La vie vous sourit… vous avez « matché »avec une personne qui répond parfaitement à vos critères d’apparence et il s’est avéré après un premier long échange de données personnelles que c’est LE partenaire que vous cherchiez depuis longtemps. Maintenant, imaginez que vous ayez fait face à un imposteur qui essaie d’exfiltrer le maximum de vos données dans le but de les utiliser contre vous, pour récupérer une somme d’argent par exemple. Ou imaginez, dans un autre contexte, que le site de rencontre où vous vous êtes inscrit soit victime d’une violation de données – le scénario le plus probable – les hackers ont pris possession de nombreux comptes et données personnelles des utilisateurs, y compris les vôtres. Vous ne verrez plus la vie en rose… Vos expériences sur les sites de datings peuvent être à la fois excitantes et effrayantes. Les questions qui se posent: préfériez-vous « rester à l’écart » tout en ne risquant pas votre sécurité personnelle ou mettre votre vie privée en péril et tenter de retrouver votre partenaire idéal ? Vous serez pour un hasard naturel ou un hasard programmé ? « Matchez » la sécurité de votre vie privée avec l’app/site de rencontre avant de vous « matcher » avec votre « futur » partenaire. Combien de données ces sites collectent-ils réellement à votre avis? Probablement plus que vous ne l’imaginez. Ils savent à quelle fréquence vous vous connectez, votre position exacte, ils collectent vos photos et vidéos sur plusieurs plates-formes, ils connaissent votre s exe, votre âge, ainsi que les détails de chaque personne pour qui vous avez manifesté un intérêt. Ils connaissent vos habitudes, combien de personnes vous rencontrez, combien de personnes avec qui vous avez matché et même les profils que vous avez glissé à droite (« swipe »). Personne ne peut nier que la majorité d’entre nous, ne lit pas les termes ou les conditions d’utilisation d’une application. Nous cliquons sur accepter et continuons sans nous poser la question de la manière dont nos données seront utilisées. Peut-être, seulement 10% des utilisateurs lisent réellement les conditions générales d’utilisation avant de les accepter. En plus de fournir des donné es personnelles pendant la phase d’inscription, lorsqu’un utilisateur s’enregistre en utilisant un identifiant de réseau social (Facebook, Instagram…), il peut donner à l’application de rencontres un accès à toutes les informations de ces plateformes sociales. Ses informations seront également rassemblées dans une base de données et pourront être utilisées à d’autres fins. Les applications de rencontres représentent une cible tendance pour les pirates informatiques. Ils sont dans la mesure d’obtenir des millions de données personnelles par des moyens néfastes. En effet, suite aux derniers incidents de fuites de données révélés au grand public, on a découvert que les entreprises qui sont derrières les sites de rencontres vendent leurs bases de données utilisateurs allant de votre nom, votre adresse email, votre orientation sexuelle, vos données les plus intimes (au-delà de votre imagination !), ou même vos informations sur les paiements que vous avez effectués sur la plateforme et à votre type d’assurance auquel vous vous êtes souscrits… De milliards d’informations sont compilées et vendues à des contreparties inconnues à des fins commerciales, pour les exploiter dans la production des études de marché portés sur le suivi comportemental des utilisateurs ou pour alimenter d’autres bases de données d’un site concurrent sans bien évidemment que les personnes concernées n’expriment leur consentement sur le traitement de leurs données sensibles. Heureusement, vous pouvez prendre certaines mesures pour vous protéger lorsque vous utilisez une application ou un site de rencontres. A Faire: Utilisez un VPN : Envisagez l’utilisation d’un réseau privé virtuel (VPN) si vous comptez d’utiliser l’application en dehors de votre domicile. L’utilisation du VPN ajoute une couche de sécurité supplémentaire et peut empêcher les pirates informatiques d’accéder à vos informations. Soyez conscient des autorisations dem andées par l’application : Vérifiez les autorisations demandées par l’application. Vous devriez vous demander s’il est logique pour une application de demander certaines autorisations. Une application demandant un accès à des données qui ne sont pas pertinentes pour sa fonction est un signe d’avertissement majeur ; accès à la messagerie de votre mobile, la galerie de photos… Accédez aux applications via un poste fix e : Accédez aux applications de dating via un ordinateur et le site Web plutôt que via une application mobile. Cela aidera à limiter les données de localisation que l’application peut collecter. A Ne (surtout) Pas Faire: Synchroniser vos comptes de réseaux sociaux à votre profil public dans une application de rencontres N’utilisez pas de sites tiers tels que Facebook ou Instagram pour vous inscrire. Cela permet le partage de vos informations dans les deux applications et facilite la reconstitution de votre véritable identité. Pensez plutôt à configurer une nouvelle adresse e-mail et un mot de passe unique pour chaque application. Utiliser un Wi-Fi non protégé Les criminels ont mis au point des méthodes sophistiquées pour violer les systèmes de sécurité, mais le piratage informatique peut être beaucoup plus facile lorsque les utilisateurs accèdent aux applications sur les réseaux Wi-Fi publics. Ces réseaux, comme ceux proposés dans les cafés, les aéroports ou les halls d’hôtel, ne nécessitent souvent pas de mots de passe et permettent à quiconque de surveiller votre activité. Si vous choisissez d’accéder à votre compte en public, choisissez d’utiliser le Bluetooth de votre téléphone plutôt que les réseaux publics et installez un VPN. Désactivez le GPS en utilisant les applications de rencontres afin que les crim inels ne puissent pas surveiller votre localisation. Bien que la quête de l’amour puisse être considérée comme une nécessité plus que souhaitable, soyez conscient des données que vous fournissez et des politiques de confidentialité de chaque application que vous utilisez pour cet objectif. Aussi, prenez les mesures nécessaires pour protéger votre vie personnelle. Loubna

La digitalisation de plusieurs activités utilisant des données personnelles et confidentielles a augmenté l’exposition des entreprises aux cyber-risques. Les conséquences des cyber-risques sont diverses et peuvent varier d’une simple perte financière de quelques centaines d’euros à la perturbation de la stabilité économique et politique d’un pays. Les menaces peuvent avoir différentes formes connues et inconnues. Ainsi, déployer des solutions pour se protéger exclusivement contre les menaces connues n’est plus suffisant., d’où l’importance de la Threat intelligence. C’est quoi la Threat Intelligence ? La Threat intelligence est une discipline qui se base sur la collecte d’informations issues de plusieurs ressources afin de comprendre les menaces actuelles, anticiper les menaces potentielles et dresser le portait des attaquants qui ciblent une entreprise ou organisation. La Threat Intelligence a pour objectif de protéger les organisations contre : Le Cyber crime : Ce sont toutes les infractions susceptibles d’être commises au moyen d’un système informatique connecté à un réseau. Le Cyber activisme : C’est un processus d’utilisation des moyens de communication sur internet pour créer et gérer l’activisme de tout type. Il permet à toutes personnes ou organisations d’utiliser les réseaux sociaux, ou d’autres technologies en ligne, pour atteindre et rassembler des individus, diffuser des messages et faire progresser une cause ou un mouvement. Le Cyber espionnage : Ce type de cyber attaque fait partie des APT « Advanced Persistent Threats » ou attaques persistantes. Ces attaques se font sur la durée en injectant divers virus dits « dormants » qui collectent massivement et furtivement des données sans être détectés par les moyens de sécurité employés par les entreprises. Quel est l’avantage de la Threat Intelligence ? Le processus employé auparavant par les directions sécurité des entreprises consiste en la remédiation des attaques déjà effectuées et la protection contre les attaques qui connues. En revanche, la Threat Intelligence offre la possibilité de prévoir et de se protéger à l’avance des attaques susceptibles de se produire. Le schéma ci-dessous montre une comparaison entre la démarche employée avant et après l’adoption de la Threat Intelligence : En effet, la Threat Intelligence se base sur l’apprentissage et la collecte d’informations des autres entités qui se sont déjà faites attaquées. La combinaison de toutes les informations externes avec les données internes à l’entreprise, ainsi que la déduction des informations sur les attaques susceptibles de se produire. Nous pouvons citer, comme exemple de constructeurs de la Threat Intelligence : FireEye, Symantec, LookingGlass, IBM security, EMC, etc. Comment adopter une approche proactive avec la Threat intelligence ? La Threat Intelligence peut constituer un flux d’informations très important. En corrélant ce flux avec les autres flux d’informations au niveau du SIEM (Security Information and Event Management), les entreprises peuvent découvrir les attaques et prévoir des moyens pour s’en protéger. Une étude récente réalisée par Cisco a montré que 44% des alertes remontées par le SIEM sont ignorées. Pour le reste de ces alertes, 28% sont considérées comme alertes légitimes, mais seulement 46% sont réellement corrigées. Pourquoi plus de la moitié des alertes légitimes ne sont pas corrigées ? Cela peut s’expliquer par une surcharge d’informations, un manque de temps ou un manque d’expertise. Mais, au vu de la sévérité du problème, il faut absolument trouver une solution. Ceci peut être fait en passant d’une approche réactive avec le SIEM à une approche proactive avec la Threat Intelligence. Cette approche permettra non seulement d’améliorer les résultats du SIEM, mais aussi d’aider les organisations à découvrir les menaces potentielles. En ajoutant les facteurs externes aux informations internes issues des outils de sécurité de l’entreprise, des résultats plus pertinents peuvent être obtenus. Pour aller encore plus loin, les entreprises peuvent choisir de recueillir des données à partir d’une source d’informations relativement sous-estimée, mais qui peut présenter un pas en avant pour les entreprises. Cette ressource est le Deep Web. Quels avantages offre l’ajout d’un flux d’informations provenant du Deep Web ? Le Deep Web constitue une source d’informations très riche qui peut, si elle est bien utilisée, apporter un grand avantage aux entreprises. Selon une recherche réalisée par l’entreprise américaine Recorded Future qui opère dans le domaine de la cyber sécurité, 75% de toutes les vulnérabilités divulguées apparaissent en ligne avant d’être répertoriées dans la base de données nationale sur les vulnérabilités (NVD) avec une moyenne de préavis de sept jours. C’est une bonne longueur d’avance pour les cybercriminels. Si les professionnels de la cyber sécurité sont prévenus des angles d’attaque possibles, ils peuvent concentrer leurs ressources sur la gestion efficace des vulnérabilités et la correction rapide. Oumayma

Une chose est sûre, il est beaucoup plus facile aujourd’hui de solliciter les services d’un prestataire ou sous-traitant en Asie ou aux Amériques à partir de la France. On peut ainsi avoir, par exemple, la jeune start-up qui a ses développeurs dans un pays d’Europe de l’Est, ses designers dans un pays du continent américain et son hébergeur en Europe du Nord. Pas facile de savoir à quel endroit se trouvent les données traitées ! D’autant que depuis l’entrée en vigueur du RGPD (Règlement Européen sur la Protection des Données) le 25 Mai 2018, il faut assurer un certain niveau de protection. Cela dit, pas d’inquiétude à avoir, ici nous allons vous aider à y voir un peu plus clair et vous dire ce qu’il faut faire pour chaque pays. La boîte à outils juridiques du RGPD L’arrivée du RGPD a permis de mieux encadrer le transfert des données en proposant une gamme d’outils juridiques pour aider les entreprises en ce sens. Ainsi, les entreprises peuvent avoir recours à deux provisions en particulier : La clause d’adéquation (article 45) : Il s’agit d’une liste de pays présentant des garanties de protection des données similaires à celles du RGPD, à la suite d’un examen approfondi des dispositions légales mises en place. Les garanties appropriées (article 46) : ces garanties sont composées d’un ensemble de décisions prises par l’autorité de contrôle du pays d’origine et dont l’entreprise s’engage à respecter, par exemple en incluant des clauses contractuelles types approuvées par la commission européenne, un code de conduite ou un mécanisme de certification validé, des clauses contractuelles spécifiques pour encadrer le transfert ou encore les règles contraignantes d’entreprises qui sont des politiques intra-groupe de protection des données et qui sont légalement contraignantes Si les conditions précédentes ne sont pas réunies, il est toujours possible d’obtenir une dérogation, nécessitant un accord préalable de l’autorité de contrôle Pour mieux illustrer le principe d’adéquation, nous allons étudier quelques cas concrets. Que dois-je faire si je veux transférer mes données …. … En Union Européenne Comme vous pouvez vous en douter, il n’y pas de disposition particulière à prendre, puisque le RGPD est un règlement européen et s’applique donc à tous les pays de l’Union Européenne. Un souci de moins à se faire ! … Aux Etats-Unis Cela dépend de la nature du traitement. Les Etats-Unis sont considérés comme étant en adéquation partielle, c’est-à-dire qu’il n’est pas nécessaire de prendre des mesures supplémentaires pour certains traitements. Le transfert peut se faire que s’il est à destination d’une entreprise ayant une certification active au Privacy Shield, une loi entrée en vigueur en Juillet 2016, qui consiste en une série d’engagements pris par le gouvernement américain et la Commission Européenne pour rehausser le niveau de protection des données. Cette adéquation partielle concerne aussi le Canada, vers laquelle les transferts ne nécessitent pas d’encadrement spécifique si le traitement entre dans le cadre d’une activité commerciale (loi PIPEDA) … En Argentine Le pays est reconnu comme étant en adéquation, la législation en vigueur étant alignée avec le RGPD. Pas d’encadrement spécifique donc. … En Russie La Russie dispose d’une législation en matière de protection des données personnelles, mais n’est pas reconnue comme étant en adéquation. Il faut savoir que la loi russe exige que les données personnelles des citoyens russes soient hébergées sur le territoire russe. Et ne pas s’y conformer est très risqué, en atteste LinkedIn dont le site a été bloqué en 2017. Et le Royaume-Uni dans tout ça ? Pour le moment, le RGPD s’applique encore sur le sol britannique. Mais quand on sait qu’on a de fortes chances de se diriger vers un Brexit sans accord (le fameux « no deal ! »), il faut d’ores et déjà se préparer à cette éventualité. En effet, dès que la sortie du Royaume-Uni sera effective, celui-ci ne sera plus considéré comme étant en adéquation. Il faudra donc entamer les mesures d’encadrement et mise en adéquation, étape par étape : Commencez par identifier les traitements effectués en Grande-Bretagne chez un sous-traitant, et de manière plus générale, les traitements impliquant un transfert Choisissez un outil d’encadrement, ceux listés plus tôt dans cet article en constituent un bon exemple, et entamez les démarches de sa mise en œuvre Mettez à jour votre documentation interne en indiquant que vous réalisez des transferts de données vers le Royaume-Uni, mais aussi vos mentions d’informations à destination des personnes concernées Et pour avoir un panorama plus complet du niveau d’adéquation des autres pays du monde, la CNIL a pensé à vous et a concocté une carte interactive vous permettant de voir en un clic si vous allez passer des nuits à vous arracher les cheveux sur un transfert de données ou non : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde Source : www.cnil.fr Mehdi

La cybersécurité médicale bénéficie d’une préoccupation croissante. En effet, au cours des dernières années, les incidents de sécurité informatique n’ont cessé d’augmenter. De nombreux instituts de santé ont donc tenté de lutté pour se défendre et tenir les cybercriminels à distance. Des failles dans les systèmes Au sein des hôpitaux, les technologies varient considérablement : certains dispositifs médicaux appartiennent à la nouvelle génération, mais d’autres ont été conçus par des entreprises qui ne sont plus en activité, ou fonctionnent sur d’anciens logiciels présentant des failles de sécurité criantes. Les stimulateurs cardiaques et autres dispositifs implantés et connectés à Internet peuvent être, par conséquent, piratés. L’erreur humaine ouvre également des failles dans les systèmes : du côté de la protection des données, la plupart des atteintes à la vie privée sont issues d’erreurs commises par des employés ou à la suite de divulgations non autorisées. Attaque WannaCry Personne ne peut nier l’absence de preuves que des patients soient morts à cause de WannaCry. Mais l’attaque a détourné des milliers d’ordinateurs et d’appareils de diagnostic de l’hôpital, forçant les médecins à transporter manuellement les résultats de laboratoire d’un hôpital à l’autre et à annuler des rendez-vous de patients. Petit rappel du descriptif de cette attaque : L’attaque visait les vulnérabilités du système d’exploitation Microsoft Windows, le chiffrement des données et la détention des systèmes informatiques pour la rançon bitcoin. Bien que WannaCry ait fini par être bloquée, les instituts de santé continuent d’être vulnérables à de telles attaques La cybersécurité dans ce domaine Aussi, la maintenance des dispositifs médicaux à savoir, les correctifs de sécurité (Patchs) semblent n’être plus réalisables dans les hôpitaux car le temps et le coût qu’il faut pour valider ces mises à jour sur les dispositifs sont onéreux : ce sont les éditeurs de la solution utilisée qui installent ces correctifs… D’autre part, il y a une tension entre les experts en cybersécurité qui veulent sécuriser les systèmes hospitaliers et les médecins qui se concentrent sur les soins qu’ils appliquent à leurs patients. Il reste difficile de vendre ou de présenter de nouveaux dispositifs médicaux à des médecins qui sont souvent occupés. Néanmoins, Il est essentiel que ces derniers comprennent l’importance de la cybersécurité, car ils sont en contact direct avec les patients en utilisant la technologie. Conclusion En conséquence, les éditeurs se trouvent maintenant dans l’obligation de sécuriser plus que jamais auparavant leurs solutions connectées médicales proposées. Les « Hackers » continuent à leur tour, de développer des outils et des techniques plus sophistiqués pour affiner leurs attaques, accéder aux données et les tenir en otage. C’est pour ces raisons qu’on a commencé à inclure des exigences de cybersécurité dans les processus d’approvisionnement et chercher à élaborer des solutions de sécurité dédiées au domaine de la santé. L’industrie des solutions médicales a pris du retard par rapport à d’autres industries en ce qui concerne la cybersécurité. Cependant, les budgets de la cybersécurité ont augmenté, de nouvelles technologies ont été acquises et les instituts de santé s’améliorent pour faire face à la cybercriminalité et sécuriser leurs réseaux. Loubna

Régulièrement, le Forum International de la Cybersécurité organise des tables rondes totalement gratuites pour discuter de cybersécurité. Le mardi 21 Mai 2019, un débat sur l’évolution et l’accélération des ransomwares[1], ainsi que sur les enjeux des PME à eu lieu au Cercle mixte du Quartier des Célestins. Pour ce débat, étaient réunis : Serge Lefranc, directeur de la division de la réponse à l’incident à l’ANSSI[2] Colonel Jean Dominique Nollet du Centre de lutte contre les criminalités numériques de la Gendarmerie Nationale Benoît Grunemwald, Directeur des Opérations chez ESET[3] En voici les grandes lignes : Le ransomware est un « business rentable » A l’ANSSI, affirme Serge Lefranc, 30 évènements de ransomware ont été notifiés ce dernier mois. Les attaques par ransomware se développent et sont rentables pour les hackers. La pratique du ransomware est d’autant plus rentable qu’elle a évolué : on assiste à « des extorsions ciblées qui concernent spécifiquement une société ou un acteur » ajoute le colonel Nollet. En effet, des groupes criminels ont créé des ransomwares « as a service » ou RaaS. Les « affiliates » (clients du RaaS), réalisent l’attaque pour s’infiltrer dans le système, puis cryptent les données du SI utilisant le ransomware. Ils doivent verser un pourcentage prédéterminé de leurs gains aux auteurs du ransomware. «L’expertise est égale au niveau de celle des SI qu’ils veulent pirater» ajoute Benoît Grunemwald. Les hackers utilisent des algorithmes d’intelligence artificielle afin de les aider à déterminer l’attaque la plus efficace sur un système donné, précise-t-il. Tous sont d’accord sur le fait que l’on fait face à des organisations criminelles qui fournissent des supports et des outils de plus en plus professionnalisées et organisées : une menace qui n’a aucune chance de disparaître. Les PME : cibles préférées du ransomware Les PME sont le protagoniste de l’histoire cybersécurité. Elles sont les premières cibles des cybercriminels, pour la simple raison qu’elles sont les plus vulnérables. Or, la majorité des PME ne sont pas capables de comprendre les termes cybers. L’enjeu se situe au niveau de l’accompagnement de ces sociétés vers la compréhension des risques, explique le colonel Nollet. Un changement doit s’opérer à ce niveau. Il faut que les PME investissent pour se protéger. Il est cependant difficile de débloquer un budget quand on n’en voit pas la nécessité. Et pourtant, nombre de dirigeants se sont retrouvés dans des situations difficiles car ils n’avaient pas investi. Une des solutions pour une meilleure prise en compte des enjeux de l’informatique serait de faire monter les responsables informatiques dans la chaine hiérarchique, soit de les impliquer dans les décisions stratégiques. Le colonel Nollet propose également un accompagnement des dirigeants des entreprises sur ce sujet, à l’aide de guides simples ou d’outils ludiques, qu’il reste à élaborer. Une société attaquée ne doit cependant surtout pas payer de rançon, précise Serge Lefranc. Cela assurerait la rentabilité de l’écosystème criminel et donc son développement. Mais alors, que doivent-elles faire ? L’ESET travaille avec des PME et de TPE pour les sensibiliser à la cyber malveillance, raconte Grunemwald. L’entreprise reçoit un très grand nombre d’appels faisant suite à une perte de données, qu’elle renvoie vers des prestataires. Cependant, statistiquement, les entreprises peuvent voir que le taux d’occurrence des attaques est faible, et peuvent choisir de prendre le risque plutôt que d’investir dans de la cybersécurité. Elles s’interrogent sur le retour sur investissement de la cybersécurité ou de la police d’assurance. Un membre du public pose la question : pourquoi, au même titre que la responsabilité civile automobile, une entreprise traitant de l’information ne devrait-elle pas être obligée de s’assurer ? Le marché de la cyber assurance Actuellement, les compagnies d’assurance mettent en place des primes spécifiques cyber. Cela met notamment en lumière l’importance de la prévention : le montant d’une prime de cyber assurance est modulée selon les mesures de sécurité mises en place par l’entreprise cliente. Ainsi, explique Grunemwald, une assurance cyber exige un niveau de sécurité spécifique appuyé par un audit du SI. Cela va réellement faire monter le niveau de sécurité dans les entreprises en les obligeant à se conformer aux obligations de sécurité exigées par l’assureur. En particulier celles qui s’assurent car elles n’ont pas les moyens d’employer un DSI. Encore faudrait-il que les PME comprennent l’intérêt d’une telle assurance. Grunemwald affirme que les interlocuteurs de poids pouvant les faire basculer vers cet investissement seraient le comptable, l’avocat, et l’assureur. Un facteur humain indéniable Ainsi, le facteur de confiance est présent, mais pas seulement. Le colonel Nollet parle d’un « blocage cognitif » sur une potentielle défaillance de son SI. Il mentionne également l’effet émotionnel d’une attaque cyber, qui ne doit pas être négligé mais partagé. Ce facteur émotionnel est bien présent, confirme Serge Lefranc. Il nécessite que des personnes interviennent auprès des victimes cyber, et gèrent la communication entre celles-ci et la résolution technique. On parlerait même d’un nouveau métier : la cyber négociation. En conclusion L’enjeu de cette accélération des ransomwares réside sur la maturité en sécurité de la cible. Au vu de l’évolution des ransomwares, qui deviennent plus sophistiqués et plus ciblés, il est crucial pour les PME d’être accompagnées pour faire face à ce risque. Nour [1] Un ransomware est un logiciel introduit dans un SI, qui en crypte les données de manière à qu’elles soient impossible d’accès, permettant à l’individu à origine de l’attaque d’exiger une somme d’argent à la victime en contrepartie de la récupération de ses données. [2] ANSSI : Agence Nationale de la Sécurité des Systèmes d’information [3]Entreprise proposant des solutions de sécurité.

La confiance dans le monde de la sécurité informatique a toujours été un vrai problème. Peut-on vraiment être confiant que le trafic échangé sur internet soit immunisé des attaques du type eavesdropping (Fait d’écouter secrètement une conversation) ? Ou encore, sommes-nous capables de garantir un bon niveau de sécurité tout en utilisant des technologies basées sur le Cloud Computing ? La tendance dans les entreprises est de se protéger durement contre les utilisateurs et trafics externes, pour n’autoriser un niveau de confiance plus élevé que pour tout ce qui provient du réseau interne. Cependant, la majorité des databreaches (fuites de données) sont principalement causées par des éléments internes à l’entreprise tels que les flux non sécurisés, une base de données contenant des identifiants non chiffrés, ou simplement le facteur humain. Afin de pouvoir limiter cet impact, la solution est de ne pas faire confiance à ses équipements ou employés au sein de son propre réseau et d’utiliser le principe de l’architecture « Zero Trust ». Créé en 2010 par John Kindervag, un spécialiste de la sécurité informatique, Zero Trust est une démarche de sécurité où il faut procéder à des vérifications minutieuses et continues des postes de travail, des plateformes utilisateur et de tout équipement réseau. Architecture de la sécurité traditionnelle Dans un réseau d’entreprise traditionnel, les administrateurs systèmes et sécurité définissent différentes zones gérées par un ou plusieurs firewalls avec un niveau de sécurité/confiance qui diffère d’une zone à une autre. La figure ci-dessous présente un aperçu générique sur l’organisation d’une telle architecture : Figure 1 : Architecture de sécurité traditionnelle Ce type de mécanisme de défense ne répond plus aux menaces actuelles et présente plusieurs inconvénients à savoir : Absence d’un mécanisme d’inspection du trafic interzone ; Manque de flexibilité utilisateur ; Existence d’un SPOF (Single Point Of Failure) au niveau des firewalls. Définition d’une architecture Zero Trust Quel que soit le type de mécanisme de sécurité mis en place dans une entreprise, le parc informatique est toujours considéré comme un milieu hostile. Cela dit, les menaces internes comme externes doivent être continuellement suivies. Afin de mettre en place une politique de sécurité basée sur une architecture Zero Trust il faut prendre en considération 3 piliers principaux à savoir : Les équipements utilisateurs et trafics doivent être authentifiés ; Les règles de la politique de sécurité doivent être dynamiques. Ces règles sont à corréler à partir des différentes sources de données sur un réseau ; La localité du réseau ne doit pas être un facteur décisif sur le niveau de confiance qu’on attribue au réseau. On distingue deux périmètres dans une architecture Zero Trust : Control Plane : C’est la partie responsable du contrôle de tout l’actif informatique d’une entreprise. Le Control Plane, est un programme installé sur un serveur permettant de gérer l’authentification et le contrôle de tous les équipements qui se manifestent dans une architecture de sécurité Zero Trust. Il est considéré comme élément de monitoring chargé de la supervision du trafic échangé entre les équipements informatiques. Data Plane : Ce sont les différents périphériques (postes de travail, serveurs, points d’accès WiFi, etc.) et ressources (fichiers partagés, logiciel de gestion RH, etc.) gérés par la partie Control Plane. Les demandes d’accès aux ressources protégées sont d’abord effectuées via le Control Plane, où les utilisateurs et les périphériques doivent être authentifiés. L’accès à des ressources plus sécurisées peut être authentifié par un mandataire. Ainsi, pour qu’un employé de l’entreprise puisse faire des modifications sur le serveur de production, deux entités doivent être impérativement authentifiées et autorisées par le Control Plane : L’employé et le serveur de production qui fait partie du Data Plane dans notre cas de figure. Cet exemple est détaillé dans le schéma suivant : Figure 2 : Exemple d’un échange dans une architecture Zero Trust Etape 1 : L’utilisateur fait une demande auprès du Control Plane afin d’accéder au serveur de production ; Etape 2 : Le Control Plane impose une authentification à l’employé. Cette étape est généralement inaperçue pour l’utilisateur puisque l’authentification se fait par échange de clés cryptographiques ; Etape 3 :  L’utilisateur est amené à s’authentifier en fournissant un nom d’utilisateur et un mot de passe, dans le cas où il n’y a pas une infrastructure à clé publique (PKI) ; Etape 4 & 5 : Le serveur subit le même processus. Il doit impérativement s’authentifier auprès du Control Plane ; Etape 6 & 7 : L’employé et le serveur sont désormais autorisés à échanger. Next Generation Access Compte tenu de la complexité de l’écosystème informatique d’une entreprise, ce n’est pas toujours facile de mettre en place une nouvelle architecture de sécurité. Mais comme première étape, il est recommandé de migrer tout système de gestion des accès vers un NGA ou Next Generation Access. Vous vous demandez certainement pourquoi faudrait-il abandonner les technologies traditionnelles de gestion des accès ? C’est parce qu’elles sont souvent fragmentés plusieurs contrôles : contrôle de l’application, contrôle de point de terminaison et contrôle de serveur. Cette approche statique n’est plus adaptée aujourd’hui face à une multitude de menaces. D’autant plus que les utilisateurs assument plusieurs rôles, ont des privilèges variables en fonction de leurs activités et se déplacent d’un système à un autre. Cependant, NGA offre un collectif de technologies et de fonctionnalités matures permettant de connaitre chaque utilisateur et de prendre en compte chaque périphérique limitant ainsi l’accès et les privilèges de manière intelligente. Ceci va permettre aux stratégies/règles d’apprendre et de s’adapter sans avoir d’impact sur l’expérience utilisateur. Méfiance avant confiance, un proverbe qui s’applique aussi bien dans le quotidien que dans le monde de la sécurité. Ne faites confiance à personne, vérifiez tout, contrôlez constamment. Ayoub

Introduction WordPress est le CMS le plus utilisé dans le monde et est par conséquent la cible privilégiée des pirates et des scripts automatiques (robots) ! Petit rappel : CMS est l’acronyme de Content Management System, pour « système de gestion de contenu ». Il s’agit d’un logiciel permettant de créer et gérer de A à Z l’apparence et le contenu d’un site web. Quelques exemples montrant la popularité du CMS WordPress : Sony Music (www.sonymusic.com) Le site perso de Katy Perry (https://www.katyperry.com) Le site officiel de la Suède (https://sweden.se) Dans cet article je vais décrire les 10 mesures essentielles permettant de sécuriser son site WordPress. Statistiques Tout d’abord quelques statistiques en termes de vulnérabilités sur le CMS WordPress. Tous les ans de nombreuses vulnérabilités sont découvertes sur le CMS WordPress : Et les vulnérabilités ne concernent pas forcément des vulnérabilités insignifiantes : Source : https://www.cvedetails.com/product/4096/Wordpress-Wordpress.html Les mesures de sécurité essentielles à implémenter 1- Mise à jour Contexte : Il est essentiel de veiller à mettre à jour la version WordPress dans les plus brefs délais. Tous les deux mois environs, des vulnérabilités majeures sont corrigées et compactées dans une nouvelle version. Impact : Les vulnérabilités découvertes peuvent impactées le site en termes de Confidentialité (Vol d’identifiants/mots de passe), en Intégrité (Modification du code source), en Disponibilité (site indisponible) et en termes d’image (défacement du site). Exemple de sites référençant les dernières vulnérabilités découvertes : https://wpvulndb.com/ https://www.exploit-db.com/ (filtrer sur le mot-clé WordPress) Remédiation : Effectuer une maintenance de manière régulière sur votre site WP (ET DE SES PLUGINS, nous y reviendrons) et effectuer une veille régulière sur les vulnérabilités. 2- Page de connexion Contexte : Lors de l’installation de WordPress, la page de connexion est située, par défaut, à l’adresse « https://acti-example.com/wp-login.php ». Impact : Laisser la page de connexion par défaut vous expose à de nombreuses tentatives de connexion par des scripts automatiques ou attaquant qui effectuent des attaques par brute-force. Exemple de tentatives remontées par le plugin SUCURI : Remédiation : Deux mesures sont recommandées pour bloquer les tentatives de connexion frauduleuses : Installer un plugin spécifique afin de modifier l’url de connexion : WPS Hide Login Ajouter la ligne ci-dessous dans votre fichier .htaccess : RewriteRule ^login$ https://acti-example.com /wp-login.php [NC,L] Ici La page de login sera accessible à l’adresse https://acti-example.com /login 3- Fichiers par défaut Contexte : Lors de l’installation de WordPress, des fichiers par défaut sont créés. Comme on peut le voir sur la page GitHub de WordPress (https://github.com/WordPress/WordPress) nous retrouvons les fichiers : License.txt readme.html Impact : Le fichier « License.txt » permet de confirmer à un attaquant la présence du CMS WordPress. Le fichier « readme.html » permet de révéler la version de WordPress que vous utilisez. Cela peut sembler anodin mais la version WordPress sera la première information recherchée par un attaquant. A partir de l’identification de la version l’attaquant pourra tester des techniques propres à chaque version de WordPress. Remédiation : Ici rien de bien compliqué, on supprime simplement les deux fichiers. 4- Les plugins Contexte : Les plugins sont le point noir de WordPress. La plupart des vulnérabilités n’impactent pas WordPress en lui-même mais plutôt les plugins que l’utilisateur installe. Impact : Les impacts dépendent des plugins et de leurs versions. Plus d’information sur le site https://wpvulndb.com/. Remédiation : Assurez-vous que vos plugins sont toujours à jour. Si le plugin n’est pas mis à jour de manière régulière par le créateur, essayez de changer par un plugin plus récent. De plus, si vous n’utilisez pas un plugin spécifique, supprimez-le. 5- Gestion des comptes Contexte : Lors de l’installation, WordPress va créer un utilisateur avec les droits administrateur nommé « admin ». Cet utilisateur à tous les droits sur le site. Impact : La présence de cet utilisateur par défaut permettrait à un attaquant de faciliter ses attaques de type brute-force. Remédiation : Il est fortement recommandé de supprimer l’utilisateur « admin » et de créer au préalable un autre utilisateur avec des droits d’administrateur. De manière plus globale il est recommandé d’activer la fonctionnalité d’authentification à double facteur sur le site. 6- Base de données Contexte : La base de données WordPress se compose de nombreuses tables pour stocker les messages, liens, commentaires, utilisateurs, etc. Ces tables ont par défaut des noms standards comme `wp_users’, `wp_options’, `wp_posts’, etc. Impact : Si un attaquant sait que vos données d’utilisateur (identifiants/mots de passe) sont stockées dans la table `wp_users’, il va essayer de l’exploiter. Nous pouvons cependant empêcher l’attaquant de deviner le nom de la table. Remédiation : Il est recommandé de modifier le préfix des tables WordPress. Le fameux « wp_tables ». Si votre site est déjà installé et configuré (j’imagine …) il est tout de même possible de modifier le préfix. Vous trouverez le tutoriel ici : https://wpchannel.com/wordpress/tutoriels-wordpress/modifier-prefixe-base-donnees-wordpress-installation/. 7- Fichier de configuration Contexte : Le fichier de configuration WordPress nommé « wp-config.php » est placé à la racine du site et contient, entre autres, les identifiants de la base de données : Impact : Si un attaquant est en mesure de lire les fichiers sur le serveur en exploitant une vulnérabilité il sera alors en mesure de se connecter à la base de données et de récupérer, modifier ou supprimer les valeurs des tables. Remédiation : Il est recommandé de déplacer le fichier dans un autre répertoire. Attention cela pourrait endommager le site. Je vous propose ce tutoriel pour le faire : https://www.groovypost.com/howto/improve-wordpress-securitty-wp-config-php-location/. Veillez également à modifier les permissions du fichier de configuration (Cf. Etape 9). 8- XML-RPC Contexte : XML-RPC est un protocole qui permet de se connecter à des sites distants pour échanger des données, entrantes et sortantes. Globalement nous pouvons mettre à jour notre site WordPress à distance via l’API dédié. Depuis la version 3.5 la fonctionnalité XML-RPC est localisée dans le fichier « xmlrpc.php » et est activée par défaut. Impact : La première vulnérabilité est un déni de service distribué. Le site sera ralenti, voire complétement inaccessible. La deuxième permet d’obtenir des informations sur le site (les posts, énumérer les utilisateurs etc.). Remédiation : Il est recommandé de désactiver la fonctionnalité XML-RPC. Ceci peut être effectué via deux méthodes : La méthode facile et non-optimale : installer un plugin : https://fr.wordpress.org/plugins/disable-xml-rpc/ La méthode htaccess : Nous ajoute le code ci-dessous dans le fichier .htaccess à la racine du site : # Block WordPress xmlrpc.php requests order deny,allow deny from all Vous pouvez tester la bonne désactivation de la fonctionnalité XML-RCP via le site https://xmlrpc.eritreo.it/. 9- Permissions Contexte : Il est important de bien configurer vos « files permissions ». Ils déterminent les droits liés aux différentes composantes de votre site : écrire, lire, exécuter… et surtout, qui peut le faire. Impact : Une mauvaise gestion des permissions permettrait à un attaquant de lire, écrire et exécuter des fichiers dans le répertoire du site web (le fameux 777 !). Remédiation : Voici les permissions optimales à appliquer pour un site WordPress : 755 pour un dossier 644 pour un fichier 400 pour wp-config.php Si vous ne comprenez pas ces chiffres je vous propose le tutoriel suivant : https://www.linux.com/learn/understanding-linux-file-permissions Pour automatiser la modification des permissions il suffit de taper ces quelques lignes : 755 pour les répertoires (d pour directory): find /var/www/html/wordpress -type d -exec chmod 755 {} + 644 pourles fichiers (f pour file): find /var/www/html/wordpress -type f -exec chmod 644 {} + 400 pour le fichier wp-config.php : chmod 400 wp-config.php 10- Enumération des utilisateurs Contexte : Dans de nombreuses installations WordPress, il est possible d’énumérer les noms d’utilisateurs WordPress à travers les archives de l’auteur, y compris le compte « admin ». Pour accéder à ces informations, il suffit d’ajouter author=n (où n représente l’id de l’utilisateur) comme paramètre à la page d’accueil de WordPress comme suit : «https://acti-example.com/?author=3» L’énumération de l’utilisateur peut se faire soit dans le titre de la page (comme sur l’image) ou peut aussi remplacer l’url sous ce format : « https://acti-example.com/author/Timmy/ ». Impact : L’obtention d’un utilisateur valide permet à un attaquant de faciliter ses attaques de brute-force sur le site dans le but de voler son mot de passe et ainsi usurper son identité. Les actions malveillantes que l’attaquant pourrait ensuite effectuées dépendront du rôle de l’utilisateur usurpé. Remédiation : La méthode la plus efficace pour cette vulnérabilité est de modifier le fichier .htaccess à la racine du site et d’ajouter le code suivant (en modifiant l’url …) : RewriteCond %{QUERY_STRING} ^author=([0-9]*) RewriteRule .* https://acti-example.com/? [L,R=302] C’est ici que se termine cet article sur la sécurité d’un site WordPress. WordPress est un CMS efficace qui permet de créer un site web en quelques minutes et de qualité, mais il faut cependant être prudent et attentif quant à sa sécurité. Dans un prochain article nous traiterons également de Wordpress mais dans une optique offensive !

Pour pouvoir continuer la navigation sur certains sites internet, l’acceptation des cookies est devenue une obligation. Mais qu’est-ce que cela signifie ? Qu’est-ce qu’un cookie ? Un cookie est un petit fichier texte au format alphanumérique, contenant des informations concernant l’internaute. Il est généré par le serveur du site Web consulté (ou par un serveur tiers) puis, il est envoyé au navigateur internet qui va se charger de le déposer sur le disque dur de l’internaute (le serveur n’a pas accès directement à l’ordinateur de l’internaute, ce qui explique ce long cheminement). A quoi servent les cookies ? Les Cookies ont pour objectif de faciliter la navigation sur le site Web. Ils permettent de personnaliser le contenu affiché, d’enregistrer les identifiants des utilisateurs et de récupérer leurs données et paramètres. Pour mieux comprendre comment les cookies fonctionnent, prenons l’exemple d’une connexion sur un site internet de e-commerce, où vous choisissez vos articles et que finalement, vous ne poursuivez plus votre commande. Quand vous vous reconnectez sur ce site, vous constatez que votre panier contient toujours les articles que vous avez choisis, alors que vous ne l’aviez pas enregistré. Le principe derrière est simple. En effet, Quand vous avez choisi vos articles, le serveur a envoyé un fichier texte sur votre ordinateur contenant votre commande ou un code permettant de la retrouver ; Votre navigateur a enregistré ce fichier sur votre disque dur ; Lors de votre reconnexion, le navigateur a envoyé le fichier, depuis votre ordinateur, au serveur du site web ; Le serveur web a lu le fichier et a ajouté les articles sélectionnés auparavant à votre panier ; C’est quoi le problème avec les cookies ? Les cookies sont créés pour faciliter votre navigation sur le site internet. Néanmoins, ils peuvent donner un bon aperçu sur votre activité et vos préférences. Par conséquent, des parties tierces peuvent les utiliser afin de vous identifier et vous cibler sans votre consentement explicite. Ils représentent également un autre problème lié aux informations collectées et aux traitements qui y seront appliqués. Selon le journal français « Le monde », la Commission Nationale de l’Information et des Libertés (CNIL) a enregistré entre 1 200 et 1 300 notifications de violations de données personnelles depuis le 25 mai 2018. En effet, le Règlement Général sur la Protection des Données à caractère personnel (RGPD) est entré en application le 25 mai 2018. Ce règlement a pour objectif de mieux protéger les individus en ce qui concerne le traitement de leurs données personnelles. En cas de non-conformité au RGPD, des sanctions peuvent être appliquées allant jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires. Quelles obligations les cookies doivent respecter pour être conformes au RGPD ? Pour un propriétaire de site web, il est important de prendre les mesures nécessaires pour se conformer au RGPD, notamment en ce qui concerne le traitement des données personnelles. Les cookies peuvent être classés en plusieurs catégories : Les cookies strictement nécessaires au fonctionnement Les cookies à caractère légal : Ces cookies ont pour objectif d’identifier l’utilisateur à des fins légales. Par exemple, un site de déclaration d’impôts doit obligatoirement vérifier l’identité de l’utilisateur et garder une trace de ses actions sur le site. Les cookies anonymisés : Ces cookies contiennent des données qui ne peuvent pas être identifiées de nouveau après traitement. Les cookies de ciblage : Ces cookies permettent de rassembler des informations sur les habitudes de navigation d’un utilisateur, afin de le cibler à des fins publicitaires. Pour tous les types de cookies, les éditeurs de sites ou d’applications doivent Informer les internautes de la finalité des cookies : quoi, comment et où les données personnelles seront utilisées. Pour les cookies de ciblage, les éditeurs de sites internet doivent en plus : Obtenir le consentement des utilisateurs : le site internet doit demander explicitement le consentement de l’utilisateur, un consentement qui doit durer en maximum 13 mois. Fournir aux internautes un moyen de les refuser : l’utilisateur doit avoir accès au site et à toutes ses fonctionnalités même s’il refuse les cookies. De plus, le consentement doit être : Modifiable : l’utilisateur doit avoir la possibilité de changer d’avis et de retirer son consentement. Archivé : tous les consentements donnés doivent être archivés comme preuve que le consentement a été obtenu. Les exigences apportées par le RGPD rendent la plupart des notifications de cookies utilisées auparavant non conformes, comme par exemple le consentement implicite, le consentement donné par défaut en visitant un site ou même le bouton « ok » pour accepter l’utilisation des cookies. Comment se protéger face aux cookies ? Bien que la CNIL oblige maintenant les sites à se conformer au RGPD en ce qui concerne la politique des cookies, ceci n’est pas suffisamment clair : certains sites considèrent que lorsque vous ne refusez pas, il y a consentement et ils peuvent avoir vos informations. En outre, le règlement vie privée et communications électroniques ePrivacy peut être un renforcement pour le RGPD en mettant le point sur l’aspect informatique des communications. Pour se protéger contre les cookies vous pouvez : Supprimer les cookies directement de votre poste de travail à travers les fichiers enregistrés sur le disque dur. Bloquer l’implémentation des cookies sur votre ordinateur au niveau du navigateur. Ajouter des extensions à votre navigateur pour augmenter votre sécurité. Les cookies permettent de personnaliser le contenu sur les sites internet en fonction des préférences des utilisateurs et ainsi leur offrir une expérience de navigation unique adaptée à leurs besoins. Mais, il faut prendre en considération les risques liés à l’exploitation des données personnelles. Oumayma

Des indemnisations allant de 1 à 2 millions d’euros en cas de cyberattaque pour une prime annuelle de l’ordre de 1000 € ! Comment cela ne serait-il pas tentant pour une PME ? Si l’on considère que : 98 % des entreprises sont attaquées * 53 % de ces attaques aboutissent * Le coût d’une attaque est d’environ 250 000€ pour une PME * Il semble intéressant de souscrire une cyber assurance au plus vite ! * Etudes Accenture – CISCO – Symantec D’ailleurs, le marché de la cyber assurance est un marché à forte croissance, estimé à 15% d’évolution annuelle pour les 5 à 10 prochaines années (Source : Rapport Sigma 2017 de Swiss RE). Aujourd’hui, entre 10% (en 2016 d’après la FFA) et 17% (d’après l’enquête du CPME), des PME sont assurées contre les attaques informatiques. Mais contre quoi sont-elles réellement assurées ? Une cyber assurance : pourquoi faire ? Les polices d’assurance diffèrent d’un assureur à l’autre, dans un marché qui cherche encore sa maturité, mais nous pouvons distinguer pour les principales garanties : La responsabilité civile est similaire à la RC Pro qui s’applique principalement en cas de plaintes ou de fuite de données Les dommages subis par l’entreprise à la suite de l’arrêt de l’activité L’assistance à la gestion de la crise et les actes de récupération de données et d’investigation De manière optionnelle, nous pouvons trouver d’autres garanties telles que l’atteinte à l’image ou le remboursement de cyber extorsions Les prix et les garanties couvertes restent aujourd’hui très variables, dans un marché peu mature et où les assureurs sont à la recherche de données historiques pour mieux adapter leurs offres. Pour prendre un parallèle d’assureur, nous sommes encore loin de l’assurance auto, où le garagiste vous retape votre voiture et vous la rend comme neuve. Et pour cause ! Un système d’information n’est pas une voiture : il est spécifique à chaque entreprise et, plus important encore, il est évolutif. Une bonne cyber assurance n’est donc pas seulement une assurance qui couvre les frais d’une cyberattaque, mais bien une assurance qui vous accompagne pour vous en protéger et pour vous redresser en cas d’attaque. Ainsi, certaines cyber assurances vous proposent l’accès à un expert en sécurité, qui vous aidera à gérer la crise, à mener vos investigations et à remettre vos systèmes d’équerre. Certains assureurs peuvent même vous mettre à disposition cet expert lors de la souscription de la police d’assurance pour réaliser un audit rapide de votre situation et vous préconiser les mesures les plus importantes à mettre en place. En effet, en sécurité comme dans la vie de tous les jours, la sagesse populaire reste de mise : mieux vaut prévenir que guérir ! Mais cet accompagnement est-il vraiment suffisant ? Se concentrer sur l’essentiel Pour se prémunir des cyberattaques, la panoplie est large et c’est bien là le problème. En effet, les entreprises se trouvent souvent confrontées à des questions comme : Quelles solutions de sécurité choisir ? Et pour une solution donnée, quel fournisseur/logiciel me convient le mieux ? Pour quel budget et coût d’implémentation ? Les PME peuvent avoir une à plusieurs personnes qui s’occupent de « l’informatique », mais dont les connaissances et le temps peuvent s’avérer limités pour un spectre de cybersécurité de plus en plus étendu. Il peut être alors intéressant pour ces entreprises de se faire accompagner par des experts du domaine, mais encore faut-il : Les trouver Pouvoir s’offrir leurs services Car oui, les compétences en cybersécurité sont très recherchées, inégales et relativement coûteuses. Un Responsable de la Sécurité des SI (RSSI partagé – CISO as a Service en anglais) peut être une solution idéale pour ces entreprises, qui n’ont pas besoin d’un expert à plein temps et qu’elles peuvent déclencher à la demande. Un tel expert pourra alors analyser les risques de l’entreprise et très probablement préconiser, entre autres mesures, de se concentrer sur l’essentiel, c’est-à-dire : Mettre en place une protection contre la propagation des attaques (Antivirus, Firewall, anti-spam) Mettre en place des sauvegardes de données (partages de fichiers et poste de travail) Sensibiliser les utilisateurs à changer leurs mots de passe régulièrement, à choisir des mots de passe robustes, et surtout, à adopter des réflexes de navigation sécurisés. Notre conseil : sortez couverts Que ce soit par le biais d’une cyber assurance ou par un accès direct à un expert en sécurité, nous ne pouvons que vous conseiller de réaliser un bilan rapide de votre niveau de sécurité. P.S. : Notre livre blanc sur la cyber assurance sort dans quelques semaines, alors restez connectés ! Nidhal

Nous sommes souvent négligents envers l’information dans notre espace de travail, que ce soit des présentations papiers, des contrats, des clés USB ou des sessions ouvertes. L‘information sur nos bureaux est toujours disponible et nous profitons pleinement de son accès en tout temps. Mais il est important de contrôler cet accès, surtout pour les personnes non autorisées. Des statistiques montrent que 55 % des vols sur le lieu de travail se produisent au bureau des employés. Un taux énorme suscitant la mise en place d’une politique de « Clean Desk » qui devient essentielle pour se protéger contre le vol d’informations. Cette politique stipule que tous les documents, y compris les présentations PowerPoint imprimées, les reçus, les CVs, les billets de train/d’avion et tout ce qui contient des renseignements sensibles ou personnels, doivent être bien conservés dans des classeurs et des armoires verrouillées à clé lorsque les employés ne sont pas présents dans leur bureau. Vers des bureaux « Paperless » et « Dataless », nous vous proposons des points de contrôle à vérifier: Vos documents et clés (USB, Token, carte d’authentification, etc.) doivent être dans une armoire ou dans un tiroir verrouillé à clé ; Vos identifiants et vos mots de passe de connexion ne doivent pas être inscrits sur des « post-it » accrochés à vos postes de travail, ou à proximité ; Vos bureaux doivent être vides de tous papiers à la fin de la journée de travail ; Les informations sensibles ne doivent pas être discutées dans des endroits partagés avec les autres employés ou dans des lieux publics ; Les informations sensibles sur vos écrans ne doivent pas être vues facilement par des personnes externes ou non autorisées. Vous pouvez utiliser des filtres de confidentialité sur vos écrans ; Vos documents papiers doivent être libellés selon leur niveau de confidentialité et de sensibilité pour pouvoir les identifier et les protéger rapidement ; Votre poste de travail doit être en veille lorsque vous vous en éloignez, même si ce n’est que pour une courte période ; Votre poste de travail mobile (« Laptop ») doit être attaché à un câble de sécurité. Le vol d’informations comprend également le scénario de vol d’équipements contenant de l’information ; Les salles de réunions doivent également être vidées après la tenue de la réunion. Notamment, les documents papiers laissés sur les tables de réunion ou les notes sur les « paperboard » qui ont pu faire le sujet de prise de décisions de management. Loin de la sécurité et de la protection des données, avoir un bureau propre et ordonné réduit le stress au sein d’une organisation. On a aussi révélé que l’encombrement des bureaux peut en fait diminuer la productivité et la motivation des employés. « Tidy* desk tidy mind » ou « Messy* desk messy mind »…c’est à vous de choisir ! *Tidy = rangé *Messy = en désordre Loubna

Avant de parler de Red Teaming, nous parlerons des tests d’intrusion. Lors d’un test d’intrusion, l’objectif est de rechercher des vulnérabilités sur un périmètre restreint et une période définie pour fournir des recommandations afin de les éliminer. Pour faire face aux nouveaux enjeux de sécurité, les équipes doivent s’adapter et s’entraîner à la détection et à la réaction des incidents, sur un périmètre et une durée bien plus étendue que ceux des tests d’intrusion. De là est née la notion de RedTeam. Les tests d’intrusion RedTeam ont pour objectif d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection. Ces moyens peuvent être de forme physique (intrusion dans les locaux de l’entreprise), humaine (tentative de vol d’identifiants via du social engineering) ou informatique (compromission de serveurs / postes de travail / réseau). Cet exercice peut s’étendre de plusieurs semaines, voire de plusieurs mois, en fonction de la taille de l’entreprise. La RedTeam est donc une équipe de pentesteurs qui réalisent des attaques réalistes et discrètes contre l’entreprise. L’entreprise doit définir, en amont, les ressources critiques et les objectifs à atteindre (une sorte de Capture The Flag grandeur nature !). La RedTeam devra alors employer tous les moyens nécessaires à la réalisation de ces objectifs. Cela peut aller de la compromission d’un serveur afin d’atteindre les fichiers RH de l’entreprise, d’attaque de type phishing pour compromettre un compte VIP ou de cloner un badge collaborateur pour s’introduire dans les locaux de la société et installer un équipement malveillant (sniffer, keylogger, Rubber Ducky etc.). Tous les coups sont permis … ou presque. En effet les modalités des tests seront, comme les objectifs, définis avec le commanditaire de l’exercice (interdire les attaques DDOS, interdire les attaques de certaines ressources jugées trop sensibles, etc.). La notion de discrétion est aussi très importante. En effet réaliser plusieurs attaques en quelques heures, ou espacées de plusieurs semaines, permettra d’éviter de passer sous le radar des différentes sondes type IDS/IPS. La BlueTeam On parlera rarement de RedTeam sans parler de BlueTeam. La BlueTeam est l’équipe de défense de l’entreprise (généralement les équipes Sécurité et le SOC s’il existe 😊). Leur objectif est d’œuvrer en harmonie afin d’intervenir et de gérer les incidents liés aux cyberattaques. Dans un exercice RedTeam la période du test d’intrusion étant très grande et sachant que les équipes BlueTeam ne savent pas quand l’attaque sera réalisée, ni sous quelle forme, complique grandement la tâche des défenseurs et rend l’exercice encore plus réaliste (et stressant ). Quel est l’intérêt pour mon entreprise ? L’intérêt des exercices BlueTeam/RedTeam n’est pas de lister l’ensemble des vulnérabilités présentes sur un périmètre restreint mais plutôt d’évaluer la capacité de détection et de réponse aux incidents de la BlueTeam. Ils permettent également d’entraîner les équipes de défense à réagir face à des cyberattaques réfléchies, concrètes, réparties dans le temps et mixant attaques physiques (intrusions physiques des locaux), sociales (social engineering, phishing) et distantes (pentest). Suite à un exercice BlueTeam/RedTeam les équipes sécurité/SOC pourront se poser les bonnes questions afin d’améliorer le niveau de sécurité de l’entreprise : Quels journaux d’évènements (log) manquant m’auraient permis d’anticiper cette attaque ? Quelles règles de corrélation de logs auraient pu améliorer la détection de l’attaque ? Est-ce que nous collectons suffisamment de log ? Est-ce les plus importants ? Quel mécanisme de sécurité supplémentaire aurait permis de détecter cette attaque ? Est-ce qu’il ne serait pas judicieux de changer nos badges d’accès pour une technologie plus sécurisée ? Etc. Vivre une expérience de cyberattaque protéiforme, tenter de la contrer et d’y remédier, est le meilleur entraînement que les équipes de défense de l’entreprise puissent bénéficier. Et la PurpleTeam dans tout ça ? Oubliez vos idées farfelues comme des attaques par jet d’aubergines ou autres. La PurpleTeam est en fait un mix de la RedTeam et de la BlueTeam. Il s’agit d’une collaboration étroite entre attaquants et défenseurs où la RedTeam pose des « défis » d’attaques que la BlueTeam se doit de résoudre. A la fin de chaque défis les deux équipes échangent sur l’attaque et les différentes manières de la bloquer. La PurpleTeam permet d’améliorer le niveau de sécurité de l’entreprise, mais aussi et surtout de perfectionner les aptitudes « Cyberattaque » de la BlueTeam et de l’autre côté d’améliorer la connaissance de la RedTeam vis-à-vis des mécanismes de défense de l’entreprise. Yoann

Le commerce a beaucoup évolué ces dernières années grâce à la digitalisation, quelle pourrait être sa future évolution ? En effet, nous avons connu le e-commerce, qui est le fait d’acheter des produits ou services en ligne. Depuis, est apparu le m-commerce, qui regroupe l’ensemble des transactions commerciales réalisées sur terminaux mobiles (smartphones ou tablettes), notamment par le biais d’applications mobiles. Et, dans un futur plus ou moins proche, nous connaitrons surement le v-commerce. Mais, de quoi s’agit-il ?? Le v-commerce (Virtual Commerce) désigne les achats réalisés au travers des technologies de la réalité virtuelle ou de la réalité augmentée. Il peut s’agir de ventes faites dans les boutiques physiques, ou directement de ventes réalisées chez soi, avec des outils virtuels (casques par exemple). Quelle est la différence entre la réalité virtuelle et la réalité augmentée ? La réalité virtuelle est une technologie permettant à l’utilisateur de se plonger dans un monde totalement fictif (se rapprochant le plus de la réalité), dans lequel il peut se déplacer au travers d’un casque de réalité virtuelle. La réalité augmentée, elle, utilise le monde réel pour y afficher des éléments virtuels. La réalité perçue est alors « augmentée » d’informations digitales. Cette technologie est utilisée au travers d’appareils tels que des casques, smartphones, tablettes ou ordinateurs. Comment peut-on appliquer ces technologies au commerce ? Aujourd’hui, le e-commerce et le m-commerce ont pris une très grande ampleur avec près de 85% d’internautes ayant effectué des achats en ligne en 2017, et ce chiffre ne cesse d’augmenter. Mais, les consommateurs ressentent encore le besoin de se rendre dans des magasins pour certains produits afin de les voir, les toucher, les sentir ou les goûter. Le v-commerce pourrait permettre de remédier aux lacunes du commerce en ligne. En effet, il permettrait de visualiser les produits en grandeur nature, de les toucher et de détecter leur matière grâce à des capteurs, et même de les sentir par le biais de capsules odorantes. La combinaison de ces 3 technologies n’est pas encore opérationnelle, mais à terme, l’expérience du commerce virtuel permettra de faire ses choix d’achat beaucoup plus facilement. Le v-Commerce transforme déjà le shopping Certaines entreprises ont compris que le v-commerce a un potentiel business fort. Voici un exemple d’entreprises utilisant déjà le « Virtual commerce » Ikea : Grâce à l’application mobile de réalité augmentée « Ikea Place » disponible depuis mai 2018, l’utilisateur scanne la pièce dans laquelle il se trouve et choisis un meuble pour l’ajouter à son environnement. Ainsi, il peut vérifier si le meuble s’accorde bien à son appartement, en termes de couleur et de taille. S’il est satisfait du rendu, il peut directement l’acheter depuis l’application. Ray-Ban propose de tester virtuellement, grâce à de la réalité augmentée, ses modèles de lunettes. Une caméra est utilisée pour détecter un visage et l’application propose différents modèles qu’elle juge adaptés à ce visage pour les essayer. Décathlon, depuis mai 2017, a mis en place un dispositif de réalité virtuelle dans une quinzaine de magasins en France afin de promouvoir les tentes Quechua. L’outil permet aux clients de découvrir les différentes tentes dans trois mondes totalement virtuels, très proches de la réalité (montagne, forêt et désert) grâce à des casques. Les utilisateurs découvrent les caractéristiques des tentes à taille réelle. Et la sécurité dans tout ça ? Des chercheurs américains ont démontré qu’il est possible de prendre le contrôle d’un casque de réalité virtuelle à l’aide d’un malware et de modifier les contenus que voit l’utilisateur. Cela peut le mettre en danger dans la vie réelle, en le faisant se cogner dans un mur, par exemple. Les failles de sécurité concernant cette technologie ne sont pas encore exploitées à grande échelle. En effet, comme dans le cycle de vie sécurité de toute nouvelle technologie, les attaques cyber massives n’apparaissent que quelques années après la démocratisation du produit. Concernant le paiement en ligne, la problématique est identique à celle rencontrée actuellement. Alors ça vous tente le v-Commerce ? Manon