers, entreprises et restaurateurs : plus de perte des tickets, paiement au centime près et diminution de la charge administrative et des délais de remboursement. Cependant, c’est aussi la fin des petits arrangements : plus de possibilité de céder des tickets restaurants, montant limité à 19€ / jour, carte non utilisable le dimanche…

L’obsolescence annoncée des méthodes traditionnelles de vol et de fraude

Les méthodes traditionnelles de fraude vont tendre à disparaître, en particulier celles liées au blanchiment d’argent. Par exemple, le système connu sous le nom de « lessiveuse » consiste pour des restaurateurs à acheter des titres-restaurant au marché noir avec de l’argent « sale » pour se les faire rembourser ensuite de manière légale par la société émettrice de titres. Les titres-restaurants numériques mettent fin à ce système car ils ne peuvent être cédés à un tiers et permettent la traçabilité des flux.

De plus, l’utilisation de la carte à puce et du mobile restreint le vol de tickets-restaurant pour le consommateur : code à quatre chiffres, utilisation limitée à deux tickets par jour, possibilité de faire opposition et tickets non stockés sur le support de paiement.

Un déplacement du risque vers la cybercriminalité

Du fait de la dématérialisation, les émetteurs de titres-restaurants deviennent une nouvelle cible pour les cybercriminels, comme le souligne Tracfin dans son rapport annuel 2012 : « La dématérialisation des supports va modifier les risques sous-jacents en termes de blanchiment d’argent avec une évolution des typologies vers des domaines relevant de la cybercriminalité ».

Si les nouvelles méthodes de blanchiment ne sont pas clairement identifiées aujourd’hui, les méthodes de fraude et de vol inhérentes à la cybercriminalité sont bien connues. Elles consistent principalement en des attaques informatiques de type social engineering, usurpation d’identité, élévation de privilèges, etc.

Ces attaques pourront viser d’une part à voler des titres-restaurant stockés sur les serveurs de l’émetteur, par exemple en créditant le compte d’un usager en titres sans contrepartie financière ou encore en simulant un paiement par titre chez un restaurateur pour en obtenir le remboursement.

D’autre part, l’objectif des cybercriminels pourra être de faire main basse sur les données personnelles des usagers. Générées lors de l’utilisation d’une carte ou d’un smartphone, ces données fournissent des informations qui présentent un attrait certain pour les cybercriminels : noms, habitudes de consommation, géolocalisation, etc.

La nécessité pour les émetteurs de se mettre à niveau

Les émetteurs de titres-restaurants sont confrontés à l’importance grandissante du SI au cœur de leur métier. Le système traditionnel fermé et tourné uniquement vers l’entreprise évolue vers un système ouvert sur l’extérieur. Cette ouverture implique des interactions avec divers acteurs (banques, restaurateurs, entreprises…) et la collecte d’informations de plus en plus attractives.

En conséquence de ces évolutions majeures, la posture des émetteurs se trouve profondément modifiée et un effort doit être fait sur la sécurité des Systèmes d’Information. Les émetteurs de titres restaurants doivent s’inspirer des investissements réalisés et des bonnes pratiques mises en place par des entreprises qui font face à des problématiques similaires de gestion de systèmes financiers (banques) et de données personnelles massives (opérateurs télécoms) critiques.

A minima, une évaluation des risques sur les processus métier, l’intégration des pratiques de développement sécurisé pour les applications et la réalisation d’audits mêlant technique et métier seront nécessaires.

Il sera par ailleurs nécessaire de surveiller le système afin de détecter les nouvelles tentatives de fraudes et les méthodes d’attaques. Avec l’augmentation de l’utilisation de ces systèmes, ces actions devront être réalisées en quasi temps réel.. L’utilisation de nouvelles techniques anti fraude, utilisant par exemple le Big Data, devra alors être envisagée.

Le titre restaurant vit sa révolution numérique, en regard les mécanismes de lutte contre la fraude doivent eux aussi franchir ce nouveau cap !

Cet article Les titres-restaurant numériques, une aubaine pour les cybercriminels ? est apparu en premier sur RiskInsight.