CESIN (Club des experts de la sécurité de l’information et du numérique) a mené une enquête auprès de ses membres, soit plus de 200 entreprises et administrations françaises. Voici ce qu’il en ressort :
– En 2021 plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber réussie(s)
– L’ampleur et la virulence des attaques ne cessent d’augmenter : 6 entreprises sur 10 !
– 73% des entreprises déclarent le phishing comme vecteur d’entrée principal des attaques
– Les attaques par ransomware (exigence d’une rançon) ont touché 1 entreprise sur 5
La prévention
« Mieux vaut prévenir que guérir »
Avant d’être utilisé en français, ce proverbe existait en latin médiéval
Une attaque pouvant signifier la destruction définitive ou/et le vol de données, le préjudice financier ou, indirectement, en terme d’image est évident. Un attaquant cherchera toujours le point faible de votre défense. Ainsi, le plus souvent, c’est le maillon humain qui est ciblé.
La menace arrive souvent (~70% des cas) via un mail (pièce jointe, lien à cliquer), d’un mot de passe trop simple ou qu’on peut reconstituer à partir des informations glanées sur les réseaux sociaux, au surf sur des sites de téléchargement douteux (cela peut arriver malheureusement même dans le domaine professionnel), d’un faux portail bancaire, d’un mail provenant d’un de vos contacts piraté, de sites web de confiance mais corrompus, etc… Les pirates ne tarissent pas d’inventivité.
Eduquez vos utilisateurs : charte, formation, rappels réguliers. Un comportement anormal de l’ordinateur peut aussi servir à éveiller des soupçons (lenteurs, anomalies). Il vaut mieux s’inquiéter à tort plutôt que de se dire que tant qu' »on n’est pas bloqué et que tout va bien ». Des scans réguliers ne sont pas de trop, même en l’absence de menace apparente. Une des façons efficace de sécuriser du réseau local de votre entreprise est par exemple de créer une zone dite démilitarisée (DMZ).
Plan de prévention, Fonctionnement en mode dégradé,Plan de reprise d’activité
Assurance cyber
Souscrire à une assurance cyber peut être d’autant plus une bonne idée que vos pertes d’exploitation peuvent être impactantes:
– Garantie responsabilité civile
– Garantie perte d’exploitation
– Garantie extorsion
– Garantie réputation et image
Ciblage des vulnérabilités par les hackers
L’entreprise peut devenir vulnérable lors de chaque événement de sa vie : salon, augmentation de capital, campagne de prospection commerciale, concours, changement de poste de personnel clé, de dénomination sociale de l’entreprise, de logo ou d’adresse.
En général, ce sont des hackers via le portail de l’entreprise ou les réseaux sociaux ou des personnes qui sont au courant de cette information qui peuvent l’utiliser pour envoyer de fausses factures ou de faux relevés d’identité bancaire. Le but est d’obtenir un paiement sous la forme d’un virement. La méthode consistant à informer la victime d’un changement de références bancaires est une des plus difficile à repérer et est donc très prisée par les attaquants.
Lorsqu’un de vos utilisateurs clique sur un lien dans un mail ou un sms il peut recevoir un virus qui va s’attaquer à une vulnérabilité informatique sur son ordinateur : iI est donc important de maintenir les ordinateurs, terminaux et autres objets connectés à jour afin d’éliminer au maximum les failles de sécurité pouvant être exploitées par un attaquant. Les mises à jour concernent le système lui-même (OS) mais aussi les applications.
Il est aussi fréquent qu’un clic sur un lien dans un mail ou un sms renvoie sur un faux site web dans lequel des informations de connexion peuvent être demandées.
CERT-FR Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques
- CERTFR-2022-AVI-873 : Multiples vulnérabilités dans les produits GitLab (30 septembre 2022)le 30 septembre 2022 à 12 h 30 min
De multiples vulnérabilités ont été découvertes dans les produits GitLab. Certaines d’entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l’intégrité des données.
- CERTFR-2022-AVI-872 : Multiples vulnérabilités dans PHP (30 septembre 2022)le 30 septembre 2022 à 12 h 22 min
De multiples vulnérabilités ont été découvertes dans PHP. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, un déni de service et un contournement de la politique de sécurité.
- CERTFR-2022-AVI-871 : Multiples vulnérabilités dans les produits IBM (30 septembre 2022)le 30 septembre 2022 à 12 h 16 min
De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
- CERTFR-2022-AVI-870 : Vulnérabilité dans le noyau Linux de Red Hat (30 septembre 2022)le 30 septembre 2022 à 12 h 05 min
Une vulnérabilité a été corrigée dans le noyau Linux de Red Hat. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et une élévation de privilèges.
- CERTFR-2022-AVI-869 : Multiples vulnérabilités dans Thunderbird (30 septembre 2022)le 30 septembre 2022 à 12 h 01 min
De multiples vulnérabilités ont été corrigées dans Mozilla Thunderbird. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données.
Plan d’action pour protéger votre Entreprise
On adopte la démarche dit “PDCA“ qui signifie « Plan Do Check Act » et on respecte la norme standard ISO/IEC 27001 MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION
Plan: « Que faut t-il protèger ? »
A l’image de la défense militaire depuis les châteaux forts, la défense cyber est organisées en lignes de défense. On distingue classiquement 7 lignes de défense correspondant ainsi à des couches que nous allons recenser.
Une solide défense périmétrique est un point important mais la protection des points d’extrémité (EPP), c’est à dire les terminaux (ordinateurs, tablettes, smartphones) et la détection et la réponse (EDR, XDR (*)) aux menaces sur ces points sont de plus en plus essentielles à l’heure du nomadisme.
(*) EDR: « Endpoint Detection & Response ». Ce sont les anti-virus. XDR: « Extended Detection & Response ». Corrèle les signaux faibles provenant de multiples terminaux, serveurs, cloud, réseaux -> meilleur MTTD/MTTR (temps de détection et de réponse), meilleure disponibilité des défendeurs qui ne sont plus submergé par les alertes.
Cartographie: on recense les appareils actifs du réseau interne et les LAN, les terminaux (mobiles: IMEI, adresses Mac), applications, données, les serveurs ( adresse Mac, applications, rôle, données pour les serveurs de fichiers).
Identifier le patrimoine informationnel:
On recense ce patrimoine et on le classe par niveau de sensibilité des informations :
1 info sensibles, 2vitales, 3 stratégiques, 4 nominatives, 5 coûteuses
A partir de cette information on détermine le type d’accès à ces données :
C1 Accès libre, C2 Accès à l’organisation, C3 Diffusion limitée, C4 Confidentiel
Analyse des risques: Identifier les menaces
-> il s’agit de traiter les risques identifier afin de les faire passer vers un risque faible …
… Pour ce qui reste on adopte différentes stratégies (voir stratégies de gestion des risques)
Quelle stratégies de gestion des risques ? (norme standard ISO/IEC 27005)
“Do“: Ce qu’il faut faire et comment le faire ?
Respect de la norme standard ISO/IEC 27002, bonnes pratiques du métier informatique
Sécurité numérique :
Mises à jour: OS & applicatif
Antivirus, EDR, XDR, …
Mots de passe : forts, coffre-fort virtuel: Keypass, …
Pare-feu, DMZ, proxy
Gestion des accès définis dans la phase « Plan »
Facteur humain : charte, entrainement (envoi de mails avec liens, clés usb abandonnées, …)
Divers: Hébergements « bulletproof » uniquement utilisés à des fins malveillantes:
Exemple: Il est recommandé de bloquer tous les flux impliquant des adresses IP sur les plages
« 91.214.124.0/24 » et « 176.121.14.0/24 »
Sécurité physique:
Verrous, bâtis, dongles
Deconnection du reseau de sauvegardes
Mise en place de ZRR Zone de Régime Restrictif (concerne les Opérateurs d’Importance Vitale)
Protection du patrimoine informationel:
Droits d’accès sur les répertoires et fichiers: Donner des droits restreints suffisants nécessaires pour les tâches du poste
Authentification : Preuve d’identité par
– ce qu’on sait: mot de passe
– ce qu’on est: biométrie
– ce qu’on possède: carte à puce, jeton Sauvegarde: impliquant des tests de restauration
Norme ISO/IEC 27004 mesure du management
Les critères essentiels à utiliser pour évaluer le niveau de sécurité sont:
– Disponibilité :
accès aux données et applications dans un délai satisfaisant:
bon fonctionnement des outils, solutions alternatives ou de secours
web: clustering, équilibrage de charge, alimentation électrique doublée, sauvegarde
– Intégrité :
Ni les données ni les applications ne doivent pas être altérés:
Hashing des données, Gestion des configurations, des changements, contrôles de CRC
“Check“: Comment évaluer l’efficacité de ce qui a été mis en place ?
– Confidentialité :
Seules les personnes autorisées ont accès aux données :
Gestion des accès physiques et numériques (par noms d’utilisateurs, adresses IP, noms d’hôtes, domaines)
-> cartes à puces, générateur aléatoires, configuration des postes de travail pour interdire les clés usb, DVD
-> jetons (tokens), authentification et double-authentification (par ce qu’on est, qu’on possède ou qu’on sait)
cryptage :
-> stockage: bases de données, disques durs
-> transferts: clés usb, SSL/TLS, fichiers protégés par mot de passe (zip, …)
Offrir un niveau satisfaisant d’accès aux données en fonction de leur sensibilité
– Preuve :
Toute manipulation de données doit être historisée:
Fichiers journaux (logs)
“Act“: Actions de correction (veille & retour du terrain)
Normes ISO/IEC 27035 Gestion des incidents, 27037 Traitement des preuves
Veille: s’informer, s’adapter
Statistiques basées sur les incidents de sécurité relevés et les journaux (logs)
« Référent cybersécurité » diplômé (2021) pour les tpe et pme et partenaire agréé de cybermalveillance.gouv.fr, je saurai répondre à vos besoins. Vous pouvez apprendre à vous protéger et protéger votre Entreprise sans débourser davantage en utilisant votre compte formation. N’hésitez pas à me contacter pour toute demande d’information.
Autres actualités de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information)
- Maintien à l’état de l’art : promouvoir les bonnes pratiques de sécurité en France et en Europepar webmestre [at] ssi.gouv.fr le 21 septembre 2022 à 9 h 52 min
L’événement, dont le thème était « Maintien à l’état de l’art : promouvoir les bonnes pratiques de sécurité en France et en Europe », a également accueilli la 4e cérémonie de remise du Visa de sécurité ANSSI, cérémonie annuelle depuis le lancement de la marque en 2018. Au cours de cette journée, des intervenants de l’ANSSI, mais aussi
- CYBERMOI/S 2022 : Agir ensemble face aux rançongicielspar webmestre [at] ssi.gouv.fr le 19 septembre 2022 à 6 h 41 min
En octobre, nous nous mobilisons aux côtés de nombreuses entités afin de vous proposer un programme ambitieux et pédagogique, dans la vie personnelle comme professionnelle. Vous souhaitez devenir un acteur du Cybermoi/s pour sensibiliser votre entourage, familial ou professionnel aux enjeux de la sécurité du numérique ? Consultez les kits et ressources pédagogiques qui seront
- Management du risque : obsolescence de la méthode EBIOS 2010par webmestre [at] ssi.gouv.fr le 26 juillet 2022 à 15 h 27 min
EBIOS 2010 tire sa révérence après plus de 12 ans de bons et de loyaux services. Face à l’évolution des menaces et des méthodes d’attaque, ainsi qu’à l’interconnexion grandissante des systèmes d’information et la prise en compte de leur écosystème, EBIOS 2010 n’est plus la méthodologie d’analyse de risques privilégiée pour permettre aux organisations d’appréhender
- Sélection par le NIST de futurs standards en cryptographie post-quantiquepar webmestre [at] ssi.gouv.fr le 18 juillet 2022 à 7 h 16 min
Le NIST (National Institute of Standards and Technology, organisme de standardisation américain) organise depuis 2016 un concours international en vue de la standardisation d’algorithmes cryptographiques post-quantiques. Dans le cadre de ce concours, le NIST a publié le 5 juillet dernier une liste de quatre premiers algorithmes sélectionnés : un algorithme d’établissement de clé nommé CRYSTALS-Kyber
- Signature d’un accord de reconnaissance mutuelle des certificats de sécurité entre l’ANSSI et le BSIpar webmestre [at] ssi.gouv.fr le 14 juin 2022 à 13 h 23 min
Dès l’entrée en vigueur de l’accord, les certificats valides et publics précédemment délivrés seront reconnus en France comme en Allemagne, tandis que les prochains le seront dès leur publication. L’accord a vocation à couvrir l’ensemble des certificats émis par les deux schémas mais peuvent en être exclus s’ils sont, par exemple, soumis à une réglementation
- Présidence française du conseil de l’union européenne : les réseaux de coopération européens se sont réunis à Parispar webmestre [at] ssi.gouv.fr le 14 juin 2022 à 13 h 03 min
Se déroulant au Campus Cyber, cette semaine de réunions intervient quelques jours après l’obtention d’un accord politique provisoire sur la révision de la directive NIS visant à relever le niveau global de cybersécurité des écosystèmes européens publics comme privés. Quelques mois après la séquence d’exercices (EU CyCLES) organisée pour tester et renforcer la coopération en cas de
- L’ANSSI vous donne rendez-vous au FIC 2022par webmestre [at] ssi.gouv.fr le 31 mai 2022 à 8 h 32 min
L’ANSSI participe au FIC, cette année encore, par le traditionnel discours de son directeur général, Guillaume Poupard, le 8 juin à 9h10, ainsi qu’une conférence de presse le même jour à 14h30. Sur notre stand A18, nos agents se rendront disponibles pour vous rencontrer, vous présenter nos dernières actualités et répondre à vos questions. Vous
- Le rapport d’activité 2021 de l’ANSSI est en ligne !par webmestre [at] ssi.gouv.fr le 10 mai 2022 à 9 h 33 min
Retrouvez les principaux projets, dispositifs et partenariats qui ont marqué l’activité de l’ANSSI en 2021. Consulter le rapport d’activité 2021 Télécharger le rapport d’activité 2021 Télécharger la bibliographie
- Lancement d’un nouveau dispositif France Relance au profit des collectivités territoriales !par webmestre [at] ssi.gouv.fr le 24 mars 2022 à 14 h 26 min
Le succès des parcours de cybersécurité a démontré l’importance d’accompagner les collectivités territoriales pour renforcer leur cybersécurité. Un nouveau mécanisme, destiné en priorité à aider les communes et communautés de communes les plus petites, est aujourd’hui proposé. Son but : soutenir l’acquisition, par les structures en charge de la transformation numérique des collectivités, de produits
- Expérimentation CyberEnJeux : plus de 300 élèves formés à la cybersécurité par la création de jeuxpar webmestre [at] ssi.gouv.fr le 23 mars 2022 à 14 h 50 min
Depuis avril 2019, l’ANSSI et le ministère de l’Éducation nationale, de la Jeunesse et des Sports (MENJS) s’associent dans le but commun d’œuvrer au développement de la formation des élèves à la cybersécurité – en tant que domaine d’apprentissage – au-delà de leur sensibilisation au risque numérique et aux bonnes pratiques en la matière (en
