Cybersécurité : êtes-vous bien protégé?

« Ces dommages peuvent nuire à la réputation d’un cabinet, l’exposer à des pertes financières et perturber gravement ses activités », prévient l’Association canadienne des courtiers de fonds mutuels (ACFM) dans un bulletin sur la cybersécurité publié la semaine dernière.

Selon des sondages réalisés aux États-Unis en 2011 et 2014 par le Financial Industry Regulatory Authority (FINRA), le secteur des valeurs mobilières est exposé à trois menaces de cybersécurité principales :

1. Les pirates informatiques qui infiltrent les systèmes d’une entreprise;
2. Les initiés qui compromettent les données d’un cabinet ou de ses clients;
3. Les risques opérationnels.

QUE FAIRE?

Pour se prémunir contre ces menaces, l’ACFM suggère à ses membres de se doter d’un cadre de cybersécurité, adapté à la taille de leur cabinet, en cinq étapes :

1. Identifier les biens qui doivent être protégés, de même que les menaces et les risques à leur égard;
2. Protéger ces biens à l’aide des mesures appropriées;
3. Détecter les intrusions et les infractions à la sécurité;
4. Intervenir s’il se produit un évènement de cybersécurité potentiel;
5. Évaluer l’incident et améliorer les mesures de sécurité à la lueur des évènements.

Pour mener à bien ce plan, l’ACFM propose de nombreuses pistes d’action que les cabinets peuvent suivre selon l’envergure de leurs activités.

Parmi elles, assurer la sécurité physique des lieux, notamment contre les menaces humaines, mais aussi environnementales, s’avère un incontournable, tout comme la mise en place de mesures de protection des systèmes (pare-feu récents, chiffrement des réseaux sans fil, processus de sauvegarde et de récupération, protocoles de mots de passe, etc.).

L’Association suggère également de se doter d’une procédure d’enquête sur le personnel, les sous-traitants et les fournisseurs, ainsi que d’instaurer une politique de cybersécurité et une formation continue obligatoire à ce sujet. Former une équipe d’intervention en cas d’incident peut aussi s’avérer une bonne idée.

Il importe de tester régulièrement la vulnérabilité des systèmes pour en détecter les failles et mieux les corriger. En cas d’incident, il est essentiel de le divulguer, rappelle l’ACFM, notamment au commissaire à la protection de la vie privée dans certains cas.

Finalement, il existe des assurances spécifiquement pour les menaces de cybersécurité.

Article original de conseiller.ca

Réagissez à cet article

Des chercheurs volent des données en utilisant le bruit des ventilateurs d’un PC

Réagissez à cet article

Inquiétantes intrusions dans les réseaux d’entreprises

Le Secrétariat général de la défense et la sécurité nationale (SGDSN) et l’Anssi, deux services rattachés à Matignon, ont présenté lundi les trois premiers arrêtés liés à la protection des opérateurs d’importance vitale dans la santé, la gestion de l’eau et l’alimentation, qui entreront en vigueur le 1er juillet.
« Il y a de plus en plus d’attaquants, ce sont des agents dormants qui préparent les choses », a expliqué Guillaume Poupard à des journalistes. « Il y a eu beaucoup de cas à traiter ces derniers mois ».
Ces intrusions, par exemple par le biais d’emails piégés envoyés dans les entreprises, permettent aux attaquants de cartographier un réseau en toute discrétion et, en passant d’un réseau à l’autre, de pénétrer dans des zones inattendues.
« Ils prennent pied progressivement (..) et on les retrouve très profond au sein des réseaux d’entreprises, à des endroits où il n’y a même plus d’informations secrètes à voler, par exemple sur les systèmes de production de contrôle qualité », a ajouté Guillaume Poupard.
Ce nouveau type d’intrusion est d’autant plus inquiétant qu’il est presque plus facile d’entrer dans un réseau pour en modifier le fonctionnement ou en prendre le contrôle que pour voler des données, a-t-il souligné.
Au contraire de la banque, de l’aérospatiale et de l’automobile, habitués à surveiller de près leurs réseaux, l’industrie est encore mal préparée, étant moins sujette aux vols de données, a noté Guillaume Poupard.
« L’idée que des gens qui depuis l’autre bout du monde puissent chercher à détruire leur système de production c’est un nouveau scénario qui n’a pas vraiment d’équivalent dans le monde réel », a-t-il souligné.
Pour mieux défendre les PME, « un des maillons faibles », cible rêvée d’un attaquant, il prône le recours aux solutions de « cloud computing » des spécialistes de la sécurité numérique et à l’intégration de systèmes de protection dans les machines outils et les automates industriels dès leur conception. (Cyril Altmeyer, édité par Jean-Michel Bélot)

Réagissez à cet article

Les données de 112 000 policiers français exposées sur Internet

Deux semaines après le meurtre de deux policiers à Magnanville, l’affaire fait évidemment désordre : selon RTL, les données personnelles de 112 000 policiers, ainsi que celles de leurs proches, se sont retrouvées exposées sur le Net. Nos confrères expliquent que la fuite émane d’un salarié de la Mutuelle Générale de la Police qui, par vengeance, aurait copié le fichier des adhérents pour le verser sur le Cloud de Google, où il n’était protégé que par un simple mot de passe. RTL explique qu’une plainte a été déposé la semaine dernière et qu’une enquête a été ouverte à Toulouse sur ces faits.

Un piratage découvert 3 semaines après

Le piratage du fichier des adhérents, qui renferme les adresses et numéros de téléphone des policiers actifs ou retraités, aurait été perpétré par un responsable d’agence de la mutuelle, installé à Limoges, le 2 juin dernier. Mais n’a été découvert par la direction de la mutuelle que 3 semaines plus tard, ce qui soulève quelques questions sur la politique de sécurité de la mutuelle quant aux accès à ce fichier central. Le directeur d’agence suspecté a été mis à pied. Pour expliquer cette indélicatesse, nos confrères parlent d’un conflit opposant le salarié à sa direction concernant des primes.

Google France a été averti de ce détournement du fichier des adhérents de la Mutuelle Générale de la Police et serait en train de nettoyer ses serveurs.

Article original de Reynald Fléchaux

Réagissez à cet article

Protection contre la Fuite des données, priorité pour les entreprises ?

La mobilité est à la fois un besoin et un défi pour les entreprises qui se battent pour créer une force de travail réellement fluide et entièrement digitale. Aujourd’hui, presque tous les collaborateurs travaillent avec un ou plusieurs périphériques mobiles contenant des informations d’entreprise, qu’il s’agisse d’un téléphone mobile, d’un ordinateur portable ou d’une tablette. L’un des premiers défis qui en découlent pour la direction informatique tient au fait que l’accès à distance aux données et aux e-mails se fait, par nature, « hors » du périmètre de l’entreprise, et qu’il est par conséquent très difficile de s’en protéger. La multitude des périphériques utilisés, en elle-même, complique la surveillance et le suivi des données d’entreprise consultées, partagées ou utilisées.

Data Loss Prevention : se concentrer sur les données

L’une des approches, choisie dans certaines entreprises, consiste à intégrer ces périphériques à une stratégie d’environnement de travail en BYOD. Les utilisateurs peuvent choisir le périphérique, le système d’exploitation et la version de leur choix, puisqu’il s’agit de leur propre périphérique. Malheureusement, cette approche peut en réalité créer des problèmes supplémentaires de sécurité et de DLP (prévention des pertes de données). En effet, de nombreux utilisateurs n’apprécient pas (voire interdisent) que leur employeur gère et/ou contrôle leur périphérique, pire encore, d’y installer des logiciels professionnels comme les programmes d’antivirus et de VPN.

Par conséquent, pour réussir, la stratégie de protection des données doit se concentrer sur la sécurisation des données uniquement, quel que soit le périphérique ou le mode d’utilisation. Dans un environnement d’entreprise, une grande majorité des données sensibles transitent dans les e-mails et leurs pièces jointes. Ainsi, une stratégie de protection des données réussie doit chercher à gérer et contrôler la passerelle par laquelle transitent les données, à savoir, ici, le compte d’e-mail d’entreprise.

Autre option : implémenter une suite d’outils de gestion de la sécurité mobile, ce qui permet de placer des mécanismes de sécurité sur la passerelle d’e-mail, et d’autoriser la création de règles de sécurité pour surveiller et contrôler la façon dont les informations d’entreprise sont traitées sur chaque périphérique.

Data Loss Prevention : Stratégie DLP tridimensionnelle

Une stratégie « DLP tridimensionnelle », surveille et contrôle le contenu transféré via un périphérique sur la base de critères précis. Par exemple, on peut limiter l’accès au contenu ou aux fichiers depuis le compte e-mail d’entreprise en fonction du pays, puisque les utilisateurs qui voyagent avec leur périphérique sont susceptibles d’accéder aux données et aux systèmes sur des réseaux Wi-Fi non sécurisés. Il est également possible de contrôler le contenu sur la base des mots clés qui figurent dans les e-mails (comme des numéros de sécurité sociale ou des numéros de contrat), afin d’interdire les pièces jointes ou le contenu incluant ce type d’information sur les périphériques mobiles. Comme les pièces jointes d’e-mail contiennent la majorité des informations sensibles transmises d’un périphérique à un autre, ce point est crucial lorsqu’il s’agit de protéger l’utilisation des périphériques dans l’environnement de travail. La troisième dimension est la surveillance du contexte, qui permet d’identifier et d’interdire le contenu pour des expéditeurs/destinataires spécifiques.

Ce type de considération permet de limiter les risques liés aux pertes de données et aux problèmes de sécurité pour cette partie des activités professionnelles Bien que cette approche ne suffise pas à contrôler et à sécuriser entièrement les banques de données d’une entreprise, la sécurité mobile va jouer un rôle de plus en plus vital pour la réussite des stratégies complètes de protection des données, au fur et à mesure que davantage de périphériques s’intègrent à nos habitudes de travail. (Par Eran Livne, Product Manager LANDESK)

Article original de Damien Bancal

Réagissez à cet article

Attention ! Le Cloud est espionné

L’éditeur de solutions de sécurité informatique affirme que les agences gouvernementales peuvent exploiter la ‘fonctionnalité’ d’écoute des hyperviseurs  pour récupérer des données depuis le cloud. Les révélations de l’affaire Snowden sur les capacités d’interception des données de la part de la NSA et de ses agences partenaires ont incité les propriétaires d’infrastructures et les fournisseurs de services, ainsi que les utilisateurs, à s’assurer que leurs données sont échangées sans encourir de risque de confidentialité et qu’elles sont stockées sous forme chiffrée. Régulièrement, les chercheurs s’attaquent à des protocoles très utilisés ou à leur mode de mise en œuvre. Des failles sont ainsi découvertes de manière récurrente et corrigées à plus ou moins brèves échéances, comme dans le cas de vulnérabilités bien connues telles que Heartbleed ou Logjam, qui ont entraîné le déploiement massif de correctifs à une échelle jusque-là inédite.

Mais les entreprises, et par conséquent, leurs clients, sont-elles vraiment protégées une fois que ces failles sont corrigées ? Existe-t-il des méthodes dissimulées et plus ou moins légales que les organismes d’État et certaines grandes entreprises bien informées seraient susceptibles d’utiliser pour passer outre les protocoles TLS / SSL, censés protéger les échanges d’informations ? Bref, espionnage dans le Cloud possible ?

Le 26 mai 2016, lors de la Conférence HITB à Amsterdam, Radu Caragea, Chercheur en sécurité des Bitdefender Labs, a démontré lors d’un POC (preuve de concept), que la communication protégée peut être déchiffrée en temps réel, en utilisant une technique qui ne laisse pratiquement aucune empreinte et qui reste invisible pour presque tout le monde, sauf peut-être pour des auditeurs de sécurité particulièrement vigilants.

Espionnage dans le cloud : Quelles conséquences pour votre sécurité ?

Cette attaque permet à un fournisseur de services cloud mal intentionné (ou sur lequel on a fait pression pour qu’il donne des accès à des agences gouvernementales) de récupérer les clés TLS utilisées pour chiffrer chaque session de communication entre votre serveur virtualisé et vos clients (même si vous utilisez Perfect Forward Secrecy !). Si vous êtes un DSI et que votre entreprise externalise son infrastructure de virtualisation auprès d’un prestataire de service, considérez que toutes les informations circulant entre vous et vos utilisateurs ont pu être déchiffrées et lues pendant une durée indéterminée.

Il est impossible de savoir dans quelle mesure vos communications ont pu être compromises et pendant combien de temps, puisque cette technique ne laisse aucune trace anormale derrière elle. Les banques et les entreprises qui gèrent des dossiers de propriété intellectuelle ou des informations personnelles, ainsi que les institutions gouvernementales sont les secteurs susceptibles d’être particulièrement touchés par cette faille.

Espionnage dans le Cloud : Premières découvertes

Cette nouvelle technique, surnommée TeLeScope, a été développée par l’éditeur dans le cadre de ses recherches et permet à un tiers d’écouter les communications chiffrées avec le protocole TLS, entre l’utilisateur final et une instance virtualisée d’un serveur. Cette technique n’est opérationnelle qu’avec les environnements virtualisés fonctionnant au-dessus de l’hyperviseur. Ces infrastructures sont extrêmement répandues et sont proposées par les géants de l’industrie tels qu’Amazon, Google, Microsoft ou DigitalOcean, pour ne citer qu’eux. Si la plupart des experts de l’industrie s’accordent pour dire que la virtualisation est l’avenir, aussi bien en termes de stockage, que de déplacement et de traitement de gros volumes de données, ce type de solutions fait déjà partie du quotidien de nombreuses entreprises.

Plutôt que d’exploiter une faille dans le protocole TLS, cette nouvelle technique d’attaque repose sur l’extraction des clés TLS au niveau de l’hyperviseur par une inspection intelligente de la mémoire. Même si l’accès aux ressources virtuelles de la VM est une pratique déjà connue (accéder au disque dur de la machine, par exemple), le déchiffrement en temps réel du trafic TLS, sans mettre en pause la machine virtuelle de manière flagrante et visible, n’avait jamais été réalisé jusqu’alors.

La découverte de ce vecteur d’attaque a été possible en recherchant un moyen de surveiller des activités malveillantes depuis le réseau de honeypots de l’éditeur, sans altérer la machine et sans que les pirates puissent comprendre qu’ils sont surveillés. Un administrateur réseau ayant accès à l’hyperviseur d’un serveur hôte pourrait surveiller, exfiltrer et monétiser toutes les informations circulant depuis et vers le client : adresses e-mail, transactions bancaires, conversations, documents professionnels confidentiels, photos personnelles et autres données privées.

Espionnage dans le Cloud : Comment cela fonctionne-t-il ?

Normalement, la récupération des clés à partir de la mémoire d’une machine virtuelle nécessiterait de mettre en pause la VM et de décharger le contenu de sa mémoire sur un fichier. Ces deux processus sont intrusifs et visibles par le propriétaire de la VM (de plus ils enfreignent le SLA – Service Level Agreement). L’approche des chercheurs repose sur les mécanismes de Live Migration, disponibles au sein des hyperviseurs modernes, qui nous permettent de réduire le nombre de pages nécessaire pour le vidage de la mémoire de l’ensemble de la RAM, à celles modifiées lors de l‘établissement d’une liaison TLS.

« Au lieu de mettre la machine en pause (ce qui entraînerait une latence notable) et de réaliser un vidage complet de la mémoire, nous avons développé une technique de différentiel de la mémoire qui utilise des fonctions de base déjà présentes dans les technologies de l’hyperviseur, » explique Radu Caragea. « Ensuite, bien que cela permette de réduire le volume de vidage mémoire de giga-octets à méga-octets, le temps nécessaire pour écrire une telle quantité de données sur un espace de stockage reste non négligeable (de l’ordre de quelques millisecondes) et c’est pourquoi nous montrons comment ‘déguiser ‘ le processus pour le faire passer pour une latence du réseau, sans qu’il soit nécessaire de stopper la machine. »

Atténuation des risques

L’attaque TeLeScope n’exploite pas de faille lors de l’implémentation du protocole TLS et ne tente pas de contourner le niveau de chiffrement de l’implémentation TLS via des attaques par repli (downgrade attacks). Au lieu de cela, elle exploite une caractéristique de l’hyperviseur pour exfiltrer les clés utilisées par le protocole pour chiffrer la session. Notre POC révèle un écart fondamental qui ne peut être corrigé ou atténué sans réécrire les bibliothèques de cryptographie qui sont déjà en cours d’utilisation. La seule solution à ce jour est, en premier lieu, de bloquer l’accès à l’hyperviseur – en exécutant votre propre hardware à l’intérieur de votre propre infrastructure.

Article original de Damien BANCAL

Réagissez à cet article

Acer se fait voler des numéros de CB de ses clients, avec le cryptogramme$

C’est un incident qui en dit long sur le degré de sécurité qui était en vigueur sur l’une de ses boutiques en ligne. Dans un courrier adressé à sa clientèle nord-américaine, le constructeur taïwanais a admis l’existence d’une faille de sécurité qui a permis à un ou plusieurs pirates de dérober des informations hautement sensibles entre le 12 mai 2015 et le 28 avril 2016.

Parmi les éléments qui ont été récupérées par les assaillants figurent notamment l’identité et l’adresse postale de 34 500 clients se trouvant aux États-Unis, au Canada et à Porto Rico. Beaucoup plus préoccupant, il apparaît que des informations de paiement (numéro de carte bancaire, sa date d’expiration et son cryptogramme visuel) ont également été récupérées dans le feu de l’action.

Étaient-elles chiffrées ? Acer se garde bien de le dire. Même si l’ampleur de l’incident est modeste (nous sommes très loin des fuites massives affectant des millions d’utilisateurs), la question du niveau de protection des informations stockées par Acer se pose au regard de la nature des éléments qui ont été obtenus par les pirates. Selon le fabricant asiatique, la brèche a depuis été colmatée.

Article original de Julien Lausson

Réagissez à cet article

Vol de données Twitter, LinkedIn… qui est à l’origine ?

Les fuites de mot de passe se sont multipliées ces dernières semaines : Tumblr, LinkedIn, Myspace ou encore le réseau social russe Vkontakte, autant de services web qui ont vu les identifiants de leurs utilisateurs vendus à bas prix sur le web. Ces différentes fuites de données présentaient néanmoins plusieurs points communs : les données vendues étaient toutes plus ou moins datées, les entreprises concernaient ne confirmaient pas systématiquement avoir détecté un piratage de leur côté et les données étaient vendues sur une place de marché noir par un internaute répondant au pseudo Peace of Mind.

Naturellement, ce rôle de revendeur a rapidement fait peser les soupçons sur Peace Of Mind, celui-ci ne précisant pas la provenance exacte des identifiants volés qu’il proposait à la vente.

Selon Motherboard et ZDNet.com néanmoins, l’affaire est un peu plus complexe que cela et Peace Of Mind ne pourrait être qu’un vulgaire revendeur. C’est tout du moins ce que clame l’internaute dissimulé derrière le pseudo Tessa88. Ce dernier, contacté par nos confrères, clame être à l’origine des piratages massifs d’identifiants ayant surgi ces dernières semaines. Peu de détails sont connus sur la personne qui se cache derrière ce pseudonyme, mais on sait que celui-ci est apparu sur des forums russophones spécialisés dans la cybercriminalité aux alentours du mois d’avril 2016. À cette époque, elle propose à la vente des bases de données contenant des identifiants VKontakte ou Myspace parmi d’autres services.

Recel et rivalités

Pour Motherboard, plusieurs personnes pourraient se cacher derrière le pseudonyme Tessa88. Si l’internaute utilise un prénom féminin pour parler de lui sur différents forums dédiés à la cybercriminalité, le site américain soupçonne que ce pseudonyme pourrait être un avatar manipulé par un groupe de cybercriminels. Le pseudonyme avait déjà été mentionné par le site LeakedSource, qui avait fait partie des premiers sites à confirmer l’authenticité des informations contenues dans les bases de données volées mises en vente. Ceux-ci expliquaient avoir obtenu les échantillons des bases de données grâce à l’entremise de Tessa88.

Peu de temps après, Peace Of Mind propose lui aussi des bases de données similaires sur le marché noir The Real Deal : on retrouve les mêmes sites et des bases de données de tailles comparables. Mais Tessa88 n’est pas tendre avec Peace Of Mind : celle-ci clame en effet être l’auteur des piratages ayant permis de récupérer les identifiants et dénonce le fait que Peace of mind n’est qu’un revendeur, pour qui Tessa88 ne semble pas avoir beaucoup d’estime.

Peace Of Mind n’est pourtant pas un total inconnu : c’était déjà ce pseudonyme qui revendiquait la cyberattaque ayant visé le site de la distribution Linux Mint en début d’année 2016. Peace Of Mind n’a fait aucun commentaire sur les déclarations de Tessa88 et se contente de laisser entendre que la vente d’identifiants va continuer. Tessa88 laisse également entendre qu’elle n’a pas écoulé entièrement son stock et que de nouvelles ventes sont à prévoir. Tous deux clament ainsi être en possession de bases de données contenant des identifiants de connexions Instagram, là aussi dans des volumes particulièrement importants.

De nombreuses zones d’ombres persistent malgré les déclarations concurrentes des deux cybercriminels. Ainsi, ceux-ci restent muets sur l’origine exacte des données : certaines entreprises touchées n’ont reconnu aucun piratage au sein de leurs systèmes.

Impossible de savoir également pourquoi exactement ces données ressortent aujourd’hui : Tessa88 explique à Motherboard avoir exploité ces identifiants pour ses activités pendant plusieurs années, mais avoir aujourd’hui choisi de les vendre afin de faire face à des soucis de santé. La seule chose sur laquelle les deux cybercriminels s’accordent, c’est sur le fait qu’ils entendent bien continuer à revendre ces identifiants.

Article original de Louis Adam

Réagissez à cet article

Une application mobile fait sauter la banque

Sathya Prakash aurait pu devenir l’Arsène Lupin indien en braquant 25 milliards de dollars juste en piratant l’application mobile d’une banque indienne. Mais à défaut d’être un gentlemen cambrioleur, il est chercheur en sécurité et a découvert plusieurs failles dans cette application. Dans un blog, il explique disposer d’un compte dans un établissement bancaire du secteur public. Ce dernier a décidé depuis une dizaine d’années de prendre un virage vers les nouvelles technologies.

En 2015, cette banque a décidé de publier une application mobile pour iOS et Android. Par une journée pluvieuse, le chercheur connu sous le pseudo Boris s’est donc penchée sur la sécurité de cette application. Il l’a passée au peigne fin avec des solutions de débogage pour en connaître les dessous. Lors de ce premier tour d’analyse, il a constaté des faiblesses dans certains paramètres de sécurité standards, comme la gestion du HPKP (HTTP Public Key Pinning), un mécanisme de sécurité qui protège les sites internet de l’usurpation d’identité contre les certificats frauduleux émis par des autorités de certification compromises.

Code bâclée et MiTM à la clé

Or cette fonction n’était pas utilisée par l’application. Un risque pouvant conduire à une attaque de type MiTM (Man in the Middle ou Homme du milieu) et intercepter le trafic vers et depuis la banque même s’il était chiffré et transmis en HTTPS. Il a réussi à rétrograder le chiffrement SSL de version 3 à la version 2 plus vulnérable.

Ce n’est pas tout, l’application comporte aussi des négligences dans son architecture ou tout du moins une « révision de code bâclée ». C’est notamment le cas pour les sessions utilisateurs qui ne comprennent pas de limite dans la durée. Traditionnellement, quand un utilisateur est inactif, il est automatiquement déconnecté et il doit initier une nouvelle session. Pas dans ce cas où le chercheur parle de sessions« immortelles ». En combinant ce défaut avec une attaque de type MiTM, une personne peut être en mesure de réaliser des opérations pour le compte d’un utilisateur sans avoir besoin de s’authentifier à chaque fois.

Un siphonage en règle

Enfin cerise sur le gâteau. Sathya Prakash a découvert comment l’application administre les transactions bancaires. En se penchant sur les paramètres des requêtes web, il a fait de l’ingénierie inversée et trouvé un moyen pour envoyer de l’argent d’un compte à un autre. Tout cela sans authentification. Cela signifie qu’il aurait pu siphonner la totalité des dépôts de la banque, s’élevant en 2015 à 25 milliards de dollars.

Ayant des principes et de la morale, Sathya Prakash a envoyé un mail à la banque pour lui indiquer les faiblesses et les moyens de résoudre les problèmes. La banque a pris du temps pour répondre, mais est finalement intervenue au bout de 12 jours. Dans son blog, on sent le chercheur un peu aigri de ne pas avoir reçu de primes pour ses découvertes. « Bug Bounty = 0 dollars, Welcome to India ! », conclut-il.
Article original de Jacques Cheminat

Réagissez à cet article

Dirigeants, êtes-vous prêts à réagir en cas de cyberattaque?

L’ancien directeur du FBI Robert Mueller déclarait en 2014: « il y a seulement deux types d’entreprises: celles qui ont été piratés et celles qui le seront un jour. » Ce message devient de plus en plus réel. L’attaque récente sur le principal fournisseur de services de messagerie de paiements pour les institutions financières SWIFT nous rappelle que même les organisations considérées les plus sûres ne sont pas infaillibles et que maintenant les cyberattaques font désormais partie intégrante du paysage du risque des entreprises modernes. Selon une étude récente, 1.673 brèches de données ont exposé plus de 707 millions de données diverses au cours de l’année 2015, à travers le monde. Une autre étude relève que 90% des grandes entreprises et 74% des petites et moyennes entreprises dans le monde ont subi une brèche de sécurité.

Peut être très coûteux

De nombreux dirigeants considèrent toujours la réponse à une cyberattaque comme un problème purement technique et non stratégique. Pourtant la fréquence et l’ampleur croissante des cyberattaques, ainsi que l’intérêt grandissant que les partenaires commerciaux et les autorités portent à la cybersécurité, exigent d’élever le problème au rang des conseils d’administration. Certes, le lexique associé aux cyberattaques peut être intimidant pour les chefs d’entreprises, des termes tels que « centre de commandement et de contrôle », « numéro de port TCP » et « injection SQL » peuvent laisser entendre qu’une cyber intrusion est un problème informatique et donc ne concernant pas le comité de direction. Toutefois, quel qu’en soit sa nature, ce type d’événement peut être très coûteux et une réponse mal gérée est susceptible d’augmenter de manière significative son impact commercial et opérationnel. L’Institut Ponemon estime que le coût moyen d’une fuite de données est de 3,79 millions de dollars par entreprise victime; en augmentation de 23% depuis 2013.

Préjudice de réputation

A l’extrémité de ce spectre, le distributeur américain Target, qui a subi une énorme perte de données clients en 2013, estime que le coût total de cette attaque s’est élevé à 162 millions de dollars. Un montant supplémentaire de 90 millions ayant par ailleurs été couvert par les assureurs du détaillant. Mais surtout, la marque a subi un préjudice de réputation considérable et Target a vu son rythme de croissance ralentir suite à cette crise. Il est donc possible que l’impact total sur l’entreprise sera encore plus significatif à moyen terme. D’ailleurs le PDG et le responsable de la sécurité des systèmes d’information (RSSI) de Target ont été licenciés à la suite de cet événement. Bien que comprendre les dimensions techniques de ce type de crise reste crucial pour les résoudre, il faut absolument prendre en compte les implications opérationnelles et commerciales associées aux cyberattaques.

Les gestionnaires de crise au sein de l’entreprise doivent s’interroger sur au moins trois points : « quel est l’impact opérationnel immédiat sur l’entreprise de cette attaque et avec quelle rapidité pouvons-nous revenir en ligne? Quelle est notre responsabilité juridique? Avons-nous un plan de communication en place? ». Le département informatique d’une entreprise est normalement en mesure de répondre à l’incident technique et de fournir les informations sur les accès ouverts, ce qui a été volé et ce qu’il faudra faire pour reconnecter les systèmes. Mais les informaticiens ont rarement l’expérience ou le mandat pour répondre aux questions de gestion opérationnelle qu’une cyberattaque suscite.

Brèches souvent détectées par des tiers

D’autant que, les « cyberattaques » peuvent rapidement prendre des proportions médiatiques mal maîtrisées puisque Mandiant relève que 53% des brèches de sécurité informatique sont détectées par des tiers plutôt que par les victimes.

Comment se protéger? D’abord en comprenant les capacités et motivations des acteurs prenant pour cible votre entreprise afin de formuler un plan de gestion de crise adapté et proportionné, envisageant les scénarios de crises les plus probables ainsi que les plus dangereux pour votre entreprise. Il est ainsi souhaitable d’établir avant une cyberattaque, un plan de gestion de crise et des procédures bien documenté. Assurez-vous que la réponse à l’incident technique soit complète et s’accompagne d’un plan de gestion commerciale et opérationnelle. Vérifiez donc que tous les acteurs principaux de l’entreprise connaissent ce plan et qu’ils peuvent rapidement l’actionner. Testez son fonctionnement en vous exerçant dans des conditions réelles, et posez-vous les questions suivantes: Tout le monde peut-il être contacté? Connaissent-ils leurs rôles et responsabilités face à une telle crise? Enfin soyez prêts, à vous procurer le soutien de spécialiste en gestion de crise pour vous aider si vous ne disposez pas des capacités techniques, juridiques, de communications, ou de gestion de crises nécessaires en interne.

Les attaques cybercriminelles ont doublé entre 2014 et 2015, il n’est donc plus possible d’ignorer la menace. Même si vous êtes une entreprise bien protégée, une cyberattaque a toute les chances de vous affecter dans un futur proche. La question n’est déjà plus « quand aura lieu une attaque? », mais plutôt « êtes-vous prêts à réagir? »

Nicolas Reys de la société de conseil en gestion des risques Control Risks.

Article original de Challenges.fr

Réagissez à cet article