CESIN (Club des experts de la sécurité de l’information et du numérique) a mené une enquête auprès de ses membres, soit plus de 200 entreprises et administrations françaises. Voici ce qu’il en ressort :
– En 2021 plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber réussie(s)
– L’ampleur et la virulence des attaques ne cessent d’augmenter : 6 entreprises sur 10 !
– 73% des entreprises déclarent le phishing comme vecteur d’entrée principal des attaques
– Les attaques par ransomware (exigence d’une rançon) ont touché 1 entreprise sur 5
La prévention
« Mieux vaut prévenir que guérir »
Avant d’être utilisé en français, ce proverbe existait en latin médiéval
Une attaque pouvant signifier la destruction définitive ou/et le vol de données, le préjudice financier ou, indirectement, en terme d’image est évident. Un attaquant cherchera toujours le point faible de votre défense. Ainsi, le plus souvent, c’est le maillon humain qui est ciblé.
La menace arrive souvent (~70% des cas) via un mail (pièce jointe, lien à cliquer), d’un mot de passe trop simple ou qu’on peut reconstituer à partir des informations glanées sur les réseaux sociaux, au surf sur des sites de téléchargement douteux (cela peut arriver malheureusement même dans le domaine professionnel), d’un faux portail bancaire, d’un mail provenant d’un de vos contacts piraté, de sites web de confiance mais corrompus, etc… Les pirates ne tarissent pas d’inventivité.
Eduquez vos utilisateurs : charte, formation, rappels réguliers. Un comportement anormal de l’ordinateur peut aussi servir à éveiller des soupçons (lenteurs, anomalies). Il vaut mieux s’inquiéter à tort plutôt que de se dire que tant qu' »on n’est pas bloqué et que tout va bien ». Des scans réguliers ne sont pas de trop, même en l’absence de menace apparente. Une des façons efficace de sécuriser du réseau local de votre entreprise est par exemple de créer une zone dite démilitarisée (DMZ).
Plan de prévention, Fonctionnement en mode dégradé,Plan de reprise d’activité
Assurance cyber
Souscrire à une assurance cyber peut être d’autant plus une bonne idée que vos pertes d’exploitation peuvent être impactantes:
– Garantie responsabilité civile
– Garantie perte d’exploitation
– Garantie extorsion
– Garantie réputation et image
Ciblage des vulnérabilités par les hackers
L’entreprise peut devenir vulnérable lors de chaque événement de sa vie : salon, augmentation de capital, campagne de prospection commerciale, concours, changement de poste de personnel clé, de dénomination sociale de l’entreprise, de logo ou d’adresse.
En général, ce sont des hackers via le portail de l’entreprise ou les réseaux sociaux ou des personnes qui sont au courant de cette information qui peuvent l’utiliser pour envoyer de fausses factures ou de faux relevés d’identité bancaire. Le but est d’obtenir un paiement sous la forme d’un virement. La méthode consistant à informer la victime d’un changement de références bancaires est une des plus difficile à repérer et est donc très prisée par les attaquants.
Lorsqu’un de vos utilisateurs clique sur un lien dans un mail ou un sms il peut recevoir un virus qui va s’attaquer à une vulnérabilité informatique sur son ordinateur : iI est donc important de maintenir les ordinateurs, terminaux et autres objets connectés à jour afin d’éliminer au maximum les failles de sécurité pouvant être exploitées par un attaquant. Les mises à jour concernent le système lui-même (OS) mais aussi les applications.
Il est aussi fréquent qu’un clic sur un lien dans un mail ou un sms renvoie sur un faux site web dans lequel des informations de connexion peuvent être demandées.
CERT-FR Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques
- CERTFR-2022-AVI-1057 : Multiples vulnérabilités dans les produits Nextcloud (25 novembre 2022)le 25 novembre 2022 à 13 h 03 min
De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Elles permettent à un attaquant de provoquer une atteinte à l’intégrité des données, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
- CERTFR-2022-AVI-1056 : Vulnérabilité dans Google Chrome (25 novembre 2022)le 25 novembre 2022 à 10 h 33 min
Une vulnérabilité a été découverte dans Google Chrome. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur. Google indique avoir connaissance de l’existence d’un code d’exploitation pour la vulnérabilité CVE-2022-4135.
- CERTFR-2022-AVI-1055 : Vulnérabilité dans Moxa TN-5916 (25 novembre 2022)le 25 novembre 2022 à 9 h 52 min
Une vulnérabilité a été découverte dans Moxa TN-5916. Elle permet à un attaquant de provoquer une élévation de privilèges.
- CERTFR-2022-AVI-1054 : Vulnérabilité dans PostgreSQL JDBC (24 novembre 2022)le 24 novembre 2022 à 11 h 56 min
Une vulnérabilité a été découverte dans PostgreSQL JDBC. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.
- CERTFR-2022-AVI-1053 : [SCADA] Multiples vulnérabilités dans les produits Belden (24 novembre 2022)le 24 novembre 2022 à 10 h 45 min
De multiples vulnérabilités ont été découvertes dans les produits Belden. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Plan d’action pour protéger votre Entreprise
On adopte la démarche dit “PDCA“ qui signifie « Plan Do Check Act » et on respecte la norme standard ISO/IEC 27001 MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION
Plan: « Que faut t-il protèger ? »
A l’image de la défense militaire depuis les châteaux forts, la défense cyber est organisées en lignes de défense. On distingue classiquement 7 lignes de défense correspondant ainsi à des couches que nous allons recenser.
Une solide défense périmétrique est un point important mais la protection des points d’extrémité (EPP), c’est à dire les terminaux (ordinateurs, tablettes, smartphones) et la détection et la réponse (EDR, XDR (*)) aux menaces sur ces points sont de plus en plus essentielles à l’heure du nomadisme.
(*) EDR: « Endpoint Detection & Response ». Ce sont les anti-virus. XDR: « Extended Detection & Response ». Corrèle les signaux faibles provenant de multiples terminaux, serveurs, cloud, réseaux -> meilleur MTTD/MTTR (temps de détection et de réponse), meilleure disponibilité des défendeurs qui ne sont plus submergé par les alertes.
Cartographie: on recense les appareils actifs du réseau interne et les LAN, les terminaux (mobiles: IMEI, adresses Mac), applications, données, les serveurs ( adresse Mac, applications, rôle, données pour les serveurs de fichiers).
Identifier le patrimoine informationnel:
On recense ce patrimoine et on le classe par niveau de sensibilité des informations :
1 info sensibles, 2vitales, 3 stratégiques, 4 nominatives, 5 coûteuses
A partir de cette information on détermine le type d’accès à ces données :
C1 Accès libre, C2 Accès à l’organisation, C3 Diffusion limitée, C4 Confidentiel
Analyse des risques: Identifier les menaces
-> il s’agit de traiter les risques identifier afin de les faire passer vers un risque faible …
… Pour ce qui reste on adopte différentes stratégies (voir stratégies de gestion des risques)
Quelle stratégies de gestion des risques ? (norme standard ISO/IEC 27005)
“Do“: Ce qu’il faut faire et comment le faire ?
Respect de la norme standard ISO/IEC 27002, bonnes pratiques du métier informatique
Sécurité numérique :
Mises à jour: OS & applicatif
Antivirus, EDR, XDR, …
Mots de passe : forts, coffre-fort virtuel: Keypass, …
Pare-feu, DMZ, proxy
Gestion des accès définis dans la phase « Plan »
Facteur humain : charte, entrainement (envoi de mails avec liens, clés usb abandonnées, …)
Divers: Hébergements « bulletproof » uniquement utilisés à des fins malveillantes:
Exemple: Il est recommandé de bloquer tous les flux impliquant des adresses IP sur les plages
« 91.214.124.0/24 » et « 176.121.14.0/24 »
Sécurité physique:
Verrous, bâtis, dongles
Deconnection du reseau de sauvegardes
Mise en place de ZRR Zone de Régime Restrictif (concerne les Opérateurs d’Importance Vitale)
Protection du patrimoine informationel:
Droits d’accès sur les répertoires et fichiers: Donner des droits restreints suffisants nécessaires pour les tâches du poste
Authentification : Preuve d’identité par
– ce qu’on sait: mot de passe
– ce qu’on est: biométrie
– ce qu’on possède: carte à puce, jeton Sauvegarde: impliquant des tests de restauration
Norme ISO/IEC 27004 mesure du management
Les critères essentiels à utiliser pour évaluer le niveau de sécurité sont:
– Disponibilité :
accès aux données et applications dans un délai satisfaisant:
bon fonctionnement des outils, solutions alternatives ou de secours
web: clustering, équilibrage de charge, alimentation électrique doublée, sauvegarde
– Intégrité :
Ni les données ni les applications ne doivent pas être altérés:
Hashing des données, Gestion des configurations, des changements, contrôles de CRC
“Check“: Comment évaluer l’efficacité de ce qui a été mis en place ?
– Confidentialité :
Seules les personnes autorisées ont accès aux données :
Gestion des accès physiques et numériques (par noms d’utilisateurs, adresses IP, noms d’hôtes, domaines)
-> cartes à puces, générateur aléatoires, configuration des postes de travail pour interdire les clés usb, DVD
-> jetons (tokens), authentification et double-authentification (par ce qu’on est, qu’on possède ou qu’on sait)
cryptage :
-> stockage: bases de données, disques durs
-> transferts: clés usb, SSL/TLS, fichiers protégés par mot de passe (zip, …)
Offrir un niveau satisfaisant d’accès aux données en fonction de leur sensibilité
– Preuve :
Toute manipulation de données doit être historisée:
Fichiers journaux (logs)
“Act“: Actions de correction (veille & retour du terrain)
Normes ISO/IEC 27035 Gestion des incidents, 27037 Traitement des preuves
Veille: s’informer, s’adapter
Statistiques basées sur les incidents de sécurité relevés et les journaux (logs)
« Référent cybersécurité » diplômé (2021) pour les tpe et pme et partenaire agréé de cybermalveillance.gouv.fr, je saurai répondre à vos besoins. Vous pouvez apprendre à vous protéger et protéger votre Entreprise sans débourser davantage en utilisant votre compte formation. N’hésitez pas à me contacter pour toute demande d’information.
Autres actualités de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information)
- L’ANSSI vous donne rendez-vous à la ECW 2022par webmestre [at] ssi.gouv.fr le 10 novembre 2022 à 12 h 45 min
Cet événement de premier plan réunit 90 partenaires et 4000 visiteurs des secteurs publics et privés de la cybersécurité pendant trois jours. Enjeux sociétaux, recherche et innovation, développement économique et industriel, coopération européenne sont autant de thématiques qui seront au programme de cette 7e édition. Sur notre stand 32, nos agents se rendront disponibles pour
- Management du risque : révision de la norme ISO/CEI 27005:2022par webmestre [at] ssi.gouv.fr le 26 octobre 2022 à 13 h 56 min
La task force d’experts français organisée par l’AFNOR (Structure AFNOR/CN CYBERSECURITE | Norm’Info) en lien avec le Club EBIOS et l’ANSSI (représentée par le bureau Management des Risques Cyber) a participé pendant plus de trois années aux travaux de révision de la norme ISO/CEI 27005. Cette task force a porté avec succès, lors de réunions
- Appel public à commentaires sur l’intégration d’une activité dans le référentiel PACSpar webmestre [at] ssi.gouv.fr le 18 octobre 2022 à 7 h 21 min
Les prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) ont pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leur mission de gestion des risques et de protection des systèmes d’information. Compte tenu de la complexité et de la sensibilité croissante des systèmes d’information dans leurs
- Publication du référentiel d’exigences PAMSpar webmestre [at] ssi.gouv.fr le 13 octobre 2022 à 12 h 31 min
Ce référentiel a été élaboré en concertation avec les acteurs du marché. L’Anssi a procédé à une phase expérimentale dont l’objectif était de tester en conditions réelles la pertinence des exigences fixées dans la première version du référentiel publiée en avril 2020. À la suite d’un appel public à candidatures en mai 2020, un panel
- Assises 2022 : « Changer d’échelle pour élever collectivement notre niveau de cybersécurité »par webmestre [at] ssi.gouv.fr le 11 octobre 2022 à 7 h 36 min
A l’occasion de ce grand rendez-vous annuel des acteurs de la cybersécurité, il s’exprimera sur la professionnalisation de la menace et reviendra sur la nécessité de changer d’échelle pour élever notre niveau de cybersécurité. NIS 2, cloud, innovation : les défis à relever sont nombreux et s’imposent à tous afin d’élever le niveau de cybersécurité
- Maintien à l’état de l’art : promouvoir les bonnes pratiques de sécurité en France et en Europepar webmestre [at] ssi.gouv.fr le 21 septembre 2022 à 9 h 52 min
L’événement, dont le thème était « Maintien à l’état de l’art : promouvoir les bonnes pratiques de sécurité en France et en Europe », a également accueilli la 4e cérémonie de remise du Visa de sécurité ANSSI, cérémonie annuelle depuis le lancement de la marque en 2018. Au cours de cette journée, des intervenants de l’ANSSI, mais aussi
- CYBERMOI/S 2022 : Agir ensemble face aux rançongicielspar webmestre [at] ssi.gouv.fr le 19 septembre 2022 à 6 h 41 min
En octobre, nous nous mobilisons aux côtés de nombreuses entités afin de vous proposer un programme ambitieux et pédagogique, dans la vie personnelle comme professionnelle. Vous souhaitez devenir un acteur du Cybermoi/s pour sensibiliser votre entourage, familial ou professionnel aux enjeux de la sécurité du numérique ? Consultez les kits et ressources pédagogiques qui seront
- Management du risque : obsolescence de la méthode EBIOS 2010par webmestre [at] ssi.gouv.fr le 26 juillet 2022 à 15 h 27 min
EBIOS 2010 tire sa révérence après plus de 12 ans de bons et de loyaux services. Face à l’évolution des menaces et des méthodes d’attaque, ainsi qu’à l’interconnexion grandissante des systèmes d’information et la prise en compte de leur écosystème, EBIOS 2010 n’est plus la méthodologie d’analyse de risques privilégiée pour permettre aux organisations d’appréhender
- Sélection par le NIST de futurs standards en cryptographie post-quantiquepar webmestre [at] ssi.gouv.fr le 18 juillet 2022 à 7 h 16 min
Le NIST (National Institute of Standards and Technology, organisme de standardisation américain) organise depuis 2016 un concours international en vue de la standardisation d’algorithmes cryptographiques post-quantiques. Dans le cadre de ce concours, le NIST a publié le 5 juillet dernier une liste de quatre premiers algorithmes sélectionnés : un algorithme d’établissement de clé nommé CRYSTALS-Kyber
- Signature d’un accord de reconnaissance mutuelle des certificats de sécurité entre l’ANSSI et le BSIpar webmestre [at] ssi.gouv.fr le 14 juin 2022 à 13 h 23 min
Dès l’entrée en vigueur de l’accord, les certificats valides et publics précédemment délivrés seront reconnus en France comme en Allemagne, tandis que les prochains le seront dès leur publication. L’accord a vocation à couvrir l’ensemble des certificats émis par les deux schémas mais peuvent en être exclus s’ils sont, par exemple, soumis à une réglementation
