Pourquoi est-il si simple de dérober des données à une entreprise ?

www.egedian.com

Pourquoi est-il si simPle de dérober des données à une entrePrise ?

10 conseils aux entreprises pour améliorer la sécurité des messageries et du Web

Osterman Research, Inc.P.O. Box 1058 • Black Diamond, Washington • 98010-1058 • USATél. : +1 253 630 5839 • Fax : +1 253 458 0934 • [email protected] • twitter.com/mosterman

Livre blanc

Livre blanc écrit par Osterman Research, Inc. pour le compte d’Egedian.

• POINTS CLÉS •

Les entreprises doivent se protéger contre un large éventail de menaces de plus en plus nombreuses, développées par des cybercriminels et visant leurs données et leurs biens financiers. Les entreprises doivent être d’autant plus vigilantes que les malwares opèrent via un nombre croissant de canaux dont les outils traditionnels comme les e-mails et les ordinateurs de bureau mais également les médias sociaux, les applications de stockage dans le Cloud et de partage de fichiers, les smartphones, les tablettes, les ordinateurs personnels des employés, les lecteurs USB, etc. Les décideurs des entreprises doivent à la fois permettre l’utilisation des appareils appartenant aux employés et assurer une protection contre les menaces qu’ils introduisent.En résumé, les menaces deviennent de plus en plus sérieuses et les décideurs doivent davantage penser à protéger leurs biens essentiels par une meilleure formation des employés, un renforcement des procédures de sécurité et des technologies de sécurité plus sûres.

• AU SUJET DE CE LIVRE BLANC •

Ce livre blanc fournit un aperçu des menaces de sécurité auxquelles les entreprises sont actuellement confrontées et propose des conseils pratiques que les entreprises peuvent appliquer pour améliorer leur sécurité.

Les menaces deviennent de plus en plus sérieuses et les décideurs doivent davantage penser à protéger leurs biens essentiels.

2

RéSUMé

Une sécurité des messageries et du Web fiable, associée à une formation adaptée des utilisateurs et des procédures de sécurité, est absolument essentielle à la protection des données des entreprises, des biens financiers et d’autres biens électroniques. Sans solution et contrôle appropriés, les cybercriminels peuvent exploiter des failles de sécurité et provoquer d’importants dommages dans une entreprise. Par exemple :• Le24etle26décembre2012,descybercriminelsontutilisédesmalwaresinstallés

surunPClocald’AscentBuilderspourdétourner900000US$ducompteBankof the West de l’entreprise. Le transfert a été suivi peu après d’une importante attaque de déni de service (DDoS) contre la banque, sans doute pour masquer le vol de fonds1.

• Endécembre2012,descybercriminelsontajouté11fauxemployésaupersonneldel’entreprise Niles Nursing en utilisant les identifiants de connexion du contrôleur de gestion de l’entreprise. Les paiements ACH effectués à partir du compte bancaire deNilesontpermisauxcriminelsdetransférerinitialement58000US$defondsà des individus qui devaient transférer l’argent à des contacts en Russie et en Ukraine.Autotal,environ170000US$ontétédérobésàl’entreprise2.

• UneétuderéaliséepourleBureauduCabinetbritanniquearévéléquelapertede propriété intellectuelle – causée en grande partie par des malwares et d’autres formesdecybercrime–coûtaitauxentreprisesbritanniquesplusde9,2milliardsde livres par an3.

• LES APPLICATIONS •

Outre les différentes applications d’entreprise déployées par le service informatique dans les entreprises classiques, Osterman Research a également observé une utilisation généralisée d’applications déployées par des individus, telles que des applications de stockage cloud et de synchronisation de fichiers. Elles sont la plupart du temps utilisées sans l’accord du service informatique. L’applicationDropboxestparexempleutiliséedans14%desentreprisesdeplusde1000employésavecl’accordduserviceinformatiqueetdans44%d’entreellessansleuraccord,commel’indiqueletableausuivant.

Les principales applications cloud déployées par les utilisateursEn % des entreprises

Application Jusqu’à 99 employés 100-999 employés + de 1 000 employés

dropbox

Déployée par le service IT 17,3% 12,2% 5,7%

Utilisée avec l’accord du service IT 39,5% 26,3% 13,2%

Utilisée sans l’accord du service IT 21,0% 31,4% 43,1%

Non utilisée 22,2% 30,1% 37,9%

Apple iCloud




Non utilisée 35,4% 40,4% 38,6%

Google drive




Non utilisée 43,6% 45,0% 44,5%

Google docs




Non utilisée 47,4% 34,0% 37,6%

microsoft skydrive




Non utilisée 38,3% 47,0% 50,0%

Source : Managing BYOD in Corporate Environments (La gestion du BYOD dans les environnements d’entreprise), Osterman Research, Inc.

Les outils fournissant des informations de géolocalisation peuvent également être dommageables. Alors que la menace la plus directe provient des criminels qui peuvent cibler les individus, les cadres supérieurs, etc., des informations de géolocalisation à l’apparence inoffensive peuvent communiquer aux concurrents et autres les endroits où se trouvent les principaux dirigeants, entraînant la divulgation de données sensibles, telles que des projets de collaboration avec unnouveau distributeur ou un autre partenaire commercial.

• LES ATTAQUES DIRECTES •

Les attaques directes de hackers constituent un problème de plus en plus grave auquel les entreprises doivent être préparées.

les applications déployées par les employés sont souvent utilisées sans l'accord de leur service informatique.

DES mEnacES croiSSantES à DifférEntS nivEaux

3

Ainsi, Prolexic Technologies a constaté que les attaques par déni de servicedistribué(DDoS)aucoursdutroisièmetrimestre2012étaient88%plusfréquentesqu’aucoursdumêmetrimestreunanauparavant.De plus, alors que la durée d’une attaque DDos typique a diminué au cours de cette période, la bande passante moyenne consommée par cesattaquesaaugmentéde230%,dépassantsouventles20Gbps4.

• LES MALWARES •

Les malwares constituent un problème extrêmement grave et affectent lagrandemajoritédesentreprises,mêmecellesquiveillentassidûmentà leur protection. Les tentatives de phishing, de spear phishing, les keyloggers, les chevaux de Troie dérobant des mots de passe et les autres types de malwares posent un risque de plus en plus grand pour les données et les finances des entreprises.La cible des malwares est généralement le contenu sensible tel que des noms d’utilisateur et des mots de passe mais peut comprendre également des identifiants de connexion à des systèmes bancaires, des données clients, des secrets industriels et d’autres types de données confidentielles. Le vol d’informations (à la fois personnelles et professionnelles), les systèmes de piratage utilisés à des fins diverses et le lancement d’attaques malveillantes supplémentaires ont tous d’importantes implications commerciales, en plus de l’impact plus classique sur le stockage, la bande passante, l’infrastructure et d’autres coûts.

On a observé récemment d’importantes incursions de malwares :• Mi-février 2013, Apple Computer a été victime d’une attaque

de malwares qui a infecté des Macs de l’entreprise (nombre non communiqué). Les malwares sont entrés dans l’entreprise via un site Web légitime axé sur le développement logiciel et ont exploité un bug non patché de Java5.

• Début février 2013, Twitter a été piraté et les informations de 250000comptesutilisateursontétéexposées,sansdouteenraisonde l’exploit Java mentionné ci-dessus6.

• En juillet 2012, Neurocare, un fabricant de matériel médical, aété attaqué par des malwares qui ont obtenu les identifiants de l’entreprise permettant d’accéder au prestataire externe de service paie. Cela a eu des répercussions négatives sur l’ensemble des employés de Neurocare7.

• Enjuin2011,leFondsMonétaireInternational(FMI)asubiuneattaquede spear phishing qui pourrait avoir été perpétrée par un état voyou. Bien que les employés aient reçu la consigne de ne pas ouvrir les pièces jointes inconnues ni les e-mails provenant d’expéditeursinconnus et de ne pas cliquer sur des liens de vidéos, les malwares d’une-mailsontparvenusàpasseroutreladéfenseduFMIetdesinformations ont été volées sur les ordinateurs corrompus8.

• En avril 2011, des tentatives de phishing ciblant de nombreuxemployés non qualifiés de l’entreprise de sécurité RSA ont été concluantes.Cese-mailsavaientpoursujet“2011RecruitmentPlan”(Planderecrutement2011)etcontenaientunfichierExcelcommepiècejointeexploitantunefaillezero-dayd’AdobeFlash.Bienqueces e-mails aient été envoyés dans les dossiers de spam de ces utilisateurs, ils ont été ouverts à partir de la quarantaine et un cheval de Troie a été installé, capable de recueillir les données de nombreux comptes d’employés, mettant en péril le système d’authentification de RSA. Des centaines d’entreprises ont été attaquées à l’aide du mêmemécanismedecommandeetdecontrôledontIBM,Google,Microsoftetenviron20%desentreprisesFortune50010.

Les malwares constituent un problème extrêmement grave et affectent la grande majorité des entreprises, même celles qui veillent assidûment à leur protection.

4

• En avril 2011, une tentative de spear phishing à l’encontre duLaboratoire National d'Oak Ridge a pu dérober plusieurs mégaoctets de données avant que les administrateurs informatiques ne bloquent l’accès à Internet. L’e-mail envoyé aux employés était censé provenir du service RH du laboratoire et comprenait un lien malveillant. Sur les530employésquil’ontreçu,57l’ontouvert11.

• L’UTILISATION LÉGITIME D’INTERNET •

Les malwares peuvent accéder à une entreprise via une simple navigation sur Internet si des sites Web légitimes ont été infectés. Par exemple, un célèbre site Web bulgare vendant des montres a été infecté début2013etlespersonnesquil’ontconsultéontétéredirigéesversun site Web infectant les visiteurs avec des chevaux de Troie envoyant des SMS . Les principaux vecteurs de menaces sont les suivants :• Lesattaquesdetypecross-siterequestforgery(CSRF)permettent

à des sites web apparemment sûrs de générer des requêtes auprès dedifférentssites.DesattaquesCSRFontexploitédesvulnérabilitésdans Twitter, permettant aux propriétaires de sites d’acquérir les profils Twitter de leurs visiteurs.

• Les applications du Web 2.0 exploitant XML, XPath, JavaScriptet JSON, Adobe Flash et d’autres applications Internet richessont souvent vulnérables aux attaques par injection utilisant cesenvironnements. Ces technologies sont souvent employées pour échapper aux mécanismes antivirus, ce qui motive les attaquants à les exploiter.

• Des attaques avec plusieurs composants peuvent se produirelorsque deux malwares inoffensifs apparaissent sur la même page Web. Séparément, ils sont inoffensifs et difficiles à détecter. Cependant, lorsqu’ils apparaissent simultanément, ils peuvent infecter la machine d’un utilisateur avec des malwares.

• Les attaques d'injections SQL se produisent lorsque des champsde données d'un site Web peuvent être détournés (via l'insertion de méta-caractères par exemple) afin de pouvoir faire exécuter des requêtesSQLnonsollicitéesàlafaveurd'unpotentielattaquant.

• Les attaques de cross-site scripting incorporent des balises dansles URL – lorsque les utilisateurs cliquent sur ces liens, du code Javascript malveillant s’exécute sur leurs machines.

• LES E-MAILS •

Les e-mails constituaient le premier canal de distribution des malwares dudébutdesannées2000jusqu’en2009environ,jusqu’àcequ’Internetdevienne le principal vecteur d’attaques. Ils demeurent toutefois une méthode clé dans la distribution du spam via différents moyens : messagerie du poste de travail, téléphones mobiles via les SMS/l’envoi de messages de texte etc.Plus récemment, on a observé des “menaces mixtes” : des spamscontiennent des liens renvoyant vers des sites web infectés par des malwares. Les menaces mixtes sont une forme d’attaque plus élaborée car elles nécessitent une bonne sécurité Web associée à une protection des messageries électroniques.Si les spams sontmoins nombreux aujourd’hui qu’ils ne l’étaient fin2010, ils constituent toujours un problème important. En effet, lesmessages de spam standards, souvent utilisés pour distribuer des malwares peuvent causer d’importants dommages.

Les malwares peuvent accéder à une entreprise via une simple navigation sur Internet si des sites Web légitimes ont été infectés.

Les messages de spam standards, souvent utilisés pour distribuer des malwares peuvent causer d’importants dommages.

5

De plus, si le spam n’est pas en lui-même toujours dangereux dupoint de vue de la sécurité, il fait perdre de la bande passante, de l’espace et du temps aux employés, sans mentionner le coût associé au déploiement de systèmes pour identifier et supprimer le spam des réseaux d’entreprises. Le spam fait perdre du temps à l’IT et fait grimper le coût global des systèmes de messagerie et des autres systèmes administrés par l’IT.

• L’UTILISATION CROISSANTE DES PLATEFORMES MOBILES •Les employés utilisent aujourd’hui de plus en plus de plates-formesmobiles et leurs propres appareils mobiles pour accéder à leur messagerie professionnelle et à d’autres données, comme l’illustrent les deux schémas suivants. Ainsi, le nombre de points d’entrée des malwares continue à augmenter.

Pénétration des appareils mobiles fournis par l’entreprise, 2009-2012

Source : études Osterman Research.

Le spam fait perdre du temps à l’IT et fait grimper le coût global des systèmes de messagerie et des autres systèmes administrés par l’IT.

120%

100%

80%

60%

40%

20%

0%2009 2010 2011 2012

Entreprises équipées d'iPads Apple

Entreprises équipées de Macbooks

Entreprises équipées de smartphones

Entreprises équipées d'ordinateurs portables Windows

Pourcentage des entreprises utilisant des appareils mobiles

Source : Managing BYOD in Corporate Environments (La gestion du BYOD dans les environnements d’entreprise), Osterman Research, Inc.

100%

80%

60%

40%

20%

0%iPad

AppleiPhoneApple

Smartphone BlackBerry

Smartphone Android

Tablette Android

Téléphone Windows

Microsoft Surface RT

Microsoft Surface Pro

BlackBerry Playbook

Appareil professionnel

Appareil personnel

74% 72%

88% 88%

56%52%

81%

29%26%

12% 10%6%

32% 31%

20%

65%

54%

62%

6

• LES RÉSEAUX SOCIAUX •

L’utilisationdestroisprincipauxréseauxsociaux–Facebook,TwitteretLinkedIn- ainsiquedeplusde 1000 réseauxdans lemondecréed’importants problèmes de sécurité, dont le fait que les réseaux sociaux puissent être utilisés comme porte d’entrée des malwares. Comme l’indique le graphique suivant, Osterman Research a constaté que des malwaress’étaientinfiltrésdans24%desentreprisesviaFacebooketdans7%d’entreellesviaTwitteretLinkedIn.Il est étonnant, cependant, qu’une grande proportion des entreprises ignore si des malwares sont entrés ou non via ces outils.

L’infiltration des malwares via différents réseaux sociaux“Des malwares se sont-ils déjà infiltrés dans votre réseau d’entreprises via les réseaux sociaux suivants ?”

100%

80%

60%

40%

20%

0%

Oui

Non

Incertain

Facebook Twitter LinkedIn

24%7% 7%

21% 26% 21%

55%

67% 72%

Source : Why All Organizations Need to Manage and Archive Social Media (Pourquoi toutes les entreprises ont besoin de gérer et d’archiver les données des réseaux sociaux), Osterman Research, Inc.

Alors que les outils antivirus et antimalwares traditionnels peuvent être relativement efficaces pour bloquer les menaces introduites par les réseaux sociaux, une détection des menaces “zero-hour” et lacapacité à mettre en place des mesures correctives est absolument essentielle pour bloquer les malwares susceptibles de s’infiltrer via les réseaux sociaux. Ces systèmes de protection doivent inclure les menaces pouvant s’introduire via un appareil mobile dont l’utilisateur se connecte régulièrement à des réseaux sociaux.

• LES VECTEURS DE MENACES DEVIENNENT DE PLUS EN PLUS NOMBREUX ET SÉRIEUX •

En résumé, les vecteurs de menaces deviennent de plus en plus sérieux puisque les criminels adoptent de plus en plus de méthodes relevant de l’ingénierie sociale pour convaincre les utilisateurs de cliquer sur des liens et d’introduire des malwares dans les entreprises. Parallèlement les malwares qu’ils développent sont plus performants, plus discrets et le cybercrime génère des dividendes plus importants.

Les malwares se sont infiltrés dans 24% des entreprises via Facebook et dans 7% d’entre elles via Twitter et LinkedIn.

7

La Sécurité Doit êtrE Lapriorité n°1

Il y a plusieurs conséquences importantes associées à l’infiltration de menaces : si certaines sont simplement gênantes, d’autres sont capables de détruire une entreprise financièrement, comme le montrent les sections suivantes.

• LE VOL DE COMPTES FINANCIERS D’ENTREPRISE •

Un grand nombre d’entreprises de toutes tailles et de tous les secteurs d’activité est ciblé par des keyloggers et d’autres formes de malwares qui permettent aux criminels de détourner des fonds de comptes financiers d’entreprises. De nombreux cas de ce type de vol ont été recensés (d’autres n’ont pas été répertoriés). Bien que toute entreprise puisse être touchée par des malwares ou des attaques directes de hackers, les plus petites entreprises sont généralement des cibles plus rentables car elles ne disposent généralement pas de personnel informatique à temps plein connaissant bien les tactiques actuelles des cybercriminels et souvent, elles ne disposent pas d’une protection sophistiquée pour contrecarrer ces attaques. Les entreprises suivantes ont subi des pertes financières générées par des malwares ou des attaques : • Hillary Machinery : 800 000 US$ (leur banque a pu recouvrer

uniquement600000US$)• LeDiocèseCatholiquedeDesMoines:600000US$• Patco:588000US$• LedistrictscolaireducomtédeWesternBeaver:700000US$• Experi-Metal,Inc.:560000US$• VillageViewEscrow:465000US$• Une entreprise de construction de Californie non identifiée :

447000US$• ChoiceEscrow:440000US$• LegouvernementducomtédeBullitt,Kentucky:415000US$• LavilledePoughkeepsie,NewYork:378000US$

• LA PERTE DE PROPRIÉTÉ INTELLECTUELLE •

Les informations propriétaires telles que les secrets de fabrication, les informations confidentielles et sensibles et la propriété intellectuelle de l’entreprise peuvent être perdues suite à une sécurité laxiste, des attaques de hackers, des malwares et d’autres incursions. Ces pertes peuvent avoir lieu suite à la présence de contenu confidentiel dans un e-mail ou dans un transfert de fichier non chiffré, des données perdues sur un appareil mobile ou un support USB non crypté, ou des données quelesemployésemportentetconserventchezeux.

• LES PROBLÈMES DE CONFORMITÉ •

En l’absence de mesures de sécurité fiables et de pratiques de bon sens, les entreprises peuvent transgresser un grand nombre de lois requérant la protection des données sensibles. Malgré l’importance du respect des obligations légales, une étude indique que dans une entreprise sur cinq, les décideurs ne connaissent pas les lois s’appliquant àleurentreprise.Voustrouverezci-dessousunaperçudeceslois,neconstituant en aucune façon une liste exhaustive :

Il y a plusieurs conséquences importantes associées à l’infiltration de menaces : si certaines sont simplement gênantes, d’autres sont capables de détruire une entreprise financièrement.

8

• La loi britannique sur la protection des données requiert que les entreprises exerçant leur activité au Royaume-uni assurent la sécurité des informations personnelles qu'elles détiennent.

• La loi sur la protection des renseignements personnels et les documents électroniques (lPrde), une loi canadienne sur la protection de la vie privée, s’applique à toutes les entreprises exerçant leur activité au Canada. Comme de nombreuses autres lois, elle stipule que les données personnelles doivent être conservées et transmises de façon sécurisée.

• LePayment Card industry data security standard (PCi dss - norme de sécurité des données de l'industrie des cartes de paiement) est un ensemble d’obligations pour protéger les informations bancaires des utilisateurs et autres. Il requiert de créer et maintenir un réseau sécurisé, cryptant les données des titulaires de cartes lorsqu’elles sont transmises via des réseaux publics et attribuant un identifiant unique à chaque personne ayant accès aux données des détenteurs de cartes.

• la loi Gramm-leach-bliley (GlbA) impose que les institutions financières détenant des informations personnelles transfèrent et conservent ces informations de façon à ce que leur intégrité ne soitpasmenacée.LeGLBAimposequelesinstitutionsfinancièresrespectent différentes règles de la Securities and Exchange Commission (la Commission américaine des opérations boursières) et de la NASD (National Association of Securities Dealers, Association nationale américaine des agents de change).

• Laloi de protection des données personnelles du Japon vise à protéger les informations personnelles des consommateurs et des employés. Elle comprend, entre autres dispositions, des règles concernant la sécurité et la divulgation des bases de données contenant ces informations.

• La première loi d’un état américain requérant la protection des données des consommateurs est la SB1386 de Californie(Database Security Breach Notification Act). Il s’agit d’une loi ambitieuse requérant que toute entreprise qui possède des données personnelles sur un résident de l’état de Californie, quel que soit l’endroit où elle est établie, informe toutes les personnes dont les informations peuvent avoir été exposées de quelque manière que ce soit, sauf si les données perdues ou volées étaient chiffrées. Depuis que la Californie a adopté cette loi avant-gardiste sur la notification des violations de données, de nombreux autres états américains ont adopté des lois similaires.

• LES CONSÉQUENCES MOINS CONCRÈTES •

Si les failles de sécurité entraînant des pertes financières, de données confidentielles, de propriété intellectuelle ou autres, ont souvent une incidence mesurable sur une entreprise, d’autres conséquences, pouvant être plus difficiles à évaluer, sont tout aussi importantes. Ainsi, une forte infection de malwares ou une violation de données nuira certainement à l’entreprise qui la subit et se traduira par une perte de confiance lorsque l’incident sera rendu public. Certains clients seront moins enclins à faire affaire avec une entreprise qui connaît un important problème de sécurité. Par exemple, l’Institut Ponemom observe systématiquement que le coût le plus important d’une violation de données est la perte de clients. Enfin, les failles de sécurité obligeant le service informatique et les décideurs de l’entreprise à résoudre le problème le plus rapidement possible, ceux-ci laisseront

Certains clients seront moins enclins à faire affaire avec une entreprise qui connaît un important problème de sécurité.

9

1. PRENDRE CONSCIENCE DE LA GRAVITÉ DES MENACES ACTUELLES

De nombreux décideurs, notamment ceux des plus petites entreprises, n’ont pas conscience de l’importance des menaces. Ainsi, le Rapport Verizon2012DataBreachInvestigations(DBIR)aobservéqu’en2011,58% des vols de données étaient liés à des groupes d’activistes etque81%del’ensembledesviolationsavaientrecoursàuneformedepiratage – des constatations dont de nombreux décideurs n’ont pas conscience.Deplus, les chercheurs deVerizon considèrent que l’onobserveraen2013cequel’entrepriseappellelesattaques“faiblesetlentes”, axées sur l’authentification, l’ingénierie sociale et différentsexploits Web . Il est important de noter que l’évolution des menaces est rapide, le piratage et les malwares étant bien plus susceptibles de générer une violation de données que c’était le cas lorsque de nombreux systèmes de sécurité étaient déployés.

2. PRENDRE CONSCIENCE DE LA VALEUR DES DONNÉES D’ENTREPRISE ET LES BIENS FINANCIERS

Les décideurs doivent également avoir conscience de la valeur qu’ont leurs données pour un hacker ou un autre cybercriminel. Ainsi, les cartesbancairesaméricainessevendententre2US$et6US$piècesurlemarchénoiretlescartesbritanniquesentre4et6US$.L’accèsàdescomptesbancairessenégocieentre5et10%deleursoldeactuel.Les secrets de fabrication peuvent valoir des millions de dollars. En résumé, les données clients, la propriété intellectuelle et l’accès aux comptes financiers des entreprises sont extrêmement précieux aux yeux des cybercriminels. C’est pourquoi il faut tenir compte de la valeur de ces données lorsque l’on définit le budget alloué à leur protection.

3. LES UTILISATEURS DOIVENT ÊTRE CONSIDÉRÉS COMME LA PREMIÈRE LIGNE DE DÉFENSE

Alors que les discussions relatives à la sécurité portent principalement sur la technologie et les systèmes devant être déployés pour éviter l’intrusion de malwares, les violations de données, les attaques DDoS et autres, les décideurs doivent prendre conscience du fait que les utilisateurs constituent réellement la première ligne de défense de tout système de sécurité. Ceux-ci doivent être dûment formés à faire preuve de prudence en cas de doute concernant des e-mails ou de publications sur les réseaux sociaux et à ne pas cliquer sur les liens qu’ils contiennent à moins d’être certains de leur fiabilité. Les utilisateurs doivent également savoir qu’ils ne doivent pas retirer un message de la quarantaine de spam à moins qu’ils soient sûrs que celui-ci y a été placé à tort. Ils doivent être formés à l’utilisation appropriée des réseaux sociaux et autres outils pouvant mettre en péril la sécurité de l’entreprise.

Ainsi, les utilisateurs sont un élément essentiel dans tout système de sécurité. Ils ne peuvent être le dernier maillon de la chaîne de sécurité puisque les systèmes de sécurité sont essentiels au maintien d’une

De nombreux décideurs, notamment ceux des plus petites entreprises, n’ont pas conscience de l’importance des menaces.

10

de côté d’autres tâches, ce qui peut entraîner des retards dans d’autres projets,unemisesur lemarchéplus lentedesnouveauxproduitsoud’autres problèmes susceptibles d’avoir des répercussions sur le long terme.

LES cinq principaux probLèmES DE Sécurité auxquELS LES DéciDEurS DoivEnt prêtEr attEntion

stratégie défensive efficace mais sont assurément une composante importante d’une défense fiable.

4. LES POLITIQUES POUR GÉRER L’UTILISATION DES APPLICATIONS ET DES PLATEFORMES SONT SOUVENT INSUFFISANTES

Toutes les entreprises cherchant à protéger leurs utilisateurs, données et réseaux contre les malwares et autres menaces doivent mettre en place des politiques détaillées et rigoureuses sur l’utilisation acceptable de tous leurs outils en ligne : messagerie, réseaux sociaux, autresapplicationsduWeb2.0,outilsdecollaboration,messageriesinstantanées, smartphones et tablettes, clés USB et simple navigation sur Internet. Cela doit passer par une reconnaissance des menaces et des politiques d’utilisation de ces outils avant que des technologies ne soient déployées pour résoudre les problèmes.La plupart des entreprises n’a cependant pas créé de politiques détaillées et rigoureuses pour les différents types d’outils de messagerie ou de collaboration qu’elles ont déployés ou autorisent à utiliser. On peut ainsi voir sur le graphique suivant que seul un tiers des entreprises ou moins ont adopté ce niveau de précision dans leurs politiques de messagerie et de collaboration d’entreprises.

état de différentes politiques d’utilisation dans les entreprises

Détaillée et rigoureuse Basique Pas de politique

Smartphones fournis par l'employeur

Utiisation d'Internet

Utilisation des smartphones personnels pour accéder aux mails professionnels, au Web etc.

Utilisation de linkedin

Utilisation de la messagerie instantanée

Utilisation de Facebook

Utilisation des blogs

Utilisation de Twitter

0% 20% 40% 60% 80% 100%

8%

18%

32%

28%

29%

28%

34%

10%

59%

51%

46%

51%

50%

52%

49%

57%

33%

31%

22%

21%

21%

20%

17%

34%

Source : Messaging Policy Market Trends 2011-2014 (Les tendances du marché des politiques de messagerie 2011-2014), Osterman Research, Inc.

5. LES CONTRÔLES DRACONIENS NE FONCTIONNENT PASLes décideurs doivent avoir conscience que se contenter d’interdire l’utilisation d’un outil sans rendre effective cette même interdiction par le service informatique risque de ne pas être efficace puisque de nombreux utilisateurs l’emploieront malgré tout. C’est d’autant plus vrai pourlesemployésquitravaillentrégulièrementchezeuxet/ouutilisentleurs propres smartphones, tablettes ou applications pour effectuer leur travail. Même en cas de contrôles, ceux-ci peuvent s’avérer contre-productifs. Par exemple, interdire l’utilisation de réseaux sociaux tels queTwitterouFacebookpeutavoirunimpactimportantsurlacapacité

Toutes les entreprises cherchant à protéger leurs utilisateurs, données et réseaux contre les malwares et autres menaces doivent mettre en place des politiques détaillées et rigoureuses sur l’utilisation acceptable de tous leurs outils en ligne.

Les décideurs doivent avoir conscience que se contenter d’interdire l’utilisation d’un outil sans rendre effective cette même interdiction par le service informatique risque de ne pas être efficace.

11

1. ADOPTEZ UN PROGRAMME RÉGULIER DE CONNAISSANCE DES MENACES ET DE SENSIBILISATION À LA SÉCURITÉ

La compréhension des menaces est étroitement associée à l’accès à des informations actualisées sur les menaces nouvelles et émergentes. Par exemple, bien que Java soit un vecteur d’attaques bien connu en 2012,unenouvellevulnérabilitéJavamajeureaétédécouverte le 10janvier2013.Windows8aétélancéle26octobre2012etcinqjoursplustard,ondécouvrait déjà un faux antivirus ciblant spécifiquement le nouveausystème d’exploitation. . De plus, certains malwares et autres exploits sont conçus pour des secteurs spécifiques, comme Shamoon qui cible les ordinateurs Windows utilisés dans le secteur de l’énergie . Les décideurs doivent donc s’appuyer sur des éditeurs, des consultants, des analystes et d’autres sources de confiance pour être continuellement au fait des nouvelles menaces pouvant apparaître très rapidement.

2. METTEZ EN PLACE DES POLITIQUES DÉTAILLÉES ET GRANULAIRES POUR TOUTES LES APPLICATIONS ET PLATEFORMES

Osterman Research recommande à toutes les entreprises d’élaborer des politiques détaillées sur tous les outils de messagerie, de collaboration et autres qui sont ou seront utilisés en interne, par les partenaires commerciaux et par les utilisateurs sur tout appareil se connectant au réseau de l’entreprise. De plus, pour que les politiques soient efficaces, elles doivent être acceptées dans l’entreprise. Comme nous l’avons fait remarquer précédemment, des politiques draconiennes ne seront simplement pas suivies et/ou seront contre-productives à la fois pour atteindrelesobjectifsfixésparlesdécideursdel’entrepriseetaméliorerla sécurité.

3. ÉVALUEZ LE RETOUR SUR INVESTISSEMENTS DE LA SÉCURITÉ DE MESSAGERIE ET WEB

Le coût total de possession d’une solution de messagerie ou de sécurité Web peut varier en fonction d’un certain nombre d’éléments, dont le coût initial d’acquisition de la solution, le coût du travail des salariés en interne nécessaires à l’administration du système en continu, le coût des licences logicielles et de la maintenance associée, le coût de tout matériel nécessaire au fonctionnement du logiciel, la capacité à réutiliser le matériel existant et d’autres éléments, ainsi que le coût des solutions cloud si c’est ce modèle qui est sélectionné. De plus, les différences de coût entre plusieurs solutions varient en fonction des caractéristiques et fonctionnalités proposées par la solution. Il est important d’évaluer à la fois le Coût total de possession (TCO) et le Coût total d’acquisition (TCA) des systèmes de sécurité Web, puisque ceux-ci peuvent avoir un impact important sur le Retour sur investissement (ROI). En résumé, les solutions ayant un TCA très faible peuvent en fait ne pas générer un ROI aussi élevé que des solutions plus chères.

Pour que les politiques soient efficaces, elles doivent être acceptées dans l’entreprise.

12

du service marketing à établir l’image de l’entreprise. De même, ne pas autoriser l’utilisation d’outils de transfert de fichiers non autorisés ou de Webmail personnel peut empêcher l’envoi rapide de fichiers volumineux à des prospects ou à des clients.

LES cinq principaLES rEcommanDationS pour La protEction DES DonnéES Et DES biEnS financiErS

4. ADOPTEZ LES TECHNOLOGIES ADAPTÉES QUI ASSURERONT DES NIVEAUX DE SÉCURITÉ ACCEPTABLES

Une sécurité fiable doit protéger les données d’une entreprise, ses biens financiers et autres de façon acceptable, en adoptant un niveau de sécurité en fonction des biens à protéger. Osterman Research, ainsi que la plupart des entreprises recommandent une solution de sécurité offrant plusieurs couches de protection à tous les niveaux de l’infrastructure d’une entreprise – au niveau de la passerelle, du serveur, du client et, de plus en plus, dans le cloud.

5. OPTEZ POUR DE NOUVELLES APPROCHES POUR ADMINISTRER LA SÉCURITÉ

Les avantages-clés du modèle cloud sont les suivants : a) aucun investissement en infrastructure n’est requis b) les coûts initiaux sont minimes c) les coûts récurrents sont prévisibles et d) toute l’administration et les mises à niveau du système sont gérées par le fournisseur de services cloud.

Une approche hybride associant les services sur site et cloud est de plus en plus utilisée. Par exemple, un éditeur peut fournir une appliance de filtrage du spam sur site et l’associer à un service de filtrage du spamdanslecloudagissantcommeunesortede“pré-filtre”,ouilpeututiliser un service antimalware cloud et des outils antivirus pour postes de travail. De nombreuses entreprises déploient leurs propres solutions hybrides, en réunissant les offres cloud et sur site de différents éditeurs dans une solution hybride personnalisée.

L’avantage de cette approche hybride multiniveau est que l’infrastructure sur site est protégée contre les événements inattendus comme les pics dans le trafic de spam ou des augmentations globales progressives du volume de trafic malveillant. Cela aide à préserver l’investissement sur site et à assurer des performances stables de l’infrastructure informatique comme le montrent des indicateurs tels que le délai de distribution des e-mails ou la latence de l’affichage des pages Web.

Une sécurité fiable doit protéger les données d’une entreprise, ses biens financiers et autres de façon acceptable, en adoptant un niveau de sécurité en fonction des biens à protéger.

13

©2013OstermanResearch,Inc.Tousdroitsréservés.

Aucune partie du présent document ne peut être reproduite sous quelque forme que ce soit, distribuée sans le consentement d’Osterman Research, Inc, ni revendue ou distribuée par toute entité autre qu’Osterman Research, Inc., sans autorisation écrite préalable d’Osterman Research, Inc.

OstermanResearch,Incnefournitpasdeconseilsjuridiques.Riendecequiestcontenudanscedocumentnepeutêtreconsidérécommeunconseiljuridiqueetcedocumentou tout produit logiciel ou autre offre mentionnée ici ne peut se substituer au respect des lois par le lecteur (y compris mais non limité à toute loi, statut, réglementation, règle,directive,décisionadministrative,décret,etc.(désignéssousletermede“Lois”)mentionnés dans le présent document. Si besoin, le lecteur s’adressera à un conseiller juridique compétent pour obtenir des informations sur les lois mentionnées dans leprésent document. Osterman Research, Inc. ne garantit ni certifie le caractère exhaustif ni l'exactitude des informations fournies par ce document.

CE DOCUMENT EST FOURNI “EN L’ÉTAT” SANS GARANTIE D’AUCUNE SORTE.TOUTES LES REPRÉSENTATIONS EXPLICITESOU IMPLICITES, LES CONDITIONS ETGARANTIES,YCOMPRISTOUTEGARANTIEIMPLICITEDEQUALITÉMARCHANDEETD’ADÉQUATIONÀUNUSAGEPARTICULIERSONTEXCLUES,SAUFDANSLAMESUREOÙCESAVISDENON-RESPONSABILITÉSONTCONSIDÉRÉSCOMMEILLÉGAUX.

1 http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/2 http://krebsonsecurity.com/2013/01/big-bank-mules-target-small-bank-businesses/3 http://www.guardian.co.uk/media-network/media-network-blog/2013/feb/11/ intellectual-property-theft-cyber-security4 http://news.softpedia.com/news/Number-of-DDOS-Attacks-Declined-But-Their- Size-Increased-Q3-2012-Study-Finds-300362.shtml5 http://www.nbcnews.com/technology/technolog/apple-employees-attacked- hackers-infected-malware-1C84153686 http://securityledger.com/friday-night-massacre-twitter-hacked-info-on-250k-exposed/7 Source: PrivacyRights.org8 http://www.eweek.com/c/a/Security/IMF-Breach-May-Be-StateSponsored-Spear- Phishing-Attack-526401/9 http://money.cnn.com/2011/10/27/technology/rsa_hack_widespread/index.htm10 http://money.cnn.com/2011/10/27/technology/rsa_hack_widespread/index.htm11 http://www.wired.com/threatlevel/2011/04/oak-ridge-lab-hack/12 http://news.softpedia.com/news/Cybercriminals-Compromise-Legitimate-Websites- to-Distribute-SMS-Trojans-323642.shtml13 http://rixstep.com/1/1/20100126,00.shtml14 http://krebsonsecurity.com/tag/catholic-diocese-of-des-moines/15 http://www.networkworld.com/news/2009/092409-construction-firm-sues-after-588000.html16 http://www.post-gazette.com/pg/09195/983738-57.stm17 http://www.computerworld.com/s/article/9156558/Michigan_firm_sues_bank_over_ theft_of_560_000_18 http://krebsonsecurity.com/2010/06/e-banking-bandits-stole-465000-from-calif-escrow-firm/19 http://www.technologyreview.com/computing/23488/?a=f20http://www.bankinfosecurity.com/articles.php?art_id=3159&opg=121 http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html22 http://www.computerworld.com/s/article/9153598/Poughkeepsie_N.Y._slams_bank_for_ 378_000_online_theft23http://www.suite101.com/content/protect-yourself-against-banking-crimeware-a15608624http://www.abajournal.com/news/article/doj_says_massive_decade-old_botnet_ helped_web_thieves_steal_millions/25http://voices.washingtonpost.com/securityfix/2009/07/the_pitfalls_of_business_banki.html26 Source: Webroot Software, Inc.27 http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations- report-2012_en_xg.pdf?__ct_return=128http://www.darkreading.com/cloud-security/167901092/security/news/240145073/ verizon-dbir-researchers-debunk-2013-security-predictions-inbox-9-x.html29http://blog.imperva.com/2011/10/current-value-of-credit-cards-on-the-black-market.html30 http://www.businessidtheft.org/Education/BusinessIDTheftScams/InternetBlackMarket/ tabid/117/Default.aspx31 http://thenextweb.com/microsoft/2012/10/31/malware-authors-quickly-create- fake-antivirus-just-for-windows-8/32 http://www.nbcnews.com/technology/technolog/shamoon-spyware-searches-then- destroys-950609

©2014OstermanResearch,Inc.

Egedian est une marque déposée de PROFILTECHNOLOGYS.A., éditeur et distributeur de logiciels pour les particuliers et les entreprises.

SOlUTiOnS De SécUriTé inFOrmATiqUe POUr leS enTrePriSeS

Technology

Pourquoi est-il si simple de dérober des données à une entreprise ?