Embed Size (px)
Citation preview
4 MENACESÀ LA LOUPELes cybercriminels possèdent bien souvent unelongueur d'avance sur les solutions technolo-giques de sécurité. Sensibiliser les collaborateursà certaines bonnes pratiques constitue donc unemesure préventive incontournable face aux ran-somwares, à l'ingénierie sociale ou aux APT.
IAucune protection techniquen'étant infaillible, les expertsen sécurité informatique s'ac-cordent sur un point : de bonnespratiques peuvent tout autant
assurer la protection du SI que dessolutions technologiques. Cela devraits'avérer particulièrement vrai en 2017où les principales menaces, telles queles ransomwares, l'ingénierie socialeou les APT (Advanced PersistentThreat), exploitent d'abord des failleshumaines. Même les attaques par dénide service distribué (DDoS) peuventêtre endiguées en prenant certainesprécautions dans l'organisation de l'in-frastructure réseau.
Première paradeaux ransomwares :la vigilancedes collaborateursL'une des principales menaces quipèse sur les entreprises en 2017 restele logiciel de rançon. Le tristement
célèbre Locky, continue d'être présenten France et ses variantes sont de plusen plus nombreuses. «Ce ransomwareévolue tellement vite qu'il devient infer-nal de trouver une réponse technique »,explique Régis Bénard, consultanttechnique de Vade Secure, éditeur fran-çais spécialisé dans les solutions deprotection des boîtes de messagerie.Le mode de diffusion de ce malwareest pourtant assez classique. 11arriveen entreprise sous la forme d'un e-maildont la pièce jointe est piégée. Le plussouvent, le corps du message est rédigéen anglais et invite le destinataire àpayer une facture, fournie en piècejointe. Si l'utilisateur ouvre cette der-nière, en apparence un simple fichierWord, il lui est demandé d'activer desmacros pour pouvoir lire le document.En le faisant, le document ne devientpas plus lisible. En revanche le télé-chargement d'un code malveillant estlancé. Ce code va chiffrer des donnéesde l'ordinateur, qui deviennent ainsiinaccessibles. Une demande de rançon
il
a FACE AUXRANSOMWARES,IL FAUT RÉALISER
QUOTIDIENNEMENTDES SAUVEGARDES
DE DONNÉES »Guillaume Laudière,
consultant d'Orange Cyberdefense
L'ENISA PROPOSE ENTÉLÉCHARGEMENTDES POSTERSA AFFICHER POUR SENSIBILISER
LES COLLABORATEURS.
s'affiche alors à l'écran, indiquant qu'ilfaut payer le cybercriminel pour rece-voir la clé de décodage des données.«La première mesure de préventioncontre les ransomwares est de sensi-biliser les collaborateurs pour qu'ilssoient plus vigilants dans l'usage deleur messagerie, particulièrement ence qui concerne les pièces jointes »,souligne Henri Codron, vice-pré-sident du Clusif (Club de la sécuritéde l'information français), associa-tion dédiée à la sécurité informatiquerassemblant plus de 250 sociétésissues de tous secteurs économiques.Cette sensibilisation peut prendre laforme de séances de formation à lasécurité informatique, organisées aumoins une fois par an. Ces séancesdevront expliquer le mode opéra-toire des ransomwares, illustré par desexemples concrets, et rappeler qu'encas d'e-mail suspect, le collaborateurdoit contacter son support informa-tique avant d'ouvrir une pièce jointe.Cette formation doit être complétéepar un rappel permanent des bonnespratiques de sécurité, afin que les bonsréflexes perdurent. «Il existe des res-sources en ligne pour les entreprises, parexemple de posters à afficher dans leurslocaux», poursuit-on au Clusif. L'Agence
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 14,15,16-18SURFACE : 290 %PERIODICITE : Mensuel
DIFFUSION : (15000)JOURNALISTE : Christophe Guillemin
1 janvier 2017 - N°153
européenne chargée de la sécurité desréseaux et de l'information (Enisa) pro-pose ainsi des posters en PDF à télé-charger sur son site (https://www.emsa.europa.eu/media/multimedia/posters/cybersecurity-education-posters-2016).L'Agence nationale de la sécurité dessystèmes d'information (Anssi) et lesyndicat CGPME proposent égalementun guide sur les bonnes pratiques del'informatique principalement axé surla sécurité (https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique).
Sauvegarderrégulièrementles donnéesDeuxième bonne pratique face auxlogiciels de rançon : sauvegarder régu-lièrement les données importantes des
postes de l'entreprise. Là encore, il fautsensibiliser les collaborateurs sur lanécessité de réaliser des backups deleurs fichiers, si possible quotidienne-ment. Et au-delà des postes de travail,les données sensibles de l'entreprisedoivent bien entendu également êtresauvegardées. Un ransomware peut eneffet se propager sur tous les espacespartagés de l'entreprise, notammentle serveur de fichiers. « Des back upquotidiens doivent être réalisés et destests de restauration menés une àdeux fois par an pour être certain dubon fonctionnement du dispositif »,indique Guillaume Laudière, consul-tant d'Orange Cyberdefense, entité ras-semblant toutes les expertises sécuritéd'Orange Business Services.En cas de contamination par un ran-somware, la restauration des sys-tèmes grâce à ces sauvegardes reste la
<€ VERSERLA RANÇON
REVIENT À DONNERENCORE PLUS
DE MOYENS AUXCYBERCRIMINELS.
IL NE FAUTPAS PAYER!»
Régis Bénard,consultant technique
de Vade Secure
meilleure réponse à la demande de ran-çon (lire en p. 16 : Comment faire faceà la prise d'otage ?). Car bien entendu,le versement de la rançon ne garantitpas l'envoi de la clé de décodage. «Sil'entreprise verse la rançon, il y a uneforte probabilité que les cybercriminelslui réclament encore plus d'argent », sou-ligne Régis Bénard, de Vade Secure.«Et, bien entendu, payer revient à don-ner encore plus de moyens aux cybercri-minels qui peuvent ainsi continuer leursméfaits et renforcer leurs techniques.Donc il ne faut pas payerI», insiste-t-il.
Sensibiliser lescollaborateurs permetaussi de se prémunircontre les APTLe facteur humain est également déci-sif dans le cas d'une « menace persis-tante avancée », ou APT. Son principeest en effet de créer discrètement unebrèche dans la protection du SI afin devoler des données sensibles et de prépa-rer une attaque encore plus importante.
BONNESPRATIQUESAPT : COMMENT PARER L'ATTAQUE
SILENCIEUSE?Un espionnage par APT a été détecté
ou suspecté? Mieux vaut ne pas bloquertout de suite le canal de communication
identifié. L'idée est ici de surveiller lesagissements de l'éventuel cybercriminel,
en analysant notamment les logs deconnexion, afin de déterminer ses actes,
d'identifier ses points d'entrée et desortie et même peut-être de remonterjusqu'à lui. Cette surveillance doit êtreréalisée avec la plus grande discrétion. •«Il est souhaitable de limiter la diffusion 1
de connaissance de la suspicion demalveillance aux seules personnes ayant
le besoin d'en connaître l'existence»,recommande le Clusif. Dans tous les cas,
l'entreprise peut contacter des servicesd'État spécialisés en matière de malveillance
informatique. Ils l'accompagnerontdurant les investigations.
HENRI CODRON,VICE-PRÉSIDENT DU CLUSIF.
Selon les cas de figure,le Clusif fournit une liste
des services à contacter :(https://clusif.fr/
cyber-victimes), de laGendarmerie nationale à laBrigade d'enquêtes sur lesfraudes aux technologiesde l'information (BEFTI).
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 14,15,16-18SURFACE : 290 %PERIODICITE : Mensuel
DIFFUSION : (15000)JOURNALISTE : Christophe Guillemin
1 janvier 2017 - N°153
BONNESPRATIQUESRANSOMWARE : COMMENT FAIRE
FACE À LA PRISE D'OTAGE?
Voici les principales étapes pour endiguer une attaque parlogiciel de rançon et tenter de récupérer les données bloquées.
1) Isoler rapidement la machine infectée : le premierréflexe est de déconnecter du SI l'ordinateur infecté pour éviter
que le malware ne se propage et contamine par exempledes espaces réseau partagés comme le serveur de fichier.Le plus simple reste de débrancher physiquement la priseEthernet de l'ordinateur ou de couper sa connexion Wi-Fi,
ou encore simplement d'éteindre la machine.
2) Restaurer le système s'il y a un backup : si une sauvegardedes données a été réalisée, le système doit être réinstallé
en intégralité (OS, applications et données) grâce à ce back up.
3) Mettre en quarantaine la machine, en attendant laparution de la clé de chiffrement : si aucune sauvegardede données n'a été réalisée, le poste infecté peut-être misde côté, en attendant que la clé de chiffrement du malware
soit publiée par les éditeurs de solutions de sécurité. «Cettesolution reste bien entendu assez contraignante», souligne
Guillaume Laudière, chez Orange Cyberdefense. La publicationdes clés de déblocage peut prendre plusieurs semaines et
tous les malwares ne sont pas percés à jour. Selon l'opérateurtélécom, seuls 2 à 3% des ransomwares sont effectivement
«cassés». Parmi les sites internet à consulter :https://www.nomoreransom.org/, qui rassemble plus
160000 clés de déblocage. Ce site est proposé par Europol(Office européen de police), l'éditeur antivirus russe Kaspersky
et Intel Security (ex-McAfee).
Une APT peut durer pendant plusieursannées, avant que l'entreprise ne s'enrende compte. Pour accéder au SI, lecybercriminel utilise très souvent desmalwares classiques arrivant sous laforme d'un e-mail contenant une piècejointe piégée. Là encore, la vigilancedes collaborateurs est donc une bonneparade. «Ce sont les mêmes actions pré-ventives que pour les ransomwares »,indique Henri Codron, au Clusif. À celas'ajoute une analyse régulière des jour-naux d'événements du pare-feu afin derepérer une éventuelle fuite de données.
Organiser le réseaupour qu'il supporteune attaque DDoSContrairement aux ransomwares ouaux APT, le facteur humain n'est pas leprincipal levier pour se prémunir d'uneattaque par déni de service distribué(DDoS). Rappelons que son principeest de saturer un site web ou un serviceweb sous un gros volume de requêtes.« Pour faire face à une attaque DDoS, laseule véritable parade reste la taille dutuyau», estime Julien Levrard, chef deprojet sécurité chez OVH. En septembredernier, l'hébergeur a été victime d'unedes plus importantes attaques DDoSjamais perpétrée dans le monde.Lancée de plus de 145000 caméras IPde surveillance, insuffisamment sécu-risées, la surcharge a atteint 1,5 Tbps.OVH disposait cependant d'une bandepassante suffisante pour supporter lasurcharge de trafic. «Aujourd'hui, nouscomptons plus de 7 Tbps de connexionvers Internet. C'est cela qui explique quenous avons pu recevoir une attaque de1 Tbps sans saturer nos connexions »,assure l'hébergeur.
Mais une PME n'est pas en capacité dedisposer d'une telle bande passante,dont le coût reste très élevé. Elle peutcependant s'organiser en répartissantses activités sur différents réseaux,explique OVH. Le site d'e-commercede l'entreprise pourra par exemple êtrehébergé en externe, alors que le site« corporate » restera sur les serveursinternes de l'entreprise. « Nous pro-posons des solutions anti-DDoS, bap-tisées VAC, qui vont filtrer les paquets dedonnées pour ne laisser passer que lespaquets identifiés comme utiles. Cette
solution est disponible en standardsur nos offres, dont celles accessiblesaux PME », souligne Julien Levrard.Les mesures anti-DDoS d'OVH sonten cours d'évolution. En 2017, ellesdevraient pouvoir supporter des picsd'attaque allant jusqu'à 5 Tbps.Quant aux entreprises de taille plusimportante, elles peuvent se prémunir
des attaques DDoS en capitalisant surune infrastructure résiliente de dimen-sion internationale. est recommandé
de profiter des nouvelles fonctions deroutage avancées intégrées au proto-cole BGP (Border Gateway Protocol) »,indique Régis Bénard chez VadeSecure. principe est d'avoir uneadresse IP portée par plusieurs serveursà travers le monde. Ce sont ensuite lesrouteurs d'Internet qui vont gérer l'envoià la machine la plus proche du deman-
deur. Ainsi, même en cas de DDOS, lacharge est répartie entre les différentesmachines à travers le monde ».
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 14,15,16-18SURFACE : 290 %PERIODICITE : Mensuel
DIFFUSION : (15000)JOURNALISTE : Christophe Guillemin
1 janvier 2017 - N°153
«POUR FAIRE FACE À UNEATTAQUE DDOS, LA SEULEVÉRITABLE PARADE RESTE
LA TAILLE DU TUYAU »Julien Levrard,
chef de projet sécurité chez OVH
Éviter les piègesde l'ingénierie socialeDernière menace qui pèsera surles entreprises en 2017 : l'ingénie-rie sociale. Cette méthode d'attaqueexploite la crédulité des collabora-teurs, sans inoculation de codemalveillant. L '«attaque au faux pré-sident», en est un des principauxexemples. Le principe est de réu-nir des informations sur l'entrepriseet ses salariés afin de berner unemployé des services financiers, ense faisant passer pour son patron. Lesalarié reçoit par exemple un e-maildu PDG de l'entreprise lui deman-dant un transfert d'argent vers uncompte, le plus souvent situé dansun pays de l'Est ou en Chine. Il s'agitbien entendu d'un piège, le compte
étant celui d'un cybercriminel. Dansle même esprit, un employé du ser-vice comptabilité peut recevoirun faux message de changementd'identité bancaire d'un fournis-seur, de relance de paiement d'un
bail de location de bureau ou detest de configuration d'un virementSEPA. Selon le Clusif, plus d'un mil-lier d'entreprises françaises ont étévictimes de ce type d'attaque depuis2010. Et le phénomène perdure.«Pour se prémunir de ce type d'at-taque, il faut capitaliser sur la sensibi-lisation des collaborateurs. Ils doiventapprendre à confirmer des demandessuspectes par un autre canal de com-munication que celui par lequel elle estarrivée», explique Guillaume Laudière,consultant d'Orange Cyberdefense.«• Un simple appel téléphonique peutsuffire pour vérifier l'information, àcondition bien entendu de ne pas com-poser un numéro affiché dans le mes-sage reçu », confirme Régis Bénard.Enfin, une surveillance accrue desnoms de domaines peut aider à seprémunir des arnaques par ingénieriesociale. La récente attaque dont a étévictime le groupe Vinci était baséesur l'envoi à la presse d'un faux com-muniqué annonçant des irrégularitéscomptables. Ce message, très réa-liste, a été envoyé depuis les noms dedomaines Vinci.group et vinci-group.com. Ces deux noms de domainesétaient bien enregistrés chez Gandiet OVH, mais n'appartenaient abso-lument pas au groupe Vinci. «Il fautmette en place une surveillance régu-lière des noms de domaines ressem-blant à ceux que possède l'entreprise.Il convient également de centraliserla gestion des noms de domaines ausein d'une seule entité de la sociétépour pouvoir plus facilement déter-miner les vrais des faux», conclut-onchez Orange Cyberdefense. I
CHRISTOPHE GUILLEMIN
BONNESPRATIQUESDDOS : COMMENT NE PAS
SUCCOMBER FACE À LA CHARGE?Le SI de l'entreprise subit une attaque par saturation ?
«En cas de DDoS, si votre architecture applicative n'est pasexplicitement prévue pour gérer des pics de charges,
vous ne pouvez compter que sur la taille du réseau et lescapacités de filtrage des opérateurs», résume Julien Levrard,
chef de projet sécurité chez OVH.
• Si le site ou le service web pris pour cible est hébergéen externe, l'hébergeur devrait normalement prendre
de lui-même des mesures anti-DDoS en filtrant une partiedu trafic illégitime et ainsi épurer la bande passante
(lire la solution d'OVH ci-contre).
• Si le site ou le service est hébergé en interne,il faut contacter le FAI de l'entreprise. Il devrait pouvoir mettre
en place différentes mesures de filtrage de la bande passante.Orange propose par exemple de dévier le trafic internet
de l'entreprise vers ses propres serveurs où il prend en chargele nettoyage de la bande passante avant de renvoyer une partiedu trafic vers le client (solution Clean Pipe). «En cas d'attaque,le Client peut continuer à utiliser son service Internet, mais les
performances peuvent éventuellement être dégradées», indiquel'opérateur. Il faut bien entendu avoir souscrit préalablement
à ce type de mesures anti-DDoS auprès de son FAI.
Octave Klaba / Oies^ oiesovhcom
JL* Suivre
This botnet with 145607 cameras/dvr(1-30Mbps per IP) is able to send >1.5Tbps
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 14,15,16-18SURFACE : 290 %PERIODICITE : Mensuel
DIFFUSION : (15000)JOURNALISTE : Christophe Guillemin
1 janvier 2017 - N°153
