Audit de reconnaissance – Quelles informations sur votre entreprise peuvent être trouvées sur internet ?

« Tout le succès d’une opération réside dans sa préparation », Sun Tzu. Déjà vraie au VIe siècle av J-C, cette maxime l’est toujours au XXIe siècle. Et les pirates informatiques l’ont bien intégrée à leur stratégie.

Avant de lancer leur attaque, ils vont ainsi répertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation numérique apporte des avantages à une organisation, mais elle rend également de nombreuses informations visibles depuis l’extérieur à qui sait où chercher, ou même simplement regarder. Ces informations aident ensuite les personnes mal intentionnées à adapter leurs attaques à la cible.

Heureusement, cette situation n’est pas une fatalité. Chaque entreprise peut cartographier son empreinte numérique, pour ensuite contrôler et limiter les informations visibles.

Lire la suite

Statistiques 2017 sur les attaques web, mobile, fuite de données…

Statistiques

 

 

Les cyberattaques ont régulièrement fait les titres des médias en 2017. Cela continue en 2018, des Jeux olympiques aux attaques record DDoS (pour ceux qui ont raté l’information : attaque memcached, en anglais). L’impression diffuse est qu’il y a de plus en plus de cyberattaques, et de plus en plus importantes. Mais concrètement, quelle est la situation actuelle ?

Nous avons regroupé des statistiques intéressantes de 2017 liées à la cybersécurité, en nous concentrant sur les données liées à notre spécialité : les tests d’intrusions sur les plateformes web, les applications mobiles et les objets connectés.

 

En un coup d’œil

Deux points majeurs sont à souligner :

  • 77 % des organisations dans le monde ont été victimes d’une (ou plus) cyberattaque réussie durant l’année 2017. (1)
  • En moyenne, les attaques sont détectées après plus de 6 mois (191 jours !) et corrigées en plus de deux mois (66 jours). (2)

Lire la suite

RGPD : comment se protéger contre le piratage de données ?

Le RGPD est le buzzword du moment. On ne compte plus les articles détaillant-décryptant-conseillant les nouvelles obligations légales. Nous avons remarqué cependant que les articles restent généralistes sur les nouvelles attentes sécurité. Voici donc un article dédié aux aspects sécurité du RGPD.

 

Que demande le RGPD en matière de sécurité ?

Le RGPD (Règlement Général sur la Protection des Données) établit très clairement la sécurité des données à caractère personnel comme l’un de ses principes généraux. Le « Privacy by design and by default » impose ainsi que les données à caractère personnel soient protégées dès la conception, et dans les paramétrages par défaut, d’un produit, d’un service. Ce Privacy by design and default s’applique aux échanges de données entre une entreprise et ses clients comme ses fournisseurs. Les données doivent être protégées d’une mauvaise utilisation (erreur humaine ou logicielle) comme d’un piratage (Art. 5 ; Art. 25).

 

L’article 32 du RGPD « Sécurité du traitement » précise les principales exigences de sécurité :

  • « Garantir la confidentialité, intégrité, disponibilité et la résilience constantes des systèmes et services de traitement ; »
  • « Permettre de rétablir la disponibilité et l’accès aux données à caractère personnel dans les délais appropriés en cas d’incidents physique ou technique ; »
  • Disposer d’une « procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »

 

Lire la suite

Comment évaluer les risques d’une faille de sécurité ?

A la suite d’un audit de sécurité, d’un pentest, des vulnérabilités vous ont été signalées. Faille critique, importante, moyenne : savez-vous comment cela est établi ? Nous vous détaillons notre méthodologie, basée sur celle de OWASP*, pour estimer la sévérité des risques d’une vulnérabilité.

 

1/ Qu’est-ce qu’est le niveau de criticité ?

Les failles techniques ou logiques sont évaluées selon leur gravité et leurs conséquences potentielles. Des critères clairs et précis -détaillés ci-dessous- permettent d’estimer objectivement la criticité des vulnérabilités trouvées. La transparence des critères et donc de l’évaluation renforce la confiance entre les équipes sécurité, développement et managériales. Cela permet ensuite de prioriser les corrections.

Concrètement, un niveau de criticité est attribué à chaque vulnérabilité détectée : faible, moyenne, importante ou critique.
Le niveau de criticité comprend les aspects de probabilité d’exploitation d’une part, et d’impact potentiel d’autre part. Une fois ces deux éléments quantifiés avec un score, l’évaluation finale de la criticité de la vulnérabilité sera établie.

 

2/ La probabilité d’exploitation

Elle correspond aux possibilités que la vulnérabilité soit effectivement trouvée et « utilisée ». L’exploitation de la faille peut être volontaire (attaque d’une personne malveillante) ou non (incident lié à une utilisation particulière de la plateforme, par une personne physique ou un outil automatisé)

La première étape est donc d’évaluer cet acteur, ce potentiel attaquant :

  • Quelles sont ses compétences ?
  • Quelles sont ses motivations -c’est-à-dire, ses bénéfices espérés- ?
  • Possède-t-il ou peut-il obtenir les ressources nécessaires (compte utilisateurs, droits particuliers, apport financier …) ?
  • Quel est son lien avec sa cible (attaquant externe anonyme, utilisateur authentifié, attaquant interne, partenaire …) ?

Ensuite, la vulnérabilité elle-même est à considérer :

  • Est-elle facile à découvrir ?
  • Ou bien facile à exploiter ?
  • Est-elle de nature connue ou spécifique ?
  • Quels mécanismes en place peuvent potentiellement permettre d’identifier l’attaquant ?

Lire la suite