Introduction La grève des transports et maintenant le COVID-19 le prouvent : Aujourd’hui, il est impossible de se passer du télétravail pour assurer le fonctionnement en autonomie d’une entreprise. Si celui-ci rencontre encore des résistances au quotidien, le travail à distance devient le nouveau standard. Tous les postes de travail doivent pouvoir être loin de l’entreprise afin de ne pas dépendre de la présence physique des collaborateurs et maintenir l’activité quelle que soit la situation. Cependant, ouvrir un accès extérieur aux ressources de l’entreprise n’est pas sans danger. Dès le début de la réflexion sur le travail à distance, il est nécessaire d’intégrer des dispositifs et des protocoles de sécurités fiables en fonction des menaces. Les risques liés au télétravail Avec l’intensification du télétravail, les cyber-malfrats vont chercher à profiter de cette nouvelle pratique pour intensifier leurs attaques. En effet, nombreuses sont les sociétés qui ont commencé le télétravail pour l’épisode COVID-19 et ont plus misé sur le côté opérationnel que le côté sécurité. Voici les principales attaques identifiées : Phishing Le Phishing consiste à usurper l’identité d’une entreprise, d’une institution ou d’un organisme de confiance afin de voler des données sensibles et personnelles aux victimes. Il permet dans certains cas de compromettre le réseau informatique de l'entreprise visée. Il constitue une porte d'entrée pour les cyberattaques de type ransomware. Le Phishing s’effectue par le biais de pièces-jointes et de liens frauduleux dans des emails ou de fausses pages web. Ransomware Les Ransomwares sont des virus qui chiffrent ou empêchent l’accès aux données de l’entreprise et réclament généralement une rançon pour les rendre accessibles/lisibles. Certaines attaques de type Ransomware utilisent le chiffrement et la demande de rançon afin de détourner l’attention de l’entreprise et de voler des données sensibles. Les Ransomwares s’opèrent le plus souvent via les accès à distance (Remote Desktop Protocol par exemple). Le vol de données Le vol de donnée consiste à s’introduire sur le réseau d’une entreprise ou sur un service Cloud (type dropbox) et de voler les données qui y sont stockées. Le cyber-malfrat pourra ensuite faire du chantage ou vendre ses données. Le vol de données passe souvent par la compromission d’un poste de travail ou d’une intrusion sur le réseau. 🚨 Quelques chiffres sur les attaques durant l’épisode du COVID-19 : Les attaques par phishing sont passées de 137 en janvier 2020 à plus de 9116 sur les 23 premiers jours de Mars 2020. (Source Barracuda Networks & TrendMicro). 737 nouveaux malwares (dont des ransomwares) ont été détectés au Q1 2020. (Source TrendMicro). Plus de 80% des cybers-menaces utilisent des thèmes liés au COVID-19 (vente de masques, de gels etc…) Recommandations pour le travail à distance Sensibilisez les collaborateurs L’être humain est la porte d’entrée la plus prisée des Cyber-malfrats, il est donc très important de les sensibiliser ! En 2019, 69% des attaques se font via du phishing. Une simple communication à vos collaborateurs permettra de les sensibiliser et ainsi éviter à votre entreprise d’être piratée. Vous pouvez-vous inspirer de la communication faites par Actinuance sur le Phishing ici : https://www.actinuance.com/post/alerte-phishing Utilisez une solution VPN En télétravail les données qui circulent entre vos collaborateurs et le cloud ne sont pas toujours bien protégées ! Les solutions VPN vous permettent de chiffrer les données qui circulent et donc de les protéger. Sécurisez vos mots de passe Adopter l’utilisation d’un coffre-fort numérique tel que KeePass permettra à vos collaborateurs d’utiliser des mots de passe robuste (et en lien avec votre politique de mot de passe) mais également à forcer vos collaborateurs à l’utilisation du mot de passe unique. Une application = un mot de passe. Si l’utilisation d’un coffre-fort numérique a du mal à se faire accepter par vos collaborateurs, une communication sur la gestion des mots de passe serait intéressante. Vous pouvez-vous inspirer de la communication faites par Actinuance sur la gestion des mots de passe ici : https://www.actinuance.com/post/la-s%C3%A9curit%C3%A9-des-mots-de-passe Méfiez-vous des mails provenant d’expéditeurs inconnus Comme mentionné plus haut, il y a une forte hausse des attaques de type Phishing qui incitent les collaborateurs à cliquer sur les liens malveillants. N’oubliez pas de ne jamais communiquer vos informations personnelles (codes secrets, information bancaires etc…) à qui que ce soit. Sauvegardez vos données De manière régulière, n’oubliez pas de sauvegarder vos travaux sur les répertoires réseaux de votre entreprise, sur un cloud de l’entreprise ou sur une clef USB externe (si l’entreprise le permet !). Cela vous permettra en cas d’attaque de pouvoir vous remettre à travailler rapidement et ne subir aucune perte de données. AUDON Yoann

La vie vous sourit… vous avez « matché »avec une personne qui répond parfaitement à vos critères d’apparence et il s’est avéré après un premier long échange de données personnelles que c’est LE partenaire que vous cherchiez depuis longtemps. Maintenant, imaginez que vous ayez fait face à un imposteur qui essaie d’exfiltrer le maximum de vos données dans le but de les utiliser contre vous, pour récupérer une somme d’argent par exemple. Ou imaginez, dans un autre contexte, que le site de rencontre où vous vous êtes inscrit soit victime d’une violation de données – le scénario le plus probable – les hackers ont pris possession de nombreux comptes et données personnelles des utilisateurs, y compris les vôtres. Vous ne verrez plus la vie en rose… Vos expériences sur les sites de datings peuvent être à la fois excitantes et effrayantes. Les questions qui se posent: préfériez-vous « rester à l’écart » tout en ne risquant pas votre sécurité personnelle ou mettre votre vie privée en péril et tenter de retrouver votre partenaire idéal ? Vous serez pour un hasard naturel ou un hasard programmé ? « Matchez » la sécurité de votre vie privée avec l’app/site de rencontre avant de vous « matcher » avec votre « futur » partenaire. Combien de données ces sites collectent-ils réellement à votre avis? Probablement plus que vous ne l’imaginez. Ils savent à quelle fréquence vous vous connectez, votre position exacte, ils collectent vos photos et vidéos sur plusieurs plates-formes, ils connaissent votre s exe, votre âge, ainsi que les détails de chaque personne pour qui vous avez manifesté un intérêt. Ils connaissent vos habitudes, combien de personnes vous rencontrez, combien de personnes avec qui vous avez matché et même les profils que vous avez glissé à droite (« swipe »). Personne ne peut nier que la majorité d’entre nous, ne lit pas les termes ou les conditions d’utilisation d’une application. Nous cliquons sur accepter et continuons sans nous poser la question de la manière dont nos données seront utilisées. Peut-être, seulement 10% des utilisateurs lisent réellement les conditions générales d’utilisation avant de les accepter. En plus de fournir des donné es personnelles pendant la phase d’inscription, lorsqu’un utilisateur s’enregistre en utilisant un identifiant de réseau social (Facebook, Instagram…), il peut donner à l’application de rencontres un accès à toutes les informations de ces plateformes sociales. Ses informations seront également rassemblées dans une base de données et pourront être utilisées à d’autres fins. Les applications de rencontres représentent une cible tendance pour les pirates informatiques. Ils sont dans la mesure d’obtenir des millions de données personnelles par des moyens néfastes. En effet, suite aux derniers incidents de fuites de données révélés au grand public, on a découvert que les entreprises qui sont derrières les sites de rencontres vendent leurs bases de données utilisateurs allant de votre nom, votre adresse email, votre orientation sexuelle, vos données les plus intimes (au-delà de votre imagination !), ou même vos informations sur les paiements que vous avez effectués sur la plateforme et à votre type d’assurance auquel vous vous êtes souscrits… De milliards d’informations sont compilées et vendues à des contreparties inconnues à des fins commerciales, pour les exploiter dans la production des études de marché portés sur le suivi comportemental des utilisateurs ou pour alimenter d’autres bases de données d’un site concurrent sans bien évidemment que les personnes concernées n’expriment leur consentement sur le traitement de leurs données sensibles. Heureusement, vous pouvez prendre certaines mesures pour vous protéger lorsque vous utilisez une application ou un site de rencontres. A Faire: Utilisez un VPN : Envisagez l’utilisation d’un réseau privé virtuel (VPN) si vous comptez d’utiliser l’application en dehors de votre domicile. L’utilisation du VPN ajoute une couche de sécurité supplémentaire et peut empêcher les pirates informatiques d’accéder à vos informations. Soyez conscient des autorisations dem andées par l’application : Vérifiez les autorisations demandées par l’application. Vous devriez vous demander s’il est logique pour une application de demander certaines autorisations. Une application demandant un accès à des données qui ne sont pas pertinentes pour sa fonction est un signe d’avertissement majeur ; accès à la messagerie de votre mobile, la galerie de photos… Accédez aux applications via un poste fix e : Accédez aux applications de dating via un ordinateur et le site Web plutôt que via une application mobile. Cela aidera à limiter les données de localisation que l’application peut collecter. A Ne (surtout) Pas Faire: Synchroniser vos comptes de réseaux sociaux à votre profil public dans une application de rencontres N’utilisez pas de sites tiers tels que Facebook ou Instagram pour vous inscrire. Cela permet le partage de vos informations dans les deux applications et facilite la reconstitution de votre véritable identité. Pensez plutôt à configurer une nouvelle adresse e-mail et un mot de passe unique pour chaque application. Utiliser un Wi-Fi non protégé Les criminels ont mis au point des méthodes sophistiquées pour violer les systèmes de sécurité, mais le piratage informatique peut être beaucoup plus facile lorsque les utilisateurs accèdent aux applications sur les réseaux Wi-Fi publics. Ces réseaux, comme ceux proposés dans les cafés, les aéroports ou les halls d’hôtel, ne nécessitent souvent pas de mots de passe et permettent à quiconque de surveiller votre activité. Si vous choisissez d’accéder à votre compte en public, choisissez d’utiliser le Bluetooth de votre téléphone plutôt que les réseaux publics et installez un VPN. Désactivez le GPS en utilisant les applications de rencontres afin que les crim inels ne puissent pas surveiller votre localisation. Bien que la quête de l’amour puisse être considérée comme une nécessité plus que souhaitable, soyez conscient des données que vous fournissez et des politiques de confidentialité de chaque application que vous utilisez pour cet objectif. Aussi, prenez les mesures nécessaires pour protéger votre vie personnelle. Loubna

La digitalisation de plusieurs activités utilisant des données personnelles et confidentielles a augmenté l’exposition des entreprises aux cyber-risques. Les conséquences des cyber-risques sont diverses et peuvent varier d’une simple perte financière de quelques centaines d’euros à la perturbation de la stabilité économique et politique d’un pays. Les menaces peuvent avoir différentes formes connues et inconnues. Ainsi, déployer des solutions pour se protéger exclusivement contre les menaces connues n’est plus suffisant., d’où l’importance de la Threat intelligence. C’est quoi la Threat Intelligence ? La Threat intelligence est une discipline qui se base sur la collecte d’informations issues de plusieurs ressources afin de comprendre les menaces actuelles, anticiper les menaces potentielles et dresser le portait des attaquants qui ciblent une entreprise ou organisation. La Threat Intelligence a pour objectif de protéger les organisations contre : Le Cyber crime : Ce sont toutes les infractions susceptibles d’être commises au moyen d’un système informatique connecté à un réseau. Le Cyber activisme : C’est un processus d’utilisation des moyens de communication sur internet pour créer et gérer l’activisme de tout type. Il permet à toutes personnes ou organisations d’utiliser les réseaux sociaux, ou d’autres technologies en ligne, pour atteindre et rassembler des individus, diffuser des messages et faire progresser une cause ou un mouvement. Le Cyber espionnage : Ce type de cyber attaque fait partie des APT « Advanced Persistent Threats » ou attaques persistantes. Ces attaques se font sur la durée en injectant divers virus dits « dormants » qui collectent massivement et furtivement des données sans être détectés par les moyens de sécurité employés par les entreprises. Quel est l’avantage de la Threat Intelligence ? Le processus employé auparavant par les directions sécurité des entreprises consiste en la remédiation des attaques déjà effectuées et la protection contre les attaques qui connues. En revanche, la Threat Intelligence offre la possibilité de prévoir et de se protéger à l’avance des attaques susceptibles de se produire. Le schéma ci-dessous montre une comparaison entre la démarche employée avant et après l’adoption de la Threat Intelligence : En effet, la Threat Intelligence se base sur l’apprentissage et la collecte d’informations des autres entités qui se sont déjà faites attaquées. La combinaison de toutes les informations externes avec les données internes à l’entreprise, ainsi que la déduction des informations sur les attaques susceptibles de se produire. Nous pouvons citer, comme exemple de constructeurs de la Threat Intelligence : FireEye, Symantec, LookingGlass, IBM security, EMC, etc. Comment adopter une approche proactive avec la Threat intelligence ? La Threat Intelligence peut constituer un flux d’informations très important. En corrélant ce flux avec les autres flux d’informations au niveau du SIEM (Security Information and Event Management), les entreprises peuvent découvrir les attaques et prévoir des moyens pour s’en protéger. Une étude récente réalisée par Cisco a montré que 44% des alertes remontées par le SIEM sont ignorées. Pour le reste de ces alertes, 28% sont considérées comme alertes légitimes, mais seulement 46% sont réellement corrigées. Pourquoi plus de la moitié des alertes légitimes ne sont pas corrigées ? Cela peut s’expliquer par une surcharge d’informations, un manque de temps ou un manque d’expertise. Mais, au vu de la sévérité du problème, il faut absolument trouver une solution. Ceci peut être fait en passant d’une approche réactive avec le SIEM à une approche proactive avec la Threat Intelligence. Cette approche permettra non seulement d’améliorer les résultats du SIEM, mais aussi d’aider les organisations à découvrir les menaces potentielles. En ajoutant les facteurs externes aux informations internes issues des outils de sécurité de l’entreprise, des résultats plus pertinents peuvent être obtenus. Pour aller encore plus loin, les entreprises peuvent choisir de recueillir des données à partir d’une source d’informations relativement sous-estimée, mais qui peut présenter un pas en avant pour les entreprises. Cette ressource est le Deep Web. Quels avantages offre l’ajout d’un flux d’informations provenant du Deep Web ? Le Deep Web constitue une source d’informations très riche qui peut, si elle est bien utilisée, apporter un grand avantage aux entreprises. Selon une recherche réalisée par l’entreprise américaine Recorded Future qui opère dans le domaine de la cyber sécurité, 75% de toutes les vulnérabilités divulguées apparaissent en ligne avant d’être répertoriées dans la base de données nationale sur les vulnérabilités (NVD) avec une moyenne de préavis de sept jours. C’est une bonne longueur d’avance pour les cybercriminels. Si les professionnels de la cyber sécurité sont prévenus des angles d’attaque possibles, ils peuvent concentrer leurs ressources sur la gestion efficace des vulnérabilités et la correction rapide. Oumayma

Une chose est sûre, il est beaucoup plus facile aujourd’hui de solliciter les services d’un prestataire ou sous-traitant en Asie ou aux Amériques à partir de la France. On peut ainsi avoir, par exemple, la jeune start-up qui a ses développeurs dans un pays d’Europe de l’Est, ses designers dans un pays du continent américain et son hébergeur en Europe du Nord. Pas facile de savoir à quel endroit se trouvent les données traitées ! D’autant que depuis l’entrée en vigueur du RGPD (Règlement Européen sur la Protection des Données) le 25 Mai 2018, il faut assurer un certain niveau de protection. Cela dit, pas d’inquiétude à avoir, ici nous allons vous aider à y voir un peu plus clair et vous dire ce qu’il faut faire pour chaque pays. La boîte à outils juridiques du RGPD L’arrivée du RGPD a permis de mieux encadrer le transfert des données en proposant une gamme d’outils juridiques pour aider les entreprises en ce sens. Ainsi, les entreprises peuvent avoir recours à deux provisions en particulier : La clause d’adéquation (article 45) : Il s’agit d’une liste de pays présentant des garanties de protection des données similaires à celles du RGPD, à la suite d’un examen approfondi des dispositions légales mises en place. Les garanties appropriées (article 46) : ces garanties sont composées d’un ensemble de décisions prises par l’autorité de contrôle du pays d’origine et dont l’entreprise s’engage à respecter, par exemple en incluant des clauses contractuelles types approuvées par la commission européenne, un code de conduite ou un mécanisme de certification validé, des clauses contractuelles spécifiques pour encadrer le transfert ou encore les règles contraignantes d’entreprises qui sont des politiques intra-groupe de protection des données et qui sont légalement contraignantes Si les conditions précédentes ne sont pas réunies, il est toujours possible d’obtenir une dérogation, nécessitant un accord préalable de l’autorité de contrôle Pour mieux illustrer le principe d’adéquation, nous allons étudier quelques cas concrets. Que dois-je faire si je veux transférer mes données …. … En Union Européenne Comme vous pouvez vous en douter, il n’y pas de disposition particulière à prendre, puisque le RGPD est un règlement européen et s’applique donc à tous les pays de l’Union Européenne. Un souci de moins à se faire ! … Aux Etats-Unis Cela dépend de la nature du traitement. Les Etats-Unis sont considérés comme étant en adéquation partielle, c’est-à-dire qu’il n’est pas nécessaire de prendre des mesures supplémentaires pour certains traitements. Le transfert peut se faire que s’il est à destination d’une entreprise ayant une certification active au Privacy Shield, une loi entrée en vigueur en Juillet 2016, qui consiste en une série d’engagements pris par le gouvernement américain et la Commission Européenne pour rehausser le niveau de protection des données. Cette adéquation partielle concerne aussi le Canada, vers laquelle les transferts ne nécessitent pas d’encadrement spécifique si le traitement entre dans le cadre d’une activité commerciale (loi PIPEDA) … En Argentine Le pays est reconnu comme étant en adéquation, la législation en vigueur étant alignée avec le RGPD. Pas d’encadrement spécifique donc. … En Russie La Russie dispose d’une législation en matière de protection des données personnelles, mais n’est pas reconnue comme étant en adéquation. Il faut savoir que la loi russe exige que les données personnelles des citoyens russes soient hébergées sur le territoire russe. Et ne pas s’y conformer est très risqué, en atteste LinkedIn dont le site a été bloqué en 2017. Et le Royaume-Uni dans tout ça ? Pour le moment, le RGPD s’applique encore sur le sol britannique. Mais quand on sait qu’on a de fortes chances de se diriger vers un Brexit sans accord (le fameux « no deal ! »), il faut d’ores et déjà se préparer à cette éventualité. En effet, dès que la sortie du Royaume-Uni sera effective, celui-ci ne sera plus considéré comme étant en adéquation. Il faudra donc entamer les mesures d’encadrement et mise en adéquation, étape par étape : Commencez par identifier les traitements effectués en Grande-Bretagne chez un sous-traitant, et de manière plus générale, les traitements impliquant un transfert Choisissez un outil d’encadrement, ceux listés plus tôt dans cet article en constituent un bon exemple, et entamez les démarches de sa mise en œuvre Mettez à jour votre documentation interne en indiquant que vous réalisez des transferts de données vers le Royaume-Uni, mais aussi vos mentions d’informations à destination des personnes concernées Et pour avoir un panorama plus complet du niveau d’adéquation des autres pays du monde, la CNIL a pensé à vous et a concocté une carte interactive vous permettant de voir en un clic si vous allez passer des nuits à vous arracher les cheveux sur un transfert de données ou non : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde Source : www.cnil.fr Mehdi

La cybersécurité médicale bénéficie d’une préoccupation croissante. En effet, au cours des dernières années, les incidents de sécurité informatique n’ont cessé d’augmenter. De nombreux instituts de santé ont donc tenté de lutté pour se défendre et tenir les cybercriminels à distance. Des failles dans les systèmes Au sein des hôpitaux, les technologies varient considérablement : certains dispositifs médicaux appartiennent à la nouvelle génération, mais d’autres ont été conçus par des entreprises qui ne sont plus en activité, ou fonctionnent sur d’anciens logiciels présentant des failles de sécurité criantes. Les stimulateurs cardiaques et autres dispositifs implantés et connectés à Internet peuvent être, par conséquent, piratés. L’erreur humaine ouvre également des failles dans les systèmes : du côté de la protection des données, la plupart des atteintes à la vie privée sont issues d’erreurs commises par des employés ou à la suite de divulgations non autorisées. Attaque WannaCry Personne ne peut nier l’absence de preuves que des patients soient morts à cause de WannaCry. Mais l’attaque a détourné des milliers d’ordinateurs et d’appareils de diagnostic de l’hôpital, forçant les médecins à transporter manuellement les résultats de laboratoire d’un hôpital à l’autre et à annuler des rendez-vous de patients. Petit rappel du descriptif de cette attaque : L’attaque visait les vulnérabilités du système d’exploitation Microsoft Windows, le chiffrement des données et la détention des systèmes informatiques pour la rançon bitcoin. Bien que WannaCry ait fini par être bloquée, les instituts de santé continuent d’être vulnérables à de telles attaques La cybersécurité dans ce domaine Aussi, la maintenance des dispositifs médicaux à savoir, les correctifs de sécurité (Patchs) semblent n’être plus réalisables dans les hôpitaux car le temps et le coût qu’il faut pour valider ces mises à jour sur les dispositifs sont onéreux : ce sont les éditeurs de la solution utilisée qui installent ces correctifs… D’autre part, il y a une tension entre les experts en cybersécurité qui veulent sécuriser les systèmes hospitaliers et les médecins qui se concentrent sur les soins qu’ils appliquent à leurs patients. Il reste difficile de vendre ou de présenter de nouveaux dispositifs médicaux à des médecins qui sont souvent occupés. Néanmoins, Il est essentiel que ces derniers comprennent l’importance de la cybersécurité, car ils sont en contact direct avec les patients en utilisant la technologie. Conclusion En conséquence, les éditeurs se trouvent maintenant dans l’obligation de sécuriser plus que jamais auparavant leurs solutions connectées médicales proposées. Les « Hackers » continuent à leur tour, de développer des outils et des techniques plus sophistiqués pour affiner leurs attaques, accéder aux données et les tenir en otage. C’est pour ces raisons qu’on a commencé à inclure des exigences de cybersécurité dans les processus d’approvisionnement et chercher à élaborer des solutions de sécurité dédiées au domaine de la santé. L’industrie des solutions médicales a pris du retard par rapport à d’autres industries en ce qui concerne la cybersécurité. Cependant, les budgets de la cybersécurité ont augmenté, de nouvelles technologies ont été acquises et les instituts de santé s’améliorent pour faire face à la cybercriminalité et sécuriser leurs réseaux. Loubna

Régulièrement, le Forum International de la Cybersécurité organise des tables rondes totalement gratuites pour discuter de cybersécurité. Le mardi 21 Mai 2019, un débat sur l’évolution et l’accélération des ransomwares[1], ainsi que sur les enjeux des PME à eu lieu au Cercle mixte du Quartier des Célestins. Pour ce débat, étaient réunis : Serge Lefranc, directeur de la division de la réponse à l’incident à l’ANSSI[2] Colonel Jean Dominique Nollet du Centre de lutte contre les criminalités numériques de la Gendarmerie Nationale Benoît Grunemwald, Directeur des Opérations chez ESET[3] En voici les grandes lignes : Le ransomware est un « business rentable » A l’ANSSI, affirme Serge Lefranc, 30 évènements de ransomware ont été notifiés ce dernier mois. Les attaques par ransomware se développent et sont rentables pour les hackers. La pratique du ransomware est d’autant plus rentable qu’elle a évolué : on assiste à « des extorsions ciblées qui concernent spécifiquement une société ou un acteur » ajoute le colonel Nollet. En effet, des groupes criminels ont créé des ransomwares « as a service » ou RaaS. Les « affiliates » (clients du RaaS), réalisent l’attaque pour s’infiltrer dans le système, puis cryptent les données du SI utilisant le ransomware. Ils doivent verser un pourcentage prédéterminé de leurs gains aux auteurs du ransomware. «L’expertise est égale au niveau de celle des SI qu’ils veulent pirater» ajoute Benoît Grunemwald. Les hackers utilisent des algorithmes d’intelligence artificielle afin de les aider à déterminer l’attaque la plus efficace sur un système donné, précise-t-il. Tous sont d’accord sur le fait que l’on fait face à des organisations criminelles qui fournissent des supports et des outils de plus en plus professionnalisées et organisées : une menace qui n’a aucune chance de disparaître. Les PME : cibles préférées du ransomware Les PME sont le protagoniste de l’histoire cybersécurité. Elles sont les premières cibles des cybercriminels, pour la simple raison qu’elles sont les plus vulnérables. Or, la majorité des PME ne sont pas capables de comprendre les termes cybers. L’enjeu se situe au niveau de l’accompagnement de ces sociétés vers la compréhension des risques, explique le colonel Nollet. Un changement doit s’opérer à ce niveau. Il faut que les PME investissent pour se protéger. Il est cependant difficile de débloquer un budget quand on n’en voit pas la nécessité. Et pourtant, nombre de dirigeants se sont retrouvés dans des situations difficiles car ils n’avaient pas investi. Une des solutions pour une meilleure prise en compte des enjeux de l’informatique serait de faire monter les responsables informatiques dans la chaine hiérarchique, soit de les impliquer dans les décisions stratégiques. Le colonel Nollet propose également un accompagnement des dirigeants des entreprises sur ce sujet, à l’aide de guides simples ou d’outils ludiques, qu’il reste à élaborer. Une société attaquée ne doit cependant surtout pas payer de rançon, précise Serge Lefranc. Cela assurerait la rentabilité de l’écosystème criminel et donc son développement. Mais alors, que doivent-elles faire ? L’ESET travaille avec des PME et de TPE pour les sensibiliser à la cyber malveillance, raconte Grunemwald. L’entreprise reçoit un très grand nombre d’appels faisant suite à une perte de données, qu’elle renvoie vers des prestataires. Cependant, statistiquement, les entreprises peuvent voir que le taux d’occurrence des attaques est faible, et peuvent choisir de prendre le risque plutôt que d’investir dans de la cybersécurité. Elles s’interrogent sur le retour sur investissement de la cybersécurité ou de la police d’assurance. Un membre du public pose la question : pourquoi, au même titre que la responsabilité civile automobile, une entreprise traitant de l’information ne devrait-elle pas être obligée de s’assurer ? Le marché de la cyber assurance Actuellement, les compagnies d’assurance mettent en place des primes spécifiques cyber. Cela met notamment en lumière l’importance de la prévention : le montant d’une prime de cyber assurance est modulée selon les mesures de sécurité mises en place par l’entreprise cliente. Ainsi, explique Grunemwald, une assurance cyber exige un niveau de sécurité spécifique appuyé par un audit du SI. Cela va réellement faire monter le niveau de sécurité dans les entreprises en les obligeant à se conformer aux obligations de sécurité exigées par l’assureur. En particulier celles qui s’assurent car elles n’ont pas les moyens d’employer un DSI. Encore faudrait-il que les PME comprennent l’intérêt d’une telle assurance. Grunemwald affirme que les interlocuteurs de poids pouvant les faire basculer vers cet investissement seraient le comptable, l’avocat, et l’assureur. Un facteur humain indéniable Ainsi, le facteur de confiance est présent, mais pas seulement. Le colonel Nollet parle d’un « blocage cognitif » sur une potentielle défaillance de son SI. Il mentionne également l’effet émotionnel d’une attaque cyber, qui ne doit pas être négligé mais partagé. Ce facteur émotionnel est bien présent, confirme Serge Lefranc. Il nécessite que des personnes interviennent auprès des victimes cyber, et gèrent la communication entre celles-ci et la résolution technique. On parlerait même d’un nouveau métier : la cyber négociation. En conclusion L’enjeu de cette accélération des ransomwares réside sur la maturité en sécurité de la cible. Au vu de l’évolution des ransomwares, qui deviennent plus sophistiqués et plus ciblés, il est crucial pour les PME d’être accompagnées pour faire face à ce risque. Nour [1] Un ransomware est un logiciel introduit dans un SI, qui en crypte les données de manière à qu’elles soient impossible d’accès, permettant à l’individu à origine de l’attaque d’exiger une somme d’argent à la victime en contrepartie de la récupération de ses données. [2] ANSSI : Agence Nationale de la Sécurité des Systèmes d’information [3]Entreprise proposant des solutions de sécurité.

La confiance dans le monde de la sécurité informatique a toujours été un vrai problème. Peut-on vraiment être confiant que le trafic échangé sur internet soit immunisé des attaques du type eavesdropping (Fait d’écouter secrètement une conversation) ? Ou encore, sommes-nous capables de garantir un bon niveau de sécurité tout en utilisant des technologies basées sur le Cloud Computing ? La tendance dans les entreprises est de se protéger durement contre les utilisateurs et trafics externes, pour n’autoriser un niveau de confiance plus élevé que pour tout ce qui provient du réseau interne. Cependant, la majorité des databreaches (fuites de données) sont principalement causées par des éléments internes à l’entreprise tels que les flux non sécurisés, une base de données contenant des identifiants non chiffrés, ou simplement le facteur humain. Afin de pouvoir limiter cet impact, la solution est de ne pas faire confiance à ses équipements ou employés au sein de son propre réseau et d’utiliser le principe de l’architecture « Zero Trust ». Créé en 2010 par John Kindervag, un spécialiste de la sécurité informatique, Zero Trust est une démarche de sécurité où il faut procéder à des vérifications minutieuses et continues des postes de travail, des plateformes utilisateur et de tout équipement réseau. Architecture de la sécurité traditionnelle Dans un réseau d’entreprise traditionnel, les administrateurs systèmes et sécurité définissent différentes zones gérées par un ou plusieurs firewalls avec un niveau de sécurité/confiance qui diffère d’une zone à une autre. La figure ci-dessous présente un aperçu générique sur l’organisation d’une telle architecture : Figure 1 : Architecture de sécurité traditionnelle Ce type de mécanisme de défense ne répond plus aux menaces actuelles et présente plusieurs inconvénients à savoir : Absence d’un mécanisme d’inspection du trafic interzone ; Manque de flexibilité utilisateur ; Existence d’un SPOF (Single Point Of Failure) au niveau des firewalls. Définition d’une architecture Zero Trust Quel que soit le type de mécanisme de sécurité mis en place dans une entreprise, le parc informatique est toujours considéré comme un milieu hostile. Cela dit, les menaces internes comme externes doivent être continuellement suivies. Afin de mettre en place une politique de sécurité basée sur une architecture Zero Trust il faut prendre en considération 3 piliers principaux à savoir : Les équipements utilisateurs et trafics doivent être authentifiés ; Les règles de la politique de sécurité doivent être dynamiques. Ces règles sont à corréler à partir des différentes sources de données sur un réseau ; La localité du réseau ne doit pas être un facteur décisif sur le niveau de confiance qu’on attribue au réseau. On distingue deux périmètres dans une architecture Zero Trust : Control Plane : C’est la partie responsable du contrôle de tout l’actif informatique d’une entreprise. Le Control Plane, est un programme installé sur un serveur permettant de gérer l’authentification et le contrôle de tous les équipements qui se manifestent dans une architecture de sécurité Zero Trust. Il est considéré comme élément de monitoring chargé de la supervision du trafic échangé entre les équipements informatiques. Data Plane : Ce sont les différents périphériques (postes de travail, serveurs, points d’accès WiFi, etc.) et ressources (fichiers partagés, logiciel de gestion RH, etc.) gérés par la partie Control Plane. Les demandes d’accès aux ressources protégées sont d’abord effectuées via le Control Plane, où les utilisateurs et les périphériques doivent être authentifiés. L’accès à des ressources plus sécurisées peut être authentifié par un mandataire. Ainsi, pour qu’un employé de l’entreprise puisse faire des modifications sur le serveur de production, deux entités doivent être impérativement authentifiées et autorisées par le Control Plane : L’employé et le serveur de production qui fait partie du Data Plane dans notre cas de figure. Cet exemple est détaillé dans le schéma suivant : Figure 2 : Exemple d’un échange dans une architecture Zero Trust Etape 1 : L’utilisateur fait une demande auprès du Control Plane afin d’accéder au serveur de production ; Etape 2 : Le Control Plane impose une authentification à l’employé. Cette étape est généralement inaperçue pour l’utilisateur puisque l’authentification se fait par échange de clés cryptographiques ; Etape 3 :  L’utilisateur est amené à s’authentifier en fournissant un nom d’utilisateur et un mot de passe, dans le cas où il n’y a pas une infrastructure à clé publique (PKI) ; Etape 4 & 5 : Le serveur subit le même processus. Il doit impérativement s’authentifier auprès du Control Plane ; Etape 6 & 7 : L’employé et le serveur sont désormais autorisés à échanger. Next Generation Access Compte tenu de la complexité de l’écosystème informatique d’une entreprise, ce n’est pas toujours facile de mettre en place une nouvelle architecture de sécurité. Mais comme première étape, il est recommandé de migrer tout système de gestion des accès vers un NGA ou Next Generation Access. Vous vous demandez certainement pourquoi faudrait-il abandonner les technologies traditionnelles de gestion des accès ? C’est parce qu’elles sont souvent fragmentés plusieurs contrôles : contrôle de l’application, contrôle de point de terminaison et contrôle de serveur. Cette approche statique n’est plus adaptée aujourd’hui face à une multitude de menaces. D’autant plus que les utilisateurs assument plusieurs rôles, ont des privilèges variables en fonction de leurs activités et se déplacent d’un système à un autre. Cependant, NGA offre un collectif de technologies et de fonctionnalités matures permettant de connaitre chaque utilisateur et de prendre en compte chaque périphérique limitant ainsi l’accès et les privilèges de manière intelligente. Ceci va permettre aux stratégies/règles d’apprendre et de s’adapter sans avoir d’impact sur l’expérience utilisateur. Méfiance avant confiance, un proverbe qui s’applique aussi bien dans le quotidien que dans le monde de la sécurité. Ne faites confiance à personne, vérifiez tout, contrôlez constamment. Ayoub

Introduction WordPress est le CMS le plus utilisé dans le monde et est par conséquent la cible privilégiée des pirates et des scripts automatiques (robots) ! Petit rappel : CMS est l’acronyme de Content Management System, pour « système de gestion de contenu ». Il s’agit d’un logiciel permettant de créer et gérer de A à Z l’apparence et le contenu d’un site web. Quelques exemples montrant la popularité du CMS WordPress : Sony Music (www.sonymusic.com) Le site perso de Katy Perry (https://www.katyperry.com) Le site officiel de la Suède (https://sweden.se) Dans cet article je vais décrire les 10 mesures essentielles permettant de sécuriser son site WordPress. Statistiques Tout d’abord quelques statistiques en termes de vulnérabilités sur le CMS WordPress. Tous les ans de nombreuses vulnérabilités sont découvertes sur le CMS WordPress : Et les vulnérabilités ne concernent pas forcément des vulnérabilités insignifiantes : Source : https://www.cvedetails.com/product/4096/Wordpress-Wordpress.html Les mesures de sécurité essentielles à implémenter 1- Mise à jour Contexte : Il est essentiel de veiller à mettre à jour la version WordPress dans les plus brefs délais. Tous les deux mois environs, des vulnérabilités majeures sont corrigées et compactées dans une nouvelle version. Impact : Les vulnérabilités découvertes peuvent impactées le site en termes de Confidentialité (Vol d’identifiants/mots de passe), en Intégrité (Modification du code source), en Disponibilité (site indisponible) et en termes d’image (défacement du site). Exemple de sites référençant les dernières vulnérabilités découvertes : https://wpvulndb.com/ https://www.exploit-db.com/ (filtrer sur le mot-clé WordPress) Remédiation : Effectuer une maintenance de manière régulière sur votre site WP (ET DE SES PLUGINS, nous y reviendrons) et effectuer une veille régulière sur les vulnérabilités. 2- Page de connexion Contexte : Lors de l’installation de WordPress, la page de connexion est située, par défaut, à l’adresse « https://acti-example.com/wp-login.php ». Impact : Laisser la page de connexion par défaut vous expose à de nombreuses tentatives de connexion par des scripts automatiques ou attaquant qui effectuent des attaques par brute-force. Exemple de tentatives remontées par le plugin SUCURI : Remédiation : Deux mesures sont recommandées pour bloquer les tentatives de connexion frauduleuses : Installer un plugin spécifique afin de modifier l’url de connexion : WPS Hide Login Ajouter la ligne ci-dessous dans votre fichier .htaccess : RewriteRule ^login$ https://acti-example.com /wp-login.php [NC,L] Ici La page de login sera accessible à l’adresse https://acti-example.com /login 3- Fichiers par défaut Contexte : Lors de l’installation de WordPress, des fichiers par défaut sont créés. Comme on peut le voir sur la page GitHub de WordPress (https://github.com/WordPress/WordPress) nous retrouvons les fichiers : License.txt readme.html Impact : Le fichier « License.txt » permet de confirmer à un attaquant la présence du CMS WordPress. Le fichier « readme.html » permet de révéler la version de WordPress que vous utilisez. Cela peut sembler anodin mais la version WordPress sera la première information recherchée par un attaquant. A partir de l’identification de la version l’attaquant pourra tester des techniques propres à chaque version de WordPress. Remédiation : Ici rien de bien compliqué, on supprime simplement les deux fichiers. 4- Les plugins Contexte : Les plugins sont le point noir de WordPress. La plupart des vulnérabilités n’impactent pas WordPress en lui-même mais plutôt les plugins que l’utilisateur installe. Impact : Les impacts dépendent des plugins et de leurs versions. Plus d’information sur le site https://wpvulndb.com/. Remédiation : Assurez-vous que vos plugins sont toujours à jour. Si le plugin n’est pas mis à jour de manière régulière par le créateur, essayez de changer par un plugin plus récent. De plus, si vous n’utilisez pas un plugin spécifique, supprimez-le. 5- Gestion des comptes Contexte : Lors de l’installation, WordPress va créer un utilisateur avec les droits administrateur nommé « admin ». Cet utilisateur à tous les droits sur le site. Impact : La présence de cet utilisateur par défaut permettrait à un attaquant de faciliter ses attaques de type brute-force. Remédiation : Il est fortement recommandé de supprimer l’utilisateur « admin » et de créer au préalable un autre utilisateur avec des droits d’administrateur. De manière plus globale il est recommandé d’activer la fonctionnalité d’authentification à double facteur sur le site. 6- Base de données Contexte : La base de données WordPress se compose de nombreuses tables pour stocker les messages, liens, commentaires, utilisateurs, etc. Ces tables ont par défaut des noms standards comme `wp_users’, `wp_options’, `wp_posts’, etc. Impact : Si un attaquant sait que vos données d’utilisateur (identifiants/mots de passe) sont stockées dans la table `wp_users’, il va essayer de l’exploiter. Nous pouvons cependant empêcher l’attaquant de deviner le nom de la table. Remédiation : Il est recommandé de modifier le préfix des tables WordPress. Le fameux « wp_tables ». Si votre site est déjà installé et configuré (j’imagine …) il est tout de même possible de modifier le préfix. Vous trouverez le tutoriel ici : https://wpchannel.com/wordpress/tutoriels-wordpress/modifier-prefixe-base-donnees-wordpress-installation/. 7- Fichier de configuration Contexte : Le fichier de configuration WordPress nommé « wp-config.php » est placé à la racine du site et contient, entre autres, les identifiants de la base de données : Impact : Si un attaquant est en mesure de lire les fichiers sur le serveur en exploitant une vulnérabilité il sera alors en mesure de se connecter à la base de données et de récupérer, modifier ou supprimer les valeurs des tables. Remédiation : Il est recommandé de déplacer le fichier dans un autre répertoire. Attention cela pourrait endommager le site. Je vous propose ce tutoriel pour le faire : https://www.groovypost.com/howto/improve-wordpress-securitty-wp-config-php-location/. Veillez également à modifier les permissions du fichier de configuration (Cf. Etape 9). 8- XML-RPC Contexte : XML-RPC est un protocole qui permet de se connecter à des sites distants pour échanger des données, entrantes et sortantes. Globalement nous pouvons mettre à jour notre site WordPress à distance via l’API dédié. Depuis la version 3.5 la fonctionnalité XML-RPC est localisée dans le fichier « xmlrpc.php » et est activée par défaut. Impact : La première vulnérabilité est un déni de service distribué. Le site sera ralenti, voire complétement inaccessible. La deuxième permet d’obtenir des informations sur le site (les posts, énumérer les utilisateurs etc.). Remédiation : Il est recommandé de désactiver la fonctionnalité XML-RPC. Ceci peut être effectué via deux méthodes : La méthode facile et non-optimale : installer un plugin : https://fr.wordpress.org/plugins/disable-xml-rpc/ La méthode htaccess : Nous ajoute le code ci-dessous dans le fichier .htaccess à la racine du site : # Block WordPress xmlrpc.php requests order deny,allow deny from all Vous pouvez tester la bonne désactivation de la fonctionnalité XML-RCP via le site https://xmlrpc.eritreo.it/. 9- Permissions Contexte : Il est important de bien configurer vos « files permissions ». Ils déterminent les droits liés aux différentes composantes de votre site : écrire, lire, exécuter… et surtout, qui peut le faire. Impact : Une mauvaise gestion des permissions permettrait à un attaquant de lire, écrire et exécuter des fichiers dans le répertoire du site web (le fameux 777 !). Remédiation : Voici les permissions optimales à appliquer pour un site WordPress : 755 pour un dossier 644 pour un fichier 400 pour wp-config.php Si vous ne comprenez pas ces chiffres je vous propose le tutoriel suivant : https://www.linux.com/learn/understanding-linux-file-permissions Pour automatiser la modification des permissions il suffit de taper ces quelques lignes : 755 pour les répertoires (d pour directory): find /var/www/html/wordpress -type d -exec chmod 755 {} + 644 pourles fichiers (f pour file): find /var/www/html/wordpress -type f -exec chmod 644 {} + 400 pour le fichier wp-config.php : chmod 400 wp-config.php 10- Enumération des utilisateurs Contexte : Dans de nombreuses installations WordPress, il est possible d’énumérer les noms d’utilisateurs WordPress à travers les archives de l’auteur, y compris le compte « admin ». Pour accéder à ces informations, il suffit d’ajouter author=n (où n représente l’id de l’utilisateur) comme paramètre à la page d’accueil de WordPress comme suit : «https://acti-example.com/?author=3» L’énumération de l’utilisateur peut se faire soit dans le titre de la page (comme sur l’image) ou peut aussi remplacer l’url sous ce format : « https://acti-example.com/author/Timmy/ ». Impact : L’obtention d’un utilisateur valide permet à un attaquant de faciliter ses attaques de brute-force sur le site dans le but de voler son mot de passe et ainsi usurper son identité. Les actions malveillantes que l’attaquant pourrait ensuite effectuées dépendront du rôle de l’utilisateur usurpé. Remédiation : La méthode la plus efficace pour cette vulnérabilité est de modifier le fichier .htaccess à la racine du site et d’ajouter le code suivant (en modifiant l’url …) : RewriteCond %{QUERY_STRING} ^author=([0-9]*) RewriteRule .* https://acti-example.com/? [L,R=302] C’est ici que se termine cet article sur la sécurité d’un site WordPress. WordPress est un CMS efficace qui permet de créer un site web en quelques minutes et de qualité, mais il faut cependant être prudent et attentif quant à sa sécurité. Dans un prochain article nous traiterons également de Wordpress mais dans une optique offensive !