Archives de catégorie : Cyber-sécurité

La cyber-sécurité est un domaine très spécial que les experts qualifient comme « redoutable ». Elle concerne à la fois les ordinateurs, les smartphones, les appareils connectés… tout ce petit monde sensible à la sécurité Internet.

Plus de la moitié des programmeurs ont reconnu mettre en ligne des applications vulnérables

La société de fourniture de services informatiques du monde immersive Labs a publié récemment et rapport portant le titre de : « Imperfect People, Vulnerable Applications ».

Dans son enquête qui a permis de produire le résultat contenues dans le rapport, la société avait découvert que le développeur avait tendance à publier de manière volontaire et certains nombres d’applications affectées déjà de vulnérabilité. « La grande majorité des développeurs des grandes entreprises, en particulier les cadres supérieurs, choisissent de mettre en ligne des applications qu’ils savent non sécurisées », a signifié Immersive Labs dans son rapport. « Les équipes de sécurité ont peu confiance dans le cycle de vie du développement logiciel (SDLC). Seule une minorité d’équipes de sécurité pense que leur environnement de développement d’applications pourrait résister à une attaque similaire à celle de SolarWinds », précise ledit rapport.

Cet article va aussi vous intéresser : Vous êtes vulnérables aux cyberattaques peu importe l’endroit où vous êtes

Pour arriver à cette conclusion la société a dû interrogé plusieurs développeurs d’application ainsi que plusieurs professionnels du secteur de la sécurité informatique. Au final la société a retenu que la très grande majorité avait cette manie de publier des applications vulnérables. C’est près de 81 % de développeurs qui ont admis mettre en circulation des applications qui sont facilement piratable. Et cela de manière récurrente

« Pour les développeurs interrogés en tant que groupe unique, plus de la moitié d’entre eux publient « parfois » ou « souvent » du code non sécurisé. », note le rapport.

Toujours selon les résultats de l’enquête, les professionnels qui ont plus tendance à publier des codes non sécurisés sont notamment les ingénieurs de développement senior ainsi que les chefs de DevOps sans oublier les responsables du développement. Ces failles de sécurité constituent les principales voies d’entrée des pirates informatiques et la source principale des cyberattaques à grande échelle.

D’un autre côté, selon un rapport publié par Dynatrace, la raison de cette situation pourrait s’expliquer par le fait que les responsables de sécurité de système d’information ont généralement pour inquiétude l’adaptation croissante et beaucoup plus rapide de certains outils informatiques en particulier les architectures natives du Cloud. L’étude a aussi mis en évidence les inconvénients émanant des pratiques habituelles du DevSecOps, qui a influencé directement l’approche traditionnelle de la cybersécurité des applications. Elle a observé que 89 % le responsable de sécurité de système d’information estime que les conteneurs, les micro services et les Kubernetes ont créé des angles morts qui permettent aux pirates informatiques de facilement s’engouffrer. Par ailleurs 71 % de ces personnes ont admis qu’ils n’ont pas confiance généralement qu’un code soit à 100 % invulnérables avant sa mise en production.

Par ailleurs, une enquête réalisée partout dans le monde impliquant près de 700 responsables de sécurité de système d’information a montré que 97 % des organisations ne disposent pas encore de suffisamment de visibilité sur la failles de sécurité et cela en temps réel. Ce problème de visibilité s’observe beaucoup plus dans des environnements où la production et généralement conteneurisé. De plus, 63 % des responsables des sécurités de système d’informations ont avoué que les méthodes DevOps ainsi que le développement de type agile ont rendu beaucoup plus compliqué les détections ainsi que la gestion des failles de sécurité logicielles. 74 % de ses responsables de sécurité de système des formations ont aussi signifié que les méthodes de détection des failles de sécurité habituelles à savoir les scanner de vulnérabilités, ont du mal à être adapté et s à l’univers natif du Cloud

« Les développeurs en général étaient plus susceptibles que leurs homologues de la sécurité de dire qu’ils disposent de suffisamment de temps et de ressources pour accomplir leurs tâches. Cela semble indiquer que les équipes de sécurité sont plus sollicitées par les ressources. Il y a un écart notable entre les évaluations fournies par les personnes interrogées dans des rôles supérieurs et celles des équipes de première ligne. Ceci est vrai pour les groupes de sécurité et de développeurs. Il faut s’y attendre, car les responsabilités diffèrent, mais les écarts indiquent que les personnes qui créent les applications elles-mêmes ont le niveau le plus bas d’appropriation personnelle de la sécurité, un niveau de responsabilité plus faible sécurité, ainsi qu’une mauvaise compréhension des dernières menaces pour la sécurité des applications. », précise le rapport de Immersive Labs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Renforcer sa cybersécurité à travers la conformité

Les organisations à travers le monde continuent la digitalisation de grande envergure.

La numérisation se présente aujourd’hui comme une sorte de nécessité pour améliorer les services et devenir beaucoup plus réactif sur le marché. Avec la pandémie à coronavirus, il n’a jamais été autant nécessaire de développer son infrastructure informatique. Pourtant cette numérisation ne se fait pas sans risque.

Cet article va aussi vous intéresser : Les organisations face à la cybercriminalité en 2021

« Dans le contexte de digitalisation massive, encouragée ou provoquée par les nombreuses externalités de ces derniers mois, notamment sanitaires, la conformité et la gestion des risques ne sont pas souvent l’angle par lequel les entreprises abordent leur sécurité informatique. C’est pourtant un point saillant de l’approche holistique de l’univers des risques. », souligne Cyril Amblard-Ladurantie, Responsable Marketing Produit GRC chez MEGA International.

Dans le contexte d’aujourd’hui, la sécurité informatique se place comme l’une des principales inquiétudes des dirigeants d’entreprise à travers le monde. De manière objective, les actes de cybermalveillance connaissent un taux d’accroissement effrayant. Selon le FBI on aperçoit une augmentation de 800 % de la cybercriminalité aux États-Unis. L’Agence nationale de sécurité des systèmes d’informations parle de quatre fois ce chiffre sur le territoire français. Cette situation à malheureusement conduit des centaines en entreprise vers la faillite, principalement des petites et moyennes entreprises. Les dommages causés par la cybercriminalité sont évasion à hauteur de 1 % du PIB mondial en 2020, selon le géant de la cybersécurité McAfee.

Avec le télétravail, l’augmentation de l’utilisation des objets connectés à Internet, le téléchargement régulier de contenus non autorisés ou déconseillés à partir des appareils qui ne sont pas sécurisés, la criminalité en ligne devient comme une industrie, de sorte à se doter maintenant de plusieurs moyens très sophistiqués.

Les cybercriminels dans leur lancée ont tendance à miser beaucoup plus sur la volonté des entreprises de préserver leur image ainsi que leur réputation pour se faire le maximum d’argent. On assiste alors à l’explosion des attaques aux rançongiciels, débouchant souvent sur des extorsions à n’en point finir.

Pourtant, le prix à payer pour la rançon ou encore la réputation ne sont pas les seules conséquences qui peuvent affecter une entreprise dans ce genre de circonstances. En effet, les attaques informatiques causent d’énormes dégâts à ses organisations en impactant le plus souvent à leurs productivités, sans oublier le coup de la récupération des données et de la reconstitution des systèmes souvent impacté grandement. Dans un rapport fourni par IBM en collaboration avec Ponemon Institute, rapport publié en 2020, les entreprises avaient en général 73 jours pour contenir une faille de sécurité en 2019, alors qu’il avait 207 jours pour les identifier. Ce qui donne un cycle de vie moyen de 280 jours. En dehors bien sûr de tout ce que les entreprises ont pu subir financièrement lorsqu’elles sont touchées par une cyberattaque, on peut aussi compter les amendes auxquelles elles doivent faire face de la part des régulateurs du secteur surtout lorsque des données personnelles sont exposées. Tout ceci est évalué à hauteur de 3,8 millions de dollars si nous crions les amandes. Une somme astronomique. Mais pour certaines entreprises, ces dégâts financiers peuvent aller au-delà. On prend l’exemple de Google avec ses 57 millions de dollars, le british Airways avec ces 20 millions de livres sterling, Telecom Italia avec ses 18,6 millions d’euros. Des amendes perçues à cause de violation du fameux règlement général de la protection des données, la norme européenne en vigueur en la matière. En d’autres termes, disons que les cyberattaques coûtent très chères aux organisations

« L’ensemble de cette démarche de mutualisation est loin de ne concerner que les grandes entreprises. Au contraire, même. La grande majorité des attaques informatiques a pour origine une faille chez un partenaire. Prestataires et sous-traitants, petites structures de consulting et fournisseurs sont les cibles privilégiées des cyber-assaillants. Le tiers fournit un accès inépuisable vers les grandes entreprises. », explique Cyril Amblard-Ladurantie. « Il n’est pas impossible, d’ailleurs, que demain la mise en concurrence soit conditionnée par des attestations de respect de nouvelles normes de sécurité. C’est déjà le cas avec la législation européenne DORA, qui s’impose aux sous-traitants des établissements bancaires à travers des audits, des questionnaires et un scoring de sécurité selon la criticité de leurs interventions. », ajoute ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les entreprises en faveur de la protection de la vie privée de leurs employés

Récemment une enquête a été réalisée par le Ponemon Institute sur la protection de la vie privée des employés.

Cette étude a impliqué près de 1 200 professionnels de l’informatique et de la cybersécurité. L’étude aurait été commanditée par une entreprise experte dans la cyber intelligence du nom de DTEX Systems.

Cet article va aussi vous intéresser : La protection de la vie privée à l’épreuve des différents projets financés par Bill Gates

On peut retenir entre autres du résultat de cette analyse que :

– 63 % des répondants ont déclaré qu’il trouve important de miser sur la protection de la vie privée des employés ;

– Seulement 34 % des organisations approchée ont affirmé avoir totalement confiance en leur système de protection des données de leurs employés ;

– La majorité des organisations approcher ont du mal à trouver le juste milieu entre la surveillance de l’engagement du personnel depuis leur passage en télétravail et la protection de leur vie privée ;

– 64 % des personnes interrogées en aussi mentionner le fait qu’il est très difficile de pouvoir mesurer la capacité la performance des employés sans faire entorse à leur vie privée et à leur confiance à l’entreprise ;

– 53 % des entreprises ont aussi reconnu qu’ils savent que leurs employés souhaitent et s’attendent à ce que leurs habitudes, leurs comportements et activités de nature personnelle restent totalement privés ;

– Malheureusement seulement 47 % des entreprises rendre anonyme à l’ensemble des informations collectées sur leurs employés en surveillant au même moment le risque au niveau de la sécurité informatique et leurs performances.

« L’un des principaux constats de cette étude est que la confidentialité de la vie des employés doit être une priorité absolue, et pas seulement un objectif de confort » a déclaré le directeur de la clientèle de DTEX Systems, Rajan Koo. « Le personnel est une source d’intelligence incroyable, mais les organisations continuent de tomber dans une approche de surveillance « Big Brother » qui érode la confiance et la transparence. Les solutions technologiques draconiennes disponibles sur le marché ne font qu’aggraver ce problème. Les résultats de ce rapport sont clairs : il y aura bientôt des comptes à rendre. ».

De façon pratique l’étude a aussi mis en évidence le fait que :

– 58 % des organisations ont tendance à minimiser la quantité de données qu’elles collectent sur leurs employés

– 49 % seulement font preuve de transparence sur leur manière de collecter et de gérer ses données à distance

– 35 % des organisations acceptent que leurs employés puissent s’exprimer quant à la collecte des données personnelles en télétravail, et de manifester sur leurs inquiétudes.

– 43 % seulement des organisations approchées utilisent des outils informatiques qui sont des natures à renforcer la conscience la confiance de leurs employés au niveau de l’accès, de la collecte et de l’utilisation de leurs informations sensibles

« Nos résultats montrent que les organisations ont besoin d’une nouvelle approche de la protection de la vie privée des employés, une approche qui adopte l’approche de longue date de la protection de la vie privée par la conception, à la fois dans la philosophie et dans la technologie choisie pour recueillir des renseignements sur les employés », explique le directeur de recherche et président du Ponemon Institute, Larry Ponemon. « Cela est confirmé par le fait que seulement 38 % des personnes interrogées ont déclaré que leur organisation disposait des technologies adéquates pour atténuer les risques et promouvoir l’efficacité sans porter atteinte à la vie privée. Les 62 % d’organisations restantes ayant raté le coche, il est essentiel que les employeurs changent leur façon de penser sur la raison et la manière d’apprendre de leur personnel. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les établissements de santé et la cybersécurité : l’action du gouvernement en faveur d’une amélioration

Selon plusieurs représentants du pouvoir public, il y aurait une certaine opportunité à saisir pour améliorer la cybersécurité des établissements de santé.

C’est ce qui a été retenu lors du congrès de l’association pour la sécurité des systèmes d’information de santé le 22 juin 2021 à Mans.

Cet article va aussi vous intéresser : La sécurisation des appareils de santé

« C’est la première fois qu’il y a un plan de renforcement de la sécurité des systèmes d’information de santé porté au plus haut niveau de l’Etat », s’est prononcé Jean-François Parguet, un fonctionnaire de sécurité des systèmes d’information (FSSI) des ministères sociaux. Ce dernier faisait référence à l’annonce faite par le Président de la République portant sur la mise en place d’une nouvelle stratégie nationale pour une cybersécurité plus accrue des établissements de santé. Dans ce contexte ce dernier estime que tous les acteurs de la cybersécurité des systèmes des formations des établissements de santé ont « l’obligation de ne pas rater cette opportunité ».

« Depuis quelques semaines, le nombre d’attaques [informatiques signalées par des établissements de santé] baisse », toutefois, « pour combien de temps? Nous devons nous préparer à des attaques systémiques, impactant une région entière, voire tout le pays, outre-mer compris », mettait alors en garde le spécialiste.

Comme le signifie Dominique Pon, un responsable ministériel du numérique en santé, et Jean-Jacques Coiplet, le directeur général de l’agence régionale de santé (ARS) Pays de la Loire, « Personne n’est à l’abri » d’une attaque informatique de nos jours. « La question n’est plus si [un établissement de santé va subir une cyberattaque], mais quand et comment », a ajouté ce dernier.

Du côté de l’agence régionale de santé du pays de la Loire, la cybersécurité se présente comme étant une priorité. C’est d’ailleurs pour cette raison qu’elle est devenue membre de l’association pour la sécurité des systèmes d’information de santé. Une intégration qui s’est confirmée en avril 2010.

« On sait tous qu’on est très vulnérables depuis longtemps » a souligné de son côté Dominique Pon. « Il n’y a pas aujourd’hui un seul DSI [directeur des systèmes d’information] ou RSSI [responsable de la sécurité des systèmes d’information] qui peut dire que son système est impénétrable. » ajoute ce dernier. « Les services socles introduits par la feuille de route du numérique en santé et le Ségur numérique sont des « gages d’homogénéisation » de la sécurité des SI », avait ajouté ce dernier.

Selon Jean-François Parguet : « un focus sur la cybersécurité a été mis au niveau national, avec un pilotage par le cabinet [du ministre de la santé Olivier Véran], l’Agence nationale de la sécurité des SI [Anssi], la direction générale de l’offre de soins [DGOS], l’Agence du numérique en santé [ANS], le haut fonctionnaire de défense et de sécurité [HFDS], des ministères sociaux, dont dépend le FSSI des ministères sociaux. ». Il faut noter par ailleurs que ce comité se réunit plus de 5 fois en seulement 3 mois.

Dominique Pon et Jean-François Parguet et tous les autres responsables dans leur contexte ont salué le projet de renforcement de la sécurité informatique des établissements de santé. Ils ont tous deux salué le plan de renforcement de la cybersécurité.

Questionné sur « les leviers pour que les directions générales des établissements de santé s’intéressent à cette question », Dominique Pon s’est appuyé sur le référentiel Maturin-H (Maturité numérique des établissements hospitaliers), qui est déjà développé sur la feuille de retour du numérique en santé qui est censé paraître dans la publication attendu en début 2022.

« Celui-ci permettra d’obtenir un score de maturité qui risque de remettre en cause [l’incitation financière à l’amélioration de la qualité] Ifaq et la certification HAS (Haute autorité de santé) des établissements », as prévenu ce dernier. » L’incitatif c’est bien, mais à un moment donné il faudra du coercitif. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurisation des appareils de santé

À l’instar de tous secteurs d’activité, le secteur de la santé a connu une certaine numérisation importante ces 5 dernières années.

Aujourd’hui, la santé connectée est devenue le quotidien de millions de personnes à travers le monde. Si de manière pratique cette situation présente bien des avantages, on ne peut pas nier que les inconvénients sont aussi nombreux.

Cet article va aussi vous intéresser : La santé de plus en plus menacée par le piratage informatique

En dehors des menaces qui peuvent découler typiquement de la sécurité informatique, il faudrait aussi prendre en compte tous les risques qui peut voir provenir d’appareils infecté ou déjà piraté, alors de passerelle aux pirates informatiques d’initiés de grande envergure.

Si nous remontons un peu dans le temps en 2017, le programme informatique WannaCry mettait à genoux des millions d’ordinateurs à travers le monde. Pour les libérer les cybercriminels à l’origine de cette vague de piratage informatique avaient exigé le paiement de rançon. L’un des incidents basés sur le logiciel de rançonnage les plus populaires de l’histoire de la cybersécurité. Au Royaume-Uni seulement, cet incident informatique de sécurité majeur a touché de plein fouet près d’un tiers des établissements de santé à travers le pays. C’est près de 8 % de cabinets de médecine généraliste qui ont été affecté.

En 2019 seulement, les acteurs financiers des incidents de sécurité et des violations de données aurait coûté la bagatelle de 4 milliards de dollars à l’industrie de santé uniquement.

En 2020, le plus grand centre hospitalier de la République tchèque, responsable de la mise en place des tests de dépistage de la maladie coronavirus signaler au grand dam du grand public avoir été touché de plein fouet par une attaque informatique.

« La cause fondamentale de ce niveau croissant d’attaques réussies contre le secteur hospitalier reste le manque de budget pour l’infrastructure de sécurité informatique. Cela signifie que les systèmes sont vulnérables aux attaques et peuvent conduire à des incidents réels et potentiellement mortels. Les prestataires de soins de santé utilisent souvent des systèmes hérités tournant sous Windows 95 ou XP qui ne peuvent pas être facilement mis à jour, mais qui doivent encore fonctionner en attendant leur remplacement. En effet, cela nécessiterait une refonte de l’architecture complète nécessitant des coûts et des ressources significatives. », explique Xavier Facelina, PDG de SECLAB. « Le matériel ou les systèmes d’exploitation, y compris la couche TCP/IP, peuvent être anciens et non mis à jour lorsque de nouvelles vulnérabilités sont identifiées. Cela peut affecter des millions d’appareils IoT, y compris les moniteurs des patients, les scanners ou les IRM par exemple. Dans ces environnements, l’utilisation de pare-feu peut ne pas être suffisante, étant basée sur des logiciels et sujette à des compromis. Une visite sur site est souvent le seul moyen de résoudre le problème, mais nécessite des ressources considérables pour être efficace. Pour autant, il faut agir rapidement, car un retard trop important pourrait mettre en danger les patients.  En bref, l’option la plus simple dans ces circonstances est : « ne changeons rien ». Le problème est que, pour prolonger la durée de vie des systèmes, ils peuvent avoir besoin de communiquer avec des ordinateurs ou des systèmes plus récents, sur des réseaux transportant différents flux d’informations, mais qui peuvent également contenir des logiciels malveillants. Le premier défi est alors de les isoler tout en limitant la communication à des sources ou destinations limitées. Le second est de garantir que toutes les données transférées entre ces anciens et ces nouveaux systèmes peuvent être validées de manière à ce que les contenus malveillants ne puissent pas être échangés. », ajoute ce dernier.

En allant dans ce sens, l’approche dite de « Electronic Airgap » se présente comme étant la plus pertinente. Cependant cela va compliquer que l’appareil qui ne présente aucun risque de compromission sur un ciré dans l’ensemble des systèmes. Un appareil qui aura qu’une seule fonctionnalité : d’échanger du contenu déjà certifié ou valider, à un ensemble de sources et les destinations très bien déterminé à l’avance.

« Les environnements hérités peuvent ainsi être connectés sans aucun correctif au niveau du système d’exploitation ou du réseau. L’échange d’informations peut se faire à l’intérieur ou à l’extérieur de l’entreprise et sans avoir recours à des visites de site coûteuses et chronophages. Il sera alors possible de prolonger la durée de vie de l’investissement, réduire les besoins de capex et d’opex et d’augmenter le niveau de sécurité et ainsi réduire le risque. », conclut Xavier Facelina.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage