Il est temps de repenser la cybersécurité

Pendant plusieurs années, les organisations ont concentré leurs efforts de sécurité sur la protection des terminaux. Les pare-feu, les logiciels antivirus, la détection d’intrusion et les outils contre les logiciels espions sont tous efficaces, mais ils sont impuissants à arrêter la grande majorité des menaces.

Un récent sondage de ServiceNow auprès de 300 responsables de la sécurité de l’information dévoile que 81% sont très préoccupés des intrusions qui ne sont pas abordées et 78% s’inquiètent de leur capacité à même les détecter. L’indice X-Force Threat Intelligence d’IBM rapporte une augmentation de 566% du nombre d’enregistrements compromis en 2016 comparativement à l’année précédente. FireEye rapporte  que le temps moyen pris par une organisation pour détecter une intrusion est supérieur à 200 jours.

Les mesures de sécurité des terminaux deviendront moins efficaces à mesure qu’ils proliféreront. Les téléphones intelligents ont introduit une toute nouvelle catégorie de menaces, et l’Internet des objets (IoT) ajoutera des milliards de périphériques terminaux aux réseaux dans les années à venir, dont beaucoup ne sont que peu ou pas sécurisés.

C’est pourquoi la cybersécurité, selon les mots du chef de la direction de Cisco  Chuck Robbins, « doit débuter dans le réseau ». Cette approche privilégiée par Cisco reconnait la réalité que les intrusions sont devenues inévitables mais qu’elles ne doivent pas être débilitantes. La popularité croissante des centres d’opérations de sécurité démontre que les organisation informatiques portent leur attention dans la création de vues intégrées de toutes les activités qui se déroulent sur leurs réseaux, y compris les applications, les bases de données, les serveurs et les terminaux, et adoptent des outils permettant d’identifier les modèles qui indiquent une violation. Par exemple, des tentatives d’accès multiples provenant d’une certaine adresse IP ou de transferts importants de fichiers sortants peuvent indiquer une intrusion, et cette activité peut être arrêtée avant qu’elle ne cause beaucoup de dommages.

Heureusement, la technologie évolue pour soutenir cette approche axée sur le réseau. Les plateformes Big Data comme Hadoop ont rendu le stockage de grandes quantités de données pour analyse pratique et abordable pour les entreprises. Les plateformes de diffusion en continu telles qu’Apache Spark et Kafka peuvent capturer et analyser les données en temps quasi réel. Les programmes d’apprentissage machine, lorsqu’ils sont appliqués à de larges magasins de données comme Hadoop, peuvent trier en permanence les journaux de réseau et de serveurs pour trouver les anomalies, devenant progressivement « plus intelligents ».

De son côté, l’infonuagique présente de nouvelles options de déploiement. C’est pourquoi la sécurité migre rapidement d’équipement dédié vers des solutions infonuagiques utilisant un modèle de logiciel sous forme de service (SaaS). Grandview Research estime que le marché des services gérés de sécurité qui valait plus de 17.5 milliards de dollars en 2015 augmentera à plus de 40 milliards de dollars en 2021. Au fur et à mesure que les organisations virtualisent leurs réseaux, ces services seront intégrés aux services réseau de base. Cela signifie la fin des mises à niveau de microcodes, des visites sur le site pour réparer les pare-feu et des mises à jour de signature contre les logiciels malveillants.

Il est trop tôt pour affirmer que la lutte contre les cybercriminels est gagnée, mais les signes sont au moins prometteurs. Il est encourageant de voir Cisco faire de la sécurité une pièce maitresse de sa stratégie. Deux acquisitions récentes (Jasper et Lancope) donnent à Cisco une présence prépondérante dans la sécurité IoT infonuagique et les capacités approfondies d’apprentissage pour l’analyse des menaces et des réseaux. La société a déclaré que la sécurité sera intégrée à chaque nouveau produit qui sera à l’avenir mis en marché. C’est peut-être pour cela que Robbins a appelé son entreprise « la seule entreprise de sécurité de 2 milliards de dollars qui va croitre du double ».

Les solutions de sécurité ne suffisent pas à prévenir les ransomware. Assurez-vous d’avoir une bonne stratégie de relève.

Si la notion de « ransomware » (rançongiciel en français) vous était inconnue jusqu’à maintenant,  l’attaque du 12 mai dernier du virus WannaCryptor qui a eu des répercussions mondiales dans toutes les sphères d’activités vous a certainement sensibilisé aux conséquences de ces attaques qui ne connaissent pas de frontières.

Les attaques informatiques par ransomware coûtent des millions de dollars par année aux entreprises et deviennent de plus en plus sophistiquées et difficiles à éviter. La particularité de ce type d’attaque est qu’elle se répand rapidement à travers les fichiers partagés, et ce parfois en quelques heures, comme l’attaque du 12 mai l’a démontré. Le ransomware s’infiltre généralement par le point le plus faible du réseau, généralement le compte courriel de l’utilisateur ou les sites de réseautage social.

Le ransomware verrouille l’ordinateur ou chiffre les fichiers, exigeant le paiement d’une « rançon » pour rendre aux utilisateurs l’accès à leurs données. Mais le paiement de la rançon ne garantit pas la récupération des données[1], sans compter que les entreprises qui cèdent au chantage des pirates deviennent des cibles de choix pour une prochaine fois…

Si vous êtes chanceux, votre entreprise a été épargnée par le virus et vous vous félicitez d’y avoir échappé. Dans ce cas, retenez la leçon : vous avez eu de la chance cette fois-ci, mais soyez assuré que ce type d’attaque se reproduira, et que votre entreprise pourrait fort bien en être victime la prochaine fois.

Les entreprises prévoyantes ont investi des sommes souvent considérables pour sécuriser leurs environnements informatiques et les données qui y transitent, données qui sont souvent critiques et dont la destruction peut mettre en péril la continuité des activités. Bien que les solutions de sécurité fassent partie de l’équation lorsqu’il s’agit de protéger vos actifs, elles ne sont qu’une partie de la stratégie pour contrer ces menaces.

Une solution complète pour vous prémunir contre les attaques virales doit impérativement inclure un plan de relève et des copies de sauvegarde accessibles et complètes afin de pouvoir restaurer votre environnement tel qu’il était avant l’attaque.

La mise en place d’un plan de relève vous procure l’assurance de pouvoir vous relever rapidement et de minimiser votre période d’inactivité, qui est souvent le maillon faible dans la gestion des attaques informatiques. En effet, plus vite vous reprendrez votre rythme de croisière, moins vos clients et fournisseurs auront à se tourner vers des alternatives qui pourraient, à terme, coûter très cher à votre entreprise et à sa réputation, allant même jusqu’à la mettre à risque.

Les entreprises soumises à des normes de conformité spécifiques à leur industrie sont en général sensibilisées et mieux outillées pour rapidement restaurer leur infrastructure en cas d’attaque. Pour savoir si votre entreprise a mis en place une stratégie de relève adéquate, posez-vous les questions suivantes :

Est-ce que vos copies de sauvegarde sont conservées hors site (loin de votre site principal)?

Êtes-vous en mesure de vous assurer que votre processus de sauvegarde fonctionne correctement?

Pouvez-vous vérifier que vos données peuvent être restaurées dans leur état d’origine?

À quelle vitesse êtes-vous en mesure de restaurer les données prises en otage?

Est-ce que vos données originales sont sauvegardées de manière inaltérable, vous assurant une récupération complète et intègre de vos données en cas d’attaque ransomware?

En répondant à ces questions, vous franchirez la première étape qui vous permettra de remédier aux lacunes de votre stratégie de relève en cas d’attaque informatique. Soyez prêts à faire face aux prochaines menaces pour protéger vos actifs! 

[1] Selon un récent sondage, des entreprises victimes de ransomware qui ont payé la rançon, seuls 71% ont pu récupéré leurs données.

Adoptez l’approche unifiée de la sécurité sans fil!

Pour de nombreuses organisations, l’accès sans fil n’est plus un luxe. Les employés ont besoin d’un accès facile alors qu’ils parcourent les bureaux, et les clients et partenaires s’attendent à pouvoir se connecter dès qu’il sont sur le site. Mais fournir un accès non-sécurisé crée une foule de problèmes de sécurité potentiels si les points d’accès ne sont pas rigoureusement surveillés, corrigés et entretenus. Plus le nombre de points d’accès augmente, plus il est facile d’escamoter cette importante tâche de maintenance.

Les équipes de sécurité sont si occupées à combattre les urgences que la maintenance préventive est souvent négligée. Kaspersky Labs a récemment analysé les données de près de 32 millions de bornes sans fil dans le monde et  rapporté que près de 25% d’entre elles ne sont pas chiffrées. Ce qui signifie que les mots de passe et les données personnelles qui transitent par ces périphériques peuvent facilement être interceptés par toute personne connectée au réseau.

Les réseaux privés virtuels (VPN) sont une façon de garder les données en sécurité, mais 82% des utilisateurs de mobiles ont indiqué à IDG qu’ils ne prennent pas toujours la peine de les utiliser. La profusion de logiciels offerts en mode infonuagique (SaaS) encourage ce comportement. Gartner a estimé qu’en 2018, 25% des données d’entreprise contourneront le périmètre de sécurité et iront directement dans le cloud.

Le paysage du sans fil évolue, grâce aux périphériques mobiles, aux services infonuagiques et à la menace croissante des cyberattaques. Cela signifie que la sécurité sans fil doit être gérée de façon holistique, avec une approche de gestion centralisée et une architecture qui intègre à la fois la protection des terminaux et l’analyse du trafic réseau. Cisco a dépensé plus d’un milliard de dollars en acquisitions de sécurité depuis 2015 et a mis en place les éléments nécessaires pour assurer cette intégration.

Cisco Umbrella, que la compagnie a lancé le mois dernier, est une nouvelle approche pour sécuriser le périmètre d’entreprise qui prend en compte les façons changeantes d’accéder à Internet. Umbrella donne aux gestionnaires de réseau et de sécurité une image complète de tous les périphériques sur le réseau et de leur activité. Par exemple, en combinant la technologie Umbrella au Cisco Cloudlock Cloud Access Security Broker, les entreprises peuvent appliquer des stratégies personnalisées aux différentes applications SaaS et même bloquer totalement les services inappropriés. Elles peuvent également bloquer les connexions vers des destinations réputées malveillantes sur les couches DNS et IP, ce qui réduit la menace de logiciels malveillants. Umbrella peut même découvrir et contrôler les informations sensibles dans les applications SaaS, même si elles sont hors du réseau.

L’approche modernisée de Cisco en matière de sécurité utilise également la puissance de l’infonuagique pour l’administration et l’analyse. Cisco Defense Orchestrator résout plus de 100 milliards de requêtes Internet chaque jour. Sa technologie d’apprentissage machine compare ce trafic contre une base de données de plus de 11 milliards d’événements historiques pour rechercher des modèles qui identifient le comportement malveillant connu. Defense Orchestrator peut donc repérer les brêches rapidement afin qu’elles puissent être bloquées ou isolées avant qu’elles ne causent des dommages. Grâce au cloud, des données anonymes provenant d’Internet peuvent être combinées à l’apprentissage approfondi pour améliorer en continu ses capacités de détection. Les modèles analytiques prédictifs permettent à Cisco de déterminer où se déroulent les attaques actuelles et futures. En d’autres termes, le cloud de sécurité de Cisco devient plus intelligent chaque jour.

Umbrella peut s’intégrer aux systèmes existants, y compris les serveurs monofonctionnels, les flux et outils internes, de sorte que vos investissements sont protégés. Umbrella est construit sur OpenDNS, une plateforme native du cloud depuis sa création il y a plus de dix ans. C’est la base de la feuille de route de sécurité de Cisco à l’avenir.

Une excellente façon de commencer à utiliser Cisco Umbrella consiste à revoir la protection de vos points d’accès sans fil. Les réseaux de Cisco n’ayant plus de secrets pour nous, laissez-nous vous mettre sur la voie d’avenir de la sécurité réseau.

Attaques de déni de service : les comprendre, les éviter

En octobre 2016, une cyberattaque contre le prestataire de services Internet Dyn a rendu inaccessibles de nombreux sites et services Internet, et est considérée comme la plus importante attaque de déni de service jamais effectuée.

Notions de base des communications Internet

La plupart des communications sur Internet sont de type client-serveur. Le navigateur Internet sert souvent de « client », et envoie des requêtes au serveur, pour lui demander d’afficher une vidéo Youtube par exemple.

Chaque serveur possède une adresse IP. Lorsqu’on navigue sur Google, par exemple, il se peut que le serveur qui répond à notre requête soit différent en fonction de notre localisation géographique. Ceci est rendu possible par l’utilisation d’un système de noms de domaine (ou DNS). Ces serveurs DNS vont traduire une adresse faite des mots « www.google.com » en une adresse IP. Cette notion est importante pour la compréhension de l’attaque dont Dyn a été la cible.

Historique des botnets

Un botnet est un réseau d’ordinateurs infectés par un virus, qui les transforme en des entités passives qui restent à l’écoute de futures instructions. La personne qui contrôle le botnet peut ensuite envoyer des commandes à son armée d’ordinateurs infectés. Elle peut, par exemple, demander à ses « robots » d’envoyer des pourriels ou de lancer des attaques de déni de service. Le caractère distribué de cette architecture rend la détection des attaques distribuées difficiles.

Avec la miniaturisation et le coût toujours décroissant des appareils informatiques, de plus en plus d’objets deviennent connectés. Cela crée un réseau toujours plus grand d’imprimantes, d’appareils photos IP et de toutes sortes d’objets qui sont connectés sur Internet. Tous ces objets sont de petits ordinateurs, et comme tous les ordinateurs, ils sont vulnérables aux attaques. De plus, puisque peu de gens prennent le temps de configurer ces objets connectés, la plupart d’entre eux se retrouvent configurés avec les mots de passe par défaut, ce qui rend encore plus simple pour un attaquant de les compromettre et de les infecter par des virus.

Nous nous retrouvons donc dans une situation où de très nombreux objets connectés sur Internet sont infectés par un virus. Et ces objets sont allumés en permanence, contrairement à nos ordinateurs. Lors du plus récent déni de service, ce botnet a réussi à générer jusqu’à 1,2 To de données par seconde! C’est un débit de données qui équivaut à près de 2 000 films de qualité DVD envoyés par seconde!

Pourquoi cette attaque a-t-elle fait si mal?

Les attaques de déni de service visent traditionnellement les serveurs ou les sites Internet de compagnies qui sont ciblés soit pour des raisons d’activisme (« hacktivism »), soit dans le but d’extorquer de l’argent.

Ce qui diffère cette attaque des précédentes, c’est la cible. Pour la première fois, ce ne sont pas les serveurs de sites qui ont été visés, mais les serveurs DNS de la compagnie Dyn.

Les sites de Twitter, Paypal et Netflix, par exemple, étaient pleinement fonctionnels. Mais en nous empêchant de savoir l’adresse des serveurs auxquels se connecter, cette attaque a rendu tous ces sites inaccessibles.

Comment se défendre face à ces attaques?

Les attaques de déni de service suivent souvent un schéma bien établi. Une première façon de se protéger consiste donc à utiliser des systèmes qui vont détecter les signatures de ces attaques.

Une autre façon de se prémunir est d’implémenter de la redondance sur les serveurs. En utilisant des équilibreurs de charge, on peut intelligemment diriger le trafic sur plusieurs serveurs, et ainsi améliorer la résilience du système face à de hauts débits de trafic.

Mais ce n’est pas tout! Il faut également se prémunir contre les infections, pour empêcher que l’un de nos systèmes ne devienne membre d’un botnet. Pour cela, il faut dans un premier temps protéger les ordinateurs avec des logiciels d’antivirus.

Cependant, de nombreux objets connectés sont des systèmes trop simples pour installer un antivirus. Il est donc primordial d’analyser le trafic réseau entrant dans votre réseau d’entreprise, à la fois pour y détecter les menaces connues et les vulnérabilités de type « zero-day ».

Il est possible de minimiser encore les risques d’infection de vos systèmes en effectuant la corrélation et la surveillance des journaux d’événements, comme par exemple, la surveillance de réseau et systèmes en continu.

Enfin, il est très important de garder ses systèmes à jour, afin de minimiser le risque que des vulnérabilités connues soient exploitables et utiliser des mots de passe uniques et complexes. Il existe des logiciels de gestion de mots de passe pour vous faciliter la vie.

Une firme spécialisée en sécurité sera en mesure de vous accompagner dans l’analyse de vos besoins et la sélection des solutions les plus performantes et efficaces pour atténuer les risques d’attaques de type botnet sur vos systèmes.

Virus Cryptolocker : comment le traiter?

Cryptolocker est un type de virus maintenant bien connu qui peut être particulièrement dommageable aux données stockées sur ordinateur. Le virus exécute un code qui chiffre les fichiers, les rendant inaccessibles aux utilisateurs et qui exige une rançon (sous forme de bitcoin, par exemple) pour les déchiffrer, d’où leur appellation de « ransomware ».

Les virus de type Cryptolocker s’infiltrent par différents vecteurs (courriels, sites de partage de fichiers, téléchargements, etc.) et sont de plus en plus résistants aux technologies antivirus et aux pare-feu; il y a fort à parier que ces virus continueront à évoluer et qu’ils seront de plus en plus habiles à contourner les mesures de sécurité mises en place par les entreprises. Cryptolocker en est déjà à sa 6e ou 7e variante!

Existe-t-il une police d’assurance?

Tous les experts conviennent qu’un solide plan de sauvegarde est toujours la meilleure prescription pour faire face à ce type de virus. Mais que signifie exactement la mise en œuvre d’un plan de sauvegarde, et à quoi ressemblerait un plan bien exécuté?

Le plan de sauvegarde doit être régulièrement mis à l’épreuve et préférablement inclure une copie des sauvegardes hors site. L’utilisation du service de copie de sauvegarde infonuagique d’ESI Technologies est une solution facile à mettre en place.

Une copie automatisée agit comme une police d’assurance en cas d’intrusion. Des sauvegardes régulières fournissent un magasin secondaire des données stockées hors site, tel qu’un mécanisme de secours en cas d’attaque malveillante.

Que faire en cas d’infection?

À partir du moment où vos systèmes ont été infectés par un Cryptolocker, vous êtes déjà aux prises avec plusieurs fichiers chiffrés. Si vous n’avez pas en place de mécanisme permettant de détecter ou de surveiller les changements de fichiers (par exemple un changement de 100 fichiers à la minute), les dommages peuvent être très étendus.

Avisez les responsables de la sécurité de votre département TI

Surtout ne payez pas cette rançon, car vous risquez d’être ciblés à nouveau

Vous n’aurez pas le choix de restaurer les fichiers à partir d’une copie de sauvegarde. Cette copie devient inestimable dans les efforts de récupération, car elle vous fournira un dossier complet de vos données.

Après le traitement, êtes-vous encore vulnérables?

Malgré des bonnes pratiques de sauvegarde de vos données, vous demeurez à risque après avoir restauré vos données.

Une évaluation de vos politiques de sécurité et de votre plan de sauvegarde par des professionnels comme ceux d’ESI Technologies vous fournira des recommandations afin qu’une telle chose ne se reproduise plus. Certains mécanismes de sécurité existent pour vous protéger des virus qui sont encore inconnus des systèmes de détection.

La prévention de perte de données – un défi d’affaires

Les données confidentielles, intellectuelles et sensibles sont les atouts les plus importants pour les entreprises. Certaines compagnies doivent respecter des exigences de conformité liées à ces données et se doivent de mieux gérer l’utilisation de celles-ci. La perte intentionnelle ou non-intentionnelle des données confidentielles peut avoir des conséquences désastreuses et elle s’accentue avec l’utilisation massive du courrier électronique, des systèmes de stockage publics comme Dropbox ou même d’une simple clé USB.

Quelques statistiques :
 

  • 64% des données d’entreprise sont perdues sciemment
  • 50% des employés quittent avec des données corporatives
  • 35% des pertes de données sont causées par la négligence
  • 29% des pertes de données sont causées par des défaillances de système
  • La perte d’une seule donnée coûte en moyenne 200$
  •  
    En mettant en place une politique de gestion documentaire appuyée sur des politiques de protection tirées de normes déjà établies, et en implantant une solution DLP (Data Loss Prevention) qui a fait ses preuves, vous serez en mesure de bloquer les transferts indésirables de données ou de les chiffrer, d’avertir les utilisateurs que l’action qu’ils s’apprêtent à exécuter n’est pas permise et d’aviser les responsables de l’organisation le cas échéant.
     
    Vous avez des obligations : vous devez protéger les données confidentielles dont vous avez la responsabilité… et avertir les autorités en cas de perte!