La menace toujours croissante des cyber-attaques pesant sur les organisations du monde entier et l’impact financier, opérationnel ou de réputation potentiellement dévastateur de ces dernières sur l’entreprise font qu’il est essentiel de faire de la cybersécurité une question majeure devant la direction des organisations. Ce sont les membres du Conseil d’Administration qui détiennent la responsabilité finale en matière de risques, à la fois en tant qu’ils définissent l’appétit de l’entreprise pour le risque cyber et qu’ils veillent à ce qu’un budget et des ressources suffisants soient alloués à la gestion de ce risque dans la limite de cet appétit. S’ils ne sont pas correctement informés des risques associés à la sécurité de l’information, l’organisation risque de ne pas mettre en place les mesures de réduction justes et appropriées permettant de la protéger des menaces et risques les plus importants.

L’absence de protection efficace contre ces cybermenaces peut avoir des conséquences à la fois organisationnelles et personnelles pour les cadres. Par exemple, la réglementation de la FCA Senior Managers and Certification Regime (SMR) attribue la responsabilité de la sécurité de l’information aux membres de l’exécutif, les rendant responsables de la bonne mise en place des protections cyber pour la Sécurité de l’Information.

Cet article propose une approche en quatre étapes sur la manière de mieux impliquer les cadres dirigeants de votre organisation dans la sécurité de l’information, pour construire un partenariat fructueux entre ces cadres, qui dirigent le budget et les ressources pour la sécurité de I’information, et les équipes cyber qui sont responsables du cadrage et de la mise en place de cette sécurité.

Étape 1 : Introduire les dirigeants à la cybersécurité

Dans cette première réunion avec les cadres dirigeants, il est impératif de commencer la discussion en se concentrant sur une introduction à la cybersécurité qui donne une vue d’ensemble des capacités et du modèle opérationnel de l’organisation en matière de cybersécurité, ce qui permettra des discussions plus approfondies par la suite.

Décrivez les responsabilités de l’organisation et des dirigeants en matière de sécurité de l’information et la manière dont celles-ci s’alignent avec les priorités stratégiques de l’organisation et de l’équipe cyber. Cela devrait inclure une présentation des principales menaces (à la fois internes et externes) pour l’organisation, les risques auxquels elles l’exposent, et la feuille de route existante pour limiter ces derniers. Cela donnera un aperçu général de la capacité cyber de l’organisation et donnera le ton pour les conversations à venir avec la direction.

Faites une synthèse présentant le schéma directeur de la sécurité de l’information et la manière dont la sécurité s’intègre et ajoute de la valeur au reste de l’activité. Il est important d’inclure des indicateurs qui puissent être utilisés pour comparer l’approche de l’organisation en matière de cybersécurité à celles du marché. Une différence dans le budget ou la taille des effectifs dédiés par rapport à un concurrent peut indiquer si l’organisation affecte à la problématique les ressources et le budget adéquats.

Étape 2 : Audit à 360°

Après avoir introduit avec succès les dirigeants à la sécurité de l’information, il est maintenant essentiel de prévoir une deuxième séance afin de présenter avec plus de granularité la capacité cyber de l’organisation, en mettant clairement l’accent sur les domaines où les ressources doivent être concentrées.

Les frameworks types du secteur, comme ISO et NIST, doivent être déployés pour mesurer la maturité cyber de l’organisation et fournir une analyse sur les améliorations potentielles qui pourra être présentée à la direction. Ces frameworks offrent un cadre auquel l’organisation peut se comparer afin d’identifier les domaines nécessitant une élévation de la maturité pour réduire les risques liés aux principales menaces pour l’organisation. Si ces outillages offrent en l’état une bonne mesure de la maturité, il est important de les affiner pour qu’ils soient adaptés à l’organisation, en tenant compte de son secteur d’activité et de son environnement réglementaire. Wavestone recommande de prendre le Framework NIST comme base et de l’adapter aux enjeux spécifiques de l’organisation pour dépasser les limites de l’outil et l’orienter vers les besoins de l’entreprise.

Wavestone a élaboré son propre framework, le Cyber Benchmark, qui s’appuie sur les meilleurs frameworks du secteur pour fournir une approche globale de l’évaluation de la maturité, perspectives organisationnelles et technologiques incluses.  Nous recommandons aux organisations de suivre une approche similaire afin d’accélérer les améliorations de leur outillage pour accroître leur maturité cyber.

Il peut être difficile de capter l’attention des cadres dirigeants pour qu’ils investissement du temps et des ressources dans le développement d’un framework visant à améliorer la maturité cyber. Une bonne méthode pour les interpeller consiste à fournir des preuves concrètes de leurs vulnérabilités en matière de sécurité, en montrant par exemple comment une « Red Team » interne a pu accéder à leurs boîtes mail, et en expliquant le peu de jours qui ont été nécessaires à cela.

Étape 3 : Programme et Framework

Une fois que cette vue détaillée aura été présentée, une des priorités majeures doit être de s’assurer que les dirigeants ont adhéré à la stratégie et à la feuille de route en matière de cybersécurité. Ces dernières doivent être élaborées sur la base des axes d’amélioration de la maturité identifiés lors de l’évaluation sur la base du framework. L’adhésion de la direction à la feuille de route garantira le financement et les ressources nécessaires à la mise en œuvre de ces améliorations.

À l’aide du framework personnalisé, élaborez une feuille de route axée sur les aspects qui réduiront le plus efficacement possible les risques liés aux principales menaces pesant sur l’organisation. Cette feuille de route servira de base au programme de sécurité. Elle doit être définie de manière à fournir des cibles claires à atteindre pour garantir la conformité aux attendus du framework personnalisé, en commençant par une approche de remédiation qui garantira une maturité cyber standard dans l’ensemble de l’organisation, suivie d’étapes permettant d’atteindre les objectifs de maturité cyber. La garantie d’une maturité standard dans l’ensemble de l’organisation atténuera le risque lié aux menaces à court terme, tandis que l’atteinte des objectifs de maturité réduira le risque potentiel lié aux menaces à plus long terme.

Le soutien du programme peut être assuré par un bureau de gestion de projet (PMO) spécialisé qui supervisera son exécution. Il est important que ce PMO promeuve de bonnes relations entre les services informatiques qui mettront en œuvre la feuille de route vers la maturité et les différents métiers, afin que les avantages soient compris et exploités dans l’ensemble de l’organisation.

Étape 4 : Quantification des risques et Accélérateurs commerciaux

La dernière étape dans l’implication de la direction consiste à démontrer le retour sur investissement (ROI) que la cybersécurité peut représenter, à la fois en réduisant les risques liés aux principales menaces et en tant qu’accélérateur commercial stimulant une expansion dans de nouveaux territoires, avec l’établissement de nouvelles relations clients.

L’implémentation du framework personnalisé adapté à l’organisation et le suivi de la feuille de route vers la maturité cyber ainsi établie nécessiteront une augmentation du budget alloué. Cependant, il est important de souligner au Conseil d’Administration que ce retour sur investissement dépassera de loin le coût initial en raison d’une diminution spectaculaire de l’ampleur et de la gravité des risques auxquels l’organisation est exposée. Utilisez des calculs pour démontrer de manière quantitative ce retour sur investissement et liez-le aux efforts et changements apportés par le programme de sécurité. Il s’agira également d’expliquer que cette dépense initiale, nécessaire à la mise en œuvre du programme de sécurité, reste bien inférieure aux répercussions potentielles qu’aurait une absence de protection adéquate lors d’une cyber-attaque sur les plans financier, de la réputation et le plan personnel (ex : SMR).

Non seulement la cybersécurité peut prévenir les graves répercussions d’une absence de protection des SI en cas d’attaque, mais elle peut aussi devenir un important catalyseur commercial. Une gestion efficace de la cybersécurité permettra, d’une part, la préservation des clients en cas d’une violation de sécurité correctement gérée et, d’autre part, de positionner l’organisation comme un gestionnaire des données et des informations des clients sûr. Une organisation sûre peut s’implanter rapidement dans de nouveaux environnements commerciaux et saisir des opportunités avec la certitude que sa maturité en matière de cybersécurité lui permettra de faire face aux nouvelles menaces potentielles qui pourraient découler de cette expansion, ouvrant ainsi la porte à l’élargissement de sa base de clients en toute sécurité.

Conclusion

En suivant les quatre étapes exposées dans cet article, vous pourrez établir une relation solide avec les cadres dirigeants en matière de sécurité de l’information, en vous assurant qu’ils soient conscients de leurs responsabilités en matière de cybersécurité dans le cadre du SMR et qu’ils allouent le budget et les ressources appropriés pour faire face aux menaces majeures qui pèsent sur l’organisation. Le framework personnalisé leur permettra de comprendre la posture actuelle de la cybersécurité et d’adhérer à la feuille de route pour une maturité future.  Une fois que cette cible de maturité de la cybersécurité aura été établie, les opportunités commerciales peuvent être un levier pour s’assurer que les dirigeants continueront d’investir dans le développement de la Sécurité de l’Information à l’intérieur de votre organisation.

Cet article Impliquer la direction dans la Sécurité de l’Information est apparu en premier sur RiskInsight.

Dans cet exemple, nous supposerons que vous êtes un fabricant de machine à café. Votre projet actuel est de développer une machine à café connectée pour vos entreprises clientes. Vous avez identifié plusieurs cas d’utilisation pour cette machine IoT. Par exemple, elle permet de commander automatiquement de nouvelles capsules de café lorsque le stock atteint un certain seuil. Un deuxième cas consiste à ce qu’elle envoie des alertes automatiques à vos serveurs lorsque des actions de maintenance telle que le nettoyage et les réparations sont nécessaires. Enfin, elle offre également des fonctionnalités de suivi des consommations.

Comment choisir le réseau qui répond le mieux à vos besoins ? Quelles questions devriez-vous vous poser ? Comment faire le bon choix tout en considérant la sécurité globale de votre système ?

Première étape – Définir les besoins de votre entreprise et effectuer une analyse des risques

Tout d’abord, vous devez identifier les exigences de votre réseau IoT, qui sont doubles : les exigences fonctionnelles et de sécurité. Nous caractérisons ces exigences par des niveaux de 0 à 3, 0 étant le niveau le plus bas et 3 le plus élevé.

En ce qui concerne les exigences fonctionnelles, vous devez répondre à des questions telles que :

1. Quelle distance le signal de l’objet doit-il atteindre ?
2. De quelle largeur de bande avez-vous besoin ?
3. Quelle est l’autonomie de votre objet ?

Dans notre exemple, nous supposons que vos machines à café connectées seront distribuées à des entreprises clientes opérant sur une vaste zone géographique (c’est-à-dire dans un rayon de plus de 100 km). Par conséquent, vous aurez besoin d’une large couverture pour permettre aux différentes machines répandues de vos clients de communiquer avec votre système d’information.

Deux cas de figure sont présentés ici. Si votre client accepte de connecter votre machine à son réseau local existant, vous n’aurez alors qu’à utiliser un réseau sans fil à courte portée entre la machine et la passerelle internet. S’il refuse de le faire, vous devrez alors mettre en place un réseau longue portée car vous déploierez votre service et vos machines sur une vaste zone.

En ce qui concerne la bande passante, une petite quantité sera nécessaire, car il suffit de pouvoir envoyer de petits paquets de données quelques fois par jour au maximum (commandes de capsules, alertes, état général, …).

En ce qui concerne la consommation d’énergie, une machine à café est traditionnellement connectée à une prise électrique pour accomplir ses tâches ; ainsi, la machine IoT est constamment alimentée en électricité, et par conséquent l’autonomie de l’objet n’est donc pas une contrainte. En résumé, il n’y a pas d’exigence de consommation d’énergie en soi car elle est déjà couverte par le raccordement de la machine à café au réseau électrique.

Nous résumons les niveaux des exigences fonctionnelles comme suit :

• Portée (P) = 3 ou 1
• Bande passante (B) = 1
• Consommation énergétique (E) = 0

Après la définition des exigences fonctionnelles, une analyse des risques doit être effectuée pour formuler les exigences de sécurité de votre projet en termes de disponibilité, d’intégrité, de confidentialité et de traçabilité.

Une perte de disponibilité se produirait en cas de dysfonctionnement de la machine à café connectée, qui la rendrait inutilisable pour un client. Une perte d’accès au réseau ou l’indisponibilité des serveurs backend ne doit jamais entraîner l’indisponibilité de la machine : elle doit continuer à fonctionner hors réseau. Toutefois, si un dysfonctionnement de la machine se produit, il faudrait qu’il soit signalé le plus rapidement possible par le réseau afin que des actions de maintenance soient déclenchées.

En combien de temps cela devrait-il être fait ? La réponse est plusieurs heures plutôt que plusieurs jours, car nous ne voudrions pas priver les employés de leur pause-café ! Par conséquent, 4 à 24 heures est une fenêtre d’indisponibilité acceptable qui correspond à un niveau d’exigence de disponibilité égal à 2.

Une perte d’intégrité entraînerait une corruption des données. Par exemple, un excès potentiel dans une commande de capsules de café peut se produire en modifiant les messages envoyés par la machine à café ou en rejouant plusieurs fois la même commande. Dans les deux cas, cela entraînerait une perte financière pour votre client. En effet, ces données doivent être communiquées par le réseau de manière rigoureuse et exacte. Nous pouvons donc conclure qu’il s’agit d’une exigence d’intégrité de niveau 3.

Une perte de confidentialité entraînerait la divulgation des données ; les quantités des commandes sont des données plutôt sensibles qui ne devraient pas être partagées avec des tiers. Il faut s’assurer que les données soient communiquées de manière sécurisée sur le réseau et qu’elles ne sont pas accessibles par des parties externes.  Par conséquent, nous concluons que la confidentialité a un niveau d’exigence de 2.

Concernant la traçabilité, pour des raisons de simplification, nous choisissons de laisser cet aspect de côté en considérant qu’il est déjà pris en compte par l’étude des 3 premiers critères.

En résumé, l’analyse de risque conclut aux exigences de sécurité suivantes :

• Disponibilité (D) = 2
• Intégrité (I) = 3
• Confidentialité (C) = 2

Pour plus de détails sur la méthodologie d’analyse de risque pour les objets intelligents, nous vous invitons à consulter cet article.

A la fin de cette analyse, vous obtenez pour vos deux cas d’usage un diagramme radar représentant les niveaux de vos exigences opérationnelles, comprenant les exigences fonctionnelles et de sécurité.

Cas n°1 : votre client connecte la machine à café à son réseau local

Cas n° 2 : votre client ne connecte pas la machine à café à son réseau local

Bien qu’ils ne soient pas abordés dans cet article, les aspects financiers sont également importants et dépendent de divers facteurs tels que le modèle de tarification des opérateurs de réseau. Il en va de même pour les contraintes géographiques, car certains réseaux IoT peuvent ne pas être disponibles dans certaines régions.

Enfin, la facilité de configuration du réseau peut être incluse dans vos exigences fonctionnelles, surtout si votre objet connecté vise un public B2C.

Deuxième étape – Choisir votre réseau IoT

Sur la base des exigences fonctionnelles et de sécurité, nous avons élaboré une méthodologie qui permet de choisir le réseau optimal afin de répondre à vos besoins fonctionnels et de sécurité : portée, bande passante, consommation d’énergie, disponibilité, intégrité, confidentialité.

Les trois exigences fonctionnelles sont obligatoires, c’est-à-dire que le réseau que vous choisissez doit absolument les satisfaire, autrement, il sera écarté.

Pour les exigences de sécurité, l’évaluation nécessite une analyse préemptive. Entre deux réseaux qui couvrent les mêmes exigences fonctionnelles, vous devez choisir celui qui offre le meilleur niveau de sécurité avec le coût minimum.

Si un réseau ne répond pas à l’une des exigences de sécurité, vous devrez mettre en place un dispositif de sécurité supplémentaire dans le cadre de votre projet, ce qui augmentera vos coûts.

Vous devez également veiller à ce que la mise en œuvre supplémentaire n’affecte pas les performances du système. Par exemple, si vous mettez en œuvre le chiffrement des données au niveau de la couche applicative, l’augmentation des temps de traitement aurait un impact négatif sur votre débit de données maximum ou pourrait être limitée par les capacités matérielles du dispositif, avec un impact financier potentiel en cas de mise à niveau du matériel. Par conséquent, l’une de vos exigences fonctionnelles pourrait ne plus être satisfaite.

Si une haute disponibilité est requise (A=3), vous devriez choisir un réseau robuste de par sa conception qui répondra à vos besoins de temps réel.

En effet, les protocoles à spectre étalé (comme Bluetooth ou ZigBee) ou modulés par saut de fréquence (comme Sigfox ou Bluetooth) sont plus résistants au brouillage radioélectrique ou aux interférences radio.

Ces types de réseaux sont particulièrement recommandés lorsque la disponibilité est une exigence importante, comme sur une chaîne de production industrielle.

En outre, les protocoles maillés sont connus pour être plus fiables et plus évolutifs que les protocoles point à point. Toutefois, pour qu’ils soient efficaces, ils doivent être utilisés dans un contexte où plusieurs dispositifs connectés sont reliés entre eux. Les protocoles maillés comme WirelessHART peuvent également garantir des communications en temps réel. Leur utilisation est particulièrement adaptée à un contexte industriel.

Une méthodologie simple pour choisir le bon réseau consiste à confronter les exigences opérationnelles de votre entreprise aux caractéristiques fonctionnelles et de sécurité du réseau.

Dans les diagrammes radar suivants, nous présentons différents types de réseaux IoT offrant différents niveaux fonctionnels et de sécurité, et nous comparons chacun d’entre eux à vos exigences opérationnelles.

Cas n°1 : votre client connecte la machine à café à son réseau local

Cas n° 2 : votre client ne connecte pas la machine à café à son réseau local

Appliquons la méthodologie évoquée précédemment dans les 2 cas de figure. Tout d’abord, nous utilisons les diagrammes radar ci-dessus pour voir quels réseaux sont conformes à vos exigences fonctionnelles.

Cas n°1 : votre client connecte la machine à café à son réseau local

Dans ce cas, Bluetooth et Wi-Fi sont deux options viables à courte portée si votre client connecte la machine à son réseau local. D’une part, Bluetooth répond à toutes les exigences de sécurité, mais il est moins simple à mettre en œuvre que le Wi-Fi. D’autre part, le Wi-Fi répond à toutes les exigences, à l’exception de la disponibilité, mais nous pouvons y remédier grâce à des accords de niveau de service (SLA).

Cas n°2 : votre client ne connecte pas la machine à café à son réseau local

Dans ce cas, Zigbee, BLE et Wi-Fi sont clairement hors de l’équation car ils ne répondent pas aux exigences de portée. Cependant, LoRa, LTE-M et Sigfox sont des candidats potentiels.

Nous utilisons à nouveau les diagrammes radar, cette fois pour évaluer la conformité de ces trois candidats aux exigences de sécurité.

Sigfox ne répond pas à l’une de vos exigences de sécurité (confidentialité) alors que LoRa répond à toutes les exigences de sécurité. LTE-M est la meilleure offre car elle répond à toutes vos exigences, mais c’est aussi la plus chère. Nous en concluons que la LoRa est un candidat relativement bon.

En conclusion, vous disposez d’une part une option adéquate qui est LoRa et qui nécessitera le déploiement d’un nouveau réseau, et d’autre part d’une option alternative utilisant un réseau Wi-Fi préexistant. Il est à noter que votre client peut refuser de connecter la machine à café à son réseau Wi-Fi pour des raisons de sécurité.

Nous allons envisager un nouveau scénario dans un prochain article : une entreprise cliente achète la machine et discute de quelle option utiliser LoRa ou Wi-Fi.

Cet article Brancher sa cafetière connectée: oui, mais comment? est apparu en premier sur RiskInsight.

Introduction

Components of Electron 

https://www.wildnettechnologies.com/build-cross-platform-desktop-apps-with-electron/

Principe de l’attaque

• Le dossier « app » qui contient l’application ;
• Le fichier « electron.asar » qui prépare l’environnement Chronium au lancement de l’application.

app.on(‘browser-window-focus‘, function (event, bWindow) { bWindow.webContents.executeJavaScript(« alert(Hello Github !!’);« ) })

Démonstration

Conclusion

Cet article BEEMKA – Electron Post-Exploitation When The Land Is Dry est apparu en premier sur RiskInsight.

1)     Analyse des opérations

L’analyse dynamique permet la surveillance de nombreuses informations : les registres, le système de fichiers et les processus. Cette étape est au début assez fastidieuse étant donné que de nombreuses informations sont accessibles. Il existe différents outils permettant d’accéder à ces informations. ProcessMonitor est l’un de ces outils qui a l’avantage de permettre à l’analyste de filtrer ses recherches sur un exécutable, ce qui est très pratique pour l’analyse de malwares.

Figure 1 : Résultat d’une analyse de ProcessMonitor sur un malware appelé mm32.exe

Figure 2 : Résultat de Process Explorer sur un exécutable

Dans ce résultat, le premier constat est la création d’un mécanisme de persistance HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run par le programme ckr.exe, le deuxième est la modification de la valeur de la seed pour le générateur de nombre aléatoire, ce qui représente un bruit habituel.

2)     Analyse réseau

Figure 4 : Interception des requêtes DNS et simulation des réponses par ApateDNS en utilisant l’IP 192.168.120.1

Figure 5 : Résultat renvoyé par Netcat lors de l’exécution de RShell en redirigeant les requêtes vers l’hôte grâce à ApateDNS

Figure 6 : Capture d’écran d’une analyse Wireshark

Figure 7 : Fonctionnalité Follow TCP Stream de Wireshark

3)     Analyse via débogueur

• Les software breakpoints : ces points d’arrêt sont utilisés pour faire en sorte que le programme s’arrête lorsque l’instruction sur laquelle ils sont placés est appelée. Pour réaliser cela, le débogueur remplace le premier octet de l’instruction par 0xCC, l’instruction pour INT3.

Cet article Reverse Engineering – focus sur l’analyse dynamique de malware est apparu en premier sur RiskInsight.