Archives de catégories : Solutions

Audit de reconnaissance – Quelles informations sur votre entreprise peuvent être trouvées sur internet ?

« Tout le succès d’une opération réside dans sa préparation », Sun Tzu. Déjà vraie au VIe siècle av J-C, cette maxime l’est toujours au XXIe siècle. Et les pirates informatiques l’ont bien intégrée à leur stratégie.

Avant de lancer leur attaque, ils vont ainsi répertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation numérique apporte des avantages à une organisation, mais elle rend également de nombreuses informations visibles depuis l’extérieur à qui sait où chercher, ou même simplement regarder. Ces informations aident ensuite les personnes mal intentionnées à adapter leurs attaques à la cible.

Heureusement, cette situation n’est pas une fatalité. Chaque entreprise peut cartographier son empreinte numérique, pour ensuite contrôler et limiter les informations visibles.

Lire la suite

RGPD : comment se protéger contre le piratage de données ?

Le RGPD est le buzzword du moment. On ne compte plus les articles détaillant-décryptant-conseillant les nouvelles obligations légales. Nous avons remarqué cependant que les articles restent généralistes sur les nouvelles attentes sécurité. Voici donc un article dédié aux aspects sécurité du RGPD.

 

Que demande le RGPD en matière de sécurité ?

Le RGPD (Règlement Général sur la Protection des Données) établit très clairement la sécurité des données à caractère personnel comme l’un de ses principes généraux. Le « Privacy by design and by default » impose ainsi que les données à caractère personnel soient protégées dès la conception, et dans les paramétrages par défaut, d’un produit, d’un service. Ce Privacy by design and default s’applique aux échanges de données entre une entreprise et ses clients comme ses fournisseurs. Les données doivent être protégées d’une mauvaise utilisation (erreur humaine ou logicielle) comme d’un piratage (Art. 5 ; Art. 25).

 

L’article 32 du RGPD « Sécurité du traitement » précise les principales exigences de sécurité :

  • « Garantir la confidentialité, intégrité, disponibilité et la résilience constantes des systèmes et services de traitement ; »
  • « Permettre de rétablir la disponibilité et l’accès aux données à caractère personnel dans les délais appropriés en cas d’incidents physique ou technique ; »
  • Disposer d’une « procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »

 

Lire la suite

Comment évaluer les risques d’une faille de sécurité ?

A la suite d’un audit de sécurité, d’un pentest, des vulnérabilités vous ont été signalées. Faille critique, importante, moyenne : savez-vous comment cela est établi ? Nous vous détaillons notre méthodologie, basée sur celle de OWASP*, pour estimer la sévérité des risques d’une vulnérabilité.

 

1/ Qu’est-ce qu’est le niveau de criticité ?

Les failles techniques ou logiques sont évaluées selon leur gravité et leurs conséquences potentielles. Des critères clairs et précis -détaillés ci-dessous- permettent d’estimer objectivement la criticité des vulnérabilités trouvées. La transparence des critères et donc de l’évaluation renforce la confiance entre les équipes sécurité, développement et managériales. Cela permet ensuite de prioriser les corrections.

Concrètement, un niveau de criticité est attribué à chaque vulnérabilité détectée : faible, moyenne, importante ou critique.
Le niveau de criticité comprend les aspects de probabilité d’exploitation d’une part, et d’impact potentiel d’autre part. Une fois ces deux éléments quantifiés avec un score, l’évaluation finale de la criticité de la vulnérabilité sera établie.

 

2/ La probabilité d’exploitation

Elle correspond aux possibilités que la vulnérabilité soit effectivement trouvée et « utilisée ». L’exploitation de la faille peut être volontaire (attaque d’une personne malveillante) ou non (incident lié à une utilisation particulière de la plateforme, par une personne physique ou un outil automatisé)

La première étape est donc d’évaluer cet acteur, ce potentiel attaquant :

  • Quelles sont ses compétences ?
  • Quelles sont ses motivations -c’est-à-dire, ses bénéfices espérés- ?
  • Possède-t-il ou peut-il obtenir les ressources nécessaires (compte utilisateurs, droits particuliers, apport financier …) ?
  • Quel est son lien avec sa cible (attaquant externe anonyme, utilisateur authentifié, attaquant interne, partenaire …) ?

Ensuite, la vulnérabilité elle-même est à considérer :

  • Est-elle facile à découvrir ?
  • Ou bien facile à exploiter ?
  • Est-elle de nature connue ou spécifique ?
  • Quels mécanismes en place peuvent potentiellement permettre d’identifier l’attaquant ?

Lire la suite

Phishing : comment identifier les emails suspects ?

Le phishing a beaucoup évolué. Alors que l’email frauduleux était auparavant facilement repéré par ses nombreuses fautes d’orthographe et par les demandes ou menaces exagérées (versement immédiat d’argent, compte intégralement effacé…), il reprend aujourd’hui les codes d’organismes de confiance. De plus, le phishing implique désormais des demandes personnalisées ou des interlocuteurs connus de la personne attaquée (responsables hiérarchiques par exemple), ce qui le rend difficile à détecter.
Comment identifier et se protéger de ces emails élaborés ?

Le phishing consiste à interagir avec des emails piégés. Il s’agit de la méthode la plus couramment utilisée pour l’ingénierie sociale, une branche de la cyber-criminalité.
L’ingénierie sociale cible le comportement humain. Elle a pour but d’amener un utilisateur à dévoiler des informations confidentielles et à réaliser des actions néfastes pour soi-même ou pour un organisme auquel il appartient.

Nous verrons dans cet article comment déjouer les différents stratagèmes du phishing, qui peuvent échapper même aux utilisateurs avertis et vigilants.

 

Comment détecter un mail malveillant ?

  1. L’objet et le contenu

Soyez vigilant aux objets qui poussent facilement au clic : informations tapageuses, promotions exceptionnelles, invitation à gagner ceci ou cela, besoin d’aide urgent, ou encore problème sur votre compte bancaire…
S’ils ne sont pas une mauvaise publicité ou une newsletter, il est fort probable qu’ils soient une tentative de vous faire cliquer rapidement.

Plus que l’objet, c’est le corps de l’email qui va généralement révéler les intentions douteuses de son auteur. Sans prendre en compte l’émetteur (nous analyserons la source plus tard), certains contenus devront attirer votre attention. Il s’agit de ceux qui nous demandent des informations et/ou documents personnels ou confidentiels, ou bien ceux qui demandent (explicitement ou non) de réaliser des actions particulières et souvent inhabituelles.
Prenons pour exemple :
– Effectuer une transaction financière
– Donner ses identifiants de connexions, dont le mot de passe
– Transmettre un document officiel (pièce d’identité, fiche de paie…)
– Ouvrir une pièce jointe
– Suivre un lien
– Réaliser une action après avoir suivi le lien (se connecter, remplir un formulaire, télécharger un document…)

Les prétextes peuvent être nombreux et certains semblent suffisamment légitimes pour que l’action soit réalisée sans se poser de question. Certains prétextes peuvent également jouer sur des sentiments et émotions afin de duper la raison.
Méfiez-vous particulièrement des prétextes des types suivants :
– Technique et sécurité (« Mettez à jour votre mot de passe ici » – « suite à une mise à jour, merci de vous reconnecter en suivant ce lien pour confirmer votre compte » – « Suite à une cyber-attaque, vérifiez que votre mot de passe n’a pas été dérobé en entrant vos identifiants ici» – « Votre compte va être suspendu pour inactivité. Pour garder votre compte actif, connectez-vous ici » …)
– Aguicheur et commercial (« Gagnez un smartphone gratuitement en remplissant notre formulaire » – « L’incroyable découverte d’une baleine qui donnait des cours de mathématiques à l’université Paris 3. Installez notre application pour lire l’article » – « Promotion spéciale pour les premiers inscrits » …)
– Procédure inhabituelle (« Peux-tu m’envoyer ma fiche de paie par mail stp, ma connexion à l’intranet ne fonctionne pas » – « J’aurais besoin que tu règles rapidement cette facture, M. Dupont est absent et ne peut pas le faire »…)

Lire la suite