IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment les entreprises pourraient-elles mieux se protéger
Des attaques informatiques de plus en plus sophistiquées ?

Le , par Stéphane le calme
13 commentaires

20PARTAGES

6  0 
En 2013, un distributeur automatique de billets à Kiev s’est mis à délivrer des billets tout seul à certains moments de la journée qui semblaient être fortuits sans que personne n’ait à insérer une carte ou à presser un bouton. Les caméras de surveillance ont montré que l’argent qui avait été délivré a été raflé par des clients à qui la chance semblait sourire.

Cependant, quand l’expert en cybersécurité russe Kaspersky Labs a été appelé en Ukraine pour mener une enquête, il a découvert qu’il ne s’agissait là que de la partie émergée de l’iceberg. En effet, les ordinateurs internes de la banque, utilisés par les employés qui traitent des transferts quotidiens et qui tiennent la comptabilité, avaient été infiltrés par un logiciel malveillant qui permettait aux cybercriminels baptisé du même nom que leur logiciel Carbanak (basé sur le trojan Carbep) d’enregistrer chacun de leurs mouvements. Les recherches ont montré que le logiciel malveillant qui se cachait depuis des mois a envoyé des images et des vidéos a un groupe de cybercriminels pour lui permettre de déterminer comment la banque effectuait ses routines. « L’objectif étaient d’imiter leurs activités », expliquait Sergey Golovanov qui a mené les opérations d’investigations pour le compte de Kaspersky. « De cette façon, tout aurait ressemblé à une opération quotidienne normale » a-t-il rajouté par la suite. Ils commencent par ajouter virtuellement de l’argent sur un compte bancaire en modifiant le solde disponible, puis transfèrent toute la somme ajoutée vers le compte de destination, laissant le solde d’origine intact.

Dans un rapport que Kaspersky a publié il y a quelques jours déjà, l’entreprise a avancé que la portée de cette attaque s’étendait sur plus de 100 banques et autres institutions financières dans une trentaine de pays et cette série de vols pourrait en faire le plus gros casse de banque jamais réalisé et qui a en plus été menée sans les symptômes habituels de vol. Kaspersky a avancé avoir la certitude que près de 300 millions de dollars ont été dérobés à ses clients et que la somme total du casse pourrait atteindre le triple.


Mais cette projection est difficile à vérifier dans la mesure où les vols ont été limités à 10 millions de dollars par transaction, bien que certaines banques aient étés frappé plusieurs fois. De plus, dans certains cas, les transactions étaient plus modestes, sans doute pour éviter de déclencher des alarmes. La majorité des cibles étaient situées en Russie, mais il y en avait également plusieurs au Japon, aux Etats-Unis et en Europe. A cause d’une clause de non divulgation avec les banques qui ont été touchées, Kaspersky n’a pas eu le droit d’en établir une liste qui pourrait être portée au public. Des responsables à la Maison Blanche ainsi que du FBI, d’Interpol ou d’Europol ont été débriefés dessus mais ont avancé que cela prendrait du temps pour confirmer et évaluer les pertes.

Chris Dogget, le directeur général de Kaspersky en Amérique du Nord à Boston, a avancé que le groupe de cybers criminels Carbanak représente une augmentation de la sophistication des cyberattaques sur les entreprises financières. « C’est probablement l'attaque la plus sophistiquée du monde a vu à ce jour en termes de tactiques et des méthodes que les cybercriminels ont utilisé pour rester dissimulés », a-t-il déclaré. Les cybercriminels ont pris la peine d’étudier chaque particularité des banques ciblées tandis qu’ils établissaient de faux comptes en Chine et aux Etats-Unis qui pouvaient servir de destinations de transferts. En somme, une mécanique très bien huilée.

D’autres attaques qui ont également fait parler les médias comme celle qui a vu 76 millions de comptes clients de l’institution financière JPMorgan Chase être piratés ont poussé les banques à s’interroger sur la raison pour laquelle des pirates les considèrent comme des proies relativement facile. Pour pouvoir faire face aux menaces ou future menaces, certaines institutions ont estimé qu’elles devaient très vite colmater des failles non seulement dans la sécurité de leur système mais également dans celui des entreprises partenaires ou conseillères. Et si la réponse était toute autre ?

La raison principale pour laquelle les cybercriminels voient de grandes entreprises ainsi que leurs partenaires principaux comme des proies relativement faciles est une déconnexion alarmante entre les membres du conseil de l’administration de l’entreprise et leurs services informatiques. Le rapport « exposer les fissures de la cybersécurité : une perspective mondiale » publié par l’Institut Ponemon l’année dernière a mis en évidence le fait que les professionnels de la sécurité se trouvent « inefficaces, isolés et dans l’obscurité » lorsqu’ils font face aux cybermenaces. Après avoir interrogés 4 880 professionnels expérimentés de la sécurité informatique provenant de 15 pays, le rapport a découvert :

  • un déficit dans l’efficacité des solutions en matière de sécurité;
  • un décalage entre les dirigeants de l’entreprise et la valeur perçue de la perte des données ;
  • une visibilité limitée dans les activités cybercriminelles.


De plus, le panel a avancé que près de la moitié des cadres dirigeants siégeant au conseil d’administration ont une faible compréhension de la question de sécurité. Mais le problème semble encore plus profond. Il faut réaliser que les départements informatiques ont également leur part de responsabilité dans cette déconnexion qui a pris de l’ampleur entre eux et le C.A.

Cette situation est imputable en partie à ce legs du temps où les dirigeants d’une société naviguaient pour la plupart en zone totalement inconnue en ce qui concerne l’informatique. Mais elle est également le résultat d’une impasse émotionnelle qui existe désormais entre les chefs de services informatique qui défendent ce qu’ils considèrent comme leurs fiefs personnels sans réaliser que la cybersécurité a des impacts à tous les niveaux des opérations de l’entreprise. Le cantonnement de la cybersécurité fait de cette manière peut cultiver la complaisance au sein des entreprises, berçant les dirigeants dans une douce illusion selon laquelle leurs cyberdéfenses sont impénétrables.

Une image plus réaliste serait pour le PDG de comprendre que son entreprise peut être piratée (si ce n’est pas déjà le cas). A moins qu’une entreprise n’effectue régulièrement des tests de pénétration sur ses défenses numériques, il est probable qu’une partie de ses données soit compromise à son insu.

Les départements informatiques peuvent penser à tort que la cybersécurité n’est qu’un problème qui relève de l’informatique, mais elle concerne en réalité d’autres domaines, y compris les ressources humaines. Plusieurs violations de données, par exemple, ne sont pas issues d’un piratage externe mais plutôt interne, parfois il s’agit de l’œuvre d’un employé mécontent ou malhonnête ou même d’un ancien employé. Des estimations avancent que près d’un ex-employé sur trois en Angleterre a encore accès à des données détenues par leur ancien employeur.

Aussi, la première mesure à prendre serait déjà de déterminer quelles données peuvent être compromises et par qui. Pour ce faire, les chefs d’entreprise pourraient appuyer des enquêtes menées en interne par les équipes informatique puisqu’elles ont la capacité de voir à leurs « angles morts ».

Parfois, un intrus peut avoir pénétré le système d’information d’une entreprise pendant des mois, voire des années, avant qu’elle n’en prenne conscience. Dans un tel cas de figure, les dégâts peuvent être difficiles à quantifier. Par exemple, s’il s’agit d’un concurrent, il peut avoir acquis des stratégies commerciales en examinant ses documents confidentiels quasiment en temps réel. S’il s’agit d’un cyber-pirate, il peut utiliser les informations obtenues pour détourner des fonds de l’entreprise. Quoiqu’il en soit, il existe des logiciels de prochaine génération qui permettent de retracer l’historique complète de chaque document, afin que l’entreprise puisse avoir connaissance de l’utilisation des données voire même de l’utilisateur.

Si aucune donnée sensible n’a été violée, il n’y a pas de raison de penser qu’elles ne le seront pas à l’avenir. Ce qui signifie qu’il faut développer une stratégie de gestion de crise afin de limiter les dommages qui pourraient être causés par une violation significative des données. Sans une stratégie efficace, il est possible de vous retrouver en train de payer des primes d’assurance voire perdre la confiance de vos partenaires et de vos clients.

Source : rapport Ponemon (au format PDF), blog Kaspersky

Et vous ?

Qu'en pensez-vous ? Quelles seraient les meilleures méthodes / armes des entreprises pour se protéger face à la recrudescence des attaques informatique ?

Une erreur dans cette actualité ? Signalez-nous-la !

13 commentaires
Commenter Signaler un problème
BufferBob
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 04/03/2015 à 9:12
et puis il y a les personnels "techniques mais pas trop", aka les développeurs, admins et autres "sécu-cordonniers-mal-chaussés" pour qui "moi ça va, je connais, donc je risque moins je peux me permettre de prendre des risques", ce sont peut-être même les pires

j'ai souvenir d'un sysadmin pourtant très compétent très sûr de son fait en affirmant que "la sécurité dans l'entreprise c'est de la fumisterie, quand une faille est découverte il suffit de mettre à jour le package"

au delà des personnels fautifs, j'imagine qu'on pourrait aussi parler de la lourdeur des process en entreprise (ITIL mon amour...) qui entrainent une inertie non-négligeable
3  0 
Guikingone
Avatar de Guikingone
Membre éprouvé https://www.developpez.com
Le 24/02/2015 à 16:32
La sécurité a toujours été un sujet sensible, parler sécurité c'est comme tendre le bâton pour se faire battre :

- Le groupe informatique crie à tort et à travers que le système est inpénétrable en prouvant le tout via des preuves fumeuses ...
- La direction s'appuie sur cela et une confiance aveugle en l'idée que rien ne peux arriver ...

Le drame arrive et tout le monde se rejete la faute, la tactique de c'estpasmoilefautifnomdidiou!
1  0 
AliusEquinox
Avatar de AliusEquinox
Membre régulier https://www.developpez.com
Le 24/02/2015 à 19:43
heu... la réponse parait évidente !

Sensibiliser plus d'entreprises à la sécurité ! A l'heure actuelle 90% des entreprises n'en ont rien à secouer. Ils se disent que ce genre de choses n'arrivent qu'aux autres. C'est comme pour la conduite ! Combien d'automobiliste conduisent en téléphonant, en ayant de l'alcool dans le sang ou je ne sais quoi d'autre encore. Notre nature d'occidentaux fait de nous des irresponsables, je comprends pas pourquoi ce genre de choses vous choquent encore.
1  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 26/02/2015 à 14:47
La formation des gens, à commencer par les décideurs.

Les décideurs qui obligent à changer les mots de passe tous les mois par exemple, sont mal informés, ce n'est pas une bonne solution.
Trop isoler les machines est aussi un problème : je me souviens d'avoir dû mettre à jour l'OS (une librairie) d'un PC critique inconnectable au net pour raison de sécurité, ni à un réseau ayant accès au net. Comment a fait l'admin ? Il s'est envoyé la lib via gmail, a téléchargé la lib sur son smartphone, et a branché celui-ci au serveur via USB : rien de chiffré, pas d'antivirus, aucune sécurité...

Combien d'entre-nous ont des accès vraiment trop importants aux machines, du genre root sur presque tous les serveurs de la boite car "si c'est en interne on ne craint rien" ?

Oui, il faut former les gens, mais il ne faudrait surtout pas oublier de former les décideurs.
1  0 
Deuzz
Avatar de Deuzz
Membre confirmé https://www.developpez.com
Le 10/03/2015 à 22:50
Citation Envoyé par VBrice Voir le message

Pour nous aider, voici une ébauche de code en version 0.1beta, que l'on peut amélioré ensemble car j'ai toujours des bugs qui survienne inopinément dans la fonction try-catch je pense.
[SPOILER]
Code : Sélectionner tout 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function (){
    var read=['information','doc','conférence','débat'], updateUser=false,user ={};

    function prise2conscience(user){
        for (var action in read){
            user[read[action]]=try{reaction(read[action])}catch(e);
            catch (undefined) {
                read.push[e.message]}
            if (!user[read[action]]){
                return false;
            }else{
                return true;
            }
          }
    }

    while(updateUser && typeof(user)='je n\'est rien à cacher'){
    updateUser=prise2conscience(user);
    }
}();
[/SPOILER]
...ben effectivement, cela ne marche pas : SyntaxError line 17
Avec l'auxiliaire "avoir", c'est mieux : je n\'ai rien à cacher.
1  0 
marc.collin
Avatar de marc.collin
Membre émérite https://www.developpez.com
Le 24/02/2015 à 19:03
utiliser moins de produit américain, embaucher des gens compétents et non de décideur pressé
0  0 
nchal
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 24/02/2015 à 19:16
Je pense que cette exemple n'est pas le meilleur pour illustrer la faiblesse de la sécurité informatique car le virus est entré via des mails frauduleux.
Mais effectivement, l'histoire nous montre qu'aucun système n'est entièrement sûr mais c'est l'essence même de la sécurité informatique. Un système est sûr tant qu'il n'a pas été craqué, ensuite il faut trouver un autre système "sûr"
0  0 
Avatar de
https://www.developpez.com
Le 24/02/2015 à 19:49
C'est surtout que ceux qui ne s'en soucis pas pense que ça n'arrive qu'au autre...
A partir de la, on ne peut pas faire grand chose.

On trouve aussi des fois le cas inverse:
Une personne qui ne connais pas grand chose en informatique (on ne peut pas tout connaitre sur tout) demandera un projet par exemple sécurisé (pour lui 100% infaible).
Mais il ne se connectera jamais de façon sécurisé à son serveur (sftp...), se connectera sur son ordinateur ou il a installer des patch illégaux, et utilisera un mot de passe faible.

Dans les 2 cas, on est bien embêtez...

Il faut juste essayer de les sensibiliser à la sécurité informatique, et les sensibiliser encore...

Pour nous aider, voici une ébauche de code en version 0.1beta, que l'on peut amélioré ensemble car j'ai toujours des bugs qui survienne inopinément dans la fonction try-catch je pense.

Code : Sélectionner tout 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function (){
    var read=['information','doc','conférence','débat'], updateUser=false,user ={};

    function prise2conscience(user){
        for (var action in read){
            user[read[action]]=try{reaction(read[action])}catch(e);
            catch (undefined) {
                read.push[e.message]}
            if (!user[read[action]]){
                return false;
            }else{
                return true;
            }
          }
    }

    while(updateUser && typeof(user)='je n\'est rien à cacher'){
    updateUser=prise2conscience(user);
    }
}();
0  0 
Avatar de
https://www.developpez.com
Le 25/02/2015 à 8:13
La dernière fois que j'y ai pensé je me suis demandé pourquoi lors de la création d'une entreprise il est accepté que la société ai une banque qui ne lui fourni pas des outils de gestions financières. Se n'est pourtant pas mon domaine de compétences, mais de constater que les temps ont changés, peut-être.
0  0 
NSKis
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 25/02/2015 à 12:51
"Comment les entreprises pourraient-elles mieux se protéger des attaques informatiques de plus en plus sophistiquées ?"

A part transformer son entreprise en un sous-marin remplis d'autistes n'ayant aucun lien électronique avec l'extérieur, c'est juste une question sans réponse!!!

Une seule stratégie est envisageable:

Limiter l'accès aux données sensibles à un minimum de personnes et encore c'est pas gagné!

Anecdote:
J'ai une pensée émue pour un client qui avait limité l'accès aux données commerciales de l'entreprise à lui et à sa femme... Résultats des courses: Madame l'a quitté avec les données comptables, cela aide pour le divorce et on a découvert que Monsieur avait un PC verolé à l'extrême suite à des visites répétées de sites olé-olé (certainement histoire d'oublier Madame).
0  0 
Commenter Signaler un problème