BERCY VEUT AIDER LES ENTREPRISES À LUTTER CONTRE LA FRAUDE AUX EMAILS PAR LE FIGARO
Pour éviter les tentatives de hameçonnage, le ministère de l’Économie et des Finances lance plusieurs outils pour sécuriser les emails envoyés par les entreprises. Parmi eux, un service de vérification des domaines de messagerie. L’année dernière, le service de sécurité des systèmes informatiques de Bercy avait envoyé un faux email frauduleux à ses agents. Le but: vérifier s’ils étaient suffisamment attentifs pour ne pas céder aux sirènes du hameçonnage, une technique de piratage informatique qui consiste à se faire passer pour une organisation ou une personne, et d’inciter un internaute à cliquer sur un lien véreux. Les résultats furent éloquents. Sur 145.000 personnes ayant reçu le message, qui promettait des places de cinéma gratuites, plus de 30.000 ont cliqué sur le lien. Une prise de conscience Les employés du ministère de l’Économie ne sont pas les seuls à se laisser avoir par ce phénomène. En 2017, une entreprise française sur trois a subi une fraude informatique avérée, d’après une étude réalisée par Euler Hermes, pour le compte de l’association nationale des Directeurs Financiers et des Contrôles de Gestion. Il s’agit souvent d’usurpations d’identité, sous la forme d’emails envoyés par des fausses banques, fournisseurs, avocats, etc… faisant peser un risque sur les données des entreprises. À l’occasion du «Cyberoctobre», la campagne annuelle du gouvernement pour le mois de la cybersécurité, Bercy fait une série d’annonces pour aider les entreprises à améliorer leurs pratiques en la matière. Parmi elles, la mise en place d’un service de vérification des domaines de messagerie, qui signale leur niveau de sécurité et donc la possibilité qu’ils soient utilisés pour des emails de contrefaçon. Chaque nom de domaine (ce qui se trouve derrière le «@» d’une adresse mail) se voit attribuer une note, de E à A++, selon plusieurs critères techniques (présence des normes de sécurité DKIM ou SPF, origine du serveur dont sont envoyés les mails, etc.). «Pour lutter contre le hameçonnage, on a appris aux internautes à être attentifs aux contenus de leurs emails. Mais on demande trop à l’utilisateur de combler les failles de sécurité de tout un système qu’il ne contrôle pas», juge Jean-Philippe Papillon, responsable de la sécurité des systèmes d’information pour le Ministère de l’Économie et des Finances, auprès du Figaro. «Il faut faire remonter la responsabilité là où il est encore possible d’améliorer les choses, au niveau des entreprises et de leurs intermédiaires.» Bercy espère ainsi une prise de conscience des entreprises afin qu’elles sécurisent davantage leur système mis en place pour envoyer des emails, à leurs employés, partenaires ou clients. Deuxième outil proposé aux entreprises: l’installation, sur le site d’une entreprise, d’un bandeau indiquant aux internautes si leur navigateur Web dispose de la mise à jour la plus récente. Il est disponible via une bibliothèque publiée sur le site Github. «Cet outil vise particulièrement les professionnels. Les particuliers pensent généralement à mettre à jour leur navigateur. C’est plus compliqué en entreprise, où les salariés n’ont souvent pas le droit de télécharger eux-mêmes la dernière version de leur navigateur», explique Jean-Philippe Papillon. «Nous voulons attirer l’attention de l’employé, et donc de son entreprise.» Source : Le Figaro
CYBERSÉCURITÉ : DES PROGRÈS À FAIRE POUR LES TPE ET PME PAR CHEF D’ENTREPRISE
L’enquête de la CPME sur la cybersécurité des TPE et PME, présentée au Forum International de la Sécurité le 22 janvier 2019, montre que toutes les mesures ne sont pas encore prises pour contrer le risque d’attaque informatique. La CPME (Confédération des Petites et Moyennes Entreprises) continue de s’impliquer sur la nécessaire évolution digitale. Ainsi, pour la deuxième année consécutive, François Asselin, président de la CPME, a conduit au CES de Las Vegas une délégation d’une centaine de TPE, PME et start-up. C’est dans ce contexte, avec ses partenaires tels que la chambre professionnelle des TPE-PME du numérique, le club de la sécurité de l’informatique français et d’autres, que l’organisation a mené une enquête* sur la sensibilité, l’intérêt et les actions des TPE-PME en matière de cybersécurité, auprès de 374 dirigeants d’entreprise. Les graphiques ci-dessous sont issus de l’enquête et permettent de faire le point sur la protection utilisée par les entreprises pour se protéger. Installation d’une protection (antivirus, firewall, solution anti-spam) La solution anti-spam est peu utilisée par les entreprises. 55% d’entre elles en disposent pour leurs ordinateurs de bureau et 42% pour leur réseau. Les solutions de protection apparaissent comme relativement utilisées, notamment l’antivirus, assez répandu. Pour autant, la protection n’est pas complète, surtout en ce qui concerne le réseau d’entreprise, globalement moins protégé que les ordinateurs de bureau. Changement du mot de passe 33% des entreprises changent les mots de passe de leurs ordinateurs de bureau peu régulièrement, soit entre tous les 6 et 12 mois. Une majorité des entreprises ne modifie pas régulièrement ses mots de passe. Elles s’exposent ainsi à plus de risques d’intrusions informatiques. Près d’une sur trois ne change jamais ses mots de passe. Attaques ou tentatives d’attaque subies par les entreprises 41% des TPE interrogés ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques, soit presque autant que les PME. Il est intéressant de souligner qu’une petite partie des entreprises interrogées ne sait pas si elle a déjà été victime d’une attaque ou d’une tentative d’attaque informatique. Ces chiffres démontrent que les entreprises n’ont probablement pas suffisamment assimilé le cyber-risque. Reste que moins d’une entreprise sur deux a déjà été victime d’une ou plusieurs attaque(s) informatique(s). Mise en place de dispositifs de protection Seules 14% des TPE disposent d’une assurance contre les attaques informatiques contre 23% des PME. Si on peut dire que les salariés semblent en grande partie sensibilisés aux risques informatiques, moins d’un quart des TPE et PME disposent d’une assurance en cas de cyberattaque. Cela permet de montrer que des progrès restent à faire dans la prise en charge complète de ce type de risque, en constante augmentation. * Source : La cybersécurité des Entreprises (mois de 50 salariés), enquête CPME réalisée en partenariat avec CINOV-IT, le CLUSIF (Club de la sécurité de l’information français), membres avec la CPME du dispositif cybermalveillance.gouv.fr, l’Union-IHEDN, la Cyber task force ainsi que les associations Hexatrust et ACN (Association Confiance Numérique), Janvier 2019.
SEPAmail Diamond : état des lieux du service bancaire de vérification des iban
Spécialiste de la sécurisation des flux financiers depuis 1999, MATA édite la solution Mata I/O Sécurité qui sécurise les règlements en validant 100% des comptes payés. Ce processus de validation peut être fastidieux : collecte de documents, contre-appels… C’est pourquoi, dès le début, nous nous sommes intéressés au service Diamond de la messagerie bancaire SEPAmail. Pour mémoire, SEPAmail Diamond ne peut pas être considéré comme une solution exhaustive de sécurisation des règlements, puisque le service ne couvre qu’une partie des IBAN, et n’est pour le moment proposé que pour la France. En revanche, l’intégration de ce service à notre offre globale de sécurité nous permet de gagner en productivité en validant de manière automatique 70 à 80% des comptes bancaires français. Historique d’une interface optimisée pour chaque banque Courant 2017, le service Diamond a été remanié avec l’adoption d’une évolution des formats XML des requêtes de demande et de réponse. Nous avons donc attendu fin 2017, et des formats définitifs, pour nous lancer dans le développement d’une interface automatisée entre Mata I/O Sécurité et le service SEPAmail Diamond. A l’origine, seules les banques CIC et SOCIETE GENERALE étaient en mesure de proposer ce service par l’intermédiaire du protocole EBICS. La société MATA n’étant pas cliente de la SOCIETE GENERALE, nous avons ouvert un compte bancaire pour réaliser nos tests. Nos premiers envois de demandes ont été réalisés courant février 2018 auprès de ces deux banques. Ensuite, en août 2018, nous avons travaillé avec la BANQUE POSTALE à la demande de l’un de nos clients, pour tester, là encore, le service SEPAmail Diamond fourni par cette banque sur EBICS. Enfin en octobre 2018 nous avons procédé aux premières mises en œuvre du service SEPAmail Diamond chez nos clients Mata I/O Sécurité. A ce jour nous sommes en contact avec d’autres partenaires bancaires afin de tester leurs offres d’accès au service Diamond. Des différences de format Dès le début de nos tests avec les banques CIC et SOCIETE GENERALE, nous nous sommes aperçus que, malgré l’utilisation de standards dans les formats des fichiers échangés, ces deux banques avaient interprété de manière différente le traitement de certaines informations dans les fichiers. Cela nous a conduit à développer des formats de requêtes différents pour la SOCIETE GENERALE et le CIC. Nous avons à cette occasion fait le lien entre ces deux banques, les deux premières à proposer le service, pour mettre l’accent sur leurs spécificités et travailler avec elles à plus de standardisation. Par la suite, la BANQUE POSTALE s’est avérée respecter les standards établis précédemment. Des différences de traitement dans les réponses Nous avons constaté à l’usage des différences dans la qualité des réponses apportées par les différentes banques. Par exemple : lorsque nous interrogeons la validité d’un compte IBAN domicilié dans une banque non adhérente au service SEPAmail Diamond, le CIC nous retourne une réponse précisant que la validité de l’IBAN ne pourra pas être vérifiée avec la mention « Banque non adhérente », alors que la SOCIETE GENERALE ne retourne aucune réponse à l’interrogation de ce compte. Des délais de réponse qui se raccourcissent et un taux de service qui progresse Lors de nos premières mises en œuvre du service SEPAmail Diamond dans notre solution MATA I/O, nous constations un délai moyen d’attente de la réponse variant entre 24 et 36 heures. Ce délai n’a pas cessé de se réduire, et à aujourd’hui, certaines réponses sont retournées 4h après l’envoi de l’interrogation. Nous avons pu élaborer des statistiques avec nos plus anciens clients sur le service. Ces statistiques nous montrent un taux de couverture du service en progression. Au dernier trimestre 2018 : 70 % des comptes français interrogés chaque mois faisait l’objet d’une réponse de la banque. Ce taux s’établit à 80% sur le mois de janvier 2019. Les absences de réponses s’expliquent encore par des banques non adhérentes à ce jour au service SEPAmail Diamond, principalement : HSBC et LCL, ainsi que par des interrogations qui portent sur des comptes détenus par des factors, pour lesquels les banques n’ont pas l’intégralité des informations permettant d’établir le contrôle.