LES PIRATES FAVORISENT LE PHISHING
La technique dite du hameçonnage est privilégiée par les pirates informatiques, selon une étude de Microsoft. En matière d’attaques informatiques, il y a aussi des modes! Microsoft vient de publier un rapport sur les principales tendances de cyberattaques en 2019 dans le monde. Si le ransomware – un logiciel informatique malveillant qui prend en otage les données informatiques avant de demander une rançon- ou encore le crypto-mining – c’est-à-dire un virus qui vient infecter la puissance de calcul informatique d’un ordinateur qui valide les transactions réalisées en cryptomonnaie- est en diminution, les pirates informatiques privilégient le phishing. Cette technique dite du hameçonnage consiste à obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. Selon Microsoft, le phishing par e-mail est passé de 0,2 % en janvier 2018 à 0,6 % en octobre 2019. Un chiffre qui représente des milliards de mails… Usurpation du nom de domaine « Même si la technologie améliore la détection du phishing, les pirates continuent à perfectionner leurs techniques », explique le géant informatique américain. Et d’ajouter : « nous voyons des pirates utiliser l’usurpation de nom de domaine pour usurper l’identité des e-mails comme s’ils provenaient de marques ou de collègues connus comme des méthodes efficaces pour amener les utilisateurs à cliquer sur les e-mails ouverts. » Mais l’une des techniques les plus impressionnantes consiste à influencer les résultats de recherche de Google en canalisant le trafic de sites légitimes vers les sites des cybercriminels. Les sites web ciblés montent dans les résultats de Google pour certains termes très spécifiques. Et comme dans les moteurs de recherches, les internautes ont tendance à « cliquer » dans les premiers liens, les victimes qui cliquent sur ce lien dans google se retrouvent sur un site web contrôlé par des pirates et arrivent directement sur la page de phishing. Une autre arnaque est signalée par le site Futura Tech. Cette « autre méthode payante repose sur la création de pages introuvables affichant l’erreur 404. Ce procédé permet aux cybercriminels de passer outre les systèmes de détection de phishing », précise ce site. Dès que c’est l’utilisateur clique sur le lien, celui-ci est redirigé automatiquement vers le piège. Attention aux mots de passe La troisième menace est plus connue. Elle consiste à tromper les utilisateurs via des mails, à faire croire à l’utilisateur qu’il est sur un vrai site bancaire, d’assurance… Là, les pirates cherchent à obtenir les coordonnées et des informations bancaires de l’utilisateur. C’est à partir de ce moment que les cyberattaquants réalisent leur campagne de mail. Microsoft tire aussi la sonnette d’alarme sur les mots de passe qui représentent des failles pour les utilisateurs. « La réutilisation de mots de passe sur plusieurs services basés sur des comptes est courante », ajoute l’étude. Sur près de 30 millions d’utilisateurs et leurs mots de passe, la réutilisation et les modifications de mots de passe étaient courants pour 52 % des utilisateurs. Selon Microsoft, 30 % de ces mots de passe modifiés mais aussi tous les mots de passe réutilisés peuvent être piratés en seulement moins de « 10 suppositions » par les hackers. Microsoft assure mettre en place des parades pour lutter contre ce phénomène. Source : Le parisien
MAGECART : LE PIRATAGE POUR VOLER LES DONNÉES BANCAIRES
Des experts en sécurité d’IBM ont découvert une nouvelle méthode de piratage pour récupérer les coordonnées bancaires des utilisateurs de sites marchands. Cette fois, il ne s’agit plus de piéger avec des faux formulaires, mais d’infecter le routeur par lequel les données transitent. Un groupe de chercheurs en sécurité chez IBM viennent de faire une trouvaille peu commune : des fichiers test d’une attaque réseau d’un nouveau genre. Dans une enquête publiée récemment, ils détaillent une nouvelle variante d’une attaque qui vise à injecter du code malveillant dans les pages web des internautes. Cette découverte a été classée sous le nom de Magecart, un ensemble d’outils utilisant l’injection de code pour voler les informations de carte bancaire et actuellement utilisé par une douzaine de groupes. Les chercheurs ont détecté cette variante grâce à l’historique du site VirusTotal, un outil d’analyse de virus en ligne. Ils pensent que le groupe de hackers, surnommé Magecart 5, a voulu s’assurer que leur code ne serait pas détecté par les logiciels antivirus. Les réseaux publics vulnérables aux attaques La particularité de cette nouvelle attaque est d’infecter non pas le site web, mais le routeur auquel les victimes se connectent. Cela nécessite un routeur professionnel qui prend en charge le protocole de couche 7, comme ceux utilisés dans les hôtels, centre commerciaux, aéroports et la plupart des réseaux publics. Ces routeurs sont capables de rediriger le trafic réseau et de modifier le contenu des pages visitées comme, par exemple, pour afficher une page de connexion. Les scripts trouvés par les chercheurs avaient pour fonction d’injecter du code dans des fichiers JavaScript légitimes afin de récupérer les données de carte bancaire saisies sur les sites marchands, puis de les envoyer vers un serveur externe. Implantés sur un routeur plutôt que dans un site web, ils seraient beaucoup plus difficiles à détecter. Ces fichiers ont été testés sur VirusTotal au mois d’avril, mais les chercheurs n’ont pas encore eu connaissance d’un cas de routeur compromis pour l’instant. Source : Futura Sciences
EBICS 3.0 A LA CONQUÊTE DE L’EUROPE
Eléments de contexte EBICS Le protocole EBICS, qui permet des échanges Banques/Entreprises sécurisés, est né en Allemagne en 2006. Il a ensuite été adopté par la France, à partir de 2012, en remplacement du protocole ETEBAC devenu obsolète avec l’arrivée des formats SEPA. Toutefois, les versions du protocole n’ont pas suivi les mêmes évolutions en France et en Allemagne. La France utilise aujourd’hui une version 2.4.2 du protocole EBICS, et l’Allemagne une version 2.5. A partir de 2015, la Suisse a commencé à utiliser le protocole EBICS, dans la version Allemande, tandis que le Portugal débutait sur EBICS dans la version Française. La volonté affichée d’exporter l’utilisation du protocole EBICS dans le reste de l’Europe nécessitait donc d’harmoniser l’utilisation d’EBICS, et d’offrir un nouveau standard. Ainsi naquit EBICS 3.0. Nouveau standard EBICS 3.0 EBICS 3.0 définit un nouveau standard commun à l’Allemagne, la France et la Suisse. Ce nouveau protocole est entré en service à partir de Novembre 2018. Dès lors il est donc devenu possible d’adresser les banques compatibles dans ces trois pays avec un unique logiciel de communication bancaire, en suivant un paramétrage ainsi qu’une procédure de mise en service identique. A ce jour, il n’existe aucune obligation de migration, les banques françaises continuent de maintenir les deux versions du protocole : 2.4.2 et 3.0. L’adoption de ce protocole unifié par tous les pays utilisateurs va permettre de faciliter les évolutions futures du protocole, et son potentiel d’exportation à travers toute la zone SEPA. Et la signature mobile ? Le protocole EBICS 3.0 supporte la signature disjointe, c’est-à-dire que la signature pourra être opérée après l’émission du fichier. La signature disjointe pourra devenir à terme le support d’une signature mobile des fichiers envoyés. Le principal obstacle technique reste la dématérialisation des certificats x509, aujourd’hui porté en France par des « Tokens de signature ». Cette dématérialisation est un chantier en cours et des évolutions significatives pourraient arriver rapidement. Les principales évolutions Le BTF Le BTF, pour « Business Transaction Format », définit le sens de la communication ainsi que le format des fichiers échangés grâce à une structure normalisée et précise. Il remplace le couple « OrderType » (sens) et « FileFormat » (format des fichiers échangés) utilisé dans la version 2.4.2 du protocole utilisé actuellement en France, ou les « OrderTypes » utilisés dans la version allemande du protocole. Le BTF permet également de préciser les types de traitements souhaités, et d’utiliser des formats spécifiques non normalisés. Sous la réserve d’un accord bilatéral, il devrait permettre de continuer à supporter le mode « TEST » en production, aujourd’hui largement utilisé en France. Le BTF fournit aussi un containeur permettant d’encapsuler le transfert de plusieurs fichiers au sein d’une structure XML ou d’une archive ZIP. Enrôlement Afin de faciliter la phase d’enrôlement des certificats, la version 3.0 permet à un utilisateur, disposant d’un certificat de signature X509 délivré par une autorité de confiance reconnue, d’enrôler ses trois certificats (authentification, chiffrement et signature) en une seule commande H3K sans nécessité de transmettre des lettres d’initialisation. Compte-rendus protocolaires Un nouveau type de message EBICS (HAC) facilite la récupération de l’ensemble des comptes rendus de transferts associés à un contrat. Les comptes rendus sont au format PSR ISO-20022. Informations clients et utilisateurs Les commandes HKD et HTD qui permettent d’interroger les accréditations contractuelles du client ou des utilisateurs, utilise désormais les BTF pour décrire les transferts. Certificats X509 Pour la gestion des bi-clés cryptographiques, l’utilisation des certificats X509 devient standard comme c’était déjà le cas en France. Schéma XSD Le schéma XSD applicable passe de la version H003 à la version H005. Méthode de signature L’usage de la signature A006, basée sur la méthode EMSA-PSS recommandée par l’ANSSI, devient possible en France en complément de la version A005 basée sur la méthode EMSA-PKCS1-v1_5 actuellement utilisée. Ce qu’il faut retenir Le protocole EBICS évolue vers la norme 3.0 afin de proposer un standard unique pour tous les pays utilisateurs. Ce nouveau protocole unifié facilite les évolutions futures, et devient une base solide pour son exportation à travers toute la zone SEPA. En France, nous pouvons également applaudir l’adoption de l’option d’une signature disjointe, ce qui permettra demain d’opérer la signature EBICS T/S de ses règlements depuis son smartphone. Contactez nos experts
LES GENDARMES INVITENT LES CHEFS D’ENTREPRISE POUR PARLER DE SÉCURITÉ
Pour la première fois en Essonne, les gendarmes ont invité les chefs d’entreprise à une grande réunion autour de la sécurité. Au programme, des conseils pour éviter notamment d’être piégés par de faux documents des fraudeurs, ou de se mettre hors-la-loi. L’amphithéâtre de la faculté des métiers d’Evry accueillait un public un peu plus âgé qu’à l’accoutumée, mais pas moins studieux. Ce mardi, durant toute la matinée, une cinquantaine de chefs d’entreprise du département ont assisté à une réunion organisée par la gendarmerie. « On veut les conseiller et les alerter sur les risques qu’ils peuvent rencontrer au quotidien, on n’est pas dans le haut du spectre sur l’espionnage », indique la colonelle Karine Lejeune, qui a mis en place cette grande première dans l’Essonne. Deuxième objectif de cette « matinale », que chaque gérant identifie le référent sécurité de la brigade la plus proche de sa société. « Une prise de contact ultérieure leur permettra de bénéficier d’un diagnostic sur-mesure par rapport à leurs problématiques », reprend la commandante des 750 militaires répartis dans le département. Des conseils anti-intrusion Plusieurs intervenants se sont succédé, afin de distiller des conseils de protection. « Les risques d’intrusion peuvent être réduits avec un peu de bon sens, annonce le Lieutenant-Colonel Oheix. Hausser les grillages si un poste électrique ou un arbre permet de grimper sur la clôture. » Ce spécialiste préconise aussi de faire porter aux visiteurs ou aux prestataires extérieurs un casque, un badge ou une veste pour le différencier des autres. Plusieurs star-up, mais aussi des entreprises du CAC-40 ont été victimes de « fraude au président », grâce à ces détails obtenus sur l’entreprise : un homme parvient à se faire passer pour un chef et à obtenir un virement d’argent important. Attention à la fraude aux faux documents Mais les risques existent aussi en matière numérique. Les gendarmes déconseillent de mettre en ligne l’organigramme complet de la société, ou d’avoir une signature de mail trop détaillée. « Et il convient de former les salariés, car la principale faiblesse est humaine, certains peuvent cliquer sur des mails dangereux qui peuvent introduire un logiciel ou un virus dans votre entreprise », souligne le Lieutenant-colonel. Au ministère des Finances, après une formation dédiée aux 150 000 fonctionnaires, un courriel « test » leur a été envoyé, indiquant qu’une place gratuite au cinéma était offerte par… Mary Poppins. 30 000 d’entre eux ont cliqué sur le lien. Des explications sur les nouvelles lois portant sur la protection des données ont aussi permis aux chefs d’entreprise de cerner au mieux les méthodes pour rester dans la légalité. Rachida Belliard, correspondante dédiée à la défense, a alerté les gérants sur les impératifs liés aux ressources humaines. « C’est à vous de détecter les faux sur le CV, les notes de frais, ou les fraudes chez vos sous-traitants », appuie-t-elle en invitant chacun à bien rédiger son règlement intérieur. La détection de faux documents a aussi été abordée, notamment pour des demandeurs d’emploi. Exemples à l’appui de récépissés, titres de séjour, plusieurs entrepreneurs se sont fait piéger. « N’hésitez pas à vérifier leur conformité avec nous, souligne l’adjudant Rivière. Vous n’êtes pas en mesure de détecter les faussaires. » « JE SAURAI VÉRIFIER LES PAPIERS DES INTÉRIMAIRES » L’entreprise d’Abdelmajid Hioui, chef de projet chez Unicom, compte une vingtaine de salariés. Basée à Evry-Courcouronnes, elle est spécialisée dans l’installation de câbles pour la téléphonie. Ce gérant a participé ce mardi à la première réunion sur les risques et la sécurité en entreprise en Essonne. « J’étais curieux et j’en ressors avec beaucoup d’information, confie-t-il. Tous les sujets abordés nous concernent et étaient très imagés. Cela va nous permettre de les mettre en place dans notre société. Je saurai aussi comment vérifier les documents et les papiers d’intérimaires à l’avenir. S’il le faut je les enverrai aux gendarmes. On se doit d’être vigilants, car on n’a pas de service dédié dans une petite entreprise, du coup c’est le chef qui fait tout. Et j’ai parfois eu des doutes sur l’authenticité de certains… En cas de contrôle cela aurait pu me retomber dessus. » Avec le risque par exemple de se faire épingler pour travail illégal. Source : Le Parisien par Florian Loisy
LA DOUBLE ADMINISTRATION : LA SÉPARATION DES TÂCHES DANS L’ADMINISTRATION DE SON LOGICIEL
La sécurisation du processus de gestion dans l’entreprise passe par la séparation des tâches. Une séparation généralement appliquée uniquement à la gestion courante et pourtant, il faut l’envisager au-delà de ce périmètre en l’étendant à l’administration du logiciel de gestion. Comment et pour quelles raisons ? Notre expert Sylvain KAM vous en donne tous les détails. La séparation des tâches et l’administration Aujourd’hui, la séparation des tâches prévaut pour les tâches de gestion courantes comme la création ou la modification des fournisseurs, l’émission de règlements ou le suivi des factures. On parle beaucoup plus rarement de séparation des tâches dans l’administration de son logiciel de gestion, que ce soit pour la création d’utilisateurs, la modification de permissions, ou pour toute autre modification de paramétrage. Pourtant, c’est ici aussi que se joue une part importante de la sécurité de ses processus de gestion. La complexité du choix d’un administrateur tout puissant Dans la majorité des applications de gestion, il est possible de gérer finement les permissions de chaque utilisateur. Mais cela suppose un profil administrateur en charge de l’attribution ou de la modification de ces droits. Un profil qui, de facto, a la possibilité de s’accorder à lui-même l’ensemble des permissions sur le logiciel. Le choix de la personne, ou des personnes, à qui attribuer ce profil est donc toujours une question cruciale et difficile. Doit-on plutôt déléguer ce profil au service informatique ? Très disponible mais ne comprenant pas tous les enjeux fonctionnels de l’ouverture de tel ou tel droit. Ou à un responsable hiérarchique ? Qui lui n’aura sans doute pas la disponibilité nécessaire. En qui placer une confiance absolue ? Un choix délicat qui ne doit idéalement pas reposer sur une seule tête. Ces questions se posent de manière encore plus péremptoire dans une application comme Mata I/O Bank Suite, dont l’une des principales fonctionnalités est le contrôle et la sécurisation de la chaine de règlement de l’entreprise. Ne pas faire de la double-administration un casse-tête La double-administration c’est l’obligation d’associer au moins deux utilisateurs à toutes les tâches d’administration logicielle. Elle permet donc de déléguer des tâches de paramétrage tout en assurant la sécurité, car un utilisateur aura besoin de l’aval de l’autre, pour effectuer des modifications de paramétrage. Le défi de ce mode de gestion des permissions utilisateurs, est de conserver un système simple et souple. Il ne faut pas, par exemple, qu’un utilisateur ait à se déplacer, ou communiquer des codes par téléphone, ou e-mail. Exemple : Laure a besoin de paramétrer un nouveau chemin de dépôt des fichiers de règlement sur le réseau. Elle est en double-administration avec Martin pour tout ce concerne le paramétrage du logiciel. Dans un système de double administration classique, Laure va devoir joindre Martin, très peu disponible, pour lui expliquer son besoin. Quant à Martin, dès lors qu’il sera informé, il va devoir se déplacer chez Laure pour taper son mot de passe dans une seconde étape d’authentification. Beaucoup de temps et d’efforts pour un paramétrage assez simple et banal, somme toute. La suite Mata I/O Bank Suite prend en considération ces éventualités et permet d’éviter toute perte de temps inutile. La double-administration dans Mata I/O Bank Suite La double-administration a fait son apparition dans Mata I/O Bank Suite 5.6, c’est une option facultative pour chaque paramétrage sensible de l’application. Elle est souple car elle inclut des notifications e-mail automatisées et la possibilité d’accorder l’accès à distance. En reprenant l’exemple précédent : Laure tente d’accéder au paramétrage des chemins de dépôt des fichiers. Ce paramétrage nécessite que l’accès de Laure soit confirmé par Martin. Lorsque Laure va vouloir accéder à la fonction, Mata I/O va lui afficher un message lui proposant de créer automatiquement une demande d’accès, en exigeant un motif qui sera conservé. Suite à la création de cette demande, un e-mail est automatiquement envoyé à Martin l’invitant à prendre connaissance et à valider la demande d’accès de Laure. Martin a jusqu’à 24h pour valider cette demande. Il peut le faire directement depuis son poste, par exemple dans la version Web de Mata I/O. Dès lors, Laure sera à son tour notifiée du retour de Martin et pourra accéder à la fonction. Une administration sûre qui vous garantit la séparation des tâches tout en conservant l’efficacité et la souplesse nécessaire au bon fonctionnement des services.
ALLIANZ – SE PROTÉGER DES CYBERATTAQUES : UN ENJEU VITAL POUR LES ENTREPRISES
Les cyberattaques deviennent de plus en plus complexes avec des répercussions parfois catastrophiques : atteinte à l’image, paralysie des infrastructures, conséquences économiques et financières… Devant la multiplication des attaques, les entreprises prennent conscience de ce risque stratégique, mais certaines sont encore insuffisamment préparées. Une récente étude de PWC a montré que 4.165 cyberattaques ont été détectées en France pour un montant moyen de pertes financières estimé à 1,5 million d’euros. Les principaux cyber risques en entreprise La motivation des cyber attaquants n’est pas seulement financière. Hacker, cracker, militant, fraudeur externe ou interne, espion… Les profils des malfaiteurs sont multiples et les intentions variées. Déstabilisation Prise de contrôle du système d’information, divulgation de données, défiguration de sites : les attaques de déstabilisation visent à nuire à l’image de l’entreprise. Espionnage Conduit par des groupes structurés, l’espionnage a pour but de capter de l’information stratégique. Il est par principe discret et l’entreprise peut s’en rendre compte très tardivement. Sabotage Il vise à rendre inopérant tout ou partie d’un système d’information via une attaque informatique. Il provoque une désorganisation plus ou moins coûteuse à réparer. La cyber criminalité Le « rançongiciel » (ou ransomware) introduit sur l’ordinateur de la victime un logiciel malveillant qui chiffre ses données et demande une rançon en échange du mot de passe de déchiffrement. Surtout ne jamais payer ! Autre technique, le « hameçonnage » (ou phishing) consiste à demander via un courriel d’apparence légitime, les coordonnées bancaires ou les identifiants de connexion à des services financiers, afin de dérober de l’argent… 10 règles simples pour limiter les risques d’attaque informatique Choisir des mots de passe complexes : 12 caractères (composés de majuscules, minuscules, chiffres, caractères spéciaux) sans lien avec ses noms, date de naissance… et différent pour chaque accès Mettre à jour régulièrement logiciels et système d’exploitation : navigateur, antivirus, bureautique, pare-feu Effectuer des sauvegardes fréquentes : quotidiennes de préférence ou hebdomadaires, sur des supports ou systèmes distincts de votre système d’information Se méfier du WI-FI : sécuriser l’accès au WI-FI de l’entreprise et éviter de se connecter au WI-FI public à l’extérieur, non sécurisé Séparer compte « utilisateur » et compte « administrateur » : n’ouvrir que des comptes utilisateurs aux salariés Ne pas mélanger personnel et professionnel : ne pas utiliser de clés USB ou disques durs externes personnels sur un terminal professionnel et inversement Ne jamais ouvrir les mails douteux : ne pas cliquer sur une pièce jointe, liens ou messages d’un expéditeur inconnu sans vérifier sa provenance Naviguer sur des sites officiels : privilégier la saisie de l’adresse du site dans la barre d’adresse du navigateur Rester prudent lors des déplacements : se limiter aux données nécessaires à la mission, surtout à l’étranger Être aussi prudent avec les smartphones, tablettes, objets connectés moins bien sécurisés que les ordinateurs Votre entreprise est victime d’une attaque, comment réagir ? Déconnecter les machines compromises du réseau sans les éteindre Alerter immédiatement le responsable sécurité SI ou le prestataire informatique disposant du label CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) Sauvegarder les fichiers importants sur des supports de données isolés Porter plainte auprès d’un service de Police ou de Gendarmerie Réinstaller entièrement le système d’exploitation et appliquer tous les correctifs de sécurité avant de le reconnecter Source : https://www.allianz.fr/assurances-professionnels-entreprises/allianz-et-moi/conseils-pratiques/cyber-risques/ Pour en savoir plus, contactez nos services
COMMENT LES CYBERATTAQUES IMPACTENT L’ACTIVITÉ DES ENTREPRISES
Phishing, malwares, « attaque au président »… 8 entreprises sur 10 ont subi des cyberattaques ces douze derniers mois, selon un sondage OpinionWay pour le Cesin. Le Cesin (Club des experts de la sécurité de l’information et du numérique) publie la 4e édition de son baromètre de la cybersécurité des entreprises en France. 174 membres, dont 84% de RSSI de grandes sociétés et administrations, ont été interrogés. Selon le sondage OpinionWay pour le Cesin, 80% des organisations ont été la cible d’une ou plusieurs cyberattaques au cours des douze derniers mois. Malgré ce taux élevé, le nombre d’attaques est resté stable par rapport à l’an dernier pour une majorité (53%). En revanche, la proportion d’entreprises déclarant un impact négatif sur leur activité a augmenté de 10 points à 59%. Le ralentissement de la production (pour 26% des organisations visées) et l’indisponibilité temporaire d’un site web (23%) sont les effets des cyberattaques sur « le business » les plus souvent cités. Les retards de livraison (12%), la perte de chiffre d’affaires (11%) et l’arrêt de la prodution « pendant une période significative » (9%) arrivent ensuite. HARPONNAGE ET INGÉNIERIE SOCIALE Les entreprises visées ont été la cible de cinq types différents d’attaques en moyenne en douze mois. Le phishing (hameçonnage) ou spear phishing (harponnage) est le type d’attaque le plus souvent constaté (73%). Les cyber-escrocs utilisent donc encore largement l’email ou tout site web contrefait pour obtenir et détourner des données personnelles à l’insu d’individus et de corporations. Les escrocs peuvent également cibler spécifiquement des personnes dans l’entreprise et se faire passer pour un dirigeant afin d’obtenir un virement bancaire. Cette « arnaque au président » est citée par 50% du panel. Elle devance ainsi les attaques par logiciels malveillants (malwares) et rançongiciels (ransomwares) (44% des reponses respectivement). Suivent les techniques d’ingénierie sociale utilisées pour tromper le chaland (40%). CLOUD, IA, IOT Le partage accidentel ou intentionnel de données sensibles n’est pas le seul gros risque à gérer pour les RSSI. LeShadow IT l’est aussi. Ainsi, les professionnels de la sécurité des systèmes d’information s’inquiètent également de la diffusion de services cloud hors contrôle de l’IT et de l’utilisation d’applications non approuvées (64%). En outre, 80% des RSSI estiment que la sécurisation des données stockées dans le cloud requiert des solutions spécifiques en plus des outils fournis par des prestataires. Ils s’intéressent aussi aux solutions de protection ou de détection basées sur l’intelligence artificielle (IA). 56% déclarent que de telles solutions sont déjà déployées et en production. 33% envisagent de le faire. Toutefois, lorsqu’il est question de décision et de remédiation, 55% des répondants estiment que l’IA ne doit pas décider à la place de l’humain. Les RSSI qui redoutent de nouvelles failles liées à l’Internet des objets (IoT) en entreprise, veulent donc garder le contrôle. 5% DU BUDGET IT Qu’en est-il des budgets alloués pour gérer le risque ? Dans 59% des entreprises interrogées, la sécurité représente moins de 5% du budget IT. Toutefois, près de 6 organisations sur 10 prévoient d’augmenter les budgets alloués à la protection des cyber risques dans les mois à venir. Par ailleurs, 84% des entreprises souhaitent acquérir de nouvelles solutions techniques (84%) dans ce domaine. Enfin, une entreprise sur deux envisage d’augmenter les effectifs dédiés. Mais la pénurie de profils en sécurité freine les recrutements pour 91% des répondants. Source : https://www.cesin.fr/article-cybersecurite-comment-les-cyberattaques-impactent-lactivite-des-entreprises-siliconfr.html Pour en savoir plus, contactez nos services
BERCY VEUT AIDER LES ENTREPRISES À LUTTER CONTRE LA FRAUDE AUX EMAILS PAR LE FIGARO
Pour éviter les tentatives de hameçonnage, le ministère de l’Économie et des Finances lance plusieurs outils pour sécuriser les emails envoyés par les entreprises. Parmi eux, un service de vérification des domaines de messagerie. L’année dernière, le service de sécurité des systèmes informatiques de Bercy avait envoyé un faux email frauduleux à ses agents. Le but: vérifier s’ils étaient suffisamment attentifs pour ne pas céder aux sirènes du hameçonnage, une technique de piratage informatique qui consiste à se faire passer pour une organisation ou une personne, et d’inciter un internaute à cliquer sur un lien véreux. Les résultats furent éloquents. Sur 145.000 personnes ayant reçu le message, qui promettait des places de cinéma gratuites, plus de 30.000 ont cliqué sur le lien. Une prise de conscience Les employés du ministère de l’Économie ne sont pas les seuls à se laisser avoir par ce phénomène. En 2017, une entreprise française sur trois a subi une fraude informatique avérée, d’après une étude réalisée par Euler Hermes, pour le compte de l’association nationale des Directeurs Financiers et des Contrôles de Gestion. Il s’agit souvent d’usurpations d’identité, sous la forme d’emails envoyés par des fausses banques, fournisseurs, avocats, etc… faisant peser un risque sur les données des entreprises. À l’occasion du «Cyberoctobre», la campagne annuelle du gouvernement pour le mois de la cybersécurité, Bercy fait une série d’annonces pour aider les entreprises à améliorer leurs pratiques en la matière. Parmi elles, la mise en place d’un service de vérification des domaines de messagerie, qui signale leur niveau de sécurité et donc la possibilité qu’ils soient utilisés pour des emails de contrefaçon. Chaque nom de domaine (ce qui se trouve derrière le «@» d’une adresse mail) se voit attribuer une note, de E à A++, selon plusieurs critères techniques (présence des normes de sécurité DKIM ou SPF, origine du serveur dont sont envoyés les mails, etc.). «Pour lutter contre le hameçonnage, on a appris aux internautes à être attentifs aux contenus de leurs emails. Mais on demande trop à l’utilisateur de combler les failles de sécurité de tout un système qu’il ne contrôle pas», juge Jean-Philippe Papillon, responsable de la sécurité des systèmes d’information pour le Ministère de l’Économie et des Finances, auprès du Figaro. «Il faut faire remonter la responsabilité là où il est encore possible d’améliorer les choses, au niveau des entreprises et de leurs intermédiaires.» Bercy espère ainsi une prise de conscience des entreprises afin qu’elles sécurisent davantage leur système mis en place pour envoyer des emails, à leurs employés, partenaires ou clients. Deuxième outil proposé aux entreprises: l’installation, sur le site d’une entreprise, d’un bandeau indiquant aux internautes si leur navigateur Web dispose de la mise à jour la plus récente. Il est disponible via une bibliothèque publiée sur le site Github. «Cet outil vise particulièrement les professionnels. Les particuliers pensent généralement à mettre à jour leur navigateur. C’est plus compliqué en entreprise, où les salariés n’ont souvent pas le droit de télécharger eux-mêmes la dernière version de leur navigateur», explique Jean-Philippe Papillon. «Nous voulons attirer l’attention de l’employé, et donc de son entreprise.» Source : Le Figaro
CYBERSÉCURITÉ : DES PROGRÈS À FAIRE POUR LES TPE ET PME PAR CHEF D’ENTREPRISE
L’enquête de la CPME sur la cybersécurité des TPE et PME, présentée au Forum International de la Sécurité le 22 janvier 2019, montre que toutes les mesures ne sont pas encore prises pour contrer le risque d’attaque informatique. La CPME (Confédération des Petites et Moyennes Entreprises) continue de s’impliquer sur la nécessaire évolution digitale. Ainsi, pour la deuxième année consécutive, François Asselin, président de la CPME, a conduit au CES de Las Vegas une délégation d’une centaine de TPE, PME et start-up. C’est dans ce contexte, avec ses partenaires tels que la chambre professionnelle des TPE-PME du numérique, le club de la sécurité de l’informatique français et d’autres, que l’organisation a mené une enquête* sur la sensibilité, l’intérêt et les actions des TPE-PME en matière de cybersécurité, auprès de 374 dirigeants d’entreprise. Les graphiques ci-dessous sont issus de l’enquête et permettent de faire le point sur la protection utilisée par les entreprises pour se protéger. Installation d’une protection (antivirus, firewall, solution anti-spam) La solution anti-spam est peu utilisée par les entreprises. 55% d’entre elles en disposent pour leurs ordinateurs de bureau et 42% pour leur réseau. Les solutions de protection apparaissent comme relativement utilisées, notamment l’antivirus, assez répandu. Pour autant, la protection n’est pas complète, surtout en ce qui concerne le réseau d’entreprise, globalement moins protégé que les ordinateurs de bureau. Changement du mot de passe 33% des entreprises changent les mots de passe de leurs ordinateurs de bureau peu régulièrement, soit entre tous les 6 et 12 mois. Une majorité des entreprises ne modifie pas régulièrement ses mots de passe. Elles s’exposent ainsi à plus de risques d’intrusions informatiques. Près d’une sur trois ne change jamais ses mots de passe. Attaques ou tentatives d’attaque subies par les entreprises 41% des TPE interrogés ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques, soit presque autant que les PME. Il est intéressant de souligner qu’une petite partie des entreprises interrogées ne sait pas si elle a déjà été victime d’une attaque ou d’une tentative d’attaque informatique. Ces chiffres démontrent que les entreprises n’ont probablement pas suffisamment assimilé le cyber-risque. Reste que moins d’une entreprise sur deux a déjà été victime d’une ou plusieurs attaque(s) informatique(s). Mise en place de dispositifs de protection Seules 14% des TPE disposent d’une assurance contre les attaques informatiques contre 23% des PME. Si on peut dire que les salariés semblent en grande partie sensibilisés aux risques informatiques, moins d’un quart des TPE et PME disposent d’une assurance en cas de cyberattaque. Cela permet de montrer que des progrès restent à faire dans la prise en charge complète de ce type de risque, en constante augmentation. * Source : La cybersécurité des Entreprises (mois de 50 salariés), enquête CPME réalisée en partenariat avec CINOV-IT, le CLUSIF (Club de la sécurité de l’information français), membres avec la CPME du dispositif cybermalveillance.gouv.fr, l’Union-IHEDN, la Cyber task force ainsi que les associations Hexatrust et ACN (Association Confiance Numérique), Janvier 2019.
COMMENT FONCTIONNE LE PROTOCOLE EBICS TS ?
EBICS facilite et sécurise le transfert des flux financiers. Pour lutter contre les fraudes, EBICS a évolué vers EBICS TS, le mode de communication sécurisé entre la banque et l’entreprise le plus efficace en France. SYLVAIN KAM, EXPERT EN SÉCURISATION DES FLUX FINANCIERS CHEZ MATA, FAIT LE POINT SUR LE PROTOCOLE EBICS TS. Un peu d’histoire L’Electronic Banking Internet Communication Standard, est né de l’équivalent allemand du Comité français d’organisation et de normalisation bancaires, le ZKA (Zentraler Kreditausschuss). La naissance du protocole EBICS, qui permet d’échanger des fichiers avec la banque de manière sécurisée, est venue bousculer les habitudes françaises puisqu’il a remplacé ETEBAC qui datait des années 80, qu’il n’était pas compatible avec les nouveaux formats utilisés par les moyens de paiement (SEPA) et s’appuyait sur des technologies obsolètes (modems, réseau RNIS, …). L’EBICS EBICS est un protocole d’échanges Banque/Entreprises fonctionnant sous IP, et utilisant le réseau internet pour véhiculer les fichiers. Il permet d’échanger tous types de fichiers sans limite de volume. Il supporte les moyens de paiement SEPA et offre la possibilité d’automatiser l’envoi des règlements ou la récupération des relevés. Les échanges se font au travers de messages XML. EBICS est un protocole multi-bancaire, sécurisé par cryptographie AES ou RSA, qui place toujours l’entreprise comme émettrice de la communication. L’évolution d’EBICS T, EBICS TS, est apparu rapidement pour remplacer l’ancien protocole ETEBAC 5 en offrant la possibilité d’apposer une signature électronique à ses fichiers de règlements. T = Signature de transport uniquement. Une signature de confirmation disjointe, par Fax ou Web Banking, est nécessaire pour confirmer les ordres. TS = La signature électronique des fondés de pouvoir est jointe aux règlements. Dans le souci de renforcer la sécurité des échanges par EBICS, les banques ont progressivement abandonné la possibilité de la confirmation par Fax à partir du 1er janvier 2017. Le choix d’EBICS T/S s’est alors imposé dans les échanges télématiques. Le token permet de sécuriser la signature En EBICS TS la signature est donc intégrée, elle se fait à partir d’un support physique externe qui contient un certificat numérique : le Token de signature. Il existe plusieurs autorités de certification à même de délivrer des tokens de signature : Swift 3SKey, Certeurope, Keyneticks, ClicNTrust… L’entreprise utilisatrice acquiert ces tokens, auprès d’une de ses banques. Les tokens de signature sont nominatifs, déclarés contractuellement à la banque et de ce fait, les règlements signés électroniquement sont non répudiables et exécutables de suite. Les tokens de signature sont utilisables pour l’ensemble des contrats EBICS T/S de l’entreprise avec ses différents partenaires bancaires. EBICS TS EST INFAILLIBLE ? EBICS est très fiable. Il est véhiculé par le protocole HTTPS, qui assure le chiffrement de la liaison. Mais il s’appuie également sur des certificats permettant l’authentification réciproque des parties, ainsi que le chiffrement des messages XML. Encore faut-il être certain du contenu des fichiers qui sont envoyés par EBICS. Il revient à l’entreprise de mettre en place tous les moyens de contrôle nécessaires pour s’assurer de la fiabilité des comptes payés, avec une offre comme Mata I/O Sécurité. LES DIFFÉRENTS CERTIFICATS UTILISÉS PAR EBICS Le protocole EBICS utilise différents certificats électroniques pour sécuriser les échanges. Côté banque : Un certificat de chiffrement : il contient la clé de chiffrements des fichiers Un certificat d’authentification : il permet de signer les messages XML et de s’assurer de la non altération du contenu du fichier lors de l’échange. Côté entreprise : Un certificat de chiffrement Un certificat d’authentification Un certificat de signature de transport : Il permet l’authentification de l’émetteur Dans le cadre d’EBICS T/S, des certificats de signature portés par les tokens : ils permettent de signer électroniquement les fichiers envoyés en véhiculant d’identité des signataires COMMENT CELA FONCTIONNE CONCRÈTEMENT ? Exemple d’un flux de réception d’un extrait de compte La société initie une communication EBICS et demande à la banque l’extrait de compte, La banque répond par un message XML, A réception, le message est décrypté par le logiciel de communication bancaire de l’entreprise et la banque émettrice est identifiée, Le calcul de l’empreinte du fichier permet de vérifier la fiabilité du document reçu, Le document est mis à disposition. Exemple d’un flux de paiement On crée le fichier de règlement – ici le point d’attention c’est la vulnérabilité du fichier ainsi que la fiabilité des comptes payés. Il est ensuite intégré dans le logiciel de communication bancaire, Selon le cas, un Email a été envoyé précédemment aux fondés de pouvoir pour les avertir de la nécessité de signer le fichier, En EBICS TS, il est soumis à signature électronique par Token. La signature peut être simple, ou conjointe, suivant des règles définies et des plafonds de signature fixés contractuellement; Les fichiers sont transmis à la banque, La banque reçoit le message. Au moment du traitement elle s’assure de l’identification de l’émetteur ainsi que l’intégrité du fichier reçu. QUELS SONT LES AVANTAGES INDÉNIABLES DE CETTE SOLUTION ? Le protocole EBICS dispose de nombreuses qualités : Protocole simple à mettre en œuvre, sûr, les échanges se font sur internet, sans ligne spécialisée. Les échanges sont gratuits, EBICS nécessite un abonnent sans coût additionnel à la communication. Le coût global d’EBICS est inférieur au protocole SWIFT. Il permet d’automatiser les échanges bancaires. Les fichiers sont transmis à la banque, La relation bancaire est 100% numérique. La maîtrise du déploiement du protocole EBICS par MATA est complète, une expertise qui permet de garantir le niveau de sécurité attendu, mais aussi de sécuriser vos données en amont, c’est-à-dire avant la signature électronique & les transmissions des fichiers. MATA IO SECURE-E-LINK permet la vérification des IBAN notamment, évitant ainsi tout risque d’altération des fichiers AVANT l’entrée dans le logiciel de communication. Une solution complète dédiée aux entreprises !