Home » Posts tagged 'cyber-terrorisme'

Tag Archives: cyber-terrorisme

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Cybersécurité : la résilience, chaînon manquant de votre stratégie

A l’heure de la transformation numérique des organisations, la stratégie de cybersécurité est un sujet sur toutes les lèvres. Dans le même temps, on n’entend quasiment jamais prononcer le mot résilience. Pourtant, la résilience devrait être le pilier majeur de toute stratégie de réduction des risques. Essayons donc de décrypter les raisons de cette anomalie et d’en identifier les risques.

Résilience, le chaînon manquant de votre stratégie de cybersécurité
Crédit © rawpixel.com 2018

Et tout d’abord, il convient de situer la cyber-résilience par rapport à la cybersécurité. Dans les deux cas, il s’agit de répondre aux cyber-risques. Un risque se caractérise par une probabilité de survenance et par un impact (sous forme de conséquences) lors de la réalisation du risque. Dans tous les cas, la stratégie des risques a pour objet d’aligner le niveau des risques au seuil de tolérance de l’Organisation. Cela se fait en mixant la réduction de la probabilité et de l’impact. Bien sûr, la stratégie des risques couvre tous les risques de l’Entreprise et parmi ceux-ci, on aura les cyber-risques.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité. Les mesures de sécurité sont essentiellement de 3 types :

  • préventives
  • de détection (pour détecter l’incident lorsqu’il se produit),
  • correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

A côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit? ». En d’autres termes il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

L’expérience de l’année écoulée

Il y a tout juste un an, l’été 2017 a montré très concrètement à quoi pouvait ressembler des cyber-attaques mondiales. Ce fut le cas notamment avec NotPetya. Un an plus tard, les conséquences du « ransomworm » ne sont toujours pas complètement terminées. Le groupe Merck a annoncé fin novembre 2017 que cette cybe-rattaque lui coûterait environ 600 millions de dollars sur l’exercice 2017 ! Mais, en additionnant les dernières annonces, le seuil des 2 milliards de perte est clairement plus réaliste. C’est la première fois qu’un tel impact est recensé pour un incident cyber. Ce changement de dimension mobilise aujourd’hui enfin les directions générales et les conseils d’administration. Et ce n’est pas trop tôt! Ils sont maintenant demandeurs de moyens pour limiter les impacts de telles attaques. Mais ils sont aussi en attente sur la posture à adopter lorsqu’un cas réel se présentera.

Les mesures préventives de cybersécurité ne suffisent clairement plus à empêcher les cyber-risques de se réaliser. Il est désormais évident que la technologie n’est pas le rempart infranchissable que tout le monde imaginait. La cyber-criminalité est devenue une véritable industrie qui progresse plus rapidement que les moyens de protection ne se développent.

Cyber-résilience : les actions clés

Une cyber-attaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication ou d’immeubles voire de collaborateurs.

Or les cyber-attaques majeures, destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers sont focalisés sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyber-attaques.

En effet, les dispositifs de continuité du SI sont plus souvent liés aux ressources qu’ils protègent. Ils sont donc également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud ». Le double objectif de cette approche est à la fois de répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Mais, de fait, le lien entre le SI nominal et son secours rend les dispositifs de continuité vulnérables aux cyber-attaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils donc avaient été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Enfin il reste les sauvegardes comme dernier rempart. Etablies sur une base souvent quotidienne ou hebdomadaire, elles constituent, pour la plupart des organisations, le dispositif de dernier recours pour reconstruire le SI.

Dorénavant, il n’est pas rare de faire face à une intrusion qui date de plusieurs mois. Bien que la  détection soit récente, dans ce cas, les sauvegardes embarquent de fait les éléments malveillants. Il peut s’agir de malwares par exemple, mais aussi de modifications déjà opérées par les attaquants.

De plus, la continuité en tant que telle des systèmes de sauvegarde est bien souvent négligée. Lors de plusieurs cas de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes avaient eux-mêmes été détruits. Les restaurer a souvent nécessité plusieurs jours vu leur complexité et leur imbrication dans le SI.

S’agissant des SI industriels, les constats sont tout aussi alarmants. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ils ne disposent souvent pas de mécanismes de sécurité avancés. La longueur de leur cycle de vie (souvent plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités anciennes. Enfin l’indépendance des chaînes de contrôle  vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours respectée.

Des leçons tirées de l’expérience

Il s’avère que lors du déroulement d’une crise, le cycle est souvent identique. Les écueils rencontrés sont quasiment toujours les mêmes. Il convient donc de tirer les leçons de cette expérience.

Gestion de crise en cas de cyber-attaques : les écueils rencontrés
Crédit © Wavestone 2017

Des scénarios d’attaques récurrents

Destruction massive ou indisponibilité d’une grande partie du SI

Ce type de cyber-attaques, concrétisé au travers des cas Wannacry et NotPetya, entraîne généralement une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par des attaques de ce type (parmi lesquelles Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h.

La situation au démarrage de la crise est alors très difficile. En effet, il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes atteignant plusieurs centaines de millions d’euros suite à ces attaques.

Compromission et perte de confiance dans le SI

Il s’agit d’attaques ciblées ne remettant pas en cause le bon fonctionnement du système. Elles visent par contre à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…). Elles leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi atteindre tout type de données ou réaliser des actions métiers nécessitant plusieurs validations successives.

Ces cyber-attaques ont touché de très nombreuses entreprises dans tous les secteurs. Les conséquences sont souvent des fraudes massives, comme celles ayant touché la banque du Bangladesh. Il peut aussi s’agir de vols de données financières et de paiements. Ce fut le cas de celles ayant touché plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot.

La situation au démarrage de ce type de cyber-crise est extrêmement complexe. La raison réside dans la conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il faut alors investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes de ces attaques ont également fait état d’impacts financiers atteignant plusieurs centaines de millions d’euros.

La résilience passe par une bonne gestion de crise

Les crises cyber sont des crises très particulières. Elles sont souvent longues (plusieurs semaines). Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc indispensable d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer cette dimension particulière.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense. Cela se ferait au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agit donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction du plan de défense.

Au-delà de l’aspect organisationnel, il faut s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs, isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La rédaction d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faudra faire face à la crise, la réalisation d’exercices de crise sera un bon révélateur de la situation réelle.

Les dispositifs de continuité doivent être repensés

Des solutions les plus simples…

Les dispositifs de continuité doivent également évoluer pour s’adapter aux cyber-menaces. Les solutions possibles sont nombreuses. Elles peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certaines organisations ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les installer rapidement en cas de destruction physique.

A des solutions très complexes et coûteuses…

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyber-attaques. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir. Elle est envisagée pour certaines applications critiques dans le monde de la finance notamment.

A des solutions intermédiaires mais suffisantes

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative. Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Cyber-résilience et cybersécurité doivent être imbriqués

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager  — ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) — sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle.

Il est très clair que la résilience est un pilier majeur de votre stratégie de cybersécurité. A ce titre il convient de l’y intégrer dès la conception. Mais il vous appartient également de convaincre votre conseil d’administration de la réalité des cyber-risques et de la nécessité de la mise en oeuvre de mesures de résilience.

Comment s’y prendre concrètement?

Nous ne le répétons, jamais assez, mais deux bonnes pratiques de base sont absolument nécessaires.

Inutile de réinventer la roue : appuyez-vous sur ce qui existe

Il serait vain de partir d’une feuille blanche. Inspirez-vous des bonnes pratiques du marché. A cet effet, AXELOS a publié une référentiel de bonnes pratiques en matière de résilience des SI : RESILIA. Complémentaires d’ITIL, ces bonnes pratiques vous aideront à compléter vos processus existants afin d’y incorporer la planification de la résilience de votre SI

Faite monter vos collaborateurs en compétence, formez-les

La réponse aux cyber-attaques nécessite une préparation minutieuse et du personnel formé et efficace. A cet effet, 2AB & Associates vous propose des formations sur RESILIA (RESILIA Foundation et RESILIA Practitioner) ainsi que des formations sur la continuité des activités (Business Continuity Foundation et ISO 22301 Lead Implementer). Nous vous proposons également une formation indispensable pour mieux évaluer et planifier la réponse aux cyber-risques : ISO 27005 Risk Manager.

Et bien sûr, nos experts sont à votre disposition pour répondre à vos commentaires.

Cyber-risques – Que fait le Conseil d’Administration?

Le Conseil d’Administration est en charge de s’assurer de la création de valeur pour les parties prenantes de l’Entreprise tout en optimisant les risques et les ressources. Le Conseil d’Administration, organe de Gouvernance de l’entreprise est donc directement concerné par les cyber-risques.

Le conseil d'administration

« La SEC (organisme fédéral américain en charge de réguler et de contrôler les marchés financiers), la FTC (agence américaine chargée de contrôler les pratiques commerciales) ainsi que d’autres organismes de réglementation (fédéraux, d’état, mondiaux) ont renforcé leurs évaluations des Entreprises en matière d’efforts réalisés pour sécuriser les données, ainsi que concernant les informations et la communication sur les risques en matière de cybersécurité et de violations des données. » comme l’indique KPMG dans son rapport On the 2015 Board Agenda.

Réagissant au grand nombre et à l’ampleur des vols de données qui n’ont fait qu’augmenter durant la dernière décennie, les agences gouvernementales commencent tout juste à durcir le ton et à envoyer des signaux clairs que la sécurité constitue désormais un sujet prioritaire pour les Entreprises.

Le commissaire Luis A. Aguilar de la SEC (Securities and Exchange Commission), parlant au New York Stock Exchange (NYSE) le 10 Juin 2014, a clairement indiqué la position de la commission. « La surveillance des cyber-risques par le Conseil d’Administration est essentielle pour assurer que les entreprises prennent des mesures adéquates pour prévenir les cyber-attaques et se préparer à faire face aux préjudices qui peuvent en résulter », a-t-il dit. Il a également émis un avertissement clair sur le fait que « les Conseils d’Administration qui choisissent d’ignorer ou de minimiser l’importance de leur responsabilité de surveillance de la cyber-sécurité, le font à leurs risques et périls ».

Depuis lors, le commissaire Aguilar est de nouveau monté au créneau pour lancer un nouvel avertissement sur les cyber-risques. « Cela ne devrait être une surprise pour personne que la cybersécurité soit devenue un point focal des efforts d’application de la SEC durant ces dernières années. Il est d’ailleurs de notoriété publique que la Division d’Application de la SEC investigue actuellement plusieurs cas de violation de données, » a-t-il dit lors du Sommet SINET innovation le 25 juin 2015. « En outre, la SEC a examiné de façon proactive comment elle peut, en utilisant son pouvoir actuel, obliger à l’application de mesures supplémentaires en matière de cybersécurité, et comment cette autorité pourrait devoir être étendue pour répondre aux menaces émergentes de cybersécurité ».

Cette nouvelle orientation des agences gouvernementales n’est cependant pas limitée aux États-Unis. L’Autorité Technique Nationale du gouvernement britannique pour la sûreté de l’information a ainsi déclaré que « la gestion proactive du cyber-risque au niveau du Conseil d’Administration est essentielle. » A cette fin, le gouvernement britannique a publié un document qui décrit les responsabilités et questions clés de cyber sécurité pour le Conseil d’Administration et le Management. Des ressources supplémentaires pour les conseils d’Administration incluent notamment un «Manuel de surveillance des Cyber-Risques», publié aux USA par l’Association Nationale des Administrateurs de Sociétés (NCAD).

Une réalité nouvelle pour le Conseil d’Administration

La nouvelle réalité à laquelle fait face chaque Conseil d’Administration est bien résumée dans Cybersecurity Docket : «Chaque Conseil d’Administration doit maintenant savoir avec certitude que sa société sera victime d’une cybe-rattaque, et pire encore, que c’est le Conseil qui aura la charge de nettoyer le gâchis et de surveiller les retombées » .

Comme dans tous les autres autres domaines de la conformité, les Administrateurs peuvent être tenus pour responsables pour ne pas avoir fait leur devoir afin de prévenir les dommages à la société. Dans l’exercice de leur rôle de surveillance, les Administrateurs doivent rester informés en permanence sur les mesures de cybersécurité de leur société. Ils doivent évaluer les risques et déterminer ce qui doit être fait pour les atténuer.

L’absence de surveillance adéquate des cyber-risques constitue une menace. «Les Administrateurs qui ne parviennent pas à prendre des mesures appropriées – à la fois avant et après un incident de sécurité de l’information – courent le risque que leur Entreprise soit soumise à l’application de mesures gouvernementales (lois ou réglementations), et qu’eux-mêmes soient personnellement sujets à des poursuites de la part des actionnaires », a expliqué le cabinet d’avocats Fredrikson & Byron.

KPMG, dans sa publication de Février 2015 sur les défis et priorités en matière de Gouvernance pour 2015 désigne la cybersécurité comme « LE problème du 21e siècle. » Au-delà du risque de conformité, le rapport souligne l’importance « des poursuites, des dommages à la réputation et de la perte de clients» comme conséquences potentielles.

Pourquoi les Conseils d’Administration peinent-ils à prendre en compte ce type de risques?

Selon le rapport d’Ernst & Young publié fin 2014 et intitulé « Cyber program management« , il y a plusieurs raisons pour lesquelles ils sont si réticents à s’engager sur la cybersécurité. Parmi ces raisons figurent :

  • le fait que l’internet et la connexion de l’Entreprise constituent juste l’un des nombreux sujets à l’ordre du jour d’un Conseil d’Administration,
  • la culture de silo au niveau de l’informatique qui a relégué la responsabilité de protection des données et des systèmes uniquement au niveau du département IT,
  • la difficulté pour le Conseil d’Administration d’évaluer correctement les risques de cyberattaques et le programme de gestion des risques associé mis en place par la direction,
  • et enfin l’approche de consolidation des défenses (contrôles préventifs de sécurité) tout en ignorant les capacités de détection et de réponse aux incidents.

Cependant, comme le commissaire Aguilar l’a déclaré à la Bourse de New York, les temps ont changé, et «s’assurer de l’adéquation des mesures de cybersécurité de l’entreprise aux risques doit être une préoccupation essentielle d’un Conseil d’Administration dans le cadre de ses responsabilités de surveillance en matière de risques. » Cela devrait figurer comme un slogan en lettres capitales sur le mur de la salle du conseil : les administrateurs ne peuvent plus balayer  d’un revers de main les Cyber-Risques. C’est leur responsabilité de surveiller la gestion de ces risques qui était autrefois déléguée au domaine informatique.

Comment doivent-ils s’y prendre pour assurer cette responsabilité?

Le Conseil d’Administration de chaque Enterprise doit désormais prendre le temps nécessaire sur son agenda pour surveiller les cyber-risques . Selon les termes du document « Cyber program management » d’E&Y, les Conseils d’Administration sont maintenant invités à discuter de la cybersécurité sur une base trimestrielle, voire même plus fréquemment.

Comment les administrateurs doivent-ils d’y prendre pour surveiller les cyber-risques? Le Commissaire Aguilar, de la SEC, a fourni des conseils dans son discours au NYSE. « Les Conseils d’Administration sont chargés de s’assurer que la Société a mis en place des programmes de gestion des risques appropriés et de surveiller la façon dont le management met en œuvre ces programmes, » a-t-il déclaré. C’est clairement la responsabilité du Conseil d’Administration de veiller à ce que la direction ait mis en place des protocoles de gestion des risques efficaces.

Quels conseils pouvons-nous donner aux administrateurs?

Un Conseil d’Administration doit veiller à la gestion des cyber-risques dans le cadre de son programme de gestion des risques à l’échelle de l’entreprise. Il doit également chercher à mieux comprendre les risques informatiques et ceux liés à l’utilisation d’internet, évaluer les pratiques actuelles en matière de cybersécurité et planifier ainsi que préparer les personnels de l’Entreprise, grâce à des tests réguliers, pour une cyber-attaque. En résumé, la responsabilité deux Conseil d’Administration va au delà de la cyber-sécurité. Il doit répondre de la cyber-résilience de la Société devant les parties prenantes.

Les administrateurs devraient se poser trois questions importantes :

  1. Comprenons-nous bien la nature des cyber-menace s’appliquant à notre Société?
  2. Est-ce que les processus et la structure du Conseil d’Administration permettent un dialogue de qualité sur les questions de cyber-résilience?
  3. Que faisons-nous pour nous maintenir au courant des évolutions constantes des cyber-menaces?

Nous vous proposons quelques pratiques clés pour susciter intérêt et l’attention du Conseil d’Administration sur les cyber-risques :

  • Demander désormais régulièrement des informations sur les cyber-risques, et pas seulement à la Direction Générale ou au DSI,
  • Cherchent à mieux comprendre la nature des cyber-risques et leur impact sur l’organisation,
  • Remettre en permanence en question la gestion de la cyber-sécurité et la cyber-résilience de l’organisation.

Par quoi commencer?

Il existe désormais des référentiels de bonnes pratiques et des normes dans les domaines de la sécurité de l’information (ISO 27001, ISO 27002) et de la cyber-résilience (RESILIA). Il en va de même pour la Gouvernance du Système d’Information qui est clairement, comme nous l’avons vu précédemment, à la charge du Conseil d’Administration, avec COBIT® et ISO 38500.

Une première étape, afin de sensibiliser les Administrateurs sur ces responsabilités nouvelles pour eux, consisterait à organiser une séance de sensibilisation sur les responsabilités du CA dans l’Entreprise du 21ème siècle au travers de programmes tels que :

COBIT® 5 pour les Conseil d’Administration et les Exécutifs (2 formats : session de 4 heures ou d’une journée). Cette formation couvre à la fois les responsabilités des Administrateurs et des membres du Comité de Direction.

RESILIA : Sensibilisation (2 formats : session de 4 heures ou d’une journée). Cette formation, plus orientée sur la stratégie de cyber-résilience et sa mise en oeuvre, s’adresse aux Administrateurs mais aussi, et surtout, aux membres du Comité de Direction.

La seconde étape consiste bien évidemment à élaborer une stratégie de cyber-résilience en lançant un programme adéquat et à rédiger des politiques de sécurité, de gestion des risques, des gestion des ressources humaines, etc. adaptées à cette stratégie. AB Consulting, seul organisme accrédité en Afrique sur l’ensemble des domaines concernés par ISACA, AXELOS, APMG, EXIN, PECB, vous propose toute une game de services d’évaluation / audit d’aptitude des processus de l’entreprise mais aussi d’évaluation de la maturité de votre Organisation, ainsi que d’accompagnement à la mise en oeuvre et de l’amélioration de la gouvernance du SI et la réalisation du programme de cyber-résilience, grâce à ses experts du domaine.

Nous vous proposons également nos formations accréditées et certifiantes telles que :

ISO 27001 Practitioner Bootcamp (Foundation et Practitioner sur 5 jours – Certification APMG) destiné aux personnels en charge de l’implémentation d’un Système de Management de la Sécurité de l’Information dans votre Organisation

ISO 27001 Lead Implementer (5 jours – Certification PECB) destiné aux responsables du projet d’implémentation du SMSI

RESILIA Practitioner Bootcamp (Foundation + Practitioner sur 5 jours – Certification AXELOS®) destiné aux personnels en charge d’implémenter la cyber-résilience du système d’information

COBIT Implementation Bootcamp (Foundation + Implementation sur 5 jours – Certification APMG/ISACA) pour les personnes participant à l’amélioration ou l’implémentation de la Gouvernance du SI.

ISO 38500 Corporate IT Governance Manager (3 jours – Certification PECB)

Nous proposons également de nombreuses autres formations sur ce domaine, notamment destinées aux personnels des entités métiers des entreprise ainsi qu’aux auditeurs et contrôleurs.

Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir remplir le formulaire de contact :

Phishing – Mode d’emploi

AB Consulting vous propose une série d’articles destinés à la sensibilisation sur les risques en matière de sécurité de l’information. Suite à notre précédent article 10 trucs pour reconnaître un mail d’hameçonnage, aujourd’hui, nous allons revisiter la façon de repérer une tentative de phishing en nous concentrant sur une campagne récente ciblant les clients PayPal. Nous allons commencer par souligner les repères visuels qui vous aideront à éviter de devenir une victime, mais nous allons aussi approfondir l’arnaque de façon plus complète afin de vous permettre de comprendre le processus de bout en bout.

phishing - mode d'emploi

PayPal est l’une des marques les plus ciblées par les escrocs dans le cadre de tentatives d’hameçonnage, à l’instar des autres banques et institutions financières dès lors que les cyber-criminels cherchent à dérober de l’argent. Nous allons donc, étudier une séquence complète de tentative d’extorsion d’informations personnelles utilisant Paypal.


Attention, il s’agit d’un cas réel. Les adresses des sites web ainsi que les adresses mail des pirates sont susceptibles d’être toujours actives. N’essayez surtout pas de vous y connecter. Vous risqueriez de devenir vous-même une victime.


Le phishing, c’est quoi?

Le phishing (ou hameçonnage) reste l’une des méthodes les plus faciles et les plus rapides d’extorsion d’informations personnelles. Avec ce type d’attaque, les criminels jouent sur le nombre. Plus le nombre de messages envoyés est important et plus il est probable que quelqu’un tombe dans le piège.

Même si le nombre de victimes est finalement assez faible, le coût d’une campagne d’hameçonnage n’est rien à côté des bénéfices réalisés. Une seule victime suffit souvent à couvrir tous les coûts.

Malheureusement, des dizaines de personnes sont susceptibles d’être victimes de ce type d’arnaque dans une campagne donnée, de sorte que le phishing est devenu un business très rémunérateur pour la plupart des criminels. Chaque campagne est différente, ciblant souvent des renseignements personnels ou des informations financières. Dans ce cas qui nous sert d’exemple, elle cible tout à la fois.

Le phishing, ça commence souvent par un e-mail

Le plus souvent, tout commence par la réception dans votre boîte mail d’un message similaire à celui-ci :

phishing paypal 1/11

Il s’agit d’une copie fidèle d’un véritable message Paypal. Les couleurs, le logo, la mise en forme, tout est identique. L’objectif est de vous faire peur pour vous inciter à cliquer sur le bouton!

Attention à l’adresse mail de l’expéditeur

Vous pouvez remarquer que l’adresse email de l’expéditeur n’est une adresse Paypal. C’est un indice très important qui doit vous alerter :

Phishing Paypal 2/11

Le « via » marquant dans le champ « De: » est significatif de la façon que Google utilise pour vous dire que l’e-mail que vous lisez a été envoyé à partir d’un compte différent de celui qui est indiqué. Si l’email provenait réellement de PayPal, Google ne vous donnerait pas cet indice.

Gmail affiche cette information parce que bon nombre des services qui envoient des e-mails au nom d’autrui ne vérifient pas que le nom que l’expéditeur donné correspond bien à cette adresse e-mail. Google vous met en garde dans son aide, que nous vous invitons à consulter.

Dans ce cas, le criminel utilise un site Web et le serveur de l’hébergeur du site pour vous envoyer le message. Si ce message ne passe pas par Gmail, le simple fait que l’expéditeur n’a pas utilisé une adresse PayPal est le premier indice qui doit vous mettre en garde.

Bien sûr, le sujet de l’e-mail est tout aussi faux. En tentant de souligner un point sensible et d’instiller un faux sentiment d’urgence, et du fait qu’il ne mentionne pas l’identifiant du « compte » en question le pirate augmente les chances que la curiosité vous gagne et que vous ouvriez le message.

Le corps du message – C’est là que tout se passe

Pour un œil non averti, le message vous informe que votre compte PayPal a été limité, et et que vous avez un délai court pour résoudre le problème à l’origine de cette limitation. Encore une fois, l’objectif est d’instiller chez vous un faux sentiment d’urgence. si vous êtes un utilisateur régulier de PayPal, le fait que vous risquiez de perdre l’accès à votre compte est un problème qui peut être potentiellement grave pour vous.

Phishing Paypal 3/11

Le message lui-même se présente comme une mesure de sécurité, et vous informe que votre compte PayPal pourrait être en danger de piratage, ce qui pourrait résulter en un vol de vos avoirs ou son utilisation frauduleuse. Ironique vraiment, puisque le vol de vos informations est l’objectif qui se cache derrière le mail. Une fois encore, les criminels utilisent la peur comme facteur de motivation principal. La solution est simple : allez confirmer vos informations sur votre compte en suivant le lien fourni.

Pour un œil exercé, le message est un faux. Tout d’abord, PayPal utilise toujours le nom de compte enregistré lors de l’adressage de messages, de sorte qu’ils ne vous adressent jamais un e-mail de sécurité en utilisant un nom générique du type « clientèle Paypal ».

Deuxièmement, le message lui-même est une simple image. Le pirate a créé un lien vers son domaine, et utilisé une image à la place d’un lien texte que presque tout le monde utilise sur le Web.

L’utilisation d’une image permet de passer au travers de beaucoup de filtres anti-spam basiques. Le fait que le message a été relayé par un compte hacké qui n’a jamais envoyé de spam précédemment va également aider à éviter la détection.

Mais qu’advient-il si vous cliquez sur le lien?

Il est encore temps de faire marche arrière

Si pour une raison quelconque vous avez cliqué sur le lien, l’URL affichée devrait être une alerte suffisante pour mettre en échec cette tentative de phishing :

Phishing Paypal 4/11

L’adresse du site n’est pas sécurisée, l’accès n’est pas réalisé via HTTPS et le domaine N’EST clairement PAS un domaine contrôlé par PayPal. Vous êtes ici convié à saisir les identifiant /mot de passe de votre compte Paypal sur un site contrôlé par le pirate.


ATTENTION: l’URL indiquée dans cette image était active il y a seulement quelques semaines. N’essayez pas de la visiter. L’hébergeur a pris la la décision de déconnecter ce domaine depuis, mais rien ne garantit que cette URL ne pointe pas vers un nouvel emplacement dans le futur.


Vous avez entré votre identifiant et votre mot de passe?

Entrer votre nom d’utilisateur et mot de passe dans le champ de la diapositive précédente déclenche un certain nombre de contrôles par le script de Phishing créé sur ce domaine. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été volés. Ce n’est que le début du processus…

Phishing Paypal 5/11

Cet écran vous est familier? C’est normal. La couleur des images, le format des pages du site, et même la barre d’adresse remplie de lettres et de chiffres tout est conçu pour vous tromper et vous faire penser que vous êtes bien sur le site de PayPal. Rappelez-vous que ce n’est pas le cas. Le HTTPS: manquant est une preuve supplémentaire que Paypal n’a rien voir avec cette page.

Maintenant, passons à la partie qui intéresse nos pirates

Une fois l’écran de chargement disparaît, la deuxième partie de l’arnaque peut commencer. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été récupérés. Cependant il ne faut surtout pas que vous vous arrêtiez là.

Phishing Paypal 6/11

La meilleure façon de continuer à vous sentir menacé c’est de simuler l’incident technique avant de passer à l’étape suivante… Vous êtes donc invité à confirmer vos données de connexion.

Et si vous nous en disiez un peu plus sur vous?

Si vous acceptez et que vous confirmez, vous verrez apparaître cette nouvelle page. Le criminel va devenir capable de construire un profil basé sur vos informations personnelles. Les données recueillies pourront être vendues. Elles pourront aussi être utilisées pour des escroqueries ultérieures y compris pour voler votre identité.

Phishing Paypal 7/11

Le script a besoin d’informations et vous demande d’entrer vos informations personnelles détaillées avant d’en venir à son objectif principal. Le processus n’est pas encore arrivé à son terme.

Les détails de votre carte de paiement

Maintenant, le pirate a obtenu vos informations personnelles. Cette page va tenter d’obtenir des données financières, à savoir les détails de votre carte de crédit.

Phishing Paypal 8/11

Cette page, ainsi que tous les autres, a été conçue pour ressembler fidèlement à une page PayPal. Pour ceux qui savent qu’ils doivent rechercher un cadenas pour s’assurer que la page des données bancaires est bien sécurisée, mais qui ont oublié où ce cadenas doit apparaître sur la page, le message au bas de l’écran peut paraître rassurant. Bien évidemment, RIEN sur cette page N’EST SECURISE.

Mais pourquoi s’arrêter en si bon chemin?

La dernière part d’informations dont le criminel a besoin porte toujours sur vos données bancaires. Ce formulaire a deux fonctions :

  • d’abord il recueille vos données de connexion et votre numéro de compte à votre banque,
  • la deuxième est qu’il permet à l’escroc pour voir si recyclez vos mots de passe.

Phishing Paypal 9/11

S’il s’avère que le mot de passe PayPal est la même que celui permettant l’accès à votre compte bancaire, alors il y a de fortes présomptions que vous utilisiez le même mot de passe partout. Au pire, le criminel peut utiliser cette information pour réaliser d’autres escroqueries. Il pourra alors exploiter les informations recueillies pour accéder à d’autres comptes vous appartenant.

On est presque au bout du processus de phishing

Nous arrivons à la fin du processus. Tout a été conçu pour que vous pensiez avoir affaire à PayPal en essayant d’endormir votre méfiance. Hélas, à ce stade l’intégralité de vos informations bancaires, vos renseignements personnels, les détails de votre carte de crédit, et les données de connexion à votre compte PayPal sont entre les mains des pirates. Il n’y a pas de retour en arrière possible.

Phishing Paypal 10/11

Les choses doivent continuer à avancer pour ne pas éveiller votre méfiance. Cette page restera affichée seulement quelques secondes (une durée insuffisante pour que ayez le temps de cliquer sur l’un des trois boutons) avant que vous ne soyez redirigé vers le dernier écran.

Comme si rien ne s’était passé !

La dernière étape de l’escroquerie vous ramène sur le véritable site de PayPal. Si vous regardez bien la barre d’adresse, vous verrez que l’URL est en HTTPS:. La zone où le cadenas est présent comporte maintenant le nom de la société et apparaît en vert.

Phishing Paypal 11/11

Les précédentes images faisaient toutes partie de l’arnaque. Donc, le fait que le site web légitime PayPal apparaisse à la fin sur l’écran ne signifie absolument rien. Les écrans de saisie ont tous été récupérés et quelque part dans le monde, il y a un criminel qui abuse de vos informations de multiples façons créatives, sans aucun doute.

Quand on évoque l’hameçonnage,il est difficile de s’en protéger en permanence. Cependant, ce n’est pas une tâche impossible. En cas de doute, ne cliquez pas sur les liens ou les pièces jointes dans un courrier électronique. Et surtout n’allez pas visiter le site en question (par exemple PayPal) directement.

Rappelez-vous que le mail est le dernier des moyens de communication que les banques et les organismes financiers utilisent pour communiquer avec vous. En ligne, faites attention à la barre d’adresse. Vérifiez que vous êtes bien en  HTTPS lorsque vous êtes sur le point d’entrer des informations personnelles ou financières dans un formulaire.

Comment s’assurer contre ce type de danger?

Il n’y a pas de solutions technologiques fiables pour vous protéger contre ce type de menaces. C’est de la responsabilité de chacun et de chacune d’assurer la sécurité de l’information. La sécurité de l’information vous concerne tous, tant au niveau personnel qu’au niveau professionnel. Nous vous invitons donc à renforcer votre sensibilisation et celle des employés de votre Organisation. A cet effet, nous proposons des sessions de formations sur ce sujet avec les mesure de préventions associées. Ces mesures sont issues des normes et référentiels de bonnes pratiques tels que ISO 27001, ISO 27002, NIST CSF ou RESILIA.

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, PECB, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose régulièrement des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine. Ces formations peuvent être délivrées, en Français ou en Anglais. Nous les proposons dans le cadre de nos sessions publiques ou sur mesure en intra-entreprise   :

Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 (1 journée)

Toutes nos formations peuvent également être délivrées pour les informaticiens. Nous formons également les équipes de sécurité et les métiers sur l’ensemble de ces domaines. Nos accréditations nous permettent de délivrer des certifications  reconnues au niveau international.

Pour tout complément d’information ou pour vous abonner à notre newsletter, merci de bien vouloir compléter le formulaire de contact :

Tous les écrans illustrant cet article sont extraits de la revue CSO.

 

 

10 clés pour une sensibilisation réussie sur la sécurité

Les cyber-menaces pesant sur votre entreprise sont généralement imputées à des personnes étrangères à l’Organisation ou à des programmeurs véreux insérant, dans vos applications, du code malveillant conçu pour exploiter les informations sensibles pour votre Entreprise, voler les données confidentielles de vos clients et / ou vous dérober de l’argent. Cependant, la menace de sécurité se situe le plus souvent à l’intérieur de l’Entreprise, lorsque c’est l’ignorance et / ou la négligence des employés qui ouvre la voie aux cybercriminels. La sensibilisation du personnel sur ces menaces est donc essentielle.

La sensibilisation du personnel est une priorité

Cet article, publié par AB Consulting, dans le cadre de notre participation au mois de la cyber-sécurité, est destiné à vous donner quelques pistes pour réussir une meilleure sensibilisation de vos employés à la cybersécurité.

La sensibilisation du personnel est une priorité

Il est important de former le personnel avant d’être victime d’une violation des données. Soyez proactifs. N’attendez pas pour réagir. Ecrivez des politiques, en partant du principe que vous serez attaqués, puis aidez les employés à comprendre ce qu’ils doivent faire (et ne pas faire) afin de préserver la sécurité de votre entreprise et d’améliorer sa cyber-résilience.

1. Parlez régulièrement de cyber-sécurité au personnel

La sécurité et la résilience ne sont pas des tâches réservées aux informaticiens et aux personnels des équipes de gestion de la sécurité. La cyber-sécurité est une responsabilité collective et tous les employés en sont personnellement responsables. Il faut donc les informer sur ces responsabilité de façon régulière :

  • Expliquez l’impact potentiel d’un cyber-incident sur les opérations de l’Organisation et insistez sur les obligations des employés, en particulier en ce qui concerne l’utilisation de téléphones mobiles,
  • Ne vous contentez pas d’une revue annuelle des politiques et d’une signature confirmant que chaque personne a lu et compris les politiques informatiques de l’Entreprise.

2. Les politiques s’appliquent à tous y compris le top management et les informaticiens

Les politiques sont écrites par les exécutifs de l’Entreprise (les membres du Comité de Direction). Les politiques de sécurité en font bien entendu partie. Les politiques doivent être appliquées par tout le monde au sein de l’organisation, y compris les membres du Conseil d’Administration, du Comité de Direction et les informaticiens :

  • Les cadres supérieurs sont souvent une cible parce que :
    • Ils ont accès à plus d’informations et à des informations plus sensibles que les autres,
    • Ils sont souvent plus vulnérables lorsqu’ils sont en déplacement hors des locaux de l’Entreprise. Les pirates le savent et ciblent régulièrement les cadres en déplacement,
    • L’IT fait souvent des exceptions aux règles pour eux car ils sont réticents à appliquer des règles qui s’appliquent au reste de l’Entreprise, se sentant, à tort, « au dessus des règles »,
    • Les dommages / gain financier peuvent être beaucoup plus grands,
  • Le personnel du département informatique est également vulnérable du fait de leurs droits d’accès privilégiés sur tout le réseau de l’Entreprise.

3. La résistance de la chaîne de sécurité est limitée à celle de son maillon faible

Expliquez au personnel que vous travaillez activement sur la sécurisation de l’infrastructure de l’organisation mais que la sécurité ne peut pas dépasser celle fournie par son maillon le plus faible, à savoir les personnes :

  • Encouragez la coopération, et pas seulement le respect des règles,
  • Créez des politiques suffisamment complètes pour couvrir tous les angles d’attaque possibles,
  • Reconnaissez et faites comprendre au personnel que tous les êtres humains ont des faiblesses et font des erreurs.

4. Organisez des sessions régulières explorant les angles des cyber-attaques

Organisez régulièrement des sessions de travail avec l’ensemble du personnel pour explorer ensemble tous les aspects des cyber-attaques potentielles , ce dès l’embauche de nouveaux employés et jusqu’à leur départ de l’Entreprise :

  • Au moment de l’embauche de nouveaux employés et avant qu’ils ne commencent à travailler au sein de l’Organisation, une sensibilisation à la cybersécurité doit faire partie de votre processus d’accueil, puis, durant toute leur vie au sein de l’Organisation, faire l’objet de sessions régulières de « rafraîchissement »,
  • Envisagez différents formats de sessions (par exemple : déjeuner d’apprentissage, happy hours, etc.),
  • Assurez-vous de l’utilité des ces sessions
    • La plupart des employés ont des PC à la maison et des parents qui ont aussi accès à internet,
    • Faites régulièrement référence à des sujets de l’actualité,
    • Utilisez les réseaux sociaux.

5. Attirez l’attention du personnel sur les risques liés à l’ingénierie sociale

La sensibilisation ne suffit pas. Il faut également attirer régulièrement l’attention de vos employés sur le fait qu’ils sont des cibles pour les activités d’ingénierie sociale et sur les façons de s’en protéger :

  • Au travail, méfiez-vous toujours des réseaux sociaux, blogs et liens suspects provenant de sources inconnues lorsque vous utilisez le système informatique de l’entreprise,
  • Beaucoup de cyber-incidents commencent par un simple appel téléphonique de quelqu’un se présentant comme un collègue posant des questions en apparence anodines en vue de collecter des informations sur la société et ses opérations,
  • Les cyber-criminels exploitant les faiblesses humaines n’en ont presque jamais l’apparence…

6. Formez les employés à reconnaître une cyber-attaque

Nous pouvons dire aujourd’hui, avec une quasi-certitude, que vous avez été, que vous êtes actuellement, ou que vous serez la victime d’une cyber-attaque. Il est quasiment impossible d’y échapper. La problématique reste bien évidemment de s’en protéger mais aussi de savoir détecter une cyber-attaque au moment où elle se produit afin de réagir rapidement pour la contenir. Cela nécessite clairement une sensibilisation du personnel sur le sujet :

  • Définissez et implémentez des politiques en partant du principe que vous serez piratés. N’attendez pas qu’une attaque se produise pour réagir,
  • Ayez un plan de réponse documenté en place pour les incidents de sécurité et assurez-vous qu’il est revu et mis à jour fréquemment,
  • Communiquez des instructions détaillées, pas à pas, sur ce qu’il faut faire si des employés croient reconnaître un cyber-incident,
  • Formez toujours le personnel avant qu’un cyber-incident ne se produise.

Les formations doivent inclure les règles spécifiques concernant le courrier électronique, la navigation sur internet, l’utilisation des appareils mobiles et des réseaux sociaux. N’oubliez pas de vous focaliser sur les règles de base en cas de suspicion d’une cyber-attaque :

  • Débranchez physiquement votre machine du réseau,
  • Informez immédiatement votre administrateur de tous les courriels suspects, de toute activité inhabituelle ou si vous avez perdu votre appareil mobile,
  • Si vous n’êtes pas capable de retrouver le numéro d’urgence pour prévenir l’informatique en moins de 20 secondes, commencez dès maintenant à le mémoriser.

7. Ne sanctionnez ni ne ridiculisez jamais un employé qui lève le drapeau rouge

Le personnel doit savoir que la cyber-sécurité est l’affaire de tous. Tout le monde peut faire une erreur. Ne ridiculisez jamais quelqu’un qui a émis de bonne fois une alerte injustifiée et bien sûr ne le sanctionnez pas.

  • Même si c’est une fausse alerte, il est important de ne pas décourager les employés de parler, au cas où une véritable cyber-attaque se produit réellement,
  • Si les fausses alertes se produisent trop souvent, améliorez votre méthode de formation.

8. Si un cyber-incident se produit, prévenez le personnel le plus rapidement possible

Lorsqu’un incident de sécurité se produit, la première urgence consiste à le reconnaître comme tel et à essayer de le contenir (action répressive) avant qu’il ne puisse se propager au travers du réseau de l’Entreprise. La seconde urgence, dès lors qu’il a bien été reconnu que vous êtes en présence d’un incident de sécurité, est d’en informer l’ensemble du personnel qui saura quelles sont les actions attendues de sa part :

  • Un manque de transparence ou la mauvaise gestion d’un cyber-incident peut augmenter de façon significative l’impact de l’événement,
  • Imposez des règles strictes sur la façon de communiquer au public et à la presse au sujet de tout incident,
  • Ayez un plan de communication interne et une stratégie de continuité en place avant que quelque chose ne se passe,
  • Envisagez la souscription d’une assurance concernant les cyber-incidents.

9. Testez régulièrement votre personnel sur ses connaissances en cyber-sécurité

  • Assurez vous de la pertinence de votre programme de sensibilisation pour leurs vies d’individus connectés
  • Faites plaisir aux membres du personnel en rendant ces tests à la fois ludiques et enrichissants, et n’hésitez pas à récompenser à l’aide d’incitations telles que des lots (goodies, …) pour les réponses les plus rapides.

10. Incitez, écoutez et répondez aux remarques

  • Forcez les employés à changer les mots de passe chaque semaine et à ne pas les écrire et les afficher dans leurs espaces de travail
  • S’il est trop difficile ou compliqué d’accéder à quelque chose qu’ils doivent utiliser dans le cadre de leur travail, ils trouveront des solutions de contournement moins sûres comme l’utilisation d’e-mails  personnelle, de clés USB et de collègues pour contourner les restrictions
  • Identifiez les causes des comportements dangereux.

Existe-t-il des programmes de sensibilisation standards?

Il existe, en effet des programmes de sensibilisation standards s’appuyant sur les principaux référentiels de bonnes pratiques et sur les normes en matière de sécurité de l’information (ISO 27001, ISO 27002) et de cyber-résilience (RESILIA) et de gouvernance du SI pour les dirigeants (COBIT).

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine :

Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 pour les dirigeants (1 journée)

Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir compléter le formulaire de contact :

Voyageurs, une cible de choix pour les hackers

Beaucoup de cadres d’entreprises, en particulier des dirigeants, sont des voyageurs réguliers à travers le monde dans le cadre de leur emploi. Les pirates et les cybercriminels le savent parfaitement, ce qui constitue un facteur de risque que les entreprises ne devraient pas ignorer, d’autant que ces voyageurs disposent souvent d’accès privilégiés aux informations sensibles de leur Organisation.

Voyageurs d'affaires

Les adversaires sous la forme d’entreprises concurrentes, de gouvernements ou simplement de criminels ciblent tout spécialement les cadres supérieurs en déplacement d’affaires pour deux raisons essentielles : la personne et ce qu’elle représente, et l’information à laquelle elle a accès au sein de son Entreprise.

Alors même que les risques physiques évoluent peu, les risques liés à l’information ont progressé de façon importante durant ces dernières années. Il y a quelques années, le risque relatif à  l’information se limitait aux documents papier que le cadre transportait avec lui. Maintenant, non seulement le voyageur d’affaire transporte une beaucoup plus grande quantité de données sensibles sur une collection d’appareils numériques (smartphone, tablette, ordinateur portable), mais de plus, ces données peuvent être copiées rapidement, silencieusement et sans en déssaisir la victime qui, souvent, ne s’en rendra même pas compte.

Pire encore, les terminaux numériques offrent un accès immédiat et éventuellement à plus long terme sur les actifs de l’organisation au travers du réseau d’Entreprise. Les pirates ont la capacité d’extraire les données non cryptées ou faiblement cryptées à partir de tout appareil, y compris les communications à destination et en provenance de ces dispositifs, qu’ils peuvent même modifier physiquement  pour contrecarrer les meilleures mesures de sécurité et de cryptage.

Quelques règles de sécurité à l’usage des voyageurs

Dans le cadre du mois de la cyber-sécurité, AB Consulting vous présente un résumé des premières mesures de sécurité, les plus simples, que devraient prendre tous les voyageurs business afin de préserver la confidentialité et l’intégrité des données de l’Entreprise.

Faire preuve d’une extrême prudence avec les appareils mobiles

Cela peut sembler une évidence, mais l’un des plus grands risques de sécurité impliquant des cadres en déplacement est la perte ou le vol de leurs appareils mobiles ainsi que des données qu’ils contiennent.

Quelques facteurs font de cette menace un défi de taille. Le premier est que les gens ne savent plus se passer de leurs appareils, et ont tendance à vouloir les prendre avec eux où qu’ils aillent. Le second, c’est que, souvent, ils ne transportent pas seulement un appareil, mais plusieurs: smartphones, tablettes, ordinateurs portables, objets connectés (montre, …), etc.

Certains experts, comme Michael McCann, ancien chef de la sécurité des Nations Unies et maintenant président du fournisseur de services de sécurité McCann Services, recommandent que les dirigeants laissent systématiquement leurs appareils à la maison. Ceci est particulièrement vrai s’ils voyagent dans des pays à risques tels que la Chine par exemple. « Deuxième Conseil, assurez-vous que votre appareil est attaché à vous; ne le laissez jamais nulle part « , dit-il.

Tous les appareils mobiles doivent être équipés de technologies telles que la protection par mot de passe, le cryptage, la sauvegarde des données et l’effacement à distance des données stockées, dans le cas où le terminal viendrait à disparaître.

Verrouillez votre ordinateurLa perte d’ordinateurs portables et d’appareils mobiles, tels que les smartphones et les tablettes, continue d’être une menace importante, d’autant que beaucoup d’organisations n’ont pas encore mis en oeuvre le cryptage des données sur les terminaux portables. Compte tenu de la simplicité de l’activation du cryptage de l’appareil et des systèmes d’exploitation actuels, ceci devrait être une exigence minimale de protection des données pour tout cadre en déplacement professionnel.

Lorsque vous quittez votre chambre d’hôtel, une précaution élémentaire consiste à enfermer votre appareil mobile dans le coffre-fort de la chambre.

A l’extérieur du bureau, gardez toujours un œil sur votre ordinateur portable et prenez toujours soin de le verrouiller quand vous n’êtes pas en train de l’utiliser.. A l’aéroport ne le faites pas passer au scanner à rayons X si vous n’êtes pas prêt à passer vous-même le contrôle. Ne laissez pas votre ordinateur ou votre tablette sur votre table dans un café ou un restaurant si vous vous levez pour commander un café. Cela ne prend que quelques secondes pour dérober un appareil et disparaître.

Assurez-vous que les connexions à distance sur le réseau d’Entreprise sont sécurisées

Les cadres en déplacement se connectent de façon régulière avec le siège afin de vérifier leurs e-mails ou pour accéder à l’information de l’Entreprise, ce qui constitue un maillon faible potentiel. Une bonne idée consiste à utiliser un canal de communication sécurisé ou un réseau privé virtuel d’entreprise (VPN) sécurisé pour toutes les connexions réseau à distance.

Une autre bonne pratique consiste à utiliser l’authentification multi-facteur avec l’utilisation de jetons à usage unique pour accéder aux applications et services lors de déplacements professionnels. Par exemple, l’accès aux  applications critiques de l’Entreprise pourraient être sécurisé grâce à une  authentification à deux facteurs tels que la combinaison nom d’utilisateur / mot de passe et un jeton à usage unique.

En utilisant les connexions distantes cryptées et une authentification renforcée sur des réseaux identifiés, les dirigeants peuvent accéder avec un risque minimum aux données dont ils ont besoin pendant leur déplacement.

Soyez conscient de votre environnement

Les cadres en déplacement doivent en permanence avoir une bonne idée du moment où ils sont en danger potentiel du point de vue de la sécurité de l’information.

Lors de vos déplacements professionnels, il est important pour vous d’avoir conscience de la situation : à qui parlez-vous et avec qui partagez-vous de l’information? Qui sait où vous allez? Partager ces information avec les mauvaises personnes peut faire de vous une cible facile.

Des mesures de sécurité efficaces nécessitent, non seulement une prise de conscience de l’environnement, mais de faire preuve de prudence, de jugement et de bon sens. C’est particulièrement vrai quand un dirigeant d’entreprise doit, dans le même temps, s’acclimater à des cultures, des coutumes et des lois différentes.

Dans certains cas, les cadres voyageant à l’étranger pour le compte de leur entreprise doivent être conscients qu’ils peuvent être la cible de cyber-criminels, d’agences de renseignement, de terroristes ou même de concurrents de leur Organisation s’ils sont en possession ou simplement bien informés sur des informations confidentielles.

Cela signifie qu’il faut absolument éviter tout bavardage indiscret qui pourrait mettre le cadre ou son entreprise en difficulté par des personnes malveillantes. Grâce à des technologies de pointe, quelqu’un pourrait être à l’écoute des conversations sans que les parties ne s’en aperçoivent.

Voyageurs, attention à votre environnementNe laissez pas quelqu’un espionner par dessus votre épaule. Je ne compte pas le nombre de fois où j’ai pu lire tranquillement des informations confidentielles sur des présentations en préparation, des stratégies commerciales en cours d’élaboration ou des projets d’achat ou de vente d’actions, simplement en regardant à gauche, à droite ou sur la rangée de sièges devant moi, dans un avion, un train ou assis à la terrasse d’un café.

L’affichage d’informations confidentielles sur votre écran dans une zone publique sans utiliser un filtre de protection d’écran peut entraîner des fuites de données. Quelqu’un peut même vous observer et déterminer votre mot de passe ou lire des informations confidentielles permettant l’accès au réseau d’Entreprise.

Informez toujours le département sécurité ou l’IT de vos plans de voyage

Faites-leur toujours savoir que vous êtes en visite au Nigéria, à New York ou n’importe où vous allez.

La plupart des Organisations ont mis en place des politiques de sécurité qui déterminent le degré d’accès et l’approche que l’organisation juge appropriée, en relation avec son appétit du risque, pour chaque personne concernée. L’accès au données sensibles sera un facteur déterminant dans l’identification des mesures que vos responsables de la sécurité exigeront que vous preniez.

Si possible fournissez vos plans de voyage. Si vous avez un système de monitoring de la sécurité sur votre réseau, cela peut être utile pour les personnes de votre centre d’opérations de savoir où vous voyagez. Une tentative d’accès au réseau depuis Sydney, que vous avez quitté il y a juste deux jours, ne déclenchera la sonnette d’alarme que si les personnes de l’équipe sécurité sont informées que vous avez quitté la ville il y a deux jours, et que vous êtes maintenant à Singapour.

Appuyez-vous sur le renseignement en matière de menaces

Les cadres qui prévoient de voyager devraient utiliser les bulletins d’information sur les menaces, similaires aux bulletins de mise en garde disponibles sur les menaces physiques publiés par le ministère des affaires étrangères. Un tel réseau de renseignement pourrait être créé en utilisant des capacités d’analyse avancée pour intégrer les cyber-menaces et les informations géospatiales incluant les hôtels, les centres d’affaires, les réseaux et les endroits où des entités malveillantes et hostiles sont connues pour opérer.

Mot de passe fortLa connaissance de la nature et de la localisation physique de ces menaces permettra aux cadres de les éviter, réduisant ainsi le risque de piratage wifi et de points d’accès pour les téléphones mobiles, la surveillance et la capture du trafic, l’accès physique non autorisé aux appareils informatiques et l’installation de code malveillant et de systèmes de surveillance.

Les voyageurs d’affaires ne devraient seulement se connecter au Wi-Fi ou à des points d’accès à large bande que lorsque des authentifications et les détails de ces points d’accès sont pré-chargées sur leurs terminaux mobiles. Au retour du voyageur à son bureau, les appareils doivent être analysés afin de déterminer si, quand et comment ils ont été attaqués. Cette information peut ensuite être traitée par un moteur d’analyse et ajoutée aux futurs bulletins de renseignement sur les menaces.

N’oubliez pas la formation

Un programme de sensibilisation sur les risques de sécurité destiné aux cadres, et particulièrement aux dirigeants d’entreprise se déplaçant pour des raisons professionnelles est absolument indispensable. La sensibilisation à la sécurité doit être un processus de formation continue et non un événement ponctuel.

Une combinaison de formation en ligne de sensibilisation à la sécurité, de formation en présentiel ciblée  et une communication électronique fréquente permettent d’accroître la sensibilisation des personnels et notamment des cadres et dirigeants de l’Organisation.

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose des sessions de sensibilisation spécialement conçues pour les membres du conseil d’administration et du comité de direction, animées par un expert du domaine :

Sensibilisation à RESILIA pour les dirigeants (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 pour les dirigeants (1 journée)

Pour plus d’information ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact :

10 trucs pour reconnaître un mail d’hameçonnage

Chaque jour d’innombrables courriels d’hameçonnage sont envoyés à des victimes sans méfiance dans le monde entier. Certains d’entre eux apparaissent si bizarres qu’ils sont faciles à identifier. A l’inverse,  d’autres peuvent être plus convaincants. Alors, comment faire la différence entre un message de phishing et un message légitime?

10 indices pour reconnaître un mail d'hameçonnage
Crédits : © Weerapat1003

L’hameçonnage est aujourd’hui au coeur de l’ingénierie sociale. Il constitue donc une préoccupation majeure pour de nombreuses sociétés. Dans une récente enquête (Black Hat Attendee Survey réalisée lors de la conférence de Juillet 2015 aux USA) 48% des participants considèrent le l’hameçonnage et les autres risques liés à l’ingénierie sociale comme le 2ème souci le plus important pour eux avec 22% de leur budget informatique en moyenne consacré à ce sujet.

Comment reconnaître une tentative d’hameçonnage?

Malheureusement, il n’y a pas qu’une seule technique qui fonctionnerait dans toutes les situations. Il est, par conséquent, difficile de détecter un email d’hameçonnage. Cependant il existe des indices qui permettent d’éveiller les soupçons. Cet article répertorie 10 d’entre eux.

1. Le message comporte une URL bizarre

Une des premières choses que je vous recommande de vérifier dans un message e-mail suspect est l’intégrité et la cohérence de toutes les URL présentes dans le message. Souvent l’URL dans un message de phishing apparaît parfaitement valable. Toutefois, si vous passez votre souris au dessus de l’URL, vous devriez voir l’adresse réelle du lien hypertexte (au moins dans Outlook). Si l’adresse du lien hypertexte est différente de l’adresse qui est affichée en clair, alors il y a une forte probabilité que le message soit frauduleux ou malveillant.

2. Les URLs contiennent un nom de domaine trompeur

Les pirates qui utilisent la technique de l’hameçonnage pour lancer des escroqueries utilisent le plus souvent ll’ignorance, par leurs victimes, du fonctionnement et des règles de nommage liées à la structure des DNS. La dernière partie d’un nom de domaine est le plus révélateur. Par exemple, le nom de domaine office.microsoft.com serait un domaine enfant de microsoft.com parce microsoft.com apparaît à la fin du nom de domaine complet (sur le côté droit), ce qui peut laisser penser que le domaine appartient bien à Microsoft. Inversement, microsoft.com32.info ne saurait évidemment pas provenir de microsoft.com parce que la référence à microsoft apparaît au début (sur la partie gauche) du lien complet.

ATTENTION, dans la réalité, le domaine microsoft.com32.info existe vraiment. N’essayez donc pas d’y accéder car vous risquez l’installation d’un ransomware qui bloquera votre navigateur web en se faisant passer pour les autorités et vous réclamera le paiement d’une amende.

J’ai vu cette astuce utilisée de nombreuses fois par des artistes de l’hameçonnage pour essayer de convaincre les victimes qu’un message provient bien d’une société comme Microsoft ou Apple. L’artiste du phishing crée simplement un domaine enfant portant le nom de Microsoft, Apple, Windows, ou autre. Le nom de domaine résultant ressemble à ceci: microsoft.com32.info ou encore windows-crash-report.info/Windows/

3. Le mail contient des fautes d’orthographe ou de grammaire

Chaque fois qu’une grande entreprise envoie un message au nom de la société dans son ensemble, le message est généralement vérifié au niveau, entre autres, de l’orthographe, de la grammaire et de la légalité. Donc, si vous recevez un message rempli de fautes de grammaire ou d’orthographe, il a très peu de chance qu’il émane du département juridique d’une grande société.

4. Le message vous demande des informations personnelles

Peu importe à quoi un email officiel pourrait ressembler, c’est toujours un mauvais présage si le message vous demande des renseignements personnels. Votre banque n’a pas besoin de vous pour connaître votre numéro de compte! C’est elle qui vous l’a attribué. De même, une entreprise digne de confiance réclamera jamais  votre mot de passe, votre numéro de carte de crédit, ou la réponse à une question de sécurité par e-mail.

5. L’offre contenue dans le mail est trop belle pour être vraie

Il y a un vieil adage qui dit que si quelque chose semble trop beau pour être vrai, alors ça l’est probablement. Ceci est particulièrement vrai pour les messages électroniques. Si vous recevez un message d’une personne inconnue qui fait de belles promesses, c’est probablement d’une arnaque.

6. Vous n’avez rien demandé

Ce matin encore, j’ai reçu un message m’informant que j’avais gagné le gros lot à la loterie !!!! Le seul problème, c’est que je n’ai acheté aucun billet de loterie. Si vous recevez un message vous informant que vous avez gagné un concours, un lot à loterie ou que sais-je encore sans avoir participé volontairement à quoi que ce soit, vous pouvez parier que le message est une arnaque.

7. On vous demande d’envoyer de l’argent pour payer des frais

Un signe révélateur d’un email d’hameçonnage est qu’on vous finit par vous demander de l’argent. Il est possible qu’on ne vous demande rien dans le message initial. Mais tôt ou tard, les escrocs au phishing vont probablement vous demander de l’argent pour couvrir des frais, taxes, redevances, ou quelque chose de semblable. Si cela se produit, vous pouvez être quasiment certain qu’il s’agit d’une arnaque.

8. Le message vous adresse des menaces irréalistes

Bien que la plupart des escroqueries par phishing tentent de tromper les gens en leur demandant de l’argent ou des informations sensibles en leur promettant des gains d’argent instantanés, certains artistes de l’hameçonnage utilisent l’intimidation pour effrayer les victimes en donnant des informations. Si un message fait des menaces irréalistes, il s’agit probablement d’une arnaque.

Il ya 10 ans, je reçus un message électronique, d’apparence officielle, émanant prétendument de ma banque. Tout dans le message semblait complètement légitime, sauf une chose. Le message prétendait que la sécurité de mon compte avait été compromise et que si je ne remplissais pas un formulaire (sur lequel on me demandait mon numéro de compte) ainsi que deux pièces d’identité avec photo, mon compte serait fermé et mes biens saisis.

Je ne suis pas un avocat, mais je suis sûr qu’il est illégal pour une banque de fermer votre compte et de saisir vos biens simplement parce que vous n’avez pas répondu à un message électronique. De plus, le seul compte que j’ai eu dans cette banque était un crédit pour l’achat d’un véhicule. Il n’y avait pas de dépôt à saisir. Je n’avais aucun compte de dépôt ou d’épargne dans cette banque.

9. Le mail semble émaner d’un service public (impôts, sécurité sociale, …)

Les professionnels de l’hameçonnage qui veulent recourir à l’intimidation ne se présentent pas toujours comme une banque. Parfois, ils vont envoient des messages prétendant provenir d’un organisme public. Le Trésor, la direction des impôts, la police, le tribunal ou toute autre entité susceptible d’effrayer ou de tenter le citoyen moyen respectueux de la loi sont souvent utilisés.

hameçonnage impôts
Exemple de mail d’hameçonnage utilisant les impôts comme argument

Les organismes publics n’utilisent pratiquement jamais l’e-mail comme moyen de contact initial. Cela ne veut pas dire que organismes gouvernementaux et ceux chargés de l’application de la loi n’utilisent jamais d’e-mails. Toutefois, les organismes chargés d’appliquer la loi suivent certains protocoles. Ils ne participent pas à l’extorsion de fonds par-email, du moins selon mon expérience.

10. Il y a quelque chose qui vous semble suspect

Les équipes de sécurité des casinos sont formées à regarder tout ce qui leur semble suspect. L’idée est que si quelque chose vous semble bizarre, il ya probablement une bonne raison à cela. Ce même principe vaut presque toujours pour les e-mails. Si vous recevez un message qui semble suspect, il est généralement dans votre intérêt d’éviter d’agir sur ce message.

Comment éviter que votre personnel se fasse piéger?

Tous les professionnels s’accordent sur un fait. La première chose à faire consiste à mener des campagnes de sensibilisation et de formation du personnel. En effet la sécurité de l’information est une responsabilité collective de tous les employés et pas seulement du personnel informatique ou chargé de la sécurité. C’est donc l’ensemble du personnel qui doit être formé.

Nous vous conseillons également la lecture de notre article : Phishing, mode d’emploi.

Quelles formations choisir?

Il est inutile de dépenser votre argent dans des formations inutiles. Il faut d’abord sensibiliser le personnel non informatique. Cette sensibilisation portera sur l’hameçonnage et les autres aspects de l’ingénierie sociale. Des séances de sensibilisation de quelques heures (4 à 8 heures) sont suffisantes.  Inutile donc de former l’ensemble du personnel sur des formations ISO 27001 Foundation ou ISO 27001 Lead Implémenter… Ces formations sont réservées aux spécialistes de la sécurité impliqués dans l’implémentation d’un système de management de la sécurité, en vue de la certification de l’Entreprise.

Pour le Conseil d’Administration et le Comité de Direction

Pour sensibiliser le Conseil d’Administration et les membres du Comité de Direction sur les risques et leurs responsabilités en matière de sécurité de l’information :

COBIT® 5 pour le Board et les Exécutifs (1 jour)

RESILIA – Sensibilisation  (1 jour)

Introduction à la sécurité du SI basée sur ISO 27001 / ISO 27002 (1 jour)

Pour le personnel non informatique

RESILIA – Sensibilisation (1 jour)

Introduction à la sécurité du SI basée sur ISO 27002 (1 jour)

Pour le personnel du département informatique

ISO 27001 Foundation (3 jours) – Pour les organisations souhaitant implémenter un système de management de la sécurité de l’information basé sur ISO 27001

ISO 27002 Foundation (3 jours) – Bonnes pratiques de mise en oeuvre de la sécurité de l’information dans une entreprise ne cherchant pas la certification ISO 27001

RESILIA Foundation (3 jours) – Bonnes pratiques en matière de cyber-sécurité et de cyber-résilience. S’intègre parfaitement avec ITIL®

Pour le personnel spécialisé en sécurité de l’information

ISO 27001 Practitioner (2 jours) – Pour les personnels chargés de la sécurité dans une organisation implémentant ou ayant implémenté un système de management de la sécurité basé sur ISO 27001

ISO 27002 Advanced (3 jours) – Expertise dans l’application de bonnes pratiques de gestion de la sécurité décrites dans ISO 27002

RESILIA Practitioner (2 jours) – Pour les personnels en charge de mettre en oeuvre et d’appliquer les bonnes pratiques de cyber-sécurité et de cyber-résilience dans l’Entreprise

NIST Implementation based on COBIT® 5

Pour les équipes de contrôle interne ou d’audit interne

ISO 27001 Auditor (2 jours)

Pour les experts et les consultants / auditeurs

ISO 27001 Lead Implementer (5 jours)

ISO 27001 Lead Auditor (5 jours)

CISM – Certified Information Security Manager (4 jours)

CISSP – Certified Information Systems Security Professional (5 jours)

2AB & Associates, spécialiste de la sécurité et de la résilience, et seul Organisme de formation accrédité par les organisations internationales (ISACA, ISO, ANSI, AXELOS, APMG, EXIN, PEOPLECERT, PECB) en Afrique, vous propose toute sa gamme des formations accréditées. Nous pouvons également vous proposer nos services d’implémentation et d’audit sur ces domaines ainsi que sur la Gouvernance et le Management de votre système d’information.

Pour tout complément d’information ou si vous avez été vous-même victime d’une tentative d’hameçonnage (phishing), merci de nous laisser votre commentaire.

Cyberterrorisme, une menace sous-estimée

De nombreux experts estiment que la première cyber-guerre est déjà bien entamée. Il ne s’agit pas exactement une «guerre froide», au sens où la génération précédente l’entendait. Les dommages sont déjà considérables et s’évaluent en milliards de dollars et l’intention hostile des pirates, souvent parrainés par les États, est évidente. Dans le même temps, les organisations, tant publiques que privées, ne se mobilisent pas contre la menace constituée par le cyberterrorisme, et la cyber-sécurité ainsi que la cyber-résilience restent majoritairement négligées au plus haut niveau.

cyberterrorisme

Le cyberterrorisme, c’est quoi?

Selon le dictionnaire Larousse, le cyberterrorisme fait référence à l’ensemble des attaques graves (virus, piratage, etc.) et à grande échelle des ordinateurs, des réseaux et des systèmes informatiques d’une entreprise, d’une institution ou d’un Etat, commises dans le but d’entraîner une désorganisation générale susceptible de créer la panique.

Une caractéristique commune est le caractère le plus souvent politique ou idéologique de ces cyber-attaques. Ces attaques peuvent être perpétrées à la fois par des Etats, des groupes de personnes, des organisations, voire des individus isolés.

Alors le cyberterrorisme, ça existe vraiment?

Le cyberterrorisme existe bel et bien et de nombreux exemples sont là pour nous le démontrer quotidiennement depuis plusieurs années.

En effet, le cyberterrorisme n’est pas un fantasme, et l’Estonie s’en souvient. En 2007, la petite République ex-soviétique devenue hyperconnectée a été visée par une importante cyberattaque qui a bloqué les réseaux informatiques des services publics, mais aussi des banques et de tous les systèmes connectés. Le pays est resté paralysé plusieurs jours.

Plus récemment, en France, juste après la fusillade meurtrière de « Charlie Hebdo », plus de 25.000 sites internet français ont été attaqués par des hackers islamistes. Ces attaques ont, pour la plupart, consisté à remplacer la page d’accueil par un message haineux.

Plus récemment encore, souvenons-nous de l’attaque de TV5 Monde qui a eu lieu le 8 Avril 2015 et qui était en cours de préparation depuis janvier. Six mois plus tard, TV5 Monde ne s’est pas encore complètement remise de cette attaque dont le coût estimé sur France Info, en Juillet 2015, lors d’une interview de Yves Bigot, directeur général de TV5 Monde, s’évalue d’ores et déjà entre 4,3 et 5 millions d’Euros pour l’année 2015 et environ 11 millions d’Euros pour les trois prochaines années.

TV5 MondePetit retour sur la cyberattaque qui a affecté TV5 Monde (source France Info) :


Le 8 avril 2015, TV5 Monde, la chaîne de télévision Française qui émet dans 200 pays, est victime d’une cyberattaque de grande envergure. Les pirates se revendiquent de l’organisation de l’Etat islamique. Au siège parisien de la chaîne, Yves Bigot enregistre un message avec les moyens du bord qu’il diffuse ensuite sur youtube. « Ce piratage a conduit l’ensemble de nos 11 chaînes à virer à l’écran noir et nous avons perdu dans le même temps le contrôle de nos réseaux sociaux et de nos sites internet. L’ensemble de nos équipes travaillent d’arrache-pied pour rétablir les programmes auxquels vous êtes habitués« .

Après huit heures d’interruption, les programmes de TV5 Monde seront finalement rétablis le lendemain matin. Selon les premiers éléments de l’enquête, la cyberattaque avait été amorcée dès le mois de janvier 2015, avec l’envoi de faux mails aux personnels de la chaîne, utilisant une technique bien connue d’ingénierie sociale:  l’hameçonnage (phishing) permettant aux pirates de s’immiscer dans le système informatique. En juillet 2015, soit trois mois et demi après, les 400 salariés de TV5 Monde étaient toujours dans l’impossibilité de travailler normalement, selon Yves Bigot, invité sur France Info :

« Nous vivons toujours sans wifi, sans pouvoir utiliser de skype ou scanner de document car nous ne pouvons toujours pas nous reconnecter au réseau internet. Il faut attendre que l’agence nationale de sécurité des services d’information finissent ses analyses et que nous construisions la nouvelle architecture de diffusion qui nous protege au maximum. Ce signifie que l’on travaille un peu comme si nous étions les naufragés de ‘Lost’« .

Les règles de sécurité informatique ont dû être renforcées avec des mots de passe beaucoup plus complexes et modifiés fréquemment. « C’est le coût de la survie de TV5 Monde, » justifiait Yves Bigot, « car les statistiques montrent que 90% des entreprises frappées par ce type d’attaque ferment dans les 2 ans qui suivent. Nous, nous ferons partie des 10 qui survivront, fort heureusement. Mais cela va nous demander un certain nombre d’astreintes« .

Et le Directeur Général de conclure espérer un retour à un fonctionnement normal de la chaîne à la rentrée 2015, soit après plus de 6 mois…

Qui se cache derrière le cyberterrorisme?

Le cyberterrorisme peut être l’oeuvre de n’importe qui. Les piratages cités précédemment sont relativement simples et ont occasionné des dommages limités. Ils se sont revendiqués parfois de soutiens à l’Etat islamique (Daech). A priori, ce sont pour l’instant de petites structures de pirates mais la question est de savoir comment elles vont évoluer. Il peut aussi s’agit, dans certain cas, de cyber-terrorisme d’état.

Aujourd’hui il est clairement plus simple et moins dangereux de lancer une cyber-attaque terroriste qu’une attaque physique telle que nous les connaissons à l’image de la fusillade de Charlie Hebdo ou celle du Pardo à Tunis. Un petit groupe d’individus, dissimulés derrière Internet sont capables de perpétrer des dégâts majeurs en utilisant seulement des connaissances en informatique.

Les objectifs très ciblés permettent d’avoir un effet important, à un moment donné. Par exemple, si un système radar qui sert à faire décoller des avions nous gêne pour une opération dans une zone, c’est mieux de pouvoir l’éteindre à distance que de lâcher une bombe. En 2008, l’explosion d’un pipeline en Turquie serait due à un piratage informatique, fomenté par la Russie dans une bataille pour l’énergie, rapporte Bloomberg. Dans le cas de TV5 Monde, la piste des hackers russes a également été avancée pour expliquer la cyberattaque. Mais les investigations n’ont permis de déterminer ni l’origine géographique de l’attaque, ni le nombre de pirates.

Quels sont les risques véritables?

Aujourd’hui, les groupes terroristes ont de l’argent et peuvent s’en procurer beaucoup plus en ciblant des banques par exemple. La manne peut être quasi illimitée . Il n’y a qu’un pas pour qu’ils se munissent de cyber-armes, surtout qu’il n’y a pas besoin de beaucoup de moyens humains pour les utiliser, quelques dizaines de personnes suffisent pour lancer une attaque massive.

Si certains chercheurs sont capables de prendre le contrôle d’une voiture et de faire s’emballer le moteur pour qu’il explose, alors il n’y a pas de raison pour qu’ils ne puissent pas faire la même chose avec des armes ou des engins militaires.

Un récent rapport de Think Tank Britannique Chatham House (La cyber-sécurité des installations nucléaires civiles: comprendre les risques) met en évidence que les installations nucléaires sont de plus en plus dépendantes des « systèmes numériques, des logiciels commerciaux standards et de la connectivité à Internet», et deviennent donc « plus sensibles à une cyber-attaque « .

Cette sensibilité accrue s’accompagne en toile de fond du  « potentiel d »émission de rayonnements radio-actifs ».

De plus, il apparaît totalement improbable que le secteur nucléaire divulgue ce type d’incidents de cyber-sécurité en raison de « sensibilités en matière de sécurité nationale … conduisant le personnel de l’industrie nucléaire à sous-estimer le risque de cyber-attaque.« 

En outre, étant parmi les plus récents à adopter les technologies numériques « l’industrie nucléaire dans son ensemble fait actuellement face à des difficultés d’adaptation » et il existe un flagrant «manque de prise de conscience au niveau exécutif des risques encourus« .

Parmi les résultats spécifiques de ce rapport figure le fait que de nombreuses installations nucléaires utilisent maintenant des VPNs et des connexions Internet non documentées, ce qui signifie qu’elles ne sont aussi étanches que les exploitants l’imaginent, et que même là où l’étanchéité est garantie, « cette garantie peut être violée avec un simple lecteur de mémoire flash ».

risque nucléaireBien sûr, il s’agit d’un rapport Britannique et cela ne concerne sûrement pas les centrales nucléaires Françaises. Quoique, si on y regarde de plus près de nombreuses installations nucléaires à travers le monde ont déjà été victimes de ce type de cyber-attaques dans les 25 dernières années, comme par exemple :

  • Centrale nucléaire d’Ignalina (Lituanie – 1992) – Un technicien « introduit intentionnellement un virus dans le système de contrôle industriel … dans le but de mettre en évidence les vulnérabilités en matière de cybersécurité de ce site ». La centrale a été fermée en 2009
  • Centrale nucléaire de Davis-Besse (Ohio – 2003) – Le ver Slammer a infecté le système de supervision de contrôle et d’acquisition de données, et désactivé le système d’affichage des paramètres de sécurité pendant près de cinq heures.
  • Centrale nucléaire de Browns Ferry (Alabama – 2006) – Un dysfonctionnement des deux pompes de recirculation du réacteur et du contrôleur de condensation conduisaient à l’arrêt manuel de l’Unité 3 pour éviter la fusion du réacteur.
  • Centrale nucléaire de Hatch (Georgie – 2008) – L’installation d’une mise à jour logicielle sur le réseau de gestion de la centrale, par un ingénieur, provoque la réinitialisation du système de commande de la centrale pour permettre la resynchronisation des deux systèmes entraînant des dysfonctionnements du système de refroidissement et conduisant à arrêt automatique de l’Unité pendant 48 heures.
  • Site nucléaire de Natanz et centrale de Bouchehr (Iran – 2010) – Le ver Stuxnet, probablement transmis par des clés USB infectées, endommage deux installations nucléaires en Iran, « détruisant partiellement autour de 1.000 centrifugeuses à Natanz« . Un site russe dont le nom reste secret a également été affecté par Stuxnet à peu près en même temps.
  • Réseau commercial de Korea Hydro & Nuclear Power Co. (Corée du Sud – 2014) – Utilisant un email d’hameçonnage (phishing), les pirates ont pu accéder au réseau commercial de la société qui exploite 23 réacteurs nucléaires en Corée du Sud. Les plans et les manuels de deux réacteurs ont été volés et divulgués via Twitter, accompagnés de demandes de rançon, en exigeant que l’entreprise ferme trois de ses réacteurs.

Sans vouloir paraître inutilement alarmiste, il est important d’avoir conscience que l’éventualité d’un accident nucléaire dû à l’absence, volontaire ou pas, de mise  en œuvre des contrôles de cyber-sécurité appropriées existe bel et bien, et que la menace augmente considérablement comme le révèle DELL, dans son rapport annuel sur les menaces de sécurité publié en Mai 2015, montrant que les attaques contre les infrastructures essentielles – y compris les installations nucléaires – ont doublé en l’espace d’un an.

Alors, que peut-on faire?

Yukiya Amano, directeur de l’Agence Internationale de l’Energie Atomique (AIEA), a déclaré lors la première conférence internationale de l’AIEA en juin dernier :

Les ordinateurs jouent un rôle essentiel dans tous les aspects de la gestion et de l’exploitation sûre et sécuritaire des installations nucléaires, y compris le maintien de la protection physique. Il est extrêmement important que tous ces systèmes soient correctement protégés contre les intrusions malveillantes.

La menace cyberterroriste touche aujourd’hui toutes les organisations, et pas seulement les installations nucléaires. Le secteur des banques, de la finance, militaire, aéronautique, du transport, et bien d’autres sont particulièrement à risque.

Les failles de sécurité dans les logiciels « sur étagère » du commerce, dans les plates-formes CMS, dans les applications et les plugins sont continuellement découvertes et exploitées par les pirates criminels opportunistes qui s’appuient sur des outils de scan automatisé pour identifier les cibles. Cela signifie que toute organisation connectée à Internet est à risque. Quel que soit votre secteur d’activité, combler les lacunes en matière de sécurité et corriger les vulnérabilités dès qu’elles sont connues est essentiel pour garder vos réseaux sécurisé et vos informations d’entreprise toute sécurité.

L’implémentation de contrôles de sécurité performants et d’un Système de Management de la Sécurité de l’Information (SMSI) basé sur ISO 27001 vous seront sans aucun doute d’un grand soutien, mais il est tout aussi important de sensibiliser vos personnels (et pas seulement les informaticiens) sur les risques et les mesures de sécurité qui doivent être respectées par chacun et de planifier la continuité business de votre entreprise grâce à des référentiels de cyber-résilience tels que RESILIA, le guide de bonnes pratiques de cyber-résilience publié récemment par AXELOS®.

N’oubliez jamais que de nombreuses attaques opportunistes pourraient facilement être évitées grâce à une bonne gestion de votre sécurité. Si vous vous sentez préoccupé par la vulnérabilité de votre organisation aux cyber-attaques, AB Consulting vous propose un ensemble de services sur mesure et nous vous recommandons d’utiliser un test de pénétration pour évaluer votre vulnérabilité afin que des mesures puissent être prises. Nous vous proposons également une gamme de formations accréditées et certifiantes notamment sur les référentiels RESILIA (Sensibilisation, Foundation et Practitioner) ainsi que sur ISO 27001 (Foundation, Practitioner et Lead auditor), ISO 27002 (Foundation et Advanced) et ISO 27005 (IT Risk Manager).

N’hésitez pas à poster vos commentaires et vos questions.

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :