<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Vous avez cherché cybercriminalité - RiskInsight</title>
	<atom:link href="https://www.riskinsight-wavestone.com/search/cybercriminalit%C3%A9/feed/rss2/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/en/</link>
	<description>Le blog cybersécurité des consultants Wavestone</description>
	<lastBuildDate>Thu, 25 Sep 2025 11:17:20 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>Vous avez cherché cybercriminalité - RiskInsight</title>
	<link>https://www.riskinsight-wavestone.com/en/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>​Quelle détection pour l’OT ?  Situation actuelle &#038; perspectives</title>
		<link>https://www.riskinsight-wavestone.com/2025/09/quelle-detection-pour-lot-situation-actuelle-perspectives/</link>
					<comments>https://www.riskinsight-wavestone.com/2025/09/quelle-detection-pour-lot-situation-actuelle-perspectives/#respond</comments>
		
		<dc:creator><![CDATA[Arnaud Soullié]]></dc:creator>
		<pubDate>Thu, 25 Sep 2025 11:17:18 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=27716</guid>

					<description><![CDATA[<p>L’OT, moins exposé mais plus vulnérable   L’OT, bien que globalement moins touché que l’IT, n’est pas exempt de cybermenaces. Voici une vue simplifiée de ces principales menaces :   Hacktivisme : Les tensions géopolitiques accrues en 2025 ont entraîné des attaques...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2025/09/quelle-detection-pour-lot-situation-actuelle-perspectives/">​Quelle détection pour l’OT ?  Situation actuelle &amp; perspectives</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h1><span data-contrast="none">L’OT, moins exposé mais plus vulnérable </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:360,&quot;335559739&quot;:80}"> </span></h1>
<p><span data-contrast="auto">L’OT, bien que globalement moins touché que l’IT, n’est pas exempt de cybermenaces. Voici une vue simplifiée de ces principales menaces : </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li><b><span data-contrast="auto">Hacktivisme</span></b><span data-contrast="auto"> : Les tensions géopolitiques accrues en 2025 ont entraîné des attaques de faible intensité par des groupes comme CyberArmyofRussia_Reborn et CyberAv3ngers. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></li>
<li><b><span data-contrast="auto">Cybercriminalité / Ransomware</span></b><span data-contrast="auto"> : Une augmentation de 87 % des attaques par ransomware dans les groupes industriels a été constatées en 2025 d’après les chiffres de Dragos dans son </span><a href="https://www.dragos.com/ot-cybersecurity-year-in-review/?utm_source=press%20release&amp;utm_medium=organic&amp;utm_campaign=2025_year_in_review_full_report_organic"><span data-contrast="none">rapport annuel</span></a><span data-contrast="auto">. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></li>
<li><b><span data-contrast="auto">Menaces étatiques</span></b><span data-contrast="auto"> : On note les campagnes récentes telles que Voltzite (vol d’informations OT) ou IOControl.</span></li>
</ul>
<p><span data-contrast="auto">Ce panorama des menaces a notamment été dépeint par Chris Sistrunk, ICS/OT Technical Leader chez Mandiant, Google Cloud Security, lors de la Black Hat 2025</span><span data-contrast="auto"> </span><span data-contrast="auto">: </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> <img fetchpriority="high" decoding="async" class="wp-image-27770 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_EN14.png" alt="" width="716" height="391" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_EN14.png 958w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_EN14-350x191.png 350w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_EN14-71x39.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_EN14-768x419.png 768w" sizes="(max-width: 716px) 100vw, 716px" /></span></p>
<p><span data-contrast="auto">Face à l’augmentation des menaces ciblant les environnements OT, leur surveillance continue est devenue essentielle. Les systèmes d’information industriels doivent être étroitement surveillés, et nous savons que nos clients y travaillent activement. Mais une question demeure : </span><b><span data-contrast="auto">comment mesurer l’efficacité de la détection en environnement industriel, et surtout, comment l’améliorer ?</span></b><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h1><span data-contrast="none">Comment mesurer et améliorer l’efficacité de la détection en environnement industriel</span><b><span data-contrast="none"> ?</span></b><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:360,&quot;335559739&quot;:80}"> </span></h1>
<p><span data-contrast="auto">Pour répondre à cette question, nous avons élaboré une méthodologie visant à évaluer les capacités de détection au sein des SOC industriels. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Cette évaluation s’articule autour des </span><b><span data-contrast="auto">activités clés d’un SOC</span></b><span data-contrast="auto">, réparties en quatre grands piliers : gouvernance &amp; stratégie, prévention, détection et réponse.</span></p>
<p><img decoding="async" class=" wp-image-27744 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR1.png" alt="" width="751" height="373" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR1.png 1153w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR1-384x191.png 384w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR1-71x35.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR1-768x382.png 768w" sizes="(max-width: 751px) 100vw, 751px" /></p>
<p><span data-contrast="auto">En nous appuyant sur cette méthode, </span><b><span data-contrast="auto">nous avons évalué une quinzaine de clients industriels</span></b><span data-contrast="auto"> afin de mieux comprendre leur niveau de maturité. Dans cet article, nous partageons les </span><b><span data-contrast="auto">principales tendances qui en ont émergé</span></b><span data-contrast="auto">, en nous concentrant spécifiquement sur les questions liées à la détection. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Deux articles complémentaires seront publiés : l’un dédié à l’efficacité des différentes stratégies et solutions de détection, et l’autre aux méthodes de test des capacités de détection dans des environnements industriels à l’aide d’exercices de purple teaming et des modules dédiés que nous avons développés. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h2 aria-level="2"><span data-contrast="none">Gouvernance et Stratégie </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h2>
<p><span data-contrast="auto">La première question sur laquelle nous nous sommes concentrés était de savoir si la supervision des sites et environnements industriels est assurée par une équipe dédiée utilisant des outils spécifiques ou si, au contraire, elle est intégrée dans une approche d’un SOC unique et centralisé. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Les réponses sont unanimes : </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none"><img decoding="async" class="wp-image-27782 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR2-1.png" alt="" width="827" height="126" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR2-1.png 1182w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR2-1-437x67.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR2-1-71x11.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR2-1-768x117.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR2-1-1170x180.png 1170w" sizes="(max-width: 827px) 100vw, 827px" /></span></p>
<p><span data-contrast="auto">Ces chiffres peuvent s’expliquer par plusieurs facteurs. L’une des principales raisons est l’</span><b><span data-contrast="auto">optimisation financière</span></b><span data-contrast="auto">. Maintenir deux équipes distinctes aux compétences et rôles similaires</span><span data-contrast="auto"> </span><span data-contrast="auto">: gestion des alertes, configuration des outils … représente un coût important. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Cependant, un SOC unifié implique généralement une </span><b><span data-contrast="auto">extension du périmètre de son SOC IT</span></b><span data-contrast="auto"> pour inclure l’OT, sans pour autant garantir la présence d’outils ou d’expertises spécifiques à l’OT, et donc de véritables capacités de détection pour couvrir les environnements industriels. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Même si cette approche ne garantit pas une détection et une réponse efficace sur l’ensemble du périmètre industriel, un SOC unifié peut tout de même gérer efficacement les incidents OT, à condition de :</span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h3 aria-level="3"><span data-contrast="none">Assurer supervision de bout en bout </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h3>
<p><span data-contrast="auto">En examinant de plus près le paysage simplifié des menaces, on constate que les cyberattaques ne sont pas forcément spécifiques à l’IT ou à l’OT (hacktivisme, ransomware …). </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Les ransomwares par exemple, qui représentent toujours aujourd’hui la principale menace, ne se limitent pas à un environnement industriel ou bureautique. Ils se propagent souvent à travers les deux, rendant indispensable le suivi des alertes de bout en bout. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Ainsi, unifier les équipes et les outils de détection fait sens, puisque </span><b><span data-contrast="auto">les attaques ne se limitent pas à l’IT ou OT.</span></b><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h3 aria-level="3"><span data-contrast="none">Faire le lien avec les sites industriels</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h3>
<p><span data-contrast="auto">En cas d’incident cyber, le temps de réponse et le partage d’informations est essentiel. Comme la plupart des équipes de sécurité sont centralisées en un seul lieu, il est </span><b><span data-contrast="auto">nécessaire d’établir un lien, au travers d’un relais cyber local, entre ces équipes centrales et les sites industriels locaux</span></b><span data-contrast="auto"> dans le processus de gestion des incidents cyber : </span><span data-ccp-props="{&quot;134233117&quot;:true,&quot;134233118&quot;:true,&quot;201341983&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li><span data-contrast="auto">Ce relais connaît bien les sites industriels, leurs caractéristiques, contexte opérationnel et modes de fonctionnement. </span><span data-ccp-props="{&quot;134233117&quot;:true,&quot;134233118&quot;:true,&quot;201341983&quot;:0,&quot;335559740&quot;:240}"> </span></li>
<li><span data-contrast="auto">Il maintient également un contact direct sur site pour recueillir rapidement les informations nécessaires au triage, ou à l’investigation. </span><span data-ccp-props="{&quot;134233117&quot;:true,&quot;134233118&quot;:true,&quot;201341983&quot;:0,&quot;335559740&quot;:240}"> </span></li>
<li><span data-contrast="auto">De plus, dans les organisations globales, disposer de ressources situées dans les bons fuseaux horaires et capables de communiquer dans la langue locale est indispensable, en particulier dans le monde industriel. </span><span data-ccp-props="{&quot;134233117&quot;:true,&quot;134233118&quot;:true,&quot;201341983&quot;:0,&quot;335559740&quot;:240}"> </span></li>
</ul>
<p><span data-contrast="auto">Appelés dans le schéma ci-dessous des « référents Cyber-OT », ces relais jouent un </span><b><span data-contrast="auto">rôle actif dans le processus de résolution des incidents</span></b><span data-contrast="auto">, en particulier durant les phases d’investigation et de remédiation :</span></p>
<p><span data-ccp-props="{&quot;134233117&quot;:true,&quot;134233118&quot;:true,&quot;201341983&quot;:0,&quot;335559740&quot;:240}"><img loading="lazy" decoding="async" class="alignnone size-full wp-image-27748 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR3.png" alt="" width="1194" height="510" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR3.png 1194w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR3-437x187.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR3-71x30.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR3-768x328.png 768w" sizes="auto, (max-width: 1194px) 100vw, 1194px" /></span></p>
<p><span data-contrast="auto">En conclusion, bien que ces </span><b><span data-contrast="auto">SOC unifiés couvrant à la fois les périmètres IT et l’OT</span></b><span data-contrast="auto"> résultent généralement d’un besoin d’optimisation des coûts, ce modèle fait sens dans la mesure où de nombreuses menaces concernent les deux environnements. Toutefois, il ne faut pas considérer un SOC unifié comme une simple extension du périmètre à couvrir : des </span><b><span data-contrast="auto">relais OT dédiés</span></b><span data-contrast="auto"> et une expertise spécifique </span><b><span data-contrast="auto">sont indispensables pour adresser efficacement les environnements industriels</span></b><span data-contrast="auto">.</span><span data-ccp-props="{}"> </span></p>
<h2 aria-level="3"><span data-contrast="none">Outillage et solution de détection </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h2>
<p><span data-contrast="auto">En ce qui concerne les solutions de détection, nous avons constaté que 100 % de nos clients disposent d’outils de détection déployés côté IT. Cependant, seulement un tiers étend la supervision jusqu’aux couches inférieures de l’environnement industriel. </span><span data-ccp-props="{}"> </span></p>
<p><img loading="lazy" decoding="async" class="size-full wp-image-27750 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR4.png" alt="" width="688" height="472" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR4.png 688w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR4-278x191.png 278w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR4-57x39.png 57w" sizes="auto, (max-width: 688px) 100vw, 688px" /></p>
<p><span data-contrast="auto">Nous nous concentrerons par la suite sur les solutions les plus populaires pour adresser la détection dans les environnements industriels : les EDR et les sondes OT. </span><span data-ccp-props="{}"> </span></p>
<h3 aria-level="3"><span data-contrast="none">EDR </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h3>
<p><span data-contrast="auto">Quelques chiffres concernant les EDR :</span><span data-ccp-props="{}"> </span><span data-ccp-props="{}"> </span></p>
<p><img loading="lazy" decoding="async" class=" wp-image-27752 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR5.png" alt="" width="626" height="156" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR5.png 823w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR5-437x109.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR5-71x18.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR5-768x191.png 768w" sizes="auto, (max-width: 626px) 100vw, 626px" /></p>
<p><span data-contrast="auto">La plupart de nos clients ont commencé à déployer des EDR dans leurs environnements industriels. Cependant, cela ne signifie pas que 100 % des machines industrielles compatibles avec les EDRs sont couvertes. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Pour les environnements qui le permettent, étendre la couverture EDR permet de : </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li><span data-contrast="auto">Répondre à une maturité faible : commencer par des outils simples à déployer et qui ne nécessitent pas de connaissances avancées de l&rsquo;architecture des sites. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></li>
<li><span data-contrast="auto">Assurer une couverture large spectre : se concentrer sur la couverture rapide d’un large éventail de systèmes, de sites et d’applications critiques. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></li>
<li><span data-contrast="auto">Tirer parti des solutions de l’IT : utiliser des solutions IT comme les EDRs pour une détection efficace sans nécessiter d’adaptation majeure des équipes SOC. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></li>
</ul>
<p><span data-contrast="auto">Pour cette dernière raison, la plupart des organisations choisissent d’utiliser la même solution EDR pour les environnements IT et OT. Cela permet un déploiement plus rapide grâce à un outil connu et déjà intégré. Selon les besoins et les ressources disponibles, une </span><b><span data-contrast="auto">solution différente</span></b><span data-contrast="auto"> peut toutefois être sélectionnée afin d’améliorer la </span><b><span data-contrast="auto">résilience et la compatibilité OT</span></b><span data-contrast="auto">.</span></p>
<p><img loading="lazy" decoding="async" class=" wp-image-27754 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR6.png" alt="" width="742" height="234" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR6.png 831w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR6-437x138.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR6-71x22.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR6-768x242.png 768w" sizes="auto, (max-width: 742px) 100vw, 742px" /></p>
<p><span data-contrast="auto">Pour conclure, dans un contexte de convergence IT/OT, </span><b><span data-contrast="auto">déployer des EDR sur les serveurs et postes de travail industriels</span></b><span data-contrast="auto"> devient de plus en plus pertinent et selon les retours d’expérience de nos clients, permet d’étendre rapidement et efficacement la couverture de détection des périmètres industriels.  </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h3 aria-level="3"><span data-contrast="none">Sondes de détection OT</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h3>
<p><span data-contrast="auto">Quelques chiffres concernant les sondes : </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><img loading="lazy" decoding="async" class="wp-image-27756 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR7.png" alt="" width="598" height="169" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR7.png 810w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR7-437x124.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR7-71x20.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR7-768x217.png 768w" sizes="auto, (max-width: 598px) 100vw, 598px" /></p>
<p><span data-contrast="auto">En ce qui concerne les sondes, l’écart entre ces deux chiffres met en lumière le défi que représente </span><b><span data-contrast="auto">leur déploiement à grande échelle</span></b><span data-contrast="auto"> et leur utilisation efficace pour la détection dans les réseaux industriels. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">En effet, les sondes collectent des informations via la capture du trafic réseau. Pour être efficaces, leur déploiement nécessite une sélection des points d’écoute en fonction des objectifs cibles. Ces points d’écoute doivent être adaptés à l’architecture spécifique de chaque site, souvent limité par la connaissance locale des équipes ou le manque de documentation. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">L’exploitation de ces sondes demande également une charge de travail importante. Elles ont tendance à générer un grand nombre de faux positifs, ce qui oblige les équipes à créer des règles de détection personnalisées et des playbooks pour filtrer et répondre efficacement. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">En conclusion, les sondes de détection OT sont peut-être populaires, mais</span><b><span data-contrast="auto"> les coûts et les ressources nécessaires pour leur déploiement et leur ajustement limitent leur pleine utilisation</span></b><span data-contrast="auto">. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h3 aria-level="3"><span data-contrast="none">Commencer par couvrir l’essentiel avec la détection d’outils OT</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h3>
<p><span data-contrast="auto">En définitive, pour la détection OT, nous pensons qu’il faut commencer par des mesures basiques en tirant parti des outils « IT » afin d’assurer un premier niveau de couverture sur l’ensemble des sites, des applications critiques et de l’infrastructure en : </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li><b><span data-contrast="auto">Priorisant les assets critiques</span></b><span data-contrast="auto"> : Se concentrer sur les systèmes clés (MES, outils de sécurité, infrastructure réseau) essentiels à la production, en veillant à leur mise sous supervision avant d’étendre le déploiement aux couches inférieures du modèle de Purdue. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></li>
<li><b><span data-contrast="auto">Mettant en place une détection basique</span></b><span data-contrast="auto"> : Établir une détection fondamentale sur les sites et l’infrastructure pour permettre une identification en amont des incidents, avant de passer à des solutions OT plus avancées.</span>  </li>
</ul>
<h2 aria-level="3"><span data-contrast="none">S’entraîner et se tester</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h2>
<p><span data-contrast="auto">Les capacités de détection ne reposent pas uniquement sur le déploiement d’outils ; cette dernière partie des conclusions du benchmark se concentrera sur la capacité des équipes à les exploiter efficacement. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h3 aria-level="3"><span data-contrast="none">La nécessité de renforcer les connaissances spécifiques à l’OT</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h3>
<p><span data-contrast="auto">Les chiffres issus du benchmark révèlent une connaissance et adaptation limitées des équipes et des processus aux environnements industriel</span><span data-contrast="auto"> </span><span data-contrast="auto">: </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><img loading="lazy" decoding="async" class="wp-image-27758 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR8.png" alt="" width="572" height="142" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR8.png 814w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR8-437x108.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR8-71x18.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR8-768x191.png 768w" sizes="auto, (max-width: 572px) 100vw, 572px" /></p>
<p><span data-contrast="auto">Pour combler cet écart, les équipes doivent bénéficier de </span><b><span data-contrast="auto">formations spécifiques aux contextes industriels</span></b><span data-contrast="auto"> : une formation de base pour l’ensemble des analystes SOC, et une formation approfondie pour les spécialistes OT. </span> <span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><img loading="lazy" decoding="async" class="size-full wp-image-27760 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR9.png" alt="" width="838" height="211" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR9.png 838w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR9-437x110.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR9-71x18.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR9-768x193.png 768w" sizes="auto, (max-width: 838px) 100vw, 838px" /></p>
<p><span data-contrast="auto">De la même manière, </span><b><span data-contrast="auto">les processus d’investigation et de réponse doivent également être adaptés</span></b><span data-contrast="auto"> pour répondre aux spécificités des environnements industriels, en prenant en compte des priorités comme la disponibilité. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><img loading="lazy" decoding="async" class="size-full wp-image-27762 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR10.png" alt="" width="834" height="196" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR10.png 834w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR10-437x103.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR10-71x17.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR10-768x180.png 768w" sizes="auto, (max-width: 834px) 100vw, 834px" /></p>
<h3 aria-level="3"><span data-contrast="none">Testez</span> <span data-contrast="none">vos capacités de détection ! </span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559685&quot;:708,&quot;335559731&quot;:708,&quot;335559738&quot;:160,&quot;335559739&quot;:80}"> </span></h3>
<p><span data-contrast="auto">Enfin, l’amélioration de la détection commence par son évaluation, mais aujourd’hui… </span></p>
<p><img loading="lazy" decoding="async" class=" wp-image-27811 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR11-1.png" alt="" width="630" height="143" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR11-1.png 784w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR11-1-437x99.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR11-1-71x16.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR11-1-768x174.png 768w" sizes="auto, (max-width: 630px) 100vw, 630px" /></p>
<p><span data-contrast="auto">Seule une petite minorité de nos clients teste réellement ses capacités de détection, mais nous sommes convaincus de la valeur ajoutée des exercices de </span><b><span data-contrast="auto">purple teaming dans les environnements industriels</span></b><span data-contrast="auto">. Ces exercices collaboratifs avec le SOC OT, adaptés à son niveau de maturité et à ses objectifs, permettent de </span><b><span data-contrast="auto">tester et d’améliorer à la fois les outils de détection et les processus du SOC OT.</span></b><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><img loading="lazy" decoding="async" class="size-full wp-image-27766 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR12.png" alt="" width="832" height="550" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR12.png 832w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR12-289x191.png 289w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR12-59x39.png 59w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR12-768x508.png 768w" sizes="auto, (max-width: 832px) 100vw, 832px" /></p>
<p><span data-contrast="auto">Il est possible de commencer simplement</span><span data-contrast="auto"> </span><span data-contrast="auto">: en sélectionnant des environnements de production appropriés et en réalisant quelques tests basiques, comme l’insertion d’une clé USB contenant un échantillon de malware standard ou la tentative de quelques actions d’élévation de privilèges…</span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">On peut ainsi évaluer si l’EDR déployé sur un poste de travail connecté au SOC déclenchera une alerte et une investigation. </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="auto">Ces exercices permettent </span><b><span data-contrast="auto">d’identifier les angles morts et d’ajuster en conséquence les outils déployés, les processus et les playbooks.</span></b><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h1><span data-contrast="none">Conclusion : Comment renforcer le faible niveau de maturité en matière de détection pour les systèmes industriels ?</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;335559738&quot;:360,&quot;335559739&quot;:80}"> </span></h1>
<p><span data-contrast="auto">La première conclusion du benchmark est claire : les </span><b><span data-contrast="auto">niveaux de maturité sont faibles</span></b><span data-contrast="auto">, et cette réponse est constante dans toutes les réponses recueillies. Comment améliorer cette maturité globalement faible en matière de détection pour les systèmes industriels ?</span><span data-ccp-props="{}"> </span></p>
<p><span data-contrast="auto">Voici les </span><b><span data-contrast="auto">principaux enseignements</span></b><span data-contrast="auto"> concernant les trois thématiques abordées dans cet article :</span><span data-ccp-props="{}"> </span></p>
<p><img loading="lazy" decoding="async" class="size-full wp-image-27768 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR13.png" alt="" width="1276" height="502" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR13.png 1276w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR13-437x172.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR13-71x28.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/09/SOCOT1_FR13-768x302.png 768w" sizes="auto, (max-width: 1276px) 100vw, 1276px" /></p>
<p><span data-contrast="auto">N’hésitez pas à nous contacter pour échanger sur la manière de </span><b><span data-contrast="auto">renforcer vos capacités de détection</span></b><span data-contrast="auto"> et d’</span><b><span data-contrast="auto">évaluer votre maturité par rapport au marché</span></b><span data-contrast="auto"> !</span><span data-ccp-props="{}"> </span></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2025/09/quelle-detection-pour-lot-situation-actuelle-perspectives/">​Quelle détection pour l’OT ?  Situation actuelle &amp; perspectives</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2025/09/quelle-detection-pour-lot-situation-actuelle-perspectives/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>CERT-W Newsletter Février 2021</title>
		<link>https://www.riskinsight-wavestone.com/2021/03/cert-w-newsletter-fevrier-2021/</link>
		
		<dc:creator><![CDATA[Jean Marsault]]></dc:creator>
		<pubDate>Tue, 16 Mar 2021 15:00:55 +0000</pubDate>
				<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[Newsletter CERT]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[cyber]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicateurs]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=15365</guid>

					<description><![CDATA[<p>Indicateurs du mois TOP ATTACK Deux hôpitaux français victimes d&#8217;attaques par ransomware Des attaques par ransomware ont frappé deux groupes hospitaliers français en moins d&#8217;une semaine, entraînant le transfert de certains patients vers d&#8217;autres établissements mais n&#8217;affectant pas les soins...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/03/cert-w-newsletter-fevrier-2021/">CERT-W Newsletter Février 2021</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-image align-center" id="post-14786 media-14786"><img loading="lazy" decoding="async" width="1497" height="467" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/03/22.png" alt="" class="wp-image-15367" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/03/22.png 1497w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/03/22-437x136.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/03/22-71x22.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/03/22-768x240.png 768w" sizes="auto, (max-width: 1497px) 100vw, 1497px" /></figure>



<figure class="wp-block-table"><table><tbody><tr><td>
<h1><strong>Indicateurs du mois</strong></h1>
</td></tr><tr><td><strong>TOP ATTACK</strong></td><td><a href="https://www.euronews.com/2021/02/16/several-french-hospitals-crippled-by-cyberattacks"><span style="text-decoration: underline; color: #21a6a6;"><strong>Deux hôpitaux français victimes d&rsquo;attaques par ransomware</strong></span></a></td></tr><tr><td>Des attaques par ransomware ont frappé deux groupes hospitaliers français en moins d&rsquo;une semaine, entraînant le transfert de certains patients vers d&rsquo;autres établissements mais n&rsquo;affectant pas les soins aux patients du groupe Covid-19 ni les vaccinations virales. Les deux hôpitaux français ont été frappés par des attaques de ransomware, et un troisième a coupé préventivement les connexions avec un fournisseur informatique. Le centre hospitalier de Villefranche-sur-Saône, dans le département du Rhône (est de la France), a annoncé lundi qu&rsquo;une cyberattaque avait été détectée à 4h30 du matin, heure locale. L&rsquo;attaque par le crypto-virus RYUK, une sorte de ransomware, « impacte fortement » les sites de Villefranche, Tarare et Trévoux de l&rsquo;hôpital Nord-Ouest.</td></tr><tr><td><span style="color: #333333;"><strong>TOP EXPLOIT</strong></span></td><td><a href="https://abcnews.go.com/US/outdated-computer-system-exploited-florida-water-treatment-plant/story?id=75805550"><span style="text-decoration: underline; color: #21a6a6;"><strong>Une version obsolète de Windows et un faible niveau de cybersécurité ont permis aux pirates d&#8217;empoisonner la station d&rsquo;épuration de Floride.</strong></span></a></td></tr><tr><td>Le pirate a pu utiliser un logiciel d&rsquo;accès à distance pour faire passer le niveau d&rsquo;hydroxyde de sodium dans l&rsquo;eau d&rsquo;environ 100 parties par million à 11 100 parties par million pendant quelques minutes, selon les enquêteurs. La cyberdivision du FBI a informé mardi les services de police et les entreprises des vulnérabilités informatiques qui ont conduit au piratage de la station de traitement des eaux Bruce T. Haddock à Oldsmar le 5 février.<br>Les systèmes informatiques de la station utilisaient Windows 7, qui n&rsquo;a pas reçu de support ou de mises à jour de Microsoft depuis plus d&rsquo;un an, selon le FBI.</td></tr><tr><td><strong>TOP LEAK</strong></td><td><a href="https://cybernews.com/news/largest-compilation-of-emails-and-passwords-leaked-free/"><span style="text-decoration: underline; color: #21a6a6;"><strong>COMB : plus de 3 milliards de mots de passe Gmail, Hotmail, Netflix ont fuité</strong></span></a></td></tr><tr><td>Elle est surnommée « la plus grande brèche de tous les temps » et « la mère de toutes les brèches » : COMB, ou Compilation of Many Breaches, contient plus de 3,2 milliards de paires uniques d&rsquo;e-mails et de mots de passe en clair. Si de nombreuses brèches et fuites de données ont affecté l&rsquo;internet par le passé, celle-ci est exceptionnelle par son ampleur. En effet, la population totale de la planète est d&rsquo;environ 7,8 milliards d&rsquo;habitants, et cette fuite représente environ 40 % de cette population.</td></tr></tbody></table></figure>



<figure class="wp-block-table"><table><tbody><tr><td>
<h1><strong>Veille sur la cybercriminalité</strong></h1>
</td></tr><tr><td><a href="https://www.europol.europa.eu/newsroom/news/ten-hackers-arrested-for-string-of-sim-swapping-attacks-against-celebrities"><span style="text-decoration: underline; color: #21a6a6;"><strong>Arrestation de dix pirates informatiques ayant volé plus de 100 millions de dollars en cryptomonnaies en détournant des numéros de téléphone</strong></span></a></td></tr><tr><td>Une dizaine de criminels ont été arrêtés à la suite d&rsquo;une enquête internationale sur une série d&rsquo;attaques par sim swapping visant des célébrités aux États-Unis. Les attaques orchestrées par ce groupe criminel ont visé des milliers de victimes tout au long de l&rsquo;année 2020, dont des influenceurs internet célèbres, des stars du sport, des musiciens et leurs familles. Les criminels leur auraient volé plus de 100 millions USD en crypto-monnaies après avoir obtenu illégalement l&rsquo;accès à leurs téléphones.</td></tr><tr><td><a href="https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/"><span style="text-decoration: underline;"><strong><span style="color: #21a6a6; text-decoration: underline;">Les systèmes Centreon ont été ciblés par le set d&rsquo;intrusion Sandworm, impactant plusieurs entités françaises</span></strong></span></a></td></tr><tr><td>L&rsquo;ANSSI a été informée d&rsquo;une campagne d&rsquo;intrusion ciblant le logiciel de surveillance Centreon distribué par la société française CENTREON, ce qui a entraîné la violation de plusieurs entités françaises. Cette campagne a principalement touché des fournisseurs de technologies de l&rsquo;information, notamment des hébergeurs web.
<p>&nbsp;</p>
<p>Sur les systèmes compromis, l&rsquo;ANSSI a découvert la présence d&rsquo;une porte dérobée sous la forme d&rsquo;un webshell déposé sur plusieurs serveurs Centreon exposés à Internet. Cette campagne présente plusieurs similitudes avec les campagnes précédentes attribuées à l&rsquo;ensemble d&rsquo;intrusion nommé Sandworm.</p>
</td></tr><tr><td><span style="text-decoration: underline; color: #21a6a6;"><strong>Après l&rsquo;arrestation d&rsquo;Emotet et de Netwalker, des groupes de cybercriminels publient les clés de décryptage de leurs victimes</strong></span></td></tr><tr><td>Moins d&rsquo;un mois après l&rsquo;arrestation des réseaux Emotet et Netwalker, deux groupes de cybercriminels connus sous le nom de Ziggy et Fonix ont annoncé qu&rsquo;ils mettaient fin à leurs opérations de ransomware et qu&rsquo;ils publiaient toutes les clés de décryptage de leurs victimes. Les groupes ont fait part de leurs préoccupations concernant les récentes activités des forces de l&rsquo;ordre et de leur culpabilité pour avoir crypté les victimes. L&rsquo;administrateur du ransomware Ziggy a en effet posté un fichier SQL contenant 922 clés de décryptage pour les victimes cryptées. Pour chaque victime, le fichier SQL énumère trois clés nécessaires au décryptage de leurs fichiers cryptés.</td></tr></tbody></table></figure>



<figure class="wp-block-table"><table><tbody><tr><td>
<h1><strong>Veille sur les vulnérabilités</strong></h1>
</td></tr><tr><td><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-1300"><span style="color: #333333;">CVE-2021-1300</span></a></strong></td><td><strong><span style="text-decoration: underline; color: #21a6a6;">CISCO SD-WAN vulnerability</span></strong></td></tr><tr><td>CVSS score: 9.8 CRITICAL
<p>&nbsp;</p>
<p>Cette vulnérabilité de dépassement de mémoire tampon provient d’une mauvaise gestion du trafic IP; un attaquant pourrait exploiter la faille en envoyant du trafic IP spécialement conçu via un périphérique affecté, ce qui peut provoquer un dépassement de mémoire tampon lorsque le trafic est traité. En fin de compte, cela permet à un attaquant d’exécuter du code arbitraire sur le système d’exploitation sous-jacent avec des privilèges root.</p>
</td></tr><tr><td><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-1257"><span style="color: #333333;">CVE-2021-1257</span></a></strong></td><td><strong><span style="text-decoration: underline;"><span style="color: #21a6a6; text-decoration: underline;">CISCO digital network architecture CSRF vulnerability</span></span></strong></td></tr><tr><td>CVSS score : 8.8 HIGH
<p>&nbsp;</p>
<p>Cette vulnérabilité est due à l&rsquo;insuffisance des protections CSRF pour l&rsquo;interface de gestion basée sur le web d&rsquo;un dispositif affecté. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l&rsquo;interface de gestion basée sur le web de suivre un lien spécialement conçu à cet effet. Une exploitation réussie pourrait permettre à l&rsquo;attaquant d&rsquo;effectuer des actions arbitraires sur le dispositif avec les privilèges de l&rsquo;utilisateur authentifié. Ces actions comprennent la modification de la configuration du dispositif, la déconnexion de la session de l&rsquo;utilisateur et l&rsquo;exécution des commandes du Command Runner.</p>
</td></tr><tr><td><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-1647"><span style="color: #333333;">CVE-2021-1647</span></a></strong></td><td><strong><span style="text-decoration: underline; color: #21a6a6;">Microsoft defender remote code execution vulnerability</span></strong></td></tr><tr><td>CVSS score : 7.8 HIGH
<p>&nbsp;</p>
<p>Cette vulnérabilité affectant le moteur antivirus « Microsoft Malware Protection Engine » (mpengine.dll) embarqué par défaut dans Windows, de la version 7 à la dernière version 20H2 de Windows 10 (et versions équivalentes côté serveurs) pourrait permettre à un attaquant de réaliser une exécution de code arbitraire. Microsoft a reconnu avoir observé son exploitation dans certaines attaques, cette faille aurait même pu être utilisée lors de la gigantesque attaque estimée comme étant de niveau étatique ayant visé l’éditeur SolarWinds.</p>
</td></tr></tbody></table></figure>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/03/cert-w-newsletter-fevrier-2021/">CERT-W Newsletter Février 2021</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>CERT-W Newsletter Janvier 2021</title>
		<link>https://www.riskinsight-wavestone.com/2021/02/cert-w-newsletter-janvier-2021/</link>
		
		<dc:creator><![CDATA[Jean Marsault]]></dc:creator>
		<pubDate>Wed, 17 Feb 2021 08:00:27 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[cyber]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicateurs]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=15166</guid>

					<description><![CDATA[<p>Indicateurs du mois TOP ATTACK Dans le sillage de l’attaque solarwinds Les présumés hackeurs de Solarwinds ont créé en ce 11 janvier le site «&#160;solarleaks.net&#160;» sur lequel ils vendent plusieurs gigaoctets de données volées auprès des entreprises piratées. Les tarifs...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/02/cert-w-newsletter-janvier-2021/">CERT-W Newsletter Janvier 2021</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<div id="post-14786 media-14786" class="wp-block-image align-center"><figure class="aligncenter"><img loading="lazy" decoding="async" width="1360" height="434" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/janvier.png" alt="" class="wp-image-15170" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/janvier.png 1360w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/janvier-437x139.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/janvier-71x23.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/janvier-768x245.png 768w" sizes="auto, (max-width: 1360px) 100vw, 1360px" /></figure></div>



<figure class="wp-block-table"><table><tbody><tr><td>
<h1><strong>Indicateurs du mois</strong></h1>
</td></tr><tr><td><strong>TOP ATTACK</strong></td><td><a href="https://securityboulevard.com/2021/01/solarwinds-aftermath-continues-with-solarleaks/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Dans le sillage de l’attaque solarwinds</strong></span></a></td></tr><tr><td>Les présumés hackeurs de Solarwinds ont créé en ce 11 janvier le site «&nbsp;solarleaks.net&nbsp;» sur lequel ils vendent plusieurs gigaoctets de données volées auprès des entreprises piratées. Les tarifs des données sont élevés. Ainsi, il faut compter 600&nbsp;000&nbsp;dollars pour les données de Microsoft, 500&nbsp;000&nbsp;dollars pour celles de Cisco et 250&nbsp;000&nbsp;pour celles de SolarsWinds. Les données de FireEye sont les plus abordables, car elles ne valent «&nbsp;que&nbsp;» 50&nbsp;000&nbsp;dollars. La totalité du stock est vendue pour la somme d’un million de dollars. D’autres données seraient proposées dans les prochaines semaines.&nbsp;<em>«&nbsp;Considérez cela comme un premier jet&nbsp;»</em>, soulignent les hackeurs.
<p>&nbsp;</p>
<p>Parallèlement, la liste des victimes continue d’être révélée au compte-goutte, les hackeurs de Solarwinds semblent avoir tendance à cibler les entreprises spécialisées en cyber sécurité comme CrowdStrike, MalwaresBytes, Mimecast, FireEye, Fidelis, ou encore Palo Alto Network.</p>
</td></tr><tr><td><span style="color: #333333;"><strong>TOP EXPLOIT</strong></span></td><td><a href="https://www.theregister.com/2021/01/21/dept_education_school_laptops_malware/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Le malware gamarue detecte sur des ordinateurs distribues aux ecoliers anglais </strong></span></a></td></tr><tr><td>Durant le confinement britannique, certains écoliers se sont vu offrir des ordinateurs portables par le gouvernement, malheureusement ces derniers se sont avérés être infectés par le malware Gamarue. Aussi connu sous le nom d’Andromède, Gamarue fait partie d’une famille de chevaux de Troie qui compromet les appareils victimes via des pièces jointes malveillantes. Il est capable d’utiliser ses victimes pour envoyer des messages de spam, télécharger et installer d’autres logiciels malveillants, et se copier à des supports amovibles, tels que les clés USB. Pour le moment, 23.000 ordinateurs ont été détectés comme infectés.</td></tr><tr><td><strong>TOP LEAK</strong></td><td><a href="https://threatpost.com/meetmindful-daters-compromised-data-breach/163313/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Fuite 2.28 de fiche utilisateur d’un site de rencontre </strong></span></a></td></tr><tr><td>1,2 Go de données provenant d’un site de rencontres ont été partagées en téléchargement gratuit sur un forum de piratage accessible au public et connu pour son commerce de bases de données piratées. Parmi les points de données les plus sensibles on peut retrouver les noms, les adresses e-mail, la ville, l&rsquo;état et le code postal, les descriptions physiques, les préférences en matière de rencontres, l&rsquo;état civil, les dates de naissance, la latitude et la longitude, les adresses IP, les mots de passe des comptes hachés par cryptage, les identifiants et les jetons d&rsquo;authentification Facebook. Unique point positif&nbsp;: les messages échangés par les utilisateurs ne sont pas inclus dans les données divulguées.</td></tr></tbody></table></figure>



<figure class="wp-block-table"><table><tbody><tr><td>
<h1><strong>Veille sur la cybercriminalité</strong></h1>
</td></tr><tr><td><a href="https://krebsonsecurity.com/2021/01/arrest-seizures-tied-to-netwalker-ransomware/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Arrestation et saisie de site internet en lien avec le ransomware netwalker</strong></span></a></td></tr><tr><td>Les autorités américaines et bulgares ont saisi un site publiant sur le dark web les données volées par les utilisateurs du ransomware NetWalker. NetWalker est un ransomware-as-a-service, c’est-à-dire que les « abonnés » louent l&rsquo;accès au code du malware, continuellement mis à jour, en échange d&rsquo;un pourcentage des fonds extorqués aux victimes. A la suite de cette saisie, les agents de la Gendarmerie royale du Canada et de la police de Gatineau ont appréhendé Sébastien Vachon-Desjardins, 33 ans. Le FBI le soupçonnant d’avoir empoché 27,6 M$ US (35 M$ CAN) en rançons grâce à NetWalker.</td></tr><tr><td><a href="https://krebsonsecurity.com/2021/01/international-action-targets-emotet-crimeware/"><span style="text-decoration: underline;"><strong><span style="color: #21a6a6; text-decoration: underline;">Le Botnet Emotet démentelé par Europol</span></strong></span></a></td></tr><tr><td>Europol annonce qu’une opération d’envergure a permis de démanteler et de prendre le contrôle du réseau d’ordinateurs infectés par Emotet. L’opération est le résultat de deux années d’efforts conjoints entre les forces de police des Pays-Bas, des Etats-Unis, de l’Allemagne, du Royaume-Uni, de la France, de la Lituanie, du Canada et de l’Ukraine. Plusieurs serveurs ont été saisis dans le cadre de cette opération. La police fédérale allemande précise ainsi avoir saisi 17 serveurs utilisés par les cybercriminels sur son territoire, et d’autres serveurs ont été saisis aux Pays-Bas, en Lituanie et en Ukraine. De l’argent et du matériel informatique ont notamment été saisis, comme en témoigne la vidéo publiée par les autorités ukrainiennes montrant deux perquisitions menées dans le cadre de l’affaire.</td></tr><tr><td><a href="https://krebsonsecurity.com/2021/01/international-action-targets-emotet-crimeware/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Covid-19 : deux individus arrêtés pour avoir vendu illégalement des données de citoyens néerlandais</strong></span></a></td></tr><tr><td>La police néerlandaise a arrêté deux personnes accusées d&rsquo;avoir vendu des données provenant des systèmes Covid-19 du ministère de la Santé néerlandais au marché noir. Ces arrestations ont eu lieu après que Daniel Verlaan, journaliste de RTL Nieuws, ait découvert des publicités en ligne pour des données de citoyens néerlandais, diffusées sur des applications de messagerie instantanée comme Telegram, Snapchat et Wickr. Les annonces publicitaires présentaient des photos répertoriant les données d&rsquo;un ou de plusieurs citoyens néerlandais, en effet les deux accusés étant en télétravail, il leur était très facile de prendre en photo leur écran d’ordinateur sans se faire repérer.</td></tr></tbody></table></figure>



<figure class="wp-block-table"><table><tbody><tr><td>
<h1><strong>Veille sur les vulnérabilités</strong></h1>
</td></tr><tr><td><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-1300"><span style="color: #333333;">CVE-2021-1300</span></a></strong></td><td><strong><span style="text-decoration: underline; color: #21a6a6;">CISCO SD-WAN vulnerability</span></strong></td></tr><tr><td>CVSS score: 9.8 CRITICAL
<p>&nbsp;</p>
<p>Cette vulnérabilité de dépassement de mémoire tampon provient d’une mauvaise gestion du trafic IP; un attaquant pourrait exploiter la faille en envoyant du trafic IP spécialement conçu via un périphérique affecté, ce qui peut provoquer un dépassement de mémoire tampon lorsque le trafic est traité. En fin de compte, cela permet à un attaquant d’exécuter du code arbitraire sur le système d’exploitation sous-jacent avec des privilèges root.</p>
</td></tr><tr><td><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-1257"><span style="color: #333333;">CVE-2021-1257</span></a></strong></td><td><strong><span style="text-decoration: underline;"><span style="color: #21a6a6; text-decoration: underline;">CISCO digital network architecture CSRF vulnerability</span></span></strong></td></tr><tr><td>CVSS score : 8.8 HIGH
<p>&nbsp;</p>
<p>Cette vulnérabilité est due à l&rsquo;insuffisance des protections CSRF pour l&rsquo;interface de gestion basée sur le web d&rsquo;un dispositif affecté. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l&rsquo;interface de gestion basée sur le web de suivre un lien spécialement conçu à cet effet. Une exploitation réussie pourrait permettre à l&rsquo;attaquant d&rsquo;effectuer des actions arbitraires sur le dispositif avec les privilèges de l&rsquo;utilisateur authentifié. Ces actions comprennent la modification de la configuration du dispositif, la déconnexion de la session de l&rsquo;utilisateur et l&rsquo;exécution des commandes du Command Runner.</p>
</td></tr><tr><td><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-1647"><span style="color: #333333;">CVE-2021-1647</span></a></strong></td><td><strong><span style="text-decoration: underline; color: #21a6a6;">Microsoft defender remote code execution vulnerability</span></strong></td></tr><tr><td>CVSS score : 7.8 HIGH
<p>&nbsp;</p>
<p>Cette vulnérabilité affectant le moteur antivirus « Microsoft Malware Protection Engine » (mpengine.dll) embarqué par défaut dans Windows, de la version 7 à la dernière version 20H2 de Windows 10 (et versions équivalentes côté serveurs) pourrait permettre à un attaquant de réaliser une exécution de code arbitraire. Microsoft a reconnu avoir observé son exploitation dans certaines attaques, cette faille aurait même pu être utilisée lors de la gigantesque attaque estimée comme étant de niveau étatique ayant visé l’éditeur SolarWinds.</p>
</td></tr></tbody></table></figure>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/02/cert-w-newsletter-janvier-2021/">CERT-W Newsletter Janvier 2021</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Hackuity &#124; Shake&#8217;Up &#8211; Le futur de la gestion des vulnérabilités: état de la menace et problématiques actuelles de gestion des vulnérabilités (1/2)</title>
		<link>https://www.riskinsight-wavestone.com/2021/02/hackuity-shakeup-le-futur-de-la-gestion-des-vulnerabilites-etat-de-la-menace-et-problematiques-actuelles-de-gestion-des-vulnerabilites-1-2/</link>
		
		<dc:creator><![CDATA[Patrick Ragaru]]></dc:creator>
		<pubDate>Wed, 10 Feb 2021 07:00:25 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[gestion des vulnérabilités]]></category>
		<category><![CDATA[hackuity]]></category>
		<category><![CDATA[menaces]]></category>
		<category><![CDATA[patching]]></category>
		<category><![CDATA[shake'up]]></category>
		<category><![CDATA[vulnérabilité]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=15080</guid>

					<description><![CDATA[<p>Nous avons récemment ouvert les contributions à ce blog aux start-ups accélérées par notre dispositif Shake’Up. Hackuity repense la gestion des vulnérabilitiés grace à une platforme qui collecte, normalise et orchestre les pratiques d&#8217;évaluation de la sécurité automatisées et manuelles...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/02/hackuity-shakeup-le-futur-de-la-gestion-des-vulnerabilites-etat-de-la-menace-et-problematiques-actuelles-de-gestion-des-vulnerabilites-1-2/">Hackuity | Shake&rsquo;Up &#8211; Le futur de la gestion des vulnérabilités: état de la menace et problématiques actuelles de gestion des vulnérabilités (1/2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Nous avons récemment ouvert les contributions à ce blog aux start-ups accélérées par notre dispositif Shake’Up. Hackuity repense la gestion des vulnérabilitiés grace à une platforme qui collecte, normalise et orchestre les pratiques d&rsquo;évaluation de la sécurité automatisées et manuelles et les enrichit avec des sources de données de Cyber Threat Intelligence, des éléments de contexte technique et les impacts business. Hackuity permet notamment de valoriser l&rsquo;arsenal de détection des vulnérabilités existant, de prioriser les vulnérabilités les plus importantes, de gagner du temps sur les tâches à faible valeur ajoutée et de réduire les coûts de remédiation, d&rsquo;accéder à une vision exhaustive et continue de la posture de sécurité de l&rsquo;entreprise et de répondre aux obligations de conformité.</em></p>
<p>&nbsp;</p>
<h2>De quoi parle-t-on ?</h2>
<p>L’ISO 27005 définit une <strong>vulnérabilité</strong> comme « <em>une faiblesse d&rsquo;un actif ou d&rsquo;un groupe d&rsquo;actifs qui peut être exploitée par une ou plusieurs menaces, où un actif est tout ce qui a une valeur pour l&rsquo;organisation</em> ». Pour le SANS, la <strong>gestion des vulnérabilités</strong> est « <em>le processus par lequel les vulnérabilités informatiques sont identifiées et les risques liés à ces vulnérabilités sont évalués. Cette évaluation conduit à la correction des vulnérabilités et à la suppression du risque ou à une acceptation formelle du risque</em> ». Au fil du temps, la gestion des vulnérabilités est devenue une pratique fondamentale de la cybersécurité et les professionnels du métier s’accordent aujourd’hui unanimement pour dire que c’est un processus essentiel pour minimiser la surface d&rsquo;attaque de l’entreprise.</p>
<p>&nbsp;</p>
<figure id="post-15081 media-15081" class="align-none"><img loading="lazy" decoding="async" class="wp-image-15081 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-1.jpg" alt="" width="675" height="571" /></figure>
<p style="text-align: center;">Source: <a href="https://blogs.gartner.com/augusto-barros/2019/10/25/new-vulnerability-management-guidance-framework/">https://blogs.gartner.com/augusto-barros/2019/10/25/new-vulnerability-management-guidance-framework/</a></p>
<p>&nbsp;</p>
<p>La gestion des vulnérabilités est ainsi désormais intégrée dans tous les grands référentiels, standards, régulations sectorielles, guides ou bonnes pratiques de sécurité (ISO, PCI-DSS, guide d’hygiène de l’ANSSI, GDPR, accords de Bâle, LPM, NIS, …) et est même réglementaire dans certains contextes. Toute bonne politique de sécurité d’entreprise y accorde d’ailleurs un chapitre significatif.  Un mal nécessaire pour beaucoup.</p>
<p>&nbsp;</p>
<h2>Vulnérabilités : état de la menace</h2>
<p>Cependant, en 2019, selon une étude menée par le Ponemon Institute<a href="#_ftn1" name="_ftnref1">[1]</a> « <em>60% des incident de sécurité étaient [encore] la conséquence de l’exploitation d’une vulnérabilité pourtant connue mais non encore corrigée par les entreprises</em> ».</p>
<p>Pour illustrer l’ampleur actuelle du phénomène, considérons la grande menace cyber de 2020 et probablement de 2021 : les ransomwares. Bien que les ransomwares se propagent généralement par des actions initiées par l&rsquo;utilisateur, comme cliquer sur un lien malveillant dans un spam ou visiter un site web compromis, une grande partie de ceux-ci exploitent également des vulnérabilités informatiques. Ainsi, si on analyse en détail le top-5 des ransomwares les plus virulents en 2020 selon intel471<a href="#_ftref2" name="_ftnref1">[2]</a>, on constate que leurs « kill-chain » exploitent toutes des vulnérabilités (CVE).</p>
<table style="border-collapse: collapse; width: 100%; height: 868px;">
<tbody>
<tr style="height: 45px;">
<td style="width: 16.6667%; height: 45px; text-align: center;">Ransomware Name</td>
<td style="width: 16.6667%; height: 45px; text-align: center;">First known occurrence</td>
<td style="width: 16.6667%; height: 45px; text-align: center;">Known exploited CVE</td>
<td style="width: 16.6667%; height: 45px; text-align: center;">CVE publication date</td>
<td style="width: 16.6667%; height: 45px; text-align: center;">Patch / workaround</td>
<td style="width: 16.6667%; height: 45px; text-align: center;">CVSS V2.0 Score</td>
</tr>
<tr style="height: 211px;">
<td style="width: 16.6667%; height: 211px; text-align: center;" width="123">Maze</p>
<p>(aka ChaCha)</td>
<td style="width: 16.6667%; height: 211px; text-align: center;" width="123">05-2019</td>
<td style="width: 16.6667%; height: 211px; text-align: center;" width="123">CVE-2018-15982</p>
<p>CVE-2018-4878</p>
<p>CVE-2019-11510</p>
<p>CVE-2018-8174</p>
<p>CVE-2019-19781</td>
<td style="width: 16.6667%; height: 211px; text-align: center;" width="113">18/01/2019</p>
<p>06/02/2018</p>
<p>08/05/2019</p>
<p>05/09/2018</p>
<p>27/12/2019</td>
<td style="width: 16.6667%; height: 211px; text-align: center;" width="85">12-2018</p>
<p>02-2018</p>
<p>04-2019</p>
<p>08-2018</p>
<p>12-2019</td>
<td style="width: 16.6667%; height: 211px; text-align: center;" width="76">10</p>
<p>7.5</p>
<p>7.5</p>
<p>7.6</p>
<p>7.5</td>
</tr>
<tr style="height: 133px;">
<td style="width: 16.6667%; height: 133px; text-align: center;" width="123">REvil</p>
<p>(aka Sodinokibi)</td>
<td style="width: 16.6667%; height: 133px; text-align: center;" width="123">04-2019</td>
<td style="width: 16.6667%; height: 133px; text-align: center;" width="123">CVE-2018-8453</p>
<p>CVE-2019-11510</p>
<p>CVE-2019-2725</td>
<td style="width: 16.6667%; height: 133px; text-align: center;" width="113">10/10/2018</p>
<p>08/05/2019</p>
<p>26/04/2019</td>
<td style="width: 16.6667%; height: 133px; text-align: center;" width="85">10-2018</p>
<p>05-2019</p>
<p>04-2019</td>
<td style="width: 16.6667%; height: 133px; text-align: center;" width="76">7,2</p>
<p>7,5</p>
<p>7,5</td>
</tr>
<tr style="height: 173px;">
<td style="width: 16.6667%; height: 173px; text-align: center;" width="123">Netwalker</td>
<td style="width: 16.6667%; height: 173px; text-align: center;" width="123">09-2019</td>
<td style="width: 16.6667%; height: 173px; text-align: center;" width="123">CVE-2015-1701</p>
<p>CVE-2017-0213</p>
<p>CVE-2020-0796</p>
<p>CVE-2019-1458</td>
<td style="width: 16.6667%; height: 173px; text-align: center;" width="113">21/04/2015</p>
<p>12/05/2017</p>
<p>12/03/2020</p>
<p>10/12/2019</td>
<td style="width: 16.6667%; height: 173px; text-align: center;" width="85">05-2015</p>
<p>05-2017</p>
<p>03-2020</p>
<p>12-2019</td>
<td style="width: 16.6667%; height: 173px; text-align: center;" width="76">7,2</p>
<p>1.9</p>
<p>7,5</p>
<p>7.2</td>
</tr>
<tr style="height: 212px;">
<td style="width: 16.6667%; height: 212px; text-align: center;" width="123">Ryuk</td>
<td style="width: 16.6667%; height: 212px; text-align: center;" width="123">08-2018</td>
<td style="width: 16.6667%; height: 212px; text-align: center;" width="123">CVE-2013-2618</p>
<p>CVE-2017-6884</p>
<p>CVE-2018-8389</p>
<p>CVE-2018-12808</p>
<p>CVE-2020-1472</td>
<td style="width: 16.6667%; height: 212px; text-align: center;" width="113">05/06/2014</p>
<p>06/04/2017</p>
<p>15/08/2018</p>
<p>29/08/2018</p>
<p>17/08/2020</td>
<td style="width: 16.6667%; height: 212px; text-align: center;" width="85">*-2014</p>
<p>04-2017</p>
<p>08-2018</p>
<p>08-2018</p>
<p>08-2020</td>
<td style="width: 16.6667%; height: 212px; text-align: center;" width="76">4,3</p>
<p>9,0</p>
<p>7,6</p>
<p>7,5</p>
<p>9,3</td>
</tr>
<tr style="height: 94px;">
<td style="width: 16.6667%; height: 94px; text-align: center;" width="123">DopplePaymer</td>
<td style="width: 16.6667%; height: 94px; text-align: center;" width="123">04-2019</td>
<td style="width: 16.6667%; height: 94px; text-align: center;" width="123">CVE-2019-1978</p>
<p>CVE-2019-19781</td>
<td style="width: 16.6667%; height: 94px; text-align: center;" width="113">05/11/2019</p>
<p>27/12/2019</td>
<td style="width: 16.6667%; height: 94px; text-align: center;" width="85">*-2019</p>
<p>01-2020</td>
<td style="width: 16.6667%; height: 94px; text-align: center;" width="76">5,0</p>
<p>7,5</td>
</tr>
</tbody>
</table>
<p style="text-align: center;">Source: Hackuity &amp; National Vulnerability Database (<a href="https://nvd.nist.gov/">https://nvd.nist.gov/</a>)</p>
<p>&nbsp;</p>
<p>Autre constat, il s’agit souvent de vulnérabilités déjà référencées par le NIST lors de l’apparition du ransomware, parfois même depuis plusieurs années, et dont les éditeurs proposaient un correctif ou une méthode de contournement. Une récente étude de CheckPoint<a href="#_ftn3" name="_ftnref1">[3]</a> vient confirmer que <strong>les vulnérabilités les plus anciennes sont toujours les plus exploitées</strong>. Mi-2020, plus de 80% des cyberattaques recensées utilisaient une vulnérabilité publiée avant 2017 et plus de 20% de ces attaques exploitaient même une vulnérabilité connue depuis plus de 7 ans.</p>
<p>&nbsp;</p>
<figure id="post-15083 media-15083" class="align-none"><img loading="lazy" decoding="async" class=" wp-image-15083 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-2.png" alt="" width="722" height="334" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-2.png 1196w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-2-413x191.png 413w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-2-71x33.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-2-768x355.png 768w" sizes="auto, (max-width: 722px) 100vw, 722px" /></figure>
<p>&nbsp;</p>
<p>Cela souligne l&rsquo;importance &#8211; aujourd’hui encore &#8211; d&rsquo;une installation rapide des mises à jour de sécurité comme mécanisme de défense pour minimiser les risques cybers. Sans grande surprise donc, la gestion des vulnérabilités &#8211; pourtant l’une des plus anciennes pratiques de la cybersécurité &#8211; reste pour Wavestone<a href="#_ftn4" name="_ftnref1">[4]</a> l’un des défis majeurs à relever pour les RSSI en 2021. Faut-il pour autant essayer de corriger toutes les vulnérabilités ? Petit retour dans le passé.</p>
<p>&nbsp;</p>
<h2>« Vulnerability Assessment » vs. « Vulnerability Management »</h2>
<p>Quand elles sont apparues sur le marché, à la fin des années 90, les premières solutions de gestion des vulnérabilités avaient un fonctionnement proche de celui d’un antivirus : l’objectif était de détecter le plus grand nombre possible de menaces potentielles. On parlait plus volontiers de « scanners de vulnérabilités ».</p>
<p>Le volume de vulnérabilités était alors relativement faible par rapport à aujourd’hui. En 2000, le NVD recensait environ 1 000 nouvelles vulnérabilités sur l’année contre plus de 18 000 en 2020.</p>
<p>Un traitement exhaustif et manuel des vulnérabilités était alors encore possible. Les scanners fournissaient la liste des vulnérabilités, leur pertinence dans le contexte de l’entreprise était analysée par les équipes IT et un rapport était envoyé aux responsables métiers. Une fois le rapport approuvé, les administrateurs corrigeaient la vulnérabilité et procédaient à une nouvelle analyse pour vérifier la bonne mise en place du correctif.</p>
<p>&nbsp;</p>
<figure id="post-15085 media-15085" class="align-none"><img loading="lazy" decoding="async" class=" wp-image-15085 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-3.png" alt="" width="522" height="365" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-3.png 832w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-3-273x191.png 273w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-3-56x39.png 56w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-3-768x537.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/Image-3-245x170.png 245w" sizes="auto, (max-width: 522px) 100vw, 522px" /></figure>
<p style="text-align: center;">Source : National Vulnerability Database (<a href="https://nvd.nist.gov/">https://nvd.nist.gov/</a>)</p>
<p>&nbsp;</p>
<p>Pendant les deux décennies suivantes, le nombre de vulnérabilités découvertes a augmenté de façon constante avec une véritable explosion à partir de 2017, tendance qui s’est poursuivie jusqu’à aujourd’hui. En 2020, c’est un record de plus de 18 000 nouvelles vulnérabilités qui ont été recensées et publiées par le NIST. Mais non, les développeurs ne codent pas de plus en plus mal ! Différentes raisons expliquent le nombre croissant de vulnérabilités divulguées :</p>
<ol>
<li>L&rsquo;innovation et la digitalisation accélérée des métiers conduisent à une augmentation des produits matériels et logiciels publiés. En 2010, le NIST enregistrait 22 188 nouvelles entrées dans son référentiel CPE, dont 1 332 nouveaux produits et 406 éditeurs. En 2020, c’est 324 810 entrées (+1 460 %), 35 794 nouveaux produits (+2 690 %) et 6 060 éditeurs (+1 490%) qui font leur apparition.</li>
<li>La demande de réduction des délais de mise sur le marché pousse les éditeurs à réduire les cycles de développement pour commercialiser leurs produits plus rapidement quitte à rogner sur les ressources nécessaires pour l&rsquo;assurance qualité et les tests de sécurité.</li>
<li>La cybercriminalité est devenue une activité lucrative. Un nombre de plus en plus important de vulnérabilités est aujourd’hui attribué aux cybercriminels à la recherche de nouveaux outils pour soutenir leurs attaques.</li>
<li>En parallèle, le nombre d’experts et d&rsquo;organisations indépendantes qui participent à la recherche et à la découverte des vulnérabilités est en augmentation. La démocratisation et l’industrialisation des <a href="https://www.riskinsight-wavestone.com/2021/01/bug-bounty-apercu-et-benchmark-du-secteur-bancaire-a-lhorizon-2021/">programmes de Bug-Bounty</a> n’y sont d’ailleurs pas étrangères.</li>
<li>Et enfin, sauf rares exceptions comme dans le RGPD, en l&rsquo;absence de législation et de réglementation adéquates pour protéger les droits des consommateurs en cas de vulnérabilités dans les logiciels, l&rsquo;industrie n&rsquo;est pas incitée à investir dans des produits plus sûrs et à assumer la responsabilité des dommages causés.</li>
</ol>
<p>Cependant<strong> le problème ne se trouve pas seulement dans le nombre plus élevé de vulnérabilités recensées dans les bases du NVD ou d’autres référentiels.</strong> Avec l’avènement de l’ultra-mobilité, le home-office, le cloud-computing, les médias sociaux, l’IoT mais aussi la convergence entre IT et OT, les Systèmes d’Information n’ont cessé de se complexifier et de s’étendre, de s’ouvrir et de multiplier le nombre de leurs fournisseurs, &#8230; autant de potentielles nouvelles portes d&rsquo;entrées pour les cybercriminels.</p>
<p>En parallèle, les entreprises conscientes des risques déploient et opèrent un arsenal de détection des vulnérabilités qui s’étoffe continuellement et qui a gagné en maturité ces dernières années, voir qui s’est « commoditizé » :</p>
<ul>
<li>Tests d’intrusions, <a href="https://www.riskinsight-wavestone.com/2020/08/comment-tirer-parti-dune-operation-red-team/">Red-teams</a>,</li>
<li>Scanners de vulnérabilités : sur la totalité du parc externe et/ou interne</li>
<li>Veille en vulnérabilités</li>
<li>SAST, DAST &amp; SCA : souvent directement intégrés aux pipelines de développement</li>
<li>Campagnes de bug-bounty</li>
</ul>
<p>Toutes ces pratiques de détection sont complémentaires et généralement empilées dans une approche « best-of-breed » pour évaluer des briques spécifiques du SI. Malheureusement, c’est souvent une fois l’arsenal mis en place que les problèmes sautent aux yeux (liste non exhaustive) :</p>
<ul>
<li><strong>L’hétérogénéité des formats de rendu</strong> : rapports au format PDF ou Excel pour les pentests, résultats des scans dans la console de l’outils, vulnérabilités sur la plateforme de bug bounty, …, contraignent souvent l’entreprise à adopter une gestion des vulnérabilités en silo. Il en est de même pour le scoring des vulnérabilités qui s’avère finalement être un patchwork entre CVSS et ses multiples versions, échelles propriétaires et savant mélange des deux.</li>
<li>En découle <strong>l’incapacité à prioriser globalement les efforts de remédiation</strong> du fait d’une perception parcellaire et hétérogène du stock de vulnérabilités.</li>
<li>La gestion de v<strong>olumes de données devenus bien trop importants pour être traités manuellement</strong> : il n’est pas rare qu’une entreprise qui réalise des scans authentifiés sur son parc voit son volume de vulnérabilités dépasser plusieurs millions d’entrées dans la console du scanner.</li>
<li>La <strong>difficulté à coordonner les actions de remédiation</strong> : identification du propriétaire d‘un actif et du porteur d’une action, échanges de mails, suivi d’avancement, reporting Excel, …</li>
<li>La frustration des équipes en charge de la remédiation qui <strong>ne disposent pas de reporting factuel</strong> traduisant l’effort de remédiation sur la posture globale de sécurité de l’entreprise.</li>
</ul>
<p>Face à ces problèmes, les entreprises n’ont d’autres choix que de travailler à la mise en place de processus souvent coûteux car s’appuyant sur des actions manuelles, le développement d’un outillage ad-hoc ou encore un assemblage de bric et de broc de solutions glanées çà et là. Le manque d’automatisation de ce processus est d’autant plus absurde qu’il mobilise généralement de rares et coûteux experts en cybersécurité sur des tâches à faible valeur comme de la compilation de données dans Excel, la recherche sans fin des bons interlocuteurs ou encore le suivi de fils de mails.</p>
<p>Dans son étude « <em>Cost and consequences of gaps in vulnerability management responses</em> » (2019), le Ponemon Institute estime que les entreprises de plus de 10 000 salariés ont consacré en moyenne en 2019 <strong>plus de 21 000 heures (soit près de 12 ETP)</strong> à la prévention, détection et traitement des vulnérabilités. Cela représente un total de plus de 1M$ pour un rapport qualité/prix finalement très décevant.</p>
<h2>Le « patching paradox »</h2>
<p>En théorie, la meilleure façon de rester protégé est de maintenir à jour chaque système en corrigeant chaque nouvelle vulnérabilité, au fil de l’eau, dès qu&rsquo;elle est identifiée. IRL, la tâche s’avère aujourd’hui impossible en raison d’un nombre de vulnérabilités devenues bien trop important mais aussi des ressources humaines ou financières limitées, de l&rsquo;existence de systèmes hérités et des délais de mise à disposition ou des contraintes de déploiement des patchs.</p>
<p>En définitive, quelle que soit sa taille, une organisation n’aura jamais assez de ressources humaines ou financières pour remédier à toutes ses vulnérabilités. L’industrie appelle d’ailleurs « <em>Patching Paradox</em> » la conviction &#8211; erronée &#8211; que plus de personnel affecté aux traitements des vulnérabilités équivaut à une meilleure sécurité.</p>
<p>Afin de réduire la pression pour augmenter les effectifs à un moment où il y a une pénurie d’experts sécurité qualifiés et pour éviter que la gestion des vulnérabilités ne devienne une course effrénée et perdue d’avance à vouloir corriger toujours plus de vulnérabilités, il est nécessaire aujourd’hui pour les entreprises de déterminer celles qui doivent l’être en priorité.</p>
<p>&nbsp;</p>
<p><em>Après avoir vu dans ce premier article l&rsquo;état de la menace et les problématiques actuelles liées à la gestion des vulnérabilités, nous verrons dans un second article les nouvelles approches à prendre en compte pour mieux gérer les vulnérabilités, notamment via la priorisation de la remédiation proposée par Hackuity.</em></p>
<p><a href="#_ftnref1" name="_ftn1">[1]</a> Ponemon Institute &#8211; Cost and consequences of gapes in vulnerability management responses &#8211; 2019</p>
<p><a href="#_ftnref2" name="_ftn1">[2]</a> <a href="https://intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/">https://intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/</a></p>
<p><a href="#_ftnref3" name="_ftn1">[3]</a> <a href="https://www.checkpoint.com/downloads/resources/cyber-attack-trends-report-mid-year-2020.pdf">https://www.checkpoint.com/downloads/resources/cyber-attack-trends-report-mid-year-2020.pdf</a></p>
<p><a href="#_ftnref4" name="_ftn1">[4]</a> <a href="https://www.wavestone.com/fr/insight/radar-rssi-quelles-priorites-2021/">https://www.wavestone.com/fr/insight/radar-rssi-quelles-priorites-2021/</a></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/02/hackuity-shakeup-le-futur-de-la-gestion-des-vulnerabilites-etat-de-la-menace-et-problematiques-actuelles-de-gestion-des-vulnerabilites-1-2/">Hackuity | Shake&rsquo;Up &#8211; Le futur de la gestion des vulnérabilités: état de la menace et problématiques actuelles de gestion des vulnérabilités (1/2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>CERT-W Newsletter Décembre 2020</title>
		<link>https://www.riskinsight-wavestone.com/2021/01/cert-w-newsletter-decembre-2020/</link>
		
		<dc:creator><![CDATA[CERT-W]]></dc:creator>
		<pubDate>Fri, 15 Jan 2021 08:00:12 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicateurs]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=14976</guid>

					<description><![CDATA[<p>Indicateurs du mois TOP ATTACK La cyberattaque visant les clients SolarWinds Des attaquants russes du SVR ont réussi à infecter une mise à jour d’Orion, un logiciel fournit par SolarWinds, ils y ont introduit une backdoor afin de pénétrer dans les...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/01/cert-w-newsletter-decembre-2020/">CERT-W Newsletter Décembre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<figure id="post-14786 media-14786" class="align-center">
<figure id="post-14980 media-14980" class="align-center"><img loading="lazy" decoding="async" class="aligncenter wp-image-14980" src="http://riskinsight-prepro.s189758.zephyr32.atester.fr/wp-content/uploads/2021/01/DECEMBRE.png" alt="" width="964" height="307" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/01/DECEMBRE.png 1510w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/01/DECEMBRE-437x139.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/01/DECEMBRE-71x23.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/01/DECEMBRE-768x245.png 768w" sizes="auto, (max-width: 964px) 100vw, 964px" /></figure>
</figure>
<table style="width: 0%; height: 294px;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 20.027%; height: 89px; border: 0px solid #21a6a6; text-align: left;" colspan="2">
<h1><strong>Indicateurs du mois</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 48px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP ATTACK</strong></td>
<td style="width: 79.973%; height: 48px; border-color: #ffffff; text-align: left;"><a href="https://www.theregister.com/2020/12/21/in_brief_security/"><span style="text-decoration: underline; color: #21a6a6;"><strong>La cyberattaque visant les clients SolarWinds</strong></span></a></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 10px; border-color: #ffffff; text-align: left;" colspan="2"><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">Des attaquants russes du SVR ont réussi à infecter une mise à jour d’Orion, un logiciel fournit par </span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SpellingErrorV2 SCXW122837770 BCX9">SolarWinds</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">, ils y ont introduit une backdoor afin de pénétrer dans les systèmes informatiques des clients du fournisseur de solutions. D’après l’entreprise, cette mise à jour a été déployée </span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">sur </span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">plus de 18</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">’</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">000 clients dans le monde. Même si l’on ne sait pas par quelle méthode ces attaquants russes ont réussi à infecter Orion, on sait que la société </span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SpellingErrorV2 SCXW122837770 BCX9">SolarWinds</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9"> avait été prévenue en 2019 que leur</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">s</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9"> serveur</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">s</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9"> étai</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">en</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">t protégé</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">s</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9"> par le mot de passe suivant : « solarwinds123 »</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">…</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">(plus de détail : </span></span><a class="Hyperlink SCXW122837770 BCX9" href="https://www.theregister.com/2020/12/16/solarwinds_github_password/" target="_blank" rel="noreferrer noopener"><span class="TextRun Underlined SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="none"><span class="NormalTextRun SCXW122837770 BCX9" data-ccp-charstyle="Hyperlink">lien</span></span></a><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9">)</span></span><span class="TextRun SCXW122837770 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW122837770 BCX9"> </span></span><span class="EOP SCXW122837770 BCX9" data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p>Quelques exemples parmi les nombreuses répercutions de cette attaque :</p>
<ul>
<li><a href="https://www.schneier.com/blog/archives/2020/12/fireeye-hacked.html">Des entreprises de cybersécurité: FIREEYE</a>: c’est l’entreprise FireEye qui en investiguant sur sa propre compromission a lancé l’alerte de la mise à jour malveillante d’Orion. En effet FireEye a détecté que les attaquants ont pu récupérer leurs outils d’intrusion (Red Team), normalement utilisés afin d’évaluer la sécurité des clients audités. L’entreprise de sécurité informatique américaine a alors adopté une gestion de crise proactive en publiant les méthodes et les moyens permettant de détecter l’utilisation de ces fameux outils.</li>
<li><a href="https://threatpost.com/nuclear-weapons-agency-hacked-cyberattack/162387/">Des agences gouvernementales: MINISTERE AMERICAIN DE L’ENERGIE:</a> plusieurs agences gouvernementales américaines font parties des victimes, certaines particulièrement sensibles comme la NNSA (National Nuclear Security Administration), l’agence gérant les réserves nucléaires américaines, ou encore le département du Trésor des États-Unis, chargé de répondre aux besoins fiscaux et monétaire de la deuxième puissance mondiale en termes de PIB.</li>
</ul>
</td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><span style="color: #333333;"><strong>TOP EXPLOIT</strong></span></td>
<td style="width: 79.973%; height: 21px; border-color: #ffffff; text-align: left;"><a href="https://arstechnica.com/gadgets/2020/12/iphone-zero-click-wi-fi-exploit-is-one-of-the-most-breathtaking-hacks-ever/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Exploit d&rsquo;un ver informatique se propageant par Wi-Fi</strong></span></a></td>
</tr>
<tr style="height: 40px;">
<td style="width: 100%; border-color: #ffffff; height: 37px; text-align: left;" colspan="2"><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9">Un bug </span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9">iPhone </span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9">a été exploité par un chercheur du Project </span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SpellingErrorV2 SCXW79780143 BCX9">Zero</span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9"> de Google, Ian Beer. Dans son </span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun ContextualSpellingAndGrammarErrorV2 SCXW79780143 BCX9">post</span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9"> (</span></span><a class="Hyperlink SCXW79780143 BCX9" href="https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html" target="_blank" rel="noreferrer noopener"><span class="TextRun Underlined SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="none"><span class="NormalTextRun SCXW79780143 BCX9" data-ccp-charstyle="Hyperlink">lien vers son blog</span></span></a><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9">), Beer explique comment il a réussi à exploiter cette vulnérabilité : un bug de corruption de mémoire dans le kernel iOS donnant</span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9"> un</span></span><span class="TextRun SCXW79780143 BCX9" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW79780143 BCX9"> accès complet à l’appareil via Wifi et pouvant se transmettre de la même manière aux appareils à proximité.</span></span><span class="EOP SCXW79780143 BCX9" data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP LEAK</strong></td>
<td style="width: 79.973%; border-color: #ffffff; height: 21px; text-align: left;"><a href="https://www.theregister.com/2020/12/07/data_breach_in_hackathon_data/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Une agence de voyage australienne fait fuiter ses données dans un hackathon</strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="width: 100%; border-color: #ffffff; height: 35px; text-align: left;" colspan="2"><span data-contrast="auto">Lors d’un hackathon que l’</span><span data-contrast="auto">agence</span><span data-contrast="auto"> de voyage Fli</span><span data-contrast="auto">ght Cent</span><span data-contrast="auto">re</span><span data-contrast="auto"> avait organisé en 2017, </span><span data-contrast="auto">des bases de données contenant</span><span data-contrast="auto"> en clair</span><span data-contrast="auto"> les numéros de passeport et les cartes de crédits de près de 7</span><span data-contrast="auto">’</span><span data-contrast="auto">000 utilisateurs </span><span data-contrast="auto">ont</span><span data-contrast="auto"> été </span><span data-contrast="auto">mises à disposition des 90 participants</span><span data-contrast="auto">. </span><span data-contrast="auto">Les investigations ont montré</span><span data-contrast="auto"> que l’agence n’avait</span><span data-contrast="auto"> :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li data-leveltext="-" data-font="Tahoma" data-listid="1" aria-setsize="-1" data-aria-posinset="0" data-aria-level="1"><span data-contrast="auto">ni</span><span data-contrast="auto"> implémenté de moyen de protection sur ces champs afin d’empêcher un de leurs employés d’y renseigner des informations sensibles,</span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="-" data-font="Tahoma" data-listid="1" aria-setsize="-1" data-aria-posinset="0" data-aria-level="1"><span data-contrast="auto">ni</span><span data-contrast="auto"> </span><span data-contrast="auto">effectué les vérifications </span><span data-contrast="auto">d’anonymisation </span><span data-contrast="auto">nécessaires</span><span data-contrast="auto">, ces informations étant présentes dans des champs « libres » des quelques 106 millions de lignes de la banque d’information</span><span data-contrast="auto">.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
</td>
</tr>
</tbody>
</table>
<table style="width: 100%; height: 212px;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 1.00503%; height: 89px; border: 0px solid #21a6a6; text-align: left;" colspan="2">
<h1><strong>Veille sur la cybercriminalité</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 1.00503%; height: 23px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://www.zdnet.com/article/a-hacker-is-selling-access-to-the-email-accounts-of-hundreds-of-c-level-executives/"><span style="text-decoration: underline; color: #21a6a6;"><strong>Un hacker vend des accès aux e-mails de plusieurs cadres </strong></span></a></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 1.00503%; height: 23px; border-color: #ffffff; text-align: left;" colspan="2">Des données d’accès professionnel de VIP (que sont les emails et les mots de passes pour les comptes O365 et Microsoft) sont vendues sur un forum russe appelé Exploit.in. Ces accès sont vendus entre 100 et 1500$ en fonction de l’entreprise et du poste occupé par la victime. La validité de ces données a été confirmée mais le hacker refuse de divulguer comment il a obtenu ces informations, il prétend toutefois qu’il en a encore des centaines en stock.</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 1.00503%; height: 23px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://www.theregister.com/2020/12/01/scam_call_prison/"><span style="text-decoration: underline;"><strong><span style="color: #21a6a6; text-decoration: underline;">L&rsquo;homme à la tête d&rsquo;un call center se faisant passer pour l&rsquo;équivalent du fisc américain est condamné à 20 ans de prison</span></strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="height: 23px; border-color: #ffffff; text-align: left; width: 1.00503%;" colspan="2">L’homme était à la tête d’un call center indien qui escroquait des citoyens américains en leur faisant croire qu’ils devaient de l’argent au IRS (Internal Revenue Service), l’équivalent du fisc aux Etats Unis et les menaçant d’arrestation ou d’exclusion de territoire si les victimes refusaient de payer. Au total des dizaines de millions de dollars ont été dérobés. La justice américaine a finalement pu appréhender l’individu et l’a condamné à 20 ans de prison, en plus du remboursement de l’argent escroqué.</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 1.00503%; height: 23px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://www.europol.europa.eu/newsroom/news/cybercriminals%E2%80%99-favourite-vpn-taken-down-in-global-action#:~:text=The%20virtual%20private%20network%20(VPN,agencies%20from%20around%20the%20world."><span style="text-decoration: underline; color: #21a6a6;"><strong>Un VPN criminel démantelé par le FBI et Europol</strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="height: 23px; border-color: #ffffff; text-align: left; width: 1.00503%;" colspan="2">Le VPN Safe-Inet a été démantelé par le FBI et Europol le 22 décembre 2020. Safe-Inet était destiné à être utilisé par des cybercriminels et était dans le collimateur des forces de l’ordre depuis un certain temps. Cette opération, surnommée Opération Nova, a permis dans un premier temps de fermer les serveurs américains et peu de temps après les serveurs européens.</td>
</tr>
</tbody>
</table>
<table style="width: 100%;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 89px; text-align: left; border: 0px solid #21a6a6;" colspan="2">
<h1><strong>Veille sur les vulnérabilités</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-17095"><span style="color: #333333;">CVE-2020-17095</span></a></strong></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><strong><span style="text-decoration: underline; color: #21a6a6;">Hyper-V Remote Code Execution Vulnerability</span></strong></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 23px; border-color: #ffffff; text-align: left;" colspan="2">CVSS score: 9.9 CRITICAL</p>
<p>Cette vulnérabilité permet à un attaquant de s’échapper d’une machine virtuelle Hyper-V vers son hôte en transmettant des paquets vSMB aux données invalides. Il semblerait qu’il n’y ait pas d’autres permissions requises pour l’exploiter.</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-17132"><span style="color: #333333;">CVE-2020-17132</span></a></strong></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><strong><span style="text-decoration: underline;"><span style="color: #21a6a6; text-decoration: underline;">Microsoft Exchange Remote Code Execution Vulnerability</span></span></strong></td>
</tr>
<tr style="height: 60px;">
<td style="height: 23px; width: 100%; border-color: #ffffff; text-align: left;" colspan="2">CVSS score : 9.1 CRITICAL</p>
<p>Cette vulnérabilité permet d’exécuter du code à distance sur un serveur Exchange. Microsoft n’a pas communiqué de scénario d’attaque mais fait remarquer que pour exploiter cette vulnérabilité, l’attaquant se doit d’être authentifié. C’est-à-dire que si un attaquant prend le contrôle de la boîte mail d’une personne, il peut alors prendre le contrôle de tout le serveur Exchange.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><strong><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-17121"><span style="color: #333333;">CVE-2020-17121</span></a></strong></td>
<td style="width: 79.973%; height: 21px; border-color: #ffffff; text-align: left;"><strong><span style="text-decoration: underline; color: #21a6a6;">Microsoft SharePoint Remote Code Execution Vulnerability</span></strong></td>
</tr>
<tr style="height: 40px;">
<td style="width: 100%; border-color: #ffffff; height: 119px; text-align: left;" colspan="2">CVSS score : 8.8 HIGH</p>
<p>Cette vulnérabilité permet à un utilisateur authentifié d’exécuter du code .NET sur le serveur vulnérable dans le contexte du compte de service « SharePoint Web Application ». Dans la configuration par défaut de l’application SharePoint, les utilisateurs authentifiés peuvent créer des sites fournissant toutes les permissions nécessaires pour lancer cette attaque.</td>
</tr>
</tbody>
</table>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/01/cert-w-newsletter-decembre-2020/">CERT-W Newsletter Décembre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>CERT-W Newsletter Novembre 2020</title>
		<link>https://www.riskinsight-wavestone.com/2020/12/cert-w-newsletter-novembre-2020/</link>
		
		<dc:creator><![CDATA[CERT-W]]></dc:creator>
		<pubDate>Wed, 16 Dec 2020 08:00:58 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicateurs]]></category>
		<category><![CDATA[Newsletter]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=14793</guid>

					<description><![CDATA[<p>Indicateurs du mois TOP ATTACK LE GOUVERNEMENT BRESILIEN SE REMET DE LEUR « PIRE » ATTAQUE Après avoir été touché, le 3 novembre, par la plus sévère de toutes les attaques orchestrées contre une institution publique brésilienne, le Tribunal Supreme de Justice...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/12/cert-w-newsletter-novembre-2020/">CERT-W Newsletter Novembre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<figure id="post-14795 media-14795" class="align-center"><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14795" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/12/novembre.png" alt="" width="1278" height="402" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/12/novembre.png 1278w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/12/novembre-437x137.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/12/novembre-71x22.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/12/novembre-768x242.png 768w" sizes="auto, (max-width: 1278px) 100vw, 1278px" /></figure>
<table style="width: 0%; height: 294px;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 20.027%; height: 89px; border: 0px solid #21a6a6; text-align: left;" colspan="2">
<h1><strong>Indicateurs du mois</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 48px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP ATTACK</strong></td>
<td style="width: 79.973%; height: 48px; border-color: #ffffff; text-align: left;"><a href="https://www.zdnet.com/article/brazilian-government-recovers-from-worst-ever-cyberattack/"><span style="text-decoration: underline; color: #21a6a6;"><strong>LE GOUVERNEMENT BRESILIEN SE REMET DE LEUR « PIRE » ATTAQUE</strong></span></a></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 10px; border-color: #ffffff; text-align: left;" colspan="2">Après avoir été touché, le 3 novembre, par la plus sévère de toutes les attaques orchestrées contre une institution publique brésilienne, le Tribunal Supreme de Justice (STJ en portugais) a enfin réussi à remettre ses systèmes en état de marche. La Cour avait dû suspendre toutes ces sessions pendant quelques jours et ensuite fonctionner de manière limitée jusqu’au 20 novembre. Le logiciel de rançon aurait reposé sur une vulnérabilité découverte lors d&rsquo;un <a style="font-family: inherit; font-size: inherit;" href="https://www.theregister.com/2020/11/09/tianfu_cup/">compétition cybersécurité chinois</a><span style="font-family: inherit; font-size: inherit;">e réalisé avec le concours d’éditeurs logiciels.</span></td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP RANSOM</strong></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><a href="https://www.lemagit.fr/actualites/252492731/Ransomware-le-groupe-Egregor-revendique-la-cyberattaque-sur-Ouest-France"><span style="text-decoration: underline;"><strong><span style="color: #21a6a6; text-decoration: underline;">EGREGOR REVENDIQUE LE RANSOMWARE SUR OUEST-FRANCE</span></strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="height: 10px; width: 100%; border-color: #ffffff; text-align: left;" colspan="2">Le groupe SIPA-Ouest France, avec sa filiale Publihebdos, a été frappé par un <a style="font-family: inherit; font-size: inherit;" href="https://whatis.techtarget.com/fr/definition/Rancongiciel">ransomware</a><span style="font-family: inherit; font-size: inherit;">, dans la nuit du 20 au 21 novembre. Le groupe aux commandes du ransomware Egregor vient de revendiquer l’opération, diffusant au passage une première archive de 90 Mo.</span></td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><span style="color: #333333;"><strong>TOP EXPLOIT</strong></span></td>
<td style="width: 79.973%; height: 21px; border-color: #ffffff; text-align: left;"><a href="https://threatpost.com/gitpaste-12-worm-linux-servers-iot-devices/161016/"><span style="text-decoration: underline; color: #21a6a6;"><strong>LE VER GITPASTE-12 VISE LES SERVEURS LINUX ET DISPOSITIF IOT</strong></span></a></td>
</tr>
<tr style="height: 40px;">
<td style="width: 100%; border-color: #ffffff; height: 37px; text-align: left;" colspan="2">Des chercheurs en sécurité ont découvert un nouveau ver et botnet appelé Gitpaste-12, nommé ainsi en raison de son utilisation de GitHub et Pastebin pour héberger ses scripts malveillants et des 12 vulnérabilités connues qu&rsquo;il exploite pour compromettre les systèmes.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP LEAK</strong></td>
<td style="width: 79.973%; border-color: #ffffff; height: 21px; text-align: left;"><a href="https://threatpost.com/millions-hotel-guests-worldwide-data-leak/161044/"><span style="text-decoration: underline; color: #21a6a6;"><strong>IMPORTANTE FUITE DE DONNEES DANS LE MILIEU DE L&rsquo;HOTELERIE</strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="width: 100%; border-color: #ffffff; height: 35px; text-align: left;" colspan="2">Plusieurs plateformes de réservation d&rsquo;hôtel largement utilisée (dont Booking.com et Expedia) ont exposé 10 millions de fichiers relatifs aux clients de divers hôtels dans le monde. Pour cause : un bucket S3 d&rsquo;Amazon Web Services mal configuré. L&rsquo;incident a affecté 24,4 Go de données, exposant les voyageurs au vol d&rsquo;identité, à l’escroquerie et à la fraude à la carte de crédit, selon l&rsquo;équipe de sécurité de Website Planet, qui a découvert le bucket.</td>
</tr>
</tbody>
</table>
<table style="width: 100%; height: 212px;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 1.41643%; height: 89px; text-align: left; border: 0px solid #21a6a6;" colspan="2">
<h1><strong>Veille sur la cybercriminalité</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 1.41643%; height: 23px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://krebsonsecurity.com/2020/11/two-charged-in-sim-swapping-vishing-scams/"><span style="text-decoration: underline; color: #21a6a6;"><strong>DEUX AMERICAINS ACCUSES DE SIM SWAPPING ET VISHING SCAMS</strong></span></a></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 1.41643%; height: 23px; border-color: #ffffff; text-align: left;" colspan="2">Deux jeunes américains ont été accusés d&rsquo;usurpation d&rsquo;identité et de complot pour avoir prétendument volé des comptes de bitcoin et de réseaux sociaux en incitant par la ruse des employés de sociétés de téléphonie mobile à donner les justificatifs d&rsquo;identité nécessaires pour accéder à distance aux informations sur les comptes des clients et les modifier.</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 1.41643%; height: 23px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://www.lemondeinformatique.fr/actualites/lire-le-ransomware-newregret-chiffre-les-machines-virtuelles-windows-80938.html"><span style="text-decoration: underline;"><strong><span style="color: #21a6a6; text-decoration: underline;">LE RANCONGICIEL NEWREGRET S&rsquo;ATTAQUE AUX MACHINES VIRTUELLES WINDOWS</span></strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="height: 23px; width: 1.41643%; border-color: #ffffff; text-align: left;" colspan="2">Ce nouveau malware permet le chiffrement des disques virtuels qui ne sont habituellement pas chiffrés par les rançongiciels car trop volumineux. Pour ce faire, le malware utilise 3 fonctions de l’API Windows Virtual Storage afin de monter le disque et lancer le chiffrement des fichiers qu’il contient.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 1.41643%; height: 21px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://threatpost.com/ragnar-locker-ransomware-facebook-ads/161133/"><span style="text-decoration: underline; color: #21a6a6;"><strong>NOUVELLE TECHNIQUE DU RANSOMWARE RAGNAR LOCKER : PRESSION PAR CAMPAGNE DE PUBLICITE FACEBOOK</strong></span></a></td>
</tr>
<tr style="height: 40px;">
<td style="border-color: #ffffff; height: 10px; text-align: left; width: 1.41643%;" colspan="2">Le groupe Ragnar Locker a décidé d’intensifier la pression sur sa dernière victime en date, le conglomérat italien Campari, en publiant sur Facebook des publicités menaçant de rendre publiques les 2 To de données sensibles volées lors de l’attaque du 3 novembre, à moins qu&rsquo;une rançon de 15 millions de dollars ne soit versée en Bitcoin.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 1.41643%; height: 21px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://www.zdnet.fr/actualites/microsoft-les-fabricants-de-vaccins-sont-vises-par-des-pirates-informatiques-39912965.htm"><span style="text-decoration: underline; color: #21a6a6;"><strong>UNE VAGUE D&rsquo;ATTAQUE DE TYPE RANSOMWARE CIBLANT L&rsquo;INDUSTRIE PHARMACEUTIQUE ET HOPITAUX</strong></span></a></td>
</tr>
<tr style="height: 40px;">
<td style="border-color: #ffffff; height: 10px; text-align: left; width: 1.41643%;" colspan="2">Microsoft affirme avoir détecté trois opérations de piratage informatique soutenues par des Etats (également désignées par le terme d&rsquo;APT ayant lancé des cyberattaques contre au moins sept sociétés impliquées dans la recherche et l’élaboration des vaccins COVID-19. Ces attaques s&rsquo;inscrivent dans une longue série d&rsquo;incidents qui ont visé des organismes de santé au cours de ces derniers mois. Pendant la crise sanitaire, les groupes de cybercriminels ont profité de la crise mondiale pour accroître leur activité, ciblant parfois les organisations qui étaient censées contribuer à la lutte contre cette pandémie comme le dénonce ce bulletin d’alerte publié conjointement par le FBI, le CISA et le HHS. Pour le consulter cliquer <a style="font-family: inherit; font-size: inherit;" href="https://us-cert.cisa.gov/sites/default/files/publications/AA20-302A_Ransomware%20_Activity_Targeting_the_Healthcare_and_Public_Health_Sector.pdf">ici</a><span style="font-family: inherit; font-size: inherit;">.</span></td>
</tr>
</tbody>
</table>
<table style="width: 100%;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 89px; text-align: left; border: 0px solid #21a6a6;" colspan="2">
<h1><strong>Veille sur les vulnérabilités</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-17051"><strong>CVE-2020-17051</strong></a></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><span style="text-decoration: underline; color: #21a6a6;"><strong>VULNÉRABILITÉ D&rsquo;EXECUTION DE CODE A DISTANCE DANS LE SYSTEME DE GESTION DE FICHIERS EN RESEAU DE WINDOWS</strong></span></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 23px; border-color: #ffffff; text-align: left;" colspan="2"><strong>CVSS score : 9.8 CRITICAL</strong></p>
<p>Une vulnérabilité critique dans le serveur Windows NFSv3 (Network File System). Elle peut être reproduite pour provoquer un BSOD (Blue Screen of Death) immédiat dans le nfssvr.sys driver.</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-17087"><strong>CVE-2020-17087</strong></a></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><span style="color: #21a6a6;"><b><u>VULNÉRABILITÉ D&rsquo;ELEVATION DE PRIVILEGES AU NIVEAU LOCAL DU NOYAU WINDOWS</u></b></span></td>
</tr>
<tr style="height: 60px;">
<td style="height: 23px; width: 100%; border-color: #ffffff; text-align: left;" colspan="2"><strong>CVSS score : 7.8 HIGH</strong></p>
<p>Cette élévation de privilèges permet a un attaquant ayant déjà compromis un premier compte non privilégié, d’obtenir les privilèges administrateur.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-3556"><strong>CVE-2020-3556</strong></a></td>
<td style="width: 79.973%; height: 21px; border-color: #ffffff; text-align: left;"><span style="text-decoration: underline; color: #21a6a6;"><strong>CISCO ANYCONNECT VPN ZERO-DAY</strong></span></td>
</tr>
<tr style="height: 40px;">
<td style="width: 100%; border-color: #ffffff; height: 119px; text-align: left;" colspan="2"><strong>CVSS score : 7.3 HIGH</strong></p>
<p>Une vulnérabilité dans l’interprocess communication canal (IPC) du Cisco AnyConnect Secure Mobility Client Software pourrait permettre à un attaquant local authentifié d&rsquo;amener un utilisateur AnyConnect ciblé à exécuter un script malveillant.</td>
</tr>
</tbody>
</table>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/12/cert-w-newsletter-novembre-2020/">CERT-W Newsletter Novembre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>CERT-W Newsletter Octobre 2020</title>
		<link>https://www.riskinsight-wavestone.com/2020/11/cert-w-newsletter-octobre-2020/</link>
		
		<dc:creator><![CDATA[CERT-W]]></dc:creator>
		<pubDate>Thu, 12 Nov 2020 08:00:57 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[cyberciminalité]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicateurs]]></category>
		<category><![CDATA[Newsletter]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=14528</guid>

					<description><![CDATA[<p>Indicateurs du mois TOP ATTACK SOPRA STERIA TOUCHÉ PAR UNE NOUVELLE VERSION DU RANSOMWARE RYUK Le géant français de l&#8217;informatique Sopra Steria a été frappé par une cyber-attaque qui a perturbé les activités de l&#8217;entreprise. Le virus a été identifié,...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/11/cert-w-newsletter-octobre-2020/">CERT-W Newsletter Octobre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><img loading="lazy" decoding="async" class="alignnone size-full wp-image-14582" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/11/Image-1-4.png" alt="" width="1263" height="395" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/11/Image-1-4.png 1263w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/11/Image-1-4-437x137.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/11/Image-1-4-71x22.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/11/Image-1-4-768x240.png 768w" sizes="auto, (max-width: 1263px) 100vw, 1263px" /></p>
<table style="width: 0%; height: 294px;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 20.027%; height: 89px; border: 0px solid #21a6a6; text-align: left;" colspan="2">
<h1><strong>Indicateurs du mois</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 48px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP ATTACK</strong></td>
<td style="width: 79.973%; height: 48px; border-color: #ffffff; text-align: left;"><a href="https://www.usine-digitale.fr/article/le-specialiste-de-la-transformation-digitale-sopra-steria-est-touche-par-une-cyberattaque.N1019354"><span style="text-decoration: underline; color: #21a6a6;"><strong>SOPRA STERIA TOUCHÉ PAR UNE NOUVELLE VERSION DU RANSOMWARE RYUK</strong></span></a></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 10px; border-color: #ffffff; text-align: left;" colspan="2">Le géant français de l&rsquo;informatique Sopra Steria a été frappé par une <strong>cyber-attaque qui a perturbé les activités de l&rsquo;entreprise</strong>. Le virus a été identifié, il s&rsquo;agit d&rsquo;une nouvelle version du <strong>ransomware Ryuk</strong>, jusqu&rsquo;alors inconnu des fournisseurs de logiciels antivirus et des agences de sécurité. Heureusement, selon Guillaume POUPARD, directeur général de l&rsquo;ANSSI, <strong>l&rsquo;attaque a été déjouée.</strong></td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP RANSOM</strong></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><a href="https://www.usine-digitale.fr/article/le-geant-allemand-du-logiciel-software-ag-attaque-par-le-ransomware-clop.N1015894"><span style="text-decoration: underline;"><strong><span style="color: #21a6a6; text-decoration: underline;">DES DONNÉES DE SOFTWARE AG PUBLIÉES SUITE A L&rsquo;ATTAQUE DU RANSOMWARE CLOP</span></strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="height: 10px; width: 100%; border-color: #ffffff; text-align: left;" colspan="2">Le groupe <strong>Clop</strong> a attaqué Software AG, un conglomérat allemand présent dans plus de <strong>70 pays</strong>, en menaçant de se débarrasser des données volées si la <strong>rançon colossale de 23 millions</strong> de dollars n&rsquo;était pas payée.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><span style="color: #333333;"><strong>TOP EXPLOIT</strong></span></td>
<td style="width: 79.973%; height: 21px; border-color: #ffffff; text-align: left;"><a href="https://www.lemondeinformatique.fr/actualites/lire-apple-verse-288-000$-a-des-white-hackers-pour-55-failles-decouvertes-80651.html"><span style="text-decoration: underline; color: #21a6a6;"><strong>UN VER DANS APPLE ICLOUD PERMET LE VOL AUTOMATIQUE DE PHOTOS</strong></span></a></td>
</tr>
<tr style="height: 40px;">
<td style="width: 100%; border-color: #ffffff; height: 37px; text-align: left;" colspan="2">Un groupe de white hackers a été payé <strong>300 000 dollars</strong> par Apple pour avoir découvert <strong>55 vulnérabilités</strong>. Dans la longue liste des exploitations de ces vulnérabilités on peut retrouver : la récupération de données ICloud via du Cross-Site Scripting ou encore mener des attaques de Command Injection. Vous trouverez <a href="https://samcurry.net/hacking-apple/#vuln3">ici</a> le lien vers le blog d’un des chercheurs, il y explique leur démarche et leurs découvertes de manière détaillée.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><strong>TOP LEAK</strong></td>
<td style="width: 79.973%; border-color: #ffffff; height: 21px; text-align: left;"><a href="https://www.larevuedudigital.com/des-patients-dun-centre-de-psychotherapie-en-finlande-victimes-de-chantage-a-la-suite-du-vol-de-leurs-donnees-personnelles/"><span style="text-decoration: underline; color: #21a6a6;"><strong>BRÈCHE DE VASTAAMO : DES HACKERS FONT DU CHANTAGE AUX PATIENTS EN PSYCHOTHÉRAPIE</strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="width: 100%; border-color: #ffffff; height: 35px; text-align: left;" colspan="2">Les cybercriminels ont piraté les systèmes du géant de la psychothérapie <strong>Vastaamo</strong>, et s&rsquo;adressent maintenant aux patients en thérapie, menaçant de vider les dossiers de leurs patients s&rsquo;ils ne payent pas de rançon. Ils auraient déjà publié les coordonnées de <strong>300 patients de Vastaamo.</strong></td>
</tr>
</tbody>
</table>
<table style="width: 100%; height: 212px;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 0.947867%; height: 89px; text-align: left; border: 0px solid #21a6a6;" colspan="2">
<h1><strong>Veille sur la cybercriminalité</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 0.947867%; height: 23px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://zephyrnet.com/fr/ofac-a-annonc%C3%A9-des-sanctions-contre-un-institut-du-gouvernement-russe-connect%C3%A9-au-malware-triton/"><span style="text-decoration: underline; color: #21a6a6;"><strong>LE TRÉSOR AMÉRICAIN SANCTIONNE UNE INSTITUTION RUSSE LIÉE AU LOGICIEL MALVEILLANT TRITON</strong></span></a></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 0.947867%; height: 23px; border-color: #ffffff; text-align: left;" colspan="2">Triton, également connu sous les noms de TRISIS et HatMan, a été développé pour cibler et <strong>manipuler les systèmes de contrôle industriel</strong>, rapporte le Trésor américain. L&rsquo;Office of Foreign Assets Control du département américain du Trésor a sanctionné une institution de recherche du gouvernement russe liée au malware Triton.</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 0.947867%; height: 23px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://www.usine-digitale.fr/article/macronleaks-notpetya-six-espions-russes-mis-en-examen-aux-etats-unis-pour-une-serie-de-cyberattaques.N1018639"><span style="text-decoration: underline;"><strong><span style="color: #21a6a6; text-decoration: underline;">LE DOJ DES ÉTATS-UNIS CONDAMNE 6 MEMBRES DU SANDWORM APT DANS LA CYBERATTAQUE NOTPETYA</span></strong></span></a></td>
</tr>
<tr style="height: 60px;">
<td style="height: 23px; width: 0.947867%; border-color: #ffffff; text-align: left;" colspan="2">Le ministère de la Justice (DOJ) a annoncé des accusations contre <strong>six ressortissants russes</strong> qui seraient liés à l&rsquo;APT Sandworm. Le groupe de menace aurait lancé plusieurs cyber-attaques très médiatisées au cours des dernières années, notamment la cyber-attaque destructrice NotPetya qui <a href="https://threatpost.com/notpetya-linked-to-industroyer-attack-on-ukraine-energy-grid/138287/">a visé des centaines d&rsquo;entreprises et d&rsquo;hôpitaux dans le monde entier en 2017.</a></td>
</tr>
<tr style="height: 48px;">
<td style="width: 0.947867%; height: 21px; border: 4px solid #21a6a6; text-align: left;" colspan="2"><a href="https://www.cybersecurity-help.cz/blog/1659.html"><span style="text-decoration: underline; color: #21a6a6;"><strong>LE GANG RYUK UTILISE LE BUG ZEROLOGON POUR UNE ATTAQUE RANSOMWARE FULGURANTE</strong></span></a></td>
</tr>
<tr style="height: 40px;">
<td style="width: 0.947867%; border-color: #ffffff; height: 10px; text-align: left;" colspan="2">Le gang derrière le ransomware Ryuk a ajouté un nouvel outil à son arsenal, qui lui a permis de <strong>réduire à 2 heures le temps nécessaire pour crypter entièrement le système cible</strong>. Pour plus d&rsquo;informations concernant les exploits de la vulnérabilité de Zerologon, cliquez <a href="https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/">ici</a>.</td>
</tr>
</tbody>
</table>
<table style="width: 100%;">
<tbody>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 89px; text-align: left; border: 0px solid #21a6a6;" colspan="2">
<h1><strong>Veille sur les vulnérabilités</strong></h1>
</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-5135"><strong>CVE-2020-5135</strong></a></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><span style="text-decoration: underline; color: #21a6a6;"><strong>UNE VULNÉRABILITÉ CRITIQUE PERMET AUX PIRATES DE PERTURBER LES PARE-FEUX DE SONICWALL</strong></span></td>
</tr>
<tr style="border-color: #ffffff;">
<td style="width: 100%; height: 23px; border-color: #ffffff; text-align: left;" colspan="2"><strong>CVSS score : 9.8 CRITICAL</strong></p>
<p>Une vulnérabilité critique a été découverte dans SonicOS, système d’exploitation embarqué dans les produits SonicWall. Elle peut permettre à un attaquant de provoquer un déni de service et potentiellement une exécution de code arbitraire.</td>
</tr>
<tr style="border-color: #ffffff; height: 48px;">
<td style="width: 20.027%; height: 23px; border: 4px solid #21a6a6; text-align: center;"><a href="https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-16898"><strong>CVE-2020-16898</strong></a></td>
<td style="width: 79.973%; height: 23px; border-color: #ffffff; text-align: left;"><span style="color: #21a6a6;"><b><u>VULNÉRABILITÉ D&rsquo;EXÉCUTION DE CODE À DISTANCE DE WINDOWS TCP/IP</u></b></span></td>
</tr>
<tr style="height: 60px;">
<td style="height: 23px; width: 100%; border-color: #ffffff; text-align: left;" colspan="2"><strong>CVSS score : 8.8 HIGH</strong></p>
<p>Il existe une vulnérabilité d’exécution de code à distance quand la pile TCP/IP de Windows traite de manière incorrecte les paquets de publication de routeur ICMPv6. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code sur le client ou le serveur cible.</td>
</tr>
<tr style="height: 48px;">
<td style="width: 20.027%; height: 21px; border: 4px solid #21a6a6; text-align: center;"><a href="https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-16947"><strong>CVE-2020-16947</strong></a></td>
<td style="width: 79.973%; height: 21px; border-color: #ffffff; text-align: left;"><span style="text-decoration: underline; color: #21a6a6;"><strong>VULNÉRABILITÉ D&rsquo;EXÉCUTION DE CODE <span style="color: #21a6a6;"><b><u>À</u></b></span> DISTANCE DE MICROSOFT OUTLOOK</strong></span></td>
</tr>
<tr style="height: 40px;">
<td style="width: 100%; border-color: #ffffff; height: 119px; text-align: left;" colspan="2"><strong>CVSS score : 8.8 HIGH</strong></p>
<p>Il existe une vulnérabilité d’exécution de code à distance dans le logiciel Microsoft Outlook quand celui-ci ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur système. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes.</td>
</tr>
</tbody>
</table>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/11/cert-w-newsletter-octobre-2020/">CERT-W Newsletter Octobre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Banking Innovation Awards : ils construisent ensemble la banque du futur ! </title>
		<link>https://www.riskinsight-wavestone.com/2020/10/banking-innovation-awards-ils-construisent-ensemble-la-banque-du-futur/</link>
		
		<dc:creator><![CDATA[Alfred Briand]]></dc:creator>
		<pubDate>Mon, 12 Oct 2020 07:00:44 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Banque]]></category>
		<category><![CDATA[BIA]]></category>
		<category><![CDATA[données]]></category>
		<category><![CDATA[Innovation]]></category>
		<category><![CDATA[Intelligence Artificielle]]></category>
		<category><![CDATA[startups]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=14342</guid>

					<description><![CDATA[<p>12Plus de 60 start-ups et PME ont participé à la quatrième édition des « Banking Innovation Awards » (BIA), anciennement «&#160;Banking CyberSecurity Innovation Awards&#160;» (BCSIA). Cybersécurité, intelligence artificielle et data sont les maîtres mots de ce concours de startups organisé...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/10/banking-innovation-awards-ils-construisent-ensemble-la-banque-du-futur/">Banking Innovation Awards : ils construisent ensemble la banque du futur ! </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>12Plus de 60 start-ups et PME ont participé à la quatrième édition des « </em><a href="https://banking-innovation-awards.com/"><em>Banking Innovation Awards</em></a><em> » (BIA), anciennement «&nbsp;Banking CyberSecurity Innovation Awards&nbsp;» (BCSIA). Cybersécurité, intelligence artificielle et data sont les maîtres mots de ce concours de startups organisé chaque année de façon collaborative par Wavestone et la Société Générale. Le 6 octobre 2020, la cérémonie de remise de prix a permis à un jury d’envergure, de récompenser 4 startups parmi les 8 finalistes du concours. Les 4 startups gagnantes auront désormais l’opportunité d’intégrer Shake’Up, le programme d’accélérateur de startups de Wavestone, et de tester leur solution au sein de la Société Générale. </em></p>
<p><em>Pour plus d’informations, retrouvez la </em><a href="https://www.youtube.com/watch?v=_EJPAA1v7fU&amp;feature=youtu.be"><em>vidéo</em></a><em> de présentation du concours.</em></p>
<p>&nbsp;</p>
<h2>Pour la quatrième édition du concours, la data et l&rsquo;IA viennent s&rsquo;ajouter à la cybersécurité !</h2>
<p>Alors que les précédentes éditions du concours récompensaient uniquement des startups spécialisées dans le domaine de la cybersécurité, l’édition 2020 a élargi son spectre pour accueillir de nouveaux sujets, que sont l’intelligence artificielle et la data, qui demeurent des composantes clés au sein de l’écosystème cyber.</p>
<p>L’ensemble des sociétés participantes, d’origine française ou européenne, ont su partager toute la richesse de leurs diverses expertises. On peut ainsi dresser le top 5 des sujets traités par les participants cette année&nbsp;:</p>
<ul>
<li>Lutte contre la fraude</li>
<li>Protection de l’identité numérique</li>
<li>Développement de l’intelligence artificielle pour les affaires</li>
<li>Protection de l’intégrité des données</li>
<li>Détection des incidents et vulnérabilités</li>
</ul>
<p>&nbsp;</p>
<h2>Un jury d’envergure, des analyses et des messages forts&nbsp;!</h2>
<p>Cette cérémonie avait bien évidemment pour but de récompenser les grands gagnants de l’édition 2020, mais pas seulement. C’était également l’opportunité, pour l’ensemble des membres du jury et des personnalités présentes, de partager leurs analyses quant à l’écosystème startups actuel.</p>
<p>Cette année, le jury était composé de Claire Calmejane <em>(Directrice de l’Innovation du Groupe – Société Générale)</em>, Christophe Leblanc <em>(Directeur des Ressources et de la Transformation Numérique du Groupe – Société Générale)</em>, Pascal Imbert <em>(Président Directeur Général – Wavestone)</em>, Reza Maghsoudnia <em>(Directeur Développement Stratégique – Wavestone)</em>, Guillaume Poupard <em>(Directeur Général – ANSSI)</em>, Jamal Attif <em>(Professeur à Dauphine-PSL, responsable de l’équipe MILES)</em> et d’un collège d’experts <em>(Thierry Olivier, Christina Poirson, Julien Molez, Gérôme Billois, Ghislain de Pierrefeu et Severine Hassler).</em></p>
<p>&nbsp;</p>
<h3>Enseignements et perspectives de la crise</h3>
<p>Bien que cette crise sanitaire ne soit pas encore terminée, elle paraît en tout cas un peu mieux maîtrisée qu’en mars, quand cette maladie nous était encore inconnue. À ce sujet, Pascal Imbert et Christophe Leblanc ont apporté leur analyse de cette crise et de ses impacts.</p>
<p>Selon eux, cette crise a été à la fois révélatrice des fragilités propres à chaque entreprise et des modèles économiques actuels, mais aussi accélératrice de tendance, avec une place plus importante encore prise par le numérique ces derniers mois. Ces éléments rendent les transformations plus profondes et plus rapides. Cela n’est pas sans conséquence pour les entreprises, qui voient leurs transformations s’accélérer, avec la nécessité d’intégrer de nouveaux facteurs, tel qu’un meilleur équilibre entre efficacité et résilience. Tout cela, avec une place majeure de la technologie, qui représente un défi économique, technologique et de souveraineté. L’environnement startups, mis à l’honneur avec ce concours, est, selon Pascal Imbert, un des élément clé devant nous permettre de reprendre la main sur la technologie et ses usages.</p>
<p>Cette crise est donc à la fois un facteur de transformation digitale et stratégique, dont la data et la cybersécurité font partie intégrante, un facteur d’agilité, avec l’accélération du télétravail et l’adaptation des règles de sécurité informatique qui a été nécessaire et un facteur de «&nbsp;stress-test&nbsp;», pour nos modèles économiques et technologiques.</p>
<p>&nbsp;</p>
<h3>L’intelligence artificielle et la data au service de la crise</h3>
<p>Jamal Attif nous l’a tous rappelé d’emblée&nbsp;: «&nbsp;la valeur est dans la donnée&nbsp;». Cependant, selon lui, l’IA telle qu’on la connait aujourd’hui, n’est pas en mesure de résoudre cette crise. Elle peut aider à la combattre, en utilisant par exemple des algorithmes de fouille de données bibliographiques permettant de comprendre les effets de certains médicaments. Elle peut aussi accélérer et améliorer les diagnostics dans le milieu médical, via la reconnaissance d’images, mais elle ne peut pas prédire ce qui n’a jamais été observé auparavant, telle que cette épidémie, qui s’est développée très rapidement.</p>
<p>L’écosystème des startups a aujourd’hui un vrai impact dans nos modèles économique, mais il paraît important selon lui, pour faire de l’innovation de rupture permettant de répondre à des problématiques d’une telle envergure, de combiner toutes les forces en présence, que ce soient celles du monde de la recherche, des grands groupes ou des startups.</p>
<p>&nbsp;</p>
<h3>Cybersécurité&nbsp;: évolution de la menace et innovations</h3>
<p>Guillaume Poupard constate deux points majeurs concernant le numérique et la cybersécurité aujourd’hui.</p>
<p>Tout d’abord, il soulève le côté positif de la transformation numérique, qui a permis de surmonter le défaut d’activité pendant cette période particulière. Cependant, il faut selon lui rester prudent, notamment face à la croissance particulièrement inquiétante de la cybercriminalité qui cible désormais de grandes entreprises, avec des cas très graves qui se multiplient (50 ransomwares en 2019, contre déjà 130 en 2020, et ce n’est pas terminé). La question de la lutte contre la cybercriminalité est donc un sujet d’importance majeure, d’où l’utilité de refaire des analyses de risques et des audits des systèmes d’information, afin de déceler les éventuels manquements à la cybersécurité durant ces quelques mois. Tout comme Jamal Attif, il rappelle l’importance que des acteurs publics et privés de toutes tailles, avec des motivations différentes, puissent travailler ensemble, afin de renforcer nos défenses en matière de cybersécurité. Il faut selon lui mettre en avant ceux qui innovent, et c’est d’ailleurs l’un des objectifs du campus cyber, qui devrait voir le jour dans les prochaines années, en région parisienne.</p>
<p>L’autre point, c’est de continuer à élever ces sujets au niveau de l’Union Européenne, et même au-delà, en mettant en place des réseaux pour que l’ensemble des parties prenantes puissent travailler ensemble. C’est notamment l’objectif du lancement, par les états membres de l’Union Européenne, du Cyber Crisis Liaison Organisation Network (CyCLONe).</p>
<p>&nbsp;</p>
<h3>Zoom sur l’écosystème innovation et startups</h3>
<p>Reza Maghsoudnia partage l’essence même de l’écosystème startups, qui est de savoir sortir des sentiers battus, de challenger les acteurs établis, et d’innover pour donner plus de valeur aux diverses transformations que nous vivons. La crise augmente encore le besoin d’innovation, d’où l’importance pour Wavestone, de continuer à identifier ces gisements d’innovation, de les soutenir et de les accompagner.</p>
<p>À ce sujet, Wavestone a créé en 2015 un accélérateur de startups (<a href="https://www.wavestone.com/fr/offre/shakeup/">Shake’Up</a>), permettant d’être en permanence en interaction avec plusieurs centaines d’acteurs innovants sur le marché et d’identifier des pépites, afin de les accompagner. À ce jour, plus de 40 startups ont été accompagnées, dont de véritables success stories telles qu’Alsid et Citalid, dans le domaine de la cybersécurité. En ce qui concerne l’écosystème startups Cybersécurité françaises, nous vous proposons d’ailleurs de lire l’<a href="https://www.riskinsight-wavestone.com/2020/10/radar-2020-des-startups-cybersecurite-francaises-notre-analyse-1-2/">analyse de nos experts</a>, suite au radar des startups réalisé par Wavestone.</p>
<p>&nbsp;</p>
<h2>61 startups participantes, 8 startups retenues et 4 startups récompensées</h2>
<h3>Isahit, Prix Spécial – Data for good &amp; Ethics</h3>
<p>Fondée en 2016, la « Tech for Good » française Isahit propose aux entreprises une plateforme digitale d’impact sourcing, pour le traitement de tâches digitales ne pouvant être prise en charge par une intelligence artificielle.</p>
<p>Retrouvez la <a href="https://www.youtube.com/watch?v=YO-QHYRWXRk&amp;feature=youtu.be">vidéo</a> de présentation de la startup Isahit.</p>
<p>&nbsp;</p>
<h3>CryptoNext, Prix Spécial – Cybersécurité Made in France</h3>
<p>Fondée en 2019, CryptoNext a développé une technologie de chiffrement permettant de rendre les données résistantes à la puissance de l’informatique quantique. Son logiciel a vocation à être implémenté dans les offres des grands acteurs de la sécurité informatique.</p>
<p>Retrouvez la <a href="https://www.youtube.com/watch?v=bOUNolFAV4E&amp;feature=youtu.be">vidéo</a> de présentation de la startup CryptoNext.</p>
<p>&nbsp;</p>
<h3>Inqom, Grand Prix Data &amp; IA</h3>
<p>Fondée en 2015, Inqom a construit un logiciel SaaS d’automatisation la production comptable, permettant de générer le bilan en temps réel. Grâce à l’intelligence artificielle, la solution traite et enrichit les données comptables afin de créer une comptabilité centralisée, uniformisée et intelligente.</p>
<p>Retrouvez la <a href="https://www.youtube.com/watch?v=8q6K4q414X4&amp;feature=youtu.be">vidéo</a> de présentation de la startup Inqom.</p>
<p>&nbsp;</p>
<h3>Hackuity, Grand Prix Cybersécurité</h3>
<p>Fondée en 2018, Hackuity propose une plateforme repensant la manière dont les vulnérabilités informatiques sont gérées dans les entreprises en collectant, normalisant et orchestrant toutes les pratiques d&rsquo;évaluation de la sécurité, automatisées ou manuelles.</p>
<p>Retrouvez la <a href="https://www.youtube.com/watch?v=hGvYQ9ZXK0Q&amp;feature=youtu.be">vidéo</a> de présentation de la startup Hackuity.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/10/banking-innovation-awards-ils-construisent-ensemble-la-banque-du-futur/">Banking Innovation Awards : ils construisent ensemble la banque du futur ! </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Revue de l&#8217;actualité par le CERT-W &#8211; Septembre 2020</title>
		<link>https://www.riskinsight-wavestone.com/2020/10/revue-de-lactualite-par-le-cert-w-septembre-2020/</link>
		
		<dc:creator><![CDATA[CERT-W]]></dc:creator>
		<pubDate>Fri, 09 Oct 2020 07:43:13 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicateurs]]></category>
		<category><![CDATA[Newsletter]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=14347</guid>

					<description><![CDATA[<p>Les indicateurs du mois Top attack &#8211; La compagnie française d&#8217;affraitement CMA CGM frappée par une attaque ransomware Le transporteur français CMA CGM annonce avoir été touché par une attaque de type ransomware, qui a désactivé son système de réservation...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/10/revue-de-lactualite-par-le-cert-w-septembre-2020/">Revue de l&rsquo;actualité par le CERT-W &#8211; Septembre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><img decoding="async" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1.png" /></p>
<h2>Les indicateurs du mois</h2>
<h3>Top attack &#8211; <a href="https://www.globalsecuritymag.fr/CMA-CGM-cyber-attaque-par-le-gang,20200928,103208.html">La compagnie française d&rsquo;affraitement CMA CGM frappée par une attaque ransomware</a></h3>
<p>Le transporteur français CMA CGM annonce avoir été touché par une attaque de type ransomware, qui a <strong>désactivé son système de réservation</strong> et affecté un certain nombre de ses <strong>bureaux chinois</strong>. Le groupe de cybercriminels <strong>RagnarLocker</strong> leur aurait demandé de les contacter dans les deux jours « via un chat en direct et de payer la clé de déchiffrement ». CMA CGM avait interrompu, par mesure de précaution, les accès externes à son réseau et à ses applications informatiques afin d’éviter la propagation du logiciel malveillant. Les opérations maritimes et portuaires, quant à elles, se sont poursuivies.</p>
<h3>Top exploit &#8211; <a href="https://www.zdnet.fr/actualites/zerologon-microsoft-signale-des-attaques-39910177.htm">Zerologon: Microsoft signale des attaques</a></h3>
<p>Microsoft annonce avoir détecté des attaques exploitant la faille <em>Zerologon</em>. Plusieurs <em>Proof of Concept</em> ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d&rsquo;août. La faille <em>Zerologon</em>, évaluée à une <strong>criticité de 10 sur 10</strong> par le CVSS, permet de compromettre les contrôleurs de domaines Windows des entreprises comme Active Directory.</p>
<h3>Top leak &#8211; <a href="https://www.moyens.net/securite/microsoft-bing-subit-une-enorme-fuite-de-donnees-utilisateur/">Microsoft Bing subit une énorme fuite de 6.5TB de données utilisateur</a></h3>
<p>La société WizCase a découvert un serveur non sécurisé contenant une v<strong>aste base de données de journaux de recherches effectuées via l’application officielle Bing</strong>. Ce serveur contenait 6,5 To de données, en hausse de 200 Go chaque jour, et était protégé par mot de passe dans le passé, mais ce dernier fut retiré durant la première semaine de septembre, laissant la possibilité à des pirates d’effectuer plusieurs attaques de type Meow.</p>
<p>&nbsp;</p>
<h2>Veille sur la cybercriminalité</h2>
<h3><a href="https://securityaffairs.co/wordpress/108357/malware/cisa-web-shells-iranian-hackers.html?utm_source=feedly&amp;utm_medium=rss&amp;utm_campaign=cisa-web-shells-iranian-hackers">Un rapport du CISA américain dévoile des détails sur les webshells utilisés par les pirates iraniens</a></h3>
<p>L’Agence de Cybersécurité et Sécurité des Infrastructures américaine (CISA) a publié un MAR (<em>Malware Analysis Report</em>) divulguant des détails techniques sur les <em>webshells</em> utilisés par des cybercriminels iraniens. Selon ce rapport, ces pirates, d’un groupe APT encore non nommé, attaquent, à l’aide de plusieurs webshells connus, des <strong>entreprises gouvernementales, financières, d’assurance, d’IT et du domaine médical</strong> à travers les Etats Unis. Parmi ces malwares, on peut retrouver le <strong>ChunkyTuna, Tiny, et China Chopper.</strong></p>
<h3><a href="https://www.fr24news.com/fr/a/2020/09/deux-russes-accuses-dans-une-vague-de-phishing-de-crypto-monnaie-de-17-millions-de-dollars-krebs-on-security.html">Deux russes inculpés pour avoir dérobé 17 millions de dollars par attaque de phishing</a></h3>
<p>Les autorités américaines ont annoncé des accusations criminelles et des sanctions financières contre deux hommes russes <strong>accusés d’avoir volé près de 17 millions de dollars de devises virtuelles</strong> lors d’une série d’attaques de phishing en 2017 et 2018 qui ont usurpé des sites Web pour certains des échanges de crypto-monnaie les plus populaires.</p>
<h3><a href="https://techsecuritenews.com/failles-google-chrome-ouvrent-porte-attaques/">Des failles de Google Chrome ouvrent la porte aux attaques</a></h3>
<p>La version 85.0.4183.121 de Google Chrome sur Windows, Mac et Linux corrige <strong>10 vulnérabilités</strong>. Selon Google, on retrouve parmi les exploitations les plus graves, le fait qu’<strong>un attaquant pourrait exécuter du code arbitraire</strong> dans le contexte du navigateur. Les versions de Google Chrome antérieures à 85.0.4183.121 sont concernées par ces failles de sécurité.</p>
<p>&nbsp;</p>
<h2>Veille sur les vulnérabilités</h2>
<h3><a href="https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-020/">CVE &#8211; 2020 &#8211; 1472 &#8211; Vulnérabilté dans Microsoft Netlogon</a></h3>
<p><strong>Score CVSS : 10.0 CRITICAL</strong></p>
<p>L&rsquo;exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l&rsquo;accès à l&rsquo;ensemble des ressources gérées par les domaines Active Directory.</p>
<h3><a href="https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0922">CVE &#8211; 2020 &#8211; 0922 &#8211; Vulnérabilité d’exécution de code a distance dans Microsoft COM pour Windows</a></h3>
<p><strong>Score CVSS : 8.8 HIGH</strong></p>
<p>Il existe une vulnérabilité permettant l’exécution de code à distance quant à la manière dont Microsoft COM pour Windows traite les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur un système cible.</p>
<p>* Component Object Model (COM) est une technique de composants logiciels développée par <a href="https://fr.wikipedia.org/wiki/Microsoft">Microsoft</a> et <a href="https://fr.wikipedia.org/wiki/Digital_Equipment_Corporation">DEC</a>, Utilisée pour mettre en œuvre <a href="https://fr.wikipedia.org/wiki/Object_Linking_and_Embedding">OLE</a> et <a href="https://fr.wikipedia.org/wiki/ActiveX">ActiveX</a>, COM est dépassé depuis 2009 par le <a href="https://fr.wikipedia.org/wiki/Framework_.NET">Framework .NET</a> de Microsoft.</p>
<h3><a href="https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-1380">CVE &#8211; 2020 &#8211; 1380 &#8211; Vulnérabilité d’altération de mémoire dans le moteur de script</a></h3>
<p><strong>Score CVSS : 7.5 HIGH</strong></p>
<p>Il existe une vulnérabilité permettant l’exécution de code à distance quant à la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait altérer la mémoire et permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/10/revue-de-lactualite-par-le-cert-w-septembre-2020/">Revue de l&rsquo;actualité par le CERT-W &#8211; Septembre 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation !</title>
		<link>https://www.riskinsight-wavestone.com/2020/06/creer-une-relation-de-confiance-avec-son-comite-executif-premiere-etape-la-sensibilisation/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Mon, 08 Jun 2020 11:00:06 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[COMEX]]></category>
		<category><![CDATA[How-to]]></category>
		<category><![CDATA[maturité]]></category>
		<category><![CDATA[sensibilisation]]></category>
		<category><![CDATA[stratégie]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=13165</guid>

					<description><![CDATA[<p>Le sujet de la cybersécurité requiert une implication à tous les niveaux de l’entreprise, mais aussi et surtout avec le comité exécutif ! Evidemment le management doit montrer l’exemple mais c’est aussi ce comité qui va décider des investissements majeurs...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/06/creer-une-relation-de-confiance-avec-son-comite-executif-premiere-etape-la-sensibilisation/">Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p style="text-align: justify;">Le sujet de la cybersécurité requiert une implication à tous les niveaux de l’entreprise, mais aussi et surtout avec le comité exécutif ! Evidemment le management doit montrer l’exemple mais c’est aussi ce comité qui va décider des investissements majeurs et qui saura déverrouiller les situations les plus complexes dans l’entreprise. C’est donc un enjeu clé pour tous les responsables cybersécurité que de créer une relation de confiance pérenne avec son COMEX ! Mais c’est aussi un exercice à haut risque, qui nécessite une approche graduée et de la constance dans les engagements.</p>
<p style="text-align: justify;">Après avoir réalisé plusieurs dizaines d’interventions auprès de comité exécutif, de comités d’audit ou de conseil d’administration, je souhaitais partager avec vous les étapes essentielles pour faire progresser la relation dans la durée. La première phase de ce voyage devra permettre de créer un premier contact et à sensibiliser le comité exécutif aux enjeux de cybersécurité. Première étape, la sensibilisation ! L’objectif pour ces séances est souvent d’arriver à attirer l’attention pour pouvoir déclencher une réflexion plus approfondie dans l’organisation. Nous verrons plus tard les étapes suivantes : présenter un bilan, obtenir un budget, suivre la progression du niveau de sécurité…</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Un pré-requis essentiel, savoir d’où l’on part et avec qui l&rsquo;on va échanger !</h2>
<p style="text-align: justify;">Cela peut apparaitre comme un poncif, mais cet élément est certainement le plus important avant d’aller rencontrer un comité exécutif ou un conseil d’administration. Grâce à sa large couverture médiatique, le sujet de la cybersécurité est souvent déjà présent dans l’esprit des exécutifs. Mais leur degré de connaissance du numérique et leur niveau d’appétence pour le sujet peuvent changer complètement la manière d’aborder le sujet. Faudra-t-il être très didactique (en allant jusqu’à réexpliquer le principe de données, d’applications, si si) ou alors faudra-t-il tout de suite aborder des points complexes comme les dernières attaques observées et leurs méthodologies ? Vous seriez surpris de voir la diversité des niveaux entre les entreprises, mais aussi au sein d’un même COMEX. Et il est nécessaire d’intéresser chacun des acteurs, au prix d’avoir des commentaires peu amènes pendant l’intervention.</p>
<p style="text-align: justify;">Il s’agit donc de bien préparer cette première réunion en échangeant avec d’autres membres du COMEX, leurs adjoints ou avec des personnes familières de cette enceinte pour déterminer le ton à adopter et le niveau du discours à tenir. Evidemment, les règles de fonctionnement devront aussi être connues : est-il courant que les questions soient posées au fil de l’eau ? Peut-on interpeller un membre ? Doit-on évoquer dès le début les sujets relatifs à l’entreprise ? Prévoyez de déminer le terrain en amont ! Et même s’il n’y a pas de recette parfaite, je vous livre ci-dessous les éléments que j’utilise le plus souvent pour faire de ces rencontres des moments utiles et efficaces.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Pour commencer, attirer l’attention en dévoilant les coulisses d’une attaque</h2>
<p style="text-align: justify;">Les sujets s’enchaînent rapidement durant les COMEX, les directeurs réfléchissent très très vite, il faut donc très rapidement être dans le concret et donner de la matière à réflexion, du vécu. L’élément que je trouve le plus efficace consiste à présenter une attaque récente, parue dans la presse ou ayant touché le secteur, et en décrypter les enjeux et les coulisses : quelle temporalité ? quelle motivation pour les attaquants ? quelles faiblesses dans l’entreprise ? quelle réaction en interne ? publique ? avec les autorités ? Cela aura pour effet de projeter mentalement les directeurs concernés dans leur rôle s’ils vivaient la même chose. Nous avons la chance <a href="https://www.wavestone.com/app/uploads/2019/10/2019-Security-incident-response-benchmark-Wavestone.pdf" target="_blank" rel="nofollow noopener noreferrer">chez Wavestone de gérer fréquemment des grandes crises cyber et nous utilisons ces éléments</a>, à la fois sous forme de benchmark mais aussi en les anonymisant ou en accord avec les victimes, pour donner un sens très concret à nos retours d’expérience.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Enchaîner avec une généralisation sur la cybercriminalité</h2>
<p style="text-align: justify;">Une attaque, c’est bien mais ça n’explique pas tout ! Il s’agit après avoir zoomé sur un cas de le généraliser en expliquant quels sont les ressorts du fonctionnement de la cybercriminalité. Nous analysons alors les motivations des groupes criminels, leurs organisations, mais aussi et peut être surtout comment ils gagent de l’argent !</p>
<div class="slate-resizable-image-embed slate-image-embed__resize-left" style="text-align: justify;">
<figure id="post-14710 media-14710" class="align-none"><img loading="lazy" decoding="async" class="size-medium wp-image-14710 alignleft" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-3-327x191.jpg" alt="" width="327" height="191" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-3-327x191.jpg 327w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-3-67x39.jpg 67w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-3-120x70.jpg 120w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-3.jpg 390w" sizes="auto, (max-width: 327px) 100vw, 327px" /></figure>
</div>
<div></div>
<div style="text-align: justify;">Pour un COMEX savoir que c’est une attaque DDoS ou un ransomware qui a fait des dégâts n’a que peu d’intérêt, il faut surtout leur montrer que les activités cybercriminelles sont rentables, voire très rentables. Nous avons calculé le ROI de plusieurs types d’attaques et je peux vous dire que quand vous expliquez une attaque à 600% de rentabilité comme un ransomware, les yeux des directeurs sont grands ouverts. Nous mettons alors en lumière très concrètement pourquoi leur structure pourrait être attaquée et surtout quelle quantité d’argent gagnerait les criminels. Cela met souvent un terme à la question « mais pourquoi serions-nous visés par une attaque ? Nous ne sommes pas connus/nous sommes petits/nous ne faisons rien de stratégique…».</div>
<div></div>
<div style="text-align: justify;">
<h2>Expliquer concrètement où en est l’entreprise</h2>
<p>C’est le bon moment pour présenter la posture IT de l’entreprise et son organisation actuelle en terme de sécurité. Il s’agit alors de la présenter simplement, avec des images claires et parlantes : <a href="https://www.riskinsight-wavestone.com/2016/05/levolution-modele-de-securite-chateau-fort-a-laeroport/" target="_blank" rel="nofollow noopener noreferrer">êtes-vous plutôt dans un modèle « château fort » à l’ancienne</a> ? Ou avez-vous déjà ouvert vos portes suite à la transformation numérique et avez-vous adopter un modèle porche de l’aéroport ou la sécurité est renforcée plus on va vers des systèmes critiques ? Cela permettra de concrétiser la situation.</p>
<p>Après cette phase de mobilisation et d’explication, vient naturellement la phase d’interrogation par les membres du comité exécutif. « Mais alors nous, nous en sommes ou face à ce risque de cyberattaque ? ». Face à cette question, soit vous avez la chance d’avoir <a href="https://www.riskinsight-wavestone.com/2020/05/comment-evaluer-efficacement-sa-maturite-en-cybersecurite/" target="_blank" rel="nofollow noopener noreferrer">un bilan de maturité fin et vous pouvez tout de suite le présenter</a>, soit vous pouvez amener des premiers éléments qualitatifs voire quantitatifs partiels et expliquer qu’aujourd’hui vous avez besoin d’avoir plus de visibilité. Les éléments qui parlent sont les derniers rapports d’audits, les derniers incidents, des éléments budgétaires.</p>
<p>&nbsp;</p>
<figure id="post-14712 media-14712" class="align-none"><img loading="lazy" decoding="async" class="size-medium wp-image-14712 alignright" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-4-248x191.jpg" alt="" width="248" height="191" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-4-248x191.jpg 248w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-4-51x39.jpg 51w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-4-156x121.jpg 156w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-4-155x120.jpg 155w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/06/0-4.jpg 598w" sizes="auto, (max-width: 248px) 100vw, 248px" /></figure>
</div>
<p style="text-align: justify;">S’il est difficile au début de la démarche de parler budget et de se comparer car les données manquent, il est possible d’utiliser un indicateur simple et efficace, celui de vos effectifs dédiés à la cybersécurité. Nous disposons d’une base de données sur ce point et nous pouvons rapidement montrer à un COMEX où il en est rien que par sa mobilisation sur le plan RH. C’est simple et efficace pour les convaincre !</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Ne pas repartir bredouille</h2>
<p style="text-align: justify;">Le risque majeur de cette sensibilisation, c’est que tout se passe bien mais que rien ne bouge ! En effet, vous pouvez avoir un message positif, « merci et rendez-vous dans un an pour une mise à jour », vous serez content mais vous n’aurez pas débloqué pour autant la situation. Il faut alors bien préparer l’étape d’après en indiquant dès cette présentation les principaux points de faiblesses ou de force ressenti et de quelle manière vous souhaiteriez les évaluer de manière plus précise.</p>
<p style="text-align: justify;">En effet la deuxième étape est souvent la réalisation d’un bilan de maturité dédié pour bien savoir comment se positionner ! Si à ce moment, la réunion s’est déroulé, le COMEX intrigué et intéressé par le sujet voudra en savoir plus et donnera un accord de principe. Attention cela ne sera peut-être pas directement un budget, il vous renverra certainement vers le DSI ou le directeur des risques pour l’obtenir, mais vous aurez avec leur accord un levier formidable pour passer à l’étape d’après ! Rendez-vous au prochain épisode.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/06/creer-une-relation-de-confiance-avec-son-comite-executif-premiere-etape-la-sensibilisation/">Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Revue de l&#8217;actualité par le CERT-W &#8211; Mars 2020</title>
		<link>https://www.riskinsight-wavestone.com/2020/04/revue-de-lactualite-par-le-cert-w-mars-2020/</link>
		
		<dc:creator><![CDATA[CERT-W]]></dc:creator>
		<pubDate>Tue, 07 Apr 2020 09:30:17 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicators]]></category>
		<category><![CDATA[Newsletter]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=12907</guid>

					<description><![CDATA[<p>Veille sur la cybercriminalité Le « Patch Tuesday » de Microsoft le plus conséquent depuis sa création Microsoft a publié le 10/03/2020 des mises à jour afin de corriger pas moins de 115 failles de sécurité affectant ses différents systèmes d&#8217;exploitation Windows...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/04/revue-de-lactualite-par-le-cert-w-mars-2020/">Revue de l&rsquo;actualité par le CERT-W &#8211; Mars 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<figure id="post-12837 media-12837" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12837 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1.png" alt="" width="1021" height="295" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1.png 1021w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1-437x126.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1-71x21.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1-768x222.png 768w" sizes="auto, (max-width: 1021px) 100vw, 1021px" /></figure>
<h2>Veille sur la cybercriminalité</h2>
<h3><a href="https://www.zdnet.com/article/microsoft-march-2020-patch-tuesday-fixes-115-vulnerabilities/">Le « Patch Tuesday » de Microsoft le plus conséquent depuis sa création</a></h3>
<p>Microsoft a publié le 10/03/2020 des mises à jour afin de corriger pas moins de 115 failles de sécurité affectant ses différents systèmes d&rsquo;exploitation Windows et logiciels associés. Parmi ces failles, 26 sont considérées comme « critiques », le niveau de sévérité le plus élevé, et l&rsquo;exploitation de certaines d&rsquo;entre elles permettent d&rsquo;effectuer de l&rsquo;exécution de code à distance et de prendre le contrôle d&rsquo;ordinateurs vulnérables sans aucune action nécessaire de la part des utilisateurs.</p>
<h3><a href="https://threatpost.com/new-mirai-variant-mukashi-targets-zyxel-nas-devices/153982/">Mukashi : la nouvelle variante du tristement célèbre botnet Mirai cible les NAS Zyxel</a></h3>
<p>Le botnet Mukashi effectue des attaques de type brute-force sur des hôtes aléatoires en utilisant différentes combinaisons d&rsquo;identifiants par défaut afin de tenter de s&rsquo;y connecter et d&rsquo;en prendre le contrôle. Or, il cible dorénavant les dispositifs de stockage en réseau (NAS) de Zyxel en exploitant la CVE critique récemment publiée « CVE-2020-9054 » permettant de réaliser de l&rsquo;exécution de code à distance sur la version 5.21 du micrologiciel.</p>
<h3><a href="https://www.undernews.fr/hacking-hacktivisme/cybersecurite-le-coronavirus-devient-le-leurre-le-plus-utilise-de-tous-les-temps.html">Le coronavirus : le leurre le plus utilisé de tous les temps</a></h3>
<p>Durant la crise sanitaire due au COVID-19, le coronavirus devient le leurre le plus utilisé au sein d&rsquo;innombrables attaques de type phishing. En effet, parmi celle-ci, le Internet Crime Complaint Center (IC3) du FBI indique qu&rsquo;il peut s&rsquo;agir de courriels prétendant offrir des informations sur le virus, des kits de test et des potentiels vaccins, ou encore ceux se faisant passer pour des associations caritatives encourageant à faire des dons pour la recherche.</p>
<p>&nbsp;</p>
<h2>Veille sur les vulnérabilités</h2>
<h3><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0684">CVE-2020-0684 &#8211; Vulnérabilité d&rsquo;exécution de code à distance dans Microsoft Windows</a></h3>
<p>Il existe une vulnérabilité d&rsquo;exécution de code à distance dans Microsoft Windows lorsqu&rsquo;un fichier de format .LNK est traité (analysé ou exécuté par exemple). Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir les mêmes droits que l&rsquo;utilisateur local.</p>
<h3><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3947">CVE-2020-3947 &#8211; Vulnérabilité de déni de service dans VMware Workstation</a></h3>
<p>Certaines versions de VMware Workstation et Fusion contiennent une vulnérabilité de type « use-after-free » dans le service vmnetdhcp. L&rsquo;exploitation réussie de la vulnérabilité peut conduire à réaliser un déni de service du service vmnetdhcp s&rsquo;exécutant sur la machine hôte ou encore exécuter du code sur l&rsquo;hôte.</p>
<h3><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10887">CVE-2020-10887 &#8211; Vulnérabilité de contournement du pare-feu d&rsquo;un routeur TP-Link</a></h3>
<p>Une version du micrologiciel du routeur TP-Link Archer est vulnérable à un contournement sur son pare-feu. Cette vulnérabilité découle d&rsquo;une implémentation insuffisante de filtrage approprié des connexions SSH IPv6, au niveau de la gestion des connexions IPv6. Elle peut être exploitée sans authentification au préalable et permet d&rsquo;effectuer une escalade de privilège avec la possibilité d&rsquo;exécuter du code en tant que « root ».</p>
<p>&nbsp;</p>
<h2>Les indicateurs du mois</h2>
<h3>Top leak &#8211; <a href="https://threatpost.com/millions-guests-marriott-data-breach-again/154300/">Fuite d&rsquo;informations de plus de 5 millions de clients chez Marriott</a></h3>
<p>Les cybercriminels ont réussi à obtenir les identifiants de connexion de deux employés sur un logiciel tiers que les propriétés hôtelières du Marriott utilisent pour fournir des services aux clients. Ainsi, ils ont eu accès à de nombreuses informations sur les clients (noms, prénoms, adresses mails, numéros de téléphone, etc.). C&rsquo;est la seconde grosse fuite constatée pour Marriott depuis 24 mois !</p>
<h3>Top exploit &#8211; <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0796">CVE-2020-0796 &#8211; Vulnérabilité d&rsquo;exécution de code à distance dans le protocole SMB</a></h3>
<p>Il existe une faille dans la manière dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) traite certaines requêtes, SMB étant un protocole réseau de partage de fichiers, d&rsquo;imprimantes et d&rsquo;autres ressources réseau. En effet, sans authentification au préalable, un attaquant exploitant cette vulnérabilité lui permettrait d&rsquo;exécuter du code à distance non seulement côté serveur mais également côté client.</p>
<h3>Top attack &#8211; <a href="https://www.zdnet.com/article/czech-hospital-hit-by-cyber-attack-while-in-the-midst-of-a-covid-19-outbreak/">Un des plus grands hôpitaux tchèques neutralisé par une cyberattaque</a></h3>
<p>L&rsquo;hôpital universitaire de Brno, en République tchèque, a été frappé par une cyberattaque majeure en plein milieu d&rsquo;une épidémie de COVID-19 forçant l&rsquo;hôpital à arrêter ses ordinateurs et à neutraliser son réseau informatique. Par conséquent, des interventions chirurgicales urgentes ont dû être reportées et des nouveaux patients en phase aigüe transférés vers d&rsquo;autres hôpitaux.</p>
<p>&nbsp;</p>
<h2>Veille sur les versions des logiciels</h2>
<table>
<tbody>
<tr>
<td><strong>Logiciel</strong></td>
<td><strong>Version actuelle</strong></td>
</tr>
<tr>
<td>Adobe Flash Player</td>
<td><a href="https://get.adobe.com/fr/flashplayer/">32.0.0.344</a></td>
</tr>
<tr>
<td>Adobe Acrobat Reader DC</td>
<td><a href="https://get.adobe.com/fr/reader/">2020.006.20042</a></td>
</tr>
<tr>
<td>Java</td>
<td><a href="https://java.com/fr/download/">Version 8 Update 241</a></td>
</tr>
<tr>
<td>Mozilla Firefox</td>
<td><a href="https://www.mozilla.org/fr/firefox/new/">74.0</a></td>
</tr>
<tr>
<td>Google Chrome</td>
<td><a href="https://www.google.com/chrome/browser/desktop/index.html">80.0.3987.163</a></td>
</tr>
<tr>
<td>VirtualBox</td>
<td><a href="https://www.virtualbox.org/wiki/Downloads">6.1.4</a></td>
</tr>
<tr>
<td>CCleaner</td>
<td><a href="https://www.piriform.com/ccleaner/download/standard">5.65.7632</a></td>
</tr>
</tbody>
</table>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/04/revue-de-lactualite-par-le-cert-w-mars-2020/">Revue de l&rsquo;actualité par le CERT-W &#8211; Mars 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Revue de l&#8217;actualité par le CERT-W &#8211; Février 2020</title>
		<link>https://www.riskinsight-wavestone.com/2020/03/revue-de-lactualite-par-le-cert-w-fevrier-2020/</link>
		
		<dc:creator><![CDATA[CERT-W]]></dc:creator>
		<pubDate>Wed, 04 Mar 2020 17:02:12 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CERT-W]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[indicators]]></category>
		<category><![CDATA[Newsletter]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<category><![CDATA[Vulnerabilities]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=12836</guid>

					<description><![CDATA[<p>Veille sur la cybercriminalité La mise à jour de Google Chrome lutte contre la cybercriminalité Google Chrome version 80 prend désormais en charge AES-256 pour les données utilisateur stockées localement. Le changement a eu un impact sur la capacité d&#8217;AZORult...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/03/revue-de-lactualite-par-le-cert-w-fevrier-2020/">Revue de l&rsquo;actualité par le CERT-W &#8211; Février 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<figure id="post-12837 media-12837" class="align-none"><img loading="lazy" decoding="async" class="alignnone size-full wp-image-12837" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1.png" alt="" width="1021" height="295" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1.png 1021w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1-437x126.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1-71x21.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2020/03/WATCH-1-768x222.png 768w" sizes="auto, (max-width: 1021px) 100vw, 1021px" /></figure>
<h2 id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Veille sur la cybercriminalité<br />
</span></h2>
<h3><a href="https://www.zdnet.com/article/chrome-80-update-cripples-top-cybercrime-marketplace/"><span lang="fr">La mise à jour de Google Chrome lutte contre la cybercriminalité</span></a></h3>
<p class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Google Chrome version 80 prend désormais en charge AES-256 pour les données utilisateur stockées localement. Le changement a eu un impact sur la capacité d&rsquo;AZORult à voler les informations des utilisateurs. AZORult est un malware de profil utilisateur qui est apparu en 2016 en volant de grandes quantités d&rsquo;informations, y compris les mots de passe, l&rsquo;historique de navigation Web, les cookies, etc.</span></p>
<h3><a href="https://www.zdnet.com/article/bouygues-construction-falls-victim-to-ransomware/">Bouygues Construction, victime d&rsquo;un autre ransomware</a></h3>
<p id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Bouygues Construction a été victime d&rsquo;une attaque de ransomware. Détectée pour la première fois le 30 janvier, la société a annoncé l&rsquo;attaque sur Twitter quelques jours seulement avant que le groupe MAZE ne se déclare être derrière l&rsquo;attaque.</span></p>
<h3><a href="https://www.forbes.com/sites/daveywinder/2020/02/13/the-fbi-issues-a-powerful-35-billion-cybercrime-warning/">Internet Complain Center reporting (FBI IC3 report)</a></h3>
<p id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Le Federal Bureau of Investigation (FBI) a publié le Internet Complaint Center (IC3) signalant une augmentation de 1 300 plaintes par jour. Le rapport montre comment le Business email compromise (BEC) a coûté 1,7 milliard de dollars aux entreprises en 2019. Depuis que les entreprises ont mis en œuvre des campagnes de «volume spam», les attaques deviennent plus sophistiquées et ciblent des individus de grande valeur tels que les PDG et les employés de la finance.</span></p>
<p dir="ltr" data-placeholder="Translation">
<h2 dir="ltr" data-placeholder="Translation">Veille sur les vulnérabilités</h2>
<h3 id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr"><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0688">CVE-2020-0688</a> &#8211; Vulnérabilité d&rsquo;exécution de code à distance dans Microsoft Exchange </span></h3>
<p class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Il existe une vulnérabilité d&rsquo;exécution de code à distance dans Microsoft Exchange lorsque le logiciel ne parvient pas à gérer correctement les objets en mémoire («Vulnérabilité de corruption de mémoire dans Microsoft Exchange»).</span></p>
<h3 dir="ltr" data-placeholder="Translation"><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15126">CVE-2019-15126</a> &#8211; Clé de chiffrement nulle pour chiffrer une partie de la communication de l&rsquo;utilisateur</h3>
<p dir="ltr" data-placeholder="Translation">Un problème a été découvert sur les appareils clients Wi-Fi Broadcom. Plus précisément, un trafic chronométré et artisanal peut provoquer des erreurs internes (liées aux transitions d&rsquo;état) dans un appareil WLAN qui conduisent à un chiffrement Wi-Fi de couche 2 inapproprié avec une possibilité conséquente de divulgation d&rsquo;informations par voie aérienne pour un ensemble discret de trafic.</p>
<h3 id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr"><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0022">CVE-2020-0022</a> &#8211; Vulnérabilité Bluetooth critique dans Android </span></h3>
<p class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation">La pile Bluetooth Android permet aux attaquants de diffuser silencieusement des logiciels malveillants et de voler des données sur les téléphones à proximité en connaissant simplement l&rsquo;adresse MAC Bluetooth de la cible. En conséquence, possibilité de déni de service (DoS), si l&rsquo;appareil fonctionne sous Android 8.0, 8.1 ou 9.0, puis exécution de code à distance (RCE).</p>
<p dir="ltr" data-placeholder="Translation">
<h2 dir="ltr" data-placeholder="Translation">Les indicateurs du mois</h2>
<h3>Top leak : <a href="https://www.infosecurity-magazine.com/news/sports-giant-decathlon-leaks-123/">fuite de 123 millions d&rsquo;enregistrements chez Decathlon</a></h3>
<p>Une mauvaise configuration de la base de données a permis à une équipe de vpnMentor de révéler 123 millions d&rsquo;enregistrements comprenant des informations sur les clients et les employés. Une base de données de plus de 9 Go a été trouvée sur un serveur Elasticsearch non sécurisé, exposant des informations provenant de Decathlon &#8211; Espagne.</p>
<h3 id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Top exploit: CVE-2020-6418 &#8211; Faille de confusion dans V8, Google Chrome</span></h3>
<p id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Faille de confusion dans V8 (moteur JavaScript utilisé par Google Chrome) permettant l&rsquo;exécution de code arbitraire dans le sandbox du navigateur.</span></p>
<h3 dir="ltr" data-placeholder="Translation">Top attack: <a href="https://www.abc.net.au/news/rural/2020-02-27/ransomware-cyber-attack-cripples-australian-wool-sales/12007912">une cyberattaque paralyse les ventes de laine en Australie</a></h3>
<p id="tw-target-text" class="tw-data-text tw-text-large tw-ta" dir="ltr" data-placeholder="Translation"><span lang="fr">Une attaque de type ransomware a touché plus de 75% de l&rsquo;industrie de la laine en Australie. Le secrétaire du Comité national de vente aux enchères (NASC) a confirmé la compromission de Talman. Talman est le principal fournisseur de logiciels de l&rsquo;industrie.</span></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2020/03/revue-de-lactualite-par-le-cert-w-fevrier-2020/">Revue de l&rsquo;actualité par le CERT-W &#8211; Février 2020</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>2019 : Le RSSI au cœur de la révolution du SI</title>
		<link>https://www.riskinsight-wavestone.com/2018/12/2019-rssi-coeur-revolution-si/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Mon, 17 Dec 2018 18:44:10 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[RSSI]]></category>
		<category><![CDATA[stratégie]]></category>
		<category><![CDATA[transformation numérique]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=11444/</guid>

					<description><![CDATA[<p>La fin de l’année ouvre toujours la saison des prédictions pour 2019 ! Cet exercice, certes convenu, est tout de même l’occasion de prendre le temps de réfléchir à l’année écoulée et aux priorités à venir. 2018 a évidemment vu s&#8217;élargir...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2018/12/2019-rssi-coeur-revolution-si/">2019 : Le RSSI au cœur de la révolution du SI</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>La fin de l’année ouvre toujours la saison des prédictions pour 2019 ! Cet exercice, certes convenu, est tout de même l’occasion de prendre le temps de réfléchir à l’année écoulée et aux priorités à venir.</em></p>
<figure id="post-11464 media-11464" class="align-none">
<figure id="post-11466 media-11466" class="align-none">
<figure id="post-11466 media-11466" class="align-none">
<figure id="post-11487 media-11487" class="align-none"><img loading="lazy" decoding="async" class="wp-image-11487 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2018/12/RADAR2019.png" alt="" width="624" height="461" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2018/12/RADAR2019.png 1207w, https://www.riskinsight-wavestone.com/wp-content/uploads/2018/12/RADAR2019-259x191.png 259w, https://www.riskinsight-wavestone.com/wp-content/uploads/2018/12/RADAR2019-768x567.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2018/12/RADAR2019-53x39.png 53w" sizes="auto, (max-width: 624px) 100vw, 624px" /></figure>
</figure>
</figure>
</figure>
<p>2018 a évidemment vu s&rsquo;élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (<a href="https://www.riskinsight-wavestone.com/2016/12/reussir-mise-conformite-loi-de-programmation-militaire/">LPM</a><a href="#_ftn1" name="_ftnref1"></a>, <a href="https://www.riskinsight-wavestone.com/2018/11/nis-mesures-securite-ose/">NIS</a><a href="#_ftn2" name="_ftnref2"></a>) ou sectorielles (NYS DFS, <a href="https://www.riskinsight-wavestone.com/2016/08/hong-kong-programme-cybersecurite-secteur-bancaire/">HKMA</a><a href="#_ftn3" name="_ftnref3"></a>, MAS…) ont également rythmé l’année.</p>
<p>Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :</p>
<ul>
<li>Le maintien des <em>ransomware</em> en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;</li>
<li>La multiplication des incidents de plus faible intensité que les <em>ransomware</em> massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;</li>
<li>Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques <a href="https://techcrunch.com/2018/11/13/magecart-hackers-persistent-credit-card-skimmer-groups/">MageCart</a> touchant le cœur du fonctionnement des sites Internet.</li>
</ul>
<p>Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.</p>
<p>Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2&#8230;), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes :  l’agilité, le <em>cloud </em>et l’<em>API-fication</em> des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.</p>
<h2>Les 3 axes de la révolution du SI en 2019</h2>
<h3>Agilité : plus réactif, plus rapide, plus simple</h3>
<p>Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité.  Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’<a href="https://www.owasp.org/index.php/Agile_Software_Development:_Don%27t_Forget_EVIL_User_Stories"><em>Evil User Stories</em></a>, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.</p>
<p>Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les <em>Feature Teams</em> pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des <em>Product Owners</em> portant des services de sécurité apparaîtront pour délivrer de la cybersécurité <em>as a service</em> au sein de l’organisation.</p>
<h3>Cloud : sécurisé par défaut, multiple, automatisé</h3>
<p>Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le <em>Cloud-first</em>, voire pour nos clients les plus avancés le <em>Cloud-Only</em>. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’<a href="https://www.riskinsight-wavestone.com/2014/02/identite-dans-le-cloud-le-marche-se-structure-quid-de-lapproche-de-microsoft/"><em>Active Directory.</em></a></p>
<p>Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.</p>
<p>Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.</p>
<p>Le <em>cloud</em>, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, <em>MFA</em>, <em>Identity Governance</em>, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le <em>cloud</em>. Le <em>multicloud</em> basé sur 2 fournisseurs deviendra une priorité pour permettre la <a href="https://www.riskinsight-wavestone.com/2014/06/les-cles-assurer-gestion-unifiee-cloud/">continuité des services</a>.<a href="#_ftnref1" name="_ftn1"></a></p>
<h3>API-fication : de multiples nouvelles portes d&rsquo;entrée pour le SI<a href="#_ftnref3" name="_ftn3"></a></h3>
<p>Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation <a href="https://www.riskinsight-wavestone.com/2016/01/la-dsp2-une-directive-sur-les-services-de-paiements-qui-prone-la-concurrence/">DSP2</a>, l’<em>API-fication</em> touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.</p>
<p>Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si <a href="https://www.wavestone.com/fr/insight/recette-securiser-api/">l’<em>API-fication</em></a> pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme <a href="https://www.wired.com/story/google-plus-bug-52-million-users-data-exposed">Google</a> ou <a href="https://www.wired.com/story/facebook-photo-api-bug-millions-users-exposed">Facebook</a> parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.</p>
<p>Si le RSSI veut reprendre en main le terrain de jeu de l’<em>API-fication</em>, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.<a href="#_ftnref1" name="_ftn1"></a></p>
<h2>Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences</h2>
<p>Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :</p>
<ul>
<li><strong>Refondre la PSSI et la gouvernance.</strong> Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le <em>cybersecurity framework</em> du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;</li>
<li><strong>Revoir en profondeur les processus d’intégration de la sécurité dans les projets.</strong> Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS <em>Risk Manager</em>» par une approche combinant conformité et scénarios d’attaque ;</li>
<li><strong>Anticiper et s’adapter à une pénurie de talent récurrente.</strong> Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le <em>cloud</em>, l’instauration d’un cadre fort instaurant les principes de <em>security by design</em> permettront des limiter les efforts. De même, la création d’offres de services sécurité, le <em>near</em> voire <em>offshoring</em> pour des services standardisés peuvent être des solutions.</li>
</ul>
<p>Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’<em>empowerment</em> (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.<a href="#_ftnref1" name="_ftn1"></a></p>
<h2>Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI</h2>
<ul>
<li>La <strong>cyber-résilience bâtie sur le cloud</strong> : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;</li>
<li>Le <strong><a href="https://www.riskinsight-wavestone.com/2018/07/nouveaux-outils-du-soc-13/">SOC</a> est mort, vivent les <em>Fusion Centers</em> </strong>regroupant des savoir-faire techniques et métiers, permettant d&rsquo;appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de <em>machine learning</em>, le SOC pourra détecter les attaques plus finement et plus rapidement ;</li>
<li><strong>Le début de la fin pour les mots de passe :</strong> des initiatives comme le <em>0-password</em>, le déploiement de FIDO2, la biométrie dans le cadre du <em>2FA </em>ou encore la <a href="https://www.riskinsight-wavestone.com/2018/02/remedes-contre-maux-de-passe/">généralisation des coffres-forts</a> permettent de l’envisager ;</li>
<li><strong>L’IA et le <em>machine learning</em> </strong>représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement&#8230;) dans les projets métier incluant de l’IA ;</li>
<li><strong>Les tiers et les fournisseurs sous microscope :</strong> de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme <a href="https://cybervadis.com/?lang=fr">CyberVadis</a> ou <a href="https://www.riskledger.com/">Risk Ledger</a> abordent ce problème sous un angle neuf.</li>
</ul>
<h2>Faire de la sécurité un différenciateur vis-à-vis des clients de l&rsquo;entreprise</h2>
<p>Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.</p>
<p>En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le <em>core-business</em>.</p>
<p>Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :</p>
<ul>
<li>L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;</li>
<li>Les opérateurs télécom, dont certains promeuvent leur nouvelle <em>box </em>avec des services de cybersécurité comme la détection de vulnérabilités ;</li>
<li>Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.</li>
</ul>
<p>Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.</p>
<p><strong>Alors pourquoi pas vous ?</strong></p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2018/12/2019-rssi-coeur-revolution-si/">2019 : Le RSSI au cœur de la révolution du SI</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>CLOUD Act : vos données sont-elles mieux protégées ?</title>
		<link>https://www.riskinsight-wavestone.com/2018/04/cloud-act/</link>
		
		<dc:creator><![CDATA[Etienne Lafore]]></dc:creator>
		<pubDate>Wed, 18 Apr 2018 11:00:09 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[confiance numérique]]></category>
		<category><![CDATA[data protection]]></category>
		<category><![CDATA[DPO]]></category>
		<category><![CDATA[e-privacy]]></category>
		<category><![CDATA[protection des données]]></category>
		<category><![CDATA[Règlementation]]></category>
		<category><![CDATA[RGPD]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=10677/</guid>

					<description><![CDATA[<p>Après plusieurs tentatives d&#8217;adoption de lois facilitant la saisie de données de clients de services américains stockées en dehors des États-Unis, le Congrès américain a adopté en mars 2018 le « Clarifying Lawful Overseas Use of Data Act » ou CLOUD Act,...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2018/04/cloud-act/">CLOUD Act : vos données sont-elles mieux protégées ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Après plusieurs tentatives d&rsquo;adoption de lois facilitant la saisie de données de clients de services américains stockées en dehors des États-Unis, le Congrès américain a adopté en mars 2018 le « <strong>Clarifying Lawful Overseas Use of Data Act </strong>» ou CLOUD Act, qui fournit un cadre légal pour l&rsquo;accès aux données de fournisseurs américains, en dehors de leur domaine de juridiction.</em></p>
<p>&nbsp;</p>
<p>Le projet de loi, créé à la base pour modifier un projet de loi de 1986, le «Stored Communication Act», permet aux États-Unis de forcer les fournisseurs de services américains  à transmettre les données de leurs clients stockées à l’étranger de manière beaucoup plus rapide. Il faut en moyenne dix mois pour obtenir les données, une durée improductive pour les enquêtes menées par les États-Unis. Le projet de loi vise à permettre aux autorités américaines (du shérif à la CIA) à accéder à <strong>des données hébergées par des entreprises américaines sans passage devant un juge</strong>. <strong>Les grandes entreprises technologiques</strong>, qui ont soutenu le projet de loi devant le Sénat, <strong>pourront s&rsquo;opposer à une demande si</strong> :</p>
<ul>
<li>Le client ou l&rsquo;abonné n&rsquo;est pas américain ou ne réside pas aux États-Unis <em>(</em><a href="https://www.congress.gov/bill/115th-congress/senate-bill/2383/text">section 3.2.b.h.2.i</a><em>), </em><strong><u>et</u></strong></li>
<li>Le transfert obligerait le fournisseur à enfreindre les réglementations du pays hébergeant les données (<a href="https://www.congress.gov/bill/115th-congress/senate-bill/2383/text">section 3.2.b.h.2.ii</a>)</li>
</ul>
<p>Cette demande sera alors portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Sa décision sera basée, entre autres, sur la validité des informations apportées, de l’intérêt de la requête pour les Etats-Unis et de l’envergure et les chances d’application de la violation de loi dans le pays étranger. Le caractère public du recours n’est pas précisé, en particulier la capacité des entreprises à communiquer sur ces contestations. Aujourd’hui, il nous parait probable que les grands acteurs américains utilisent ce recours pour garder la confiance de leurs clients.</p>
<p>Afin d’éviter d’enfreindre les réglementations des pays concernés,<strong> les États-Unis pourront passer des accords bilatéraux avec ces États</strong>, qui, en échange de leur bonne volonté, pourront accéder aux données sur le territoire américain.</p>
<p>Aux États-Unis, le CLOUD Act reste contesté pour les risques hérités par les potentiels accords avec les pays étrangers. Le fait que le pouvoir exécutif soit à même de mettre en place les accords mutuels inquiète la population américaine, qui craint que des puissances étrangères se servent du Cloud Act pour aller fouiller dans leurs données sans garde-fou.</p>
<p>&nbsp;</p>
<h2>Quelles conséquences pour les clients européens ?</h2>
<p>Alors que les géants de la technologie (Facebook, Google, Microsoft, Apple) ont soutenu le projet de loi (les autorités américaines s&rsquo;abstenant de les approcher pour un accès backdoor et fournissant un cadre clair pour exercer le transfert de données), <strong>ces réglementations peuvent être inquiétantes pour la privacy des clients </strong>des entreprises ciblés. Cette loi pourrait laisser les clients sans droit de regard, ni information sur l’accès à leurs données par les autorités américaines.</p>
<p>Cependant, les clients européens dont les données sont traitées en Europe pourraient être bientôt protégés par le Règlement Général sur la Protection des Données (RGPD). Les articles 45 et 48 du règlement qui entrera bientôt en vigueur définissent un ensemble de règles claires pour permettre le transfert vers des pays tiers. Selon Frank Jennings (avocat de renom sur les sujets cloud), l’European Data Protection Board, en charge de l’implémentation du RGPD, <a href="https://www.theregister.co.uk/2018/04/03/us_government_serves_microsoft_with_fresh_warrant_for_irishheld_emails/">sera en charge de décider</a> si les saisies dans le cadre du CLOUD Act constituent une mesure nécessaire à la sauvegarde de la sécurité nationale américaine, ou si la demande ne respecte pas la nouvelle réglementation.  <strong>Cela pourrait obliger les États-Unis à négocier avec l&rsquo;UE ou ses États membres les conditions de tels transferts, et donc à protéger leurs citoyens contre les transferts illégitimes</strong>. Les clients américains resteraient toutefois sous la portée du CLOUD Act.</p>
<p>Des négociations doivent commencer entre la Commission européenne et les Etats-Unis. Les dirigeants de l&rsquo;UE ont déjà critiqué le projet de loi américain pour son adoption précipitée, ce qui risque de compliquer les négociations. Entre-temps, <a href="https://www.eff.org/deeplinks/2018/03/nearly-100-public-interest-organizations-urge-council-europe-ensure-high">une centaine d&rsquo;organisations de la société civile</a> ont pressé le Conseil de l&rsquo;Europe à rendre publiques les négociations prévues lors de la « Convention sur la cybercriminalité » (ou « Convention de Budapest »).</p>
<p>&nbsp;</p>
<h2>Les lois de confidentialité, un atout pour les entreprises ?</h2>
<p>Alors que le RGPD a pu préoccuper une bonne partie des entreprises sur le changement que cela impliquerait pour leurs systèmes d&rsquo;information <a href="https://www.riskinsight-wavestone.com/2018/03/e-privacy-urgent-attendre/">et que la directive « E-Privacy » se prépare</a>, il pourrait être intéressant de voir le rapport à la réglementation évoluer dans le monde des affaires. Les lois de «data privacy » pourraient, dans un futur proche ou lointain, <strong>être considérées comme une aide à la protection de leurs données et </strong><a href="https://www.riskinsight-wavestone.com/2017/01/vie-privee-ere-numerique/"><strong>au maintien de la confiance</strong></a><strong> des clients</strong>.</p>
<p>Dans un monde où les questions de confidentialité des données deviennent de plus en plus importantes (<a href="http://www.lemonde.fr/pixels/article/2018/03/22/ce-qu-il-faut-savoir-sur-cambridge-analytica-la-societe-au-c-ur-du-scandale-facebook_5274804_4408996.html">Cambridge Analytica</a>, <a href="https://www.cnet.com/news/google-dumps-home-minis-top-touch-function-over-privacy/">Google Home Mini</a>), les protections sur les données des clients peuvent être un argument décisif lors du choix entre des offres compétitives. Le positionnement des fournisseurs américains sur les questions de Privacy et de protection des données est attendu impatiemment.</p>
<p>&nbsp;</p>
<h2>Que faire aujourd&rsquo;hui ?</h2>
<p>Pour conclure, les nouvelles réglementations sur la privacy restent assez ambiguës et peuvent même se heurter sur certains points. La principale conclusion reste que <strong>les Européens devraient être mieux protégés par le RGPD face au CLOUD Act</strong>, si les fournisseurs américains dénoncent les requêtes abusives et que les tribunaux en charge de valider la demande jouent leurs rôles. Les clients non européens, quant à eux, ne seraient pas plus protégés en hébergeant leurs données en Europe.</p>
<p>En attendant l’entrée en vigueur de nouvelles lois traitant de la confidentialité et les éventuelles saisies des données, vous pouvez prendre des mesures pour protéger vos données personnelles et commerciales contre les écoutes d’outre-mer et autres menaces potentielles :</p>
<ol>
<li>Clarifier avec votre fournisseur <strong>dans quelles conditions il pourrait être amené à donner accès à vos données, </strong>sans oublier de prendre en compte les traités d’assistance judiciaire mutuelle (Mutual Legal Assistance Treaties).</li>
<li><strong>Définir ou revoir votre stratégie d’hébergement</strong> suivant le type de données, la nationalité du fournisseur et la location de l’hébergement</li>
<li><strong>Privilégier l’hébergement de données dans des datacenters européens</strong> ou dans des pays disposant de règles bien établies en matière de confidentialité des données.</li>
<li><strong>Choisir un fournisseur français ou européen permet d’éviter les risques du CLOUD Act</strong>. En contractualisant qu’il n’utilise pas de sous-traitants américains (directement ou indirectement) !</li>
</ol>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2018/04/cloud-act/">CLOUD Act : vos données sont-elles mieux protégées ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Quelle sécurité pour le cyberespace en 2020 ?</title>
		<link>https://www.riskinsight-wavestone.com/2017/05/securite-cyberespace-2020/</link>
		
		<dc:creator><![CDATA[Benjamin Pivot]]></dc:creator>
		<pubDate>Thu, 18 May 2017 16:48:54 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[cyberespace]]></category>
		<category><![CDATA[internet]]></category>
		<category><![CDATA[menace]]></category>
		<category><![CDATA[technologies]]></category>
		<category><![CDATA[Threat intelligence]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=9747/</guid>

					<description><![CDATA[<p>D’ici 2020, l’Internet s’appuiera sur un univers toujours grandissant d’objets connectés et de données personnelles et gagnera une place omniprésente dans notre quotidien. Ces nouvelles technologies et possibilités ne manquent pas de provoquer l’attention des organes de régulation comme des...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/05/securite-cyberespace-2020/">Quelle sécurité pour le cyberespace en 2020 ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>D’ici 2020, l’Internet s’appuiera sur un univers toujours grandissant d’objets connectés et de données personnelles et gagnera une place omniprésente dans notre quotidien. Ces nouvelles technologies et possibilités ne manquent pas de provoquer l’attention des organes de régulation comme des cyber criminels. La sécurité est un enjeu de taille pour se prévaloir des nouvelles menaces attendues au regard des évolutions du web 3.0.</em></p>
<h2>Une évolution dans les technologies et les usages de l’Internet</h2>
<p><strong>Du côté des utilisateurs</strong>, <a href="http://www.ariase.com/fr/news/usages-internet-monde-reseaux-sociaux-mails-mobiles-objets-connectes-article-4060.html">les usages apparus dans la dernière décennie ne feront que se confirmer</a> et s’amplifier à l’horizon 2020. La croissance et la diversification des réseaux sociaux permettra d’accélérer encore le partage de données personnelles avec une hausse des performances techniques et du nombre d’utilisateurs. Ce phénomène, profondément générationnel, pourrait poursuivre son développement et soulever avec lui de nombreuses <strong>questions relatives à la confiance en l’information et aux limites de la liberté d’expression.</strong></p>
<figure id="post-9751 media-9751" class="align-none">
<figure id="post-9751 media-9751" class="align-center"><img loading="lazy" decoding="async" class="aligncenter wp-image-9751" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image2-1.png" alt="" width="679" height="378" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image2-1.png 1180w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image2-1-343x191.png 343w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image2-1-768x428.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image2-1-71x39.png 71w" sizes="auto, (max-width: 679px) 100vw, 679px" /></figure>
</figure>
<p><strong>Du côté des entreprises</strong>, dans la continuité de la virtualisation du poste de travail, le télétravail devient un thème dans les feuilles de route stratégiques de nombreux groupes qui y voient une opportunité de réduire les charges de l’immobilier qui constituent ordinairement leur second poste de dépenses. <strong>Le <em>Cloud Computing</em> se renforce </strong>et permet l’intégration de parts toujours plus vastes du capital informationnel des entreprises par des prestataires spécialisées, notamment dans la sécurité des infrastructures.</p>
<p>Enfin, l’IoT et le Machine Learning provoqueront un bouleversement important des<em> business models</em> et du positionnement des acteurs historiques dans tous les secteurs. <strong>3 nouveaux besoins de société</strong> devront impérativement être pris en compte pour être compétitif : <strong>la mobilité, la connaissance et la confiance.</strong></p>
<p>&nbsp;</p>
<h2>Un cadre reglementaire encore a definir</h2>
<p>Les récentes démonstrations de puissance des GAFA, capables d’associer des bases de données d’utilisateurs gigantesques à des méthodes d’intelligence artificielle de pointe, initient une nouvelle ère consacrée à l’ultra-personnalisation des services mais aussi à la surveillance de masse. En effet, les immenses opportunités ouvertes dans le champ du marketing par le biais de l’ultra-personnalisation des services et la surveillance de masse cachent une réalité préoccupante : <strong>un cadre législatif qui protège très imparfaitement les internautes face aux utilisations abusives et discriminantes d’acteurs publics comme privés</strong>.</p>
<p>Dans ce contexte, les « <strong>lois renseignement</strong> » émergent dans de nombreux pays occidentaux afin de poser un cadre normatif à des pratiques déjà courantes de ces services. Posant la question de libertés individuelles menacées sous le prétexte de lutte antiterroriste, ces textes sont régulièrement adoptés en dépit de fortes protestations de la société civile.</p>
<p>Après plusieurs révélations sur les activités de la NSA en Europe, l’Union Européenne décidait d’invalider en octobre 2015 le Safe Harbour qui permettait jusque-là aux Etats-Unis et à l’Europe d’échanger librement leurs données considérant que son partenaire outre-Atlantique n’était plus en mesure de garantir à ces données un niveau de protection suffisant ou adéquate. Afin de combler le vide juridique entourant l’usage des données personnelles, le GDPR constitue le<strong> nouveau texte de référence pour la protection des données à caractère personnel en Europe, applicable par les 28 états de la zone à partir du printemps 2018.</strong> Ce texte protègera en effet les utilisateurs au détriment des entreprises qui verront leurs possibilités restreintes a minima à un impératif de consentement « explicite et positif ». De même, la directive européenne NIS, pour la sécurité des services numériques, sera progressivement traduite dans les juridictions nationales, notamment en France en lien avec la loi de programmation militaire.</p>
<p>Finalement, les récents bras de fer entre les géants du web et l’administration américaine ont prouvé l’incapacité du gouvernement à imposer à Apple et Google l’application du Patriot Act. Cela a permis à ces acteurs d’affirmer une primauté du respect des libertés individuelles et une certaine autonomie face aux organes politiques, jusqu’ici seuls maitres à bord dans ce type de situation. Une évolution décisive des rapports de force historiques s’amorce doucement avec la mise en retrait des autorités étatiques face aux acteurs majeurs de l’économie et il est encore difficile aujourd’hui de savoir où cette évolution nous mènera.</p>
<p>Ainsi, deux compétences seront déterminantes d’ici 2020 et même après pour s’adapter à l’époque technologique, <strong>innover et survivre à l’évolution rapide des règles de la concurrence</strong> : une grande maitrise des limites et contraintes réglementaires, d’une part, et une capacité à tirer le meilleur des données à disposition, sans sortir d’un cadre légal autorisé et évolutif. Tout l’enjeu d’un futur environnement basé sur le web 3.0 sera donc de <strong>construire et sauvegarder une relation de confiance mutuelle avec les clients comme avec les parties-prenantes, notamment étatiques.</strong></p>
<p>&nbsp;</p>
<h2>De nouvelles menaces dans le cyberespace</h2>
<p>Dans le cadre d’une <a href="http://www.cil.cnrs.fr/CIL/IMG/pdf/cybercriminalite_prospective-2020-v1-0_0.pdf">analyse prospective</a> visant à établir les évolutions de la cybercriminalité à horizon 2020, un comité d’expert s’est prononcé sur les <strong>typologies de menaces attendues</strong> <strong>de manière récurrentes envers les entreprises privées et les individus</strong>. Ainsi, les entreprises auraient à craindre en priorité les atteintes à la disponibilité de leurs systèmes, telles des dénis de service, les vols de données stratégiques motivés par la mise en concurrence et des attaques visant l’image de la société (compagnes de désinformation et de diffamation). Du côté des individus, les escroqueries et les détournements sont les menaces les plus importantes à considérer et auxquelles s’ajouteraient les attaques visant les systèmes d’alarmes et domotiques en soutien à des intrusions physiques.</p>
<p>&nbsp;</p>
<p><img loading="lazy" decoding="async" class="alignnone wp-image-9750 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image1.png" alt="" width="1120" height="628" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image1.png 1120w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image1-341x191.png 341w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image1-768x431.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/05/Image1-71x39.png 71w" sizes="auto, (max-width: 1120px) 100vw, 1120px" /></p>
<p>Deux scénarios se démocratiseront et s’entre-alimenteront pour décrire un paysage d’ensemble de la menace en 2020 :</p>
<ul>
<li><strong>L’attaque « as a service » : </strong>La croissance rapide et continue du nombre de connexions sur le Web entraînera mathématiquement l’ouverture d’une très large surface d’attaque. <strong>Les attaques non ciblées ou basées sur des réseaux de machines esclaves </strong>(machines contrôlées à distance par un attaquant et utilisées en grand nombre pour saturer des services web, par exemple) pourront ainsi se déployer de manière massive et gagner une force de frappe dont on peine à imaginer les limites à l’heure actuelle. Une étude d’universitaires israéliens estimait que <a href="http://www.numerama.com/politique/205311-un-ado-arrete-par-la-police-aux-usa-pour-avoir-perturbe-le-911.html">6 000 smartphones sont suffisants pour venir à bout d’un système d’appel d’urgence du type 911 aux États-Unis </a>; que ne pourrait-on pas faire avec un réseau de millions, voire de milliards, d’objets infectés par des Botnet malwares (logiciels malveillants permettant à un hacker de contrôler à distance les machines infectées) ? Ces attaques, de faible complexité mais à l’impact massif.</li>
<li><strong>La guerre économique :</strong> Un contexte de compétition exacerbée entre les acteurs économiques majeurs des pays industrialisés aboutira à un renforcement des menaces « géostratégiques ». L’Internet deviendra un nouveau terrain de conflit sur lequel se joueront les intérêts économiques et politiques des Nations. Les menaces seront ciblées et iront des actions de sabotage, comme ce fut le cas avec le virus Stuxnet, à l’espionnage industriel. Ces offensives pourront atteindre de <strong>hauts niveaux de complexité et seront mis en œuvre par des équipes de professionnels bénéficiant de protections diverses et de ressources financières et opérationnelles importantes voire illimitées.</strong></li>
</ul>
<p><strong> </strong></p>
<p><em>Avec la généralisation du Cloud Computing et des objets connectés, les usages « digitaux » qui émergent aujourd’hui se conforteront largement à horizon 2020. En lien avec cette évolution, de nouvelles menaces, moins ciblées pour les entreprises et les individus et plus ciblées pour les états, sont attendues. Le cadre législatif, fortement évolutif, vise aujourd’hui autant à protéger les internautes, qu’à soutenir les entreprises et l’issue des rapports de force est incertaine.</em></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/05/securite-cyberespace-2020/">Quelle sécurité pour le cyberespace en 2020 ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>2016 : les cyberattaques touchent la banque sur tous les fronts</title>
		<link>https://www.riskinsight-wavestone.com/2017/02/2016-cyberattaques-touchent-banque-fronts/</link>
		
		<dc:creator><![CDATA[B3noitL4diEu]]></dc:creator>
		<pubDate>Tue, 07 Feb 2017 16:38:56 +0000</pubDate>
				<category><![CDATA[Cyber for Financial Services]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Banque]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[financial services cyber]]></category>
		<category><![CDATA[fraude]]></category>
		<category><![CDATA[malware]]></category>
		<category><![CDATA[piratage]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=9410</guid>

					<description><![CDATA[<p>L’année 2016 aura connu de nombreux cas marquants de cybercriminalité dans le secteur financier. Des attaques d’ampleurs inédites ont eu lieu, selon des motifs variés mais ayant toujours des conséquences importantes quand elles ont réussi. De plus les relais multiples...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/02/2016-cyberattaques-touchent-banque-fronts/">2016 : les cyberattaques touchent la banque sur tous les fronts</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>L’année 2016 aura connu de nombreux cas marquants de cybercriminalité dans le secteur financier. <strong>Des attaques d’ampleurs inédites ont eu lieu</strong>, selon des motifs variés mais ayant toujours des conséquences importantes quand elles ont réussi. De plus les relais multiples de ces attaques par les médias les rendent d’autant plus <strong>dommageables en terme d’image pour les institutions financières touchées</strong>.  </em></p>
<p>&nbsp;</p>
<h2>Le secteur bancaire, une cible historique</h2>
<p>Les attaques contre le secteur financier ne sont pas une nouveauté, il s’agit même d’un secteur de prédilection pour les pirates agissant à des fins vénales. Mais en 2016 nous avons assisté à une <strong>diversification et à une intensification de ces attaques</strong>. En effet, au cours de l’année passée, plusieurs attaques majeures, motivées par l’attrait de gains financiers importants, ont été réalisées contre des banques de détail et d’investissement mais également contre des banques centrales. Sans viser à être exhaustif, cet article présente de manière synthétique certains des cas emblématiques.</p>
<p>Pour les banques, <strong>trois zones de risques</strong>, poreuses entre elles, sont clairement identifiées:</p>
<figure id="post-9411 media-9411" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-9411 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2017/02/BLU-1.png" width="854" height="631" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2017/02/BLU-1.png 854w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/02/BLU-1-259x191.png 259w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/02/BLU-1-768x567.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2017/02/BLU-1-53x39.png 53w" sizes="auto, (max-width: 854px) 100vw, 854px" /></figure>
<p>Depuis l’existence d’Internet, <strong>les failles des systèmes accessibles directement aux clients ont été largement exploitées</strong> par les cybercriminels qui ont continué à faire évoluer leurs techniques en 2016.</p>
<p>Les distributeurs de billets, très exposés historiquement, ont été visés par de <strong>nouveaux malwares</strong><strong>, </strong>notamment <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/%20">ALICE</a> et <em><a href="https://www.fireeye.com/blog/threat-research/2016/08/ripper_atm_malwarea.html">RIPPER</a></em>. Ces malwares peuvent être installés sur la machine de deux façons différentes :</p>
<ul>
<li>En passant par le réseau auquel est connectée la machine pour accéder aux serveurs de gestion, nécessitant d’infiltrer le SI de la banque.</li>
<li>Directement sur le système d’exploitation de la machine à l’aide d’un port USB mis à nu.</li>
</ul>
<p>Le piratage des distributeurs de billets a résulté à la perte de plusieurs millions d’euros au cours de l’année passée pour différentes banques à travers le monde. En Europe, le groupe de cybercriminels <a href="https://www.helpnetsecurity.com/2016/11/22/cobalt-hackers-synchronized-atm-heists/"><em>Cobalt</em> </a>a piraté des distributeurs dans une douzaine de pays pour un montant inconnu. Des attaques similaires ont eu lieu à Taïwan et en Thaïlande avec le vol de 2,5M$ et 350k$ respectivement.</p>
<p>D’une autre manière, <strong>les DAB et TPE peuvent servir d’hôtes aux fameux « <em>Skimmers</em> »</strong>. Il s’agit d’un dispositif hardware plus ou moins discret <strong>permettant de récupérer l’empreinte de la carte des utilisateurs</strong>. Plusieurs types de « <em>Skimmers</em> » existent dont en particulier :</p>
<ul>
<li>Les <a href="https://www.youtube.com/watch?v=ll4f0Wim4pM"><em>Skimmers</em> externes</a>, reproduction de tout ou partie de la façade de la machine qui s’installe au-dessus du distributeur ou du terminal de paiement.</li>
<li>Les <a href="https://www.youtube.com/watch?v=5PiY97_xFUI"><em>Skimmers</em> internes</a>, s’installant directement dans le lecteur de carte de la machine .</li>
</ul>
<p>Cette seconde méthode très en vogue en 2016 est difficilement détectable car il n’y a pas de modification importante de l’aspect physique de la machine, seule une caméra externe est requise pour capturer le code PIN. De plus ces <em>Skimmers</em> internes n’affectent ni le système d’exploitation ni le fonctionnement de la machine.</p>
<p>Beaucoup plus connus, <strong>les malwares de type cheval de Troie, continuent d’évoluer et sont toujours largement utilisés pour récupérer les informations de paiements des clients</strong> ; certains d’entre eux sont spécialement développés pour les smartphones, notamment sur Android.</p>
<p>&nbsp;</p>
<h2>L’évolution des attaques vers les systèmes exposés et internes en 2016</h2>
<p>Les cas d’attaques les plus importants de l’années 2016 dénotent <strong>une évolution du mode opératoire des attaquants</strong> avec une préparation minutieuse qui dure jusqu’à plusieurs mois. Pour s’introduire dans le système d’information des institutions financières et le manipuler, des méthodes spécifiques doivent être suivies, en se basant sur le fonctionnement et les processus métier. Ces derniers sont étudiés longuement par les attaquants, afin d’agir efficacement et en toute discrétion.</p>
<p>Après ce temps de préparation et une fois le système d’information de la banque pénétré, les attaquants sont capables de manipuler les applications métier et de détourner des montants jusque-là impensables avec une seule attaque dont l’exécution ne dure que quelques heures.</p>
<p>Citons notamment en 2016 le record de l’année : <a href="https://www.wired.com/2016/05/insane-81m-bangladesh-bank-heist-heres-know/">81 M$ qui ont quitté « les coffres » de la Bangladesh Bank de façon non légitime</a>.</p>
<p><strong>Le mode opératoire de l’attaque sur la </strong><em><strong>Bangladesh Bank</strong>, </em>ayant eu lieu au mois de février, permet de mieux comprendre comment le détournement de telles sommes est possible.</p>
<p>Les attaquants ont commencé par<strong> ouvrir au mois de Mai 2015 des comptes à la banque <em>RCBC</em> aux Philippines</strong> sous de fausses identités. Ils ont ensuite réussi à s’introduire dans le SI de la <em>Bangladesh Bank, </em>par une faille non identifiée.</p>
<p>Vient alors la phase préparatoire lors de laquelle <strong>ils ont installé sur le réseau de la banque un malware espion spécialement développé</strong> qui les renseigne sur les horaires de fonctionnement de l’équipe en charge des transactions SWIFT afin de s’aligner sur les pratiques de la banque. Ils parviennent aussi à récupérer les identifiants des opérateurs ayant les droits de création, approbation et exécution de ces transactions.</p>
<p>A la suite de cette période de préparation, l’attaque est lancée en Février 2016 avec <strong>35 transactions frauduleuses ordonnées à la </strong><em><strong>New York FED</strong>,</em> gérant des comptes de la <em>Bangladesh Bank</em> pour un total de <strong>951 millions de dollars</strong> vers des comptes de la RCBC aux Philippines, créés au préalables et associés à l’industrie du jeu et des casinos. La principale nouveauté repose dans le fait que le malware utilisé modifie les confirmations de transactions, supprime les enregistrements électroniques des ordres et bloque l’impression des récépissés papier pour ne laisser aucune trace de la fraude.</p>
<p><strong>31 transactions seront bloquées</strong> par le système anti-fraude de la <em>New York FED</em> et les intermédiaires en cours de route, mais au final <strong>4 transactions sont validées pour un montant total de 81 millions de dollars.</strong> Les fonds seront ensuite retirés des comptes pour être blanchis. L’enquête implique le FBI et le gouverneur de la<em> Bangladesh Bank </em>a été limogé.</p>
<p>En réponse à cette attaque et à des tentatives similaires contre des banques Vietnamiennes et Equatoriennes, <a href="http://www.reuters.com/article/us-bangladesh-heist-swift-fed-idUSKCN0Y22O8">le SWIFT a lancé en 2016 un programme de sensibilisation pour ses clients ainsi que des recommandations pour une meilleure cyber sécurité</a>.</p>
<p>&nbsp;</p>
<h2>A quoi s’attendre pour la suite ?</h2>
<p>Ce contexte agité promet donc <strong>une année 2017 sous haute vigilance pour tous les acteurs du monde financier</strong>. La tendance à mener des attaques en profondeur contre leurs systèmes devrait s’intensifier, nécessitant une réelle évolution dans l’appréhension de la cybersécurité. Certaines annonces tonitruantes comme celle réalisé au Royaume-Uni « <a href="http://www.bbc.com/news/business-38517517">a major bank will fail</a> »  tente d’alerter sur cette situation.</p>
<p>La capacité des attaquants à agir directement sur les éléments clés du SI bancaire tels que le système anti-fraude et les applications métier impose aux banques de durcir leur sécurité informatique à tous les niveaux ; que ce soit par exemple avec la protection contre les intrusions, une meilleure gestion des identités ou des systèmes d’authentification forte pour les utilisateurs sensibles.</p>
<p>La spécificité du milieu bancaire à fonctionner sur <strong>un modèle de réseau fortement interconnecté</strong> implique que la cybersécurité des services partagés, tels que les systèmes de transactions internationaux ciblés à plusieurs reprises, soit <strong>abordée globalement afin de garantir un niveau de sécurité cohérent</strong> entre les établissements financiers.</p>
<p>&nbsp;</p>
<p><i>Article réalisé conjointement avec les travaux de préparation du panorama de la cybercriminalité du <a href="https://clusif.fr/">CLUSIF </a>2017 sur la partie « menaces touchant la finance ». </i></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/02/2016-cyberattaques-touchent-banque-fronts/">2016 : les cyberattaques touchent la banque sur tous les fronts</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Crash test cyber : la solution pour sécuriser la voiture autonome ?</title>
		<link>https://www.riskinsight-wavestone.com/2016/11/crash-test-cyber-solution-securiser-voiture-autonome/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Mon, 28 Nov 2016 08:17:10 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[cyber]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[véhicule connecté]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=9317</guid>

					<description><![CDATA[<p>La voiture autonome, ou connectée, représente le futur du secteur automobile et un vrai bouleversement dans nos habitudes de conduite au quotidien. Mais les récentes démonstrations montrent que ces véhicules ne sont pas à l’abri d’une d’attaque cyber. &#160; Des...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/11/crash-test-cyber-solution-securiser-voiture-autonome/">Crash test cyber : la solution pour sécuriser la voiture autonome ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>La voiture autonome, ou connectée, représente le futur du secteur automobile et un vrai bouleversement dans nos habitudes de conduite au quotidien. Mais les récentes démonstrations montrent que ces véhicules ne sont pas à l’abri d’une d’attaque cyber.</em></p>
<p>&nbsp;</p>
<h2><strong>Des risques bien réels : les exemples Jeep Chrysler et Tesla </strong></h2>
<p>Une voiture autonome, <strong>c’est par définition une voiture connectée</strong> : GPS, capteurs, accès Internet par 3G/4G… Tous ces éléments sont autant de portes d’entrée vers une <strong>voiture qui devient ni plus ni moins qu’un réseau où sont connectés des dizaines d’ordinateurs spécialisés</strong>. Ces derniers sont en charge de gérer les différents composants du véhicule. Volant, frein, accélérateur, tous doivent être informatisés pour que le « cerveau » de la voiture autonome puisse les diriger.</p>
<p>La <strong>combinaison de ces connexions externes et de l’informatisation des fonctions de conduites pose aujourd’hui des risques bien réels</strong>. Pendant longtemps jugées théoriques, la capacité d’attaque des voitures connectées a été démontré dans 2 cas emblématiques. Le 1<sup>er</sup> visait une <a href="https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/">Jeep Chrysler</a>, a l’été 2015. Charlie Miller et Chris Valasek ont montré comment, après plusieurs années de recherche, ils ont pu prendre le contrôle du véhicule de série à distance. En aout 2016, ils ont montré qu’ils pouvaient aller encore plus loin dans la capacité à <a href="https://www.wired.com/2016/08/jeep-hackers-return-high-speed-steering-acceleration-hacks/">contrôler les fonctions de pilotage</a>. Le 2<sup>ème</sup> a touché Tesla en septembre 2016, dans le même esprit une équipe de chercheurs Chinois de Tencent a <a href="https://www.wired.com/2016/09/tesla-responds-chinese-hack-major-security-upgrade/">réussi à piéger une Tesla</a> et à en prendre le contrôle intégralement.</p>
<p>Derrière, les <strong>conséquences ont été lourdes</strong> : impact sur l’image des constructeurs et surtout programme de rappel coûteux pour Jeep Chrysler via l’envoi de clés USB aux millions de clients concernés. Tesla, plus habitué à l’environnement cyber, disposait de moyens pour mettre à jour ces véhicules à distances et a réussi en une dizaine de jours à couvrir ces failles. À noter que ce délai est particulièrement court par rapport au contexte actuel des objets connectés.</p>
<p>&nbsp;</p>
<h2><strong>Une prise de conscience en progression</strong></h2>
<p><strong>Ces deux démonstrations ont fait prendre conscience</strong> au grand public et aux constructeurs des enjeux de la cybersécurité. Beaucoup d’entre eux investissent et se renforcent sur cet aspect. Volkswagen vient par exemple d’investir pour créer la société <a href="http://www.zdnet.com/article/volkswagen-launches-new-cybersecurity-firm-to-tackle-car-security/">Cymotive</a>. Tesla a lancé historiquement un programme de « <strong>bug bounty </strong>» permettant aux chercheurs en sécurité d’être rémunérés s’ils trouvent des failles sur les véhicules, ceci pouvant éviter aussi que ces failles soient revendues sur les marchés noirs de la cybercriminalité.</p>
<p>&nbsp;</p>
<h2><strong>Le crash test cyber ou comment bien choisir sa voiture autonome !</strong></h2>
<p>Tous les constructeurs ne sont pas au même niveau de prise de conscience et d’investissement. Mais alors <strong>comment en tant que particulier choisir une voiture qui sera « cybersécurisée » ?</strong> Aujourd’hui, au-delà de quelques papiers de recherche, il n’y a pas de moyens simples de répondre à cette question. Il serait temps que les organismes en charge des crash-test, tel qu’EuroNcap, s’empare du sujet et définissant des indicateurs de cybersécurité d’un véhicule ! <strong>Quelques éléments simples peuvent permettre d’évaluer le niveau de sécurité</strong> : niveau d’isolation des fonctions de pilotage de celle de connexion à Internet, capacité de mise à jour fiable et non bloquante, alerte du conducteur et du constructeur en cas d’attaque…</p>
<p>Ceci permettrait simplement, par un système d’étoiles compréhensible par tous, d’évaluer la cybersécurité des véhicules. Les clients pourraient alors faire leur choix en connaissance de cause. Et comme pour les crash tests habituels, cela mobiliserait les constructeurs sur la cybersécurité !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/11/crash-test-cyber-solution-securiser-voiture-autonome/">Crash test cyber : la solution pour sécuriser la voiture autonome ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Nouveau règlement eIDAS : retour sur un projet de mise en conformité</title>
		<link>https://www.riskinsight-wavestone.com/2016/11/eidas-retour-projet-de-mise-conformite/</link>
		
		<dc:creator><![CDATA[Florian Feuillard]]></dc:creator>
		<pubDate>Mon, 07 Nov 2016 07:00:03 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Compliance]]></category>
		<category><![CDATA[conformité]]></category>
		<category><![CDATA[eIDAS]]></category>
		<category><![CDATA[EU]]></category>
		<category><![CDATA[interview]]></category>
		<category><![CDATA[Règlementation]]></category>
		<category><![CDATA[trusted services & eIDAS]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=9259</guid>

					<description><![CDATA[<p>Le Conseil Supérieur du Notariat (CSN) est l’un des premiers acteurs français à entamer une démarche de mise en conformité avec le nouveau règlement eIDAS. En sa qualité de Prestataire de Services de Confiance, le CSN dispose d’une autorité de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/11/eidas-retour-projet-de-mise-conformite/">Nouveau règlement eIDAS : retour sur un projet de mise en conformité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><a href="https://www.notaires.fr/fr/le-conseil-sup%C3%A9rieur-du-notariat">Le Conseil Supérieur du Notariat</a> (CSN) est l’un des premiers acteurs français à entamer une démarche de mise en conformité avec le <a href="https://www.riskinsight-wavestone.com/2016/10/eidas-route-vers-europe-de-confiance-numerique/">nouveau règlement eIDAS</a>. En sa qualité de <a href="https://www.riskinsight-wavestone.com/2016/04/confiance-numerique-que-doit-on-attendre-du-reglement-eidas/">Prestataire de Services de Confiance</a>, le CSN dispose d’une autorité de certification émettant notamment des certificats de signatures à destination des notaires pour la signature d’actes authentiques.</p>
<p>Retour sur ce règlement et sur ce projet de mise en conformité avec Didier Lefèvre (DSI, CSN) et Yannick Thomassier (DSSI, Real.Not, opérateur de l’IGC du CSN).</p>
<h2>Que pensez-vous de ce nouveau règlement ?</h2>
<p>Yannick Thomassier : Avant ce règlement, il existait la directive 1999/93/CE mais un audit effectué dix ans après sa mise en place a mis en lumière ses limites. La réflexion initiée alors par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe) est claire : « […] la Commission a désigné la fragmentation du marché du numérique, le manque d’interopérabilité et l’augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l’économie numérique ». Le règlement européen se veut remédier à certaines lacunes de la directive 1999/93/CE en imposant une même base légale à tous les États membres. Cependant le règlement n’a pas été pour le moment assorti des actes d’exécution nécessaires à une transposition technique unique au sein de l’Europe. Chaque État membre doit donc décider de la façon dont il l’appliquera et ainsi fixer ses propres règles. Ceci correspond finalement au schéma d’implémentation que nous connaissons actuellement avec la directive 1999/93/CE. En cela le règlement n’a pas encore complètement rempli ses promesses.</p>
<p>Didier Lefèvre : Néanmoins, une des vertus d’eIDAS est qu’il vise à établir une référence sur l’ensemble de la chaine de confiance. Ceci est une amélioration par rapport à la directive 1999/93/CE qui n’adressait qu’un spectre réduit, à savoir la signature électronique.</p>
<h2>Pourquoi vous lancez-vous aujourd’hui dans cette mise en conformité eIDAS ?</h2>
<p>YT : Nous sommes dans l’obligation de nous mettre en conformité dans la mesure où la signature des notaires est une signature qualifiée.</p>
<h2>Quelles sont les opportunités que représente ce règlement pour vous ?</h2>
<p>YT : Nous y voyons un intérêt pour le développement de la signature dans le Cloud. L’utilisation de la carte à puce pour signer des actes notariés est un premier pas vers la dématérialisation, mais celle-ci reste encore très contraignante. Or aujourd’hui, l’usage informatique ne se limite plus à un ordinateur, mais il inclut les smartphones, les tablettes, etc. Le notaire est de plus en plus mobile, et il doit être capable de signer via ces dispositifs afin de se démarquer et répondre aux besoins de ses clients. Le règlement eIDAS est une formidable opportunité d’offrir d’autres moyens de signature qualifiée.</p>
<h2>Quelles sont la/les principale(s) difficulté(s) que vous avez rencontrée(s) ?</h2>
<p>YT : Le planning. Nous avons opté pour une anticipation maximale de cette mise en conformité, car le changement est un processus fastidieux et très long : il faut compulser de nombreux documents, définir de nouveaux processus, mettre en œuvre parfois de nouveaux produits et faire concorder le tout dans un planning qui respecte les jalons fixés dans le règlement lui-même. D’autant plus qu’en tant que professionnel du droit, nous nous devons d’être prêts au bon moment.</p>
<h2>Quels conseils donneriez-vous à ceux qui souhaiteraient se lancer dans un projet de conformité similaire ?</h2>
<p>YT : Il y a principalement deux points sur lesquels il faut être vigilant. D’une part, il est nécessaire de faire preuve d’agilité face à un nouveau règlement, soumis à de potentielles évolutions. Le corpus documentaire technique français par exemple n’est pas encore figé. D’autre part il faut se mettre en ordre de marche assez rapidement afin de préparer l’audit de certification dans de bonnes conditions.</p>
<h2>Comment voyez-vous le futur concernant ce règlement européen ?</h2>
<p>YT : L’implémentation technique du règlement eIDAS est sujette à l’interprétation de la part des organes de contrôle nationaux. Cela pourrait impacter son déploiement. Il pourrait donc il y avoir une phase 2 au règlement afin d’en clarifier l’implémentation et rendre ainsi son déploiement homogène au sein de l’Europe.</p>
<h2>Et pour la suite ?</h2>
<p>YT : Nous espérons obtenir notre qualification eIDAS dans les temps. Rendez-vous le 1er juillet 2017 !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/11/eidas-retour-projet-de-mise-conformite/">Nouveau règlement eIDAS : retour sur un projet de mise en conformité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cybersécurité : l’heure du bilan pour les SOC</title>
		<link>https://www.riskinsight-wavestone.com/2016/08/cybersecurite-lheure-bilan-soc/</link>
		
		<dc:creator><![CDATA[Hugo.MORET@wavestone.fr]]></dc:creator>
		<pubDate>Tue, 23 Aug 2016 09:53:40 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CASB]]></category>
		<category><![CDATA[LPM]]></category>
		<category><![CDATA[OIV]]></category>
		<category><![CDATA[PDIS]]></category>
		<category><![CDATA[Security Operations Center]]></category>
		<category><![CDATA[SIEM]]></category>
		<category><![CDATA[SOC]]></category>
		<guid isPermaLink="false">https://www.solucominsight.fr/?p=9163</guid>

					<description><![CDATA[<p>De la création des premières équipes au début des années 2000 à la multiplication des initiatives pour répondre aux premières attaques ciblées dix ans plus tard, les équipes de sécurité opérationnelle ou SOC (Security Operational Center) doivent relever des challenges...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/08/cybersecurite-lheure-bilan-soc/">Cybersécurité : l’heure du bilan pour les SOC</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>De la création des premières équipes au début des années 2000 à la multiplication des initiatives pour <strong>répondre aux premières attaques ciblées</strong> dix ans plus tard, les équipes de sécurité opérationnelle ou SOC (<em>Security Operational Center</em>) doivent <strong>relever des challenges</strong> de plus en plus importants : <strong>détecter</strong> toujours plus efficacement et rapidement pour pouvoir <strong>réagir</strong> de manière appropriée.</p>
<p>À quelles <strong>difficultés</strong> font face ces équipes au quotidien ? Comment <strong>rester efficace</strong> alors que les attaques des cybercriminels deviennent <strong>extrêmement élaborées</strong> ?</p>
<h2>Le SIEM : un pilier du SOC… à condition d’être bien implémenté !</h2>
<p>L’apparition d’outils comme le <strong>SIEM</strong> (<em>Security Information and Event Management</em>), il y a environ 10 ans, a permis aux équipes de sécurité opérationnelle d’<strong>industrialiser</strong> la surveillance en <strong>simplifiant</strong> l’analyse de multiples sources d’événements de sécurité (console antivirus, proxy, <em>Web Application Firewall</em>…). Cet outil a également rendu possible la corrélation de nombreux événements provenant d’équipements ou d’applications hétérogènes pour <strong>détecter des scenarii de menace avancés</strong>.</p>
<p>Cependant, la mise en place d’un SIEM doit être le résultat d’un projet ayant un <strong>investissement proportionnel à la complexité</strong> du système d’information surveillé. En effet, la pertinence d’un SIEM repose à la fois sur :</p>
<ul>
<li>La présence de <strong>contrôles contextualisés</strong> au système d’information (notamment au travers de l’exploitation de la sensibilité des <em>assets</em> surveillés).</li>
<li>L’étude et l’implémentation de<strong> scénarii de menaces</strong> avancés et adaptés aux enjeux du métier de l’entreprise.</li>
</ul>
<p>Concernant le périmètre de surveillance, les premiers équipements habituellement intégrés sont les<strong> équipements de sécurité</strong> car ils sont nativement configurés pour laisser des traces exploitables pour les équipes opérationnelles. Il est néanmoins souvent constaté que leur intégration se limite à une<strong> simple retranscription</strong> des contrôles déjà existants ; ce qui ne permet pas de tirer parti de la corrélation d’évènements proposé par un SIEM.</p>
<p>En revanche, l’intégration d’applications métiers est plus délicate en raison notamment des besoins différents entre les équipes métiers et sécurité : la principale préoccupation pour le métier se résume généralement à l’indisponibilité de son application (ou de certaines de ses fonctionnalités), alors que la sécurité adresse un <strong>éventail de risques plus complet</strong>, que ce soit de l’<strong>indisponibilité</strong>, de la <strong>compromission</strong> de l’<strong>intégrité</strong> de données ou encore de la <strong>fuite</strong> d’informations confidentielles.</p>
<p>Il s’avère donc primordial de <strong>sensibiliser les métiers</strong> aux enjeux sécurité dans leur ensemble pour pouvoir déterminer des scenarii de menace réalistes et propres à chaque périmètre. De plus, ces applications n’ont traditionnellement pas de fonctionnalités avancées en termes de sécurité. Par conséquent, il est difficile de disposer d’un système de surveillance efficace (configuration d’envoi de logs complexe, fichiers de logs très peu verbeux…).</p>
<p>De manière générale, l’implémentation trop simpliste de contrôles dans un SIEM rend l’activité du SOC inefficace. Les équipes de surveillance se voient alors<strong> noyées de « faux positifs »</strong> et les évènements de sécurité sont traités unitairement au lieu d’être <strong>analysés dans leur ensemble</strong> afin de détecter de réels scenarii de menace (par exemple : une authentification non autorisée sur un serveur puis la désactivation de son antivirus devra être traité comme un seul incident à investiguer).</p>
<h2>Des équipes pas assez intégrées dans l’organisation de la sécurité</h2>
<p>Outre les problématiques liées à une mauvaise implémentation du SIEM évoquées ci-dessus, on constate également des problématiques d’ordre <strong>organisationnel</strong>.</p>
<p>En effet, le SIEM est souvent perçu comme une « <strong>boîte noire </strong>» par les analystes de niveau 1 et 2 au sein des équipes du SOC. Cela est généralement dû à la <strong>méconnaissance</strong> des problématiques réelles de production (identification des <em>assets</em> critiques, des interactions entre les différents systèmes…). Les incidents détectés par le SIEM se retrouvent alors tous traités au même niveau <strong>sans aucune priorisation </strong>et identification en amont des éléments les plus sensibles.</p>
<p>Pour maintenir un niveau de compétence suffisant au sein des équipes de sécurité opérationnelle, de la <strong>veille technologique</strong> doit être réalisée par les investigateurs niveau 3 pour ensuite être communiquée aux analystes niveau 1 et 2. Des sujets tels que la<strong> présentation de nouveaux IOC</strong> (<em>Indicator Of Compromise</em>) venant compléter des règles de détection permettront aux équipes de gagner en efficacité dans leur manière d’appréhender les incidents. Ces types d’initiatives contribueront à l’<strong>amélioration continue</strong> du service en évitant sa dégradation dans le temps.</p>
<p>De plus, les équipes doivent <strong>participer en continu aux nombreuses initiatives</strong> sécurités initiées par la DSI tels que des projets de sécurisation des infrastructures ou applications. Par ailleurs, des <strong>exercices de gestion de crises</strong> doivent être organisés afin d’éprouver les différents processus et outils mis en place et de permettre aux interlocuteurs métiers et sécurité de pouvoir échanger sur leurs rôles respectifs en cas de crise.</p>
<p>Dans un contexte où la cybercriminalité ne cesse de se réinventer (comme le démontre l’<a href="http://www.securityinsider-solucom.fr/2016/06/retour-sur-laffaire-swift-synthese-des.html">attaque sur les systèmes <em>Swift</em></a> récente), les équipes opérationnelles sont de plus en plus sollicitées pour intégrer de nouveaux périmètres. Cette <strong>pression constante</strong> exercée notamment par les décideurs accentue les phénomènes de <strong>mauvaise implémentation des contrôles</strong> et de méconnaissance des scénarii de menace réels. Une bonne surveillance nécessite plus qu’un simple envoi de logs dans un SIEM ; les équipes projet doivent s’efforcer de respecter et faire respecter le processus complet d’intégration de nouveaux périmètres : identification des scénarii d’attaques, mise en place des mécanismes de collecte, création des règles de détection, tests et mise en production. L’oubli d’une de ces étapes risque de rendre la collecte des logs du périmètre inutile.</p>
<h2>Quel avenir pour les SOC ?</h2>
<p>De nombreux facteurs vont venir bouleverser l’écosystème des prestataires de la sécurité opérationnelle.</p>
<p>En effet, <strong>la LPM</strong> (Loi de Programmation Militaire) va exiger de tous les OIV (Opérateur d&rsquo;Importance Vitale) de choisir des <strong>prestataires certifiés PDIS</strong> (Prestataires de Détection des Incidents de Sécurité), pour ceux qui font appel à de telles prestations externes. De nombreux prérequis seront nécessaires afin de pouvoir être certifié, tels que le <strong>cloisonnement des données des clients</strong> ou la <strong>mise en place de zones d’administrations</strong> (enclaves), uniquement accessible par le prestataire, par lesquelles les logs seront récupérés pour ensuite être transmis au SIEM. Ces facteurs vont entraîner de nombreux changements au sein des organisations et infrastructures mises en place actuellement.</p>
<p>Par ailleurs, la part grandissante du <em>cloud</em> dans les systèmes d’information des entreprises amène une nouvelle complexité : celle de la c<strong>ollecte des logs auprès des fournisseurs</strong><em>.</em> De nouveaux acteurs sont donc apparus dans le marché de la sécurité : <strong>les CASB</strong> (<em>Cloud Access Security Brokers</em>). Leur promesse : répondre aux problématiques de sécurité pour le <em>cloud</em>. Ces entités se situent entre les utilisateurs et les divers services <em>cloud</em> et proposent de nouvelles briques de sécurité telles que l’utilisation d’API pour détecter directement des scenarii de menaces (création de fichiers de journalisation des accès aux applications, implémentation de ces données dans un SIEM…).</p>
<h2>L’objectif de demain : gagner en maturité</h2>
<p>La sécurité opérationnelle a encore <strong>de nombreux défis à relever</strong>. La plupart des entités assurent actuellement l’<strong>hygiène minimum du système d’information</strong> et la maturité des équipes leur permet de se prémunir des menaces diffuses (virus, spam…). Cependant, le dispositif actuel<strong> doit se renouveler</strong> afin de répondre aux nouveaux enjeux liés à la cybersécurité pour pouvoir lutter contre les <strong>menaces opportunistes</strong> (hacker isolé) et <strong>ciblées</strong> (cyber-mafia, gouvernement), plus complexes à détecter.</p>
<p>Dans ce contexte et face aux obligations légales, les SOC ont (et auront) un <strong>rôle très important à jouer</strong> nécessitant une <strong>expertise technique approfondie</strong> ainsi qu’une <strong>intégration avec la sécurité dans les projets.</strong></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/08/cybersecurite-lheure-bilan-soc/">Cybersécurité : l’heure du bilan pour les SOC</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>JO2016 : qui aura la médaille d’or chez les cybercriminels ?</title>
		<link>https://www.riskinsight-wavestone.com/2016/08/jo2016-medaille-dor-cybercriminels/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Thu, 04 Aug 2016 13:55:15 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[bonnes pratiques]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[menace]]></category>
		<category><![CDATA[sensibilisation]]></category>
		<category><![CDATA[Threat intelligence]]></category>
		<guid isPermaLink="false">https://www.solucominsight.fr/?p=9143</guid>

					<description><![CDATA[<p>Les JO approchent et les risques cyber associés également, n’hésitez pas à relayer cet article de sensibilisation au ton volontairement ludique. Il n’y a pas que les athlètes qui préparent l’événement sportif international de l’année, les cybercriminels également. Chaque spécialité...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/08/jo2016-medaille-dor-cybercriminels/">JO2016 : qui aura la médaille d’or chez les cybercriminels ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Les JO approchent et les risques cyber associés également, n’hésitez pas à relayer cet article de sensibilisation au ton volontairement ludique.</em></p>
<p>Il n’y a pas que les athlètes qui préparent l’événement sportif international de l’année, les cybercriminels également. Chaque spécialité est bien représentée et va lutter pour obtenir la médaille d’or de la méthode la plus efficace de vol et de fraude. Tour d’horizon des équipes en présence et de leur stratégie.</p>
<h1>L’équipe Phishing et son lancer de faux emails</h1>
<p>Habituée des grands événements, <strong>l’équipe Phishing inonde les boîtes emails de faux messages demandant de communiquer des données sensibles</strong> comme ses identifiants ou ses coordonnées bancaires. Leur meilleure technique pendant les JO : vous proposer des loteries pour gagner des tickets gratuits ou des accès à des retransmissions TV ! Le meilleur moyen de leur résister ? Être attentif aux messages trop alléchants, trop urgents et qui contiennent des fautes de frappe ou de grammaire. Un bon réflexe : ne jamais aller sur un site en cliquant sur un lien depuis un email, mais le retaper directement dans le navigateur.</p>
<h1>Les cybersquatters et leurs tours de passe-passe quasi indétectables</h1>
<p>Les cybersquatters affutent leurs méthodes depuis plusieurs mois, ils ont créé près de <strong>4000 faux sites web</strong> dont l’adresse <a href="http://www.computerworld.com/article/3103289/security/cybercrime-infrastructure-being-ramped-up-in-brazil-ahead-of-olympics.html">ressemble étrangement à celle des sites officiels</a> mais qui vous emmènent dans leurs pièges ! Quoi de plus ressemblant entre www.rio-olympics.com et www.rio-olympisc.com ? Restez donc attentifs aux sites que vous visitez en vous assurant qu’ils ne contiennent pas d’erreur dans leur nom. Vous éviterez ainsi de tomber sur des sites dangereux qui pourraient vous forcer à télécharger des logiciels malveillants ou vous demander des données personnelles.</p>
<h1>L’équipe Ransomware et sa clé de bras numérique</h1>
<p>Cette équipe a un moyen très efficace pour vous soutirer de l’argent, elle bloque votre ordinateur et/ou votre téléphone portable et vous demande une rançon ! Une vraie clé de bras numérique digne d’un lutteur ou d’un judoka. <strong>L’équipe Ransomware joue collectif car elle fait souvent alliance avec les équipes Phishing et Cybersquatteurs</strong> qui leurs ouvrent la route via des faux emails ou des faux sites qui ensuite vous demande d’installer des logiciels complémentaires… Et c’est là où l’équipe Ransomware surgit et qu’<a href="http://www.businessrevieweurope.eu/technology/960/Phishing-ransomware-and-fake-tickets:-how-to-avoid-Rio-2016-cyber-crime">elle déploie ses outils qui bloqueront votre ordinateur</a>. Pour éviter d’être piégé, soyez très attentif et surtout n’installez pas d’applications alléchantes qui vous propose des accès gratuits à des flux TV ou à du contenu exclusif. Utilisez les boutiques d’applications officielles qui disposent d’un choix très fourni et légal.</p>
<h1>Les cybercriminels locaux et leurs faux points d’accès Wi-Fi</h1>
<p>Une équipe à domicile est toujours plus forte, c’est bien connu ! Et il faut s’attendre à ce que les cybercriminels brésiliens, présent sur place, essaient de <strong>détourner les bornes Wifi mises à disposition des visiteurs dans les lieux publics</strong> pour intercepter leurs échanges et ainsi voler des données. Le meilleur réflexe c’est d’acheter une <a href="http://prepaid-data-sim-card.wikia.com/wiki/Brazil">carte SIM locale</a> pour utiliser votre téléphone et accéder à Internet. Pour les plus férus de technologies, un VPN apportera également un bon niveau de protection, il existe de <a href="http://www.opera.com/blogs/news/2016/05/vpn-app-for-ios-free-surfeasy/">nombreuses applications comme celle d’Opera</a>. Et si vous devez vraiment utiliser du Wi-Fi, restez attentifs au moindre message d’erreur concernant la sécurité. Lorsque vous allez sur des sites Internet et que de tels messages apparaissent, c’est un signe que le point d’accès est peut-être piraté : déconnectez-vous immédiatement.</p>
<h1>L’équipe APT et sa précision redoutable</h1>
<p>Cette équipe ne vise pas le grand public, elle cherche à gagner la course en s’<strong>introduisant frauduleusement dans les systèmes de l’organisation des JO</strong>. Elle pourra ainsi y voler directement les données des athlètes, des spectateurs, mais aussi aller jusqu’à modifier des résultats, interrompre des compétitions ou empêcher leur rediffusion ! Le <strong>CIO est mobilisé sur ces menaces</strong> depuis de nombreuses années et met en œuvre un dispositif spécifique de cybersécurité. Le retour des JO de Londres nous montre clairement la <a href="http://www.computing.co.uk/ctg/news/2252841/how-the-london-olympics-dealt-with-six-major-cyber-attacks">réalité de cette menace avec plus de 165 millions d’événements </a>liés à la cybersécurité qui ont conduit à 6 attaques majeures. Rio devrait subir une pression encore plus forte au regard de l’évolution de la cybercriminalité sur ces 4 dernières années.</p>
<h1>Un bon réflexe : ce qui est trop beau pour être vrai est certainement un piège</h1>
<p>Ne tombez pas dans les pièges des cybercriminels, soyez <strong>attentifs</strong> lorsque vous surfez et lisez vos emails. Et n’oubliez pas de faire une <strong>sauvegarde de vos données</strong>, de <strong>mettre à jour votre ordinateur et votre téléphone</strong> en appliquant les<strong> correctifs de sécurité proposés</strong> et en vous assurant d’avoir un <strong>anti-virus à jour</strong>.</p>
<p>Voici l’entraînement que vous devez suivre pour vivre des Jeux Olympiques en toute cybersécurité !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/08/jo2016-medaille-dor-cybercriminels/">JO2016 : qui aura la médaille d’or chez les cybercriminels ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cybersécurité en Afrique : état des lieux et perspectives</title>
		<link>https://www.riskinsight-wavestone.com/2016/05/cybersecurite-en-afrique-etat-lieux-perspectives/</link>
		
		<dc:creator><![CDATA[Julien DOUILLARD]]></dc:creator>
		<pubDate>Mon, 23 May 2016 09:06:12 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Risk management]]></category>
		<guid isPermaLink="false">https://www.solucominsight.fr/?p=8991</guid>

					<description><![CDATA[<p>Avec 20% de de sa population connectée à Internet, l’Afrique est un continent en voie de connexion au cyberespace. Une partie des pays du continent profite des retombées économiques du numérique mais ceux-ci doivent aussi faire face aux cybermenaces qui...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/05/cybersecurite-en-afrique-etat-lieux-perspectives/">Cybersécurité en Afrique : état des lieux et perspectives</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Avec 20% de de sa population connectée à Internet, l’Afrique est un continent en voie de connexion au cyberespace. Une partie des pays du continent profite des retombées économiques du numérique mais ceux-ci doivent aussi faire face aux cybermenaces qui mettent en péril leur développement dans le cyberespace. Dès lors, comment se construit la cybersécurité en Afrique?</em></p>
<p>&nbsp;</p>
<h2>L’enjeu de la connectivité avant celui de la cybersécurité</h2>
<p>Avant d’évoquer pleinement la question de la cybersécurité en Afrique, il convient au préalable de poser une série de constats sur le niveau de connectivité du continent africain. Rappelons tout d’abord que le <a href="http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2015.pdf">taux d’accès de la population du continent à Internet a atteint 20% en 2015</a>, contre 77% en Europe. En cause, la faiblesse importante des infrastructures nationales rendant, dans certains pays, une connexion à Internet très onéreuse ; en République centrafricaine ou en Guinée une connexion haut débit peut coûter <a href="http://www.scidev.net/afrique-sub-saharienne/communication/actualites/taux-acces-internet-faible-afrique.html">jusqu’à 500 dollars par mois</a>. Par ailleurs, le développement rapide de l’Internet mobile en Afrique et l’essor des cybercafés dans certains pays ne participent que modestement à désenclaver numériquement la population. Et si certains observateurs saluent les nombreux projets en cours visant à <a href="http://www.trendmicro.nl/media/misc/africa-new-safe-harbor-for-cybercriminals-en.pdf">relier l’Afrique aux autres continents</a> par des câbles sous-marins, il est utile de rappeler que les gains de connectivité ne bénéficieront pleinement qu’aux populations dont les États auront préalablement résolu les <a href="http://www.scidev.net/afrique-sub-saharienne/energie/opinion/delestages-afrique-sortir-impasse.html">problèmes d’approvisionnement et de délestage électriques</a>, puis investi dans une infrastructure nationale des Technologies de l’Information et de la Communication (TIC).</p>
<p>Au regard de ces constats, il existe donc de profondes inégalités dans l’accès à Internet sur le continent, rendant ainsi certaines régions et une <strong>grande partie de la population totalement absente du cyberespace et de ses enjeux</strong>. Cette réalité, mise en parallèle avec les besoins d’une partie de la population africaine, éloigne évidemment bon nombre d’États africains de la problématique de la cybersécurité.</p>
<p>&nbsp;</p>
<h2>Une cybersécurité encore timide face aux menaces</h2>
<p>Pour autant, au-delà de ces insuffisances, il existe bel et bien un développement du numérique en Afrique, caractérisé par bon nombre <a href="http://www.lemonde.fr/afrique/article/2015/04/02/le-developpement-de-l-afrique-ne-peut-pas-etre-dissocie-de-celui-du-numerique_4608661_3212.html">d’études</a> comme porteur de croissance économique. De <a href="http://www.lemonde.fr/afrique/article/2015/04/02/quatorze-start-up-qui-font-bouger-l-afrique_4608623_3212.html">nombreux projets</a> fondés sur l’utilisation du numérique vont en effet dans ce sens, facilitant une sortie de la pauvreté et un développement économique local. Pour accompagner ce mouvement, certains pays comme le <a href="http://www.adie.sn/fr/infrastructures">Sénégal</a> ou le <a href="http://www.icta.go.ke/national-ict-masterplan/">Kenya</a> se sont dotés d’autorités chargées de piloter et promouvoir le développement des TIC au niveau national. Mais en Afrique comme ailleurs, le <strong>développement du numérique est synonyme de développement des menaces</strong>. À ce titre la Côte d’Ivoire et le Nigeria sont régulièrement cités comme <a href="http://koaci.com/cybercriminalite-cote-divoire-passe-depasser-nigeria-85617.html">principaux foyers de la cybercriminalité</a> sur le continent, encore principalement portée par les escroqueries de tout type (<a href="https://fr.wikipedia.org/wiki/Fraude_4-1-9">scam 419</a>). Un <a href="http://www.trendmicro.nl/media/misc/africa-new-safe-harbor-for-cybercriminals-en.pdf">rapport de Trend Micro</a> note par ailleurs un développement du défacement (cyberhacktivisme) et de formes plus lucratives de cybercriminalité (botnets, malwares, RATs). Jusqu’à présent, bien que le niveau de sophistication de la cybercriminalité en Afrique soit resté globalement limité, les insuffisances des États dans la lutte contre la cybercriminalité font craindre à terme une multiplication des actes cybercriminels, au détriment du développement de l’économie numérique.</p>
<p>Face à ces cybermenaces, force est de constater que l’action des États africains en matière de <strong>cybersécurité est globalement encore timide</strong>. À ce jour, <a href="https://ceis.eu/fr/note-strategique-lessor-du-numerique-en-afrique-de-louest-entre-opportunites-economiques-et-cybermenaces/">seulement 40% des pays africains disposeraient d’un cadre législatif</a> sanctionnant les actes liés à la cybercriminalité. Certains de ces pays disposent par ailleurs d’une autorité dédiée à la cybersécurité, voire d’un CERT dont le rôle est de répondre aux incidents. Mais bon nombre de pays africains peinent à <a href="https://www.issafrica.org/uploads/PolBrief73_cybercrime.pdf">lutter efficacement contre la cybercriminalité</a>, en raison notamment d’un déficit important de ressources. Ce manque touche autant la main d’œuvre qualifiée en cybersécurité, tant dans le secteur public que privé, que les formations dédiées et les ressources matérielles et technologiques adéquates. En outre, le <strong>faible nombre de mécanismes de coopération </strong>entre pays africains et avec le reste du monde complique considérablement l’identification, l’interpellation et le jugement des cybercriminels par les forces de l’ordre. Enfin, même si ce n’est pas l’apanage des pays africains, il existe un risque dans certains États que la cybersécurité soit dévoyée afin de <a href="http://www.bbc.com/news/business-32079748">limiter la liberté d’expression</a>, comme cela a été le cas en <a href="http://www.bbc.com/news/world-africa-13569129">Angola</a>.</p>
<p><strong>Quelques États africains sont toutefois remarquables</strong> par les efforts qu’ils déploient pour devenir des acteurs de la cybersécurité crédibles sur le continent, comme le Maroc qui multiplie les initiatives ces dernières années : <a href="http://www.medias24.com/MEDIAS-IT/161614-Le-Maroc-lance-son-plan-d-activites-2016-de-lutte-contre-la-cybercriminalite.html">plan d’action de lutte contre la cybercriminalité</a>, <a href="http://www.quid.ma/politique/cybersecurite-le-maroc-presente-sa-strategie-a-la-haye/">présentation de sa stratégie de cybersécurité</a> devant la 4<sup>ème</sup> conférence mondiale sur le cyberespace, <a href="http://aujourdhui.ma/actualite/maroc-espagne-cooperation-renforcee-en-matiere-de-cyber-securite-121457">coopération avec l’Espagne</a>… Le <a href="http://www.agenceecofin.com/securite/3103-18818-le-senegal-va-se-doter-d-un-centre-national-de-cyber-securite">Sénégal n’est pas non plus en reste</a> avec dernièrement la création d’un centre national de cybersécurité, d’un <a href="http://www.afriqueitnews.com/2015/09/18/cybersecurite-senegal-sequipe-dun-laboratoire-de-pointe/">laboratoire</a> dédiée à la lutte contre la cybercriminalité, une <a href="http://www.agenceecofin.com/securite/0804-37221-le-senegal-et-les-pays-bas-partageront-leur-expertise-dans-la-cybersecurite">coopération renforcée avec les Pays-Bas</a> et la France ou encore l’accueil d’une <a href="http://www.itmag.sn/agenda/conference-internationale-sur-la-cybersecurite/">rencontre régionale sur la cybersécurité</a>. Nous aurions pu également citer le Kenya ou l’Afrique du Sud.</p>
<p>&nbsp;</p>
<h2>Quelles perspectives pour la cybersécurité en Afrique ?</h2>
<p>Pour renforcer la lutte contre la cybercriminalité, l’Union Africaine (UA) a adopté en 2014 &#8211; après quatre années de négociation &#8211; une <strong><a href="https://www.issafrica.org/uploads/PolBrief73_cybercrime.pdf">convention sur la cybersécurité</a> et la protection des données personnelles</strong> fournissant aux États signataires un cadre légal commun régulant les activités des internautes. Bien que l’initiative aille dans un sens propice à la lutte contre la cybercriminalité, là aussi, certaines mesures du texte peuvent être utilisées pour limiter la liberté d’expression des citoyens des pays concernés. Le texte a donc été vivement contesté et, à ce jour, aucun pays de l’UA ne l’a ratifié, faisant de cette initiative un échec. Une poignée de pays africains ont néanmoins adhéré ou sont en voie d’adhésion à la convention de Budapest, élaborée par le Conseil de l’Europe, dont le contenu prête davantage au consensus puisqu’elle a déjà été ratifié par 44 pays, majoritairement européens.</p>
<p>D’autres initiatives émergent pour soutenir les actions des États dans la lutte contre la cybercriminalité, <a href="http://www.francophonie.org/Discours-d-Adama-Ouane-a-Grand.html">à l’image de l’Organisation Internationale de la Francophonie</a> (OIF) qui aspire à devenir un cadre d’échanges sur les meilleures pratiques entre les 80 États membres concernant la cybersécurité. Des <strong>initiatives se structurent également sur le plan régional</strong>, comme en attestent les rapprochements sur ces questions des <a href="http://www.lequotidien.sn/index.php/component/k2/lutte-contre-la-cybercriminalite-les-pays-de-la-cedeao-pour-le-partage-des-informations">États de la Communauté Économique des États d’Afrique de l’Ouest (CEDEAO) avec le Conseil de l’Europe</a><a href="#_ftn25" name="_ftnref25">[25]</a> et des <a href="http://www.unodc.org/unodc/fr/frontpage/2014/June/east-africa-tackles-cybercrime.html">États de l’East African Community (EAC) avec l’ONU</a>. Citons enfin les <strong>partenariats bilatéraux</strong> que peuvent tisser les pays, comme le programme de <a href="http://www.ssi.gouv.fr/actualite/ladie-et-lanssi-signent-un-protocole-de-cooperation-bilaterale/">coopération entre l’ANSSI et l’Agence De l’Informatique de l’État (ADIE) sénégalaise</a>, dont l’objectif est d’accroitre les capacités du Sénégal en matière de cybersécurité. Des <a href="http://afrique.lepoint.fr/actualites/cybersecurite-la-france-renforce-ses-partenariats-en-afrique-18-03-2016-2026407_2365.php">programmes similaires</a> existent avec le Gabon et le Maroc.</p>
<p>Les différentes initiatives régionales évoquées sont salutaires à deux titres. Elles permettent, au sein d’une même région, d’inscrire des États étant à différents niveaux de maturité dans une <strong>dynamique d’entraide</strong>, qu’il s’agisse de coopération judiciaire ou de partage d’informations et de bonnes pratiques. Par ailleurs, ces initiatives font intervenir des acteurs extra-africains (organisations internationales ou États) qui disposent de l’expertise (formation, entrainement, connaissance des menaces) et/ou de moyens financiers et matériels à même de soutenir les efforts des États africains. Mais ces mécanismes de coopération ne seront efficaces, à termes, que s’ils s’appuient au niveau national sur des outils et instruments crédibles au service d’une réelle volonté politique de renforcer la cybersécurité. Cela passe entre autre par la <strong>création et la mise en œuvre effective d’un cadre juridique</strong> de lutte contre la cybercriminalité, de forces de police dédiées, d’une stratégie nationale de sécurité des systèmes d’informations, d’une autorité dédiée ou encore d’un CERT.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/05/cybersecurite-en-afrique-etat-lieux-perspectives/">Cybersécurité en Afrique : état des lieux et perspectives</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>L’Europe de la cybersécurité : peut-on y croire ?</title>
		<link>https://www.riskinsight-wavestone.com/2016/03/leurope-de-cybersecurite-on-y-croire/</link>
		
		<dc:creator><![CDATA[Julien DOUILLARD]]></dc:creator>
		<pubDate>Mon, 28 Mar 2016 12:59:31 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Compliance]]></category>
		<category><![CDATA[CERT]]></category>
		<category><![CDATA[CSIRT]]></category>
		<category><![CDATA[cyberresilience]]></category>
		<category><![CDATA[ENISA]]></category>
		<category><![CDATA[FIC]]></category>
		<category><![CDATA[NIS]]></category>
		<category><![CDATA[sectoral regulations]]></category>
		<guid isPermaLink="false">https://www.solucominsight.fr/?p=8857</guid>

					<description><![CDATA[<p>Au cours du Forum International de la Cybersécurité (FIC) 2016, Günther Oettinger, commissaire européen chargé de l’économie et de la société numériques a fait un constat simple : l’économie européenne est profondément interconnectée au reste du monde, et ses secteurs...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/03/leurope-de-cybersecurite-on-y-croire/">L’Europe de la cybersécurité : peut-on y croire ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Au cours du <a href="https://ec.europa.eu/commission/2014-2019/oettinger/announcements/8th-international-cybersecurity-forum-lille-france_en" target="_blank" rel="noopener noreferrer">Forum International de la Cybersécurité </a>(FIC) 2016, Günther Oettinger, commissaire européen chargé de l’économie et de la société numériques a fait un constat simple : l’économie européenne est profondément interconnectée au reste du monde, et ses secteurs d’activité vitaux (santé, énergie, transport…), sont devenus dépendants des systèmes d’information.</em></p>
<h1>Le cyberespace, talon d’Achille de l’Europe</h1>
<p>En l’absence de sécurité suffisante, cette dépendance des États comme des entreprises peut rapidement <strong>se transformer en talon d’Achille</strong>. Elle peut en effet offrir à des individus, des organisations ou des États la possibilité de <strong>voler</strong> des secrets industriels ou des données en grande quantité, de <strong>détourner</strong> des fonds ou, pire, de <strong>détruire</strong> le potentiel économique ou de survie d’un État.</p>
<p>À titre d’exemple, en 2015 au Royaume-Uni, <a href="http://www.computerweekly.com/news/4500247376/Cost-of-UK-cyber-breaches-up-to-314m" target="_blank" rel="noopener noreferrer">90% des grandes entreprises et 74% des petites entreprises ont subi une cyberattaque</a>. Par ailleurs &#8211; en guise d’illustration des conséquences financières atteignables &#8211; <a href="http://www.bbc.com/news/uk-34675235" target="_blank" rel="noopener noreferrer">la cyberattaque subie par Talk Talk </a>lui a couté au total plus de 75 millions d’euros. Enfin, la cyberattaque contre la <a href="http://edition.cnn.com/2016/02/03/politics/cyberattack-ukraine-power-grid/" target="_blank" rel="noopener noreferrer">centrale électrique ukrainienne</a> démontre parfaitement le <strong>caractère potentiellement destructeur</strong> pour les États des cyberattaques contre leurs infrastructures critiques.</p>
<p>Face à un cyberespace qui est autant <strong>créateur de richesses que source de menaces</strong>, <strong>comment l’Union européenne prépare-t-elle sa cyber protection ?</strong></p>
<h1>Entre hétérogénéité, volonté d’harmonisation et désir de coopération</h1>
<p>Aujourd’hui, l’Europe de la cybersécurité repose essentiellement sur des États européens qui avancent <strong>en ordre dispersé</strong> lorsqu’il s’agit de se prémunir contre les cybermenaces ; il existe en effet une forte <strong>hétérogénéité</strong> entre les pays membres dans leur <strong>sensibilité</strong> et leur<strong> niveau de préparation</strong> en matière de cybersécurité, et peu d’initiatives associant deux ou plusieurs États sont mises en œuvre.</p>
<p>Sans surprise, la question de la cybersécurité se pose avec plus d’acuité aux <strong>principales puissances économiques</strong> et militaires européennes, qui ont le plus d’<strong>intérêt</strong> et le plus de <strong>capacités financières</strong> et <strong>technologiques</strong> pour se prémunir contre les menaces venues du cyberespace.</p>
<p>Avec le <strong>Royaume-Uni </strong>et l’<strong>Allemagne</strong>, la <strong>France</strong> fait partie de ces États, créant dès 2008 l’<a href="http://www.ssi.gouv.fr/agence/missions/nos-publics-et-nos-actions/" target="_blank" rel="noopener noreferrer">ANSSI </a>, l’autorité étatique dédiée à la cybersécurité, et se dotant dès 2013 d’<a href="https://www.solucominsight.fr/2013/08/loi-de-programmation-militaire-2013-de-reelles-avancees-pour-la-cybersecurite/" target="_blank" rel="noopener noreferrer">un cadre juridique</a> imposant aux <strong>Opérateurs d’Importance Vital</strong>e de protéger leurs systèmes d’importance vitale (article 22 de la <a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028338825&amp;categorieLien=id" target="_blank" rel="noopener noreferrer">loi de programmation militaire</a>). À cela s’ajoute la mise en œuvre de moyens <a href="http://www.ssi.gouv.fr/actualite/la-strategie-nationale-pour-la-securite-du-numerique-une-reponse-aux-nouveaux-enjeux-des-usages-numeriques/" target="_blank" rel="noopener noreferrer">civils </a>et <a href="http://www.defense.gouv.fr/portail-defense/enjeux2/cyberdefense/la-cyberdefense" target="_blank" rel="noopener noreferrer">militaires </a>dédiés à la protection contre les cybermenaces.</p>
<p><strong>Outre-Rhin</strong> nous pourrions par exemple citer <a href="http://www.computerweekly.com/news/4500257182/Germany-is-finalising-legislation-to-shore-up-CNI-cyber-security" target="_blank" rel="noopener noreferrer">une loi adoptée en 2015 </a>visant à accroître la cybersécurité des OIV allemands, ainsi que la coopération étroite qui lie l’ANSSI et son homologue allemand, le BSI <em>(<span class="st">Bundesamt für Sicherheit in der Informationstechnik</span>)</em>, depuis plus de cinq ans.</p>
<p><strong>Outre-Manche</strong> le gouvernement britannique a annoncé en 2015, <strong>1,9 milliards de livres sur cinq ans</strong> pour renforcer la cybersécurité du pays.<br />
Depuis quelques années, et face aux enjeux économiques que représente la cybersécurité pour la communauté européenne, les autorités de l’Union entendent participer davantage à la protection contre les cybermenaces, notamment en harmonisant la législation.</p>
<p>Depuis 2005, <a href="https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185" target="_blank" rel="noopener noreferrer">la Convention de Budapest</a> , conçue par le Conseil de l’Europe, fournit par ratification à tout pays une <strong>trame et des outils juridique</strong>s leur permettant de mieux se prémunir contre la cybercriminalité.</p>
<p>Par ailleurs, la directive <em><a href="https://ec.europa.eu/digital-single-market/en/news/network-and-information-security-nis-directive" target="_blank" rel="noopener noreferrer">Network and Information Systems</a></em> (NIS), prochainement adoptée, <strong>harmonisera</strong> automatiquement à l’échelle européenne les obligations des opérateurs de services essentiels (dénomination issue de la directive NIS) pour la protection de leurs systèmes d’information. Dans le même temps <a href="https://www.solucominsight.fr/2016/03/8822/">le futur règlement européen sur la protection des données personnelles </a>devrait accroître la maîtrise des organisations sur les données qu’elles collectent, traitent et stockent, et donc limiter les conséquences des cyberattaques en terme de fuite.</p>
<p>Enfin, il a été annoncé par la Commission européenne lors du FIC 2016 que la cybersécurité fera, dans un avenir proche, <strong>de plus en plus partie des textes européens à portée sectorielle.</strong></p>
<p>La <strong>directive NIS</strong> définit en outre une <strong>gouvernance européenne de la cybersécurité,</strong> inédite et résolument tournée vers la coopération entre les instances européennes (Commission européenne, <a href="https://www.enisa.europa.eu/about-enisa" target="_blank" rel="noopener noreferrer">ENISA </a>&#8211; Agence Européenne chargée de la sécurité des réseaux et de l&rsquo;information -, CERT-EU &#8211; Computer Emergency Response Team -)  et entre les États membres.</p>
<p><strong>Deux nouveaux organes seront donc créés :</strong></p>
<ul>
<li><strong>Un groupe de coopération</strong> chargé de <strong>soutenir et de faciliter la coopération stratégique</strong> entre les États membres, notamment à travers l’échange d’informations et de bonnes pratiques. Ce groupe réunira la Commission européenne, l’ENISA et les représentants des États membres.</li>
<li>Un<strong> réseau de CSIRTs</strong> (Computer Security Incident Response Team), regroupant le <strong>CERT-EU</strong> et le <strong>CSIRT</strong> de chaque État membre dont l’existence est rendue obligatoire par la directive. Il est chargé de p<strong>romouvoir la coopération opérationnelle entre les États membres.</strong> L’ENISA assurera le secrétariat de ce réseau et la Commission européenne aura un statut d’observateur.</li>
</ul>
<h1>Des défis qui appellent une volonté politique commune</h1>
<p>Ces initiatives européennes &#8211; complémentaires des initiatives des États les plus avancés en matière de cybersécurité &#8211; sont évidemment salutaires, mais ne doivent pas faire oublier les défis, politiques et économiques, que l’Europe devra dépasser afin de <strong>disposer d’une cybersécurité efficace et assurant sa cyber résilience</strong>.</p>
<p>Au défi que pose la <strong>coopération de 28 États membres</strong> s’ajoute la question des <strong>moyens qui permettront sa mise en œuvre effective</strong>, tant au niveau stratégique qu’opérationnel. Nul doute que les États déjà en avance pérenniseront leurs efforts. Mais quid des autres États, les plus nombreux : <strong>mobiliseront-ils les moyens suffisants pour se protéger ?</strong> La problématique des moyens se pose aussi <a href="http://www.euractiv.fr/section/societe-de-l-information/news/l-ue-ne-consacre-pas-assez-de-fonds-a-la-cybersecurite/" target="_blank" rel="noopener noreferrer">au niveau de la gouvernance européenne</a> : à titre d’exemple le budget de l’ENISA est de seulement 10,1 millions d’euros. <strong>Ce budget est-il réellement à la hauteur des enjeux ?</strong></p>
<p>Par ailleurs, comment envisager une Europe de la cybersécurité <strong>sans une véritable industrie européenne de la cybersécurité ?</strong> De l’<a href="http://ec.europa.eu/smart-regulation/roadmaps/docs/2015_cnect_004_cybersecurity_en.pdf" target="_blank" rel="noopener noreferrer">aveu de la Commission européenne</a>, l’offre européenne est<strong> encore trop fragmentée</strong> et portée par des acteurs qui n’ont pas encore atteint une taille suffisante,<strong> portant préjudice à leur compétitivité face aux multinationales</strong>, américaines notamment. Mais une industrie suffisamment puissante économiquement, sachant produire des produits et services européens, est aussi <strong>un enjeu de souveraineté</strong>. À l’heure de la compétition économique mondiale, <strong>peut-on bâtir une Europe de la cybersécurité avec du matériel et des services chinois ou américains ?</strong></p>
<p>On ne peut que saluer les efforts que compte produire l’Europe en matière de cybersécurité dans les prochaines années. Stimulé par des cybermenaces toujours plus nombreuses, ce projet pourra-t-il s’appuyer sur une<strong> volonté politique et des actions communes et durables</strong> ? Ou bien la <strong>dynamique européenne lancée s’essoufflera-t-elle</strong> faute d’une volonté politique commune suffisante, laissant les États membres <strong>en ordre dispersé</strong> au sujet de la cybersécurité, à l’image de l<a href="http://www.lemonde.fr/idees/article/2012/09/18/europe-de-la-defense-mythes-et-realites_1761684_3232.html" target="_blank" rel="noopener noreferrer">’Europe de la sécurité ou de la défense</a> ?</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/03/leurope-de-cybersecurite-on-y-croire/">L’Europe de la cybersécurité : peut-on y croire ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cybercriminalité : savoir profiter des erreurs des attaquants</title>
		<link>https://www.riskinsight-wavestone.com/2015/08/attaques-ciblees-profiter-des-erreurs-des-attaquants-pour-mieux-les-comprendre-et-les-contrer/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Mon, 24 Aug 2015 13:00:59 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[analyse]]></category>
		<category><![CDATA[APT]]></category>
		<category><![CDATA[attaque]]></category>
		<category><![CDATA[audit & pentesting]]></category>
		<category><![CDATA[crise]]></category>
		<category><![CDATA[Cyberattaque]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=8183</guid>

					<description><![CDATA[<p>L’affaire Ashley Madison semble le prouver une fois de plus, les cybercriminels commettent des erreurs qui peuvent leur nuire. Détecter ces fautes et savoir les utiliser sont des éléments essentiels dans la gestion des crises cyber. Des attaques dont les...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/08/attaques-ciblees-profiter-des-erreurs-des-attaquants-pour-mieux-les-comprendre-et-les-contrer/">Cybercriminalité : savoir profiter des erreurs des attaquants</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>L’affaire Ashley Madison semble le prouver une fois de plus, les cybercriminels commettent des erreurs qui peuvent leur nuire. Détecter ces fautes et savoir les utiliser sont des éléments essentiels dans la gestion des crises cyber.</em></p>
<h2>Des attaques dont les objectifs sont souvent difficiles à cerner</h2>
<p>L’actualité le montre trop régulièrement, les actes cybercriminels se multiplient et visent tous types d’organisation. Certains sont revendiqués et leurs objectifs sont rapidement connus. <a href="http://www.wired.com/wp-content/uploads/2015/08/AshleyMadison-Data-Dump2.jpg" target="_blank" rel="noopener noreferrer">C’est le cas pas exemple de l’attaque visant le site Ashley Madison où les motivations sont explicites</a>.</p>
<p>Mais dans la plupart des cas, les objectifs de l’attaquant sont beaucoup plus difficiles à identifier ! Il est pourtant crucial de le faire pour pouvoir réagir au mieux et protéger rapidement ce qui n’a pas encore été touché par l’attaque.</p>
<p>Une des clés pour mieux comprendre une attaque consiste à exploiter les erreurs des attaquants. En effet, malgré leur niveau de compétences potentiellement élevé, les pirates restent des humains et commettent souvent des erreurs. Des fautes qu’il est possible d’exploiter pour mieux comprendre l’attaque et la contrer, mais aussi pour identifier ceux à son origine.</p>
<h2>Utiliser les erreurs des attaquants pour mieux les comprendre</h2>
<p>Le cas récent d’Ashley Madison semble être un bon exemple, même s’il faudra attendre les investigations complètes pour confirmer tous les éléments. Les attaquants auraient diffusé les données volées via <em>BitTorrent</em> en utilisant un serveur loué chez un hébergeur aux Pays Bas. Ils auraient cependant <a href="http://arstechnica.com/security/2015/08/ashley-madison-hackers-leave-footprints-that-may-help-investigators/" target="_blank" rel="noopener noreferrer">oublié de sécuriser ce serveur</a>, en particulier ils n’ont pas mis de mot de passe sur les interfaces d’administration web. Même si cela ne permet pas de les identifier directement, il s’agit d’une piste de premier choix pour les forces de l’ordre en charge des investigations. Il faut cependant rester prudent car cela peut aussi être une forme de diversion réalisée par les attaquants. Affaire à suivre !</p>
<p>Autre exemple, le cas « <em>Red October</em> ». C’est l’affaire d’une vaste opération de cyber espionnage qui a commencé en mai 2007 et qui a été découverte par le cabinet Kaspersky quelques années plus tard. Le cabinet a réussi à <a href="http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Identifies_Operation_Red_October_an_Advanced_Cyber_Espionage_Campaign_Targeting_Diplomatic_and_Government_Institutions_Worldwide" target="_blank" rel="noopener noreferrer">identifier, bloquer et neutraliser le logiciel malveillant en utilisant une faille de l’attaque</a>. En effet, les noms de domaines pour les serveurs d’exfiltration qui étaient utilisés dans le code malveillant n’avaient pas été réservés par les attaquants. Cela a permis à Kaspersky de simuler un de ces serveurs et de voir qui était infecté et quelles données étaient capturées.</p>
<p>Parfois, ces erreurs permettent même d’identifier les auteurs de l’attaque, comme ce fut le cas avec <a href="http://labs.alienvault.com/labs/index.php/2012/tracking-down-the-author-of-the-plugx-rat" target="_blank" rel="noopener noreferrer">la traque de la personne derrière le malware PlugX.</a></p>
<p>Nos consultants ont d’ailleurs eux aussi rencontré ce genre de situation dans le cadre d&rsquo;une attaque ciblée chez un de nos clients. Les pirates avaient en effet « oublié » la présence d’un <em>keylogger</em> sur les serveurs internes utilisés pour l’exfiltration des données, ce qui a permis à nos experts d’identifier quelles données étaient ciblées et où elles étaient envoyées. Nous avons même pu récupérer le login et le mot de passe utilisés par les attaquants. Le concept de « l’arroseur arrosé » remis au goût du jour.</p>
<h2>Savoir tirer parti de ces informations pour mieux gérer la crise</h2>
<p>Les informations obtenues grâce à ces erreurs sont très précieuses, elles permettent ensuite d’adapter la réponse à l’incident. D’autant plus que les attaquants utilisent parfois des mécanismes de diversion « bruyants » (redémarrage de machines, effacement de fichiers, forte activité CPU, voir déni de service…) afin de détourner l’attention des vrais données qu’ils visent. Une compréhension « métier » des objectifs de l’attaque permet d’éviter de se focaliser sur ces pièges.<br />
Il est même souvent intéressant de laisser l’attaque se dérouler pour mieux la comprendre.</p>
<p>Les réflexes face aux incidents de sécurité « classiques » (déployer des signatures antivirales, réinstaller des serveurs…) sont donc aujourd’hui largement révolus. Il faut adopter une approche dynamique de la crise, s’intéresser à son objectif métier et utiliser les erreurs des attaquants pour être plus pertinent, en pouvant même envisager <a href="http://www.solucominsight.fr/2015/07/defense-active-repondre-activement-aux-attaques-cybercriminelles/" target="_blank" rel="noopener noreferrer">des réponses « actives » à l’attaque</a>. Un challenge pour les équipes de réponses à incidents, qui doivent adapter leurs méthodologies et leurs réflexes, mais un objectif crucial pour lutter contre ces attaques</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/08/attaques-ciblees-profiter-des-erreurs-des-attaquants-pour-mieux-les-comprendre-et-les-contrer/">Cybercriminalité : savoir profiter des erreurs des attaquants</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cybersécurité au cinéma&#160;: la fiction est-elle à la hauteur de la réalité ?</title>
		<link>https://www.riskinsight-wavestone.com/2014/08/cybersecurite-au-cinema-fiction-hauteur-realite/</link>
		
		<dc:creator><![CDATA[VincentFerrie]]></dc:creator>
		<pubDate>Wed, 27 Aug 2014 07:52:38 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5675</guid>

					<description><![CDATA[<p>Extrait du synopsis du film Firewall : « Cadre supérieur d&#8217;une grande banque de Seattle, il a mis au point un « pare-feu » ultrasophistiqué, qu&#8217;aucun hacker n&#8217;a jamais réussi à pénétrer. Depuis plusieurs mois, sa famille est espionnée à son insu par un...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/08/cybersecurite-au-cinema-fiction-hauteur-realite/">Cybersécurité au cinéma&nbsp;: la fiction est-elle à la hauteur de la réalité ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Extrait du synopsis du film Firewall : « Cadre supérieur d&rsquo;une grande banque de Seattle, il a mis au point un « pare-feu » ultrasophistiqué, qu&rsquo;aucun hacker n&rsquo;a jamais réussi à pénétrer. Depuis plusieurs mois, sa famille est espionnée à son insu par un chef de bande aussi ingénieux que déterminé. »</em></p>
<div id="blogvision"><iframe loading="lazy" style="width: 480px; height: 270px;" src="http://www.allocine.fr/_video/iblogvision.aspx?cmedia=18413224" width="320" height="240"></iframe><br />
<a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=56885.html" target="_blank">Firewall</a></div>
<p>&nbsp;</p>
<p><em>Sceptique ? Votre banquier n’a pas les mêmes capacités qu’Harrison Ford ? Entre mythe et réalité, revue des concepts de la cybersécurité au cinéma.</em></p>
<h2>L’image du hacker : cool et sexy</h2>
<p>Tapant plus vite que son ombre et utilisant un maximum de termes techniques dans la même phrase (un savant mélange de « chiffrement », « pare-feu » et « adresse IP »), le hacker est un personnage type du cinéma défini par un certain nombre de caractéristiques : un anti-héros intelligent, solitaire et en décalage avec la réalité, contrastant avec les gros bras musclés du cinéma des années 80 (imaginez Clint Eastwood ranger son Magnum pour pianoter sur son clavier d’ordinateur).</p>
<p>Néo, personnage principal de Matrix, en est le parfait exemple : programmeur de jour, hacker de nuit, reconnu pour ses talents au point de se faire remarquer par Morpheus. Dans un style plus punk, et amplifiant par un autre cliché la caractéristique antisociale du hacker,<a title="Wikipedia - Lisbeth Salander" href="http://fr.wikipedia.org/wiki/Lisbeth_Salander" target="_blank"> Lisbeth Salander dans Millenium</a> est un archétype du personnage : elle survit grâce à ses talents en piratage informatique. Une enfance chaotique, une vie sociale inexistante en dehors de son ordinateur et une certaine aversion pour la violence.</p>
<p>Si on retire l’image caricaturale du hacker, Hollywood dépeint surtout le côté hacktiviste du hacker, qui milite pour ses idéaux au travers d’actions visibles et politisées. Et notons d’ailleurs que les hacktivistes lui renvoient l’ascenseur : le symbole des hacktivistes est clairement inspiré du film V pour Vendetta (le masque est tout de même plus joli que celui de Zorro). Clairement, les attaquants aux cibles purement lucratives  (vols de données personnelles, vols de cartes bancaires… à l’image des attaques subies par Target aux États-Unis ou encore Orange en France) sont beaucoup moins représentés à l’écran</p>
<p>Le cinéma a donc une vision idéaliste, et avouons-le beaucoup plus « sexy » du hacker, plus proche du héros hollywoodien se battant pour ses idées que d’une bande organisée utilisant ses talents informatiques dans un objectif de gain.</p>
<h2>Cyberguerre, terrorisme, impacts majeurs… le cinéma dans la surenchère !</h2>
<p>Première règle d’un film Hollywoodien : il faut que ça « explose de partout ». Les attaques cybercriminelles au cinéma ne font pas exception à la règle : « une ligne de code peut être dévastatrice », pourrait en résumer la bande annonce. Cependant, même si ces attaques sont clairement amplifiées par la magie des effets spéciaux, Hollywood n’est finalement pas si éloigné que ça des attaques réelles.</p>
<p>Prenons <a title="Allociné - Die Hard IV, retour en enfer" href="http://www.allocine.fr/film/fichefilm_gen_cfilm=50575.html" target="_blank">Die Hard 4 </a>où les dangers du tout connecté sont mis en scène quand un virus contamine le système d’information national des États-Unis (communications, transports, énergies, etc.). Vague de chaos sur le pays, et une fois de plus seul Bruce Willis est en mesure de sauver le pays (en explosant une voiture sur un hélicoptère. certes). Sabotages, attaques de systèmes industriels, pollution du programme nucléaire… <a title="SolucomINSIGHT - De « I Love You » à « Blaster », va-t-on voir un retour des codes malveillants du passé ?" href="http://www.solucominsight.fr/2014/02/de-i-love-you-a-blaster-va-t-on-voir-un-retour-des-codes-malveillants-du-passe/" target="_blank">Stuxnet ou Havex</a> n’auraient-ils finalement pas eu leur place dans le film ? Clairement les attaques réelles montrent à quel point une attaque informatique peut désormais avoir des impacts et des répercussions économiques et industrielles importantes, et la réalité n’est pas si éloignée de la fiction.</p>
<p>Et si on continuait dans la surenchère ? Autant s’attaquer directement aux institutions gouvernementales ! Et à ce sujet, comment ne pas citer James Bond et Jack Bauer ? Rappelez-vous : dans<a title="YouTube - Skyfall MI6 Explosion" href="https://www.youtube.com/watch?v=rh_us78fTlI" target="_blank"> Skyfall, le siège du MI6 explose à la suite d’une intrusion dans le système d’information des services secrets</a>, et dans la dernière saison de 24, des drones militaires sont détournés suite à une attaque informatique. Si de telles attaques n’ont heureusement jamais eu lieu en réalité, les attaques réelles n’épargnent pas vraiment les institutions ! <a title="France Culture - L'Elysée cible d'une attaque informatique en mai 2012" href="http://www.franceculture.fr/emission-journal-de-22h-l-elysee-cible-d-une-attaque-informatique-en-mai-2012-2013-10-25" target="_blank">L’Élysée n’a t-il pas été victime d’attaques informatiques</a> à plusieurs reprises ?</p>
<p>Espérons à ce stade que le cinéma n’est pas totalement visionnaire… comme il le fut pour l’affaire Snowden ! En effet, Ennemi d’État racontait dès 1998 la traque d’un homme en possession de documents confidentiels de la NSA. 15 ans plus tard, la réalité a clairement dépassé la fiction, et les moyens d’espionnage utilisés par la NSA dans le film sont finalement très crédibles.</p>
<h2>L’humain au cœur de la cybercriminalité</h2>
<p>Les techniques d’attaques sont  probablement un des sujets casse-tête des réalisateurs. Un personnage écrivant des lignes de code sur son ordinateur risque rapidement de faire fuir les téléspectateurs. Et c’est pourquoi, mis à part quelques rares exceptions (comment ne pas évoquer <a title="YouTube - Nmap Matrix" href="http://youtu.be/0TJuipCrjZQ" target="_blank">nmap utilisé plusieurs fois dans Matrix</a>), le cinéma préfère clairement se focaliser sur les personnages à l’origine des attaques et non sur la technique.</p>
<p>Dès 1995,<a title="Allociné - Hackers" href="http://www.allocine.fr/film/fichefilm_gen_cfilm=45062.html" target="_blank"> Hackers</a> (cultissime !) illustrait parfaitement l’exploitation du facteur humain dans les attaques informatiques. Dans ce film, une poignée de protagonistes se faisaient passer pour des réparateurs informatiques afin de s’introduire dans le système d’information d’une entreprise. Le réalisateur pourrait exiger des copyrights : en 2013, cette technique d’ingénierie sociale a été utilisée par des cybercriminels se faisant passer pour des membres du support informatique pour infiltrer la banque Barclays et détourner près de 1,25 millions de livres. Et si vous recherchez une définition précise de l’ingénierie sociale, inutile d’ouvrir un dictionnaire, visionnez plutôt <a title="Allocine - Catch me if you can" href="http://www.allocine.fr/film/fichefilm_gen_cfilm=35973.html" target="_blank">Catch Me If You Can</a>, un vrai film de hacker … sans aucune attaque informatique !</p>
<p><span style="line-height: 1.5em;">Continuons sur l’importance du facteur humain à Hollywood. En cherchant bien, on peut même trouver un enseignement dans Jurassic Park. En effet, le point de départ de l’intrigue est la désactivation du système de sécurité par un programmeur du parc pour s’emparer d’un échantillon d’ADN et le revendre. Certes, avec moins de dinosaures mais autant d’argent, les exemples d’attaques dont l’origine provient d’un employé malveillant, frustré ou appâté par le gain sont multiples. Maîtriser les comptes à privilèges, n’est-ce pas une des bases de la cybersécurité ?</span><br />
<iframe loading="lazy" src="http://www.criticalcommons.org/Members/ccManager/clips/jurassicparkhackerstereotype.mp4/embed_view" width="300" height="219" frameborder="0"></iframe></p>
<h2>En conclusion</h2>
<p>Le hacker reste au cinéma un héros hollywoodien comme un autre : il ne doit pas être proche de la réalité, seulement correspondre à la représentation collective admise. Et il faut du spectacle et du suspense : une intrusion dans un système d’information pour voler des informations est moins distrayante qu’une attaque explosive sur tout Manhattan. Les films sur la cybersécurité respectent les codes du cinéma. Inutile de chercher trop d’enseignement dans ces films, même si certaines situations nous rappellent aujourd’hui clairement que la réalité rattrape la fiction.</p>
<p>Après le cinéma, c’est désormais au tour de la télévision et des jeux vidéos de sortir leurs blockbusters cybersécurité. Impossible en effet de conclure cet article sans évoquer <a title="Ubisoft - Watchdogs" href="http://watchdogs.ubi.com/watchdogs/fr-fr/home/" target="_blank">le phénomène Watchdogs</a>, ou l’arrivée prochaine de la nouvelle série Les Experts-Cyber, qui risque de nous fournir encore quelques belles répliques. « Je vais la distraire. Ping son adresse IP pour la localiser ».</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/08/cybersecurite-au-cinema-fiction-hauteur-realite/">Cybersécurité au cinéma&nbsp;: la fiction est-elle à la hauteur de la réalité ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Le « secret des affaires » de retour dans le débat public, encore un essai sans suite ou réelle prise de conscience ?</title>
		<link>https://www.riskinsight-wavestone.com/2014/08/secret-affaires-retour-debat-public-encore-essai-suite-reelle-prise-conscience/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Thu, 07 Aug 2014 16:45:12 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[data protection]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5652</guid>

					<description><![CDATA[<p>Depuis plusieurs années maintenant les entreprises françaises estiment que leur patrimoine immatériel n’est pas assez protégé par la législation. Le 16 juillet 2014, l’ensemble des députés socialistes ont déposé une proposition de loi à l’Assemblée Nationale relative à la protection...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/08/secret-affaires-retour-debat-public-encore-essai-suite-reelle-prise-conscience/">Le « secret des affaires » de retour dans le débat public, encore un essai sans suite ou réelle prise de conscience ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Depuis plusieurs années maintenant les entreprises françaises estiment que leur patrimoine immatériel n’est pas assez protégé par la législation. Le 16 juillet 2014, l’ensemble des députés socialistes ont déposé <a title="Assemblée Nationale - proposition de loi sur la protection du secret des affaires" href="http://www.assemblee-nationale.fr/14/propositions/pion2139.asp" target="_blank" rel="noopener noreferrer">une proposition de loi</a> à l’Assemblée Nationale relative à la protection du secret des affaires. Cette proposition vise à combler le vide juridique actuel autour du secret des affaires. En Janvier 2012 le <a title="Assemblée Nationale - proposition de loi visant à sanctionner la violation du secret des affaires," href="http://www.assemblee-nationale.fr/13/propositions/pion3985.asp" target="_blank" rel="noopener noreferrer">député Carayon avait déjà déposé une proposition</a> avec le même objectif. Adopté par l’Assemblée Nationale, son projet avait été reporté suite à son passage au Sénat.</em></p>
<h2>Au milieu de l’été : une nouvelle proposition de loi sur le secret des affaires en France</h2>
<p>La date n’a pas été choisie au hasard. Alors que les discussions actuelles au Parlement Européen autour du projet de règlement sur le traitement des données personnelles rentrent dans leur phase finale, et que l’application de la Loi de Programmation Militaire est attendue très prochainement avec les publications des décrets sectoriels, la France souhaite légiférer sur la protection des données entreprises. Ce manque avait déjà été mis en avant dans le <a title="Groupe de travail interministériel - Rapport sur la cybercriminalité" href="http://static.pcinpact.com/medias/cybercriminalite---definitif.pdf" target="_blank" rel="noopener noreferrer">rapport du groupe interministériel</a> sur la cybercriminalité à travers la recommandation n°18 qui préconisait la création d’incriminations particulières pour le secret des affaires.</p>
<p>La résurrection tardive de ce projet de loi, plus ambitieux que son prédécesseur, montre bien à quel point il est compliqué de légiférer sur ce sujet épineux. La France poursuit donc sa volonté de construction d’un cadre législatif complet et spécifique pour tous les enjeux cyber stratégiques.</p>
<h2>Vers une règlementation plus protectrice et plus sévère pour les intérêts économiques essentiels du pays</h2>
<p>Par rapport au projet de loi dit Carayon cette nouvelle proposition comporte très peu de nouveautés. Nous pouvons citer par exemple que la tentative de violation du secret des affaires est punie au même titre que le délit, qu’un alourdissement des sanctions a été ajouté quand la violation du secret des affaires concernent les intérêts économiques essentiels de la nation (7 ans contre 3 ans d’emprisonnement et 750 k€ contre 350 k€ d’amende précédemment). Ont été également ajoutées des mesures législatives afin de contrer les procédures de type « discovery » obligeant les entreprises françaises à dépendre de tribunaux étrangers et donc de devoir communiquer leurs secrets d’affaire.</p>
<p>Cependant les obligations précises pour les entreprises ne sont pas encore définies. A l’heure actuelle l’information protégée doit seulement faire  « l’objet de mesures de protection raisonnables, compte tenu de sa valeur économique et des circonstances, pour en conserver le caractère non public. ». Ces éléments seront précisés ultérieurement.</p>
<h2>Quelle réalité et quel avenir pour cette proposition de loi ?</h2>
<p>L’initiative de cette proposition ne venant pas du gouvernement lui-même (c’est donc bien une proposition et non un projet de loi), ce texte devrait suivre un processus parlementaire plus long.</p>
<p>Des travaux parlementaires afin de cibler les obligations pour les entreprises sont en cours. Son étude par l’Assemblée Nationale avant le Sénat n’est pas prévue avant novembre 2014. Cependant, comme le souligne le texte de la proposition, une directive européenne est aussi en cours de discussion au parlement européen. Cette directive, déposée le 28 novembre 2013, pourrait rendre obligatoire une législation nationale sur ce sujet. L’enjeu est donc ici d’anticiper l’adoption de cette directive en mettant en place en amont un cadre juridique clair à l’échelle française.</p>
<p>Le futur impact pour les RSSI reste difficile à estimer, l’identification des informations sensibles au sein des entreprises risque d’être complexe. Cependant la reprise des négociations autour de la protection des données entreprises reste une bonne nouvelle, et ne demande qu’à être confirmée dans la suite des discussions parlementaires !<b></b></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/08/secret-affaires-retour-debat-public-encore-essai-suite-reelle-prise-conscience/">Le « secret des affaires » de retour dans le débat public, encore un essai sans suite ou réelle prise de conscience ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>La captive d’assurance : un nouvel outil au service du risk manager</title>
		<link>https://www.riskinsight-wavestone.com/2014/07/captive-dassurance-nouvel-outil-au-service-du-risk-manager/</link>
		
		<dc:creator><![CDATA[PAulineRouauD]]></dc:creator>
		<pubDate>Fri, 25 Jul 2014 17:03:15 +0000</pubDate>
				<category><![CDATA[Métiers - Assurance]]></category>
		<category><![CDATA[Captive d'assurance]]></category>
		<category><![CDATA[Solva 2]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5596</guid>

					<description><![CDATA[<p>Les captives d’assurance ont longtemps eu mauvaise presse : outil d’optimisation fiscale, concurrent déloyal de l’assureur. Pourtant, dans un contexte d’encadrement du marché et de développement massif de méthodes alternatives de financement du risque, les captives pourraient se racheter une réputation...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/07/captive-dassurance-nouvel-outil-au-service-du-risk-manager/">La captive d’assurance : un nouvel outil au service du risk manager</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><i>Les captives d’assurance ont longtemps eu mauvaise presse : outil d’optimisation fiscale, concurrent déloyal de l’assureur. Pourtant, dans un contexte d’encadrement du marché et de développement massif de méthodes alternatives de financement du risque, les captives pourraient se racheter une réputation et, dans le même temps, devenir un outil privilégié du risk management et ne plus être un simple outil d’optimisation fiscale ! Qu’est-ce qui explique ce revirement de situation ? La réglementation Solvabilité 2 semble être passée par là…</i></p>
<h2>La captive d’assurance, un outil bien implémenté en France</h2>
<p>Une captive est un montage juridique et financier orchestré par une société industrielle ou commerciale voulant se doter de sa propre compagnie d’assurance, sans que cela ne relève de son activité principale. La captive facture, tout comme un assureur classique, des primes à la maison mère et couvre en contrepartie leurs sinistres. <a href="http://www.insurancehalloffame.org/laureateprofile.php?laureate=135" target="_blank">Le concept de captives est attribué à Frederic Reiss</a>. Ingénieur en protection contre le feu, il accompagnait dans les années 50 une entreprise cherchant à assurer les mines dont la production était exclusivement réservée à ses usines aux Etats-Unis. Parce qu’elles étaient appelées <i>captive mines</i> (<i>captive </i>signifiant <i>prisonnier</i> en anglais), Reiss a réutilisé cet attribut pour baptiser la compagnie d’assurance en question. Depuis, le terme a été généralisé.</p>
<p>Si l’assureur reste l’acteur principal du financement du risque, <a href="http://www.argusdelassurance.com/dossier/une-douceur-pour-quelques-privilegies.23935" target="_blank">un grand nombre d&rsquo;entreprises se tournent vers cette solution.</a> Accor, Danone, Total, Carrefour, Alstom et bien d’autres ont succombé à la tendance ! En 2010, on comptait 5200 captives, contre 1000 en 1982.</p>
<h2>La captive d’assurance,  un outil traditionnellement aux mains du directeur financier</h2>
<p>Le directeur financier a rapidement vu en la captive d’assurance une source de revenus supplémentaires, et ce à plusieurs égards.</p>
<p>En accédant directement au marché de la réassurance, l’entreprise optimise sa gestion des coûts. Moins vulnérable aux fluctuations du marché, elle peut faire rapidement varier la voilure de sa captive en fonction de la dynamique du marché et donc de ses intérêts. Le mécanisme lui permet également, dans une moindre mesure, d’économiser les frais d’intermédiation.</p>
<p>Elle permet parallèlement à l’entreprise d’améliorer sa rentabilité : via le mécanisme de consolidation, sa comptabilité bénéficie des résultats financiers de la captive. En outre, les profits et les fonds accumulés par la captive peuvent aisément bénéficier à la maison mère : indemnisation des sinistres, distribution de dividendes, liquidation ou vente de la captive.</p>
<p>Souvent la vision du directeur financier a été privilégiée, en témoigne la domiciliation de la plupart des captives qui relève clairement de l’optimisation fiscale : plus de 30% d’entre elles sont domiciliées aux Bermudes.</p>
<h2>La captive d’assurance, un outil désormais au cœur de la gestion des risques</h2>
<p>Entrée en vigueur en janvier 2013, <a href="http://www.insurancespeaker-solucom.fr/2014/03/solvabilite-2-enjeux-et-contraintes/" target="_blank">la règlementation Solvabilité 2</a>  a pour objectif affiché de garantir les intérêts des assurés face aux assureurs. L’assuré et l’assureur se confondant dans le cas des captives, il n’était pas évident que la réglementation s’applique à elles. Elle n’est pourtant pas dénuée d’effet : <a href="http://www.comparer-les-assurances-auto.com/wp-content/uploads/memoire_master_2010_laure-leger.pdf" target="_blank">comme le montre Laure Léger</a>, elle participe à une augmentation générale des coûts des captives via l’augmentation de l’exigence de capital (pilier 1) et la hausse des coûts de gestion (pilier 2). Enfin, au nom de la transparence (pilier 3), la directive oblige les captives à communiquer des informations jusqu’à présent classifiées comme confidentielles.</p>
<p>Face à ces nouvelles contraintes le directeur financier verra en Solvabilité 2 une incitation supplémentaire à domicilier sa captive dans un pays à fiscalité privilégiée et le risk manager une opportunité pour sortir son épingle du jeu et se réapproprier le concept de captive !</p>
<p>On l’oublie souvent mais la mise en place d’une captive a pour objectif initial de répondre à des problématiques de risk management en couvrant les risques non pris en charge par le marché des assurances. Aussi, les risques dits non assurables trouvent enfin leurs assureurs. Si « catastrophe naturelle » sont souvent les seuls et uniques mots qui nous viennent à l’esprit lorsqu’on veut accoler l’adjectif « non assurable » à un risque, leur nombre est susceptible d’augmenter et ce pour deux raisons. Tout d’abord parce que de nouveaux risques, à l’image de la cybercriminalité, apparaissent et ne sont pas, aujourd’hui encore, couverts de façon satisfaisante par les acteurs traditionnels du marché. Ensuite parce que les assureurs, du fait de la hausse du coût du capital induite par Solvabilité 2, risquent de cesser de couvrir certains dommages qui ne seraient plus aussi rentables et participeraient indirectement à agrandir le champ d’action d’un de leurs concurrents, la captive !</p>
<p>Solvabilité 2 participe certes, on l’a vu, à une augmentation du coût du capital d’une captive mais incite également et indirectement les entreprises à améliorer l’amortissement d’un tel investissement. Pour ce faire, elles n’ont pas d’autres choix que de renforcer leurs stratégies de contrôles des risques. Elles doivent parallèlement optimiser leurs programmes d’assurances. Pour ce faire, elles disposent de deux leviers : une meilleure gestion des rétentions qu’elle doit financer (part du risque à la charge de l’assuré) et la création des polices d’assurance adaptées à ses besoins et à ses contraintes financières également.</p>
<p>En définitive, deux vents contraires semblent jouer en faveur des captives d’assurance. En effet, si le contexte réglementaire actuel semble être défavorable aux captives, il participe également à leur légitimation : elles doivent faire face aux mêmes contraintes que leur grand frère, l’assureur traditionnel. Dans le même temps, la frilosité des assureurs à prendre en charge les nouveaux risques poussent les entreprises à mettre en place leurs assurances <i>home made.</i> Au regard du contexte actuel, il est donc de la responsabilité du risk manager de s’associer avec son confrère, le directeur financier, afin de donner les moyens à sa captive de jouer pleinement et simultanément sur le volet fiscalité mais aussi sur celui de la gestion de crise. De cette façon, il gagnera en efficacité mais aussi en visibilité au sein de la direction générale.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/07/captive-dassurance-nouvel-outil-au-service-du-risk-manager/">La captive d’assurance : un nouvel outil au service du risk manager</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Fuite de données personnelles : comment stopper l’hémorragie ?</title>
		<link>https://www.riskinsight-wavestone.com/2014/06/fuite-donnees-personnelles-comment-stopper-lhemorragie/</link>
		
		<dc:creator><![CDATA[Raphaël Brun]]></dc:creator>
		<pubDate>Fri, 27 Jun 2014 19:50:15 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Compliance]]></category>
		<category><![CDATA[Digital privacy]]></category>
		<category><![CDATA[DPO]]></category>
		<category><![CDATA[EU]]></category>
		<category><![CDATA[Règlementation]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5514</guid>

					<description><![CDATA[<p> Le 6 mai dernier, Orange annonçait avoir été victime du vol d’un « nombre limité » de données de clients. C’est la seconde fois en moins de 6 mois que l’opérateur fait la une de l’actualité pour des faits similaires. Depuis quelques...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/06/fuite-donnees-personnelles-comment-stopper-lhemorragie/">Fuite de données personnelles : comment stopper l’hémorragie ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><i> Le 6 mai dernier, <a href="http://www.lemonde.fr/economie/article/2014/05/07/orange-de-nouveau-victime-d-une-cyberattaque-massive_4412779_3234.html" target="_blank" rel="noopener noreferrer">Orange annonçait avoir été victime du vol d’un « nombre limité </a>» de données de clients. C’est la seconde fois en moins de 6 mois que l’opérateur fait la une de l’actualité pour des faits similaires. Depuis <a href="http://www.lefigaro.fr/societes/2014/06/16/20005-20140616ARTFIG00262-en-plein-mondial-domino-s-pizza-se-fait-hacker-les-donnees-de-ses-clients.php" target="_blank" rel="noopener noreferrer">quelques semaines, c’est Domino’s Pizza qui est sous les feux de la rampe.</a> Le <a href="http://www.europe1.fr/France/Rex-Mundi-les-pirates-informatiques-qui-ont-voulu-ranconner-Domino-s-pizza-2155193/" target="_blank" rel="noopener noreferrer">groupe cybercriminel Rex Mundi réclame une rançon de 30 000€ sous peine de publier les 650 000 données clients dérobées</a> à Domino’s Pizza. Ces récents évènements illustrent les difficultés actuelles des entreprises à lutter efficacement face à une menace cybercriminelle de plus en plus prégnante.</i></p>
<h2>Des attaques cybercriminelles d’une ampleur jusque-là inégalée</h2>
<p>Ces attaques se répètent et n’épargnent personne. En novembre 2013, <a href="http://www.itespresso.fr/adobe-pirates-inscrivent-nouveau-record-69755.html" target="_blank" rel="noopener noreferrer">l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs</a>. Quelques semaines plus tard c’est au tour du géant américain de la <a href="http://www.lemonde.fr/economie/article/2014/01/22/aux-etats-unis-piratage-geant-des-clients-de-target_4352310_3234.html" target="_blank" rel="noopener noreferrer">distribution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature</a>. En mai 2014, <a href="http://www.lefigaro.fr/secteur/high-tech/2014/05/21/01007-20140521ARTFIG00249-victime-d-une-cyberattaque-ebay-recommande-de-changer-de-mot-de-passe.php" target="_blank" rel="noopener noreferrer">Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées</a>, sans atteinte cependant aux données bancaires.</p>
<p>Si les motivations des cybercriminels peuvent être diverses <a href="http://obsession.nouvelobs.com/hacker-ouvert/20110809.OBS8315/qui-sont-les-anonymous.html" target="_blank" rel="noopener noreferrer">(idéologiques,</a> ludiques, <a href="http://rue89.nouvelobs.com/2012/06/04/stuxnet-comment-les-etats-unis-et-israel-ont-pirate-le-nucleaire-iranien-232728" target="_blank" rel="noopener noreferrer">stratégiques</a>…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de <a href="http://www.silicon.fr/votre-identite-vaut-de-quelques-cents-a-5-au-marche-noir-88729.html" target="_blank" rel="noopener noreferrer">ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle</a>.</p>
<h2>La protection des données personnelles au cœur du débat</h2>
<p>L’Union Européenne s’est saisie du sujet. En mars dernier, <a href="http://www.europarl.europa.eu/news/fr/news-room/content/20140307IPR38204/html/Des-r%C3%A8gles-plus-strictes-pour-prot%C3%A9ger-la-vie-priv%C3%A9e-%C3%A0-l%27%C3%A8re-num%C3%A9rique">le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles  </a>(N.B. le Conseil de l’UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.</p>
<p>Si la <a href="http://www.solucominsight.fr/2012/12/protection-des-donnees-personnelles-la-conformite-a-la-loi-ne-suffit-plus/">conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas</a>. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.</p>
<h2>Prioriser la détection et la réaction par la supervision sécurité</h2>
<p>On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. <a href="http://pro.01net.com/editorial/618124/les-entreprises-trop-lentes-a-detecter-les-attaques-informatiques/?page=1&amp;order=ASC" target="_blank" rel="noopener noreferrer">Selon le rapport M-Trend Mandiant 2014</a>, le temps moyen de détection de ces attaques est de 229 jours !</p>
<p>L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. <a href="http://www.solucominsight.fr/2013/11/surveillance-securite-passer-du-puits-de-logs-au-siem-security-information-and-event-management/" target="_blank" rel="noopener noreferrer">Une solution efficace est la supervision sécurité,</a> qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil attentif et <a href="http://www.usine-digitale.fr/article/pour-arreter-les-attaques-ciblees-cherchez-les-signaux-faibles.N205193" target="_blank" rel="noopener noreferrer">de réagir en cas d’identification de signaux faibles</a> indiquant une compromission.</p>
<h2>Traiter en priorité le maillon faible de la chaîne cyber-sécurité</h2>
<p>Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s’appuyer sur les Ressources Humaines et la Communication Interne afin d’inscrire la sensibilisation SSI dans des actions de communication. A l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité <a href="https://www.youtube.com/watch?v=PeG1Vbr1YoA" target="_blank" rel="noopener noreferrer">(phishing</a>, <a href="https://www.youtube.com/watch?v=pOYqfP1iljA" target="_blank" rel="noopener noreferrer">social engineering</a>) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des <a href="https://entreprises.societegenerale.fr/securite.html" target="_blank" rel="noopener noreferrer">actions de sensibilisation</a> de ce type.</p>
<p><iframe loading="lazy" src="http://www.youtube.com/embed/t9eXiR50gEI" width="425" height="350" frameborder="0"></iframe></p>
<p>&nbsp;</p>
<h2>Réagir à la survenance d’un incident</h2>
<p>Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.</p>
<p>Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégration dans l’organisation de gestion de crise globale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches-réflexes, des checklists ou <a href="http://www.solucominsight.fr/2014/03/reseaux-sociaux-gestion-crise-anticiper-les-risques-maitriser-communication/" target="_blank" rel="noopener noreferrer">encore des éléments de communication</a> (éléments de langage, communiqué de presse, etc.).</p>
<p>A ce jour, <a title="Dispositifs de gestion de crise et sécurité des SI : que font les grands comptes français ?" href="http://www.solucominsight.fr/2013/11/dispositifs-de-gestion-de-crise-et-securite-des-si-que-font-les-grands-comptes-francais/" target="_blank" rel="noopener noreferrer">seulement 20% des grands comptes français sont préparés à gérer une crise cyber-sécurité.</a> Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/06/fuite-donnees-personnelles-comment-stopper-lhemorragie/">Fuite de données personnelles : comment stopper l’hémorragie ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cybersécurité, quelle prise de conscience des entreprises ? Analyse des rapports annuels du CAC40</title>
		<link>https://www.riskinsight-wavestone.com/2014/06/cybersecurite-quelle-prise-conscience-entreprises-analyse-rapports-annuels-du-cac40/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Wed, 04 Jun 2014 14:12:13 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Stratégie d’entreprise]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5455</guid>

					<description><![CDATA[<p>La cybersécurité est au cœur de l’actualité et de l’évolution de la réglementation. Elle constitue un enjeu majeur pour les entreprises qui doivent mettre en place des actions pour se protéger. Comment les plus grandes entreprises françaises s’emparent-elles du sujet...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/06/cybersecurite-quelle-prise-conscience-entreprises-analyse-rapports-annuels-du-cac40/">Cybersécurité, quelle prise de conscience des entreprises ? Analyse des rapports annuels du CAC40</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La <strong>cybersécurité</strong> est au cœur de l’actualité et de l’évolution de la réglementation. Elle constitue un enjeu majeur pour les entreprises qui doivent mettre en place des actions pour se protéger. Comment les plus grandes entreprises françaises s’emparent-elles du sujet et comment cela se reflète-t-il dans leurs rapports annuels ?</p>
<p>L’Autorité des marchés financiers (AMF) obligent depuis 2009 les entreprises à préciser les <i>facteurs risques</i> dans leurs rapports annuels. Nous avons donc souhaité mesurer le niveau de prise en compte des risques SI en réalisant pour cela une étude comparative des rapports annuels des entreprises du CAC40 sur les années 2010 (première année où l’obligation a été prise en compte) et 2013 (rapports les plus récents). L’étude a été réalisée en se basant sur les rapports et documents de référence disponibles au 15 mai 2014.</p>
<p>Elle nous a permis d’identifier le niveau de prise en compte des enjeux cyber par ces entreprises et les actions mises en place pour se protéger.</p>
<h2>Une prise en compte de la cybersécurité en forte augmentation mais qui reste « timorée »</h2>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-5456" src="http://www.solucominsight.fr/wp-content/uploads/2014/06/entreprises-CAC40.jpg" alt="entreprises CAC40" width="605" height="247" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2014/06/entreprises-CAC40.jpg 605w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/06/entreprises-CAC40-437x178.jpg 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/06/entreprises-CAC40-71x29.jpg 71w" sizes="auto, (max-width: 605px) 100vw, 605px" /></p>
<p>L’analyse des rapports montre une prise en compte forte des enjeux cybersécurité par les entreprises dès l’année 2010, avec une augmentation en 2013 : en 2013, 95% des entreprises  mentionnent une stratégie SSI contre 73% en 2010. Le terme « cyber » en lui-même apparait dans plus de 50% des rapports annuels. La prise en compte des problématiques cybersécurité en France est donc quasi unanime. En comparaison, au Royaume-Uni, il apparait que <a href="http://www.scmagazineuk.com/60-percent-of-ftse-companies-mention-cyber-security-risks-in-annual-reports/article/339052/ " target="_blank" rel="noopener noreferrer">seules 60% des entreprises du FTSE100 mentionnent la problématique des risques SI</a>. Ce chiffre est cependant à nuancer car la base de comparaison de <a href="https://www.trustwave.com/Resources/Trustwave-Blog/Has-Cyber-Security-Awareness-Improved-Among-the-Largest-U-K--Businesses-/" target="_blank" rel="noopener noreferrer">ces deux études</a> est différente (40 entreprises au CAC vs 100 au FTSE).</p>
<p>La part des entreprises ayant initié des actions pour faire face aux risques SSI est également croissante : elle est passée de 45% en 2010 à 78% en 2013.</p>
<p>Malgré cette prise en compte de plus en plus croissante, les entreprises sont encore peu loquaces dès lors qu’il s’agit de mentionner les incidents cyber dont elles ont pu être victimes. Deux entreprises uniquement le précisent, alors qu’elles sont beaucoup plus nombreuses à en avoir été victimes (publiquement  ou non). Ce sujet est encore tabou ; l’évolution du cadre réglementaire à venir dans les prochaines années devrait changer la donne.</p>
<h2>Des informations hétérogènes dans les rapports de 2013</h2>
<p><img loading="lazy" decoding="async" class="size-full wp-image-5457 alignleft" src="http://www.solucominsight.fr/wp-content/uploads/2014/06/chiffres-cles-cac-40.png" alt="chiffres cles cac 40" width="211" height="332" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2014/06/chiffres-cles-cac-40.png 211w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/06/chiffres-cles-cac-40-121x191.png 121w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/06/chiffres-cles-cac-40-25x39.png 25w" sizes="auto, (max-width: 211px) 100vw, 211px" />Ces rapports mettent en lumière les sujets clés pour les entreprises aujourd’hui.  Beaucoup mentionnent la nécessité de l’ouverture de leurs systèmes d’information, de la protection des données personnelles et les évolutions organisationnelles et technologiques que cela pourrait entraîner. Les impacts du Big Data, du Cloud Computing ou du BYOD sont cités dans plus de la moitié des rapports.  <b></b></p>
<p>Les entreprises précisent également les menaces auxquelles elles doivent faire face. Une trace du passé subsiste car encore beaucoup de rapports mentionnent les virus. Mais pour la majorité des entreprises, l’espionnage industriel et l’évolution de la cybercriminalité apparaissent comme des craintes fortes : ces deux tendances sont présentées comme des menaces pesant sur l’entreprise. À noter, un réalisme de plusieurs acteurs qui indiquent subir ou pouvoir subir des pertes dues à ces menaces, malgré les efforts de protection et la prise en compte de ces risques. Le message semble s&rsquo;être bien diffusé : l’invulnérabilité n’existe pas en matière de cybercriminalité. Cette prise en compte se manifeste également par la mention de normes, standards internationaux ou recommandations faites par des acteurs comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ou l’Organisation Internationale de Normalisation (ISO), même si seules cinq entreprises mentionnent utiliser ces normes. Ce chiffre qui peut paraitre faible par rapport à la réalité observée sur le terrain.</p>
<p>Le sujet de la sécurité des SI industriels reste le parent pauvre des rapports. Alors qu&rsquo;il concerne la moitié des entreprises du CAC 40, seules 3 le mentionnent dans leur rapport.</p>
<p>Il est également intéressant de relever que la nature de la cible des rapports annuels (actionnaires, investisseurs) modifie la nature des messages. Plus que de projets techniques de sécurisation, les entreprises parlent de gouvernance sécurité et de contrôle interne. Le niveau de prise en compte est également très variable dans le vocabulaire utilisé et la précision des termes employés.  Il doit cependant être relativisé considérant le degré d’implication des fonctions sécurité dans la rédaction des rapports&#8230; et la sensibilisation encore jeune des fonctions communication et financière responsables de ces documents aux problématiques sécurité. Les informations communiquées et le niveau de détails  des programmes mis en œuvre est également très variable : de quelques lignes mentionnant le risque … à des extraits des méthodologies utilisées.</p>
<h2> Quelles évolutions attendre dans les rapports de 2014 ?</h2>
<p>Plus personne ne nie aujourd’hui l’enjeu cybersécurité. Les entreprises semblent ainsi de plus en plus conscientes des impacts potentiels et agissent afin de se protéger. Des efforts de transparence sont cependant encore à réaliser, particulièrement concernant la notification des incidents et leur mention.</p>
<p align="left">La prise en compte de la cybersécurité devrait encore connaître une augmentation forte entre 2013 et 2014, du fait de la succession des incidents mais aussi de la promulgation de la Loi de Programmation Militaire, qui entraîneront mécaniquement des actions dans les entreprises concernées (notamment les Opérateurs d’Importance Vitale).</p>
<p align="left">[Article rédigé sur la base d&rsquo;une étude réalisée par <strong>Oumeima Guessous</strong>, <strong>Pierre-Alain Pocquet</strong> et<strong> Victor Stril, </strong>consultants]</p>
<div>
<hr align="left" size="1" width="33%" />
<hr align="left" size="1" width="33%" />
</div>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/06/cybersecurite-quelle-prise-conscience-entreprises-analyse-rapports-annuels-du-cac40/">Cybersécurité, quelle prise de conscience des entreprises ? Analyse des rapports annuels du CAC40</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Quelle marge de manœuvre pour le RSSI afin d’accompagner l’évolution des modèles bancaires ? (Épisode 2)</title>
		<link>https://www.riskinsight-wavestone.com/2014/04/quelle-marge-manoeuvre-rssi-afin-daccompagner-levolution-modeles-bancaires-episode-2/</link>
		
		<dc:creator><![CDATA[Florian Feuillard]]></dc:creator>
		<pubDate>Tue, 22 Apr 2014 09:43:32 +0000</pubDate>
				<category><![CDATA[Cyber for Financial Services]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Banque]]></category>
		<category><![CDATA[financial services cyber]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5357</guid>

					<description><![CDATA[<p>L’innovation et l’évolution des usages redéfinissent aujourd’hui les modèles bancaires avec – tel qu’évoqué dans notre précédent article &#8211; comme première conséquence l’ouverture du système d’information. Une ouverture nécessaire pour accompagner la transformation numérique, l’intégration des réseaux sociaux, de nouveaux partenaires,...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/04/quelle-marge-manoeuvre-rssi-afin-daccompagner-levolution-modeles-bancaires-episode-2/">Quelle marge de manœuvre pour le RSSI afin d’accompagner l’évolution des modèles bancaires ? (Épisode 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><span style="line-height: 1.5em;">L’innovation et l’évolution des usages redéfinissent aujourd’hui les modèles bancaires avec – tel qu’évoqué dans </span><a style="line-height: 1.5em;" title="SolucomINSIGHT - Modèles bancaires : quid de l’évolution des usages et de la relation client ?" href="http://www.solucominsight.fr/2014/03/modeles-bancaires-quid-de-levolution-des-usages-et-de-la-relation-client/" target="_blank" rel="noopener noreferrer">notre précédent article</a><span style="line-height: 1.5em;"> &#8211; comme première conséquence l’ouverture du système d’information. Une ouverture nécessaire pour accompagner la transformation numérique, l’intégration des réseaux sociaux, de nouveaux partenaires, voire…des clients, au cœur du SI.</span></p>
<p>Dans ce contexte la sécurité est souvent ressentie comme un mal nécessaire. Le Responsable de la Sécurité du SI doit alors changer de posture et anticiper l’évolution des usages métiers et SI, mais aussi des menaces. Ceci est d’autant plus vrai dans le monde de la banque de détail avec des sujets très concrets comme l’explosion de la mobilité, la mise à disposition de tablettes dans les agences, l’ouverture du back-office bancaire, ou encore la nouvelle concurrence des plateformes d’intermédiation pour les clients.</p>
<h2>Maîtriser les risques au service des métiers</h2>
<p>Le RSSI doit faire évoluer sa posture, basée aujourd’hui en grande partie sur la protection du SI, en améliorant ses capacités d’observation et d’anticipation des évolutions métiers.</p>
<p>L’enjeu pour lui ? Adopter un rôle de facilitateur, pour amener de la fluidité, autoriser les nouvelles technologies, les nouveaux usages et ainsi rendre concrètes les étapes permettant d’intégrer la sécurité dans les processus métiers. L’agilité et la rapidité de « délivrance » d’un service sont les éléments les plus importants pour les métiers. Si la sécurité répond trop tard, elle sera souvent ignorée.</p>
<p>En parallèle, le RSSI fait face à une explosion de la cybercriminalité. Des attaques plus ciblées, plus sophistiquées et plus destructrices se multiplient. Dans le cadre de l’opération <a title="Viruslist - &quot;Opération Ababil&quot; - 2e saison" href="http://www.viruslist.com/fr/news?id=197471003" target="_blank" rel="noopener noreferrer">Ababil</a>, de nombreux cas d’attaques DDoS (<i>Distributed Denial of Service</i>) ont été recensés contre des banques hollandaises et américaines (notamment Bank of America). Autre exemple, une <a title="01business - Une campagne de phishing très sophistiquée a touché 14 entreprises en France" href="http://pro.01net.com/editorial/595753/une-campagne-de-fishing-tres-sophistiquee-a-touche-14-entreprises-en-france/" target="_blank" rel="noopener noreferrer">campagne de phishing très sophistiquée</a> qui a récemment touché 14 entreprises en France afin de dérober des données bancaires au travers d’e-mails et d’appels téléphoniques ciblés.</p>
<p>Le combat est inégal : les attaquants sont innovants et rapides alors que le RSSI est contraint par des budgets et la rentabilité attendue des projets. Pour inverser la tendance, il doit se focaliser sur une stratégie de détection et de réaction face à ces attaques. Il doit également rester en veille et prendre une longueur d’avance sur les innovations des cybercriminels.</p>
<p>L’idéal est naturellement d’adopter une approche consistant à se concentrer sur les risques jugés prioritaires d’un point de vue sécurité mais aussi… métiers ! Ceci  bien entendu, tout en répondant aux exigences de la conformité qui vont grandissant sur les sujets de la lutte contre le blanchiment, le terrorisme ou encore la fraude.</p>
<p>Face à la multiplication des sujets, il paraît essentiel d’aller plus loin que les pratiques classiques de plans d’action tri-annuels. Il convient se doter d’un outil pour réussir à résoudre l’équation entre innovation et sécurité. Mais alors quel outil utiliser pour avoir une vision globale ?</p>
<h2>Mettre en place un outil d’anticipation : construire le radar SSI</h2>
<p>Le <b>radar SSI</b>, est un outil simple et visuel permettant le suivi des nouveaux usages, des menaces et des réglementations. Utile dans tous les secteurs, Solucom l’a en particulier décliné dans le secteur de la banque de détail.</p>
<p>Il s’accompagne d’un processus de veille permettant d’anticiper les évolutions et d’orienter la stratégie SSI afin de pouvoir répondre aux besoins d’ouverture, de mobilité, de fluidité exprimés par les métiers.</p>
<p>En partant des sujets bruts identifiés dans les actions de veille de Solucom, le RSSI choisira de prioriser les thèmes majeurs propres à son environnement pour ensuite définir une fiche actions par thème. Ces fiches déclenchent par la suite des réactions à court terme ou des projets à moyen terme afin de fournir une réponse sécurité en avance de phase des demandes. À travers cette transformation du mode opératoire et du positionnement du responsable sécurité, celui-ci devient porteur d’innovation et enraye son image de frein aux innovations.</p>
<p>En mai dernier, au cours de la remise des <b>Trophées de la Sécurité,</b> les discussions ont porté sur l’avenir de la fonction de RSSI. <a title="01net - Trois voies d'avenir pour les RSSI" href="http://pro.01net.com/editorial/595831/troie-voies-davenir-pour-les-rssi/" target="_blank" rel="noopener noreferrer">Trois pistes </a>ont été évoquées. Parmi elles, celle d’ « Expert sécurité en solutions métiers ». Cette voie nécessiterait une intégration de la sécurité très en amont dans les projets : la clé selon nous d’une innovation maîtrisée au sein de la DSI. Pour cela, il est crucial que le responsable sécurité aille au-devant des métiers pour en comprendre les enjeux, tout en s’insérant naturellement dans la politique de sécurité et les processus historiquement définis.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/04/quelle-marge-manoeuvre-rssi-afin-daccompagner-levolution-modeles-bancaires-episode-2/">Quelle marge de manœuvre pour le RSSI afin d’accompagner l’évolution des modèles bancaires ? (Épisode 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Les titres-restaurant numériques, une aubaine pour les cybercriminels ?</title>
		<link>https://www.riskinsight-wavestone.com/2014/04/les-titres-restaurant-numeriques-aubaine-les-cybercriminels/</link>
		
		<dc:creator><![CDATA[Raphaël Brun]]></dc:creator>
		<pubDate>Thu, 03 Apr 2014 12:08:36 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[Métiers - Digital & innovation]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5300</guid>

					<description><![CDATA[<p>En août 2013 Tracfin, l’organe de renseignement financier de Bercy chargé de la lutte contre le blanchiment d&#8217;argent, a signalé au parquet de Versailles une fraude massive aux titres-restaurants dans quelques établissements de la capitale. En l’espace de 9 mois, ce...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/04/les-titres-restaurant-numeriques-aubaine-les-cybercriminels/">Les titres-restaurant numériques, une aubaine pour les cybercriminels ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p align="left"><span style="line-height: 1.5em;">En août 2013 Tracfin, l’organe de renseignement financier de Bercy chargé de la lutte contre le blanchiment d&rsquo;argent, a signalé au parquet de Versailles <a title="Challenges - L'argent de la drogue blanchi avec des tickets resto" href="http://www.challenges.fr/entreprise/20130809.CHA2980/l-argent-de-la-drogue-blanchi-avec-des-tickets-resto.html" target="_blank" rel="noopener noreferrer">une fraude massive aux titres-restaurants</a></span><span style="line-height: 1.5em;"> dans quelques établissements de la capitale. En l’espace de 9 mois, ce sont ainsi près de 10 millions d’euros qui auraient été blanchis.</span></p>
<p>L’utilisation du support papier fait du marché des titres-restaurants (3,5 millions de consommateurs et 5 milliards d&rsquo;€ de CA) une cible de choix pour les criminels. C’est pourquoi, afin de lutter contre la fraude mais aussi de moderniser l’action publique, <a title="Portail du Gouvernement" href="http://www.gouvernement.fr/premier-ministre/moderniser-l-action-publique-3milliards-d-economies-et-200mesures-de-simplification" target="_blank" rel="noopener noreferrer">le législateur s’est positionné en juillet 2013</a>  en faveur de la dématérialisation des titres-restaurants.<a title="L'usine digitale - Le ticket restaurant devient numérique ce 2 avril" href="http://www.usine-digitale.fr/article/le-ticket-restaurant-devient-numerique-ce-2-avril.N252780" target="_blank" rel="noopener noreferrer"> Le décret a été publié le 2 avril</a>. De cette évolution surgissent des questions légitimes : quels impacts pour les consommateurs au quotidien ? Et surtout quelle évolution des risques ?</p>
<h2>La petite révolution du numérique</h2>
<p>Ces titres dématérialisés peuvent être utilisés sur deux supports : <a title="L'Express - Adieu Ticket restaurant, bonjour carte à puce !" href="http://lexpansion.lexpress.fr/actualite-economique/adieu-ticket-restaurant-bonjour-carte-a-puce-comment-ca-marche_1498098.html" target="_blank" rel="noopener noreferrer">via une carte à puce</a> compatible avec n’importe quel terminal de paiement électronique ou <a title="Restoflash.fr" href="http://www.restoflash.fr/" target="_blank" rel="noopener noreferrer">via un smartphone</a> (en utilisant une application qui génère des QR code) uniquement compatible avec un terminal spécifique fourni par l’émetteur de titres au restaurateur.</p>
<p>La dématérialisation va <a title="L'Express Entreprise - Ticket restaurant numérique: ce qui va changer" href="http://lentreprise.lexpress.fr/remuneration/ticket-restaurant-numerique-ce-qui-va-changer_42251.html" target="_blank" rel="noopener noreferrer">profondément modifier les usages</a>. Les avantages sont multiples pour les usagers, entreprises et restaurateurs : plus de perte des tickets, paiement au centime près et diminution de la charge administrative et des délais de remboursement. Cependant, c’est aussi la fin des petits arrangements : plus de possibilité de céder des tickets restaurants, montant limité à 19€ / jour, carte non utilisable le dimanche&#8230;</p>
<h2>L’obsolescence annoncée des méthodes traditionnelles de vol et de fraude</h2>
<p>Les méthodes traditionnelles de fraude vont tendre à disparaître, en particulier celles liées au blanchiment d’argent. Par exemple, le système connu sous le nom de <a title="Le Parisien - Blanchiment d'argent : les tickets resto, nouvelle « lessiveuse »" href="http://www.leparisien.fr/faits-divers/blanchiment-d-argent-les-tickets-resto-nouvelle-lessiveuse-09-08-2013-3041329.php" target="_blank" rel="noopener noreferrer">« lessiveuse »</a> consiste pour des restaurateurs à acheter des titres-restaurant au marché noir avec de l’argent « sale » pour se les faire rembourser ensuite de manière légale par la société émettrice de titres. Les titres-restaurants numériques mettent fin à ce système car ils ne peuvent être cédés à un tiers et permettent la traçabilité des flux.</p>
<p>De plus, l’utilisation de la carte à puce et du mobile restreint le vol de tickets-restaurant pour le consommateur : code à quatre chiffres, utilisation limitée à deux tickets par jour, possibilité de faire opposition et tickets non stockés sur le support de paiement.</p>
<h2>Un déplacement du risque vers la cybercriminalité</h2>
<p>Du fait de la dématérialisation, les émetteurs de titres-restaurants deviennent une nouvelle cible pour les cybercriminels, comme le souligne <a title="Tracfin - rapport annuel" href="http://www.economie.gouv.fr/files/directions_services/tracfin/Publications/RAAA_2012_TRACFIN.pdf" target="_blank" rel="noopener noreferrer">Tracfin dans son rapport annuel 2012</a> : <i>«</i> <i>La d</i><i>ématérialisation des supports va modifier les risques sous-jacents en termes de blanchiment d’argent avec une évolution des typologies vers des domaines relevant de la cybercriminalité</i> ».</p>
<p>Si les nouvelles méthodes de blanchiment ne sont pas clairement identifiées aujourd’hui, les méthodes de fraude et de vol inhérentes à la cybercriminalité sont bien connues. Elles consistent principalement en des attaques informatiques de type social engineering, usurpation d’identité, élévation de privilèges, etc.</p>
<p>Ces attaques pourront viser d’une part à voler des titres-restaurant stockés sur les serveurs de l’émetteur, par exemple en créditant le compte d’un usager en titres sans contrepartie financière ou encore en simulant un paiement par titre chez un restaurateur pour en obtenir le remboursement.</p>
<p>D’autre part, l’objectif des cybercriminels pourra être de faire main basse sur les données personnelles des usagers. Générées lors de l’utilisation d’une carte ou d’un smartphone, ces données fournissent des informations qui présentent un attrait certain pour les cybercriminels : noms, habitudes de consommation, géolocalisation, etc.</p>
<h2>La nécessité pour les émetteurs de se mettre à niveau</h2>
<p>Les émetteurs de titres-restaurants sont confrontés à l’importance grandissante du SI au cœur de leur métier. Le système traditionnel fermé et tourné uniquement vers l’entreprise évolue vers un système ouvert sur l’extérieur. Cette ouverture implique des interactions avec divers acteurs (banques, restaurateurs, entreprises…) et la collecte d’informations de plus en plus attractives.</p>
<p>En conséquence de ces évolutions majeures, la posture des émetteurs se trouve profondément modifiée et un effort doit être fait sur la sécurité des Systèmes d’Information. Les émetteurs de titres restaurants doivent s’inspirer des investissements réalisés et des bonnes pratiques mises en place par des entreprises qui font face à des problématiques similaires de gestion de systèmes financiers (banques) et de données personnelles massives (opérateurs télécoms) critiques.</p>
<p>A minima, une évaluation des risques sur les processus métier, l’intégration des pratiques de développement sécurisé pour les applications et la réalisation d’audits mêlant technique et métier seront nécessaires.</p>
<p>Il sera par ailleurs nécessaire de surveiller le système afin de détecter les nouvelles tentatives de fraudes et les méthodes d’attaques. Avec l’augmentation de l’utilisation de ces systèmes, ces actions devront être réalisées en quasi temps réel.. L’utilisation de nouvelles techniques anti fraude, utilisant par exemple le Big Data, devra alors être envisagée.</p>
<p>Le titre restaurant vit sa révolution numérique, en regard les mécanismes de lutte contre la fraude doivent eux aussi franchir ce nouveau cap !</p>
<div></div>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/04/les-titres-restaurant-numeriques-aubaine-les-cybercriminels/">Les titres-restaurant numériques, une aubaine pour les cybercriminels ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Attaquer son propre SI : un moyen pour se préparer à une crise cybercriminalité</title>
		<link>https://www.riskinsight-wavestone.com/2014/02/attaquer-son-propre-si-un-moyen-pour-se-preparer-a-une-crise-cybercriminalite/</link>
		
		<dc:creator><![CDATA[Raphaël Brun]]></dc:creator>
		<pubDate>Mon, 24 Feb 2014 16:18:36 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5133</guid>

					<description><![CDATA[<p>Les entreprises font preuve d’une certaine maturité en termes d’organisation de gestion de crise Sécurité du Système d’Information (SSI) : existence de cellules de gestion de crise, tenue d’exercices de crise réguliers… Pourtant, la détection et la qualification des crises...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/02/attaquer-son-propre-si-un-moyen-pour-se-preparer-a-une-crise-cybercriminalite/">Attaquer son propre SI : un moyen pour se préparer à une crise cybercriminalité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Les entreprises font preuve d’une certaine maturité en termes <a title="Dispositifs de gestion de crise et sécurité des SI : que font les grands comptes français ?" href="http://www.solucominsight.fr/2013/11/dispositifs-de-gestion-de-crise-et-securite-des-si-que-font-les-grands-comptes-francais/">d’organisation de gestion de crise Sécurité du Système d’Information (SSI)</a> : existence de cellules de gestion de crise, tenue d’exercices de crise réguliers… Pourtant, la détection et la qualification des crises SSI ne sont que rarement éprouvées, ceci malgré leur importance au sein du dispositif global.</p>
<p>Et pourtant, le temps est un facteur clé dans la gestion de toute crise. Dans le cas d’une crise Sécurité SI, une détection et une remontée d’alerte tardive auront des impacts importants pour l’organisation (cf. notre synthèse<a title="Synthèse cybercriminalité" href="http://www.solucom.fr/publication/synthese-n47-cybercriminalite-comment-agir-aujourdhui/" target="_blank" rel="noopener noreferrer"> « Cybercriminalité, comment agir dès aujourd’hui »</a>). Pour cette raison, mettre en place et éprouver les outils et processus de ces phases est un enjeu fondamental pour la filière SSI. Suite à la mise en place d’une organisation de gestion de crise SSI, l’exercice « sur table » constitue un premier niveau de test permettant de valider une procédure sur son principe mais les conclusions en termes d’efficacité du dispositif sont limitées. Il convient donc d’aller plus loin dans le réalisme en simulant à la fois l’aspect technique et le facteur de surprise engendré par une attaque.</p>
<h2>Exercice cybercriminalité : mimer les symptômes et les comportements d’une vraie attaque</h2>
<p>Pour se rapprocher d’un cas réel, la meilleure solution reste de simuler techniquement des symptômes au bon niveau :</p>
<ul>
<li> Des stimulations « faibles », représentatives d’une attaque, pour tester la détection par l’outillage et les processus en place</li>
<li> Des stimulations « fortes », plus détectables, afin de susciter une réaction et pouvoir tester la bonne sensibilisation des acteurs ciblés</li>
</ul>
<p>Les attaques ciblées subies par nos clients s’étendent généralement sur plusieurs semaines voire mois. Afin d’en mimer la dynamique, ces stimulations pourront donc s’étaler sur plusieurs jours.</p>
<p>Adopter une telle démarche permettra aux collaborateurs participants à l’exercice d’appréhender les signaux faibles d’un incident de sécurité majeur qui restent souvent peu concrets pour eux.</p>
<h2>Et même organiser un exercice impromptu !</h2>
<p>Pour aller plus loin, une fois que l’organisation aura été sensibilisée à la détection et au traitement d’incident SSI, la réalisation d’un exercice techniquement simulé, sans prévenir les acteurs ciblés, permet de se rapprocher encore davantage d’un cas réel. Cette méthode présente de nombreux avantages :</p>
<ul>
<li>L’évaluation de la capacité de détection de symptômes types d’un incident sécurité</li>
<li>La vérification de la connaissance et de la bonne application des procédures de sécurité, les collaborateurs ciblés n’ayant pas nécessairement le réflexe de s’y référer</li>
<li>La mise à l’épreuve des circuits de remontée d’alerte définis, les collaborateurs ciblés ayant le plus souvent recours à la solution la plus naturelle pour eux.</li>
</ul>
<p>En contrepartie, ce type d’exercice demande une préparation logistique plus poussée. En premier lieu, il s’agit d’éviter que les acteurs ciblés lancent des actions de traitement de l’incident susceptibles de perturber la production. Pour ce faire, il est souhaitable de mobiliser des complices au sein du management qui seront en charge de surveiller et contrôler le bon déroulé des évènements. En complément, il conviendra de bien préciser le contexte RH de la démarche afin de ne pas susciter une réaction négative de l’utilisateur évalué à son insu. Une consultation des IRP est conseillée avant d’entreprendre un tel exercice au sein de l’organisation.</p>
<h2>L’exercice de gestion de crise cybercriminalité : un levier de sensibilisation efficace pour la fonction SSI</h2>
<p>Ce type d’exercice est riche d’enseignements pour la fonction SSI. Il est un révélateur de failles dans les dispositifs de détection et d’alerte. Il est surtout un formidable vecteur de sensibilisation des utilisateurs. Suite à un tel exercice, la perception de la sécurité change fondamentalement : initialement ressentie comme une contrainte, elle devient un besoin exprimé directement par les utilisateurs impliqués.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/02/attaquer-son-propre-si-un-moyen-pour-se-preparer-a-une-crise-cybercriminalite/">Attaquer son propre SI : un moyen pour se préparer à une crise cybercriminalité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>PRISM, une success story pour le Big data!</title>
		<link>https://www.riskinsight-wavestone.com/2014/02/prism-une-success-story-pour-le-big-data/</link>
		
		<dc:creator><![CDATA[Gabriel Amirault]]></dc:creator>
		<pubDate>Mon, 10 Feb 2014 16:51:28 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[big data security]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5024</guid>

					<description><![CDATA[<p>Depuis les révélations d’Edward Snowden, le programme PRISM de surveillance électronique de la NSA est au centre de questions déontologiques et idéologiques. Si nous mettons de côté ces aspects, ce programme et l’ensemble de ceux portés par la NSA se...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/02/prism-une-success-story-pour-le-big-data/">PRISM, une success story pour le Big data!</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p style="text-align: left;" align="center">Depuis les révélations d’Edward Snowden, le <a title="SolucomINSIGHT - articles sur PRISM" href="http://www.solucominsight.fr/?s=PRISM" target="_blank" rel="noopener noreferrer">programme PRISM</a> de surveillance électronique de la NSA est au centre de questions déontologiques et idéologiques. Si nous mettons de côté ces aspects, ce programme et l’ensemble de ceux portés par la NSA se révèlent être une application plus que réussie du <a title="SolucomINSIGHT - dossier Big data" href="http://www.solucominsight.fr/category/dossiers/big-data-dossiers/" target="_blank" rel="noopener noreferrer"><em>Big data</em></a>&#8230; Au-delà des questions idéologiques, PRISM illustre ainsi pleinement les opportunités offertes par cette nouvelle technologie pour la surveillance sécurité.</p>
<h2> Les 3V<sup>1</sup> du projet PRISM</h2>
<p style="text-align: center;"><a href="http://www.solucominsight.fr/2014/02/prism-une-success-story-pour-le-big-data/les-3v-du-projet-prism/" rel="attachment wp-att-5029"><img loading="lazy" decoding="async" class="aligncenter  wp-image-5029" title="Les 3V du projet PRISM" src="http://www.solucominsight.fr/wp-content/uploads/2014/02/Les-3V-du-projet-PRISM.png" alt="" width="289" height="260" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2014/02/Les-3V-du-projet-PRISM.png 688w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/02/Les-3V-du-projet-PRISM-212x191.png 212w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/02/Les-3V-du-projet-PRISM-43x39.png 43w" sizes="auto, (max-width: 289px) 100vw, 289px" /></a></p>
<p><strong>Variété :</strong> appels téléphoniques, VoIP, conversations vidéo, e-mails, transferts de données, données de navigation sont quelques exemples parmi tant d’autres de données de particulier collectées par ces programmes. Souvent, seules les métadonnées sont recueillies : dans le cas d’un appel téléphonique, PRISM se contentera ainsi de savoir qui a contacté qui, de quel lieu, à quel moment et pendant combien de temps… avant approfondissement si besoin.</p>
<p><strong>Volume :</strong> tous ces types de données sont rassemblés. De plus la NSA réalise des captures de trafic sur les câbles transatlantiques ou lors d’attaques ciblées. Au total IDC estime que ce sont 5 zettabytes (10<sup>12</sup> GB) de données que le datacenter de la NSA sera capable de stocker en 2015, soit le double de la quantité totale de données mondiales existantes en 2012.</p>
<p><strong>Vélocité :</strong> la NSA dispose des outils capables d’analyser en temps-réel ces données collectées, de réaliser des requêtes très fines pour interroger ses serveurs et croiser ces informations. Il est ainsi possible d’identifier en temps réel « qui a fait une requête avec tels mots clés dans une langue étrangère au lieu où il réside».</p>
<h2>Quelles leçons pour les projets Big data ?</h2>
<p>Si les moyens et le budget consacrés aux différents programmes par la NSA (5,6 milliards d’euros) ne sont aucunement comparables à ceux mobilisables par les entreprises, celles-ci peuvent certainement en retenir les proportions :</p>
<ul>
<li>45% du budget est consacré à la collecte des données</li>
<li>30% aux traitements des données (partie logicielle)</li>
<li>25% à l’analyse des données (partie humaine)</li>
</ul>
<p>&nbsp;</p>
<p>Par ailleurs, au-delà des aspects budgétaires, se pose la question des compétences : il est nécessaire de pouvoir mobiliser des data scientists à même d’identifier les données pertinentes à utiliser et de les faire parler. Et la NSA regorge depuis des années des spécialistes sur ces questions.</p>
<p>Enfin, ces programmes sont concentrés sur un seul et unique champ de données déterminé, celles relatives aux individus et à leurs communications quelle qu’en soit la forme. Chercher à étendre l’utilisation du <em>Big data</em> à l’ensemble des attributions d’une entreprise semble être un objectif très ambitieux et se concentrer sur un seul champ de données semble plus raisonnable, au moins dans un premier temps.</p>
<h2>Le SIEM du futur ?</h2>
<p>Face aux limites constatées des <a title="SolucomINSIGHT - Surveillance sécurité : passer du puits de logs au SIEM " href="http://www.solucominsight.fr/2013/11/surveillance-securite-passer-du-puits-de-logs-au-siem-security-information-and-event-management/" target="_blank" rel="noopener noreferrer">SIEM</a> actuels qui peinent à corréler l’ensemble des données qui leur sont disponibles, les systèmes <em>Big data</em> pourraient s’avérer être une solution efficace permettant alors :</p>
<ul>
<li>De corréler l’ensemble des traces du système d’information : logs applicatifs, DLP, historiques, …</li>
<li>D’intégrer les informations venues de l’extérieur : <em>threat</em> intelligence, …</li>
<li>De détecter en temps réel les signaux faibles encore trop souvent invisibles aujourd’hui.</li>
</ul>
<p>&nbsp;</p>
<p>Le <em>Big data</em> pourrait s’imposer comme un outil efficace face à la complexification des systèmes d’information, à l’intensification de la <a title="SolucomINSIGHT - Dossier cybercriminalité" href="http://www.solucominsight.fr/category/dossiers/cybercrime/" target="_blank" rel="noopener noreferrer">cybercriminalité</a> et aux enjeux croissants de sécurité. Mais attention tout ceci ne doit pas faire oublier que la NSA a oublié d’appliquer tous ces principes en interne, en effet la fuite de données majeures réalisée par Edward Snowden n’a pas été détecté…</p>
<p>Reste maintenant à se confronter à l’ensemble des contraintes légales, éthiques et techniques inhérentes au <em>Big data</em> qui, pour certaines d’entre elles, n’ont, semble-t-il pas constitué un point de préoccupation pour la NSA …</p>
<div></div>
<div></div>
<div></div>
<div></div>
<hr align="left" size="1" width="33%" />
<div>
<p><sup>1</sup> Une technologie est généralement catégorisée <em>Big data</em> si elle respecte la définition de Gartner des 3V : Volume car les quantités de données à traiter se comptent parfois en petabytes (10<sup>6</sup> GB) ou exabytes (10<sup>9</sup> GB), Variété car les données proviennent de sources très différentes et peuvent être structurées ou non, et Vélocité car la création de données se fait à très haute fréquence et que leur traitement doit suivre cette cadence.</p>
</div>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/02/prism-une-success-story-pour-le-big-data/">PRISM, une success story pour le Big data!</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>RSSI, communiquez avec ceux qui communiquent !</title>
		<link>https://www.riskinsight-wavestone.com/2014/01/rssi-communiquez-avec-ceux-qui-communiquent/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Fri, 24 Jan 2014 21:34:35 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Marketing et relation client]]></category>
		<category><![CDATA[communication]]></category>
		<category><![CDATA[RSSI]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4948</guid>

					<description><![CDATA[<p>Alors que  2014 démarre juste, les incidents de sécurité font déjà la Une des journaux. Du vol massif de données clients dont a été victime Target outre-Atlantique aux fuites d’email en Allemagne, il ne se passe pas une semaine sans...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/01/rssi-communiquez-avec-ceux-qui-communiquent/">RSSI, communiquez avec ceux qui communiquent !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Alors que  2014 démarre juste, les incidents de sécurité font déjà la Une des journaux. Du vol massif de données clients dont a été victime Target outre-Atlantique aux fuites d’email en Allemagne, il ne se passe pas une semaine sans que la sécurité informatique ne fasse l’actualité.</p>
<p>Cette multiplication d’évènements montre que toutes les organisations peuvent être concernées. Et lorsqu’un incident survient, c’est tout l’écosystème de l’entreprise qui doit être mobilisé pour gérer la crise : clients et collaborateurs, mais aussi fournisseurs, partenaires, presse…</p>
<p>Force est de constater que peu de structure ont déjà mise en place un plan de communication de crise face à un incident lié à la cybercriminalité. Aujourd’hui, le RSSI doit se positionner comme le chef d’orchestre de cette démarche. Quelles sont les cibles prioritaires à inclure ? Quel type de message préparer ? Voici des éléments de réponses issues de nos retours d’expérience.</p>
<h2>La direction générale : expliquer, analyser et mobiliser</h2>
<p>Les RSSI parlent à leur direction depuis des années ; c’est même une de leurs cibles de prédilection. Mais les messages doivent aujourd’hui changer. Jusqu’alors en effet, le RSSI, essayait d’attirer l’attention sur son sujet, afin d’obtenir des ressources par exemple.</p>
<p>Aujourd’hui, il doit démystifier ce qu’il se passe, donner des clés de lecture sur un sujet qui touche maintenant le grand public. A titre d’illustration, les Echos ont publié depuis juin 2013 <a href="http://recherche.lesechos.fr/?exec=1&amp;texte=nsa&amp;ok=&amp;ob=datepub&amp;fco=Edward+Snowden&amp;page=1" target="_blank" rel="noopener noreferrer">156 articles consacrés à Edward Snowde</a>n.  Cette abondance d’information peut générer des incompréhensions ou des doutes : en quoi mon entreprise est-elle concernée ? Peut-on se protéger ? Un incident de type Target ou Vodafone est-il envisageable chez nous ? Que fait-on en matière de protection ?  Cette communication devra être claire, synthétique… et transparente. Sans sombrer dans le fatalisme ou au contraire l’excès de confiance, elle mettra  en lumière la réalité des menaces pour l’entreprise et les vulnérabilités qui demandent à être traitées dès aujourd’hui.</p>
<h2>Ressources humaines et communication interne : des alliés pour sensibiliser les collaborateurs</h2>
<p>Les collaborateurs sont une cible essentielle pour le RSSI. Même si les actions de sensibilisations ne sont pas à 100% efficaces, elles sont nécessaires pour minimiser les risques. Comme dans le cas de la direction générale, le RSSI dispose avec l’actualité récente d’une opportunité de communication sans précédent.</p>
<p>Des messages simples et clairs pourront être adressés à l’ensemble des utilisateurs pour leur rappeler leur devoir vis-à-vis du système d’information. Les ressources humaines et la communication interne apporteront  à ces campagnes leur maîtrise des canaux et des codes internes de communication, propre à chaque entreprise. Pour renforcer l’impact des messages,  n’hésitez pas à faire un parallèle avec les situations de la vie privée que les utilisateurs rencontrent (banque en ligne, réseaux sociaux…), les messages seront mieux assimilés.</p>
<h2>Les fonctions SI / métiers critiques : maintenir la vigilance des fonctions les plus ciblées</h2>
<p>Les incidents récents montrent clairement qu’aujourd’hui les cybercriminels savent mener des attaques ciblées sur les fonctions sensibles de l’entreprise. Même s’ils sont connus, ces scénarios restent encore très efficaces. Une communication spécifique pour maintenir l’attention de ces populations en éveil est nécessaire. L’utilisation d’exemples concrets sera particulièrement efficace et il en existe de nombreux, <a href="http://www.dailymail.co.uk/news/article-2522056/G20-diplomats-computers-hacked-clicking-attachment-labelled-naked-pictures-Carla-Bruni.html" target="_blank" rel="noopener noreferrer">des photos de Carla Bruni pour piéger des diplomates</a>  à l’appel téléphonique pour <a href="http://www.symantec.com/connect/blogs/francophoned-sophisticated-social-engineering-attack" target="_blank" rel="noopener noreferrer">pousser un utilisateur à réaliser des virements frauduleux. </a></p>
<p>Ces trois premières catégories ne sont pas nouvelles : les RSSI ont l’habitude de travailler avec elles. Leurs messages doivent néanmoins s’adapter.</p>
<p>Surtout, nous assistons à l’émergence de deux nouvelles cibles de communication, à qui les évènements récents ont conféré une forte importance.</p>
<h2>La direction de la communication : préparer la crise pour en réduire l’impact auprès du public</h2>
<p>La probabilité qu’un incident se produise dans les grandes organisations augmente singulièrement ces derniers temps, avec des cas dans tous les secteurs d’activités et de plus en plus d’occurrence en Europe et en France. Surtout, la conscience que de tels incidents peuvent se produire augmente, rendent les directions de la communication plus réceptives au discours des RSSI.</p>
<p>Une communication rapide, structurée clairement,  est nécessaire  dans des situations de crise. Bien souvent néanmoins, les crises liés à la cybercriminalité ne sont ni connues ni envisagées par les équipes de communication. C’est le bon moment pour le RSSI d’échanger avec ces entités (communication institutionnelle mais aussi de crise) et de les sensibiliser à ce qui pourrait se passer en cas d’attaques.</p>
<p>Quelques réunions de travail, permettront de réfléchir ensemble aux différents temps médiatiques et de définir les postures de base à adopter en cas de <em>phishing</em> (email frauduleux aux clients), de sites web modifié (défacement) ou encore en cas d’interruption de service (Dénis de service DDoS).</p>
<h2>Direction de la relation clients : savoir activer les canaux en cas de crise</h2>
<p>2014 va rendre cet interlocuteur incontournable pour le RSSI… cette année sera en effet celle du vote du règlement européen sur la protection des données à caractère personnel. Le texte devrait imposer la notification des incidents de sécurité aux clients concernés par un vol de données à partir de 2016.</p>
<p>Il s’agira d’une obligation majeure qui entraînera un changement de posture dans la relation client. Ce changement doit être anticipé dès maintenant. Les retours d’expérience  montrent qu’au-delà du coût important lié à ces notifications (entre 10 et 200 € par client suivant la gravité des fuites de données et les pays concernés), les effets sont réels sur les canaux de communication classique (agences, call-center, site web, réseaux sociaux…) qui peuvent se retrouver dépassés par l’afflux de demandes liés à l’incident. Il faudra donc anticiper ces communications, qu’elles soient requises par la loi ou rendues nécessaires en réponse à la publication par les attaquants des données. Comme avec les directions de la communication, des premières réunions de sensibilisation et de découverte du sujet pourront être organisées. La réalisation de fiches réflexes de communication ou encore d’exercices de crise est un bon moyen d’avancer ensuite.</p>
<p>L’aspect « communication » de la fonction du RSSI ne doit donc pas être négligé. Celle-ci connaît  aujourd’hui une évolution forte, passant d’un rôle de sensibilisation aux bonnes pratiques à une démystification de l’actualité jusqu’à un vrai rôle de communiquant opérationnel lors de gestion des crises.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/01/rssi-communiquez-avec-ceux-qui-communiquent/">RSSI, communiquez avec ceux qui communiquent !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Parlons peu, mais parlons bien !</title>
		<link>https://www.riskinsight-wavestone.com/2014/01/parlons-peu-mais-parlons-bien/</link>
		
		<dc:creator><![CDATA[SolucomINSIGHT]]></dc:creator>
		<pubDate>Thu, 23 Jan 2014 17:29:47 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4935</guid>

					<description><![CDATA[<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/01/parlons-peu-mais-parlons-bien/">Parlons peu, mais parlons bien !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><a href="http://www.solucominsight.fr/2014/01/parlons-peu-mais-parlons-bien/cybercriminalite-2-2/" rel="attachment wp-att-4936"><img loading="lazy" decoding="async" class="alignleft  wp-image-4936" title="Cybercriminalité Chalvin dessin" src="http://www.solucominsight.fr/wp-content/uploads/2014/01/Cybercriminalité-2-2.jpg" alt="" width="583" height="389" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2014/01/Cybercriminalité-2-2.jpg 4500w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/01/Cybercriminalité-2-2-287x191.jpg 287w, https://www.riskinsight-wavestone.com/wp-content/uploads/2014/01/Cybercriminalité-2-2-59x39.jpg 59w" sizes="auto, (max-width: 583px) 100vw, 583px" /></a></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/01/parlons-peu-mais-parlons-bien/">Parlons peu, mais parlons bien !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Réseaux sociaux et #GestionDeCrise</title>
		<link>https://www.riskinsight-wavestone.com/2014/01/reseaux-sociaux-et-gestiondecrise/</link>
		
		<dc:creator><![CDATA[Raphaël Brun]]></dc:creator>
		<pubDate>Mon, 20 Jan 2014 16:50:09 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[Métiers - Digital & innovation]]></category>
		<category><![CDATA[Métiers - Marketing et relation client]]></category>
		<category><![CDATA[continuité d'activité]]></category>
		<category><![CDATA[crise]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[réseaux sociaux]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4885</guid>

					<description><![CDATA[<p>Tsunami au Japon, ouragan Sandy à New York, incendie de forêt en Australie, les exemples de catastrophes entraînant la saturation des réseaux de télécommunications ne manquent pas. Et dans ces situations, les personnes et organisations de toute la planète se...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/01/reseaux-sociaux-et-gestiondecrise/">Réseaux sociaux et #GestionDeCrise</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Tsunami au Japon, ouragan Sandy à New York, incendie de forêt en Australie, les exemples de catastrophes entraînant la saturation des réseaux de télécommunications ne manquent pas. Et dans ces situations, les personnes et organisations de toute la planète se tournent spontanément vers les réseaux sociaux à la recherche d’informations sur leurs collaborateurs ou leurs proches. À titre d’exemple, dans l’heure qui a suivi le Tsunami au Japon, <a title="Twitter stories - Japan earthquake" href=" http://stories.twitter.com/fr/japan_quake.html" target="_blank" rel="noopener noreferrer">le trafic de Twitter a augmenté de 500 %</a>.</em></p>
<p><em>Les réseaux sociaux apparaissent désormais comme une ressource que les entreprises doivent se préparer à utiliser. </em></p>
<h2>Les réseaux sociaux : un outil pour rapidement collecter l’information ou la diffuser au plus grand nombre</h2>
<p>Les réseaux sociaux se positionnent aujourd’hui comme un parfait complément aux médias traditionnels, en particulier de par le caractère viral que peut revêtir une information une fois publiée. En cas d’évacuation de domicile, un Smartphone couplé à <em>Twitter</em> pourrait être le moyen le plus rapide pour vous indiquer l’abri le plus proche en temps réel (situation qu’ont connue <a title="Haut Comité Français pour la Défense Civile - REX" href="http://www.hcfdc.org/AGENDA/septembre_2013/retex_sandy.html" target="_blank" rel="noopener noreferrer">les habitants de NYC lors de l’ouragan Sandy</a> en 2012)<strong><em>.</em></strong> Vous pouvez ensuite partager cette information avec vos proches via <em>Facebook</em> . Chaque utilisateur se transforme ainsi en relai qui communique vers sa communauté jusqu’à ce que l’information atteigne le plus grand nombre.</p>
<p>En plus de cette capacité de diffusion rapide de l’information, les réseaux sociaux sont le seul média qui permet une remontée d’information massive et instantanée. Dans son combat contre les grands feux de forêt, le <em>Western Australia’s Department of Fire and Emergency Services</em> <a title="The Sydney Morning Herald - Twitter playing a role in #bushfire emergencies" href="http://www.smh.com.au/technology/technology-news/twitter-playing-a-role-in-bushfire-emergencies-20131104-2wwgx.html" target="_blank" rel="noopener noreferrer">utilise <em>Twitter</em> pour collecter des renseignements</a> auprès de témoins locaux. Les informations ainsi collectées permettent aux pompiers de connaître avec précision la situation sur le terrain et de réagir en conséquence.</p>
<h2>Utilisez ces outils au quotidien pour en maitriser les rouages</h2>
<p>Afin d’utiliser efficacement ces outils en situation de crise, il convient d’en maitriser les mécanismes. Cette maitrise se construit au jour le jour, en intégrant les réseaux sociaux dans le quotidien de l’entreprise au côté des dispositifs de communications traditionnels.</p>
<p>La SNCF est l’exemple parlant d’une entreprise qui a parfaitement intégré les réseaux sociaux dans sa communication, à travers plusieurs fils <em>Twitter</em> qui font désormais parti du quotidiens des usagers (<a title="Twitter - SNCF infopresse" href="https://twitter.com/SNCF_infopresse" target="_blank" rel="noopener noreferrer">@SNCF_infopresse</a>, <a title="Twitter - SNCF Questions" href="https://twitter.com/SNCF_QR" target="_blank" rel="noopener noreferrer">@SNCF_QR</a>, <a title="Twitter - SNCF_Direct" href="https://twitter.com/SNCF_Direct" target="_blank" rel="noopener noreferrer">@SNCF_Direct</a>).</p>
<p>Lors de la récente catastrophe de Brétigny-sur-Orge, <em>Twitter </em>est apparu naturellement comme un pilier du dispositif de communication de la SNCF.</p>
<h2>Direction Générale, Risk Manager, Responsable Cybercriminalité, … n’attendez plus !</h2>
<p>Les projets en lien avec les réseaux sociaux sont aujourd’hui souvent pilotés par les directions Communication et Marketing. Pour autant, les acteurs de la gestion de crise : Risk Manager, RSSI, RPCA ou Responsable Cybercriminalité doivent y prendre part  et d’ores et déjà se préparer à utiliser ces outils.</p>
<p>La préparation passe par la définition du cadre dans lequel vont évoluer les équipes de communication de crise :</p>
<ul>
<li>En désignant les instances qui porteront la communication via les réseaux sociaux,</li>
<li>En sensibilisant ces instances pour qu’elles puissent, le cas échéant, répondre efficacement aux sollicitations,</li>
<li>En s’assurant que les outils seront à disposition dans le cadre du plan de gestion de crise,</li>
<li>En définissant des communications type : messages prédéfinis en fonction des scénarios pouvant nécessiter l’activation du dispositif de crise,</li>
<li>En renforçant la crédibilité de ces messages par le sponsor d’une personnalité de premier plan. À l’image par exemple de l’initiative de la mairie de NYC pendant l’ouragan Sandy : Michael Bloomberg, maire et figure emblématique de la ville, a appuyé les recommandations des équipes de secours avec pas moins de 110 <em>tweets</em>. Ces messages ont été largement <a title="Forbes - Mayor Michael Bloomberg, Superstorm Sandy, and Social Media : a NYC perspective" href="http://www.forbes.com/sites/nathanielparishflannery/2012/11/12/mayor-michael-bloomberg-superstorm-sandy-and-social-media-a-new-york-city-perspective/" target="_blank" rel="noopener noreferrer">relayés par le public et les autres comptes officiels</a> de la ville.</li>
</ul>
<p>&nbsp;</p>
<p>Ces mesures pratiques couplées aux retours d’expériences des crises précédentes permettront de tirer le meilleur parti des réseaux sociaux et d’en faire un outil au cœur du dispositif de gestion de crise.</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/01/reseaux-sociaux-et-gestiondecrise/">Réseaux sociaux et #GestionDeCrise</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2)</title>
		<link>https://www.riskinsight-wavestone.com/2013/12/les-chocs-extremes-des-risques-que-les-entreprises-globales-ne-peuvent-plus-se-permettre-dignorer-partie-2/</link>
		
		<dc:creator><![CDATA[Florian Carrière]]></dc:creator>
		<pubDate>Fri, 06 Dec 2013 07:00:25 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[black swan]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Gestion des risques]]></category>
		<category><![CDATA[résilience]]></category>
		<category><![CDATA[Risk management]]></category>
		<category><![CDATA[Risque]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4726</guid>

					<description><![CDATA[<p>Nous évoquions dans la tribune précédente les fameux Cygnes Noirs de Nassim Nicholas Taleb (événements aux probabilités non mesurables mais aux impacts extrêmes), et leur occurrence de plus en plus forte ces dernières années. Bien que leur nature ne s’y...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/12/les-chocs-extremes-des-risques-que-les-entreprises-globales-ne-peuvent-plus-se-permettre-dignorer-partie-2/">Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Nous évoquions dans la <a title="SolucomINSIGHT - Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 1)" href="http://www.solucominsight.fr/2013/07/les-chocs-extremes-des-risques-que-les-entreprises-globales-ne-peuvent-plus-se-permettre-dignorer-partie-1/" target="_blank" rel="noopener noreferrer">tribune précédente</a> les fameux Cygnes Noirs de Nassim Nicholas Taleb (événements aux probabilités non mesurables mais aux impacts extrêmes), et leur occurrence de plus en plus forte ces dernières années.</em></p>
<p><em>Bien que leur nature ne s’y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.</em></p>
<h2>Mieux appréhender l’incertitude : raisonner à partir des impacts</h2>
<p>Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un apparent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).</p>
<p>Si l’histoire récente a parfois obligé les entreprises à s’améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’occurrence catastrophiques), et à en déduire la liste des causes potentielles.</p>
<p>Déjà appliquée dans le domaine financier (« reverse stress-testing »), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion pertinente sur les modalités de traitement de ces risques.</p>
<h2>Capitaliser sur le <em>risk management</em> en place, via la notion de « cascade de risques »</h2>
<p>Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d’Enterprise Risk Management &#8211; ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.</p>
<p>Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l’origine des vraies catastrophes (cf. l’exemple classique de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).</p>
<p>Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.</p>
<h2>Bâtir une organisation résiliente</h2>
<p>Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.</p>
<p>La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.</p>
<p>A la difficulté près qu’elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).</p>
<p>Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d’investissement ont ainsi réparti leurs <em>desks</em> les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un <em>back-up</em> sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pour pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.</p>
<p>Même dans ce cas, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles. Dans ce cas d’autres mesures, déjà <a title="SolucomINSIGHT - cybercriminalité" href="http://www.solucominsight.fr/?s=cybercriminalit%C3%A9" target="_blank" rel="noopener noreferrer">largement développées sur ce site</a>, sont alors à envisager !</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/12/les-chocs-extremes-des-risques-que-les-entreprises-globales-ne-peuvent-plus-se-permettre-dignorer-partie-2/">Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>ISO 27002 : tour d&#8217;horizon des nouveautés</title>
		<link>https://www.riskinsight-wavestone.com/2013/11/iso-27002-tour-dhorizon-des-nouveautes/</link>
		
		<dc:creator><![CDATA[Claire Carré]]></dc:creator>
		<pubDate>Tue, 19 Nov 2013 18:00:36 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[ISO 27001]]></category>
		<category><![CDATA[iso 27002]]></category>
		<category><![CDATA[normes]]></category>
		<category><![CDATA[recommandations]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4619</guid>

					<description><![CDATA[<p>Suite à la mise à jour de l’ISO 27001 :2013, une évolution de l’ISO 27002 est également prévue pour la fin de l’année. Les objectifs étaient clairs : une meilleure lisibilité et moins de redondance dans les recommandations de sécurité. Sont-ils atteints ? Que...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/11/iso-27002-tour-dhorizon-des-nouveautes/">ISO 27002 : tour d&rsquo;horizon des nouveautés</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Suite à la mise à jour <a title="Mise à jour de l’ISO 27001 : quels impacts opérationnels ?" href="http://www.solucominsight.fr/2013/09/mise-a-jour-de-liso-27001-quels-impacts-operationnels/" target="_blank" rel="noopener noreferrer">de l’ISO 27001 :2013</a>, une évolution de l’ISO 27002 est également prévue pour la fin de l’année. Les objectifs étaient clairs : une meilleure lisibilité et moins de redondance dans les recommandations de sécurité. Sont-ils atteints ? Que nous apporte la nouvelle norme ?</p>
<h2>Des évolutions de forme…</h2>
<p>La norme se compose dorénavant de 14 chapitres contre 11 dans la version 2005. Les nouveaux chapitres intitulés « Cryptographie », « Relations avec les fournisseurs », « Sécurité des télécommunications » et « Sécurité de l’exploitation » sont issus d’un découpage des chapitres existants.</p>
<p>Les objectifs de sécurité passent de 39 à 35, ils sont formulés de manière plus synthétique, plus souple, augurant plus d’efficacité dans l’implémentation.</p>
<p>Certaines mesures de sécurité ont été modifiées ou supprimées, et finalement peu ont été ajoutées (6 seulement), ce qui diminue le nombre global (133 à 113 mesures).</p>
<h2>… et des évolutions de fond</h2>
<p>Trois sujets ont réellement fait l’objet d’évolutions structurantes.</p>
<p>Le chapitre « acquisition, développement et maintenance » a été revu en profondeur et prend maintenant en compte la sécurité applicative en incluant des mesures sur « <em>System acceptance testing »</em> (outil d’analyse de code, scanners de vulnérabilités), « <em>System security testing during development</em> », « <em>Secure system engineering principles</em> », « <em>Outsourced developement</em> »… Par ailleurs, les mesures deviennent plus générales, en supprimant l’objectif de sécurité sur « le bon fonctionnement des applications » (validation des données en entrée et en sortie, intégrité des messages, etc.). La gestion des données de tests est traitée dans ce chapitre.</p>
<p>Le chapitre “<strong>Information security aspects of business continuity management</strong>” traite maintenant de la <strong>continuité de la sécurité de l’information</strong> et non plus de la continuité business ! Ainsi, une note indique que les informations concernant le <em>business continuity management </em>sont disponibles dans les normes  ISO 22301, 27301, 22313. Seul un objectif de sécurité intitulé « <em>redundancies</em> » concerne la disponibilité des « <em>information processing facilities</em> ». Même si la norme réduit la portée de ces mesures, rien n’empêche de conserver les mesures « historiques » sur le PCA.</p>
<p>Le chapitre « <strong>contrôle d’accès</strong> » se concentre sur la gestion des <strong>accès des utilisateurs et sur l’accès aux applications et aux systèmes</strong> : le contrôle d’accès réseau, le contrôle d’accès à l’OS, le télétravail ne font plus partie de ce chapitre. En particulier, les mesures portant sur le cycle de vie des habilitations ont été complétées : depuis l’enregistrement des utilisateurs jusqu’aux revues des droits et la suppression des droits en cas de départ. L’authentification par mot de passe a été élargie aux « <em>secret authentication</em> ». Un focus spécifique est maintenant fait sur l’accès au code source.</p>
<p>Concernant les autres chapitres de la norme, les évolutions sont moins notables. On peut relever les points suivants.</p>
<p>Le chapitre « <strong>gestion des incidents liés à la sécurité de l’information</strong> » est complété par quelques précisions : une phase de « <em>assessment of and decision on information security events</em> » permet de déterminer si les évènements sont considérés comme des incidents de sécurité et une phase de « <em>response to information security incidents</em> » décrit la gestion des incidents. La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents.</p>
<p>Le chapitre « <strong>sécurité du réseau </strong>» agrège maintenant toutes les mesures liées au réseau et reprend également celles issues du chapitre « gestion des télécommunications et de l’exploitation » (« gestion de la sécurité des réseaux » et « échange des informations ») et celles issues du chapitre « Contrôle d’accès » en ne conservant que le contrôle « cloisonnement des réseaux<em> ». </em></p>
<p>Le chapitre « <strong>relation avec les fournisseurs</strong> » concentre tous les contrôles liés à la gestion des fournisseurs, en remplaçant la notion de « <em>tiers </em>» par « <em>fournisseur »</em>. Un nouveau contrôle est ajouté sur le report des mesures de sécurité sur la chaine de sous-traitance, tandis que le contrôle sur « l’identification des risques provenant des tiers<em> »</em> a été supprimé.</p>
<p>En synthèse, la version 2013 n’est pas révolutionnaire, mais les évolutions font apparaître plus de cohérence au sein des chapitres, ce qui rend la norme plus lisible pour les acteurs en charge de la mise en œuvre.</p>
<h2>Qu’en est-il des sujets liés aux évolutions des usages et des technologies depuis 2005 ?</h2>
<p>Certaines thématiques incontournables en termes de sécurité ne sont toujours pas traitées explicitement dans la norme :</p>
<ul>
<li>Des mesures basiques ne sont pas prises en compte, en particulier : le durcissement des postes de travail ou des serveurs, les réseaux sans fil, etc.</li>
</ul>
<ul>
<li>Certaines règles restent trop macroscopiques pour réellement constituer de bonnes pratiques, notamment sur la sécurité du réseau : « <em>networks should be managed and controlled to protect information in systems and applications</em> », « <em>groups of information services, users and information systems should be segregated on networks</em> »</li>
</ul>
<ul>
<li>Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées : on ne parle pas de surveillance et de corrélation des évènements de sécurité (logique SOC), de sécurisation de l’administration, de sécurisation des accès à l’entreprise, notamment depuis Internet, des dispositifs de réaction en cas de cyber-attaques (logique CERT)…</li>
</ul>
<ul>
<li>Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte : ni le cloud, ni la virtualisation ne sont abordés</li>
</ul>
<p>On pourra arguer que la famille ISO 27xxx se complète avec des normes spécifiques (cloud computing, surveillance sécurité, etc.), mais il n’en reste pas moins que ce soit gênant si on considère que l’ISO 27002 reste le référentiel le plus générique et le plus utilisé pour la sécurité du SI.</p>
<p>A noter que la norme ISO 27001:2013 appuie sur le fait de compléter la Déclaration d’Applicabilité avec des mesures qui ne sont pas présentes dans l’ISO 27002, ce qui permet de pallier certains manques.</p>
<h2>Une norme qui reste « l’esperanto » de la sécurité</h2>
<p>La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre.</p>
<p>Sa stabilité dans le temps et son caractère « indépendant des technologies » devrait, malgré ces quelques défauts, lui garantir le même succès dans la durée.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/11/iso-27002-tour-dhorizon-des-nouveautes/">ISO 27002 : tour d&rsquo;horizon des nouveautés</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cybercriminalité : et si ça nous arrivait ?</title>
		<link>https://www.riskinsight-wavestone.com/2013/10/cybercriminalite-et-si-ca-nous-arrivait/</link>
		
		<dc:creator><![CDATA[Marion Couturier]]></dc:creator>
		<pubDate>Thu, 31 Oct 2013 18:11:00 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[CRM]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[fuite de données]]></category>
		<category><![CDATA[réputation]]></category>
		<category><![CDATA[Threat intelligence]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4468</guid>

					<description><![CDATA[<p>La cybercriminalité, ça n&#8217;arrive pas qu&#8217;aux autres&#8230; et les conséquences peuvent être considérables. Découvrez-le au travers l&#8217;exemple de la WWC, entreprise (fictive) victime d&#8217;une fuite de données.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/10/cybercriminalite-et-si-ca-nous-arrivait/">Cybercriminalité : et si ça nous arrivait ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La cybercriminalité, ça n&rsquo;arrive pas qu&rsquo;aux autres&#8230; et les conséquences peuvent être considérables. Découvrez-le au travers l&rsquo;exemple de la WWC, entreprise (fictive) victime d&rsquo;une fuite de données.</p>
<p><iframe loading="lazy" src="//www.youtube.com/embed/RDD9RibZ0yU" width="420" height="315" frameborder="0"></iframe></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/10/cybercriminalite-et-si-ca-nous-arrivait/">Cybercriminalité : et si ça nous arrivait ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Vol de données chez Vodafone : un rappel douloureux de la «&#160;menace intérieure&#160;»</title>
		<link>https://www.riskinsight-wavestone.com/2013/10/vol-de-donnees-chez-vodafone-un-rappel-douloureux-de-la-menace-interieure/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Fri, 11 Oct 2013 16:03:56 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Telcos]]></category>
		<category><![CDATA[cyberassurance]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[DPO]]></category>
		<category><![CDATA[phishing]]></category>
		<category><![CDATA[Risk management]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4350</guid>

					<description><![CDATA[<p>A l’heure où la cybercriminalité sur internet défraie régulièrement la chronique, l’incident de Vodafone nous rappelle que les incidents de sécurité peuvent également provenir de l’intérieur de l’entreprise. Une attaque motivée par la perspective de gains financiers L’enquête semble converger...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/10/vol-de-donnees-chez-vodafone-un-rappel-douloureux-de-la-menace-interieure/">Vol de données chez Vodafone : un rappel douloureux de la «&nbsp;menace intérieure&nbsp;»</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>A l’heure où la cybercriminalité sur internet défraie régulièrement la chronique, l’incident de Vodafone nous rappelle que les incidents de sécurité peuvent également provenir de l’intérieur de l’entreprise.</p>
<h2>Une attaque motivée par la perspective de gains financiers</h2>
<p>L’enquête semble converger vers un prestataire de l’opérateur qui aurait réalisé le vol de données. Ce dernier a déjà été interpellé par les forces de l’ordre, preuve pour les plus sceptiques, de l’efficacité aujourd’hui des autorités sur ces dossiers d’attaques informatiques. Nous en saurons certainement plus dans les jours qui viennent sur ses motivations, mais la recherche de gains financiers ne doit pas être négligée. Aujourd’hui, un « enregistrement client » (nom, prénom, adresse…) peut se monnayer autour de 15 centimes de dollars, ce qui représente quand même plus 300 000 euros dans le cas de Vodafone.</p>
<p>En effet, plus de deux millions de données clients ont été dérobées, dont certaines informations bancaires. Ces données pourront servir à réaliser des attaques en <em>phishing</em> de « haute qualité », capables de tromper plus facilement les destinataires grâce à des informations fiables. Heureusement, les enregistrements les plus sensibles (numéro de carte, mot de passe…) semblent avoir été épargnés. Dans le cas contraire,  l’impact aurait pu être bien plus important : des fraudes financières auraient pu être réalisées directement.</p>
<h2> Prestataires et administrateurs : des populations à encadrer</h2>
<p>Cet incident met à nouveau en lumière la faille majeure que représentent les fonctions d’administrations du SI. Sans préjuger de la situation de Vodafone, ces fonctions sont souvent externalisées à moindre coût dans des méga-contrats dont les contours sont toujours difficiles à cerner (qualification des employés, sous-traitance masquée, pays concernés…) et dont les mesures de sécurité censés encadrer les usages sont rarement vérifiées sur le terrain. Et cette situation se rencontre malheureusement dans de nombreux secteurs, même les plus sensibles. N’oublions pas qu’Edward Snowden, administrateur sous-traitant, nous dévoile régulièrement depuis le début de l’été des documents secrets de la NSA…</p>
<h2>Des changements à entamer à la DSI et à la direction des achats dès aujourd’hui pour limiter les risques</h2>
<p>Vodafone vient de voir son image écornée et les coûts de gestion de l’incident risquent d’être élevés. Au-delà des coûts directs liés aux investigations, le volet notification des clients peut être majeur. Les chiffres en provenance des États-Unis parlent d’un coût autour de 100€ par clients à notifier, nous sommes dans une fourchette rapidement supérieures à la centaine de millions d’euros.</p>
<p>Dans cette situation, et pour limiter les impacts, un contrat de cyber assurance peut être utile, mais attention il ne doit pas contenir d’exclusion sur les malveillances internes.</p>
<p>Au-delà de cette mesure de compensation, il est bien évidemment nécessaire de vérifier sur les périmètres les plus sensibles de l’entreprise, la qualité et la sécurité des processus d’administration. Il s’agit d’un chantier d’ampleur, qui au-delà de la mise en place de mesures techniques (mise en place de plateforme de rebond, journalisation des actions, limitations des comptes d’administration, utilisation de postes de travail dédiés non connectés à Internet…) est avant tout un projet de conduite du changement. Un changement à mener à deux niveaux, auprès de populations de la DSI souvent très (voir trop) autonomes dans la réalisation de leurs actions au quotidien qui doivent accepter la mise en place de mesure de sécurité et de contrôle, mais aussi et peut être surtout au niveau de la direction des achats pour valoriser les fonctions d’administration du SI et faire de la sécurité un des critères de premiers plans dans les contrats d’externalisation.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/10/vol-de-donnees-chez-vodafone-un-rappel-douloureux-de-la-menace-interieure/">Vol de données chez Vodafone : un rappel douloureux de la «&nbsp;menace intérieure&nbsp;»</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Loi de programmation militaire 2013 : de réelles avancées pour la cybersécurité</title>
		<link>https://www.riskinsight-wavestone.com/2013/08/loi-de-programmation-militaire-2013-de-reelles-avancees-pour-la-cybersecurite/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Mon, 05 Aug 2013 08:31:59 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Compliance]]></category>
		<category><![CDATA[ANSSI]]></category>
		<category><![CDATA[cyberdéfense]]></category>
		<category><![CDATA[défense nationale]]></category>
		<category><![CDATA[notification]]></category>
		<category><![CDATA[OIV]]></category>
		<category><![CDATA[sectoral regulations]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3985</guid>

					<description><![CDATA[<p>Le projet de loi de programmation militaire a été présenté au conseil des ministres le 2 août. En attendant de disposer du texte complet, un dossier résumant les points clés a été publié par le ministère de la défense. Ce...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/08/loi-de-programmation-militaire-2013-de-reelles-avancees-pour-la-cybersecurite/">Loi de programmation militaire 2013 : de réelles avancées pour la cybersécurité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Le projet de loi de programmation militaire a été présenté au conseil des ministres le 2 août. En attendant de disposer du texte complet, <a href="http://www.defense.gouv.fr/content/download/216931/2413504/file/LPM%202014-2019%20-%20Dossier%20th%C3%A9matique.pdf" target="_blank" rel="noopener noreferrer">un dossier résumant les points clés a été publié par le ministère de la défense</a>. Ce dernier est plein d’enseignements sur les évolutions à venir en matière de cyberdéfense et de cybersécurité.</p>
<p>Il met en particulier l’ANSSI au cœur de la future stratégie de la France dans ce domaine en renforçant ses pouvoirs et sa capacité d’action. La majorité de ces points étaient connus ou envisagés depuis <a title="Cyberdéfense : l’Etat veut franchir une nouvelle étape" href="http://www.solucominsight.fr/2013/06/cyberdefense-letat-veut-franchir-une-nouvelle-etape/" target="_blank" rel="noopener noreferrer">la publication du livre blanc Défense et sécurité nationale 2013</a>. Mais ce document donne plus de détails sur les moyens déployés et les orientations à venir.</p>
<h2>Les opérateurs d’importance vitale (OIV), sous le contrôle rapproché de l’ANSSI</h2>
<p>Le texte prévoit que le Premier ministre, avec l’aide de l’ANSSI, puisse imposer aux OIV, sur leurs périmètres sensibles, la mise en place de mesures de sécurité, la qualification des systèmes de détection et la réalisation d’audit par l’ANSSI. Comme prévu,<a title="Notification des fuites de données clients : vers une transparence systématique ?" href="http://www.solucominsight.fr/2013/07/notification-des-fuites-de-donnees-clients-lere-de-la-transparence/" target="_blank" rel="noopener noreferrer"> la notification des incidents </a>est intégrée au texte. Elle se définit par l’obligation de fournir « des informations sur les attaques qu’ils peuvent subir ».</p>
<p>Au delà du <a href="http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf" target="_blank" rel="noopener noreferrer">guide d’hygiène informatique </a>qui pourrait être la base des mesures imposées, l’ANSSI travaille actuellement sur d’autres référentiels, par exemple sur les systèmes industriels ou sur le cloud.</p>
<p>En cas de non-respect de ces obligations, des sanctions pénales sont prévues. Il se posera alors la difficile question des moyens à disposition pour respecter ces obligations. Aujourd’hui, même si la sécurité est souvent préservée des coupes budgétaires, les budgets alloués sont souvent trop faibles au regard des enjeux et des risques. Espérons que cette réglementation, au-delà de paraître « intrusive », aura des vertus pédagogiques et fera prendre conscience aux dirigeants des OIV des réels enjeux de sécurité et permettra le déblocage de ressources.</p>
<h2> La lutte informatique défensive dans le champ d’action de l’ANSSI</h2>
<p>Le récent rapprochement « géographique » entre le <a href="http://www.defense.gouv.fr/actualites/dossiers/sept-2011-cyberdefense-enjeu-du-21e-siecle/france/voir-les-articles/le-calid-l-expert-technique-en-securite-informatique-du-ministere" target="_blank" rel="noopener noreferrer">CALID </a>(centre d&rsquo;analyse en lutte informatique défensive) du Ministère de la Défense et le <a href="http://www.ssi.gouv.fr/fr/anssi/organisation/centre-operationnel-de-la-securite-des-systemes-d-information-cossi.html" target="_blank" rel="noopener noreferrer">COSSI</a> (centre opérationnel en sécurité SI) de l’ANSSI le laissait présager. Il y a aujourd’hui une volonté de renforcer les capacités de lutte informatique défensive au sein de l’Etat. L’ANSSI sera ainsi en mesure « d’accéder à un serveur informatique à l’origine d’une attaque afin d’en neutraliser les effets ». C’est une première dans ce domaine. Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1,2 et 3 du code pénal qui répriment des actions de ce type.</p>
<h2> Le volet militaire n’est pas en reste : recrutements et investissements sont prévus</h2>
<p>De nombreuses autres évolutions sont prévues, en particulier dans le domaine du développement des capacités de cyberdéfense militaire avec la mise en place d’une chaîne opérationnelle unifiée, centralisée et spécialisée. Le projet de loi prévoit la mise en place des capacités défensives mais aussi offensives pour préparer ou accompagner les opérations militaires. Les moyens humains seront renforcés et des investissements sont également prévus en particulier pour mieux surveiller les systèmes critiques. La DGA sera en charge de la composante technique de cette organisation.</p>
<h2> L’Etat investit dans la cybersécurité… mais les entreprises restent à convaincre</h2>
<p>Nous ne sommes qu’au début du processus législatif et les débats au parlement et au sénat amèneront certainement des modifications. Cependant, l’orientation est claire et tout cela va dans la bonne direction pour renforcer nos capacités de défense face à des attaquants de plus en plus virulents et pointus.</p>
<p>Enfin, ce projet de loi démontre que l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. Espérons que cela sera un électrochoc pour les organisations privées, aujourd’hui en retrait face aux évolutions de la cybercriminalité.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/08/loi-de-programmation-militaire-2013-de-reelles-avancees-pour-la-cybersecurite/">Loi de programmation militaire 2013 : de réelles avancées pour la cybersécurité</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Notification des fuites de données clients : vers une transparence systématique ?</title>
		<link>https://www.riskinsight-wavestone.com/2013/07/notification-des-fuites-de-donnees-clients-lere-de-la-transparence/</link>
		
		<dc:creator><![CDATA[Marion Couturier]]></dc:creator>
		<pubDate>Wed, 31 Jul 2013 15:10:29 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Marketing et relation client]]></category>
		<category><![CDATA[Cyberattaque]]></category>
		<category><![CDATA[fuite de données]]></category>
		<category><![CDATA[notification]]></category>
		<category><![CDATA[Risk management]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3969</guid>

					<description><![CDATA[<p>Ces dernières semaines, les annonces de fuites de données clients ont fleuri (Apple, OVH, Ubisoft…) et attirent de plus en plus l’attention des médias. Excès de zèle, obligation ou vraie stratégie de relation client, que se cache-t-il derrière ces annonces...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/07/notification-des-fuites-de-donnees-clients-lere-de-la-transparence/">Notification des fuites de données clients : vers une transparence systématique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Ces dernières semaines, les annonces de fuites de données clients ont fleuri (Apple, OVH, Ubisoft…) et attirent de plus en plus l’attention des médias. Excès de zèle, obligation ou vraie stratégie de relation client, que se cache-t-il derrière ces annonces de plus en plus visibles ?</p>
<h2> Les données clients : un nouvel or numérique convoité</h2>
<p>Quel que soit leur secteur, toutes les entreprises sont aujourd’hui exposées à la cybercriminalité. Certaines redoutent le vol de secrets industriels ou encore l’indisponibilité de leurs systèmes, mais ils partagent une crainte commune: le vol de données personnelles de clients, collaborateurs, prospects, partenaires…</p>
<p>Cette richesse des entreprises est particulièrement convoitée par certains cybercriminels, appâtés par le gain financier qu’elles peuvent représenter. En effet, sur les marchés parallèles, les données peuvent se monnayer jusqu’à plusieurs dizaines de dollars par enregistrement…</p>
<h2> Des obligations réglementaires et légales qui vont se renforcer</h2>
<p>Les initiatives se multiplient pour protéger ces données et la vie privée des individus face à ces nouvelles menaces. La loi informatique et libertés, mise à jour en 2004, vise depuis de nombreuses années à protéger les libertés individuelles et les données à caractère personnel de traitement illicites.</p>
<p>Elle a été complétée en <a href="http://www.solucominsight.fr/2011/08/notification-des-atteintes-a-la-securite-des-donnees-etape-1-les-operateurs-telecoms/" target="_blank" rel="noopener noreferrer">août 2011 par le Paquet Télécoms</a>, qui a renforcé les obligations des opérateurs de télécommunications dans ce domaine en imposant notamment la notification des violations des traitements de données à caractère personnel aux victimes. En ligne de mire, permettre aux abonnés de connaître les risques qu’ils courent quand la sécurité de leurs données est en cause. Des premières notifications de faible ampleur ont déjà eu lieu. Cette obligation sera étendue à tous les secteurs avec le projet de règlement européen qui devrait être publié en 2014 ou début 2015.</p>
<p>Mais au-delà de la protection de la vie privée, les attaques sur les infrastructures critiques des états inquiètent également la France et plus largement l’Europe. Deux textes sont attendus pour y remédier : un texte français imposant aux Organismes d’Importance Vitale (OIV) un certain nombre d’exigences de sécurité et de notification, audit… et un texte européen définissant des sanctions minimales pour punir les cyberattaques. Attendus dans les prochains mois, ces textes doteront les états et les entreprises <a href="http://www.solucominsight.fr/2013/06/cyberdefense-letat-veut-franchir-une-nouvelle-etape/" target="_blank" rel="noopener noreferrer">de nouvelles armes pour lutter contre la cybercriminalité</a>.</p>
<h2>Entre totale transparence et protection des intérêts de l’entreprise, quel équilibre ?</h2>
<p>Ces derniers mois, de nombreuses entreprises ont révélé avoir été victimes de piratages : Apple, Ubisoft, OVH… L’enjeu de ces communications ? Prévenir les clients que la sécurité de leurs données a été remise en cause, pour leur permettre de prendre les actions adaptées. Bien souvent, il s’agit d’un changement de mot de passe sur le service, qui peut signifier pour  l’utilisateur un changement sur l’ensemble des services pour lequel il utilise le même mot de passe !</p>
<p>Il est intéressant d’observer les différences entre les notifications et ce que cela révèle sur la relation client des entreprises. <a href="http://status.ovh.net/?do=details&amp;id=5070" target="_blank" rel="noopener noreferrer">OVH</a>,  par exemple a fait preuve d’une grande transparence technique &#8211; ce qui est logique vus ses clients et leurs attentes. Apple, cohérent avec ses habitudes de communication, a été assez lapidaire dans les informations délivrées et a prévenu les utilisateurs plusieurs jours après l’arrêt du service. Ils n’ont mis en ligne <a href="https://developer.apple.com/support/system-status/" target="_blank" rel="noopener noreferrer">qu’une page permettant de suivre la remise en service</a> des différents sites touchés.<br />
<a href="http://forums.ubi.com/showthread.php/779040-Security-update-regarding-your-Ubisoft-account-please-create-a-new-password?s=3ff4cfa2125bffdc38ad96d0ca8b9263" target="_blank" rel="noopener noreferrer">Ubisoft</a>  a, quant à lui, eu une approche plus classique, proche de celles des grands acteurs du web qui ont connu des situations similaires (LinkedIn, Evernote…). Cependant, le groupe français a connu des soucis de surcharge de ces serveurs au moment de la communication des emails. Cela montre la nécessité et l’obligation de préparation face à ces évènements qui peuvent survenir à tout moment.</p>
<p>Et si les réglementations en place aujourd’hui imposent à ceux à qui elles s’appliquent une notification sans délai aux autorités et au plus tard dans les trois jours aux personnes, une question essentielle peut alors se poser : révéler les détails de l’attaque et les actions de sécurisation décidées ne peut-il pas permettre aux attaquants de poursuivre l’attaque en connaissance de cause ? Il s’agit dès lors d’une décision à peser soigneusement, en considérant à la fois les risques techniques et les risques réglementaires.</p>
<h2> Se préparer à notifier ses clients, sans attendre les obligations réglementaires</h2>
<p>L’enjeu est donc aujourd’hui de se préparer à notifier ses clients d’une violation de traitement de données personnelles. Un projet qui concerne réglementairement les opérateurs télécommunication, mais plus largement toutes les entreprises qui veulent préserver leur relation client et leur image !</p>
<p>Si les attaques ne peuvent être anticipées précisément, un cadre de stratégie de notification peut dès maintenant être élaboré en associant juristes, RSSI, DSI et direction marketing pour élaborer les processus et procédures de notification, le plan de communication et la logistique associée. Et rien de tel qu’un exercice de gestion de crise pour tester ces processus !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/07/notification-des-fuites-de-donnees-clients-lere-de-la-transparence/">Notification des fuites de données clients : vers une transparence systématique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Souscrire une cyber-assurance : mode d’emploi</title>
		<link>https://www.riskinsight-wavestone.com/2013/06/souscrire-une-cyber-assurance-mode-demploi/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Fri, 28 Jun 2013 11:53:47 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[analyse de risques]]></category>
		<category><![CDATA[cyberassurance]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Gestion des risques]]></category>
		<category><![CDATA[Risk management]]></category>
		<category><![CDATA[Risque]]></category>
		<category><![CDATA[RSSI]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3874</guid>

					<description><![CDATA[<p>Après avoir dans une précédente tribune évalué l’intérêt de souscrire ou non à une cyber-assurance (produit dédié à la couverture des risques liés à la cybercriminalité), il convient de s’intéresser désormais aux modalités de souscription d’une telle offre. En effet,...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/06/souscrire-une-cyber-assurance-mode-demploi/">Souscrire une cyber-assurance : mode d’emploi</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Après avoir dans une <a href="http://www.solucominsight.fr/2013/03/cyber-assurance-souscrire-ou-ne-pas-souscrire-telle-est-la-question/" target="_blank" rel="noopener noreferrer">précédente tribune</a> évalué l’intérêt de souscrire ou non à une cyber-assurance (produit dédié à la couverture des risques liés à la cybercriminalité), il convient de s’intéresser désormais aux <strong>modalités de souscription</strong> d’une telle offre.</em></p>
<p><em>En effet, le processus de souscription constitue le<strong> pilier fondateur</strong> d’un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d’une telle opération.</em></p>
<h2>Quels sont les acteurs majeurs de ce processus ?</h2>
<p>Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations :</p>
<ul>
<li>Le <strong>client </strong>: il s’agit d’une organisation ou d’une entreprise souhaitant disposer d’une prestation (généralement financière) en cas de survenance d’un incident. C’est lui qui exprime le besoin, que ce soit par ses Risk Manager, ses RSSI, sa Direction Générale ou encore ses acteurs métiers.</li>
<li>Le <strong>courtier </strong>: il est l’intermédiaire entre le souscripteur et l’assureur, et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client.</li>
<li>L’<strong>assureur </strong>: il crée les polices d’assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client.</li>
</ul>
<h2>Comment se déroule le processus de souscription à une cyber-assurance?</h2>
<p>En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une <strong>analyse de risques récurrente</strong> et un <strong>bilan assurantiel</strong> (évaluation de la couverture actuelle et des manques) impliquant toutes les parties de l’entreprise sont nécessaires.</p>
<p>Dans un second temps, il convient de <strong>choisir le courtier</strong> le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et des modalités de son accompagnement au cours des différentes étapes, du choix à la vie du contrat.</p>
<p>Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier <strong>identifie</strong> ensuite, grâce à sa connaissance poussée du marché, les <strong>assureurs</strong> les plus à même de répondre au besoin.</p>
<p>Le client et le courtier présentent ensuite à l’assureur leurs exigences en termes de <strong>périmètre de couverture</strong> et de <strong>plafond de garantie.</strong> Dans le cas de montants très élevés, le courtier peut mettre en place des <strong>montages d’assurances</strong> qui permettent d’atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l’assureur évalue la maturité du client, par l’intermédiaire de <strong>questionnaires</strong> ou par une <strong>analyse de risques</strong>. L’assureur propose alors un <strong>montant de prime d’assurance</strong> en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différents partis.</p>
<p>Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la <strong>police d’assurance.</strong></p>
<h2>Comment faire vivre le contrat ?</h2>
<p>Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l’assureur, notamment sur le devoir d’information en cas de modification significative des risques sur son système d’information. Cette obligation se concrétise généralement par des réunions annuelles entre l’assureur, l’assuré et le courtier dans le but d’établir un bilan de l’évolution de la maturité du client et d’adapter le contrat en conséquence.</p>
<p>La souplesse dans l’évolution du contrat a deux principaux intérêts. Pour le client, il est de <strong>faire baisser le montant des primes</strong> en <strong>améliorant sa sécurité</strong>. Pour l’assureur, il est d’<strong>adapter le montant des primes</strong> en fonction de l’<strong>évolution du risque</strong>. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI.</p>
<h2>Comment déclencher les garanties ?</h2>
<p>Les <strong>délais de notification</strong> en cas d’attaque constituent l’élément central du déclenchement. Le code des assurances rappelle : «<em>L’assuré est obligé de donner avis à l&rsquo;assureur, dès qu&rsquo;il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l&rsquo;assureur. Ce délai ne peut être inférieur à cinq jours ouvrés » </em>(<a href="http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006073984&amp;idArticle=LEGIARTI000006791999">Article L113-2</a>)<em>. </em>En cas de faute vis-à-vis de cette règle, le client peut se voir refuser ses garanties. L’enjeu est donc d’<strong>alerter au plus tôt l’assureur</strong>, même s’il n’y a que suspicion d’intrusion, mais aussi de <strong>cadrer les preuves</strong> à recueillir pour l’indemnisation – et ce dès l’établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si  l’assureur a été notifié dans les délais, et l’évaluation du sinistre réalisée.</p>
<p>En fonction des assureurs, la <strong>mise à disposition d’experts</strong> peut relever d’une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d’intervention de ces experts (obligation d’utiliser les prestataires de l’assureur, …).</p>
<p>Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante.</p>
<p><span id="more-3874"></span></p>
<p>&nbsp;</p>
<p>Retrouvez tous nos articles sur le secteur de l’assurance sur <a title="Insurance speaker - le blog assurance des consultants Solucom" href="http://www.insurancespeaker-solucom.fr/" target="_blank" rel="noopener noreferrer">Insurance speaker</a>, le blog assurance des consultants Solucom</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/06/souscrire-une-cyber-assurance-mode-demploi/">Souscrire une cyber-assurance : mode d’emploi</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cyberdéfense : l’Etat veut franchir une nouvelle étape</title>
		<link>https://www.riskinsight-wavestone.com/2013/06/cyberdefense-letat-veut-franchir-une-nouvelle-etape/</link>
		
		<dc:creator><![CDATA[Marion Couturier]]></dc:creator>
		<pubDate>Mon, 03 Jun 2013 19:45:33 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Stratégie d’entreprise]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[cyberdéfense]]></category>
		<category><![CDATA[défense nationale]]></category>
		<category><![CDATA[notification]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3787</guid>

					<description><![CDATA[<p>Le nouveau livre blanc Défense et Sécurité Nationale 2013 a été publié en avril dernier. Si ses précédentes éditions abordaient déjà la cyberdéfense, elle apparaît de plus en plus prégnante dans la stratégie de protection de l’État : le cyberespace est...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/06/cyberdefense-letat-veut-franchir-une-nouvelle-etape/">Cyberdéfense : l’Etat veut franchir une nouvelle étape</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Le nouveau livre blanc Défense et Sécurité Nationale 2013 a été publié en avril dernier. Si ses précédentes éditions abordaient déjà la cyberdéfense, elle apparaît de plus en plus prégnante dans la stratégie de protection de l’État : le cyberespace est plus que jamais considéré comme un champ de confrontation aussi important que l’air, la terre, la mer et l’espace extra-atmosphérique.</p>
<h2> Une menace qui s&rsquo;est accrue ces dernières années</h2>
<p>Le constat n’est pas nouveau : nos sociétés reposent de plus en plus sur les systèmes d’information pour leurs activités cœur de métier et sur les réseaux qui les interconnectent, rendant les crises qui les touchent de plus en plus globales et complexes à gérer. Leurs vulnérabilités sont bien souvent la conséquence d’un développement véloce, qui a laissé de côté les démarches de sécurisation ou les a sous-estimées. En revanche, depuis le livre blanc de 2008, les menaces se sont largement accrues, tant en probabilité qu’en impact. Il en résulte une exposition critique pour de nombreux systèmes cruciaux pour les activités françaises.</p>
<p>Les menaces du cyberespace se situent aujourd’hui à deux niveaux. D’un côté, on retrouve la cybercriminalité qui ne remet pas en cause la sécurité nationale mais met en péril la compétitivité des entreprises et leur image : vol de propriétés intellectuelles ou de données personnelles, indisponibilité ou défacement de sites web… De l’autre, des attaques relevant de la cyberguerre à des fins d’espionnage, de destruction ou prise de contrôle d’infrastructures d’importance vitale.</p>
<p>Si aujourd’hui les cyberattaques semblent, aux yeux de l’opinion publique, moins graves que les actes terroristes qui causent des morts, elles n’en restent pas moins une des préoccupations premières de l’État tant c’est une menace à forte probabilité et fort impact potentiel.</p>
<h2> L’État veut se donner les moyens de ses ambitions</h2>
<p>Afin de franchir une étape nécessaire dans sa capacité de protection, l’État souhaite donc lancer des actions sur quatre axes complémentaires. Le premier est celui des ressources humaines. Il s’agit de développer les compétences dans ce domaine et de former des experts à même de répondre à ces nouvelles situations. Au-delà de spécialistes, il est nécessaire de faire de la sécurité de l’information un incontournable de tout cursus informatique afin d’assurer les compétences, mais aussi l’appétence, des informaticiens de demain face à ces sujets. En outre, la volonté de constitution d’une réserve de spécialistes de la cyberdéfense est rappelée. L’ANSSI, qui a déjà annoncé des objectifs de recrutement ambitieux pour les prochaines années devrait donc poursuivre dans cette trajectoire.</p>
<p>Favoriser l’investissement dans des produits de sécurité maîtrisés est le second axe de travail, qui, complété par un renforcement des politiques d’achats devrait permettre à l’État d’avoir toute confiance dans ses fournisseurs.</p>
<p>Le troisième axe s’attache aux comportements humains puisque le livre blanc souligne une fois encore l’importance de la sensibilisation à la sécurité de l’information. Sensibilisation des employés bien sûrs, pour prévenir au maximum les incidents, mais aussi sensibilisation plus large de tous les utilisateurs d’Internet.</p>
<p>Enfin et non des moindres, un dispositif législatif et réglementaire fixant des standards de sécurité pour les opérateurs d’importance vitale va se dessiner : il s’agit ainsi d’imposer des mesures de détection et traitement des incidents touchant les systèmes sensibles, incluant notamment la notification des incidents.</p>
<h2> Des impacts pour les entreprises : encore et toujours la notification des incidents</h2>
<p>Ce sont principalement ces deux derniers axes qui vont entraîner le plus d’impacts pour les entreprises.  En effet, ce nouveau livre blanc leur rappelle l’importance de la sensibilisation, démarche déjà lancée dans de nombreuses organisations, et qui nécessite encore et toujours des actions régulières. Mais ce sont les projets de loi qui amèneront certainement le plus de nouveautés !</p>
<p>À l’image du projet de règlement Européen qui élargirait la notification de fuite d’informations personnelles du paquet Télécoms à toutes les entreprises, cette loi imposerait la notification des atteintes à la sécurité de son SI à tous les opérateurs d’importance vitale et donnerait à l’ANSSI des responsabilités associées (capacité d’audits…). De nombreuses entreprises publiques et privées seront alors concernées, sur un périmètre plus large que la fuite de données à caractère personnel et même au-delà du périmètre des opérateurs d’importance vitale déjà suivi par l’Etat. Une réponse attendue depuis plusieurs années dont les modalités d’application resteront à apprécier quand le texte sera rédigé. Rendez-vous fin 2013 !</p>
<p>&nbsp;</p>
<p>Plus<a href="http://www.gouvernement.fr/gouvernement/livre-blanc-2013-de-la-defense-et-de-la-securite-nationale" target="_blank" rel="noopener noreferrer"> consulter le livre blanc</a></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/06/cyberdefense-letat-veut-franchir-une-nouvelle-etape/">Cyberdéfense : l’Etat veut franchir une nouvelle étape</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cyber-assurance : souscrire ou ne pas souscrire telle est la question !</title>
		<link>https://www.riskinsight-wavestone.com/2013/03/cyber-assurance-souscrire-ou-ne-pas-souscrire-telle-est-la-question/</link>
		
		<dc:creator><![CDATA[zephSolucomBO]]></dc:creator>
		<pubDate>Fri, 15 Mar 2013 13:54:20 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Assurance]]></category>
		<category><![CDATA[APT]]></category>
		<category><![CDATA[cyberassurance]]></category>
		<category><![CDATA[e-commerce]]></category>
		<category><![CDATA[protection des données]]></category>
		<category><![CDATA[Risque]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=3498</guid>

					<description><![CDATA[<p>Les assurances dédiées à la couverture des risques liés à la cybercriminalité (communément appelées « cyber-assurances ») font de plus en plus parler d’elles ces derniers mois. Pourtant, si le marché outre atlantique est déjà florissant, les volumes de primes souscrites en...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/03/cyber-assurance-souscrire-ou-ne-pas-souscrire-telle-est-la-question/">Cyber-assurance : souscrire ou ne pas souscrire telle est la question !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Les assurances dédiées à la couverture des risques liés à la cybercriminalité (communément appelées « cyber-assurances ») font de plus en plus parler d’elles ces derniers mois. Pourtant, si le marché outre atlantique est déjà florissant, les volumes de primes souscrites en France restent limités. Assureurs et courtiers constatent pourtant un fort accroissement des demandes de cotation en 2012, faisant penser à un réel démarrage de ce segment de marché en France en 2014. Alors les cyber-assurances : bonne ou mauvaise solution ?</em></p>
<h2>La cyber-assurance : pour quoi faire ?</h2>
<p>Traditionnellement, l’assurance est vue comme une manière de transférer un risque, en permettant de recouvrer une perte en cas d’occurrence de ce risque. Cela implique d’être en mesure de correctement évaluer le risque et la perte associée. S’il est relativement aisé de le faire sur des risques « matures » en matière d’assurance, comme l’incendie par exemple, cela devient beaucoup plus complexe lorsque l’on parle de cybercriminalité. L’interconnexion des SI et leur globalisation rendent difficile l’évaluation des risques et des pertes : quelle valeur pour les informations que l’on m’a dérobées ? Quels impacts pour mes partenaires et mes clients ? Quels coûts pour réparer la faille ?</p>
<p>Ainsi, <strong>le souscripteur doit aujourd’hui percevoir la cyber-assurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.</strong></p>
<p>Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise. C’est cet apport immédiat d’expertise packagée qui peut intéresser le souscripteur à une offre « cyber-assurance », en complément du recouvrement d’une partie souvent limitée de ses pertes.</p>
<h2>La cyber-assurance : pour quels risques ?</h2>
<p>Les cyber-assurances permettent de faire face aux risques liés à trois grands enjeux actuels en matière de systèmes d’information.</p>
<ul>
<li>L’évolution de la règlementation concernant la protection des données personnelles et la notification en cas de fuite.</li>
</ul>
<p>Ces deux sujets très liés feront probablement l’objet dans un avenir proche de renforcements législatifs visant à protéger davantage les consommateurs. La notification des fuites peut s’avérer extrêmement coûteuse pour les entreprises. L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles  en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a fait exploser le marché de la cyber-assurance aux États-Unis.</p>
<ul>
<li>L’entreprise étendue, génératrice de nouveaux risques</li>
</ul>
<p>Les mouvements incessants des entreprises (fusions, cession de certaines activités, …), les interconnexions SI avec des clients et partenaires ou encore le développement du cloud computing sont autant de facteurs qui exposent le SI de l’entreprise à des attaques. Par ailleurs, en cas d’incident avéré, l’entreprise peut être considérée comme responsable de perturbations chez ses clients et partenaires. Attention cependant sur ce point : si un volet responsabilité civile est souvent inclus dans les offres de cyber-assurances, il fait parfois doublon avec les contrats responsabilité civile traditionnellement souscrits, qui couvrent souvent (en France) les dommages immatériels.</p>
<ul>
<li>Le développement du e-commerce</li>
</ul>
<p>De plus en plus d’entreprises vendent aujourd’hui leurs produits sur Internet. L’indisponibilité du portail web de vente peut ainsi générer des pertes importantes de chiffre d’affaires, qu’il peut être relativement facile de chiffrer. Dans ce cas, une cyber-assurance peut jouer pleinement son rôle traditionnel de solution permettant de recouvrer une perte.</p>
<h2>En conclusion : dans quels cas prendre une cyber-assurance ?</h2>
<p>En conclusion, il est sans doute bon de s’intéresser au sujet de la cyber-assurance si l’entreprise est dans un ou plusieurs des cas suivants :</p>
<ul>
<li>Elle est susceptible de faire face à une <strong>attaque dont certaines conséquences sont facilement mesurables</strong> (sites de e-commerce par exemple). Dans ce cas, l’entreprise cherchera à jouer sur l’aspect « traditionnel » de l’assurance pour recouvrer une perte d’exploitation.</li>
<li>Elle dispose d’un <strong>SI fortement interconnecté avec l’extérieur</strong>. Il sera alors utile dans un premier temps de vérifier quelle couverture lui offre son contrat en responsabilité civile (RC) actuel pour indemniser les tiers à qui elle porterait atteinte en cas d’attaque. Au besoin, elle pourra compléter cette couverture par le volet RC d’une cyber-assurance.</li>
<li>Elle <strong>gère de nombreuses données personnelles</strong>. Elle sera alors attentive aux évolutions législatives en matière de notification et prendra si possible les devants sur le sujet en commençant à étudier la solution cyber-assurance.</li>
<li>Elle dispose d’un <strong>manque d’expertises sur le sujet de la cybercriminalité</strong> et souhaite pouvoir disposer d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cyber-assureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, gestion de crise, forensics, …)</li>
</ul>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/03/cyber-assurance-souscrire-ou-ne-pas-souscrire-telle-est-la-question/">Cyber-assurance : souscrire ou ne pas souscrire telle est la question !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>La fin du monde a (presque) eu lieu : revue de 5 incidents marquants en 2012</title>
		<link>https://www.riskinsight-wavestone.com/2013/01/la-fin-du-monde-a-presque-eu-lieu-revue-de-5-incidents-marquants-en-2012/</link>
		
		<dc:creator><![CDATA[Mickael Avoledo]]></dc:creator>
		<pubDate>Fri, 18 Jan 2013 14:44:43 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[bug]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[incidents]]></category>
		<category><![CDATA[interruptions]]></category>
		<category><![CDATA[Threat intelligence]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2943</guid>

					<description><![CDATA[<p>Les plus perspicaces d’entre vous l’auront remarqué : la fin du monde n’a finalement pas eu lieu l’année dernière ! Mais 2012 a porté son lot de catastrophes, bugs, maladresses, black swans et autres interruptions d’activités en tous genres. Sans prétendre à...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/01/la-fin-du-monde-a-presque-eu-lieu-revue-de-5-incidents-marquants-en-2012/">La fin du monde a (presque) eu lieu : revue de 5 incidents marquants en 2012</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Les plus perspicaces d’entre vous l’auront remarqué : la fin du monde n’a finalement pas eu lieu l’année dernière ! Mais 2012 a porté son lot de catastrophes, bugs, maladresses, black swans et autres interruptions d’activités en tous genres. Sans prétendre à l’exhaustivité, nous avons sélectionné quelques incidents parmi les plus significatifs, de par leur nature ou leur impact.</em></p>
<h2>Télécommunications : le réseau mobile Orange down</h2>
<p>Si l’on demandait aux Français quelle panne les a le plus marqués en 2012, il y a fort à parier qu’ils parleraient d’<strong>Orange</strong> : au mois de juillet, l’opérateur (et d’autres par ricochet) a subi une <a title="Pannes logicielles : la zone d’ombre du PRA (Plan de Reprise d’Activité)" href="http://www.solucominsight.fr/2012/08/pannes-logicielles-la-zone-dombre-du-pra-plan-de-reprise-dactivite/">interruption de son réseau mobile</a> pendant plusieurs heures suite à un incident logiciel. Moins d’une semaine plus tard, c’était au tour d’O<sub>2</sub> de subir le même sort au Royaume-Uni pour quasiment 24h. Preuve, s’il en fallait une, que l’on ne doit pas considérer la résilience des réseaux mobiles comme une évidence.</p>
<h2><span id="more-2943"></span></h2>
<h2>Énergie : la plus grosse panne électrique de l’histoire</h2>
<p>Il en va de même pour les réseaux électriques. Si la dernière panne générale en France remonte à 1978, des interruptions significatives ont été enregistrées récemment (Chili et Japon en 2011, USA en 2008 et 2003). Fin juillet 2012, l’Inde a établi un triste record : la plus grande panne d’électricité jamais enregistrée, avec 670 millions d’usagers touchés pendant plusieurs jours. En cause : une capacité de production qui a du mal à suivre la croissance de la population et de la demande, combinée à une sècheresse qui a diminué la production hydro-électrique du pays.</p>
<h2>Banque et finance : un des bugs les plus coûteux après le blackout aux USA de 2003 et la destruction d’Ariane 5 en 1996</h2>
<p>Les pannes et bugs logiciels occupent une bonne place cette année dans le top des causes des incidents majeurs. C’est ce qui s’est passé pour Knight Capital, qui a subi en août l’un des bugs les plus chers de l’histoire : 440 millions de dollars envolés. Un système de trading haute fréquence mal qualifié est à l’origine du désastre, qui ne manquera pas d’alimenter les détracteurs de la finance. Knight Capital est d’ailleurs passé proche de la banqueroute et n’a pu éviter le rachat par un de ses concurrents début 2013.</p>
<p>Dans le secteur bancaire, impossible de passer sur la panne informatique de Royal Bank of Scotland (RBS). Provoquée par une erreur dans un batch, elle a exigé d’importantes et nombreuses opérations manuelles des équipes informatiques ce qui a fortement retardé le traitement. Plus de 15 millions de clients ne pouvaient plus retirer de l’argent ou faire des virements pendant une semaine ! Résultat : 219 millions d’euros de dédommagements pour la banque.</p>
<h2>Services informatiques : le cloud, toujours le cloud !</h2>
<p>Les belles promesses de<a title="Panne Facebook : symptomatique de la résilience du cloud computing ?" href="http://www.solucominsight.fr/2012/03/panne-facebook-symptomatique-de-la-resilience-du-cloud-computing/"> résilience de l’informatique dans les nuages</a> avaient déjà pris un sacré coup en 2011, avec des interruptions importantes chez la plupart des acteurs majeurs du secteur. L’année 2012 a fini de tuer le rêve.</p>
<p>Amazon est le grand vainqueur avec au moins 4 pannes majeures en 2012, dont une le jour de Noël. Les causes sont diverses : tempête et panne électrique, bug logiciel, erreurs réseau ou erreur humaine. Chez Microsoft, la panne mondiale d’Azure en février a viré au tragicomique lorsqu’il fut révélé qu’elle provenait d’une erreur logicielle liée à l’année bissextile ! Enfin, bien que moins importantes, Google a aussi connu son lot de pannes en 2012, tout comme <a title="Panne Facebook : symptomatique de la résilience du cloud computing ?" href="http://www.solucominsight.fr/2012/03/panne-facebook-symptomatique-de-la-resilience-du-cloud-computing/">Facebook </a>et Twitter.</p>
<h2>Catastrophes naturelles : l’ouragan Sandy … entre autres</h2>
<p>Impossible de terminer ce panorama sans évoquer les catastrophes naturelles : inondations aux Philippines, séisme en Iran et en Chine, <a title="Les plans de continuité informatique des cloud à l’épreuve de l’ouragan Sandy" href="http://www.solucominsight.fr/2012/12/les-plans-de-continuite-informatique-des-cloud-a-lepreuve-de-louragan-sandy/">ouragan Sandy en Amérique du Nord</a>… Selon le réassureur allemand Munich Re, les catastrophes naturelles ont causé environ 160 milliards de dollars de pertes en 2012 (400 en 2011 selon la même source, année la plus coûteuse de l’histoire en la matière), sans parler des nombreuses victimes.</p>
<h2>Et en bonus…</h2>
<p>Moins importants en termes d’impacts que ceux mentionnés ci-dessus, deux exemples d’incidents nous semblent pourtant pouvoir donner matière à réflexion.</p>
<p>En cette année d’élections en France où une nouvelle fois la question du vote électronique a été posée,  deux incidents informatiques ont perturbé des processus électoraux : dans le canton de Vaud en Suisse et lors des primaires du Likoud en Israël.</p>
<p>Pour clore ce panorama, on se doit de citer les actes malveillants, liés à la cybercriminalité notamment, par exemple les importantes attaques DDoS contre des institutions financières aux USA ou l’infection de 30000 PC de Saudi Aramco (première compagnie pétrolière mondiale) par le virus très perfectionné Shamoon. On notera également les révélations du New York Times concernant l’implication des USA et d’Israël dans le virus <a title="Apparition de Flame et révélation sur Stuxnet, quelles conséquences pour la sécurité de l’information ?" href="http://www.solucominsight.fr/2012/06/apparition-de-flame-et-revelation-sur-stuxnet-quelles-consequences-pour-la-securite-de-l%e2%80%99information/">Stuxnet </a>en 2010, faisant encore monter d’un cran la pression sur la cyber-guerre.</p>
<h2>Les années passent, les interruptions d’activité restent</h2>
<p>Les années se suivent et ne se ressemblent pas<sup>1</sup>, mais les interruptions d’activité, catastrophes et autres bugs informatiques continuent de provoquer des problèmes majeurs.</p>
<p>S’il est important de mettre des moyens sur leur prévention, il est tout aussi nécessaire de savoir réagir. Le risque zéro n’existe pas et certains accidents sont aussi inattendus qu’inévitables. Dans ce cas,  un PCA accompagné d’une gestion de crise efficace peuvent permettre de limiter grandement les dégâts !</p>
<p>[Article écrit en collaboration avec Gérôme Billois]</p>
<p><sup>1</sup>Voir notre <a href="http://www.solucominsight.fr/2012/01/2011-retrospective-des-incidents-majeurs-et-impacts-sur-la-gestion-de-risques/">rétrospective des incidents 2011</a>.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/01/la-fin-du-monde-a-presque-eu-lieu-revue-de-5-incidents-marquants-en-2012/">La fin du monde a (presque) eu lieu : revue de 5 incidents marquants en 2012</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Attaques ciblées : comment gérer le risque en amont ?</title>
		<link>https://www.riskinsight-wavestone.com/2012/11/attaques-ciblees-comment-gerer-le-risque-en-amont/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Tue, 13 Nov 2012 15:29:27 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[Active directory]]></category>
		<category><![CDATA[APT]]></category>
		<category><![CDATA[audit & pentesting]]></category>
		<category><![CDATA[crise]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Ddos]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2523</guid>

					<description><![CDATA[<p>(Article rédigé en collaboration avec Frédéric Chollet) Si la gestion de crise lors d’une attaque doit suivre les 4 principes clés évoqués dans notre précédent article, elle doit surtout en intégrer l’anticipation dans ses mécanismes. Une stratégie à moyen terme...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/11/attaques-ciblees-comment-gerer-le-risque-en-amont/">Attaques ciblées : comment gérer le risque en amont ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>(Article rédigé en collaboration avec Frédéric Chollet)</p>
<p><em>Si la gestion de crise lors d’une attaque doit suivre les 4 principes clés évoqués dans notre précédent article, elle doit surtout en intégrer l’anticipation dans ses mécanismes.</em></p>
<h2>Une stratégie à moyen terme basée sur l’anticipation des attaques ciblées</h2>
<p>Dès aujourd’hui, il est nécessaire de refondre les processus de gestion de crise. Les scénarios de cybercriminalité doivent être inclus dans les procédures opérationnelles (modalités de réponse, SI spécialisé…). Les relations avec les autorités compétentes doivent être créées ou renforcées dans le but d’accélérer la phase de mobilisation de ces acteurs et de maîtriser les circuits de communication.</p>
<p>Une stratégie de communication claire doit être définie en fonction des acteurs évoluant dans et autour de l’organisation. Les obligations de demain (notification aux clients des fuites de données à caractère personnel…) doivent être anticipées afin de garantir le moment venu un respect des règlementations en vigueur. De ce fait, il ne sera plus possible de garder la confidentialité sur le fait qu’une crise est en cours.</p>
<p>Les attaques ciblées étant souvent constituées d’une somme d’incidents unitaires, il est nécessaire de revoir en parallèle les processus de gestion des incidents pour s’inscrire dans une démarche itérative, garantissant un état de veille constant, une rapidité d’intervention et une prise de recul.</p>
<p>À moyen terme, évaluer son attractivité et connaître ses actifs clés permettent de déterminer les informations attirantes pour des attaquants. Le secteur d’activité et le positionnement sur le marché sont des éléments déterminants. Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l’attractivité du SI aux yeux d’attaquants. Cette évaluation doit s’inscrire dans une revue régulière des risques avec les métiers.</p>
<p>Enfin, il faut mettre en place des mesures avancées pour permettre une sécurisation renforcée des cibles identifiées avec les métiers en sanctuarisant les périmètres les plus sensibles (applications métiers clés, VIP / COMEX…) mais aussi les systèmes techniques clés (serveurs et postes d’administration, infrastructure à effet d’amplification comme la télédistribution ou l’Active Directory).</p>
<p>Des approches plus actives (demande de fermeture des sites utilisés pour l’exfiltration, honeypot …) peuvent être envisagées.</p>
<h2>Complexifier l’attaque pour en diminuer sa rentabilité</h2>
<p>Les attaques ciblées représentent un challenge pour les grandes organisations qui ne sont pas habituées à gérer ce type de crise silencieuse, à grande échelle, mêlant métier et SI et entraînant une perte de confiance dans ce dernier. Leur gestion nécessite de revoir les processus en place mais également de prévoir des actions pour rendre l’attaque plus difficile, faciliter leur détection et renforcer les capacités de réaction.</p>
<p>La mise en place de ces éléments permettra de complexifier les actions de l’attaquant et, à terme, de rendre l’attaque moins rentable ! C’est certainement une des clés de réponse face à ces nouvelles menaces.</p>
<p><a href="http://www.solucominsight.fr/2012/11/attaques-ciblees-une-refonte-necessaire-de-la-gestion-de-crise/" target="_blank" rel="noopener noreferrer">Lire la première partie</a></p>
<p>Pour en savoir plus, lire le <a href="http://www.solucom.fr/Publications/Attaques-ciblees-une-refonte-necessaire-de-la-gestion-de-crise" target="_blank" rel="noopener noreferrer">focus attaques ciblées, une refonte nécessaire de la gestion de crise</a>.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/11/attaques-ciblees-comment-gerer-le-risque-en-amont/">Attaques ciblées : comment gérer le risque en amont ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Attaques ciblées : une refonte nécessaire de la gestion de crise</title>
		<link>https://www.riskinsight-wavestone.com/2012/11/attaques-ciblees-une-refonte-necessaire-de-la-gestion-de-crise/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Wed, 07 Nov 2012 09:24:13 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[Active directory]]></category>
		<category><![CDATA[APT]]></category>
		<category><![CDATA[crise]]></category>
		<category><![CDATA[crisis management]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Ddos]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2504</guid>

					<description><![CDATA[<p>(Article rédigé en collaboration avec Frédéric Chollet) La cybercriminalité ne cesse de croître. Les cas concrets se multiplient. Les retours d’expérience montrent la difficulté à gérer des crises d’un nouveau type. Ces attaques ciblées sont souvent des crises silencieuses qui...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/11/attaques-ciblees-une-refonte-necessaire-de-la-gestion-de-crise/">Attaques ciblées : une refonte nécessaire de la gestion de crise</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>(Article rédigé en collaboration avec Frédéric Chollet)</p>
<p><em>La cybercriminalité ne cesse de croître. Les cas concrets se multiplient. </em></p>
<p><em>Les retours d’expérience montrent la difficulté à gérer des crises d’un nouveau type. Ces attaques ciblées sont souvent des crises silencieuses qui atteignent directement la confidentialité des données sans remettre en cause le fonctionnement visible du SI. Ces crises sont difficiles à matérialiser, à traiter et finalement à clore de manière définitive.</em></p>
<p><em>Comment réagir à ces attaques ? Quelles démarches et organisations doit-on mettre en place pour se préparer au mieux ? Quelles actions de traitements doivent être mises en œuvre ?<br />
</em></p>
<h2>Refondre les piliers de la gestion de crise</h2>
<h4>Une attaque ciblée n’est pas une crise SI mais bien une crise métier</h4>
<p>En effet, si cette attaque a lieu c’est pour voler ou altérer des données métiers. Il est donc primordial d’impliquer les métiers et d’identifier les enjeux métiers actuels (contrats importants, fusion / acquisition, R&amp;D…) afin d’anticiper les cibles de l’attaque et d’agir pro-activement. Dans le même esprit, et suivant les contextes, un support auprès d’entités étatiques peut également être recherché. Les équipes SI, malgré leur vigilance, ont un périmètre d’observation trop large pour être attentives sur tous les fronts. Identifier les cibles métiers majeures permettra de focaliser l’attention sur les périmètres sensibles.</p>
<h4>Augmenter sa visibilité sur le système d’information<em> </em></h4>
<p>Pour analyser l’attaque et proposer des contre-mesures efficaces, il est nécessaire de détecter et de rapprocher les successions d’incidents unitaires et d’événements suspicieux. Pour cela la mobilisation des équipes d’experts « forensics » est essentielle. Ils seront à même de comprendre le fonctionnement des codes malicieux utilisés pour l’attaque et de pouvoir proposer des plans d’actions techniques pertinents. Ces ressources, encore trop rares aujourd’hui, devront être rapidement mobilisées.</p>
<p>L’utilisation d’outils pour capter les « signaux faibles » (analyses de journaux, sondes réseaux et détection d’intrusion) est également un vrai plus malheureusement encore peu généralisé. Notre retour d’expérience montre qu’il est possible de déployer rapidement ce type d’outil pendant une crise mais il nécessite un degré d’expertise fort pour être efficace.</p>
<h4>S’astreindre à prendre du recul face à une multitude d’attaques silencieuses et trompeuses</h4>
<p>Il est important de prendre régulièrement du recul, malgré la multitude d’évènements, pour comprendre la finalité de l’attaque, son évolution et définir le mode de réponse. La cellule de pilotage devra donc être séparée des opérations les plus « terrains » pour garder ce recul nécessaire.</p>
<p>Attention également à la logique de diversion, souvent mise en oeuvre par les attaquants (attaque en déni de services, sur d’autres serveurs peu critiques…). Il est conseillé dans ce genre de situation de rester focalisé sur les cibles potentielles définies avec les métiers et vigilants pendant les périodes d’inactivité de l’organisation (HNO, week-end, jours fériés).</p>
<p>Une limite souvent rencontrée dans une telle crise est la mobilisation de trop nombreux acteurs décisionnels au regard d’un faible nombre d’acteurs opérationnels en capacité à réaliser les actions. La longue durée d’une attaque (pouvant s’étaler sur plusieurs mois) nécessite la mise en place d’un rythme de gestion différent d’une crise classique. Une organisation adaptée doit être mise en place dans la durée, en prévoyant des rotations des acteurs impliqués.</p>
<h4>Disposer d’un SI de crise parallèle et indépendant</h4>
<p>L’expérience montre que les attaquants réussissent souvent à prendre le contrôle de l’Active Directory ou encore de la messagerie. Ils sont alors en mesure « d’écouter » les décisions prises par la cellule de crise et de les anticiper. Pour réagir efficacement durant la crise, il est donc crucial de disposer de postes de travail durcis hors des domaines d’administration classique et d’un service de messagerie spécifique. L’utilisation de services Cloud est possible. Attention cependant, les attaquants ayant pu également compromettre les messageries personnelles de tout ou partie des collaborateurs…</p>
<h4>Admettre la perte de confiance dans le SI et la regagner</h4>
<p>La découverte d’une intrusion majeure a souvent pour conséquence une perte de confiance en son SI vu le nombre et la criticité des serveurs compromis. Pour reprendre le contrôle de ceux-ci, il est souvent nécessaire de reconstruire des socles sains, et en particulier de réinstaller complètement l’Active Directory. À partir de ces socles sains, il sera alors possible de recréer progressivement des zones de confiance en privilégiant les fonctions les plus sensibles de l’organisation.</p>
<p>Les investissements liés à ces plans de reconstruction peuvent être très lourds (nos retours d’expérience montrent qu’ils dépassent fréquemment la dizaine de millions d’euros) et l’attention ne doit en aucun cas être relâchée dans ces zones assainies pour éviter une nouvelle attaque. Il faudra alors mettre en place tous les processus nécessaires pour garantir leur sécurité (administration sécurisée, analyse des journées, filtrage réseaux, gestion des accès fins…).</p>
<p>À suivre …</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/11/attaques-ciblees-une-refonte-necessaire-de-la-gestion-de-crise/">Attaques ciblées : une refonte nécessaire de la gestion de crise</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Le Hack As A Service (HaaS), un marché florissant !</title>
		<link>https://www.riskinsight-wavestone.com/2012/09/le-hack-as-a-service-haas-un-marche-florissant/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Tue, 11 Sep 2012 07:00:26 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[attaque]]></category>
		<category><![CDATA[audit & pentesting]]></category>
		<category><![CDATA[HaaS]]></category>
		<category><![CDATA[hackers]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2213</guid>

					<description><![CDATA[<p>Les cyber-attaques se multiplient et atteignent leur objectif de plus en plus fréquemment. Elles suscitent un grand emballement médiatique et un intérêt croissant de personnes malveillantes qui y voient l’opportunité d’utiliser les faiblesses des systèmes d’information pour atteindre leurs fins...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/09/le-hack-as-a-service-haas-un-marche-florissant/">Le Hack As A Service (HaaS), un marché florissant !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Les cyber-attaques se multiplient et atteignent leur objectif de plus en plus fréquemment. Elles suscitent un grand emballement médiatique et un intérêt croissant de personnes malveillantes qui y voient l’opportunité d’utiliser les faiblesses des systèmes d’information pour atteindre leurs fins criminelles. En parallèle, les pirates comprennent l’importance grandissante de leurs compétences et cherchent à les monnayer de plus en plus simplement afin de créer un véritable marché noir de la cybercriminalité.</em></p>
<p>La demande explosant, le besoin d’industrialisation se fait ressentir. Cette situation aboutit « naturellement » à la création d’offres de « Hack As A Service ». Conçu sur le modèle des services cloud, elle consiste à disposer des services de hacking, simple d’accès, forfaitaire et dont les coûts sont maîtrisés. Balbutiant depuis plusieurs années, ce marché  se développe et se structure de plus en plus.Voici un florilège des évolutions récentes qui montrent indubitablement cette tendance de fond.</p>
<p><em>Remarque : afin d’éviter toute mise en avant de sites offrant ce type de biens ou de prestations, aucun nom ne sera cité directement.</em></p>
<h4>La fourniture de logiciels d’attaques performantes</h4>
<p>Pour des tarifs « raisonnables », tournant généralement entre 500$ et 4000$, il est facile de se procurer des kits de logiciels, comme <em>Poison Ivy</em> ou encore <em>Zeus / Spyeye</em>, permettant de<a href="http://www.rsa.com/products/consumer/whitepapers/11634_CYBRC12_WP_0112.pdf" target="_blank" rel="noopener noreferrer"> mener soi-même des attaques</a>. En plus de fournir des outils permettant de trouver des mots de passe, rebondir sur le réseau et faciliter l’exfiltration de données, ces kits fournissent tout le nécessaire pour assurer la discrétion et l’anonymisation des attaquants. Grâce à ces outils, plus besoin d’être un professionnel du domaine pour échapper aux protections classiques tels que l’antivirus, ces kits sont souvent vendus avec des mises à jour régulière pour conserver leur avance.</p>
<h4>La réalisation d’actions malicieuses « au forfait »</h4>
<p>De plus en plus fréquentes et de moins en moins chères, ces offres sont parmi les plus simples à utiliser. En effet, aucune connaissance n’est requise. Les prestations sont variées et peuvent aller d’un simple déni de service à un vol de données sensibles en passant par du défacement de sites web. Par exemple, <a href="http://online.wsj.com/article/SB10001424052970203471004577145140543496380.html" target="_blank" rel="noopener noreferrer">hacker un compte Gmail</a> se chiffre autour de 400$ . Le paiement peut lui aussi être anonyme en passant par le principe de monnaies virtuelles encore peu encadré aujourd’hui.</p>
<h4>Le recel d‘informations personnelles ou bancaires</h4>
<p>Pourquoi attaquer quand les informations convoitées sont d’ores et déjà exfiltrées ? C’est le principe des plates-formes de recel de données personnelles et bancaires. Le prix des cartes de crédit, suivant la qualité des données et le type de carte y évolue de quelques dollars à plusieurs centaines dans certains cas. Des mécanismes de type « try &amp; buy » permettent d’ailleurs de vérifier aisément la qualité des données. Tout comme LeBoncoin ou eBay, <a href="http://www.npr.org/blogs/money/2011/06/20/137227559/how-to-buy-a-stolen-credit-card" target="_blank" rel="noopener noreferrer">ces places de marché permettent la vente de ces informations.</a> D’autres données peuvent y être vendues, comme par exemple celles à caractère personnel (adresses numéros de téléphone, etc.) qui <a href="http://www.v3.co.uk/v3-uk/news/2098893/indian-centres-selling-uk-financial-pence-user" target="_blank" rel="noopener noreferrer">peuvent s’y échanger pour pas moins de 25 centimes</a> . Ces trafics seraient à l’origine d’un rendement financier supérieur à celui du trafic de drogue en Russie.</p>
<h4>La vente d’exploit zero-day</h4>
<p>Ce marché est encore limité car les prix et la capacité à exploiter les données d’un exploit nécessitent des compétences et des moyens particuliers. Cependant, il s’agit d’une arme imparable pour pénétrer les réseaux et bien utiliser ces exploits devient vite très rentable. <a href="http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/" target="_blank" rel="noopener noreferrer">Les prix oscillent entre 5 000 $ pour des exploits simples</a>, visant par exemple <em>Adobe Reader</em> et 250 000 $ pour des attaques visant les plateformes mobiles, l’iOS en particulier.</p>
<h2>Que retenir de la démocratisation de ce marché ?</h2>
<p>La création de ces nouveaux services montre explicitement qu’il ne faut plus être un attaquant chevronné, disposer de contacts dans le milieu ou encore avoir d’importants moyens financiers pour lancer une attaque. La probabilité d’être visé augmente donc aussi rapidement que les services se démocratisent et que les prix baissent.</p>
<p>Ces exemples peuvent être d’intéressantes pistes pour sensibiliser des équipes trop réticentes ou encore trop naïve sur les moyens nécessaires pour attaquer une entreprise, ses collaborateurs et ses clients !</p>
<p>[Article rédigé en collaboration avec Xavier Paquin]</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/09/le-hack-as-a-service-haas-un-marche-florissant/">Le Hack As A Service (HaaS), un marché florissant !</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Externaliser la sécurité, oui mais dans quel objectif ?</title>
		<link>https://www.riskinsight-wavestone.com/2012/08/externaliser-la-securite-oui-mais-dans-quel-objectif/</link>
		
		<dc:creator><![CDATA[SolucomINSIGHT]]></dc:creator>
		<pubDate>Tue, 28 Aug 2012 08:30:24 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Stratégie & projets IT]]></category>
		<category><![CDATA[externalisation]]></category>
		<category><![CDATA[SecAAS]]></category>
		<category><![CDATA[SIEM]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2149</guid>

					<description><![CDATA[<p>La sécurité suit aujourd’hui la tendance générale qui vise à externaliser de nombreuses fonctions du périmètre historique du SI (messagerie, applications métiers…). Force est de constater que la sécurité n’est plus un frein à sa propre externalisation. Les principaux risques...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/08/externaliser-la-securite-oui-mais-dans-quel-objectif/">Externaliser la sécurité, oui mais dans quel objectif ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La sécurité suit aujourd’hui la tendance générale qui vise à externaliser de nombreuses fonctions du périmètre historique du SI (messagerie, applications métiers…).</p>
<p>Force est de constater que la sécurité n’est plus un frein à sa propre externalisation. Les principaux risques que craignaient les RSSI il y a encore quelques années peuvent désormais être maîtrisés.  À condition bien entendu de respecter quelques règles d’or acceptées par la plupart des fournisseurs : engagement de réversibilité, clauses d’audit, mécanismes de suivi des SLA et certifications des fournisseurs &#8230;</p>
<p>Le RSSI n’a que l’embarras du choix : il est aujourd’hui possible d’externaliser quasiment tous les services imaginables en termes de sécurité opérationnelle. Mais alors que doit-on externaliser, et pourquoi ?</p>
<h2><strong>Externaliser pour rationaliser</strong></h2>
<p>Depuis des années, les entreprises font appel aux MSSP (<em>Managed Security Service Providers) </em>pour gérer leurs infrastructures sécurité : management du parc de firewalls, surveillance des consoles anti-virus et des IDS…</p>
<p>Ces fournisseurs, tirant partie de leurs nombreux retours d’expérience, proposent aujourd’hui des offres totalement packagées et industrialisées. La mutualisation de leurs ressources et processus permet d’optimiser les coûts, à tel point qu’aujourd’hui les <em>business case</em> penchent quasi-systématiquement en faveur de l’externalisation !</p>
<p>Et l’industrialisation pourrait encore aller plus loin… avec le marché des SecAAS <em>(Security-as-a-Service)</em>. Ces « nouveaux entrants » ne se limitent pas à la gestion des infrastructures, mais fournissent directement des mesures de protection dans le Cloud (filtrage web, messagerie sécurisée, authentification forte…). Leurs clients peuvent ainsi bénéficier de tous les avantages hérités du Cloud (mutualisation, optimisation, flexibilité…) tout en réduisant le coût de l’exploitation de leur infrastructure.</p>
<h2><strong>Externaliser pour mieux se protéger</strong></h2>
<p>Paradoxalement, l’externalisation peut même avoir comme objectif premier d’augmenter le niveau de sécurité&#8230; en tirant partie de la vision globale, inter-clients, des MSSP.</p>
<p>Il s’agit de confier à un MSSP la surveillance de l’infrastructure sécurité, qui lui-même dispose d’une vue sans pareille sur l’actualité du monde de la cybercriminalité. En effet, les grandes entreprises doivent désormais connaître les nouvelles menaces en temps réel et être en capacité de réagir en cas d’attaque. Une conséquence évidente de l’évolution des attaques constatée ces dernières années.</p>
<p>Les MSSP leaders du marché ont compris l’importance de ce changement et ont structuré leurs offres autour de leurs connaissances du monde de la cybercriminalité (affiliation aux réseaux de CERT, présence sur les forums underground, déploiement de réseaux de sondes dans le monde…).</p>
<p>La surveillance des infrastructures de leurs clients ne se limite plus à l’administration d’outils SIEM <em>(Security Information and Events Management)</em> : les filtres de surveillance sont mis à jour au fil de l’actualité, sans se limiter aux comportements définis préalablement avec leur client. De même, les activités historiques de veille et de tests de vulnérabilités sont largement complétées : les vulnérabilités des clients sont désormais analysées en connaissance des menaces réelles et la surveillance peut être adaptée tant que la vulnérabilité n’est pas corrigée.</p>
<p>La valeur ajoutée sécurité est évidente : les clients bénéficient d’une mise à jour constante de leur niveau de sécurité. Bien entendu, plus le nombre de clients du MSSP est élevé, plus le service devient pertinent. Il n’est donc pas surprenant que le marché soit aujourd’hui dominé par les grands fournisseurs anglo-saxons. Mais peut-être pas pour longtemps, ces derniers étant bousculés depuis quelques temps par les groupes Indiens qui tendent aujourd’hui vers des services performants avec des prix plus compétitifs.</p>
<h2><strong>Externaliser pour encore plus de valeur ajoutée</strong></h2>
<p>Les services proposés par les MSSP tendent à s’homogénéiser… voire même à se standardiser. Il est de plus en plus complexe de négocier des SLA particuliers, ou d’exiger des ressources spécifiques ou dédiées.</p>
<p>Cette approche mutualisée est très efficace tant que les services portent sur la sécurité des infrastructures, cependant elle est fortement limitée lorsqu’il s’agit de protéger les besoins métiers spécifiques. Le « sur-mesure » est indispensable pour lutter contre les menaces les plus avancées et pour protéger de manière fine les applications critiques de l’entreprise.</p>
<p>Aujourd’hui il n’existe pas d’acteurs majeurs capables de surveiller les applications ou de détecter les fuites d’information avec une vision métier. Peut-être ce marché est-il à la portée des MSSP français qui restent assez proches de leurs clients, avec des offres encore adaptables ?</p>
<p>Il est donc à la fois possible d’optimiser ses coûts et d’augmenter son niveau de sécurité en externalisant la sécurité des infrastructures. En revanche, sur le terrain de la sécurité applicative… les clients devront encore attendre ! Les fournisseurs externes sont en effet encore trop loin des enjeux métiers de leurs clients.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/08/externaliser-la-securite-oui-mais-dans-quel-objectif/">Externaliser la sécurité, oui mais dans quel objectif ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Attaque du SI de l&#8217;Elysée : la confirmation de nouvelles tendances en matière de cybercriminalité ?</title>
		<link>https://www.riskinsight-wavestone.com/2012/08/attaque-du-si-de-lelysee-la-confirmation-de-nouvelles-tendances-en-matiere-de-cybercriminalite/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Mon, 06 Aug 2012 13:53:01 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[attaque]]></category>
		<category><![CDATA[compromission du SI]]></category>
		<category><![CDATA[Cyberattaque]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Threat intelligence]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2086</guid>

					<description><![CDATA[<p>Il y a quelques semaines, la presse révélait l’attaque dont a été victime le système d’information de l’Élysée. D’après les informations &#8211; confirmées par la Présidence &#8211; cette attaque aurait frappé entre les deux tours de l’élection présidentielle et entraîné...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/08/attaque-du-si-de-lelysee-la-confirmation-de-nouvelles-tendances-en-matiere-de-cybercriminalite/">Attaque du SI de l&rsquo;Elysée : la confirmation de nouvelles tendances en matière de cybercriminalité ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Il y a quelques semaines, la presse révélait l’attaque dont a été victime le système d’information de l’Élysée. D’après les informations &#8211; confirmées par la Présidence &#8211; cette attaque aurait frappé entre les deux tours de l’élection présidentielle et entraîné une compromission assez large du SI. Heureusement,  elle a pu être détectée et contenue rapidement.</em></p>
<p><em>Ce nouveau cas est en ligne avec ce que nous observons actuellement de manière plus globale et confirme deux grandes tendances : l’attaque a lieu en période de faiblesse du système d’information et la compromission des systèmes centraux est quasi systématique.</em></p>
<h2> <strong>Attaquer pendant une période de faiblesse</strong></h2>
<p>Le cas de l’Élysée montre que les attaquants savent tirer profit de l’actualité de leur cible. L’attaque de l’Élysée a eu lieu entre les deux tours, pendant une période de changement pour cette structure et par conséquent moment privilégié pour s’installer et se « cacher » dans le SI avant l’arrivée du nouvel occupant.</p>
<p>Il est courant pour les attaquants de viser les périodes de faiblesse des organisations. Une majorité d’attaque se déroule le week-end ou pendant les heures non ouvrées. Aujourd’hui la plupart des organisations ne disposent ni des moyens ni des équipes pour assurer un tel niveau de  protection et de surveillance. Et les attaquants le savent !</p>
<h2> <strong>Compromettre les systèmes centraux</strong></h2>
<p>On estime souvent qu’il faut protéger en priorité les serveurs métiers les plus critiques. Les attaques récentes montrent cependant que ce sont bien souvent les systèmes centraux de gestion du SI les cibles initiales des attaquants. Nous avons observé une majorité d’attaques sur l’Active Directory mais également sur d’autres éléments  tels que la télédistribution. Ces systèmes sont utilisés pour prendre le contrôle de l’ensemble du SI puis par rebond d’accéder aux serveurs métiers et aux précieuses informations qu’ils contiennent. Prendre pied à ce niveau autorise également une installation dans la durée et une capacité d’action sur l’ensemble des postes de travail de l’entreprise.</p>
<h2> <strong>Rester sur ses gardes et renforcer les processus d’administration</strong></h2>
<p>L’évolution des menaces nécessite de reposer certains fondamentaux de la protection. Les équipes sécurité doivent aujourd’hui se doter de moyens pour surveiller le SI et agir 24h sur 24. Si ce n’est possible pour les équipes internes, le recours à un service tiers couplé à une organisation d’astreinte permet de répondre au besoin. Cette surveillance, qui lorsqu’elle existe est souvent centrée sur la périphérie du réseau, doit se réorganiser pour ajouter les systèmes métiers sensibles et les services centraux.</p>
<p>Mais attention : la surveillance ne fait pas tout. Il est nécessaire d’éviter la compromission initiale et sur le volet des systèmes centraux, il reste beaucoup à faire ! En effet, les pratiques d’administration sont souvent génératrices de risques : multiplication des comptes administrateurs et des serveurs, utilisation de poste d’administration pour des usages personnels (messagerie, surf internet…), authentification simple et mot de passe partagé… Un audit sur ce périmètre révèle souvent bien des mauvaises surprises et nécessite d’ajouter une rigueur nécessaire vue la criticité des systèmes manipulés pour l’organisation.</p>
<p>Les attaques se suivent et bien souvent se ressemblent. Il est maintenant grand temps d’agir sur les zones les plus à risque et les retours d’expériences montre clairement où elles se trouvent !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/08/attaque-du-si-de-lelysee-la-confirmation-de-nouvelles-tendances-en-matiere-de-cybercriminalite/">Attaque du SI de l&rsquo;Elysée : la confirmation de nouvelles tendances en matière de cybercriminalité ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
