Cybercriminalité: comment agir dès aujourd'hui

download Cybercriminalité: comment agir dès aujourd'hui

of 20

  • date post

    21-Jun-2015
  • Category

    Technology

  • view

    282
  • download

    0

Embed Size (px)

description

Avec le développement du numérique dans les entreprises et les administrations, les risques liés à la cybercriminalité augmentent à grande vitesse. Et ce n’est pas seulement de la science-fiction !

Transcript of Cybercriminalité: comment agir dès aujourd'hui

  • 1. LES SYNTHSES SOLUCOM Cybercriminalit: comment agir ds aujourdhui Observatoire de la transformation des entreprises no 47

2. 2 Les Synthses Solucom - Octobre 2013 Cybercriminalit Marion Couturier est manager chez Solucom. Diplme de Telecom cole de Management, elle intervient auprs de nos clients dans la mise en place de leur gouvernance scurit, la ralisation de cartographies des risques et dexercices de gestion de crise. Elle dispose galement dune large expertise sur les volets communication et sensibilisation. marion.couturier@solucom.fr Grme Billois est senior manager chez Solucom. Diplm de lINSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans lvaluation et la mise en place de leur gouvernance scurit et projets de scurisation de linformation. Il accompagne nos clients dans la prparation et la gestion de crises relles. gerome.billois@solucom.fr Chadi Hantouche est manager chez Solucom. Diplm de lENSIMAG, il conseille nos clients dans la transformation de leurs modles de scurit, leurs stratgies de scurit en mobilit et la mise en oeuvre de mcanismes de scurit. chadi.hantouche@solucom.fr Marion Couturier Chadi Hantouche Grme Billois 3. Octobre 2013 - Les Synthses Solucom 3 DITO La cybercriminalit au cur de lentreprise numrique Avec le dveloppement du numrique dans les entreprises et les administrations, les risques lis la cybercriminalit augmentent grande vitesse. Et ce nest pas seulement de la science-fiction ! Dornavant, le sujet est prsent quotidiennement dans lactualit : atteinte la pro- tection des donnes personnelles, dnis de service, vols de donnes les angles dattaques ne manquent pas pour des cybercriminels qui usent de moyens de plus en plus sophistiqus. Au-del de ce que lon peut lire dans la presse, nous lavons nous-mme constat chez plusieurs clients qui ont t les cibles dattaques complexes et trs fort impact. La bonne nouvelle, cest que la prise de conscience commence se faire. Les tats semparent du sujet, augmentent leurs effectifs dans ce domaine et imposent des pratiques plus strictes dans la gestion des infrastructures vitales. Les Directions gn- rales des entreprises sinterrogent et demandent des rponses aux Responsables des risques et de la scurit des SI. Mais ces rponses ne sont pas si simples : impossible en effet de tout protger et de garantir une dfense impntrable contre les attaques. Il sagit donc plutt de construire un plan densemble combinant gestion de crise efficace, polices dassurance, organisation et mesures techniques. Un plan raisonn, orient vers une protection cible des actifs sensibles et vers un entranement plus pouss la gestion de crise et la communication associe. En effet, en cas dincident, vous serez jug autant sur votre capacit rtablir le service ou limiter le vol de donnes que sur la manire dont vous grerez votre communication vers vos clients et vos actionnaires. Bonne lecture tous ! Laurent Bellefin, directeur associ du cabinet Solucom directeur de la publication 4. 4 Les Synthses Solucom - Octobre 2013 Cybercriminalit La menace explose et sorganise La cybercriminalit connat une croissance dmesure. Elle volue un rythme effrn, suivant une dyna- mique similaire celle de lutilisation des systmes dinformation au sein de la socit. Cette criminalit revt de multiples formes et comporte de nombreuses dimensions que les grandes entreprises doivent com- prendre et considrer en fonction de leurs activits. Des motivations trs varies Mme sil est parfois difficile dtablir une limite claire entre les diffrentes motivations des cybercriminels, nous pouvons en distinguer 4 majeures: Lidologie vise dfendre une conviction (par exemple poli- tique ou religieuse) travers des attaques dont le but est dinter- rompredesservicesdiffuserdes messages partisans, ou divul- guerlesdonnesduneentreprise pour nuire son image. Les gains financiers directs : il sagit par exemple du vol de donnes bancaires (en parti- culier des numros de cartes), de donnes personnelles, mais aussi de donnes critiques de lentreprise comme les secrets industriels ou les informations concernant sa stratgie. Elles seront revendues par la suite ou utilises pour raliser des fraudes. La dstabilisation entre tats ou le cyberterrorisme visent dtruire des systmes ou voler des donnes stratgiques afin de nuire au bon fonctionnement des services critiques ou vitaux des tats. Par ailleurs, lobtention de capa- cits dattaques est une moti- vation qui se dveloppe. Elle consiste voler les secrets des mcanismes de scurit (mots de passe, certificats, failles de scurit, etc.) ou attaquer les SI des fournisseurs (infogrants, oprateurs de tlcom, fournis- seurs de solutions de scurit) de socits qui seront vises ultrieurement. Ces lments sont utiliss plus tard pour lan- cer la vritable attaque. Peu importe la motivation, les cyber- criminels ne se fixent plus aucune limite dans la ralisation de leurs desseins. De nos jours, ces attaques peuvent toucher nimporte quelle entreprise, quel que soit son secteur dactivit, comme la rcemment montr lactualit. Denouveauxscnariosdattaques prendre en compte Les scnarios dattaques les plus clas- siques sont souvent connus et matri- ss par lesgrandes entreprises. Ilsagit par exemple de lingnierie sociale par messagerie (phishing) ou tlphone, les dnis de service et les attaques sur les sites web. Les motivations des cyberattaquants et quelques exemples dtats ou entreprises qui ont t cibls 5. Octobre 2013 - Les Synthses Solucom 5 programme visait collecter des don- nes bancaires auprs des internautes dont lordinateur avait t compro- mis. Un autre cas, encore plus cibl, concerne un site ddi aux person- nels et sous-traitants du ministre de lnergie aux USA ayant travaill dans le secteur du nuclaire. Les attaques destructrices sont relle- ment apparues en 2011. Elles visent rendre inoprante une partie du systme dinformation en dtruisant logiquement les postes de travail et les serveurs. Ce scnario commence souvent par une intrusion silencieuse qui permet de prendre le contrle des lments centraux du SI et ainsi de pouvoir dployer rapidement sur len- semble des postes de travail un code malicieux qui dtruira les donnes pr- sentes sur le disque dur. La Core du Sud a connu des vagues successives dattaques destructrices visant des grandes banques et des chanes de mdia. En utilisant un malware sp- cifique capable de se multiplier et en dtournant les systmes de tldistri- bution, les attaquants ont pu dtruire logiquement plus de 30 000 postes de travail. Les grandes entreprises doivent enfin tre attentives aux attaques de tiers et/ou de partenaires mtiers. Dans ce cas, les attaquants visent un fournis- seur ou un partenaire cl plus facile attaquer que la cible finale. Face ces attaques, les socits vises sont sou- ventdpourvuesdemoyensderponse rapides et efficaces. Par ailleurs, les problmes de responsabilits et den- gagements contractuels complexifient la gestion de crise. RSA a ainsi subi en Mais de nouvelles formes de cyberat- taques apparaissent tous les jours et il est ncessaire de se prparer lutter contre elles. Les attaques cibles avec des e-mails pigs se dveloppent. galement connue sous la dnomination spear phishing, ce type dattaque prend la forme dun message lectronique qui semble maner dune personne ou dune entreprise rpute et de confiance. Mais en ralit, il sagit dun message pig qui permet de prendre le contrle de lordinateur de la personne cible en contournant les mcanismes de scurit prsents la fois sur la messagerie et sur le poste de travail. Ces attaques sont actuel- lement lorigine de la majorit des incidents graves. Des cybercriminels ontparexempletentdedtournerdes fonds des entreprises Quick et Scor en usurpant lidentit des PDG auprs du service comptabilit. Heureusement, les versements frauduleux nont pas traliss,maisceuniquementgrce la vigilance des services comptables. Le spear phishing aurait galement t utilis avec succs contre des struc- tures comme le ministre de lcono- mie et des finances et a conduit une intrusion sur son rseau. Un autre type dattaque est en vogue, le waterholing. Ce terme vient dune analogie avec les points deau o les prdateurs attendent patiemment des proiesvenuesboire.Ilconsistepiger unsitewebparticulier,connupourtre visit frquemment par les personnes cibles. Lattaquant ralise une intru- sion discrte lui permettant dajouter uncodemalicieuxsurlesite.Envisitant ce site, habituellement de confiance, la personne verra son ordinateur com- promismalgrlesprotectionsenplace. titre dexemple, des pirates sont parvenus compromettre le site de la chane de tlvision amricaine NBC en diffusant auprs des visiteurs un cheval de Troie bancaire, Citadel. Ce 2011 une attaque visant rcuprer les informations concernant leur sys- tme dauthentification forte nomm SecurID, pour ensuite attaquer les systmes du constructeur amricain Lockheed Martin. Enfin, il est important de prter atten- tion aux attaques qui visent vos clients sans pour autant attaquer vos SI. Des cas dusurpations didentits croi- ses sont de plus en plus courants. Par exemple, les attaquants utilisent limage dun service public pour voler les coordonnes bancaires. Une difficult valuer les impacts de ces attaques Il est aujourdhui difficile destimer de manire fiable les pertes engen- dres par la cybercriminalit. De trs nombreux chiffres circulent, allant jusqu comparer cette forme de cri- minalit avec le trafic de drogue en termes de gains. La raison de ce flou est simple : les entreprises ne communiquent pas sur les incidents quelles rencon- trent. La plupart du temps, elles ne ralisent pas non plus danalyse post-mortem pour valuer les pertes directes (arrt du SI, jours / hommes perdus, etc.) comme les pertes indirectes (contrats perdus, pro- prit intellectuelle drobe, etc.). Cependant, nos observations sur le terrain montrent que des incidents cybercriminels importants entranent des cots directs lis la gestion de crise et de remdi