Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rapport de Sécurité Check Point 2016

613 views

Published on

L'année dernière, les téléchargements de logiciels malveillants inconnus ont augmenté de plus de 900% avec plus de 970 téléchargements par heure comparativement à 106 l'année précédente.
Virus malveillants connus et inconnus, bots et vulnérabilités sur les mobiles, découvrez où votre organisation est la plus exposée dans le Rapport de Sécurité Check Point 2016.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Rapport de Sécurité Check Point 2016

  1. 1. 2016RAPPORT SÉCURITÉ
  2. 2. CHECK POINT – RAPPORT SÉCURITÉ 2016 | 3 1. INTRODUCTION ET MÉTHODOLOGIE 04-11 2. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS 12-19 3. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL 20-27 4. ÉTUDE DES MODÈLES D'ATTAQUES 28-37 5. RÉPERCUSSIONS DE L'INSÉCURITÉ 38-47 6. CONSERVEZ UNE LONGUEUR D'AVANCE 48-55 RÉFÉRENCES 56-58 2016RAPPORT SÉCURITÉ
  3. 3. 4 | CHECK POINT – RAPPORT SÉCURITÉ 2016 1 « Nous subissons la technologie alors que nous voulons juste quelque chose qui fonctionne. » Douglas Adams, auteur et satiriste INTRODUCTION ET MÉTHODOLOGIE
  4. 4. INTRODUCTION ET MÉTHODOLOGIE | 5 Le prix de la plus importante faille de 2015 est décerné à l'OPM (le Bureau de la gestion du personnel, une agence du gouvernement américain). Des pirates originaires de Chine sont restés dans les réseaux d'OPM pendant plus d'un an avant d'être découverts. Lorsque la brèche a finalement été découverte, les premières estimations ont placé le nombre de victimes à quatre millions. Ce chiffre a ensuite dépassé 21 millions, dont environ 19 millions de personnes qui ont demandé des autorisations gouvernementales de sécurité et ont été soumises à des vérifications d'antécédents, et 1,8 million de conjoints et partenaires de ces candidats. Les pirates ont mis la main sur un trésor de données confidentielles, y compris les formulaires SF-86 des personnes qui ont demandé des autorisations. Ces formulaires peuvent contenir une grande quantité de données confidentielles, non seulement sur les employés qui cherchent à obtenir une autorisation de sécurité, mais également sur leurs amis, leurs conjoints et autres membres de leur famille. « « — Wired Magazine, 23 décembre 2015 Même si plusieurs failles notables se sont produites en 2015, la faille OPM a suscité beaucoup d'attention car il a fallu plus d'un an pour la découvrir, et les répercussions de cette faille particulière sont considérables. En lisant le Rapport Sécurité de cette année, il apparaît clairement que le modèle de protection de la sécurité qui réagit aux menaces ne suffit plus à protéger les entreprises d'aujourd'hui. La défaite devient une possibilité réelle. Ce type de faille peut arriver à tout le monde. Pour vous aider à protéger votre entreprise, vos données et vos clients, nous avons tissé des recommandations dans chacun des chapitres du rapport. Chaque faille est un apprentissage qui nous incite à mieux nous protéger. Nous avons tous à apprendre de l'expérience d'OPM. En avril 2015, près de 21  millions de dossiers personnels ont été dérobés auprès du Bureau de la gestion du personnel, le référentiel central des ressources humaines du gouvernement des États-Unis.
  5. 5. Ces dossiers comprenaient les formulaires détaillés des demandes d'autorisation de sécurité ainsi que les empreintes digitales de 5,6 millions d'employés. Selon des représentants du gouvernement, il s'agit de l'une des plus grandes fuites de données gouvernementales de l'histoire des États-Unis. Selon Andy Ozment, un représentant du Département de la sécurité intérieure des États- Unis, la faille a débuté près d'un an avant sa découverte. Les agresseurs ont d'abord obtenu des identifiants utilisateur valides pour accéder au système, probablement par des méthodes d'ingénierie sociale. Une fois à l'intérieur, ils ont activé un logiciel malveillant qui a ouvert une porte dérobée pour garantir un accès continu. Ils ont ensuite élevé leurs privilèges pour accéder à d'autres systèmes d'OPM. Cet incident illustre la manière dont une modeste brèche dans un réseau peut se développer à grande échelle pour conduire à À votre tour d'implémenter la prévention Toutes les entreprises peuvent tirer des enseignements de la faille OPM. Empêcher les attaques avant qu'elles n'infligent des dégâts et utiliser une architecture de sécurité unifiée pour simplifier et renforcer la sécurité est essentiel dans le paysage des menaces d'aujourd'hui. Segmentez votre réseau et appliquez des politiques de sécurité uniformes à tous les segments à l'aide d'une architecture de sécurité unifiée. Les correctifs ne sont pas entièrement efficaces. Utilisez les correctifs virtuels du système de prévention d'intrusions pour assurer une protection entre les phases de mises à jour périodiques. Stoppez les infections de logiciels malveillants en temps réel grâce à la prévention des menaces au niveau du processeur et du système d'exploitation. Supervisez tous les segments réseau via une console unique. l'extraction de données pendant plusieurs mois. À mesure que les réseaux se développent et sont segmentés, puis reconnectés, il peut être difficile de maîtriser le schéma des ressources du réseau. Le volume des attaques ciblant les frontières de plus en plus floues du réseau complique encore plus les choses. La faille OPM montre clairement la nécessité d'une architecture de sécurité unifiée couvrant tous les environnements serveurs et tous les types de postes, avec des mesures de sécurité préventives en temps réel ainsi que des mesures qui appliquent uniformément la prévention des fuites de données. L'analyse proactive des réseaux internes, la segmentation des éléments du réseau et l'authentification multifacteurs, contribuent également à assurer la sécurité. Celles-ci doivent faire partie de la posture de sécurité de chaque entreprise. Lorsqu'une attaque est réussie, l'analyse des méthodes utilisées en dit long sur un agresseur et ses motivations, et comment vous pouvez mieux vous en protéger à l'avenir. 6 | INTRODUCTION ET MÉTHODOLOGIE
  6. 6. TOUTES LES 4SECONDES Un logiciel malveillant connu est téléchargé TOUTES LES 5SECONDES Un poste accède à un site web malveillant TOUTES LES 30SECONDES Un événement d’émulation de menace se produit TOUTES LES 53SECONDES Un bot communique avec son serveur de commande et de contrôle TOUTES LES 81SECONDES Un logiciel malveillant connu est téléchargé TOUTES LES 4MINUTES Une application à haut risque est utilisée TOUTES LES 32MINUTES Des données confidentielles sont envoyées à l’extérieur de l’entreprise S E C O N D E S M I N U T E S INTRODUCTION ET MÉTHODOLOGIE | 7 1.1 SOURCE : Check Point Software Technologies UNE JOURNÉE TYPIQUE EN ENTREPRISE
  7. 7. 8 | INTRODUCTION ET MÉTHODOLOGIE entier tout au long de 2015  : les conclusions de plus de 1  100  rapports Security Checkup, des événements découverts via ThreatCloud (qui est connecté à plus de 25  000  passerelles dans le monde), et plus de 6  000  rapports de passerelles transmis à Threat Emulation Cloud. Nous avons combiné ces données avec l'analyse des tendances externes et les connaissances de nos équipes de recherche pour développer les recommandations de chaque section. SOURCES DE L'ÉTUDE CHECK POINT Pour conserver une longueur d'avance, nous avons recueilli des données d'événements provenant de différentes sources dans le monde 1.2 SOURCE : Check Point Software Technologies ENTREPRISES ÉTUDIÉES PAR RÉGION AMÉRIQUES 26 % EMEA 35 % APAC 39 %
  8. 8. STRUCTURE DU RAPPORT SÉCURITÉ 2016 Notre Rapport Sécurité 2016 se penche sur les logiciels malveillants connus et inconnus, et les tendances d'attaques, rencontrés par les entreprises, ainsi que l'impact du nombre croissant d'appareils mobiles dans l'entreprise. Nous examinons également les impacts des attaques réussies sur les entreprises et les dépenses supplémentaires qui vont bien au-delà des coûts évidents de désinfection Le chapitre 2 analyse les différents types de logiciels malveillants et comment ils profitent 1.3 SOURCE : Check Point Software Technologies ENTREPRISES ÉTUDIÉES PAR SECTEUR COMMERCE DE DÉTAIL ET DE GROS CONSEIL FINANCE INDUSTRIE TÉLÉCOM. AUTRE* GOUVERNEMENT 4% 1% 15% 40% 4% 23% 13% ? * Juridique, loisirs/hospitalité, publicité/medias, placements, autres INTRODUCTION ET MÉTHODOLOGIE | 9
  9. 9. 75 % des entreprises ont subi des infections de bots 82 % des entreprises ont accédé à un site web malveillant 88 % des entreprises ont subi un incident de fuite de données 89 % des entreprises ont téléchargé un fichier malveillant 94 % des entreprises ont utilisé au moins une application à haut risque 400 % d’augmentation des fuites de données durant les trois dernières années 1,5 milliard de fichiers analysés dans ce rapport 10 | INTRODUCTION ET MÉTHODOLOGIE 1.4 SOURCE : Check Point Software Technologies 2015 EN CHIFFRES
  10. 10. du comportement des utilisateurs. La majorité des faillesàgrandeéchellede2015aétérenduepossible par l'exploitation de vulnérabilités existantes, des logiciels malveillants connus et, bien sûr, des méthodes d'ingénierie sociale. Même si le nombre d'utilisateurs qui tente d'accéder à des sites malveillants augmente, le service informatique parvient à les en empêcher légèrement plus rapidement, ce qui limite l'efficacité de ce vecteur d'attaque. Les infections de bots diminuent, mais la fréquence de leurs tentatives de communication par jour est nettement plus élevée. Le chapitre  3 analyse la manière dont la révolution mobile continue d'engendrer de nouvelles possibilités d'attaque à mesure qu'un plus grand nombre d'appareils mobiles échappant à tout contrôle entre dans l'entreprise. Les entreprises réalisent qu'elles ne peuvent pas empêcher facilement les employés de connecter leurs appareils personnels aux ressources de l'entreprise,carellesontdécouvertquel'utilisation des appareils personnels en entreprise (BYOD) augmente considérablement la productivité. Malheureusement, la plate-forme mobile est une cible attrayante pour les agresseurs, la plupart des entreprises n'ayant pas implémenté de contrôles pour les protéger efficacement. Dans le chapitre  4, nous examinons les modèles d'attaques par région du monde et par type. Les États-Unis sont toujours en tête pour l'hébergement de sites web et de fichiers malveillants, en grande partie en raison du pourcentage nettement plus élevé d'utilisateurs actifs et de l'abondance des ressources. Quant aux vecteurs d'attaques préférés des pirates, l'exécution de code telle que ROP (return- oriented programming) est apparue comme étant le vecteur d'attaque le plus populaire parmi les pirates, puisque le déploiement de parades aux vulnérabilités de dépassement de mémoire tampon a rendu les vecteurs d'attaque les plus populaires de 2014 moins attrayants. Dans l'ensemble, les vulnérabilités se sont légèrement repliées en 2015, mais les éditeurs comptant les vulnérabilités les plus critiques ont changé. Les tendances peuvent changer, mais si les entreprises ne parviennent pas à implémenter des correctifs vitaux, les vecteurs d'attaques ne s'éteindront jamais vraiment. Bien que les coûts initiaux d'une brèche soient bien documentés, l'impact financier global est beaucoup plus élevé. Dans le chapitre 5, nous explorons les répercussions de l'insécurité, et présentons des exemples dans les secteurs de la finance, de la santé et de l'industrie. Maintenir la vitesse de l'activité de l'entreprise tout en la protégeant est votre meilleure stratégie financière. Conserver une longueur d'avance signifie maîtrisertouslesdomaines :logicielsmalveillants, tendances d'attaques, révolution mobile, et être conscient de l'impact de tout manquement. Vous trouverez nos recommandations dans chaque chapitre pour vous aider à conserver une longueur d'avance sur les cybercriminels. « Toute technologie suffisamment avancée est indiscernable de la magie. » Arthur C. Clarke, auteur de science-fiction INTRODUCTION ET MÉTHODOLOGIE | 11
  11. 11. 12 | CHECK POINT – RAPPORT SÉCURITÉ 2016 2 L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS Benjamin Franklin, politicien et auteur « En omettant de vous préparer, vous vous préparez à l'échec. »
  12. 12. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 13 La première étape d'une attaque consiste à amener un logiciel malveillant au travers des défenses de sécurité. En 2015, de nombreuses attaques différentes ont permis d'accomplir cela. La plupart des logiciels malveillants se cache dans du trafic légitime ou des pièces jointes, ou exploite les fonctionslégitimesdecontrôleoud'accèsauréseau. Que ce soit dans un lien, dans un document, ou en exploitant une vulnérabilité du shell, les agresseurs utilisent différentes méthodes de pénétration. Indépendamment de la méthode d'entrée, nous pouvons catégoriser les logiciels malveillants selon trois types de base  : logiciels malveillants connus, inconnus et zero-day. Près d'un million de nouveaux logiciels malveillants sont lancés chaque jour.1 L'enquête de Verizon sur les fuites de données en 2015 estime que près de 90 pour cent des attaques de 2015 ont utilisé une vulnérabilité existant depuis 2002. Le tout dernier rapport sur les risques de cybersécurité de HP2 affirme que les dix premières vulnérabilités exploitées en 2015 étaient âgées de plus d'un an, et que 29 pour cent des attaques ont utilisé un vecteur d'infection de 2010 pour lesquels il existe deux différents correctifs. Bien que le taux de logiciels malveillants inconnus soit à la hausse, les vecteurs connus continuent de dominer le paysage des menaces. Logiciel malveillant connu Un logiciel malveillant identifié par une signature. De nombreux outils de sécurité utilisent des techniques d'analyse par signature et prennent des décisions quant au blocage, mais obligent les utilisateurs à mettre à jour la base de données des signatures de leur pare-feu et de leur antivirus. Logiciel malveillant inconnu Un logiciel malveillant non identifié pour lequel il n'existe pas de signature. Il suffit simplement d'effectuer une petite modification dans un logiciel malveillant connu ou le reconditionner avec du code malveillant différent pour créer un logiciel malveillant inconnu. Cette nouvelle version inconnue peut alors contourner les défenses reposant sur des signatures. Zero-day Une exploitation de vulnérabilité qui tire parti de failles de sécurité inconnues pour lesquelles il n'existe aucune protection. TOUTES LES 5 SECONDES, UN UTILISATEUR ACCÈDE À UN SITE WEB MALVEILLANT.
  13. 13. 14 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS Cloud : votre trafic de données pourrait ne pas prendre le bon chemin Les prévisions du jour pour les datacenters sont nuageuses. Cisco estime que les datacenters dans le Cloud traiteront plus de 86 pour cent des charges de travail informatiques en 2019.3 Selon RightScale, 95 pour cent des entreprises emploient déjà des plates-formes dans le Cloud, et utilisent en moyenne 3 Clouds publics et 3 Clouds privés.4 En dépit de la migration rapide vers le Cloud, peu de professionnels de l'informatique considère que le transfert des services dans des environnements de Cloud public et privé virtualisés pourrait entraîner des turbulences pour leur sécurité. La cause des turbulences est la transition du modèle de trafic de données nord/sud des datacenters traditionnels vers le modèle est/ouest des environnements de Cloud public, à mesure que les charges de travail sont transférées hors site dans des Clouds publics. Vous direz ce que vous voudrez des datacenters traditionnels, ils ajoutent plusieurs mois au déploiement de nouvelles applications et ne sont pas très évolutifs. Ils nécessitent également une tonne d'interventions manuelles pour fonctionner. Mais en termes de sécurité, les datacenters traditionnels sont assez performants lorsqu'une passerelle de sécurité supervise les connexions entrantes. En effet, dans les datacenters traditionnels, le trafic se déplace du nord depuis les serveurs vers la passerelle de sécurité et du sud depuis la passerelle vers les serveurs. Le trafic peut même suivre des trajets nord/sud en « épingle à cheveux » qui vont d'un serveur à une passerelle puis vers un autre serveur au sein du datacenter, afin que le trafic interne puisse être inspecté. Cependant, dans les réseaux virtualisés ou logiciels déployés dans des environnements de Cloud privé, jusqu'à 80 pour cent du trafic se déplace d'est en ouest entre les applications virtualisées et différents secteurs du réseau. Les applications virtualisées peuvent migrer d'un serveur à un autre en fonction de l'utilisation des ressources. Dans ces conditions, la majorité du trafic contourne entièrement la passerelle de sécurité au niveau du périmètre. Les applications mobiles, les applications dans le Cloud, les applications des partenaires et même les applications hébergées des clients, peuvent connecter des services à des utilisateurs à l'extérieur du datacenter via différentes voies non surveillées par les contrôles de sécurité du périmètre. Lorsque des agresseurs parviennent à compromettre l'un des services web mineurs d'une entreprise par un logiciel malveillant, l'ensemble du réseau, y compris les services de base, sont menacés. Par conséquent, pour maintenir la sécurité informatique dans les Clouds virtualisés publics et privés, il est utile de penser à segmenter votre réseau et vos applications à l'aide des mêmes fonctionnalités de sécurité que les passerelles physiques, mais en ajoutant la prise en charge flexible de la micro-segmentation logicielle, qui peut être gérée de manière centralisée. Une meilleure visibilité sur les applications est également critique pour protéger les services dans le Cloud qui se déplacent dans de nouvelles directions en raison des domaines et des plates-formes dans le Cloud.
  14. 14. augmente. En 2015, 89  % des entreprises ont téléchargé un fichier malveillant, contre 63  % en 2014. En 2015, les entreprises ont téléchargé des logiciels malveillants quatre fois plus souvent, toutes les 81  secondes, plutôt que toutes les 6 minutes en 2014. Qu'est-ce que cela signifie ? Alors que les entreprises réussissent à mieux bloquer l'accès aux sites et aux fichiers malveillants, le volume des attaques donne l'avantage aux agresseurs. Les entreprises doivent évaluer et filtrer de plus importants volumes de contenus potentiellement malveillants tout en maintenant la productivité des utilisateurs. Elles doivent instantanément isoler les logiciels malveillants en temps réel pour empêcher leur propagation et leur impact négatif. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 15 PLUS D'APPAREILS, DONC PLUS DE FAÇONS D'ENTRER L'entreprise d'aujourd'hui doit protéger un nombre de télétravailleurs en augmentation spectaculaire, plusieurs sites, des applications dans le Cloud, et bien plus d'appareils que jamais auparavant. Le nombre de points d'entrée réseau nécessitant une protection continue d'augmenter. Chaque point d'entrée filaire et sans fil, les serveurs et l'infrastructure qui hébergent les applications d'entreprise, et les outils de prévention des menaces reposant sur des signatures qui les protègent, ont constamment besoin de correctifs et de mises à jour. La gestion des correctifs de sécurité critiques continue d'être un problème en 2015. Notre étude montre que les entreprises réussissent un peu mieux à empêcher les utilisateurs d'accéder àdessitesmalveillants.En2015,seulement82 %des entreprises ont accédé à un site malveillant,soit un peu moins que les 86 % de 2014. Malheureusement, d'autres indicateurs ne sont pas aussi positifs. Dans les entreprises, les utilisateurs accèdent à un site web malveillant cinq fois plus souvent en 2015, toutes les 5 secondes, plutôt que toutes les 24 secondes l'année précédente. Plus l'accès est fréquent, plus le nombre de logiciels malveillants affectant les entreprises DISCIPLINE : MEILLEURE, MAIS PAS ENCORE SUFFISANTE UN UTILISATEUR TÉLÉCHARGE UN LOGICIEL MALVEILLANT TOUTES LES 81 SECONDES 2.1 SOURCE : Check Point Software Technologies
  15. 15. 16 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS PERSISTANCE DES BOTS Les bots restent une méthode d'attaque préférée pour les agresseurs. Semblable à des vers ou des chevaux de Troie, les bots exécutent une variété de tâches automatisées une fois parvenus à l'intérieur d'un réseau, et communiquent régulièrement. Ils se répliquent sur les réseaux et les appareils adjacents ou se projettent à l'extérieur du réseau infecté. Ils envoient du spam ou participent à des attaques de déni de service et autres types d'attaques. Certains bots restent dormants jusqu'à ce qu'ils soient activés à distance via une action prédéterminée sur le poste de leur victime ou à une date ultérieure spécifique. Malgré leurs différences, les bots communiquent généralement avec un serveur de commande et de contrôle pour signaler l'état de leur activation et recevoir des instructions. Ces communications peuvent être isolées, surveillées et bloquées. En 2015, un bot typique tentait de communiquer avec son serveur de commande et de contrôle plus de 1 630 fois par jour, soit une fois toutes les 52,8 secondes. Cette fréquence continue d'augmenter : 12 % de plus que l'année précédente, et 95 % de plus qu'en 2012. Bien que les niveaux d'infections de bots ont diminué de près de 10 % en 2015 par rapport à 2014, ces chiffres restent inquiétants. Près de 75 % des entreprises étudiées ont été infectées par des bots en 2015, et 44 % des bots restaient actifs pendant plus de quatre semaines. Les attaques de bots dérobent des informations confidentielles telles que des identifiants, désactivent les services de sécurité du système, et fournissent un accès à distance pour des attaques. Les bots effectuent également des opérations à distance et téléchargent des logiciels malveillants supplémentaires. Uneanalysedesdonnéesd'attaquedesbots montrequequatrebotsspécifiques,Sality,Conficker, ZeroAccess et Cutwail, étaient responsables de 50 % des attaques de bots reconnues en 2015. Fait intéressant, ces bots proviennent tous de logiciels malveillants bien connus. 2.2 SOURCE : Check Point Software Technologies LES BOTS ESSAIENT DE COMMUNIQUER AVEC DES SERVEURS DE COMMANDE ET DE CONTRÔLE PLUS DE 1 630 FOIS PAR JOUR, SOIT TOUTES LES 52,8 SECONDES FAMILLE DOMMAGES POURCENT. SALITY Dérobe des données confidentielles 18,6 % CONFICKER Désactive les services de sécurité du système et fournit un accès à distance 18,6 % ZEROACCESS Permet des opérations à distance et télécharge des logiciels malveillants 6,7 % CUTWAIL Diffuse du spam 5,1 % GAMARUE Ouvre une porte dérobée pour des attaques 3,0 % ZEUS Dérobe des identifiants bancaires 2,7 % LDPINCH Dérobe des données confidentielles 2,1 % DELF Dérobe des identifiants 1,1 % RAMNIT Dérobe des identifiants bancaires 1,0 % GRAFTOR Télécharge des fichiers malveillants 0,9 % ATTAQUES DE BOTS RECONNUS EN 2015
  16. 16. 274 NOUVEAUX LOGICIELS MALVEILLANTS INCONNUS ONT ÉTÉ DÉCOUVERT CHAQUE MINUTE EN 2015 HAUSSE CONTINUE DES LOGICIELS MALVEILLANTS INCONNUS Dans l'ensemble, l'utilisation de logiciels malveillants inconnus par des agresseurs est restée à des niveaux historiquement élevés, en légère croissance en 2015 selon AV-TEST.5 En 2015, près de 144  millions de nouveaux logiciels malveillants ont été découverts  : 274  nouveaux logiciels malveillants inconnus ont été produits et lancés toutes les minutes en 2015. Au cours de 2015, Check Point a analysé plus de 6 000 passerelles, découvrant que 52,7 % d'entre elles ont téléchargé au moins un fichier infecté par des logiciels malveillants inconnus. En moyenne, 2  372  fichiers infectés ont été signalés par passerelle. Du côté des utilisateurs, les attaques étaient plus fréquentes et variées. Avec plus de 971  téléchargements de logiciels malveillants inconnus par heure, soit 9  fois plus que les 106  téléchargements par heure de l'année précédente, de nombreuses entreprises ont du mal à suivre. La plupart des utilisateurs savent que les risques d'infections sont plus élevés pour certains types de fichiers. Comme prévu, les fichiers .exe L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 17 2.3 SOURCE : Check Point Software Technologies 75 % DES ENTREPRISES ÉTUDIÉES ÉTAIENT INFECTÉES PAR DES BOTS 52% DES PASSERELLES ONT TÉLÉCHARGÉ AU MOINS UN FICHIER INFECTÉ PAR UN LOGICIEL MALVEILLANT INCONNU 971 LOGICIELS MALVEILLANTS INCONNUS FRAPPENT LES ENTREPRISES TOUTES LES HEURES 28 % DES FICHIERS INFECTÉS PAR DES LOGICIELS MALVEILLANTS SONT DES FICHIERS SWF (FORMAT DE FICHIER FLASH)
  17. 17. ÉTAT DE LA PROTECTION représentaient près de 30 % des fichiers infectés, et les formats de fichiers archives tels que .zip et .jar représentaient plus de 16 % en 2015. Le nombre de logiciels malveillants continue de croître dans les types de fichiers auxquels les utilisateurs font le plus confiance, tels que les fichiers Microsoft Office, PDF ou Flash, à mesure que les pirates profitent de ces types de fichiers moins menaçants. En 2015, les formats de fichiers Microsoft Office représentaient plus de 9 % des fichiers malveillants rencontrés, et les fichiers PDF représentaient 7,5 %. Flash a continué d'être un mécanisme de diffusion de logiciels malveillants, représentant 28  % des fichiers infectés par des logiciels malveillants inconnus. Les utilisateurs sont beaucoup moins susceptibles de soupçonner une infection lorsque les logiciels malveillants sont intégrés à un fichier Flash. Les infections attribuées aux publicités malveillantes et aux téléchargements automatiques exposent les utilisateursàdeslogicielsmalveillantsplusinvasifs sans qu'une action spécifique ne soit requise. L'utilisation de logiciels malveillants inconnus dans une attaque augmente les chances de réussite pour les cybercriminels. Grâce aux logiciels malveillants inconnus, les pirates travaillent plus intelligemment et ont besoin de moinsdetentativespourrencontrerplusdesuccès. La création de logiciels malveillants inconnus est plus facile que jamais. Il suffit d'apporter une légère modification à un logiciel malveillant existant pour créer une nouvelle variante inconnue et contourner les systèmes antivirus reposant sur des signatures connues. Avec près de 12  millions de nouvelles variantes de logiciels malveillants découvertes chaquemois,plusdenouveauxlogicielsmalveillants ont été découverts au cours des deux dernières années que dans les 29 années précédentes.6 4 FOIS PLUS DE TÉLÉCHARGEMENTS DE LOGICIELS MALVEILLANTS EN 2015 18 | L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS Même si les taux d'attaques et d'infections en 2015 n'ont pas augmenté au même rythme exponentiel qu'en 2013 et 2014, ils restent néanmoins stables. Le taux d'infections a même légèrement diminué en raison de l'utilisation de meilleures ressources de protection et de la sensibilisation des utilisateurs. L'érosion continue du périmètre du réseau et l'augmentation du nombre d'appareils accédant aux réseaux internes continuent de compliquer la protection. Dans le paysage actuel sans frontières du Cloud, de l'Internet des objets et des datacenters hybrides, les outils de cybersécurité doivent fournir un contrôle granulaire sur tous les segments et les environnements réseau. Les techniques de bac à sable traditionnelles ne sont plus une option, mais elles imposent des délais de traitement. Pour se protéger des attaques d'aujourd'hui, l'accent est mis sur la vitesse et la prévention. Les nouvelles techniques de protection analysent les comportements au niveau du système d'exploitation et du processeur pour stopper les logiciels malveillants lors de la phase d'exploitation d'une vulnérabilité avant qu'ils n'aient l'occasion de se déployer. Le fort volume et la combinaison d'attaques connues, inconnues et zero-day, nécessitent une approche multicouches pour protéger les entreprises. Bien qu'aucune technologie ne puisse fournir une protection complète contre tous les vecteurs de menaces, une approche bien conçue combinant plusieurs méthodes de protection et de détection peut minimiser la réussite des attaques. Avec des protections supplémentaires au stade de la post-infection, les entreprises peuvent limiter les dommages et les mouvements est-ouest.
  18. 18. PRENEZDESMESURES RECOMMANDATIONS L'informatique évolue rapidement et le paysage des menaces se transforme lui aussi. Ce changement nécessite une architecture de sécurité multicouches comprenant la prévention des menaces en temps réel et l'administration unifiée couvrant les environnements virtuels, mobiles et dans le Cloud. L'ARSENAL D'ATTAQUES : LOGICIELS MALVEILLANTS CONNUS ET INCONNUS | 19 DÉPLOYEZ UNE CYBERSÉCURITÉ MULTICOUCHES La sécurité devrait être implémentée en de multiples couches qui coordonnent automatiquement les différentes protections, en intégrant notamment  : une passerelle de sécurité, des fonctions de prévention des menaces avancées, de contrôle des applications, de prise en charge des identités, de filtrage des URL, de prévention d'intrusions, de protection de la messagerie, antispam, antibots et antivirus. STOPPEZ LES LOGICIELS MALVEILLANTS ZERO-DAY Les techniques d'évasion inconnues rendent les bacs à sable traditionnels inefficaces. La prévention des menaces en temps réel qui stoppe les logiciels malveillants dès le premier contact est la nouvelle norme de prévention des menaces. Cependant, même le meilleur bac à sable pourrait laisser passer une menace intégrée dans un document. La suppression des contenus actifs des documents évite les menaces cachées et donne aux utilisateurs un accès rapide aux contenus sains. UTILISEZ DES CORRECTIFS VIRTUELS La correction des logiciels est une pratique nécessaire, mais elle est insuffisante pour stopper les menaces. Tout d'abord, il n'existe pas de correctifs pour les vulnérabilités zero-day qui n'ont pas encore été découvertes par les chercheurs. Ensuite, pour les vulnérabilités découvertes, les éditeurs de logiciels ont besoin de temps pour 1 2 3 PRÉVENTION créer et diffuser des correctifs, ce qui laisse les réseaux ouverts à des attaques. Enfin, les équipes informatiques ont également besoin de temps pour appliquer les correctifs. Les correctifs virtuels utilisent le système de prévention d'intrusions pour protéger contre les attaques qui exploitent des vulnérabilités zero-day et connues, qui ne peuvent être corrigées ou qui n'ont pas encore été corrigées. SIMPLIFIEZ L'ADMINISTRATION DE LA SÉCURITÉ L'utilisation de plusieurs consoles pour administrer la sécurité de chaque segment réseau est inefficace. Elle conduit à des erreurs de configuration et des incohérences entre les couches de sécurité. L'administration des fonctions de sécurité, des segments et des environnements via une seule console permet de réduire les erreurs lors de la coordination des politiques de sécurité des couches de protection. UNIFIEZ LES CONTRÔLES Implémentez des contrôles unifiés qui s'étendent à tous les réseaux, systèmes, postes et environnements, y compris traditionnels, virtuels, mobiles, hybrides, dans le Cloud, et les objets connectés. 1 2 POUR EN SAVOIR PLUS checkpoint.com/sandblast ARCHITECTURE
  19. 19. 20 | CHECK POINT – RAPPORT SÉCURITÉ 2016 3 UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL « Je reçois des emails donc j'existe. » Scott Adams, dessinateur, créateur de Dilbert
  20. 20. UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 21 Plus puissants que jamais, les appareils mobiles améliorent continuellement l'accessibilité et la productivité des employés. Ils sont de plus en plus abordables, et la plupart des employés gardent leurs appareils mobiles sur eux tout au long de leur journée de travail, qu'ils les utilisent ou non pour leur travail. Avec une telle omniprésence, les appareils mobiles s'intègrent dans le tissu des entreprises de manières visible et invisible. À mesure que le nombre d'utilisateurs mobiles augmente, un tournant dans les habitudes d'utilisation s'opère, comme on peut le voir dans l'enquête de comScore en 2014. Tout d'abord, le mobile a dépassé l'ordinateur pour la consultation des médias et la navigation web.1 Parallèlement à cela, les utilisateurs brouillent facilement les lignes entre leur usage personnel et professionnel de ces appareils. Que ce soit rendu possible ou non par l'entreprise, les employés travaillent à partir de leurs appareils personnels, et accèdent à des informations personnelles sur leurs appareils professionnels, sans nécessairement réfléchir aux conséquences. L'utilisation de smartphones a augmenté de 394  % et l'utilisation de tablettes a augmenté de plus de 1 700 % au cours des quatre dernières années. Ensemble, ces plateformes représentent 60  % du temps de consultation des médias numériques.2 Une troisième étude menée par comScore et Yahoo Flurry Analytics montre qu'en moyenne, les Américains passent 162  minutes par jour à utiliser des appareils mobiles pour toutes sortes d'activités.3 Ensemble, ces trois tendances mettent en évidence un désir croissant d'accès instantané et continu à des données, que ce soit sur un appareil professionnel ou personnel. 2000 1 800 1 600 1 400 1 200 1 000 800 600 400 200 0 2007 2008 2009 2010 2011 2012 2013 2014 2015 Mobile Fixe NOMBRE D’UTILISATEURS MONDIAUX (MILLIONS) 3.1 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014 IL SUFFIT D'UNE INFECTION SUR UN APPAREIL POUR COMPROMETTRE DES DONNÉES ET DES RÉSEAUX PERSONNELS ET PROFESSIONNELS
  21. 21. 34 % Autres 25 % Réseaux sociaux 4 % Messagerie instantanée Radio 8 % Jeux 16 % Multimédia 5 % Achats 5 % Photos 4 % TEMPS D’UTILISATION DES APPLICATIONS MOBILES 3.2 SOURCE : Rapport sur les applications mobiles aux États-Unis, livre blanc comScore, août 2014 22 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL LÀ OÙ LA SÉCURITÉ EST ADAPTÉE Comme les sites web dans les années 1990 et l'accès à distance pour les ordinateurs portables une décennie plus tard, les appareils mobiles sont à la fois une malédiction en termes de sécurité et une bénédiction en termes de productivité. Comme pour les autres tendances d'accès avant eux, la sécurité mobile est en retard sur l'adoption de la mobilité, à mesure que les utilisateurs découvrent de nouvelles façons d'en tirer parti pendant leurs déplacements. La sécurité mobile est un sujet difficile pour les entreprises. Elle fait l'objet de compromis entre productivité, protection et confidentialité. Les entreprises et les utilisateurs veulent à la fois bénéficier de la productivité accrue des appareils mobiles et d'une protection lors des accès aux informations de l'entreprise, mais personne n'aime l'idée de subir des restrictions unilatérales ni se sentir surveillé. Les utilisateurs s'attendent à bénéficier d'unaccèsentoutlieuetlapossibilitéd'utiliserleurs appareils personnels à des fins professionnelles. L'employeur a pour responsabilité de comprendre comment sécuriser ses propres données, sauf si cela signifie surveiller les activités en ligne de ses employés. L'entreprise, d'autre part, doit protéger ses données avec le fardeau supplémentaire de devoir se conformer à différentes réglementations sur la confidentialité des données personnelles à travers le monde. Les exigences d'identification personnelles obligatoires dans un pays pourraient enfreindre les lois sur la vie privée dans un autre pays. L'entreprise doit pourtant se conformer aux deux à la fois. UN EMPLOYÉ SUR CINQ SERA LA CAUSE D'UNE FAILLE DU SYSTÈME D'INFORMATION DE L'ENTREPRISE, VIA DES LOGICIELS MALVEILLANTS OU DES CONNEXIONS WI-FI MALVEILLANTES
  22. 22. 19 % Outils d’accès à distance 43 % Logiciels malveillants génériques 11 % Interception réseau 12 % Vol de données 1 % App de phishing 0,5 % Logiciels rançonneurs 0,5 % Fausses app 13 % Numéroteurs surtaxés UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 23 Les logiciels malveillants, le phishing, les points d'accès Wi-Fi malveillants et autres dangers en ligne, inquiètent tout le monde. Les employés ne veulent pas être la cause d'une faille dans le réseau de l'entreprise. Pourtant, une personne sur cinq en sera la cause, via des logiciels malveillants ou des connexions Wi-Fi malveillantes.4 La sécurité mobile doit inclure plusieurs briques répondant aux différents aspects de la problématique de sécurité : Les conteneurs sécurisés empêchent les fuites de données entre les applications personnelles et professionnelles hébergées sur le même appareil La prévention des menaces mobiles offre une protection contre les comportements malveillantes des applications et stoppe en temps réel les menaces connues, inconnues et zero-day qui ciblent les appareils iOS et Android. Ces fonctions seules ne sont pas suffisantes, et les équipes informatiques n'ont bien entendu pas besoin d'un système de plus à gérer. Leur intégration dans une console de sécurité unique est une priorité. 3.3 SOURCE : Check Point Software Technologies TENDANCES D'ATTAQUES MOBILES Après avoir analysé les tendances de 2015, nous possédons désormais une visibilité sur les points d'entrée des attaques, ainsi que sur les types de données dérobées. Les trois principaux vecteurs d'attaques utilisés pour cibler les appareils mobiles sont les applications infectées, les attaques réseau et l'exploitation des vulnérabilités des systèmes d'exploitation. Une fois à l'intérieur d'un appareil mobile, les cybercriminels exfiltrent des données et des identifiants par email, accèdent aux capteurs tels que le microphone ou l'appareil photo, et surveillent la localisation de l'appareil. Entre septembre 2014 et février 2015, Apple iOS était la cible la plus fréquente des cybercriminels, avec cinq différentes attaques contre le système d'exploitation : XSSer, WireLurker, Masque, Pawn Storm, et des outils commerciaux d'accès à distance. À l'automne 2015, le nombre d'attaques menées contre les appareils Apple iOS et Android a été multiplié par cinq. MENACES MOBILES
  23. 23. Mobilité : cinq nouvelles tendances des logiciels malveillants Android La domination d'Android sur le marché mobile a inauguré une nouvelle ère pour les logiciels malveillants. Les logiciels malveillants ciblant les appareils Android ont gagné en sophistication en quelques années. Voici quelques-unes des dernières menaces Android que les chercheurs de Check Point ont découvert. 1. Obscurcissement. À mesure que les éditeurs de solutions de sécurité combattent les logiciels malveillants Android, les cybercriminels développent de nouvelles manière de masquer ou « obscurcir » leurs logiciels malveillants. En chiffrant les composants malveillants, les cybercriminels peuvent contourner de nombreuses solutions de sécurité, y compris Google Bouncer qui protège la boutique d'applications Google Play. Certains auteurs dissimulent même les clés qu'ils utilisent pour déchiffrer les composants malveillants, ce qui rend leurs attaques encore plus difficiles à détecter. 2. Téléchargeurs. Les auteurs de logiciels malveillants utilisent des « téléchargeurs » pour s'infiltrer dans Google Play. Ils commencent par soumettre une application apparemment bénigne dans Google Play. Google approuve l'application car elle ne contient pas de code malveillant. Une fois qu'un utilisateur installe l'application sur un appareil, celle-ci contacte le serveur de l'agresseur, et télécharge un composant malveillant dans l'appareil de l'utilisateur. 3. Redondance. Les logiciels malveillants intègrent souvent plusieurs composants conçus dans un but différent. Deux composants peuvent chercher à atteindre le même objectif, mais de façon différente. Si un composant malveillant est détecté et désinfecté, l'attaque peut se poursuivre à l'aide du second composant. Même si un élément critique est désactivé, il est plus facile pour l'agresseur de modifier cette partie que de modifier l'ensemble du logiciel malveillant. 4. Persistance. Les auteurs de logiciels malveillants utilisent plusieurs tactiques pour rester sur les appareils infectés. Par exemple, ils pourraient cacher l'icône de l'application, retarder une activité malveillante pendant des semaines ou des mois, se faire passer pour une autre application, ou obtenir des privilèges élevés pour empêcher les utilisateurs de la désinstaller. L'objectif est le même : rester sur l'appareil pour effectuer des activités malveillantes. 5. Élévation de privilège. Récemment, les auteurs de logiciels malveillants ont utilisé des méthodes d'ingénierie sociale pour tromper les utilisateurs et les conduire à leur affecter des privilèges élevés. D'autres agresseurs utilisent des exploitations de vulnérabilités pour obtenir des autorisations privilégiées. En raison des différentes versions d'Android utilisées, chacun avec ses propres vulnérabilités, les correctifs de sécurité peuvent prendre des mois pour atteindre les utilisateurs, si toutefois ils les atteignent. Cela laisse les utilisateurs vulnérables aux menaces connues pendant de longues périodes. Les auteurs de logiciels malveillants utilisent ces délais pour cibler les utilisateurs à l'aide de kits capables d'exploiter des vulnérabilités connues dans les appareils Android. Ils sont aussi novateurs et bien financés qu'ils sont persistants, et ils continueront de mettre au point de nouvelles techniques pour atteindre leurs objectifs. Pour conserver une longueur d'avance sur l'évolution des menaces Android, les entreprises et les utilisateurs doivent utiliser des solutions avancées capables de stopper les menaces mobiles. 24 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL
  24. 24. 3.4 SOURCE : Check Point Software Technologies Dans l'ensemble, les cinq grandes catégories d'attaques et de vulnérabilités ciblant les appareils mobiles sont : 1.Vulnérabilitéssystème.Lesvariantesdusystème d'exploitation augmentent le nombre de vecteurs d'attaques. Android est particulièrement vulnérable car il prend en charge plus de 24  000  types de smartphones et tablettes. Les correctifs de sécurité pour chaque version peuvent prendre des semaines ou des mois de développements et de tests, ce qui fait des utilisateurs des proies faciles. 2. Accès root et changements de configuration. Le rootage ou jailbreaking d'un téléphone donne non seulement aux amateurs un accès plus étendu, mais aux cybercriminels également. Une série d'attaques prévue pour contourner les limites de la politique de sécurité en matière de modification des paramètres et des configurations crée des changements subtils sans que les utilisateurs le sachent. 3. Fausses applications et applications reconverties. Comme le phishing, les fausses applications semblent réelles, mais ont des fonctionnalités inattendues. Les applications malveillantes qui contrôlent à distance, activent le microphone, l'appareil photo ou le GPS, sont de plus en plus courantes. 4. Chevaux de Troie et logiciels malveillants. L'intégration de code malveillant dans des pièces jointes et des applications reste un sujet de préoccupation sur les appareils mobiles. Beaucoup ne possèdent pas d'antivirus ni de système de prévention des menaces, et les écrans de taille réduite ne facilitent pas la détection des inexactitudes dans les applications. 5. Attaques de type «  homme du milieu  ». Les points d'accès Wi-Fi gratuits et publics sont très faciles à contrefaire, ce qui les rend plus courants. La contrefaçon de certificats de sécurité facilite l'interception et la modification des données en transit, ou installation de chevaux de Troie. TOUTES DERNIÈRES ATTAQUES ET VULNÉRABILITÉS iOS Android Attaque XSSer SEPTEMBRE Attaque WireLurker Masque NOVEMBRE Attaque Pawn Storm Outils commerciaux d’accès à distance FÉVRIER Attaque Fobus (fraude) JUILLET Attaque Hacking Team Masque KeyRaider Vulnérabilité Ins0mnia Quicksand Vulnérabilité Navig. Dolphin Stagefright Serialization Certifi-gate Multitasking AOÛT Attaque XcodeGhost Vulnérabilité Messages SiriAccess Attaque Hacking Team MKero.A (CAPTCHA) Recordable Activator Mapin (botnet) Brain Test (obscurcis.) Vulnérabilité Lockerpin.A (log. rançon.) Contournement de l’écran de verrouillage SEPTEMBRE OCTOBRE Vulnérabilité Nouvelle vulnérabilité CPiOS DÉCEMBRE Attaque YiSpecter Vulnérabilité Control Siri Attaque Kemoge Vulnérabilité Stagefright 2.0 2014 2015 UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 25
  25. 25. CRÉATION D'UNE BARRIÈRE La prévention des menaces mobiles crée une barrière fiable. Elle utilise l'analyse des comportements pour bloquer les menaces avant qu'elles ne pénètrent dans les appareils mobiles, et offre une visibilité sur les tentatives d'attaques. À un niveau plus élevé, l'intégration de la gestion des appareils et la prévention des menaces avec le pare-feu de nouvelle génération et la sécurité virtualisée dans le Cloud améliore à la fois la détection et le blocage des tentatives d'attaques. Bien sûr, toutes ces ressources doivent être gérées. Leur intégration dans une plate-forme de gestion unifiée est essentielle à l'efficacité de votre barrière de sécurité mobile. La mobilité exige la sensibilisation des utilisateurs et leur vigilance. Bien que les types d'attaques varient, l'objectif de l'entreprise reste le même. Les équipes de sécurité doivent créer une barrière entre l'appareil personnel d'un employé et le réseau de l'entreprise, à l'aide de plusieurs éléments fonctionnant en parallèle. 26 | UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL Elie Wiesel, écrivain et activiste politique « Une fois que vous mettez une vie au monde, vous devez la protéger. Nous devons la protéger en changeant le monde. »
  26. 26. PRENEZDESMESURES MEILLEURES PRATIQUES POUR PROTÉGER VOS ACTIVITÉS MOBILES SENSIBILISEZ VOS COLLABORATEURS Nous sous-estimons souvent le risque pour la confidentialité et la sécurité que nos smartphones et tablettes nous apportent. Assurez-vous que vos collaborateurs comprennent les menaces telles que les escroqueries par phishing et les points d'accès Wi-Fi non sécurisés. Devenir une victime ne compromet pas seulement la confidentialité des données personnelles, mais peut également mettre en péril les données confidentielles de l'entreprise hébergées sur les appareils mobiles. DÉFINISSEZ VOTRE NIVEAU DE TOLÉRANCE AUX RISQUES Toutes les entreprises ont les mêmes besoins en sécurité mobile, mais pas tous les employés ont besoin du même niveau de protection. Il est également important de trouver un juste équilibre entre protection contre les menaces et expérience utilisateur. Envisagez une approche prescriptive de la sécurité mobile capable de faire les deux. Définissez des politiques de sécurité reposant à la fois sur les rôles des employés qui ont accès et les types de protection adaptés aux différents types de données confidentielles. APPLIQUEZ DES MESURES DE BASE Un nombre surprenant de gens ne comprennent pas entièrement les bases de la sécurité mobile : Activez les mots de passe ou les verrous biométriques, activez la localisation et les fonctionnalités de suppression à distance, et utilisez le chiffrement sur l'appareil s'il est disponible. Veiller à ce que les utilisateurs finaux disposent toujours des toutes dernières versions du système d'exploitation. Ces mesures de base protègent les appareils mobiles 1 2 3 et les données, ont un net impact sur vos efforts de sécurité, et protègent également les données personnelles. SÉPAREZ DONNÉES PERSONNELLES ET PROFESSIONNELLES La création d'une barrière sécurisée entre les données professionnelles confidentielles et les données personnelles des employés hébergées sur leurs appareils mobiles est un excellent moyen d'assurer que des erreurs ne se produisent pas. Les messages et les fichiers stockés dans des conteneurs sécurisés peuvent être protégés et chiffrés séparément de l'espace personnel sur un appareil. La gestion des conteneurs sécurisés pour gérer les données est plus rapide et plus facile que la gestion des appareils et de multiples politiques. INVESTISSEZ EN PRÉVISION D'UN AVENIR INCERTAIN Vous pouvez être sûr que les menaces dont vous n'avez pas conscience aujourd'hui sont celles qui vous prendront demain au dépourvu. Il est donc important d'investir dans des technologies de prévention qui conservent une avance sur les menaces. Celles-ci devraient également s'intégrer avec les solutions que vous avez en place aujourd'hui pour protéger les appareils mobiles tout en prolongeant votre retour sur investissement. 4 5 POUR EN SAVOIR PLUS checkpoint.com/mobilesecurity UN APPAREIL POUR USAGE PERSONNEL ET PROFESSIONNEL | 27
  27. 27. 28 | CHECK POINT – RAPPORT SÉCURITÉ 2016 4 « Toutes les technologies doivent être considérées comme étant coupables jusqu'à preuve de leur innocence. » Jerry Mander, activiste et auteur ÉTUDE DES MODÈLES D'ATTAQUES
  28. 28. ÉTUDE DES MODÈLES D'ATTAQUES | 29 que près de 50 % des internautes dans le monde se situent en Asie, ils représentent le plus petit pourcentage de comportement malveillant.1 Les États-Unis, qui représentent moins de 10  % des internautes du monde entier, hébergent 26 % des contenus malveillants. Même s'il semble que les agresseurs introduisent constamment de nouvelles attaques, l'analyse montre que le plus souvent, les logiciels malveillants et les techniques d'attaques tirent parti d'attaques antérieures et de faiblesses connues. Créer de nouvelles variantes inconnues à partir de logiciels malveillants connus est relativement peu coûteuxetsimplepourlespirates,mêmedébutants. Les kits d'exploitation de vulnérabilités sont passés de simples trousses à outils à des offres complètes de services pour la cybercriminalité. Dans le cadre de ces offres, les opérateurs paient à l'utilisation, uniquementlorsqueleslogicielsmalveillantsontété installés avec succès sur la machine d'une victime. Les pirates ont une multitude de choix quant Pour conserver une longueur d'avance sur les agresseurs, il faut comprendre les méthodes qu'ils utilisent, les voies qu'ils suivent et les endroits où ils obtiennent des résultats. L'étude des caractéristiques et des tendances d'attaques est une partie importante de ce récit. En 2015, les logiciels rançonneurs ont fait la une de l'actualité, car les entreprises et les particuliers étaient prêts à payer pour récupérer l'accès à leurs fichiers chiffrés et verrouillés par des logiciels malveillants. L'absence de sauvegarde récente ou le temps nécessaire à la restauration de la sauvegarde a conduit de nombreuses entreprises à choisir de payer pour obtenir la clé de déchiffrement de leurs propres contenus, tout en essayant d'empêcher la prochaine attaque. Dès qu'il existe une solution pour lutter contre un type d'attaque, de nouvelles méthodes alternatives le remplacent. L'analyse révèle des modèles distincts dans ces nouvelles menaces. Par exemple, alors 4.1 SOURCE : Statistiques mondiales d'Internet, www.internetworldstats.com/stats.htm, novembre 2015 INTERNAUTES DANS LE MONDE PAR RÉGION Amérique latine/ Caraïbes 10,2 % 48,2 % Asie Europe 18 % Amérique du Nord 9,3 % Afrique 9,8 % 3,7 % Moyen-Orient Océanie/ 0,8 % Australie
  29. 29. Logiciels rançonneurs : pour s'enrichir plus intelligemment sans effort 30 | ÉTUDE DES MODÈLES D'ATTAQUES Comme les entreprises légitimes, les cybercriminels doivent parfois se réoutiller lorsque la performance d'un « produit » diminue. En analysant les renseignements de cette année, Check Point a découvert que les criminels développaient leurs attaques de logiciels rançonneurs tout en réduisant celles des chevaux de Troie bancaires. Il existe plusieurs raisons pour lesquelles nous pensons que les logiciels rançonneurs, qui attaquent en chiffrant les fichiers d'un utilisateur et en exigeant le paiement d'une rançon pour les déchiffrer, deviendront la méthode d'attaque privilégiée de ceux qui veulent « voler intelligemment sans effort ». Vol difficile : les logiciels malveillants bancaires Vider des comptes bancaires en ligne était auparavant facile : il suffisait d'amener les utilisateurs à une fausse copie du site web de leur banque, capturer leurs identifiants de connexion, puis se connecter sur le véritable site web de la banque pour transférer des fonds vers le compte d'une mule. Les agresseurs doivent désormais composer avec l'authentification à 2 facteurs et se connecter au site de la banque à partir de l'ordinateur et de l'appareil reconnu des utilisateurs. Les transferts de fonds peuvent déclencher des systèmes antifraude qui bloquent les transferts et gèlent les comptes. Les criminels doivent également personnaliser les contenus des faux sites web de chaque banque cible. Vol intelligent : les logiciels rançonneurs Les logiciels rançonneurs peuvent attaquer n'importe quel utilisateur, pas seulement les clients des banques, ce qui augmente considérablement la population de cibles potentielles par rapport aux logiciels malveillants bancaires. Ils forcent les victimes à payer rapidement au risque de perdre l'accès à leurs contenus vitaux sans qu'il soit nécessaire aux utilisateurs de se connecter pour capturer leurs identifiants. Après le chiffrement des données, une demande de rançon indique aux victimes comment payer, ou comment trouver le « propriétaire » dans l'Internet anonyme et clandestin TOR. De récentes données montrent que certains logiciels rançonneurs intègrent une clé afin de leur éviter d'avoir à communiquer avec un serveur externe pour obtenir les clés de
  30. 30. ÉTUDES DES MODÈLES D'ATTAQUES | 31 chiffrement avant de lancer l'attaque. Aucun serveur de contrôle n'étant nécessaire, une seule approche de logiciel rançonneur fonctionne pour tous les utilisateurs. Seule la courte note de rançon nécessite une traduction mais les agresseurs peuvent diriger les victimes vers Google Translate pour éviter entièrement ce travail de traduction. Les logiciels rançonneurs utilisent généralement des méthodes de paiement alternatives telles que bitcoin, ce qui permet des transferts de fonds que les utilisateurs ne peuvent contester et que les banques ne peuvent annuler. Le brouillage des portefeuilles de bitcoins empêche les autorités de retracer les transactions, et il est facile de convertir anonymement des bitcoins dans toute autre monnaie. Résumé Quatre facteurs facilitent les attaques de logiciels rançonneurs : 1. Les logiciels rançonneurs ciblent de nombreuses victimes potentielles. 2. Les attaques nécessitent peu d'efforts car il n'est pas nécessaire d'héberger ni de maintenir de serveurs personnalisés pour chaque base ciblée. 3. Les attaques sont simples à réaliser de bout en bout. 4. La réception des paiements des victimes est quasi-assurée et intraçable. Prédictions • Avec des profits élevés et peu d'efforts, nous nous attendons à ce que les attaques de logiciels rançonneurs augmentent. • Comme les logiciels malveillants bancaires, nous nous attendons à ce que des défenses avancées forcent les logiciels rançonneurs à devenir plus complexes et plus évasifs. • Le nombre réduit de victimes de logiciels rançonneurs obligera les menaces à cibler les grandes entreprises pour améliorer les résultats de chaque attaque. Nous nous attendons à voir plus de cas similaires aux attaques telles que Samsam sur des hôpitaux et des entreprises. • Les attaques vont se déplacer à l'intérieur des entreprises ou sur du stockage partagé pour chiffrer les données. Cela permettra d'accroître le montant des paiements en impliquant plusieurs utilisateurs. • Pour le secteur public, nous nous attendons à l'émergence de nouvelles formes d'attaques telles que des logiciels rançonneurs de chantage, menaçant de divulguer des informations embarrassantes au risque d'exposer publiquement les utilisateurs s'ils ne paient pas.
  31. 31. 9,5 % Pays-Bas 5,2 % Suisse 5,3 % Pologne 47,6 %États-Unis 4,9 % Chine 26 % Allemagne 8,7 % Portugal 5,4 % Grande-Bretagne États-Unis 24,8 %Autres 3,9 % Fichiers malveillants Sites web malveillants 32 | ÉTUDE DES MODÈLES D'ATTAQUES aux logiciels malveillants connus et inconnus, et les points d'entrée facilement exploitables dans Android et Microsoft Windows. Pour conserver une longueur d'avance, notre équipe de recherche analyse un large éventail d'aspects de ces d'attaque et améliore en permanence les défenses contre les menaces inconnues et zero-day. Certains éléments comprennent : • La provenance des attaques • Les types d'attaques les plus populaires • Les plus grandes zones de vulnérabilité • Comment les agresseurs parviennent à entrer Ces données aident Check Point à ajuster et affiner ses flux de renseignements sur les menaces. La compréhension des origines, des destinations et des méthodes clés des attaques, façonne les approches pour une meilleure défense. ORIGINE DES ATTAQUES Parmi les 7,4 milliards de personnes sur la planète, moins de 5 % vivent aux États-Unis. Malgré cela, les États-Unis sont en tête en matière d'hébergement de fichiers et de sites web malveillants. Bien que cela semble disproportionné, les États-Unis comptent deux foix plus d'internautes par habitant que le reste du monde, avec une moyenne de 87,9 % par rapport à la moyenne du reste du monde de 44,2%.2 Les États-Unis comptent également la majorité des marques Internet pionnières, ce qui en fait une cible attrayante. Une population technophile crée plus d'innovations, à la fois utiles et malveillantes. 4.2 SOURCE : Check Point Software Technologies POURCENTAGE DES PRINCIPAUX PAYS HÉBERGEANT DES FICHIERS ET DES SITES MALVEILLANTS
  32. 32. 2014 2015 POURCENTAGE DES PRINCIPAUX VECTEURS D’ATTAQUES DÉNI DE SERVICE FUITE DE DONNÉES CORRUPTION MÉMOIRE EXÉCUTION DE CODE 60 % 35 % 10 % 34 % 30 % 19 % 68 % 39 % 6 % 43 %DÉPASSEMENT DE MÉMOIRE TAMPON ÉTUDE DES MODÈLES D'ATTAQUES | 33 laisser de trace. Pour plus d'informations sur ce sujet, consultez notre billet de blog Heartbleed sur www.checkpoint.com. Avec la disponibilité de correctifs pour protéger les entreprises contre cette vulnérabilité, les agresseurs ont été obligé de passer à d'autres vecteurs d'attaques. Même des années après la disponibilité de correctifs pour Heartbleed, l'exploitation de cette vulnérabilité3 reste encore viable car toutes les entreprises ne les ont pas installés. En 2015, les modèles d'attaques ont changé, et près de 68 % des entreprises ont connu au moins une attaque d'exécution de code. Ces attaques ont besoin d'une technique pour exécuter du code à distance. Les exécutions de code peuvent être déclenchées même en présence de défenses, ce qui les rend très attrayantes. Une des techniques d'exécution de code les plus populaires est TYPES D'ATTAQUES LES PLUS POPULAIRES Les passerelles de sécurité Check Point signalent chaque année les méthodes d'attaques privilégiées, ou principaux vecteurs d'attaques. En 2014, les trois principaux vecteurs d'attaques étaient les dénis de service (DoS), les dépassements de mémoire tampon et l'exécution de code. En 2015, les dépassements de mémoire tampon ont fortement chuté, et l'exécution de code est devenue le vecteur le plus populaire. LebugHeartbleedafaitdudépassementde mémoire tampon la méthode d'attaque dominante de 2014. Son nom provient de l'exploitation d'une faille dans la fonction heartbeat du protocole TLS (sécurité de la couche de transport). Grâce à ce bug, des agresseurs utilisaient des serveurs vulnérables pour récupérer jusqu'à 64  Ko de données confidentielles de manière répétée dans la mémoire de l'ordinateur, sans 36 ATTAQUES D'EXÉCUTION DE CODE ONT EU LIEU CHAQUE JOUR EN 2015 4.3 SOURCE : Check Point Software Technologies
  33. 33. 34 | ÉTUDE DES MODÈLES D'ATTAQUES ROP (return-oriented programming). Lors de l'ouverture d'un document infecté, ROP détourne de petits morceaux de code légitimes et ordonne au processeur de les charger et d'exécuter le logiciel malveillant réel. Apparaissant légitime pour la plupart des systèmes de sécurité, la détection de cette manipulation au niveau du processeur est essentielle pour stopper les attaques avant même qu'elles ne se produisent. Les dénis de service continuent d'être un moyen attrayant d'attaque et de perturbation, avec 35,1  % des entreprises victimes d'au moins une attaque DDoS. En 2015, les attaques DDoS sont passées à 73 événements par jour, par rapport à un chiffre déjà stupéfiant de 48 événements par jour en 2014. UNE NOUVELLE ATTAQUE DDOS S'EST PRODUITE TOUTES LES 20 MINUTES PLUS GRANDES ZONES DE VULNÉRABILITÉS Des vulnérabilités existent dans la plupart des logiciels que nous utilisons dans l'entreprise. L'un des plus grands référentiels de vulnérabilités connues, la base de données CVE (vulnérabilités courantes), signale que les vulnérabilités de 2015 étaient de 15 % supérieures à la moyenne observée au cours des huit précédentes années. Les logiciels malveillants qui exploitent des vulnérabilités connues restent une menace importante, ce qui fait des correctifs et des mises à jour une nécessité pour tous les logiciels. Des points d'entrée existent dans de nombreux endroits. La lutte contre les logiciels malveillants connus nécessite l'application régulière de patchs correctifs et de mises à 5 6322008 5 7322009 4 6392010 4 1502011 5 2882012 5 1862013 7 9372014 6 4882015 NOMBRE DE VULNÉRABILITÉS COURANTES 4.4 SOURCE : Base de données CVE (vulnérabilités courantes)
  34. 34. ÉTUDE DES MODÈLES D'ATTAQUES | 35 jour sur une quantité sans cesse croissante de matériels. Les serveurs, les outils de sécurité, les ordinateurs, les points d'accès sans fil et même les imprimantes réseau nécessitent des mises à jour régulières. Avec autant d'équipements et de points d'entrée dans le réseau, il est facile d'en oublier certains. COMMENT LES PIRATES PARVIENNENT À ENTRER Même si elle est en légère diminution par rapport aux années précédentes, l'énorme base installée de systèmes d'exploitation, navigateurs, applications de productivité et autres de Microsoft, reste en tête du volume d'événements de sécurité. Joomla et WordPress pour le web et le commerce électronique sont remontés dans le classement cette année. L'open source est très commun, et les systèmes de gestion des contenus (CMS) sont des applications extrêmement attrayantes pour les cybercriminels, comme moyen de diffusion de logiciels malveillants. SuperFish a rejoint les premières places du classement en 2015. Ce logiciel publicitaire, découvert sur de nombreux ordinateurs Lenovo, fait bien plus que d'intercepter des résultats de recherche. Il est mesure d'intercepter les recherches chiffrées en installant un certificat racine de confiance non unique pour usurper le trafic HTTPS. SuperFish permet à des pirates d'exécuter une attaque classique de type homme du milieu sans alerter le navigateur. C'est devenu un vecteur d'attaque populaire, qui a entraîné un avertissement de la part du gouvernement américain en février 2015 pour les utilisateurs de Lenovo.4 Lenovo l'a depuis retiré de ses nouveaux ordinateurs. 4.5 SOURCE : Check Point Software Technologies 2014 2015 POURCENTAGE D’ÉVÉNEMENTS DE SÉCURITÉ PAR PRINCIPAUX ÉDITEURS MICROSOFT ADOBE APACHE HP SUN/ORACLE MOZILLA JOOMLA MICROSOFT JOOMLA SUPERFISH WORDPRESS MORPHEUS APACHE ADOBE 8 % 8 % 63 % 17 % 12 % 9 % 7 % 6 % 5 % 14 % 3 % 6 % 3 % 77 %
  35. 35. Phishing : de plus gros appâts pour attraper les entreprises Au bout de deux décennies, les escroqueries par phishing qui convainquent les utilisateurs de révéler des informations confidentielles, telles que des numéros de cartes bancaires et des identifiants bancaires, restent une source de revenus populaire pour les cybercriminels. Comme les utilisateurs sont devenus plus conscients des risques, et que la détection du spam et du phishing s'est améliorée, les criminels se sont tournés vers d'autres techniques pour améliorer leur taux de réussite. Cependant, ces nouvelles approches prennent plus de temps et d'efforts à mettre en œuvre, et fournissent des résultats relativement modestes pour chaque délit. Pour maximiser leur « prise », les criminels recalibrent les attaques de phishing massives prévues pour des utilisateurs aléatoires en attaques très ciblées sur des employés de grande valeur en entreprise. Évolution du phishing Le phishing ciblé est le nom donné à des attaques très ciblées qui utilisent des méthodes d'escroquerie et d'ingénierie sociale pour dérober des identifiants et autres informations utiles auprès de groupes d'utilisateurs spécifiques, d'entreprises spécifiques, ou même d'individus spécifiques. Pour mener une attaque de phishing ciblée réussie, l'auteur investit beaucoup plus de temps et d'efforts de préparation pour recueillir des informations détaillées sur les cibles visées. Par exemple, un agresseur peut mener des recherches sur les fournisseurs utilisés par la société, les prestataires tels que les cabinets comptables ou les partenaires commerciaux de l'entreprise. L'agresseur identifie ensuite des individus spécifiques et leurs adresses email, et leur envoie des emails falsifiés apparaissant comme légitime à presque tous les égards. Les emails invitent les utilisateurs à ouvrir une pièce jointe ou les redirigent vers un site web contrefait de grande qualité. Le résultat net de ces méthodes améliorées d'ingénierie sociale est un taux de réussite beaucoup plus élevé. Les entreprises ayant généralement des réserves financières beaucoup plus importantes que l'utilisateur moyen, la « prise » typique de chaque escroquerie de phishing ciblé est nettement plus élevée. Chasse à la baleine Le phishing ciblé se transforme désormais en attaques de « chasse à la baleine ». Cette forme élaborée de phishing ciblé vise généralement les cadres de direction, et tire son nom de la « pêche aux gros poissons ». Par exemple, un agresseur pourrait envoyer un email falsifié se faisant passer pour une correspondance du PDG au directeur financier, lui demandant de transférer des fonds sur un compte bancaire spécifique. Ces approches sont si crédibles qu'elles ont réussi à convaincre certains professionnels avisés. Au moment où la vérité est découverte, l'argent a disparu depuis longtemps. Pour effacer toute trace, certains agresseurs utilisent des comptes de mules pour une seule attaque. Selon le FBI, au cours des deux dernières années et demie, les escroqueries de chasse à la baleine ont détourné plus de 2 milliards d'euros des entreprises. Il est certain que les agresseurs continueront de développer des moyens innovants pour conduire les utilisateurs à compromettre leurs systèmes. La sensibilisation des utilisateurs et des technologies de pointe sont nécessaires pour empêcher les utilisateurs de devenir victimes de ces escroqueries. 36 | ÉTUDE DES MODÈLES D'ATTAQUES
  36. 36. PRENEZDESMESURES MEILLEURES PRATIQUES Les entreprises ont besoin d'une stratégie unifiée de prévention des menaces. Les logiciels malveillants connus restent une grande menace. De nouvelles techniques font croître le volume de logiciels malveillants inconnus et zero-day de manière significative. Elles exigent des solutions capables de stopper les menaces connues et inconnues en temps réel, y compris les menaces les plus évasives. La supervision des communicationssortantesestégalementimportantepourrepérerlescomportements anormaux avant que des dommages ne se produisent. UNIFIEZ L'ARCHITECTURE Protégez votre réseau contre les logiciels malveillants et les menaces zero-day avancées. Étendez ces protections aux postes fixes et mobiles, aux services dans le Cloud et aux environnements virtuels pour empêcher les menaces de se propager dans l'entreprise. PROTÉGEZ TOUS LES ENVIRONNEMENTS Utilisez une architecture de sécurité agnostique pour stopper les menaces de manière uniforme contre les datacenters, les plates-formes dans Cloud, les datacenters logiciels, sous forme de services, hybrides, et les environnements mobiles. STOPPEZ LES LOGICIELS MALVEILLANTS ET LES EXPLOITATIONS DE VULNÉRABILITÉS ZERO-DAY L'augmentation des attaques d'exécution de code, y compris des techniques avancées telles que ROP, contournent les bacs à sable traditionnels. L'émulation des menaces au niveau du processeur détecte les logiciels malveillants lors de la phase d'exploitation, avant que les pirates n'appliquent des techniques de contournement du bac à sable. 1 2 3 ADMINISTREZ LA SÉCURITÉ VIA UNE SEULE CONSOLE L'administration unifiée de la sécurité améliore l'efficacité de la sécurité et la visibilité sur les journaux. ADOPTEZ UNE MÉTHODOLOGIE DE TRAITEMENT DES INCIDENTS Jusqu'à ce que vous ayez unifié la prévention en temps réel, vous avez besoin de continuer de traiter les incidents. L'équipe de traitement des incidents de Check Point est disponible 24 heures sur 24 et 365 jours par an pour analyser et résoudre les attaques de logiciels malveillants et autres événements de sécurité touchant votre entreprise. Contactez-nous au +1 866 923 0907 ou par email à emergency-response@checkpoint.com. 4 5 POUR EN SAVOIR PLUS checkpoint.com/management ÉTUDE DES MODÈLES D'ATTAQUES | 37
  37. 37. 38 | CHECK POINT – RAPPORT SÉCURITÉ 2016 5 RÉPERCUSSIONS DE L'INSÉCURITÉ « Tout ce que nous faisons, même la moindre chose, peut avoir une conséquence et des répercussions qui en émanent. Si vous jetez un caillou dans l'eau d'un côté de l'océan, un raz de marée peut se produire de l'autre côté. » Victor Webster, acteur
  38. 38. RÉPERCUSSIONS DE L'INSÉCURITÉ | 39 Vous changerez vos habitudes non seulement pour combattre l'insécurité, mais pour vous sentir plus en sécurité, ce qui peut être plus coûteux. Les failles en entreprise ne sont pas différentes. Là aussi, les répercussions peuvent être plus dommageables que l'événement initial. Le calcul de la valeur financière de l'informationestcomplexe,maisilexisteaujourd'hui plusieurs façons de l'estimer. En 2013 et en 2014, une vague d'attaques a ciblé de grandes entreprises telles qu'Anthem, Target, Home Depot et Sony, pour obtenir des renseignements personnels. Le coût moyen d'une fuite de données est de 136  euros par enregistrement selon une étude de Ponemon, et pour les nombreux incidents impliquant des milliers, voire des millions d'enregistrements, le coût total moyen d'une seule fuite est passé à 3,35 millions d'euros en 2015.1 L'impact de la cybercriminalité coûte plus cher que la valeur de l'information dérobée. Les répercussions sont souvent plus dommageables que le vol même. La perte de confiance, aussi bien au sein de votre entreprise que de vos clients, vous conduit à dépenser plus que nécessaire sur les remèdes, tels que dédommager les fournisseurs et les partenaires touchés, et provoque la fuite de vos clients. Si quelqu'un faisait irruption dans votre maison, vous ne vous sentiriez pas en sécurité. Votre compagnie d'assurance vous remboursera la valeur des objets volés, mais le sentiment de sécurité ne peut être remplacé si facilement. Vous deviendrez plus prudent et investirez même dans un système de sécurité plus moderne, ou commencerez à stocker vos objets de valeur ailleurs, ou bien vous sortirez moins, pour vous sentir plus en sécurité. 5.1 SOURCE : Indice de niveau de faille de Gemalto 2014 2015 RÉPARTITION DES PRINCIPALES FUITES DE DONNÉES PAR SECTEUR COMMERCE DE DÉTAIL TECHNOLOGIE AUTRE SANTÉ GOUVERNEMENTÉDUCATION 9% 17% 19% 4% 42% 3% 5% 53% 5% 14% 5%
  39. 39. 40 | RÉPERCUSSIONS DE L'INSÉCURITÉ En 2015, le nombre de failles a diminué légèrement, passant de 1 milliard de dossiers en 2014 à un peu plus de 700 millions en 2015, selon le cabinet d'études Gemalto.2 Bien que cela semble prometteur, tous les enregistrements n'ont pas la même valeur. En 2014, la cible principale était les données de cartes bancaires qui ont une durée de vie relativement courte, les banques annulant les débits et réémettant de nouvelles cartes rapidement. En 2015, les agresseurs sont passés à des données avec une durée de vie plus longue : renseignements personnels et vol d'identité. Les agresseurs sont passés de cibles principalement dans les secteurs financiers et du commerce de détail en 2014 à des cibles dans les secteurs du gouvernement et de la santé en 2015. Plus la durée de conservation d'un enregistrement est longue, plus la remise en état est coûteuse. Le calcul des coûts initiaux d'une faille comprend plusieurs dépenses directes  : • La valeur de la propriété intellectuelle dérobée • Le délai d'analyse, de remise en état et d'amélioration des défenses de tous les systèmes compromis • La vérification de tous les systèmes de l'entreprise à la recherche de toute infection cachée • La restauration des systèmes à partir des sauvegardes, y compris la vérification de ces sauvegardes à la recherche de vulnérabilités • La modification des procédures de sécurité et la formation du personnel aux nouvelles procédures Les coûts des répercussions moins évidentes, cependant, occultent rapidement ces coûts directs. Dans le cas de l'attaque contre Target, les 40 millions de cartes bancaires dérobées fin 2013 a coûté à Target 220 millions d'euros en dépenses directes les deux premières années, mais 5.2 SOURCE : Check Point Software Technologies RÉPARTITION DES ENTREPRISES AYANT SUBI DES FUITES DE DONNÉES 100 % 88 % 86 % 85 % 81 % 73 % CONSEIL INDUSTRIE GOUVERNEMENT FINANCE COMMERCE DE DÉTAIL ET DE GROS TÉLÉCOM.
  40. 40. ce chiffre continue d'augmenter. Certaines sources estiment que les coûts dépasseront finalement 2 milliards d'euros en incluant les pertes des débits frauduleux, le remboursement des fournisseurs et les pénalités issues des procès. La reprise sur incident coûte cher. Les failles de sécurité servent généralement à dérober des données, et souvent les petites entreprises sont plus faciles à attaquer que les grandes. Selon une étude de Trustwave, 90  pour cent des fuites de données touchent les petites entreprises, qui ont beaucoup plus de difficultés à survivre à l'impact. Même si les petites entreprises ne sont pas en possession de grandes quantitésdedonnéespersonnelles,ellesdétiennent souvent les clés d'accès à ceux qui en possèdent. Les répercussions sur la réputation de l'entreprise sont difficiles à estimer, mais sont très réelles. Si une entreprise dispose d'un bon soutien auprès de sa clientèle et gère soigneusement la situation, les clients seront peut-être ébranlés mais ne partiront pas. Cependant, pour les petites entreprises, toute perte de confiance des clients est dévastatrice. Les failles au niveau du gouvernement entraînent de gros problèmes de confiance, mais RÉPERCUSSIONS DE L'INSÉCURITÉ | 41 leur impact financier est limité par rapport à une entreprise publique ou privée. Les trois secteurs privés qui subissent les impacts financiers les plus forts sont les services financiers, la santé et l'industrie. Comme beaucoup de gens ont la mauvaise habitude de réutiliser leurs mots de passe, la perte d'un mot de passe sur un site a souvent des répercussions. Les agresseurs utilisent un mot de passe dérobé pour accéder à d'autres sites et applications utilisées par la victime, ce qui produit de multiples failles. 5.3 SOURCE : Check Point Software Technologies SERVICES FINANCIERS Notre étude montre que les institutions financières font face à des taux beaucoup plus élevés d'attaques que tout autre secteur. Nous ne sommes pas les seuls à tirer cette conclusion. Un rapport de Websense Security Labs en 2015 souligne également que les institutions financières subissent 300 pour cent plus de cyberattaques que tout autre secteur.3 LES FUITES D'INFORMATIONS ONT AUGMENTÉ DE PLUS DE 400 % AU COURS DES TROIS DERNIÈRES ANNÉES
  41. 41. Parmi les plus importantes pressions sur le marché de la finance en 2015 : 42 | RÉPERCUSSIONS DE L'INSÉCURITÉ Conclusions pour le secteur de la finance en 2015 83 % des dirigeants d'entreprises du secteur de la finance conviennent que la capacité de lutter contre les cybermenaces et la protection des données personnelles seront l'un des plus grands défis en matière de renforcement de la réputation au cours des 12 prochains mois4 24 % d'augmentation des pertes financières suite à des incidents5 73 % des consommateurs américains changent de prestataire de services financiers suite à des failles ou des fuites de données personnelles6 61 % des consommateurs ne font pas confiance aux institutions financières7 44 % des entreprises du secteur de la finance ont signalé des pertes d'activité de 20 % ou plus au cours des douze derniers mois en raison de problèmes de réputation et de satisfaction client. La moyenne se situant à 17 %,soit presque le double de la moyenne de 20148 42 % des consommateurs américains estiment que ne pas protéger leurs informations personnelles et financières est la plus grande menace pouvant peser sur la réputation des entreprises du secteur de la finance9 68 % des consommateurs signalent que toute actualité négative au sujet de leur prestataire de services financiers, problèmes de conformité réglementaire, activités illégales, amendes, etc., les conduiront probablement à changer de prestataire10
  42. 42. Les sociétés financières sont des cibles idéales car leurs données sont plus attrayantes sur le marché. Les banques de détail, les banques commerciales avec des bureaux dispersés à travers le monde, les entreprises de cartes de crédit, les compagnies d'assurance et les sociétés de commerce possèdent toutes des données, et sont connectées à d'autres données. Les services financiers ne sont pas en tête de la liste des cibles des attaques en 2015, simplement parce que leurs efforts en 2014 pour fortifier leurs défenses ont font une cible plus difficile à pénétrer. La cybersécurité financière est un écosystème profondément complexe et multiforme. Les grandes institutions financières se sont remises en question après 2014. Elles ont commencé à investir dans des solutions intégrées plutôt que des produits disparates pour améliorer encore la protection contre le déluge de menaces persistantes avancées et les attaques zero-day. Le volume des attaques et des cibles nécessite une visibilité complète sur les opérations et l'administration centralisée de la sécurité, mais pas une transparence totale. Comme les nations protégeant leurs citoyens, les directions des grandes institutions financières sont prudentes quand il s'agit de révéler les méthodes de protection ou les détails des attaques. Lorsque les cybercriminels constatent si leurs attaques ont un impact, ou n'en ont pas, ils adaptent leurs tactiques ou leurs représailles. La perception de la protection est aussi importante, sinon plus, que la protection réelle. Les incidents qui ne produisent aucune fuite de données personnelles secouent malgré tout la confiance des clients. Pour cette raison, les institutions financières partagent désormais des détails sur les attaques via des flux de renseignements sur les menaces. Nos partenaires proposent certains de ces flux. Comme la plupart des pirates utilisent habituellement les mêmes méthodes d'attaques couronnées de succès contre plusieurs victimes, leurs coûts augmentent lorsqu'une méthode d'attaque ne fonctionne qu'une fois. Plus le piratage coûte cher, plus le nombre de pirates diminue, ce qui est plus sécurisant pour tout le monde. SECTEUR MÉDICAL Les dossiers médicaux des patients ont la plus grande valeur sur le marché noir, dix fois plus que les cartes bancaires et autres données financières.11 Alors qu'un numéro de carte bancaire ou un identifiant de connexion à un compte bancaire peut être rapidement réédité, un dossier médical ne le peut pas. Ils exposent beaucoup plus d'informations sur un individu, y compris ses sensibilités, ses vulnérabilités et ses préoccupations personnelles, ce qui les rend précieux à des fins d'espionnage. Les entreprises du secteur médical sont des cibles privilégiées pour les cybercriminels. En2015etaudébutde2016,denombreuses entreprises du secteur médical ont été victimes d'une multitude d'attaques, principalement de la part de logiciels rançonneurs. Le secteur de la santé est traditionnellement en retard sur des cibles privilégiées telles que le secteur de la finance en termes de robustesse de la sécurité, et de nouvelles règlementations concernant la confidentialité des renseignements personnels compliquent également l'évolution de la sécurité. RÉPERCUSSIONS DE L'INSÉCURITÉ | 43 5.4 SOURCE : Check Point Software Technologies 9 % DES ENTREPRISES DU SECTEUR MÉDICAL/DE L'ASSURANCE ONT SUBI UNE PERTE DE DONNÉES HIPAA
  43. 43. 44 | RÉPERCUSSIONS DE L'INSÉCURITÉ Conclusions pour le secteur médical en 2015 60 % d'augmentation des incidents de sécurité dans le secteur médical12 2 % des entreprises du secteur médical aux États-Unis ont signalé au moins un cas de vol d'identité médicale13 282 % d'augmentation des coûts des failles de sécurité dans le secteur médical au cours des 12 derniers mois14 89 % des prestataires du secteur médical aux États-Unis mettent les données des patients à la disposition des patients, de substituts et/ou d'autres personnes désignées15 11 types d'outils techniques de sécurité sont mis en œuvre en moyenne par les entreprises du secteur médical aux États-Unis16 21 % des entreprises du secteur médical aux États-Unis n'utilisent pas de technologie de reprise sur incident et 51,7 % de celles-ci ont l'intention de s'en procurer une à l'avenir17 54 % des entreprises du secteur médical aux États-Unis ne disposent pas d'un moyen d'authentification unique (SSO), et 49,3 % d'entre elles ont l'intention de s'en procurer un à l'avenir18 60 % des entreprises du secteur médical aux États-Unis n'ont pas implémenté de mécanisme d'authentification à deux facteurs19 19 % des entreprises du secteur médical aux États-Unis déclarent avoir subi une faille de sécurité l'année dernière20 Seulement 54 % des professionnels de l'informatique auprès des prestataires du secteur médical aux États-Unis ont testé leur plan d'intervention en cas de fuite de données21 Dans le secteur médical aux États-Unis, les trois premières menaces perçues sont : (80 %) les travailleurs qui espionnent les données des parents/amis, (66 %) le vol d'identité financière, (51 %) le vol d'identité22
  44. 44. RÉPERCUSSIONS DE L'INSÉCURITÉ | 45 OBJETS CONNECTÉS INDUSTRIELS Les objets connectés dans le secteur de l'industrie (IIoT) sont une tendance significative à la hausse en 2015, et ont des implications importantes pour l'économie mondiale. Selon Oxford Economics,23 ce segment regroupe les industries qui contribuent à 62  pour cent du produit intérieur brut (PIB) des pays du G20, y compris les services publics, l'industrie du pétrole et du gaz, l'agriculture et la fabrication. Sont également incluses les entreprises de transport et d'infrastructure de transport (rail, ports), de logistique et de services médicaux des hôpitaux, et les centrales de production d'électricité. L'une des plus grandes attractions de l'IIoT est la promesse d'efficacité opérationnelle. Les techniques d'automatisation et de production flexibles conduisent à une augmentation de la productivité pouvant aller jusqu'à 30 pour cent.24 Cependant, ces appareils sont tous connectés, sont généralement accessibles et sont laissés sans surveillance, avec peu ou pas de protection pour leurs terminaux. Les répercussions des failles des objets connectés dans le secteur de l'industrie sont difficiles à mesurer, mais sont généralement facteurs de perturbations. Les perturbations des infrastructures essentielles ont d'énormes implications. Toute panne pourrait avoir un impact sur des centaines, voire des milliers d'entreprises, de manière difficilement quantifiable. Parmi tous les progrès actuels de la technologie, l'IIoT peut potentiellement produire le plus grand impact et causer le plus de perturbations. Par exemple, Google et Tesla produisant des voitures autonomes sont susceptibles de perturber une multitude de secteurs, y compris l'industrie automobile, l'assurance automobile et l'octroi de licences auprès du gouvernement. Le HealthKit d'Apple est un autre exemple d'objet connecté ayant de profondes implications. Si les capteurs de santé et les applications de santé sont soudainement librement accessibles aux patients, l'écosystème des données de santé maintenant occupé par des médecins, des organismes d'assurance et des sociétés pharmaceutiques se déplacerait vers les particuliers.25 Les avantages de l'efficacité accrue seront rapidement éclipsés en cas de fuites de données. Des programmes tels que HIPAA énoncent des règles strictes concernant la communication intentionnelle ou accidentelle de renseignements personnels, mais peuvent entraîner de nouvelles vulnérabilités. Les prestataires de santé de toute taille doivent se conformer à ces règlementations sur les renseignements personnels et leur sécurité. La protection des renseignements personnels est parfois prioritaire sur les contrôles d'accès. L'intégration des appareils connectés dans les environnements de santé augmente considérablement la surface d'attaque dans ce secteur, qui ne s'adapte pas à la taille des prestataires, ce qui fait des petits prestataires des cibles de choix. La protection de ce secteur est également difficile en raison des logiciels et des systèmes d'exploitation des équipements maintenant les patients en vie qui ne peuvent être mis hors ligne pour mise à jour. La conformité dans le secteur de la santé se concentre principalement sur les contrôles internes plutôt que sur la protection de l'information. Bien que la conformité des médecins, des infirmières et des administrateurs ayant accès aux données, mais ayant une connaissance limitée des techniques de cybercriminalité, est certainement importante, l'accent doit être mis sur la protection des objets connectés et les contrôles d'accès. 88 % DES ENTREPRISES ONT SUBI UNE FUITE DE DONNÉES
  45. 45. Sécurisation des objets connectés dans le secteur de l'industrie Prévention. Si la protection contre les logiciels malveillants ne peut être implémentée sur chaque équipement, elle peut résider sur un point de communication commun à ces équipements. Segmentation. Les appareils connectés devraient communiquer avec un contrôleur central, et non pas les uns avec les autres. Protocoles. Il est recommandé d'utiliser une protection prenant en charge les protocoles ICS/SCADA spécifiques. Commandes directionnelles. Les objets connectés devraient émettre des rapports, et ne recevoir que quelques commandes en entrée. IDENTIFICATION DES RÉPERCUSSIONS Les fuites de données peuvent avoir des impacts financiers à court terme, qui sont relatifs en comparaison des dégâts à long terme sur la position d'une entreprise sur le marché. La valeur de la marque diminue en moyenne de 21  % en conséquence directe d'une faille de sécurité.26 La restauration de votre réputation prend du temps et dépend de la manière dont la situation est gérée. Adoptez une approche holistique de la sécurité au lieu d'assembler des solutions individuelles. Optez pour la prévention des H. W. Shaw (Josh Billings), humoriste américain « Le succès ne consiste pas à ne jamais faire d'erreurs, mais à ne jamais faire deux fois la même. » 46 | RÉPERCUSSIONS DE L'INSÉCURITÉ menaces, par opposition à la détection et au traitement des menaces. Pour réduire davantage les risques, intégrez la prévention des fuites de données dans votre infrastructure de sécurité et faites appel aux meilleures pratiques lors de la configuration de vos politiques de sécurité. L'équipe de traitement des incidents de Check Point est disponible pour étudier et résoudre des événements de sécurité complexes résultant d'attaques de logiciels malveillants, d'intrusions ou d'attaques de déni de service. L'équipe est disponible 24 heures sur 24 et 365 jours par an via emergency-response@checkpoint.com ou au +1 866 923 0907.
  46. 46. PRENEZDESMESURES RÉPERCUSSIONS DE L'INSÉCURITÉ | 47 LORSQUE VOUS RÉFLÉCHISSEZ À VOS OBJECTIFS EN MATIÈRE DE CYBERSÉCURITÉ, POSEZ-VOUS CES QUESTIONS COMPRENDRE LA SITUATION À quel point faisons-nous confiance à l'efficacité de notre cybersécurité contre les menaces zero-day ? Mes collaborateurs sont-ils correctement formés sur les cybermenaces et les conséquences potentielles de leurs actions ? S'ASSURER DE LA VISIBILITÉ DES ACTIVITÉS Avons-nous une visibilité claire sur l'activité de journalisation dans tous les segments de notre réseau, ou est-ce que la supervision est trop complexe pour être utile ? 1 2 PROTÉGER LES CAPACITÉS DE TRAITEMENT PLUTÔT QUE LES SERVEURS Est-ce que les capacités de traitement du Cloud et des environnements virtuels ou logiciels bénéficient des mêmes protections que celles gérées par mon datacenter ? SE PRÉPARER Est-ce que les politiques de l'entreprise protègent les informations et les ressources dans tous les environnements ? Comment la direction est-elle informée du niveau actuel de menace et de l'impact potentiel des cyberattaques sur notre activité ? 3 4 LANCEZ-VOUS Découvrez les menaces actives sur votre réseau et les points faibles que vous pouvez corriger/améliorer. Rendez-vous sur : checkpoint.com/resources/securitycheckup
  47. 47. 48 | CHECK POINT – RAPPORT SÉCURITÉ 2016 6 CONSERVEZ UNE LONGUEUR D'AVANCE « Être bien préparé, c'est être à mi-chemin de la victoire. » Miguel de Cervantes, auteur
  48. 48. Mobilité Anglais et américains utilisent en moyenne 3 appareils mobiles par personne.1 Les employés combinent utilisation personnelle et professionnelle de leurs équipements, et jusqu'à 5 appareils mobiles sont infectés.2 IoT En 2016, 5,5 millions de nouveaux « objets » vont se connecter tous les jours.3 Cloud Les dépenses mondiales en logiciels d'entreprise augmenteront de 7,5 pour cent pour atteindre 133 milliards d'euros en 2015.4 CONSERVEZ UNE LONGUEUR D'AVANCE | 49 Les appareils mobiles, les objets connectés et les applications dans le Cloud offrent de nouvelles libertés, mais ces libertés comportent de nouveaux risques de sécurité. Pour chaque modèle d'entreprise perturbatrice, un service informatique réfléchit à la façon de le protéger. Par exemple, les communications des appareils mobiles utilisés pour comptabiliser les stocks en entrepôt ne doivent pas être compromises ni interceptées. Les appareils qui automatisent les relevés médicaux, la distribution d'énergie ou l'air conditionné des bureaux, doivent être correctement protégés de toute commande à distance risquant de les perturber. Les applications dans le Cloud ne devraient pas comporter d'interface ouverte non contrôlée permettant à des pirates d'entrer dans votre réseau. La gestion de la sécurité des objets connectés sous forme distincte augmentera la complexité de la gestion de la sécurité. Idéalement, la sécurité des objets connectés, que ce soit des biens de consommation ou des systèmes SCADA industriels, peut être intégrée à l'architecture de sécurité unifiée et gérée par la même console que les autres segments du réseau. Pour qu'une stratégie de sécurité soit efficace, vous devez comprendre les agresseurs. Le rapport de cette année montre que l'environnement des menaces continue de croître en complexité puisqu'il est plus facile que jamais d'obtenir et déployer des logiciels malveillants. Un million de nouveaux logiciels malveillants étaient lancés en 2005. En 2015, ce sont un million de logiciels malveillants lancés chaque jour.5 Les logiciels malveillants sont de plus en plus faciles à obtenir et à lancer. Examinez les attaques réussies, les dernières vulnérabilités et les tendances d'attaques pour créer une stratégie de sécurité adaptée à votre entreprise. Déterminez ensuite l'étendue de la surface d'attaque de votre entreprise. Les frontières de l'entreprise continuent de s'étirer et se brouiller, ce qui complique encore plus la sécurité. Les serveurs et les ordinateurs de l'entreprise ne définissent plus ces frontières. Elles sont repoussées par un nombre record d'appareils mobiles, d'applications dans le Cloud, et un nombre croissant d'objets connectés dont votre service informatique n'a pas conscience. Ces outils améliorent la productivité, mais chaque extension des frontières de l'entreprise doit être protégée.
  49. 49. Conformité : la vraie raison des meilleures pratiques Savez-vous comment se nomme un groupe de méduses ? Bien qu'il n'existe pas de nom spécifique pour désigner un groupe de personnes qui rédigent les règlementations en matière de cybersécurité, comme dans le règne animal, les régulateurs semblent former des groupes. La preuve d'un comportement de groupe apparaît dans les nombreuses exigences communes que les régulateurs intègrent aux règles de cybersécurité qui émanent des entreprises du secteur de l'industrie et du secteur public. Face à ce tissu complexe de règlementations et de lois, l'utilisation des meilleures pratiques peut vous aider à tirer parti des exigences communes pour simplifier et améliorer la conformité et la sécurité. Par meilleures pratiques, nous entendons les lignes directrices qui ont pour objectif d'optimiser la configuration des solutions de cybersécurité. L'élimination des erreurs humaines est la principale raison de l'utilisation des meilleures pratiques. Selon Gartner, « Jusqu'en 2020, 99 % des failles des pare-feux seront causées par de simples erreurs de configuration du pare- feu, et non des défauts. »6 Lewis Morgan déclare à propos de la gouvernance : « L'erreur humaine est la cause de la plupart des fuites de données. Ce n'est donc pas un secret que la plus grande menace pesant sur les données d'une entreprise provient de ses propres employés, que ce soit un acte délibéré ou non. »7 Compte tenu de l'impact profond que peuvent avoir les erreurs de configuration sur la sécurité et la conformité, les chercheurs de Check Point se sont intéressés à la manière dont les entreprises utilisent efficacement les meilleures pratiques, et leur impact sur la conformité. Ils ont surveillé la configuration des contrôles de sécurité tels que les pare-feux, les systèmes de détection/prévention d'intrusions, les antivirus et autres, et ont produit des indices sur la conformité. Nos chercheurs ont été surpris de découvrir que 53,3 pour cent des paramètres de configuration sont définis conformément aux meilleures pratiques du secteur. Les niveaux de conformité avec les différents secteurs et normes réglementaires sont présentés dans le tableau suivant : Niveaux de conformité à 4 règlementations par secteur 50 | CONSERVEZ UNE LONGUEUR D'AVANCE SECTEUR RÉGLEMENTATION ÉTAT DE LA CONFORMITÉ Médical Sécurité HIPAA 59 % Sécurité informatique générale ISO 27001 64 % Énergie NERC CIP 67 % Cartes de paiement PCI DSS 3.1 60 %
  50. 50. Notre étude montre qu'un segment important de professionnels de l'informatique à travers un large éventail de secteurs n'optimise pas les configurations pour la sécurité et la conformité. Pour comprendre cela plus en détail, le tableau 2 ci-dessous montre la conformité avec les meilleures pratiques pour les entreprises des secteurs des infrastructures critiques et de la finance. Niveaux de conformité par norme de configuration et par secteur Il est intéressant de noter que 3 entreprises sur 10 ne profitent pas de la technologie anti- usurpation, et qu'une entreprise sur deux ne restreint pas l'accès aux applications à haut risque. Compte tenu des risques associés à ces techniques de sécurité, ce sont des statistiques explosives. Une autre constatation pertinente est que la base de règles n'est pas entièrement documentée pour trois politiques de pare-feu sur quatre. Meilleures pratiques et reporting Les meilleures pratiques peuvent également vous aider pour le reporting et la supervision continue de la conformité, notamment dans le cas d'un audit. La règle 11 de PCI-DSS,8 HIPAA CFR 160- 164,9 FISMA,10 FERPA 99.62,11 la règle 4530 de FINRA et de nombreuses autres réglementations, nécessitent la supervision de la sécurité et des procédures de reporting. Une fois que vous avez réglé la question de la configuration, vous pouvez citer les meilleures pratiques pour structurer efficacement le contenu des rapports d'audit. CONSERVEZ UNE LONGUEUR D'AVANCE | 51 MEILLEURE PRATIQUE TOUS SECTEURS INFRASTRUCTURES CRITIQUES SERVICES FINANCIERS Activer l'anti-usurpation 70,0 % 75,5 % 65,0 % Assurer la documentation correcte des règles du pare-feu 28,0 % 30,0 % 30,0 % Définir les options de supervision des règles de sécurité 20,0 % 22,0 % 30,0 % Bloquer les applications et les sites web à haut risque 49,5 % 54,0 % 45,0 %
  51. 51. Il n'existe pas assez de professionnels de la sécurité pour supporter la demande croissante en administration et en supervision des systèmes informatiques, et les professionnels disponibles doivent jongler entre demandes de routine et alertes urgentes. Ils sont également accaparés par les processus manuels et les systèmes cloisonnés. Ils ont besoin d'outils avancés de prévention des menaces s'appliquant à tous les points, avec administrationcentraliséeetexécutionméthodique, pour les aider. Les systèmes d'administration qui améliorent l'efficacité sont essentiels. Les approches traditionnelles de la sécurité ne suffisent plus. Pour s'adapter à la constante expansion du périmètre des réseaux, les équipes informatiques doivent fondamentalement transformer leur approche BEAUCOUP DE FEUX, TRÈS PEU DE POMPIERS Avec tant de logiciels malveillants, tant de vecteurs d'attaques et tant d'appareils à protéger, aucune entreprise, grande, petite, privée ou publique, n'est à l'abri. Nous courrons tous des risques. À mesure que les menaces et les attaques se développent, le nombre d'appareils et d'outils de sécurité que votre service informatique doit gérer suit cette tendance. Même avec des budgets informatiques illimités, le nombre de personnes qualifiées reste limité ! 52 | CONSERVEZ UNE LONGUEUR D'AVANCE 6.1 SOURCE : Enquête de Verizon sur les fuites de données en 2016, page 10 Délai jusqu’à découverte (réel) 100% 75% 50% 25 % 0 % 2005 2007 2009 2011 2013 2015 Délai jusqu’à vulnérabilité (tendance) Délai jusqu’à découverte (tendance) Délai jusqu’à vulnérabilité (réel) % Fenêtre d’exposition entre vulnérabilité et découverte Fenêtred’expositiondeplusieursjoursoumoins FENÊTRE D’EXPOSITION ENTRE VULNÉRABILITÉ ET DÉCOUVERTE 67 % 56 % 55 % 61 % 67 % 62 % 67 % 89 % 62 % 76 % 62 % 84 %

×