Check Point rapport sécurité 2013
 

Like this? Share it with your network

Share

Check Point rapport sécurité 2013

on

  • 2,049 views

Une méta-analyse des événements de sécurité réseau de 888 entreprises a été effectuée à partir des données recueillies. ...

Une méta-analyse des événements de sécurité réseau de 888 entreprises a été effectuée à partir des données recueillies.

Ce Rapport Sécurité 2013 repose sur une étude et une analyse collaboratives des événements de sécurité rassemblés à partir de quatre sources principales :
- Les rapports d'analyse des passerelles sécurité de Check Point², Check Point ThreatCloud™3, le réseau Check Point SensorNet™ et les rapports de Check Point Endpoint Security.

Statistics

Views

Total Views
2,049
Views on SlideShare
1,194
Embed Views
855

Actions

Likes
1
Downloads
55
Comments
0

3 Embeds 855

http://www.zdnet.fr 757
http://www.scoop.it 97
http://plus.url.google.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Check Point rapport sécurité 2013 Document Transcript

  • 1. Janvier 2013CHECK POINTRAPPORTSÉCURITÉ2013recommandé par
  • 2. 003CHECK POINT - RAPPORT SÉCURITÉ 2013Check PointRapport sécurité 201301 Introduction et méthodologie00402 Menaces pour votre entreprise00603 Applications utilisées dans lespace de travail de lentreprise02004 Fuites de données dans votre réseau030AN Annexes04206 À propos de Check Point Software Technologies03805 Résumé et stratégie de sécurité036recommandé par
  • 3. CHECK POINT - RAPPORT SÉCURITÉ 201300401« Tout comme l’eau n’a pas deforme constante, l’art de la guerren’est pas fixe. »1Bien que cette phrase soit âgée de2 600 ans, elle reste étonnammentpertinente, et reflète la guerremoderne daujourdhui : lacyberguerre.Les techniques employées par les pirates sont en constanteévolution et font appel à des méthodes dattaque plusavancées et plus sophistiquées. Elles repoussent les défis de lasécuritéàdesniveauxsansprécédent.Lescentresdedonnées,les ordinateurs et les téléphones mobiles des employés sontdes cibles de choix pour les pirates qui déploient une variétéinépuisabledelogicielsmalveillantstelsquebots,chevauxdeTroie et infections par téléchargements automatiques. Lespirates utilisent la ruse et lingénierie sociale pour manipulerdinnocents utilisateurs et accéder aux informationsde lentreprise, telles que documents internes, dossiersfinanciers, numéros de cartes de paiement et informationsdidentification des utilisateurs, ou pour tout simplementempêcher le bon fonctionnement de lactivité de lentreprisepar des attaques de déni de service. Cette guerre modernede menaces et dattaques avancées nest pas prête de sarrêter.La quantité dinformations professionnelles stockées dansdes centres de données, des serveurs, des ordinateurs et destéléphones mobiles augmente à la vitesse de la lumière, etplus de données et de plates-formes signifient encore plus derisques. Enfin, la liste des menaces ne diminue pas, et chaquenouvelle attaque révèle un niveau de sophistication encoreplus avancé.Quels ont été les principaux risques de sécurité pour votreenvironnement réseau lannée dernière ? Quels seront lesrisques lannée prochaine ? Telles étaient les questions clésqui ont occupé les équipes de recherche de Check Pointces quelques derniers mois. Pour répondre à ces questions,Check Point a procédé à une analyse intensive de la sécurité.Ce rapport fournit un aperçu des événements de sécuritéréseau qui se sont produits en 2012 dans des entreprisesà travers le monde. Le rapport présente les événementsde sécurité découverts dans ces entreprises, ainsi quedes exemples dincidents annoncés publiquement, desexplications sur la manière dont certaines de ces attaques ontété menées, suivies de recommandations sur la manière de seprotéger contre de telles menaces. Le rapport est divisé entrois parties. Chaque partie est dédiée à un aspect spécifiquede la sécurité. La première partie se concentre sur les menacesreprésentées par les bots, les virus, les failles de sécuritéet les attaques. La seconde partie traite des applicationsweb à risque qui compromettent la sécurité dun réseaudentreprise. La dernière partie est consacrée aux fuites dedonnées occasionnées par les actions non intentionnelles desemployés.MéthodologieLe Rapport Sécurité 2013 de Check Point repose sur uneétude et une analyse collaboratives des événements desécurité rassemblés à partir de quatre sources principales :Les rapports danalyse des passerelles sécurité de CheckPoint2, Check Point ThreatCloud™3, le réseau Check PointSensorNet™ et les rapports de Check Point EndpointSecurity.Une méta-analyse des événements de sécurité réseau de888 entreprises a été effectuée à partir des données recueilliessur les passerelles sécurité Check Point chargées danalyser endirect le trafic entrant et sortant de ces entreprises. Le trafica été inspecté grâce à la technologie multi-couche CheckPoint Software Blades afin de détecter différents types demenaces tels que les applications à haut risque, les tentativesINTRODUCTIONET MÉTHODOLOGIErecommandé par
  • 4. 005CHECK POINT - RAPPORT SÉCURITÉ 201301 _ INTRODUCTION ET MÉTHODOLOGIEdintrusions, les virus et les bots, les fuites de donnéesconfidentielles, etc. Le trafic réseau de chaque entrepriseétait surveillé en temps réel via le mode en ligne ou le modesurveillance des passerelles sécurité de Check Point, pendant134 heures en moyenne. Les entreprises étudiées sont issuesdun large éventail de secteurs et sont situées dans le mondeentier comme le montre les graphiques 1-A et 1-B.En outre, plus de 111,7 millions dévénements extraitsde 1 494 passerelles de sécurité ont été analysés à laidedes données générées par Check Point ThreatCloud™.ThreatCloud est une base de données massive mise à jouren temps réel à partir de données de sécurité provenant dunvaste réseau mondial de capteurs placés stratégiquementautour du globe, qui collectent des informations sur lesmenacesetlesattaquesdelogicielsmalveillants.ThreatCloudpermet didentifier les nouvelles tendances mondiales desécurité et de menaces, pour constituer un réseau collaboratifde lutte contre la cybercriminalité. Pour notre étude, nousavons analysé les données de ThreatCloud recueillies sur unepériode de 3 mois entre août et octobre 2012.Des références pour les données des menaces ont étérecueillies par le réseau de capteurs Check Point SensorNet™,du 1er juillet au 30 septembre 2012. Check Point SensorNetest un réseau mondial de capteurs distribués, qui fournissentdes informations de sécurité et des statistiques de trafic à unsystème central danalyse. Ces données sont analysées afinde détecter les tendances et les anomalies, et développer unevision en temps réel de la sécurité dans le monde.Enfin, une méta-analyse de 628 rapports de sécurité depostes de travail provenant de différentes entreprises a étéeffectuée.Lanalysedelasécuritéévaluaitnotammentchaquehôte pour estimer les risques de fuites de données, les risquesdintrusions et les risques liés aux logiciels malveillants.Lanalyse a été réalisée avec loutil de reporting Check PointEndpoint Security pour vérifier la présence dun antivirussur les hôtes, sil est à jour, si les logiciels utilisés sont lesdernières versions, et plus encore. Cet outil est gratuit etdisponible publiquement. Il peut être téléchargé depuis lesite de Check Point4.* APAC- Asie Pacifique et Japon. EMEA- Europe, Moyen-Orient et Afrique26%Autre23539%Industrie34614%Finance12810%Gouvernement897%Télécommunication594%Conseil31SecteursRégions40%EMEA*35440%Amériques35620%APAC*178Source :CheckPointSoftwareTechnologiesGraphiques 1-A et 1-BׁCe rapport repose sur des données recueillies à partir de cessources.Spécification des secteursIndustrie – Chimie/Raffinerie, Santé, Pharmacie,Informatique, Production, Transport, Service public,Infrastructure.Finance – Finance, Comptabilité, Services bancaires,Investissement.Gouvernement – Administration publique, Armée.Télécommunication – Télécommunication, Opérateurs,FAI, Services managés.Conseil – Services de conseil.Autres – Publicité/Médias, Distributeur, Éducation, Justice,Loisirs/Hospitalité, Commerce de détail et de gros, Valeurset titres, Autre.recommandé par
  • 5. CHECK POINT - RAPPORT SÉCURITÉ 201302MENACES POUR VOTREENTREPRISEBLACKHOLE - Le kit dexploitation desvulnérabilités de monsieur tout le mondeLe succès des activités malveillantes de lannée dernièrepeut-être en partie attribuée aux pirates qui utilisentdes outils dattaque prêts à lemploi. Un seul clic suffit àtélécharger une suite dattaque complète et hautementsophistiquée. BlackHole, une application web trèsrépandue dexploitation de vulnérabilités, est un exemplede ce type de suite. Elle intègre un ensemble doutils quiexploitent les failles de sécurité des navigateurs pourtélécharger des virus, des bots, des chevaux de Troie etautres formes de logiciels malveillants sur les ordinateursdes victimes. Les prix de ces kits varie de quelques dizainesdeuros pour une utilisation à la journée à 1 300 eurospour une année complète9.et de ressources à recueillir des renseignements. Leursactivités criminelles causent de graves dommages auxentreprises, telles que des fuites de données confidentielles,linterruption de lactivité, latteinte à la réputation et biensûr des pertes financières. Les attaques et à long terme lesplus sophistiquées, menées dans un but prédéterminé et trèsspécifique, sont appelées « menaces persistantes avancées »(APT). Ces attaques ne sont généralement pas détectées parles systèmes de sécurité traditionnels, mettant ainsi en dangerles gouvernements, les petites entreprises aussi bien que lesgrandes entreprises, et les réseaux personnels.Dans une attaque APT, la première action consistetypiquement à effectuer une reconnaissance de la cible pourrecueillir des renseignements. Ensuite, les agresseurs fontune première intrusion dans le réseau de la cible pour ouvrirune porte dérobée et rester actif dans le réseau. Ceci estDernières nouvelles :une nouvelle cyberattaque découverteEn 2012, les cyberattaques ont continué de proliférer etfaire la une des journaux. Presque tous les jours, les menacesde logiciels malveillants, les attaques et les botnets, sonten première page, démontrant ainsi la réussite des piratesà dérober des données, paralyser lactivité des entreprises,ou espionner des entreprises et des gouvernements. Lesexemples suivants ne sont que la partie visible de licebergdes cyberattaques qui se sont produites en 2012 : despirates attaquant le réseau de la Maison Blanche6, le groupedhacktivistes Anonymous stoppant le fonctionnement dessites Internet des associations de commerce U.S. TelecomAssociation et TechAmerica7, des cyberattaques ciblantCapital One Financial Corp., BB&T Corp., HSBC BankUSA8et de nombreuses autres institutions financières.Menaces persistantes avancéesLes cybercriminels ne sont plus de simples amateurs isolés.Ils appartiennent dans de nombreux cas à des groupesbien structurés ressemblant à des organisations terroristes,avec du financement, de la motivation et des objectifs. Lescybercriminels semblent consacrer beaucoup de temps« IL NEXISTE QUE DEUX TYPESDENTREPRISES, CELLES QUI ONT ÉTÉPIRATÉES ET CELLES QUI LE SERONT. »Robert Mueller, Directeur du FBI, mars 20125recommandé par
  • 6. 00702 _ MENACES POUR VOTRE ENTREPRISEGlobal Payments Inc.Une entreprise mondiale de traitement des paiementspiratée en juin 2012. Les données de plus de 1,5 millionde cartes de paiement ont été dérobées.Clarksville, Tennessee, États-UnisEn juin 2012, des pirates se sont introduits dans lesystèmeinformatiquedesécolesducomtédeClarksville-Montgomery, et ont dérobé les noms, numérosde sécurité sociale et autres données personnellesdenviron 110 000 personnes. Les pirates ont utilisé lesinformations postées par des employés et des étudiantsen ligne pour accéder au système10.Serco Thrift Savings PlanEn mai 2012, une attaque informatique menée contreSerco aux États-Unis a permis de dérober les donnéespersonnelles de 123 000 employés fédéraux.Une intrusion à lUniversité du Nebraskaa permis le vol de plus de 650 000 fichiers de donnéespersonnelles relatives aux élèves, anciens élèves, parentset employés depuis la base de données du systèmedinformation étudiants de luniversité.DépartementdesServicesTechnologiquesde lUtah, États-UnisEn mars 2012, 780 000 dossiers de patients liés à desdemandes de remboursement du programme de santéMedicaid ont été dérobés dans un serveur par despirates probablement situés en Europe de lEst.Sécurité sociale du Royaume-UniEntre juillet 2011 et juillet 2012, la Sécurité sociale duRoyaume-Uni a subi plusieurs attaques qui ont exposéles dossiers de près de 1,8 million de patients11.FUITES DE DONNÉESEN 2012Les botnets ne disparaîtront pas de sitôt.Ils sont une des menaces les plus importantes auxquellesles entreprises doivent aujourdhui faire face pour protégerleur réseau. Un bot est un logiciel malveillant qui envahit etinfecte un ordinateur pour permettre à des criminels de lecontrôler à distance. Lordinateur infecté peut effectuer desactivités illégales telles que le vol de données, la diffusion despam, la diffusion de logiciels malveillants et la participationà des attaques de déni de service (DoS). Le propriétairede lordinateur infecté nest généralement pas conscient deces activités. Les bots jouent également un rôle clé dans lesattaques APT ciblées.Il existe deux grandes tendances motivant les attaques de botsdans le paysage actuel des menaces. La première tendanceen forte croissance est celle de la cybercriminalité à des finslucratives, comprenant les opérateurs et les fournisseurs dehabituellement accompli en infectant un hôte à laide dunbot permettant aux agresseurs de communiquer avec lhôteinfecté sans être détectés. Les agresseurs tentent ensuitedaccéder à dautres ressources du réseau et compromettreencore plus de nœuds. Après cette étape, les agresseurs ontatteint leur cible, et peuvent maintenant exploiter les hôtesinfectés pour collecter des données ou causer les dommagesprévus, à distance et tout en restant hors datteinte sur lelong terme.DES KITS DE BOTS SONT VENDUS ENLIGNE POUR QUELQUES CENTAINESDEUROS ET LEURS DOMMAGESCOÛTENT DES MILLIONS DEUROSDe nombreux incidents ayant pour conséquence des fuites de données se sont produits cette année, exposant lesdonnées liées aux cartes de paiement, aux clients, aux élèves ou aux patients, stockées sur des serveurs dentreprise.Ces activités malveillantes ont pour objectif commun dobtenir des informations confidentielles. La liste suivanteprésente quelques exemples :recommandé par
  • 7. CHECK POINT - RAPPORT SÉCURITÉ 201302 _ MENACES POUR VOTRE ENTREPRISEACTIVITÉS DES BOTNETSEnvoyerdu spamAttaquer desordinateurs etdes serveursDéroberdes donnéesDiffuserdes logicielsmalveillantsRépandredes viruslogiciels malveillants, des programmeurs, et des programmesdaffiliation. Ses « produits et services » peuvent êtrefacilement achetés en ligne sur de nombreux sites (parexemple : kits de logiciels malveillants, envoi de spam, volde données, attaque de déni de service) et les entreprises ontbeaucoup de mal à lutter contre ces attaques. La secondetendance est celle des attaques idéologiques et des attaqueslancées par des états contre des individus et des entreprisescibles pour promouvoir une cause politique ou mener unecampagne de cyberguerre.Les botnets ne disparaîtront pas de sitôt. Contrairement auxvirus et autres logiciels malveillants traditionnels statiques(dontlecodeetlaformerestentlesmêmes),lesbotnetssontdenaturedynamique,etpeuventchangerrapidementdeformeetde modèle de communication. Des boîtes à outils de créationde bots sont vendues en ligne pour quelques centaines deuroset leurs attaques coûtent des millions deuros aux entreprises.Le problème des bots est devenu un problème denvergure.recommandé par
  • 8. 009Les réseaux de zombies sont partout. Cettesituation est-elle alarmante ?Il est estimé que plus dun quart de tous les ordinateurspersonnels connectés à Internet font partie dun botnet.12. Nosrécentes recherches montrent que dans 63 % des entreprises,au moins un bot a été détecté. La plupart des entreprises sontinfectées par une variété de bots.Fonctionnement des botnetsUn botnet se compose généralement dun certain nombredordinateurs infectés par des logiciels malveillants quiétablissent une connexion réseau avec un système de contrôleappelé « serveur de commande et de contrôle ». Lorsquunbot infecte un ordinateur, il prend le contrôle de lordinateuret neutralise les défenses antivirus. Les bots sont difficilesà détecter car ils se cachent à lintérieur des ordinateurs etDES ENTREPRISES ÉTUDIÉESSONT INFECTÉES PAR DES BOTS63%Nombre dhôtes infectés par des bots(% des entreprises)48 % 1 à 3 hôtes18 % 4 à 6 hôtes10%7à9hôtes18%10à21hôtes6 % Plus de 21 hôtesmodifient la manière dont ils se comportent pour les logicielsantivirus. Le bot se connecte alors au serveur de commandeet de contrôle pour obtenir des instructions de la part descybercriminels. De nombreux protocoles de communicationsont utilisés pour ces connexions, y compris IRC, HTTP,ICMP,DNS,SMTP,SSL,etdanscertainscas,desprotocolespersonnalisés créés par les auteurs des botnets.Spam, virus, DDoSResponsablede botnetBotCommandeet contrôleOrdinateurssur InternetGraphique 2-ASource :CheckPointSoftwareTechnologiesrecommandé par
  • 9. CHECK POINT - RAPPORT SÉCURITÉ 201302 _ MENACES POUR VOTRE ENTREPRISE010Activités de commande et de contrôleLes bots revêtent différentes formes et peuvent effectuer denombreuses activités. Dans de nombreux cas, un seul botpeut créer de multiples menaces. Une fois sous le contrôledu serveur de commande et de contrôle, le botnet peut êtreactivé par un pirate pour mener des activités illégales à linsude lutilisateur. Ces activités comprennent linfection dautresmachines afin de les ajouter au botnet, lemailing de masse, lesattaques DDoS, et le vol de données personnelles, financièresou confidentielles. Les bots sont également souvent utiliséscomme outils dattaque APT ciblant des individus ou desentreprises.Le graphique 2-B présente la fréquence des communicationsdes bots avec leur serveur de commande et de contrôle. 70 %des bots détectés durant nos recherches communiquaientavec leur serveur de commande et de contrôle au moinsune fois toutes les 2 heures. La majorité des activités decommande et de contrôle se situent aux États-Unis, puis enAllemagne, aux Pays-Bas et en France, comme le montre legraphique 2-C.Les différents types de communication des bots avec leurserveur de commande et de contrôle comprennent lesignalement de nouveaux hôtes infectés, les messages demaintiendactivité(« keep-alive »),etlesdonnéesrecueilliessurlesystèmehôte.Nosrecherchesmontrentquenmoyenne,un bot communique avec son serveur de commande et decontrôle une fois toutes les 21 minutes.Quels sont les botnets auxquels nous devrionsfaire attention ?Des milliers de botnets existent aujourdhui.Le tableau suivant présente les principaux botnets découvertsdurant nos recherches. Pour mieux comprendre ces menacesfurtives, des informations complémentaires sur chaquemenace ont été compilées dans lAnnexe A.Famille de bots Activité malveillanteZeus Vol didentifiants bancaires en ligneZwangi Présentation de publicitésindésirablesSality Virus auto-diffuséKuluoz Activation de fichiers à distanceJuasek Actions malveillantes à distance :ouverture de linvite de commandes,rech./créa./suppr. de fichiers, etc.Papras Vol de données financières et accès àdistanceDétails supplémentaires dans lAnnexe ATOUTES LES 21 MINUTESUN BOT COMMUNIQUE AVECSON SERVEUR DE COMMANDEET DE CONTRÔLEGraphique 2-BSource :CheckPointSoftwareTechnologiesFréquence des communications des bots avecleur serveur de commande et de contrôle25 % Jusquà 1 heure45 % 1 à 2 heures6 % 2 à 4 heures24 % Plus de 4 heuresrecommandé par
  • 10. DES ENTREPRISES, DES HÔTESACCÈDENT À DES SITES WEBMALVEILLANTS75%DANSPrincipales localisation des serveurs decommande et de contrôle58 %États-Unis3 %Canada3 %Australie4 %Chine9 %Allemagne7 %Pays-Bas3 %Venezuela3 %Roumanie3 %Argentine7 %FranceGraphique 2-CSource :CheckPointSoftwareTechnologiesrecommandé par
  • 11. CHECK POINT - RAPPORT SÉCURITÉ 201302 _ MENACES POUR VOTRE ENTREPRISE012Comment votre entreprise peut être infectéepar un logiciel malveillantIl existe de nombreux points dentrée pour pénétrer lesdéfenses dune entreprise, dont notamment les vulnérabilitésdes navigateurs, les téléphones mobiles, les pièces jointesmalveillantes et les supports amovibles, pour nen citer quequelques exemples. Lexplosion du nombre dapplicationsweb 2.0 et des réseaux sociaux utilisés comme outilsprofessionnels fournit également aux pirates des armes pourtromper leurs victimes et les inciter à cliquer sur des liensmalveillants ou de fausses publicités présentées sur des siteslégitimes.Même si les botnets sont considérés comme lune des menacesles plus graves aujourdhui, les entreprises sont toujoursconfrontées par ailleurs aux menaces présentées par leslogiciels malveillants : virus, vers, logiciels espions, logicielspublicitaires, chevaux de Troie, etc. Nos recherches montrentque dans 75 % des entreprises, un hôte accède à un site webmalveillant.Le graphique suivant présente le nombre dhôtes qui a accédéà des sites web malveillants par pourcentage dentreprises.18 % 3 à 4 hôtes31%1à2hôtes16 % 9 à 16 heures15 % Plus de 16 hôtes20%5à8hôtesAccès à des sites malveillants par nombre dhôtes(% des entreprises)Dans plus de 50 % des entreprises, au moins cinq hôtes ontaccédé à des sites web malveillants.Un logiciel malveillant peut être téléchargé par un utilisateurou un bot qui a déjà infecté lhôte. Nous avons découvertque dans 53 % des entreprises, un logiciel malveillant a ététéléchargé depuis le réseau de lentreprise. Dans plus de 50 %de ces entreprises, nous avons également découvert que plusde quatre hôtes ont téléchargé des logiciels malveillants.Téléchargements de logiciels malveillants(% des entreprises)43 % Plus dune journée14%Jusquà2heures19%2à6heures12 % 6 à 12 heures12 % 12 à 24 heuresTOUTES LES 23 MINUTESUN HÔTE ACCÈDE À UNSITE WEB MALVEILLANTLe graphique suivant présente la fréquence moyenne detéléchargement de logiciels malveillants dans les entreprisesétudiées.Le graphique 2-G présente le nombre dhôtes qui atéléchargé des logiciels malveillants. Dans plus de 50 % desentreprises, au moins cinq hôtes ont téléchargé des logicielsmalveillants.Nos recherches montrent que la majorité des logicielsmalveillants proviennent des États-Unis, puis du Canada etdu Royaume-Uni, comme indiqué dans le graphique 2-F.La protection antivirus est une des méthodes de protectioncontre les infections de logiciels malveillants. Toutefois, nosrecherches montrent que 23 % des hôtes en entreprise nemettentpasleurantivirusàjourquotidiennement.UnhôteneGraphique 2-DGraphique 2-ESource :CheckPointSoftwareTechnologiesSource :CheckPointSoftwareTechnologiesrecommandé par
  • 12. 013PRINCIPALES SOURCES DE LOGICIELSMALVEILLANTS71 %États-Unis8 %Canada2 %Chine3 %Israël3 %Allemagne4 %Royaume-Uni2 %Slovaquie2 %Républiquetchèque2 %France3 %Turquiedisposant pas dun antivirus à jour est exposé aux virus. Nousavons également découvert que 14 % des hôtes en entreprisene disposent même pas dun antivirus. Les probabilitésdinfection par logiciels malveillants des hôtes qui ne sont paséquipés dun antivirus sont extrêmement élevées.Nous vous présentons « miniFlame », le petitfrère encore plus dangereux de FlameIl semble que le logiciel malveillant Flame découvert plustôt cette année nétait que le premier de sa série. Il existedésormais un programme similaire appelé « miniFlame »,capable de mener des attaques plus précises sur des ciblessituées au Moyen-Orient. miniFlame intègre une porteHôtes ayant téléchargé des logiciels malveillants(% des entreprises)45%1à4hôtes20%Plusde3312%17à32hôtes13%5à8hôtes10%9à16hôtesGraphique 2-FGraphique 2-GSource :CheckPointSoftwareTechnologiesSource :CheckPointSoftwareTechnologiesrecommandé par
  • 13. 014ATTAQUE EUROGRABBERPlus de 36 millions deuros dérobés sur plusde 30 000 comptes bancairesEn 2012, une attaque sophistiquée, multi-dimensionnelleet ciblée, a réussi à détourner plus de 36 millions deurosprovenant de plus de 30 000 comptes dusagers deplusieurs banques à travers toute lEurope. Les usagers desservices bancaires en ligne ne savaient absolument pas quilsétaient infectés par des chevaux de Troie, que leurs sessionsbancaires en ligne étaient compromises et que des fondsavaient été dérobés de leurs comptes. Une fois découverte,cette vague dattaques a été nommée « Eurograbber » parVersafe et Check Point Software Technologies. LattaqueEurograbber emploie une nouvelle variante très efficacedu cheval de Troie ZITMO (Zeus-In-The-Mobile). À cejour, les attaques nont été constatées que dans les pays dela zone euro, mais une variante pourrait très bien affecterdes banques de pays situés hors de lUnion EuropéenneLattaque en plusieurs étapes a infecté les ordinateurs etles appareils mobiles des usagers des services bancaires enligne, et une fois que le cheval de Troie Eurograbber a étéinstallé sur les deux, les sessions des usagers ont pu êtrecomplètement surveillées et manipulées par les agresseurs.Le mécanisme dauthentification à deux facteurs utilisépar les banques pour assurer la sécurité des transactionsbancaires en ligne a été contourné lors de lattaque, etmême utilisé par les agresseurs pour authentifier leurspropres transferts illicites. Le cheval de Troie utilisé pourattaquer les appareils mobiles a été développé à la fois pourBlackberry et Android afin de maximiser le nombre decibles. Il a ainsi pu infecter aussi bien des particuliers quedes entreprises usagers des services bancaires, et détournerdes sommes allant de 500 à 250 000 euros par compte. Desinformations complémentaires sur lattaque Eurograbber, ycompris le détail de ses étapes, sont disponibles dans létudede cas dEurograbber12sur le site web de Check Point.dérobée permettant le contrôle, le vol de données et lapossibilité de faire des captures décran, à distance.Plus de vulnérabilités donc plus dexploitationdes vulnérabilitésLes vulnérabilités bien connues sont des cibles cléspour les pirates qui tablent sur le simple fait que denombreuses entreprises ne mettent pas leurs logiciels à jourrégulièrement. Plus les entreprises sont grandes, plus il estdifficile pour les administrateurs de sécurité de maintenirtous les systèmes à jour. Ainsi, dans de nombreux cas,une ancienne vulnérabilité déjà corrigée peut-être encoreutilisée pour infiltrer les systèmes des petites et des grandesentreprises qui nont pas mis leur système à jour avec les tousderniers correctifs.Le nombre de vulnérabilités découvertes chaque année estimpressionnant, avec plus de 5 00013 nouvelles façons enNombre total de vulnérabilités courantes5 672 20125 235 20115 279 20105 132 2009Graphique 2-HSource :CVE(vulnérabilitéscourantes)recommandé par
  • 14. 01502 _ MENACES POUR VOTRE ENTREPRISE2012 pour les pirates de provoquer des dommages et accéderà des systèmes. Et de nombreuses vulnérabilités non encoredécouvertes sont activement utilisées par les cybercriminels.Le graphique 2 démontre que les produits les plus populairesdexploitation. Ne pas utiliser les tous derniers Service Packssignifie sexposer à des risques.De plus, nous avons découvert que des événements desécurité liés aux produits Microsoft se sont produits dans68 % des entreprises. Des événements de sécurité liés àdautres éditeurs tels quAdobe et Apple se sont produitsdans un nombre nettement moins élevé dentreprises. Il estintéressant de noter que bien quApple soit second en nombrede vulnérabilités, seul un faible pourcentage dentreprises ontNombre de vulnérabilités par éditeur59 HP62 PHP80 Google118 IBM119 Cisco119 Adobe150 Firefox222 Microsoft260 Apple384Oracleutilisés par quasiment toutes les entreprises dans le mondeentier sont également les plus vulnérables, avec Oracle, Appleet Microsoft en tête des éditeurs les plus vulnérables.Nos recherches montrent que 75 % des hôtes des entreprisesnutilisent pas les toutes dernières versions (par exemple :AcrobatReader,FlashPlayer,InternetExplorer,JavaRuntimeEnvironment, etc.). La conséquence étant que les hôtessont exposés à un grand nombre de vulnérabilités pouvantêtre exploitées par des pirates. Nos recherches montrentégalement que 44 % des hôtes des entreprises nutilisent pasles tous derniers Service Packs de Microsoft. Les ServicePacks incluent généralement des mises à jour pour le systèmeCHECK POINT - RAPPORT SÉCURITÉ 2013subi des événements de sécurité liés aux produits Apple.Les pirates utilisent de nombreuses techniques appeléesvecteurs dattaques. Le graphique 2-K liste certains de cesvecteurs dattaques en fonction du pourcentage dentreprisesqui les ont subies. Corruption de la mémoire, dépassement detampon, et déni de service sont les vecteurs dattaques les pluspopulaires découverts dans nos recherches.Graphique 2-iSource :CVE(vulnérabilitéscourantes)Événements de sécurité par éditeur% des entreprises3 % HP4 % Apple5 % Apache5 % Novell13 % Adobe15 % Oracle68%MicrosoftGraphique 2-jSource :CheckPointSoftwareTechnologiesrecommandé par
  • 15. CHECK POINT - RAPPORT SÉCURITÉ 201302 _ MENACES POUR VOTRE ENTREPRISE016À quoi ressemble une attaque dinjection SQL ?Chronique dune injection SQLCe qui suit est un véritable exemple dune série dattaquespar injection SQL qui se sont déroulées de juillet à octobre2012 dans un environnement client Check Point. Cesattaques ont été détectées et bloquées par une passerelleCheck Point. Cet exemple nous est rapporté par léquipe desservices managés Check Point ThreatCloud.Linjection SQL est une exploitation de vulnérabilité(CVE-2005-0537) par laquelle un agresseur ajoute ducode SQL au champ dun formulaire web pour obtenirlaccès à des ressources ou modifier les données stockées. Legraphique 2-M montre à quoi ressemble lattaque. Le textesurligné correspond aux données auxquelles le pirate a tentédaccéder via linjection SQL (des noms dutilisateurs et desmots de passe dans le cas présent). Les commandes SQLutilisées sont : select, concat et from.Lattaque a été menée depuis 99 adresses IP différentes. Bienque lentreprise ciblée soit située en Europe, les attaquesprovenaient de nombreux pays différents, tel quillustrédans le graphique 2-M.LinjectionSQLpeutêtreeffectuéemanuellement(unpirateàson clavier) où automatiquement (attaque par script). Dans lecas présent, tel que démontré dans le graphique 2-L, un pic de4 184 tentatives dattaques (très certainement automatisées)sest produit pendant deux jours, à laide du même code etprovenant de la même adresse IP source.Principaux vecteurs dattaqueDépassement de tampon 32 %Corruption mémoire 32 %Déni de service 32 %Exécution de code 24 %19 % Dépassementdepile15 % Usurpation denregistrement10 % Dépassement dentier8 % Fuite dinformation6 % Déréférencement de pointeur null5 % Escalade de privilèges2 % Dépassement de tampon1 % Contournement dauthentification22juil.5août19août2sept.16sept.30sept.14oct.28oct.2 5001 5005002 0001 000Taux dinjections SQLNombre dinjections SQLGraphique 2-lGraphique 2-kSource :CheckPointSoftwareTechnologiesrecommandé par
  • 16. 017 Un antibot pour détecter et empêcher les dommages causéspar les bots Un système de prévention dintrusions proactif Le filtrage des URL et le contrôle des applications pourempêcher laccès à des sites web hébergeant/propageantdes logiciels malveillants Des données sur les menaces en temps réel et collaborationmondiale Une surveillance intelligente permettant des analysesproactivesRecommandations de sécuritéPlusieurs couches de sécuritéLes menaces devenant de plus en plus sophistiquées, lesproblématiques de sécurité continuent de se complexifier.Pour maximiser la sécurité réseau de lentreprise, unmécanisme de protection multicouche est nécessaireafin doffrir une protection contre les différents vecteursdattaques : Un antivirus pour identifier et bloquer les logicielsmalveillantsINJECTIONS SQL PARPAYS DORIGINETOP 10http:// ______________/ns/index.php?action=com_clan&cid=185 and 1=2union select 1,2,3,4,5,6,concat(0x26,0x26,0x26,0x25,0x25,0x25,nom_utilisateur,0x3a mot_de_passe 0x25,0x25,0x25,0x26,0x26,0x26),8 from jos_users--37 Royaume-Uni369États-Unis42 Roumanie52 Ukraine53 Géorgie58 Espagne98Allemagne122Pays-Bas130Algérie198RussieGraphique 2-mSource :CheckPointSoftwareTechnologiesrecommandé par
  • 17. 018Blocage des fichiers malveillants entrantsLes entreprises doivent séquiper dune solution antimalwaresanalysant les fichiers entrant dans le réseau et capable dedécider en temps réel si les fichiers sont infectés par deslogiciels malveillants. Cette solution doit empêcher lesfichiers malveillants dinfecter le réseau interne et égalementempêcherlaccèsauxsiteswebinfestésdelogicielsmalveillantsqui tentent deffectuer des téléchargements automatiques.Protection antibot multicouchesLa protection contre les bots comporte deux phases :la détection et le blocage.Pour maximiser sa capacité à détecter un bot dans un réseau,un mécanisme de détection multicouche est nécessaire pourcouvrir tous les aspects du comportement des bots. Unesolution de détection de bot doit intégrer un mécanisme devérification de la réputation capable de détecter les adressesIP, URL et DNS utilisées par les agresseurs pour se connecteraux botnets. Il est également très important que cetteprotection inclut la possibilité de détecter les protocoles etles modèles de communication uniques à chaque famillede botnet. La détection des actions des bots est une autrefonction essentielle de la protection antibot. La solutiondoit être capable didentifier les activités des bots, telles quelenvoi de spam, le détournement de clics et lautodiffusion.La seconde phase faisant suite à la découverte des machinesinfectées est le blocage des communications sortantes desbots vers les serveurs de commande et de contrôle. Cettephase neutralise la menace et sassure que les bots ne peuventni communiquer dinformations confidentielles ni recevoirdinstructions pour dautres activités malveillantes. Lesdommages causés par les bots sont ainsi immédiatementneutralisés. Cette approche permet aux entreprises demaintenir la continuité de leur activité. Les utilisateurspeuvent travailler normalement, sans avoir conscience queles communications spécifiques des bots sont bloquéeset que lentreprise est protégée, sans aucun impact sur laproductivité.Le climat de turbulence politique qui a débuté en2010 par le soulèvement de nombreux pays arabes sestpoursuivi en 2012 par des manifestations publiques dansdautres pays. cest donc sans surprise que nous avonsconstaté une vague de cyberattaques reposant sur cesagendas idéologiques.Foxconn, un fournisseur dApple à Taiwan, a été piratépar le groupe Swagg Security. Ce groupe réagissaitapparemment aux annonces faites dans la presse desconditions de travail déplorables dans les entreprises duconstructeur électronique en Chine14.Le groupe dactivistes Anonymous a annoncé avoirpiraté un serveur du département de la justice américainehébergeantlesitedesstatistiquesdubureaudelajustice,eta publié 1,7 Go de données dérobées. Le groupe a publiélannonce suivante à propos des données volées : « Nouspublions ces données pour mettre fin à la corruption etvéritablement libérer ceux qui sont oppressés. »15.Le Vatican a également subit pendant une semaine desattaques du groupe Anonymous sur ses sites web et sesserveurs de messagerie internes. Le groupe a revendiquéson action en indiquant que les transmetteurs du systèmeradio du Vatican situés dans les campagnes aux alentoursde Rome posaient soi-disant un risque de santé. Le groupeprétendais que les émetteurs provoquaient « des leucémieset des cancers » chez les personnes habitant à proximité.Le groupe a également justifié son attaque en indiquantque le Vatican avait soi-disant aidé les nazis à détruire desouvrages de valeur historique, et que le clergé commettaitdes agressions sexuelles sur des enfants16.Lors dune autre cyberattaque, Anonymous a stoppé lefonctionnement des sites Internet des associations decommerce U.S. Telecom Association et TechAmerica.Ces attaques ont apparemment été mené en raison dusoutien de ces associations à la loi sécuritaire proposéepar le républicain Mike Rogers. Cette loi permettraità des sociétés privées et au gouvernement de partagerdirectement des informations « sur des vulnérabilités oudes menaces » pesant sur des réseaux dordinateurs17.2012, une année dhacktivismerecommandé par
  • 18. 019CHECK POINT - RAPPORT SÉCURITÉ 201302 _ MENACES POUR VOTRE ENTREPRISECollaboration mondiale en temps réelLe problème des cyberattaques est trop vaste pour quuneentreprise seule sy attaque. Les entreprises ont plus de chancede maîtriser ce défi croissant en collaborant et en bénéficiantdune assistance professionnelle. Lorsque les cybercriminelsutilisent des logiciels malveillants, bots et autres formesde menaces avancées, ils ciblent souvent plusieurs sites etentreprises pour augmenter les chances de réussite de leursattaques. Lorsque les entreprises combattent ces menacesséparément, de nombreuses attaques ne peuvent êtredétectées car les entreprises ne sont pas en mesure de partagerdinformations sur les menaces. Pour continuer de devancerles menaces, les entreprises doivent collaborer et partager desdonnées sur les menaces. La protection ne peut se renforcer etdevenir plus efficace que si elles joignent leurs efforts.Prévention dintrusionsLa prévention dintrusions est une couche de sécuritéobligatoire pour combattre les différents vecteurs descyberattaques. Une solution de prévention dintrusions estrequise pour inspecter le trafic en profondeur, et empêcherles tentatives dinfiltration et daccès aux ressources delentreprise.Unesolutionadéquateintègrelesfonctionnalitéssuivantes : Validation des protocoles et détection des anomalies,Identification et blocage du trafic non conformeavec les protocoles standards, et pouvant entraîner lemalfonctionnement des équipements ou des problèmes desécurité. Blocage des charges inconnues capables dexploiter unevulnérabilité spécifique. Blocage des communications excessives indiquant uneattaque de déni de service (DoS).Voir la section Paysage des menaces et mesuresUne visibilité claire sur les événements de sécurité et lestendances est un autre composant clé de la lutte contre lacybercriminalité. Les administrateurs de sécurité doiventêtre constamment et clairement en mesure de comprendrelétat de la sécurité du réseau pour contrer les menaces et lesattaques ciblant lentreprise. Cette compréhension requiertune solution de sécurité capable de fournir une visibilitéde haut niveau sur les protections, et mettre en évidenceles informations critiques et les attaques potentielles. Lasolution doit également être en mesure danalyser deséléments spécifiques en profondeur. La possibilité de prendreimmédiatement des mesures à partir de ces informationsest essentielle pour empêcher les attaques en temps réel etbloquer proactivement les menaces futures. La solution desécurité doit intégrer un mécanisme dadministration intuitifet souple pour simplifier lanalyse des menaces et réduire lecoût dadaptation.Mises à jour de sécurité et assistanceEn raison des menaces en constante évolution, les défensesdoivent évoluer pour continuer de les devancer. Lesproduits de sécurité ne peuvent traiter efficacement les tousderniers logiciels malveillants et vulnérabilités que si leurséditeurs sont en mesure deffectuer des recherches et fournirdes mises à jour fréquentes.Un excellent service de sécurité repose sur : La recherche interne de léditeur et sa capacité à collecterdes informations depuis différentes sources Des mises à jour de sécurité fréquentes pour toutes lestechnologies appropriées, dont la prévention dintrusions,lantivirus et lantibot Une assistance pratique et facile daccès capable derépondre aux questions et traiter les problèmes spécifiquesà lenvironnement de ses clientsrecommandé par
  • 19. CHECK POINT - RAPPORT SÉCURITÉ 2013Les règles du jeu ont changé.Les règles du jeu ont changé. Les applications Internetétaient autrefois considérées comme un passe-temps, unmoyen de voir les photos de voyage de ses amis et regarderdes films drôles. Les applications du web 2.0 sont devenuesdes outils essentiels pour les entreprises modernes. Nouscommuniquons avec des collègues, clients et partenaires,nous partageons des informations, et nous nous tenonsinformé de lactualité et des opinions dautres internautes.Des outils Internet tels que Facebook, Twitter, Webex,LinkedIn et Youtube pour nen citer que quelques-uns, sontde plus en plus répandus dans les entreprises qui les utilisentcomme des facilitateurs.Dans cette section de notre étude, nous détaillons les risquesintroduitsparlesapplicationsduweb2.0etleurinfrastructure,puis nous nous concentrons sur les applications spécifiquesutilisées par les entreprises de notre étude. Les résultats sontillustrés à laide de véritables exemples dincidents.Les applications web ne sont pas des jeuxLévolution de la technologie entraîne la complexification desproblématiques de sécurité. Les outils Internet introduisentégalement de nouveaux risques de sécurité. De nombreusesapplications Internet légitimes sont utilisées comme outildattaque contre les entreprises ou entraînent des failles desécurité dans les réseaux. Des applications danonymat, destockageetdepartagedefichiers,departagedefichiersenP2P,d‘administration à distance et les réseaux sociaux, sont utiliséspar des agresseurs pour exploiter les failles des entreprises.Il existe une multitude de plates-formes et dapplicationspouvant être utilisées à des fins personnelles ouprofessionnelles. Chaque entreprise doit être consciente de ceque font ses employés, et à quelles fins, puis définir sa proprepolitique dutilisation dInternet.Ilestànoterque91%desentreprisesutilisentdesapplicationscapables de potentiellement contourner la sécurité, masquerles identités, provoquer des fuites de données et mêmeintroduire des infections à leur insu.03 APPLICATIONS UTILISÉES DANSLESPACE DE TRAVAIL DE LENTREPRISEEn juin 2012, la FTC (agence américaine de régulationdes échanges commerciaux) a allégué que deux entreprisesavaient publié des informations confidentielles sur desréseaux de partage de fichiers en P2P, mettant en dangerdes milliers de consommateurs. La FTC a indiqué que lunedes entreprises, EPN, Inc., une agence de recouvrement decréances, avait rendu des données confidentielles, y comprisles numéros de sécurité sociale, les numéros dassurés sociauxet les diagnostics médicaux de 3 800 patients, disponiblesà tout ordinateur connecté au réseau de P2P. La FTC aindiqué que lautre entreprise, Franklin‘s Budget Car Sales,Inc.,unconcessionnaireautomobile,avaitexposélesdonnéesde95 000 consommateurssurunréseaudeP2P.Lesdonnéescomprenaientlesnoms,adresses,numérosdesécuritésociale,dates de naissance et numéros de permis de conduire18.En 2010, la FTC a signalé à une centaine dentreprises quedes informations personnelles, comprenant des donnéesconfidentielles sur des consommateurs et/ou des employés,avaient été partagées sur leurs réseaux et étaient disponiblessur les réseaux de partage de fichiers en P2P. Nimporte quelutilisateurdecesréseauxpouvaitutiliserlesdonnéesàdesfinsdusurpation didentité ou de fraude19.DONNÉES CONFIDENTIELLES PARTAGÉES PAR DESAPPLICATIONS DE PARTAGE DE FICHIERS EN P2Precommandé par
  • 20. 03 _ APPLICATIONS UTILISÉES DANS LESPACE DE TRAVAIL DE LENTREPRISE021Les applications de P2P ouvrent des portesdérobées dans votre réseauLes applications de P2P (pair à pair) sont utilisées pourpartager des fichiers entre utilisateurs. La technologie P2Pest de plus en plus prisée par les agresseurs pour propagerdes programmes malveillants parmi les fichiers partagés. Lesapplications de P2P sont essentiellement des portes dérobéespour accéder à votre réseau. Elle permettent aux utilisateursde partager des dossiers et provoquer déventuelles fuites dedonnées confidentielles, et peuvent rendre les entreprisesresponsables dacquisitions illégales par leurs employés via lesréseaux P2P. Nous avons constaté un fort taux dutilisationdes applications de P2P. Elles sont utilisées dans plus de lamoitié des entreprises (61 %). Les clients BitTorrent sont lesoutils de partage de fichiers en P2P les plus utilisés.Dun point de vue régional, le graphique suivant montrequen Asie-Pacifique, les applications de partage de fichiersen P2P sont plus populaires que dans dautres régions.021DES ENTREPRISES, UNE APPLICATION DEPARTAGE DE FICHIERS EN P2P EST UTILISÉE61%DANS0Principales applications de partagede fichiers en P2P(% des entreprises)Des informations supplémentaires sur les principales applications de P2Psont disponibles dans lAnnexe B.20 % eMule19 % SoulSeek7 % Windows Live Mesh6 % BoxCloud10 % Sopcast11 % Gnutella40%BitTorrent7 % iMeshGraphique 3-AUtilisation d‘applications de partagede fichiers en P2P par région(% des entreprises)72%APAC62%Amériques55%EMEAGraphique 3-BSource :CheckPointSoftwareTechnologiesSource :CheckPointSoftwareTechnologiesLes applications danonymat contournent lesrègles de sécurité des entreprisesUnanonymiseur(ouproxyanonyme)estunoutilpermettantde masquer toute trace des activités des utilisateurs surInternet. Une telle application utilise un serveur de proxy quiagitentantquefiltreentrelesordinateursdesclientsetlerestedInternet. Elle accède à Internet à la place des utilisateurs, enmasquant les informations personnelles de leur ordinateuret la destination à laquelle ils accèdent. Les applicationsrecommandé par
  • 21. CHECK POINT - RAPPORT SÉCURITÉ 201303 _ APPLICATIONS UTILISÉES DANS LESPACE DE TRAVAIL DE LENTREPRISE022Utilisation des applicationsdanonymat par région(% des entreprises)49%Amériques40%EMEA35%APACServeurwebProxyUltrasurfClientUltrasurfUltrasurfse connecte à unde ses serveursde proxyInternetdanonymat peuvent être utilisées pour contourner les règlesde sécurité qui sont essentiellement construites autour desidentités des utilisateurs et des sites/URL de destination. Enutilisant des anonymiseurs, les utilisateurs se matérialisentà partir dune adresse IP différente et accèdent à unedestination différente. Les règles de sécurité ne peuvent êtreappliquées sur ces nouvelles adresses IP/destinations. Danscertains cas, les anonymiseurs peuvent être également utiliséspour dissimuler des activités criminelles.Dans 43 % des entreprises de notre étude, au moins uneapplicationdanonymatestutilisée.Dans86%desentreprisesutilisant ce type dapplication, lutilisation nest pas légitimeet contradictoire à la politique de sécurité.Lorsque nous regardons lutilisation des applicationsdanonymat par région, nous pouvons voir quelles sont pluspopulaires dans les Amériques et moins en Asie-Pacifique. Comment fonctionne lanonymiseur Ultrasurf ?Ultrasurf est un anonymiseur extrêmement sophistiquéfonctionnant sous forme de proxy client et créant un tunnelHTTP chiffré entre lordinateur des utilisateurs et un poolcentral de serveurs de proxy, pour permettre aux utilisateursde contourner les pare-feux et la censure. Le mécanismede découverte des serveurs de proxy dUltrasurf est trèsrésistant, et intègre un cache des adresses IP des serveurs, desrequêtes DNS qui renvoient les adresses IP des serveurs deproxy chiffrées, des documents chiffrés dans Google Docs,et une liste programmée en dur dans l‘outil des adresses IPdes serveurs de proxy. Ces techniques rendent sa détectionencore plus difficile.Graphique 3-DSource :CheckPointSoftwareTechnologies13 % CGI-Proxy8 % Ultrasurf7 % Hopster7 % Hide My Ass6 % HamachiApplications danonymat les plus populaires(% des entreprises)Des informations supplémentaires sur les principales applications danonymatsont disponibles dans lAnnexe B.Graphique 3-C23%TorSource :CheckPointSoftwareTechnologiesrecommandé par
  • 22. 023Outils dadministration à distance utilisés pourdes attaques malveillantesLes outils dadministration à distance sont généralement desoutils légitimes lorsquils sont utilisés par des administrateurs etdesservicesdassistance.Toutefois,plusieursattaquesmenéescesdernières années ont fait appel à de tels outils pour contrôler àdistance des machines infectées, infiltrer des réseaux, enregistrerdesfrappesauclavieretdéroberdesinformationsconfidentielles.Étant donné que ces outils sont habituellement utilisés enentreprise, ils ne devraient pas être bloqués systématiquement.Cependant,leurutilisationdoitêtresurveilléeetcontrôléepourempêcher toute utilisation malintentionnée.81 % des entreprises de notre étude utilisent au moins uneapplication dadministration à distance ; Microsoft RDP étantla plus populaire.Des recherches récentes ont identifié un botnet contrôlépar des agresseurs dans un serveur IRC fonctionnant sousforme de service caché dans le réseau Tor. Les connexionsentre les utilisateurs et les nœuds Tor étant chiffrées surplusieurs niveaux, il est extrêmement difficile pour lessystèmes de surveillance fonctionnant au niveau du réseaulocal ou du FAI de déterminer la véritable destinationdes utilisateurs20. Le principal objectif du réseau Tor estde rendre la navigation sur Internet anonyme. Bien quilsoit très populaire, son utilisation en entreprise poseplusieurs problèmes de sécurité. Tor peut également êtrefacilement utilisé pour contourner les règles de sécuritéde lentreprise puisquil est spécifiquement conçu pourrendre ses utilisateurs anonymes. Lors de lutilisation deTor pour accéder à des ressources sur Internet, les requêtesenvoyées depuis un ordinateur sont redirigées de manièrealéatoire au travers dune série de nœuds mis à dispositionvolontairement par dautres utilisateurs de Tor.DANS 43%DES ENTREPRISES,DES ANONYMISEURS SONT UTILISÉS81 % DES ENTREPRISES UTILISENTDES OUTILS DADMINISTRATIONÀ DISTANCEPrincipales applications dadministrationà distance(% des entreprises)17 % VNC4 % Bomgar3 % GbridgeDes informations supplémentaires sur les principales applications dadministrationà distance sont disponibles dans lAnnexe B.Graphique 3-F52%TeamViewer43%LogMeIn58%MS-RDPSource :CheckPointSoftwareTechnologiesLANONYMISEUR TOR COMPROMET LA SÉCURITÉrecommandé par
  • 23. 03 _ APPLICATIONS UTILISÉES DANS LESPACE DE TRAVAIL DE LENTREPRISE0240Partager ne signifie pas toujours se soucierLexpression « partager cest se soucier » signifiegénéralement que lorsque quelquun partage avec dautrescela signifie quelle se soucie des autres. Mais ce nest pastoujours le cas lorsque lon partage des fichiers en entreprise àPrincipales applications de stockage etde partage de fichiers(% des entreprises)Des informations supplémentaires sur les principales applications de stockageet de partage de fichiers sont disponibles dans lAnnexe B.Source :CheckPointSoftwareTechnologies51%WindowsLiveOffice9 % Microsoft SkyDrive22 % YouSendIt13 % Sugarsync10 % PutLocker69%DropboxGraphique 3-GDe juillet à septembre 2011 sest déroulée une campagnedattaques nommée « Nitro ». Des agresseurs ont utiliséunoutildaccèsàdistanceappeléPoisonIvypourdénicherdes secrets dans près dune cinquantaine dentreprises,la plupart dans les secteurs de la chimie et de la défense.Poison Ivy a été introduit dans les PC sous Windowsde victimes dune escroquerie envoyée par email. Lesemails contenaient des demandes de réunion de la partde partenaires commerciaux de bonne réputation, oudans certains cas, des mises à jour de logiciels antivirus oudAdobe Flash Player. Lorsque les utilisateurs ouvraientles pièces jointes, Poison Ivy sinstallait sur leur ordinateurà leur insu. Les agresseurs pouvaient alors envoyer desinstructions aux ordinateurs compromis pour obtenirdes mots de passe daccès à des serveurs hébergeant desdonnées confidentielles, et envoyer les informationsdérobées à des systèmes contrôlés par les pirates. 29 des48 entreprises attaquées faisaient partie du secteur de lacommercialisationdeproduitschimiquesetavancés,dontcertaines avec des connexions à des véhicules militaires,tandis que les 19 autres provenaient de différentssecteurs, y compris la défense21. Nitro nest pas le seulexemple dutilisation malintentionnée des outils daccès àdistance ; RSA breach, ShadyRAT et lopération Auroraen sont dautres. Poison Ivy était cependant utilisé danstous les cas.PIRATÉ PAR DES OUTILS DACCÈS À DISTANCElaide dapplications de stockage et de partage de fichiers.Une des plus grandes caractéristiques du web 2.0 est lapossibilité de générer du contenu et le partager avec dautres,mais cela présente également un risque. Des informationsconfidentielles peuvent tomber dans de mauvaises mainslorsque des fichiers confidentiels sont partagés. Notre étudeporte également sur les applications de stockage et de partagede fichiers pouvant provoquer des fuites de données ou desinfections de logiciels malveillants à linsu des utilisateurs.Notre étude montre que 80 % des entreprises utilisent aumoins une application de stockage ou de partage de fichiersdans leur réseau. Lutilisation de Dropbox compte pour 69 %des événements de sécurité, Windows Live Office arrivant enseconde place avec 51 %.Utilisation des applications à haut risque parsecteur dactivitéCheck Point a analysé lutilisation des applications à hautrisque dun point de vue sectoriel. Le graphique 3-E montreque les entreprises industrielles et les administrationspubliques sont les plus importantes utilisatricesdapplications à haut risque. Lutilisation de certaines de cesapplications peut être légitime en entreprise, par exemple80 % DES ENTREPRISES UTILISENT DESAPPLICATIONS DE STOCKAGEET DE PARTAGE DE FICHIERSrecommandé par
  • 24. CHECK POINT - RAPPORT SÉCURITÉ 201303 _ APPLICATIONS UTILISÉES DANS LESPACE DE TRAVAIL DE LENTREPRISE025AdministrationàdistanceStockageetpartagedefichiersPartagedefichiersenP2PAnonymiseur81%82%82%82%76 %71 %81%71 %62 %63 %59 %55%48%44%44%42%84%70 %38%29%< Pertinence avec lactivité delentreprise0POURCENTAGE DESENTREPRISES UTILISANTDES APPLICATIONS ÀHAUT RISQUE PARSECTEUR DACTIVITÉAdministration publiqueIndustrieFinanceTélécommunicationConseil(% des entreprises)Graphique 3-ESource :CheckPointSoftwareTechnologiesrecommandé par
  • 25. 0260Source :CheckPointSoftwareTechnologiesDEUX INCIDENTS MAJEURS SURDROPBOX EN DEUX ANS13 % Twitter12 % LinkedIn59%FacebookUtilisation de la bande passante par lesréseaux sociauxUtilisation moyenne calculée dans les applicationsde réseaux sociauxGraphique 3-Hlutilisation doutils dadministration à distance pour desservices dassistance. La barre horizontale de ce graphiqueindique en conséquence le niveau dutilisation légitime dansun environnement professionnel.Message légitime sur Facebook ou virus ?Avec la popularité croissante des réseaux sociaux, lesentreprises font face à de nouvelles problématiques. Posterdes informations confidentielles par inadvertance peutnuire à la réputation de lentreprise, et entraîner la perte delavantage concurrentiel ou des pertes financières. Les piratestirent également parti de techniques de piratage associées àlingénierie sociale pour diriger lactivité des botnets. Lesvidéos et les liens intégrés aux pages des réseaux sociaux sonten train de devenir des moyens populaires pour les piratesdintégrer des logiciels malveillants. En plus des risques desécurité, les applications de réseaux sociaux étouffent la bandepassante. Facebook est sans aucun doute le réseau social leplus utilisé. Twitter et LinkedIn sont dautres réseaux sociauxvisités durant les heures de travail (mais nettement moins queFacebook).Un lien Facebook menant à un site malveillant :En juillet 2012, une attaque a été menée contre desutilisateurs de Dropbox. Des noms dutilisateurs et motsde passe Dropbox publiés sur un site web ont été testés surdes comptes Dropbox. Les pirates ont utilisé un mot depasse dérobé pour se connecter au compte dun employéde Dropbox contenant un document avec les adressesemail des utilisateurs. Des spammeurs ont utilisé cesadresses email pour envoyer du spam22.Cet incident illustre une tactique fréquemment utiliséepar les pirates. Les pirates dérobent souvent des nomsdutilisateurs et mots de passe de sites qui semblent àpremière vue ne pas contenir dinformations personnellesou financières de valeur. Ils testent ensuite ces identifiantssur les sites web de différentes institutions financières,puis sur des comptes Dropbox pouvant potentiellementcontenir des informations plus lucratives.En 2011, un bug dune mise à jour de Dropbox a permisà quiconque de se connecter à nimporte quel compteDropbox, lorsque ladresse email du détenteur ducompte était connue. Ce bug a exposé les informationset documents partagés des utilisateurs. Le problème aété corrigé en quelques heures, mais il a servi de mise engarde aussi bien aux utilisateurs quaux entreprises dont lesemployés utilisent des services de stockage et de partagede fichiers tels que Dropbox et Google Docs pour stockerdes informations dentreprise confidentielles23.recommandé par
  • 26. CHECK POINT - RAPPORT SÉCURITÉ 201303 _ APPLICATIONS UTILISÉES DANS LESPACE DE TRAVAIL DE LENTREPRISE027que Gmail, Facebook, etc., mais pire encore, ils peuvent lesutiliser pour accéder à des comptes bancaires ou encore desservices pour entreprises telles que SalesForce et autres.Recommandations pour sécuriserlutilisation des applications web dansvotre réseauCommentdévelopperuneprotectionweb2.0efficace?La première étape pour sécuriser lutilisation des applicationsweb en entreprise consiste à utiliser une solution desécurité capable de contrôler et dappliquer des règles desécurité à tous les aspects de lutilisation du web. Unevisibilité complète sur toutes les applications utilisées danslenvironnement est requise, avec la possibilité de contrôlerleur utilisation. Ce niveau de contrôle doit être maintenu surles applications client (telles que Skype) et également sur lesaspects les plus traditionnels du web via URL : les sites web.Comme de nombreux sites (tels que Facebook) permettentà de nombreuses applications dutiliser leur URL, il estessentiel de disposer dune granularité au-delà des URL ; parexemple pour le chat Facebook et des applications de jeux.Les entreprises sont alors en mesure de facilement bloquer lesapplications mettant leur sécurité en danger.Autorisation des réseaux sociaux pour lactivité delentrepriseDes entreprises choisissent de bloquer Facebook danscertains cas, mais celui-ci est un outil de travail indispensablepour de nombreuses entreprises. Les entreprises publientsouvent des informations sur leurs prochains webinaires etévénements, des informations sur les produits et les toutesdernières nouveautés, des liens vers des articles intéressantset des vidéos.Comment pouvons-nous permettre lutilisation des réseauxsociaux dans lentreprise sans compromettre la sécurité ?En contrôlant les fonctionnalités et les widgets de cesapplications et plates-formes. En autorisant lutilisation deFacebook tout en bloquant ses fonctionnalités moins utiles àlentreprise, il est possible de rendre ce réseau social utile touten minimisant ses risques de sécurité.Étude de cas des attaques dingénierie socialeDe récentes attaques démontrent que les pirates migrentdes emails traditionnels aux réseaux sociaux comme canalde diffusion. Le cas suivant est tiré dune véritable attaquequi sest produite en août 2012. Des pirates ont utilisé destechniques dingénierie sociale Twitter et Facebook pourdiffuser des contenus malveillants. À laide dun compteTwitter compromis, les pirates ont envoyé directement desmessages à toutes les personnes suivant le compte piraté. Lemessage indiquait : « que faisiez-vous dans ce film (URLFacebook]... cest choquant ».LURL pointait sur une application Facebook nécessitantdes « identifiants Twitter ». Lécran didentification était unserveur web appartenant aux pirates et utilisé pour collecterles identifiants Twitter des destinataires.À laide des identifiants Twitter, les pirates ont pu répéterle même processus avec les nouveaux comptes piratés pourobtenir encore plus de mots de passe. Les pirates peuventutiliser ces identifiants dérobés avec dautres services tels0recommandé par
  • 27. CHECK POINT - RAPPORT SÉCURITÉ 201303 _ APPLICATIONS UTILISÉES DANS LESPACE DE TRAVAIL DE LENTREPRISE028Différents utilisateurs ont différents besoinsLes différents utilisateurs de lentreprise ont des besoinsdifférents, et la politique de sécurité doit maximiser lepotentiel des activités, et non les freiner. Par exemple, leservice commercial peut utiliser Facebook pour rester encontact avec ses clients et partenaires, alors que le serviceinformatique peut lutiliser pour se tenir informé des toutesdernières actualités. Comment pouvons-nous alors assurerque les utilisateurs bénéficient de laccès dont ils ont besoin ?Est-il pratique de demander au responsable de la sécurité desavoir ce à quoi chaque utilisateur ou groupe devrait ou nedevrait pas avoir accès ?Une solution pratique doit pouvoir identifier les utilisateurs,les groupes et les postes de manière granulaire afin dedistinguer facilement les employés des autres (invités et sous-traitants).Un autre aspect important est la possibilité dengager etsensibiliser les utilisateurs en temps réel lorsquils utilisentdes applications. Lorsquun utilisateur se rend sur un siteweb douteux ou lance une application douteuse, un messageapparaît lui demandant de justifier de son utilisation pourpouvoir y accéder. Sa réponse est journalisée et supervisée.Le message peut également linformer sur la politiquedutilisation professionnelle dInternet, et lui signifier queson utilisation de telles applications est surveillée.La « compréhension » est un composant essentiel ducontrôle du webLes administrateurs doivent avoir une vue densemble desévénements de sécurité Internet pour assurer le contrôledu web. Une solution de sécurité fournissant une visibilitéclaire et étendue sur tous les événements de sécurité liés auweb est nécessaire. La solution doit fournir une visibilité etdes fonctions de supervision telles quune vue densemblegraphique, une chronologie des événements, et une liste desévénements pouvant être ordonnés, regroupés et triés parutilisateur,application,catégorie,niveauderisque,utilisationdelabandepassante,dutemps,etc.Ilestimportantdepouvoirégalement générer des rapports pour mettre en évidence lesprincipales catégories, applications, sites et utilisateurs, afinde connaître les tendances et planifier les capacités.RésuméLes règles du jeu ont changé. Sécuriser le web 2.0 ne revientplus simplement à bloquer une URL inappropriée. Il ne sagitplus de seulement empêcher une application de sexécuter.Sécuriser le web 2.0 requiert une approche intégrée deprotection multicouche avec filtrage des URL, contrôledes applications, protection antimalwares et antibots, ainsique lidentification des utilisateurs, la sensibilisation desutilisateurs, et des outils sophistiqués de supervision etdanalysedesévénementspourpermettreauxadministrateursde conserver le contrôle de toutes les situations.0LA SÉCURISATION DU WEB 2.0REQUIERT UNE APPROCHE INTÉGRÉEDU FILTRAGE DES URL, DE CONTRÔLEDES APPLICATIONS, DIDENTIFICATIONDES UTILISATEURS, DE SENSIBILISATIONDES UTILISATEURS ET DUNE MANIÈREDAUGMENTER LA VISIBILITÉ SURLE CONTRÔLE DU WEB POUR LESADMINISTRATEURS.recommandé par
  • 28. recommandé par
  • 29. CHECK POINT - RAPPORT SÉCURITÉ 201304 FUITES DE DONNÉES DANSVOTRE RÉSEAULes données des entreprises : leur bien le plusprécieuxLes données des entreprises sont de plus en plus accessibleset transmissibles que jamais auparavant, et la majorité desdonnées sont confidentielles. Certaines sont confidentiellescar elles contiennent tout simplement des données internesà lentreprise qui ne sont pas destinées à être communiquéespubliquement. Dautres sont également confidentielles pourdesraisonsdeconformitéaveclapolitiquedelentreprise,etdeslégislations nationales et internationales. Dans de nombreuxcas, la valeur des données dépend de leur confidentialité.Cest le cas notamment de la propriété intellectuelle et desinformations sur les concurrents de lentreprise.Pour complexifier encore plus les choses, au-delà de la gravitédes fuites de données, nous disposons maintenant doutils etdepratiquesquifacilitentencoreplusleserreursirréversibles :serveurs dans le cloud, Google docs, et tout simplementle non respect des procédures de lentreprise, lorsque desemployés emportent par exemple leur travail à domicile. Enfait, la plupart des cas de fuites de données se produisant sontdes fuites involontaires.Les fuites de données peuvent arriver à tout lemondeDesfuitesdedonnéespeuventêtreprovoquéesnonseulementpar des cybercriminels, mais également involontairement pardes employés. Un document confidentiel peut être envoyépar erreur à la mauvaise personne, partagé sur un site public,ou envoyé sur un compte de messagerie personnelle nonautorisé. Nimporte lequel de ces scénarios peut se arriver àchacun dentre nous, avec des conséquences désastreuses. Lesfuites de données confidentielles portent préjudice à limagede lentreprise, entraînent des non-conformités et même delourdes amendes.Notre étudeLorsque des entreprises doivent préciser les données qui nedevraient pas sortir de lentreprise, de nombreuses variablesdoivent être prises en compte. De quel type de données sagit-il ? Qui en est le propriétaire ? Qui en est lexpéditeur ? Quiest le destinataire prévu ? Quand sont-elles envoyées ? Quelest le coût de linterruption des processus métiers lorsque lapolitique de sécurité est plus stricte que nécessaire ?des entreprises de notre étude ontsubi au moins un incident potentielde fuite de données54%recommandé par
  • 30. 031Nous avons analysé dans notre étude le trafic transitant delintérieurverslextérieurdesentreprises.Nousavonsexaminéle trafic HTTP et SMTP. Par exemple, dans le cas demailsenvoyés à un destinataire externe, des appareils Check Pointontinspectélecorpsdumessage,lesdestinatairesetlespiècesjointes(mêmecompressées).Nousavonségalementinspectéles activités web, telles que la publication de messages et leswebmails. Comme règles de sécurité sur ces appareils, nousavons choisi les types de données prédéfinis par défautpour détecter les données confidentielles, les formulaires etles modèles (tels que numéros de cartes de paiement, codesource, données financières et autres) pouvant constituerdes fuites de données potentielles si elles tombaient dans demauvaises mains. Une liste détaillée des types de données estdisponible dans lAnnexe D.Fuites de données potentielles dans votreentrepriseNos recherches ont montré que dans 54 % des entreprises,au moins un événement de sécurité relevant potentiellementVoici quelques exemples de fuites de données provoquéesinvolontairement par des employés en 2012 :En october 2012, le conseil municipal de Stoke-on-Trent au Royaume-Uni a été condamné à verser uneamende de 120 000 livres après la découverte de lenvoidinformations confidentielles à la mauvaise adresse par unmembre de son service juridique. Onze emails destinés à unavocat travaillant sur un dossier ont été envoyés à une autreadresse email suite à une faute de frappe.Le journal japonais Yomiuri Shimbun a licencié un desesjournalistesenoctobre2012pouravoiraccidentellementenvoyé les informations confidentielles dune enquêteaux mauvais destinataire. Le journaliste avait lintentiondenvoyer les résultats de ses recherches à des collègues paremail, mais a envoyé les messages à plusieurs bureaux depresse à la place, dévoilant ainsi lidentité de ses sources24.En avril 2012, lInstitut militaire de Virginie àLexington aux États-Unis a involontairement envoyé lesnotes des étudiants sous forme de pièce jointe. Un email aété envoyé au président de classe contenant une feuille decalcul révélant les notes de chaque senior. Ignorant de laprésence de la pièce jointe, le président a ensuite transmis lemessage à 258 étudiants. Lintention initiale était denvoyerunemailavecunefeuilledecalculnecontenantquelesnomset adresses postales des étudiants afin quils confirment leurscoordonnées25.LUniversité A&M du Texas a envoyé par accidentun email avec une pièce jointe contenant les numéros desécuritésociale,nomsetadressesde4 000 anciensétudiants,qui ont ensuite informé luniversité de son erreur. Laccidentsest produit en avril 201226.Oups... Jai envoyé lemailà la mauvaise adresse61 % Finance50 % Industrie45 % Télécommunication33 % Conseil54 % Autres70 % Admin. pub.Pourcentage dentreprises avec au moins unévénement de fuite de données potentiellepar secteur dactivité(% des entreprises)Graphique 4-AׁSource :CheckPointSoftwareTechnologiesrecommandé par
  • 31. CHECK POINT - RAPPORT SÉCURITÉ 201304 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU032dune fuite de données se produit en moyenne tous les6 jours. Nous avons pris en compte des événements liés àdes informations internes (voir la liste des types de donnéesdans lAnnexe D) envoyées à des ressources externes, soit parlenvoi dun email à un destinataire externe ou la publicationdun message en ligne.Nos recherches montrent que les administrations publiqueset les entreprises du secteur financier sont les plus exposéesaux risques de fuites de données (voir graphique 4-A).Emails internes envoyés à lextérieur delentrepriseDans de nombreux cas, des fuites de données se produisentinvolontairement lorsque des employés envoient desemails aux mauvais destinataires. Nous avons analysé deuxtypes demail pouvant relever de tels cas. Le premier typecomprend des emails envoyés à des destinataires internesvisibles (champs À et CC) et des destinataires externes dansle champ BCC. Dans la plupart des cas, ces emails semblentinternes mais sortent effectivement de lentreprise. Le secondtype comprend des emails envoyés à plusieurs destinatairesinternes et un seul destinataire externe. De tels emailssont généralement envoyés involontairement au mauvaisdestinataire externe. Des événements de ces deux types sesont produits dans 28 % des entreprises étudiées.Quels sont les types de données envoyés parles employés à des destinataires externes oupubliés en ligne ?Le graphique 4-C montre les principaux types de donnéesenvoyéesàdestiersàlextérieurdelentreprise.Lesinformationssur les cartes de paiement sont en tête de liste, suivis des codessource et des fichiers protégés par mot de passe.Votre entreprise est-elle conforme à PCI ?Les employés envoient leur propre numéro de carte depaiement et ceux de leurs clients sur Internet. Ils envoientdes reçus de paiement des clients contenant leur numéro decarte de paiement sous forme de pièces jointes. Ils répondentaux emails des clients contenant initialement leur numérode carte de paiement dans le corps du message. Ils envoientmême quelquefois des feuilles de calcul contenant desdonnés client à des comptes de messagerie personnels ou despartenaires commerciaux. Les incidents liés aux numéros decartes de paiement sont souvent le résultat dun processusmétier défaillant ou dune inattention. Ces incidents peuventégalement indiquer que la politique de sécurité de lentreprisene répond pas aux objectifs de sensibilisation à la sécurité etdutilisation prudente des ressources de lentreprise.De plus, lenvoi de numéros de cartes de paiement surInternet nest pas conforme à la norme PCI DSS stipulantque les données des titulaires de cartes de paiement doiventêtre chiffrées lors des transmissions sur des réseaux publicsouverts. La non conformité à la norme PCI DSS peut nuireà la réputation de lentreprise, et entraîner des poursuiteset des dédommagements, des annulations de contrats, desproblèmes de cartes de paiement et des amendes.36 % Finance26 % Industrie18 % Télécommunication11 % Conseil26 % Autre47 % Admin. pub.Pourcentage dentreprises par secteurdans lesquelles des informations de cartes depaiement ont été envoyées à des ressourcesexternes(% des entreprises)Dans 28 % des entreprises, unemail interne a été envoyéà un destinataire externeGraphique 4-BSource :CheckPointSoftwareTechnologiesrecommandé par
  • 32. DONNÉES ENVOYÉES ÀLEXTÉRIEUR DE LENTREPRISEPAR DES EMPLOYÉSSource :CheckPointSoftwareTechnologiesGraphique 4-C29%Informationsdecartesdepaiment13%Informationsderémunération14 %Fichier protégé par mot de passe24 %Code source7 %Email désigné comme étant confidentiel21%Autre6%Dossiersdentreprise3%Numérosdecomptes(% des entreprises)des entreprises du secteur financier ontenvoyé des informations de cartes depaiement à lextérieur de lentreprise36%recommandé par
  • 33. CHECK POINT - RAPPORT SÉCURITÉ 201304 _ FUITES DE DONNÉES DANS VOTRE RÉSEAUNous avons inspecté le trafic sortant des entreprises et analyséle contenu de tous les messages, y compris les pièces jointes etles archives, à la recherche de numéros de cartes de paiementou de données sur leurs titulaires. Les analyses utilisent desexpressions régulières, la validation des sommes de contrôle,et les règles de conformité aux normes PCI DSS.Dans 29 % des entreprises, au moins un événement a étédécouvert, indiquant que des informations liées à PCI ontété envoyées à lextérieur de lentreprise. Dans 36 % desentreprises du secteur financier, qui sont généralementobligées dêtre conformes aux normes PCI, au moins unévénement sest produit.HIPAALes règles de confidentialité HIPAA aux États-Unis ontpour objectif de protéger les informations de santé etdonner aux patients un certain nombre de droits quant à cesinformations. Elles permettent cependant de communiquerdes informations de santé lorsque cela est requis pour letraitement des patients ou autre nécessité.27Elles permettent aux organismes de santé dutiliser lamessagerie électronique pour discuter des problèmes desanté avec leurs patients, à condition de mettre en place desgarde-fous raisonnables. Le chiffrement nest pas obligatoire,cependant, un niveau de confidentialité raisonnable doit êtregaranti.Commentlaisserlecanaldecommunicationouvertaveclespatientsetlespartenairestoutenprotégeantlaconfidentialitéet en maintenant la conformité avec HIPAA ?Nous avons surveillé le trafic sortant des entreprises touten analysant les emails et les pièces jointes, à la recherched‘informations privées sur les patients, par identification desdonnées personnelles (telles que des numéros de sécuritésociale) et des termes médicaux.Dans 16 % des entreprises de santé et d‘assurance, desinformations confidentielles sont envoyées à lextérieur desentreprises, à des destinataires externes ou publiées en ligne.Recommandations de sécuritéDans un monde où les pertes de données sont un phénomènecroissant, les entreprises doivent se charger elles-mêmes dela protection de leurs données confidentielles. La meilleuresolution pour empêcher les fuites de données involontairesconsiste à implémenter des règles de sécurité automatiquesqui détectent les données protégées avant quelles ne quittentlentreprise. Une telle solution est appelée « prévention despertes de données » (DLP). Les produits de DLP intègrentun ensemble complet de fonctionnalités, et les entreprisesdisposent de plusieurs options pour les déployer. Avantde déployer une solution de DLP, les entreprises doiventdévelopper des stratégies précises avec des critères concretsprécisant ce qui est considéré comme étant des informationsconfidentielles, qui peut les envoyer, etc.des entreprises des secteurs de la santéet des assurances, des informationsconfidentielles ont été envoyéesà lextérieur de lentreprise16%DANSrecommandé par
  • 34. 035CHECK POINT - RAPPORT SÉCURITÉ 201304 _ FUITES DE DONNÉES DANS VOTRE RÉSEAUMoteur de classification des donnéesLidentification fiable des données confidentielles est uncomposant essentiel de la solution de DLP, qui doit êtreen mesure de détecter les informations personnellementidentifiables, les données de conformité, et les donnéesconfidentielles. Elle doit inspecter les flux de contenus etappliquer les règles de sécurité dans les protocoles TCP lesplus utilisés et les webmail. Elle doit également effectuer desanalyses reposant sur des correspondances avec des modèles etdesclassificationsdefichiers,pouridentifierlestypesdecontenuquelquesoitlextensiondesfichiersetleurcompression.De plus, la solution de DLP doit être en mesure de reconnaîtreet protéger les formulaires confidentiels, selon des modèlesprédéfinis et la correspondance fichiers/formulaire. UnefonctionnalitéimportantedelasolutiondeDLPestlapossibilitéde créer des types de données personnalisés en plus des types dedonnées fournis par léditeur, pour maximiser la souplesse.Autoremédiation des incidentsLes solutions de DLP traditionnelles peuvent détecter, classifieret même reconnaître des documents spécifiques et différentstypesdefichiers,maisellesnepeuventdéterminerlintentiondesutilisateurs lorsquils partagent des informations confidentielles.Latechnologieseulenestpassuffisantecarellenepeutidentifiercette intention et prendre les décisions qui simposent. Ainsi,une bonne solution de DLP doit engager les utilisateurs en leurpermettant de remédier eux-mêmes aux incidents en tempsréel. Elle doit informer les utilisateurs que leurs actions peuventprovoquer des fuites de données, et leur permettre de stopperleurs actions ou de les effectuer malgré tout. La sécurité estamélioréegrâceàlasensibilisationauxpolitiquesdutilisationdesdonnées, en alertant les utilisateurs derreurs potentielles et enleurpermettantdyremédierimmédiatement,toutenautorisantles communications légitimes. Ladministration est égalementsimplifiée, car les administrateurs peuvent suivre les événementsde DLP pour les analyser, sans qu‘il leur soit nécessaire de traiteren temps réel les demandes denvoi de données vers lextérieur.Protection contre les fuites de données internesUneautrefonctionnalitéimportantedelaDLPestlapossibilitédempêcher les fuites de données internes, en inspectant et encontrôlant les emails confidentiels entre départements. Desrègles de sécurité peuvent être définies pour empêcher desdonnées confidentielles datteindre les mauvais départements,notamment les schémas de rémunération, les documentsconfidentiels de ressources humaines, les documents defusions/acquisitions et les formulaires médicaux.Protection des données sur disques dursLes entreprises doivent protéger les données des ordinateursportables pour compléter leur politique de sécurité. Sansprotection des données, des tiers malintentionnés peuventobtenir des données importantes en cas de perte ou de vol desordinateurs portables, et entraîner des répercussions juridiqueset financières. Une solution appropriée doit empêcher lesutilisateurs non autorisés daccéder aux informations enchiffrant les données sur tous les disques durs des postes detravail, y compris les données utilisateur, les fichiers du systèmedexploitation, les fichiers temporaires et les fichiers supprimés.Protection des données sur supports amoviblesPour empêcher les données dentreprise de tomber dans demauvaises mains via des périphériques de stockage USB et autressupports amovibles, le chiffrement et la prévention des accèsnon autorisés sont nécessaires sur ces appareils. Les employéscombinent souvent des fichiers personnels (musique, photoset documents) avec des fichiers professionnels sur des supportsamovibles,cequirendencoreplusdifficilelecontrôledesdonnéesdentreprise. Les fuites de données peuvent être minimisées par lechiffrement des appareils de stockage amovibles.Protection des documentsDes documents dentreprise sont régulièrement stockées sur leweb, envoyés sur des smartphones personnels, copiés sur dessupportsamoviblesetpartagésavecdespartenairescommerciauxexternes.Chacunedecesopérationsmetlesdonnéesendanger :risques de fuites, dutilisation malintentionnée, ou daccès pardes individus non autorisés. Pour protéger les documentsdentreprise, la solution de sécurité doit pouvoir les chiffrer viades règles de sécurité et contrôler leur accès.Gestion des événementsLa définition de règles de DLP répondant à la politiquedutilisation des données de lentreprise doit saccompagnerde solides fonctions de supervision et de reporting. Pourminimiser les fuites de données potentielles, la solution desécurité doit intégrer la surveillance et lanalyse des événementsde DLP passés et en temps réel, pour apporter une visibilitéclaire et étendue sur les informations envoyées à lextérieur etleurs sources, et la possibilité dagir en temps réel si nécessaire.recommandé par
  • 35. CHECK POINT - RAPPORT SÉCURITÉ 20130362 600 ans plus tard, la même approche est parfaitementadaptée à la lutte contre la cyberguerre. La meilleure sécuritéest obtenue par lharmonisation des différentes couches deprotection du réseau pour lutter contre les différents anglesdes menaces.Ce rapport a couvert les différents aspects des risquesde sécurité que Check Point a détecté dans un grandnombre dentreprises. Il a montré que les bots, les virus, lesfailles et les attaques sont une menace réelle et constantepour les entreprises. Le rapport a ensuite montré quecertaines applications web utilisées par les employéspeuvent compromettre la sécurité du réseau. Enfin, il amontré que les employés effectuent involontairement denombreuses actions pouvant entraîner des fuites de donnéesconfidentielles.Pour votre stratégie de sécurité : latechnologie seule nest pas suffisanteLapproche de Check Point pour obtenir le niveau desécurité requis pour protéger une entreprise reconnaît que latechnologie seule nest pas suffisante. La sécurité doit évoluerdune simple superposition de technologies et de pratiquesvers un processus métier efficace. Check Point recommandeaux entreprises de considérer trois dimensions lorsquellesdéploient une stratégie et une solution de sécurité : les règlesde sécurité, le facteur humain, et la mise en application desrègles de sécurité.Les règles de sécuritéUne politique de sécurité bien définie, largement comprise etétroitementalignéesurlesbesoinsetlastratégiedelentreprise,plutôt quun assemblage de technologies disparates et devérifications au niveau des systèmes, est le point dentrée de lasécurité. Les règles de sécurité devraient prendre en compteles priorités de lentreprise et suggérer des moyens dassurerson activité dans un environnement sécurisé.Par exemple, durant notre étude, nous avons découvert quecertains employés utilisent des applications web nécessairesà leur métier mais qui peuvent également compromettre lasécurité. Si nous déployons uniquement des technologiesqui bloquent de telles applications web, le résultat serait desplaintes en masse auprès des administrateurs de sécurité,ou pire encore, les employés trouveraient des moyens decontourner les règles de sécurité, créant ainsi encore plusde problèmes. Au lieu de cela, Check Point recommandela création dune politique de sécurité qui reconnaît les casdutilisation de telles applications et définit une procédurepermettant leur utilisation de manière sécurisée. Lesutilisateurs devraient être informés automatiquement detoute application nécessaire des règles de sécurité.Le facteur humainLes utilisateurs des systèmes informatiques font partieintégrante du processus de sécurité. Ce sont souvent lesutilisateurs qui commettent des erreurs provoquant desinfections de logiciels malveillants et des fuites de données.Les entreprises doivent sassurer que les utilisateurs sontimpliqués dans le processus de sécurité. Les employésNous concluons ce rapport parune autre citation de Sun Tzu tiréede lArt de la guerre : un conseilpour un général darmée :« Une fois son armée constituée, sesforces focalisées, il doit mixer lesdifférents éléments et harmoniserl’esprit de ses troupes avant dechoisir un lieu de campement »2805 RÉSUMÉ ETSTRATÉGIE DE SÉCURITÉrecommandé par
  • 36. 037CHECK POINT - RAPPORT SÉCURITÉ 201305 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉdoivent être informés et sensibilisés à la politique de sécurité,et ce qui est attendu deux lorsquils surfent sur Internet oupartagent des données confidentielles. La sécurité devraitêtre aussi transparente que possible, sans modifier leur façonde travailler.Limplémentation dun programme de sécurité devraitcomprendre : Un programme de formation garantissant que tousles utilisateurs sont conscients que les systèmes sontpotentiellement vulnérables à des attaques et que leursactions peuvent les favoriser ou les empêcher. De la technologie indiquant aux employés en temps réelque certaines actions sont risquées et comment les effectuerde manière sécurisée.La mise en application des règles de sécuritéLe déploiement de solutions technologiques de sécurité tellesque des passerelles de sécurité et des logiciels de protectionde postes est vital pour protéger les entreprises des failles etdes fuites de données. Des passerelles de sécurité devraientêtre installées à tous les points de connexion pour garantirque seul le trafic approprié et autorisé entre ou sort delentreprise. Cette validation devrait être effectuée à tousles niveaux de la sécurité et sur toutes les communications,protocoles, méthodes, requêtes, réponses et charges, à laidede solutions de sécurité telles que : pare-feu, contrôle desapplications, filtrage des URL, prévention des fuites dedonnées, prévention des intrusions, antivirus et antibot.recommandé par
  • 37. CHECK POINT - RAPPORT SÉCURITÉ 2013038Check Point Software Technologies Ltd. (www.checkpoint.com), le leader mondial de la sécurité sur Internet, assure auxclients un niveau optimal de protection contre tous les types demenaces, simplifie linstallation et la maintenance des dispositifsde sécurité, et réduit leur coût total de possession. Précurseurde la technologie Firewall-1 et du standard de la sécurité desréseaux Stateful Inspection, Check Point est toujours à la pointede la technologie. Check Point continue dinnover, notammentvia lArchitecture Software Blades, et propose aujourdhui dessolutionsàlafoisfiables,flexiblesetsimplesdutilisation,pouvantêtre totalement personnalisées pour répondre aux besoinsspécifiques de chaque entreprise. Check Point est le seul éditeurquitransformelasécuritéenunvéritableprocessusmétier.CheckPoint 3D Security combine le facteur humain, la politique desécurité et sa mise en application, pour une protection renforcéedes données, et aide les entreprises à implémenter des plans desécurité qui salignent avec leurs besoins. Check Point compteparmisesclientstouteslessociétésfigurantdansleslistesFortune100etGlobal100,ainsiquedesdizainesdemilliersdentreprisesde toute taille. Les solutions ZoneAlarm de Check PointprotègentlesPCdemillionsdeparticulierscontrelespirates,leslogicielsespionsetlesvolsdedonnées.Check Point 3D SecurityCheck Point 3D Security redéfinit la sécurité comme étantun processus métier tridimensionnel combinant le facteurhumain, la politique de sécurité et sa mise en application, pourune protection renforcée et étendue à lensemble des couchesde sécurité – y compris le réseau, les données et les postes. Pourparvenir au niveau de protection requis en ce 21ème siècle, lasécurité doit évoluer dune simple superposition de technologiesversunprocessusmétierefficace.Avec3DSecurity,lesentreprisespeuvent implémenter un schéma de sécurité allant bien au-delàdu cadre de la technologie pour garantir lintégrité des systèmesinformatiques.Check Point 3D Security permet aux entreprises de redéfinirla sécurité en intégrant les dimensions suivantes au sein dunprocessus :Architecture Software Blade de Check PointOutil clé dune véritable sécurité complète, lArchitectureSoftware Blades de Check Point permet aux entreprisesdappliquer des règles de sécurité tout en y sensibilisant lesutilisateurs.LarchitectureSoftwareBladeestlatoutepremièreet la seule architecture de sécurité offrant une protectioncomplète, souple et administrable, aux entreprises de toutetaille. De plus, lArchitecture Software Blade de Check Pointétend les services de sécurité à la demande, rapidement et demanière souple, pour faire face aux nouvelles menaces ou à denouveaux besoins, sans ajouter de nouveaux équipements etsans rendre lensemble plus complexe à administrer. Toutesles solutions sont administrées de manière centralisée à partirdune console unique réduisant la complexité et les coûts defonctionnement. Une protection multicouche est essentielleaujourdhui pour combattre les menaces dynamiques tellesque bots, chevaux de Troie et menaces persistantes avancées(APT). Les pare-feux ressemblent de plus en plus à despasserelles multifonction, mais toutes les entreprises nont pasbesoin des même fonctions de sécurité. Elles recherchent unesouplesse et un contrôle sur leurs ressources de sécurité.Les blades sont des applications de sécurité ou des modulestels que pare-feu, réseau privé virtuel (VPN), système deLa mise en application, la consolidationet le contrôle de toutes les couches desécurité : réseau, données, applications,contenus et utilisateursUne sécurité intégrant le facteurhumain dans la définition de la politiquede sécurité, la sensibilisation desutilisateurs et la résolution des incidentsDes politiques de sécurité qui prennenten charge les besoins de lentreprise ettransforment la sécurité en un processusmétier06 À PROPOS DE CHECK POINTSOFTWARE TECHNOLOGIESrecommandé par
  • 38. 039CHECK POINT - RAPPORT SÉCURITÉ 201306 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉprévention dintrusions (IPS), ou contrôle des applicationspour nen citer que quelques un, indépendantes, modulaireset administrées de manière centralisée. Elles permettentaux entreprises dadapter leur configuration de sécurité afindobtenirunéquilibreparfaitentresécuritéetinvestissement.Les blades peuvent être rapidement activées et configuréessur nimporte quelle passerelle et système dadministration,dun simple clic de souris, sans quil soit nécessaire de faireévoluer le matériel, le micro-logiciel ou les pilotes. En casdévolution des besoins, des blades supplémentaires peuventêtre facilement activées pour étendre la sécurité duneconfiguration existante sur le même équipement de sécurité.Check Point propose une administration centralisée desévénements pour tous les produits Check Point y comprisles systèmes tiers. La visualisation des événements en tempsréel permet de saisir rapidement la situation de la sécurité etagir en conséquence, depuis une console unique. Laffichagesous forme de chronologie permet de voir les tendanceset la propagation des attaques. Laffichage sous forme degraphique fournit des statistiques en camembert ou enbarres. Laffichage sous forme de carte permet didentifier lesmenaces potentielles par pays.Check Point Security GatewaySmartDashboard. Écran dactivation desbladesAdministration des événements de sécurité Check Point SmartEvent. Visibilité en temps réel.recommandé par
  • 39. CHECK POINT - RAPPORT SÉCURITÉ 201306 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ040Renseignements de sécurité en temps réelThreatCloud™ThreatCloud est un réseau collaboratif et une base deconnaissances dans le cloud qui fournit des renseignementsdynamiques de sécurité en temps réel aux passerelles desécurité. Ces renseignements sont utilisés pour identifier lesfoyers émergents et les tendances des menaces. ThreatCloudet la blade Anti-Bot permettent aux passerelles danalyserles adresses IP, DNS et URL continuellement changeantesdes serveurs de commande et de contrôle connus. Commele traitement est fait dans le cloud, des millions de signaturesde logiciels malveillants peuvent être analysées en temps réel.La base de connaissances ThreatCloud est mise à jourdynamiquement via des données provenant de passerelles àtraverslemonde,dunréseaumondialdecapteursdemenaces,des laboratoires de recherche de Check Point et des meilleursflux antimalwares du marché. Les données corrélées sur lesmenaces sont ensuite partagées collectivement entre toutesles passerelles.Appliances Check PointDans les environnements réseau actuels, les passerellesde sécurité sont plus que des pare-feux. Ce sont deséquipements de sécurité qui doivent faire face à un nombretoujours croissant de menaces sophistiquées. Elles doiventfaire appel à différentes technologies pour contrôler les accèsau réseau, détecter les attaques sophistiquées et fournir desfonctionnalités de sécurité supplémentaires, telles que laprévention des pertes de données et la prévention contre lesattaques provenant du web, et sécuriser un nombre croissantdappareils mobiles tels quiPhone et tablettes utilisésdans lentreprise. Ces menaces et ces fonctions de sécuritéavancées nécessitent des appliances de sécurité performanteset polyvalentes.Grâce à Check Point GAiA, le système dexploitation defuture génération, les appliances Check Point combinentdes possibilités multicœur haute performance avec destechnologies réseau rapides afin de proposer une sécuritéde haut niveau pour les données, le réseau et les employés.Optimisées pour larchitecture Software Blades, chaqueappliance est en mesure dintégrer nimporte quellecombinaison de blade, dont les blades Firewall, IPsecVPN, IPS, Application Control, Mobile Access, DLP,URL Filtering, Anti-Bot, Antivirus, Anti-spam, IdentityAwareness et Advanced Networking & Clustering, pourfournir la souplesse et le niveau de sécurité précis pourtoute entreprise et à tout niveau du réseau. En consolidantplusieurs technologies de sécurité dans un passerelle desécurité unique, les appliances sont conçues pour fournirdes solutions de sécurité intégrées et avancées répondant àtous les besoins en sécurité des entreprises. Lancé en août2011, SecurityPower™ est un indice de mesure de la capacitédune appliance à effectuer plusieurs fonctions avancéesde sécurité dans un volume de trafic spécifique. Il fournitun référentiel révolutionnaire qui permet aux clients desélectionner lappliance de sécurité appropriée à leur scénariode déploiement spécifique. Les indices SecurityPowerreposent sur du trafic réel, plusieurs fonctions de sécurité etdes politiques de sécurité typiques.Appliance Check Point 61000recommandé par
  • 40. 041CHECK POINT - RAPPORT SÉCURITÉ 201306 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉProtection des postes Check PointLes blades Check Point Endpoint Security fournissent unesouplesse, un contrôle et une efficacité sans précédent pour ledéploiement et ladministration de la protection des postes.Les responsables informatiques peuvent choisir parmi sixblades Endpoint Security pour déployer uniquement laprotection requise, avec la possibilité de pouvoir renforcer laprotection à tout moment. La blade Full Disk Encryption(chiffrement des disques) protège automatiquement eten toute transparence les données situées sur les disquesdurs des postes. L’authentification multifacteur avantl’initialisation garanti lidentité des utilisateurs. La bladeMedia Encryption (chiffrement des supports) permet unemise en application granulaire et centralisée du chiffrementdes supports de stockage amovibles, avec la possibilité de nechiffrer que les données liées à lactivité de lentreprise touten engageant et en sensibilisant les utilisateurs. La bladeRemote Access VPN (VPN avec accès distant) fournit auxutilisateurs un accès sécurisé et transparent au réseau et auxressources de lentreprise, lorsquils sont en déplacement outravaillent à distance. La blade Anti-Malware and ProgramControl (antimalwares et contrôle des programmes) détecteet supprime efficacement en une seule analyse les logicielsmalveillants. Le contrôle des programmes garantit queseuls les programmes légitimes et approuvés sont utilisés surles postes. La blade Firewall and Security ComplianceVerification (pare-feu et vérification de la conformité)protège le trafic entrant et sortant de manière proactive afindempêcher des logiciels malveillants dinfecter les systèmesdes postes, bloque les attaques et stoppe le trafic indésirable.La vérification de la conformité garantit que les postessont toujours conformes à la politique de sécurité définiedans lentreprise. La blade WebCheck Secure Browsing(sécurisation de la navigation web) protègent contre lestoutes dernières menaces web, y compris les téléchargementsautomatiques, les sites de phishing et les attaques « zero-day ». Les sessions du navigateur sont exécutées dans unenvironnement virtuel sécurisé.Client Check Point Endpoint Securityrecommandé par
  • 41. CHECK POINT - RAPPORT SÉCURITÉ 2013042ACette annexe fournit des informations complémentaires surles principaux logiciels malveillants décrits dans notre étude.La base de données complète de Check Point sur les logicielsmalveillants est disponible à ladresse threatwiki.checkpoint.comZeus est un bot ouvrant des portes dérobées sur la plate-forme Windows. Une porte dérobée est une méthodepermettant de contourner les procédures dauthentification.Lorsquun système est compromis, une ou plusieurs portesdérobées peuvent être installées pour faciliter un accèsultérieur29. Nos recherches ont permis de découvrir des botsZeus générés par la boîte à outils Zeus version 2.0.8.9. Zeusest une famille de chevaux de Troie bancaires disposant dunnombre considérable de versions et de variantes. Ce logicielmalveillant permet à des agresseurs daccéder à distance àdes systèmes infectés. Son objectif principal est le vol desidentifiants bancaires des utilisateurs pour accéder à leurcompte bancaire.Zwangi est un logiciel publicitaire ciblant la plate-formeMicrosoft Windows. Il sinstalle en tant quobjet dunnavigateur dans un système infecté. Il peut éventuellementcréerunebarredoutilspersonnaliséedansInternetExploreret présenter à lutilisateur des publicités indésirables. Celogiciel malveillant infecte des systèmes via des bundleslogiciels.Sality est un virus se diffusant par infection et modificationde fichiers exécutables, et en se recopiant sur des disquesamovibles et des dossiers partagés.Kuluoz estunbotciblantlaplate-formeMicrosoftWindows.Ce bot est envoyé dans des messages de spam provenantprétendument des services postaux américains. Il envoie desinformations système et reçoit en retour des instructions dela part dun serveur distant pour télécharger et exécuter desfichiers malveillants sur les ordinateurs infectés. De plus, ilajoute des informations à la base de registre pour sexécuteraprès redémarrage de lordinateur.Juasek est un bot ouvrant des portes dérobées sur la plate-forme Windows. Ce logiciel malveillant permet à desagresseurs distants et non authentifiés deffectuer des actionsmalveillantes, telles que louverture de linvite de commande,le téléchargement de fichiers, la création de nouveauxprocessus, larrêt de processus, la recherche/création/suppression de fichiers et la collecte dinformations système.Il sinstalle également sous forme de service pour rester actifaprès redémarrage des ordinateurs infectés.Papras est un cheval de Troie bancaire ciblant la plate-formeWindows 32 et 64 bits. Ce logiciel malveillant envoie desinformations système et demande des informations deconfiguration à un hôte distant. Il détourne les fonctionsréseau et surveille les activités en ligne des utilisateurs pourdérober des informations financières confidentielles. Deplus, sa fonctionnalité de création de porte dérobée donne àdes agresseurs distants un accès non autorisé aux ordinateursinfectés. Les commandes acceptées comprennent letéléchargement dautres fichiers malveillants, la collecte decookies et dinformations sur les certificats, le redémarrageet larrêt du système, lenvoi de journaux, la prise de capturesdécran, la configuration dune connexion à un hôte distantpour dautres activités, etc. Papras sinjecte dans des processuset injecte éventuellement dautres fichiers malveillants dansles processus ciblés.ANNEXE A :PRINCIPAUX LOGICIELS MALVEILLANTSrecommandé par
  • 42. 043CHECK POINT - RAPPORT SÉCURITÉ 2013B ANNEXE B : PRINCIPALESAPPLICATIONS À HAUT RISQUECette annexe fournit des informations complémentaires surles principales applications décrites dans notre étude. La basede données complète de Check Point sur les applications estdisponible à ladresse threatwiki.checkpoint.comAnonymiseursTor est une application prévue pour garantir lanonymat enligne. Le logiciel client Tor redirige le trafic Internet versun réseau mondial de serveurs bénévoles pour masquer lalocalisation géographique et les activités des utilisateurs detoute surveillance ou analyse du trafic réseau. Lutilisationde Tor complique la traçabilité des activités Internet jusquàses utilisateurs, y compris pour les visites sur des sites web,les publications en ligne, les messages instantanés et autresformes de communication.CGI-Proxy est une interface-passerelle. Il sagit dune pageweb permettant à ses utilisateurs daccéder à un site différent.Les protocoles pris en charge sont HTTP, FTP et SSL.Hopster est une application permettant de contourner despare-feux et des proxies, pour surfer et communiquer demanière anonyme.Hide My Ass est un proxy web gratuit masquant ladresse IPde ses utilisateurs pour leur permettre de se connecter à dessites web de manière anonyme.Hamachi est un réseau privé virtuel. Il est utilisé pour établirdes connexions sur Internet émulant la connexion sur unréseau local.Ultrasurf est un proxy gratuit permettant à ses utilisateursde contourner des pare-feux et des logiciels de blocage descontenus Internet.OpenVPN est un logiciel open source gratuit qui implémentedes techniques de réseau privé virtuel pour créer desconnexions sécurisées de point à point ou de site à site, dansdes configuration routage ou pont, et des sites distants.Partage de fichiers en P2PBitTorrentestunprotocoledecommunicationpourlepartagede fichiers de pair à pair. Cest une méthode de distributionétendue de grandes quantités de donnée ne nécessitant paspour lémetteur initial la prise en charge de la totalité du coûten termes de matériel, dhébergement et de bande passante.Lorsque les données sont diffusées à laide du protocoleBitTorrent,chaquedestinatairefournitunepartiedesdonnéesà dautres destinataires, ce qui réduit ainsi le coût et la chargede chaque source individuelle, permet une redondance contreles problèmes système, et réduit la dépendance à lémetteurinitial. Il existe de nombreux clients BitTorrent créés à laidede différents langages de programmation et fonctionnant surdifférentes plates-formes.eMule est une application de partage de fichiers de pair à pairse connectant aux réseaux eDonkey et Kad. Le logiciel permetle partage direct des sources entre les clients, la récupérationde téléchargements corrompus, et comprend lutilisation dunsystème de crédit pour récompenser les gros fournisseurs.eMule transmet des données compressées pour économiser labande passante.Soulseek est une application de partage de fichiers de pairà pair. Elle est principalement utilisée pour partager de lamusique, même si ses utilisateurs sont en mesure de partagerdautres types de fichiers.Gnutellaestunréseaupopulairedepartagedefichiersetundesprotocoles P2P les plus populaires utilisé par des applicationstelles que BearShare, Shareaza, Morpheus et iMesh. Il estcommunément utilisé pour partager des fichiers musicaux auformat MP3, des vidéos, des applications et des documents.Sopcast est une application de streaming via réseaux P2P.Sopcast permet à ses utilisateurs de diffuser des contenus àdautres utilisateurs ou de regarder les contenus diffusés pardautres utilisateurs.recommandé par
  • 43. CHECK POINT - RAPPORT SÉCURITÉ 2013044Applications de stockage et de partage defichiersDropbox est une application permettant à ses utilisateurs departager des fichiers. Dropbox est le service dhébergementde fichiers proposé par la société Dropbox, Inc. avec stockagedans le cloud, synchronisation des fichiers et logiciel client.En bref, Dropbox permet à ses utilisateurs de créer undossier spécial sur leur ordinateur, avec lequel Dropbox sesynchronise afin quil soit identique (même contenu) quelque soit lordinateur utilisé pour le consulter. Les fichiersplacés dans ce dossier sont également accessibles via un siteweb et une application mobile.Windows Live Office est un outil en ligne de stockage,dédition et de partage de documents Microsoft Office, créépar Microsoft. Grâce aux applications Office Web Apps,les utilisateurs peuvent créer, visualiser, éditer, partager etcollaborer sur des documents, feuilles de calcul et notes enligne, en tout lieu via une connexion Internet.Curl est un outil en ligne de commande permettant à sesutilisateurs de transmettre des données à laide dune syntaxede type URL. Il prend notamment en charge les protocolesFILE, FTP, HTTP, HTTPS et les certificats SSL.YouSendIt est un service dexpédition numérique de fichiers.Le service permet à ses utilisateurs denvoyer, recevoir etsuivre des fichiers à la demande.Outils dadministration à distanceRDP (Remote Desktop Protocol) est une applicationpropriétaire développée par Microsoft fournissant à sesutilisateurs une interface vers dautres ordinateurs.Team Viewer permet à ses utilisateurs de contrôler desordinateurs distants à laide dun logiciel client ou ensidentifiant sur un site web.LogMeIn est une suite de services logiciels fournissant unaccès à distance à des ordinateurs sur Internet. Les différentesversions du produit sont prévues pour des utilisateurs finauxou des professionnels des services dassistance. Les produitsdaccès à distance LogMeIn utilisent un protocole RDPpropriétaire transmis sur SSL. Les utilisateurs accèdent à despostes distants à laide dun portail web ou de lapplicationLogMeIn Ignition.VNC est un logiciel composé dune application serveuret dune application client utilisant le protocole VNC(Virtual Network Computing) pour contrôler dautresordinateurs à distance. Le logiciel fonctionne avec lessystèmes dexploitation Windows, Mac OS X et Unix. VNCfonctionne également sur la plate-forme Java, ainsi que surliPhone, liPod touch et liPad dApple.ANNEXErecommandé par
  • 44. 045CHECK POINT - RAPPORT SÉCURITÉ 2013ANNEXE C : CONCLUSIONSSUPPLÉMENTAIRES - UTILISATION DESAPPLICATIONS WEBLes données suivantes fournissent des détailssupplémentaires sur les résultats de létude présentés dans lasection « Applications utilisées dans lespace de travail delentreprise ».Les graphiques C-A et C-B résument lutilisation desapplications par catégorie et par région.Utilisation par catégorie(% des entreprises)81 % Administration à distance80 % Stockage/partage de fichiers61 % Partage de fichiers en P2P43 % AnonymiseurUtilisation par région(% des entreprises)Outils dadministration à distance83 % EMEA80 % Amériques77 % APACStockage et partage de fichiers82 % Amériques81 % EMEA72 % APACPartage de fichiers en P2P72 % APAC62 % Amériques55 % EMEACSource :CheckPointSoftwareTechnologiesSource :CheckPointSoftwareTechnologiesAnonymiseur49 % Amériques40 % EMEA35 % APACGraphique C-AGraphique C-Brecommandé par
  • 45. CHECK POINT - RAPPORT SÉCURITÉ 2013046Les tableaux suivants fournissent des informations supplémentaires sur les clients BitTorrent et Gnutella les plus populairesPrincipaux clients BitTorrent Nombre dentreprisesVuze 108Xunlei 74uTorrent 55BitComet 25FlashGet 21QQ Download 8Pando 7P2P Cache 7Transmission 6Autres 242Principaux clients Gnutella Nombre dentreprisesBearShare 52LimeWire 23FrostWire 16Foxy 2Autres 31Catégorie dapplication Région Nom de lapplication % des entreprisesAnonymiseur Amériques Tor 24 %CGI-Proxy 16 %Hamachi 8 %Hopster 8 %Ultrasurf 7 %EMEA Tor 23 %CGI-Proxy 12 %Hamachi 4 %Hopster 7 %Hide My Ass 7 %APAC Tor 20 %Hopster 6 %CGI-Proxy 6 %Hamachi 6 %Hide My Ass 7 %Le tableau suivant fournit des informations supplémentaires sur les principales applications utilisées, par catégorieet par régionANNEXErecommandé par
  • 46. 047CHECK POINT - RAPPORT SÉCURITÉ 2013ANNEXECatégorie dapplication Région Nom de lapplication % des entreprisesPartage de fichiers en P2P Amériques Clients BitTorrent 35 %SoulSeek 23 %eMule 21 %Windows Live Mesh 8 %Sopcast 8 %EMEA Clients BitTorrent 33 %SoulSeek 19 %eMule 15 %Sopcast 12 %iMesh 10 %APAC Clients BitTorrent 62 %eMule 26 %SoulSeek 11 %Sopcast 10 %BearShare 8 %Stockage et partage de fichiers Amériques Dropbox 73 %Windows Live Office 52 %Curl 28 %YouSendIt 26 %ZumoDrive 12 %EMEA Dropbox 71 %Windows Live Office 51 %Curl 22 %YouSendIt 21 %ImageVenue 18 %APAC Dropbox 57 %Windows Live Office 50 %Curl 26 %YouSendIt 16 %Hotfile 10 %recommandé par
  • 47. CHECK POINT - RAPPORT SÉCURITÉ 2013ANNEXE048Catégorie dapplication Région Nom de lapplication % des entreprisesAdministration à distance Amériques MS-RDP 59 %LogMeIn 51 %TeamViewer 45 %VNC 14 %Bomgar 8 %EMEA MS-RDP 60 %TeamViewer 55 %LogMeIn 44 %VNC 20 %pcAnywhere 3 %APAC TeamViewer 58 %MS-RDP 51 %LogMeIn 26 %VNC 16 %Gbridge 3 %recommandé par
  • 48. 049CHECK POINT - RAPPORT SÉCURITÉ 2013Notre étude comprend linspection de douzaines de typesde données différents, à la recherche déventuelles fuites dedonnées. La liste suivante présente les principaux types dedonnées de DLP inspectées et détectées par la blade CheckPoint DLP.Code Source - Correspond aux données contenant des lignesde langages de programmation, tels que C, C++, C#, JAVAet autres, indiquant une fuite de propriété intellectuelle.Information de cartes de paiement - Comprend deux types dedonnées : les numéros de cartes de paiement et les donnéesdauthentification PCI.• Numéros de cartes de paiement :Critères de correspondance : Des données contenantdes numéros de cartes de paiement MasterCard, Visa,JCB, American Express, Discover et Diners Club ;correspondance reposant sur le modèle (expressionrégulière) et la validation des sommes de vérification duschéma défini dans lAnnexe B de ISO/IEC 7812-1 et dansJTC 1/SC 17 (algorithme Luhn MOD-10) ; indique unefuite de données confidentielles.Exemple : 4580-0000-0000-0000.• Données dauthentification PCI :Critères de correspondance : Des informationscorrespondant à des données dauthentificationconfidentielles selon la norme de sécurisation des donnéesde PCI (DSS). Contrairement aux informations portantsur les titulaires de cartes de paiement, de telles donnéessont extrêmement confidentielles et PCI DSS nautorisepas son stockage. Correspondance avec des informationscontenant les données des pistes magnétiques des cartes depaiement (pistes 1, 2 ou 3), le code PIN chiffré ou non, etle code de sécurité (CSC).Exemples : %B4580000000000000^JAMES/L.^99011200000000000?, 2580.D0D6.B489.DD1B,2827.Fichier protégé par mot de passe - Correspond à des fichiersprotégés par mot de passe ou chiffrés. De tels fichierspeuvent contenir des informations confidentielles.Fichier de bulletin de salaire - Correspond à des fichierscontenant un bulletin de salaire ; indique une fuite dedonnées personnelles.Email confidentiel - Correspond à des messages MicrosoftOutlook désignés par lexpéditeur comme étant« confidentiels » ; de tels emails contiennent généralementdes données confidentielles. Remarque : Microsoft Outlookpermet aux expéditeurs de désigner des emails par différentsdegrés de confidentialité ; ce type de données correspondaux emails désignés comme étant « confidentiels » à laidede loption de confidentialité dOutlook.Information de rémunération - Correspond aux documentscontenant des mots et des phrases liés aux données derémunération des employés, tels que : salaire, prime, etc.Dautrestypesdedonnéesontétédétectésdurantlesrecherches :Cartes didentité à Hong Kong, rapports financier¸ numérosde comptes bancaires, codes IBAN en Finlande, numérosde sécurité sociale au Canada, FERPA - dossiers scolairesconfidentiels, codes postaux américains, numéro de TVAau Royaume-Uni, numéros de sécurité sociale au Mexique,numéros de sécurité sociale aux États-Unis, GPA - notesdes étudiants, cartes didentité à Hong Kong, numéros decomptes bancaires, rapports Salesforce, numéro didentitéen Finlande, ITAR - Réglementation du trafic darmesinternational, dossiers personnels confidentiels, fichiersde CAO/DAO ou de conception graphique, HIPAA -informations protégées sur la santé, numéros de sécuritésociale en France, noms des employés, revenus en Nouvelle-Zélande, PCI - Données des titulaires de cartes de paiement,numéros de permis de conduire aux États-Unis, HIPAA -Numéros de dossiers médicaux, numéros de sécurité socialeau Canada, codes IBAN en Finlande, HIPAA - ICD-9,codes IBAN au Danemark, numéros de TVA en Finlande,numéros didentité en Finlande, codes IBAN, cartesdidentité à Hong Kong et autres.ANNEXE D :TYPES DE DONNÉES DE DLPDrecommandé par
  • 49. CHECK POINT - RAPPORT SÉCURITÉ 20130501LArt de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf2http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html3http://www.checkpoint.com/products/threatcloud/index.html4http://supportcontent.checkpoint.com/file_download?id=206025http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home6http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch7http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=48http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses9http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/10http://www.networkworld.com/slideshow/52525/#slide111http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx12http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf13http://cve.mitre.org/index.html14http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html15http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/16http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/17http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/18http://www.ftc.gov/opa/2012/06/epn-franklin.shtm19http://www.ftc.gov/opa/2010/02/p2palert.shtm20http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html21http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres22http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/23http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/24http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-15927725http://www.roanoke.com/news/roanoke/wb/30756426http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/27www.hhs.gov/ocr/privacy/hipaa/index.html28LArt de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf29http://en.wikipedia.org/wiki/Malware#BackdoorsRéférencesrecommandé par
  • 50. www.checkpoint.comDesign:RoniLevit.comCatégorie : [Protégé] -Tous droits réservés.© 2003-2013 Check Point Software Technologies Ltd. Tous droits réservés. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point4200, Check Point 4600, Check Point 4800, les Appliances Check Point 12000, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 SecuritySystem, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point EndpointSecurity, Check Point Endpoint Security On Demand, le logo Check Point, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness,Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check PointOneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, ConnectraAccelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, EventiaReporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity ClientlessSecurity, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, le logo the More, better, Simpler Security, Multi-DomainSecurity Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1,Provider-1, PureAdvantage, PURE Security, le logo puresecurity, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform,SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1,SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM,SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP,SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector,UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro,VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus +Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm SecurityToolbar, ZoneAlarm Secure Wireless Router, Zone Labs, et le logo Zone Labs sont des appellations commerciales ou des marques déposées de Check Point Software Technologies Ltd. ou deses filiales. ZoneAlarm est une société du groupe Check Point Software Technologies, Inc. Tous les noms de produits mentionnés dans ce document sont des marques commerciales ou desmarques déposées appartenant à leurs propriétaires respectifs. Les produits décrits dans ce document sont protégés par les brevets américains No. 5 606 668, 5 835 726, 5 987 611, 6 496 935,6 873 988, 6 850 943, 7 165 076, 7 540 013, 7 725 737 et 7 788 726, et sont éventuellement protégés par d’autres brevets américains, étrangers ou des demandes de brevet en cours.Janvier 2013Contacts Check PointSiège mondial5 Ha’Solelim Street,Tel Aviv 67897, Israël |Tél. : +972 3 753 4555 | Fax : +972 3 624 1100 | Email : info@checkpoint.comSiège français1 placeVictor Hugo, Les Renardières, 92400 Courbevoie, France |Tél. : +33 (0)1 55 49 12 00 | Fax : +33 (0)1 55 49 12 01Email : info_fr@checkpoint.com | URL : http://www.checkpoint.com