État des lieux de la cybersécurité – Baromètre du CESIN

Etat des lieux de la cybersécurité – Baromètre du CESIN — Source de l’image : TheDigitalArtist via Pixabay

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) vient de publier la quatrième édition de son baromètre annuel réalisée avec OpinionWay auprès de ses 174 membres, à 84% des RSSI (Responsables de la Sécurité des Systèmes d’Information) de grands groupes français. Cette enquête annuelle permet de mieux cerner la perception et la réalité de la cybersécurité et ses enjeux au sein des entreprises membres du CESIN.

Les cyberattaques les plus fréquentes et leurs impacts

Au cours de ces 12 derniers mois, bien que le nombre des attaques tend à se stabiliser, 80% des entreprises interrogées ont été victimes d’au moins une cyberattaque, et les conséquences sur le business (arrêt de la production, site internet indisponible, perte de CA…) sont plus importantes qu’en 2017.

En moyenne, chaque année, les entreprises font face à 5 types de cyberattaque.

Parmi les attaques subies, le phishing est la plus fréquente avec 73% des entreprises qui ont été touchées, suivi par l’arnaque au Président avec 50% des répondants puis en troisième position se trouvent le ransomware et l’infection par un malware.

Concernant les risques cyber, le Shadow IT est le risque le plus fréquemment rencontré, 64% des RSSI interrogés estiment qu’il s’agit d’une menace à traiter. En effet l’installation et l’utilisation d’applications non approuvées et souvent gratuites peuvent échapper au contrôle de la DSI.

Cloud et IoT : L’impact de la transformation numérique sur la sécurité des systèmes d’information

Pour 98% des entreprises, la transformation numérique a un véritable impact sur la sécurité des systèmes d’information et des données et accroît le périmètre des cyberattaques. Tout particulièrement par le recours important au Cloud, utilisé par 87% des entreprises dont 52% stockent leurs données dans des Clouds publics.

Cette utilisation du Cloud représente un risque fort en raison d’un manque de maîtrise par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance utilisée par l’hébergeur ou encore par rapport au non-effacement des données. Pour 89% des RSSI, ces enjeux impliquent le recours à des outils de sécurisation complémentaires à ceux proposés par le prestataire de service afin de sécuriser les données stockées dans le Cloud.

En ce qui concerne l’IoT (Internet of Things), la course à l’innovation et l’usage de plus en plus répandu des objets connectés ont fait apparaître de nouvelles menaces en matière de cybersécurité, notamment en raison des failles de sécurité présentes dans ces équipements.

Une cyber-résilience à développer

Pour faire face à ces risques cyber, les RSSI déploient de multiples solutions techniques.

Cependant malgré toutes ces solutions, les RSSI se disent moins confiants par rapport à l’année dernière quant à la capacité de l’entreprise à faire face à ces cyber-risques, et moins d’un sur deux estime que son entreprise est préparée à gérer une cyberattaque de grande ampleur. Et pourtant, seulement 12% ont mis en place un véritable programme de cyber-résilience, il est en cours pour 33% et 34% l’envisagent.

Trois enjeux essentiellement humains pour l’avenir de la cybersécurité

Sensibilisation des utilisateurs

Selon 61% des RSSI interrogés, l’enjeu principal pour l’avenir de la cybersécurité est la formation et la sensibilisation des utilisateurs aux questions de cybersécurité. Selon les répondants, « même si les salariés sont sensibilisés, ils restent peu impliqués en ne suivant pas forcément les recommandations. Un important travail de pédagogie reste à faire ».

Gouvernance de la cybersécurité

Pour 60% des interrogés, il faut placer la gouvernance de la cybersécurité au bon niveau. Bien que la mise en conformité RGPD a permis de sensibiliser les entreprises aux enjeux de la protection des données, la confiance en la capacité de leur COMEX à prendre en compte les enjeux de la cybersécurité reste très inégale suivant les secteurs d’activité.

Ressources humaines

La pénurie de profils en SSI observée par 91% des RSSI, est un réel défi pour les entreprises alors que 50% d’entre elles prévoient d’augmenter les effectifs alloués à la cybersécurité.

Risques mondiaux 2019 : Climat et risques cyber au cœur des préoccupations

Le Forum Economique Mondial (WEF – World Economic Forum) a présenté en amont des rencontres annuelles de Davos qui ont eu lieu du 22 au 25 janvier derniers en Suisse, son Global Risks Report, un rapport qui met en avant les principaux risques et enjeux mondiaux, basé sur une enquête auprès de 1000 décideurs mondiaux (dirigeants d’entreprises, personnalités politiques, représentants de la société civile et universitaires). Quels sont alors les principaux risques auxquels le monde est confronté ?

Les risques cyber dans le top 5

Pour la troisième année consécutive, les risques liés à l’environnement sont en tête des préoccupations des leaders mondiaux. Ils occupent les trois premières places des plus fortes probabilités envisagées pour 2019, suivis par les risques liés à la technologie, avec en 4^ème place le vol et l’utilisation frauduleuse des données et en 5^ème les cyberattaques.

Ainsi pour 2019, 82% des experts interrogés s’attendent à des vols de données et d’argent et 80% à des interruptions de services et d’infrastructure résultant de cyberattaques.

Les 5 risques les plus susceptibles de se produire selon les experts interrogés

Conditions climatiques extrêmes
L’échec de l’atténuation des changements climatiques et de l’adaptation à ces changements
Catastrophes naturelles
Utilisation frauduleuse et vol de données
Cyberattaques

Les 10 risques qui auront le plus d’impact

Outre les risques qui sont les plus susceptibles de se produire, le rapport demande aux experts d’identifier les risques qui auront le plus d’impact.

Top 10 des risques ayant le plus d’impact

Armes de destruction massive
L’échec de l’atténuation des changements climatiques et de l’adaptation à ces changements
Conditions climatiques extrêmes
Crises de l’eau
Catastrophes naturelles
Perte de la biodiversité et effondrement de l’écosystème
Cyberattaques
Défaillance de l’infrastructure de l’information critique
Catastrophe écologique d’origine humaine
Propagation de maladies infectieuses

Les cyberattaques occupent ainsi la 7^ème place du classement et la défaillance des systèmes d’information critique la 8^ème, s’insérant ainsi dans le top 10.

Concernant la technologie, Børge Brende, Président du World Economic Forum souligne qu’elle « continue de jouer un rôle important dans la configuration du paysage des risques mondiaux. Les préoccupations concernant l’utilisation frauduleuse des données et les cyberattaques étaient à nouveau au centre des préoccupations dans le Global Risks Report, ce qui a également mis en évidence un certain nombre de vulnérabilités technologiques : environ deux tiers des personnes interrogées s’attendent à ce que les risques associés aux fake news et au vol d’identité augmentent en 2019″. Ces préoccupations résultent d’une année 2018 traumatisée par l’augmentation des cyberattaques massives, des brèches dans les systèmes de sécurité informatique des Etats, des vols massifs de données et l’utilisation croissante de l’intelligence artificielle pour mener des cyberattaques toujours plus puissantes.

[INFOGRAPHIE] Phishing, slamming, e-mails frauduleux : Soyez vigilants pendant les périodes de vacances !

En forte augmentation, les attaques de phishing, slamming et autres e-mails frauduleux reposent sur des techniques d’« ingénierie sociale », consistant à exploiter non pas une faille informatique, mais la « faille humaine », en dupant les internautes par le biais d’un e-mail semblant provenir d’une entreprise de confiance.

Les périodes de vacances estivales correspondent à l’envoi en masse de ces e-mails frauduleux. En effet, les cybercriminels tentent de profiter d’une vigilance qui peut être particulièrement relâchée pendant ces périodes.

Voici une infographie vous expliquant quelles sont ces attaques et comment s’en protéger grâce à des règles simples de vigilance et de prudence.

SPA vs SPA de France : Conflit de marques au cœur de la cause animale

SPA, chaque individu entendant ces trois lettres, y reconnaîtra les chiens ou les chats sauvés des rues se retrouvant dans un refuge pour y attendre leur nouvelle famille.

Mais ce sigle est également à l’origine d’un conflit datant de plusieurs années.

D’un côté, nous avons la SPA, la Société protectrice des animaux, première association de protection animale en France, créée en 1845 qui œuvre pour assurer la protection et la défense des animaux en France.

De l’autre, la Confédération nationale des sociétés de protection des animaux de France, créée en 1926, regroupant 260 associations françaises indépendantes les unes des autres mais ayant pour même objectif la protection des animaux, sous le titre « Défense de l’animal ». Parmi ces associations, la plus ancienne a été créée en 1845.

Toutes deux reconnues d’utilité publique, un conflit oppose pourtant ces deux associations depuis plusieurs années : l’utilisation du sigle SPA.

Une bataille autour du sigle SPA qui dure depuis près de 30 ans

En 1981, des décisions de justice ont estimé que le sigle SPA ou l’appellation « société protectrice des animaux » ne présentaient pas « un caractère d’originalité suffisant pour les rendre susceptibles d’une appropriation privative », la SPA n’avait alors pas renouvelé ses marques.

De nombreuses associations portant le nom SPA (SPA de Lyon, SPA de Marseille…) et défendant la cause animale ont commencé à fleurir en France et se sont réunies depuis 1926, sous le nom « Défense de l’animal, Confédération nationale des sociétés de protection des animaux de France et des pays d’expression française ». En pratique, elle se présente comme « Confédération nationale des SPA de France » ou « SPA de France ».

En 1989, cette confédération a alors déposé à l’INPI la marque SPA de France et le logo correspondant à celle-ci.

Enjeu symbolique ou financier, l’utilisation du terme SPA, a alors fait l’objet de nombreuses procédures opposant la SPA et l’association Défense de l’animal, des attaques en justice venant de l’une comme de l’autre.

En effet, ce sigle à la renommée indiscutable, bien connu du grand public français, représente également des millions d’Euros de dons et de legs. Cependant, il n’est pas toujours facile de savoir à laquelle des deux associations ces dons sont destinés, d’où le véritable enjeu financier.

Et c’est finalement la SPA qui aura le dernier mot. Pour la Cour de Paris, l’association Défense de l’animal avait profité qu’en 1989 le sigle SPA était considéré comme descriptif et dépourvu d’originalité, pour déposer sa marque SPA de France, communiquer avec celle-ci sur ses supports et enregistrer les noms de domaine lesspasdefrance avec les extensions .org, .net, .com, .fr ainsi que spadefrance.fr et spa-france.asso.

En conclusion, la Cour d’Appel de Paris a prononcé dans son arrêt du 30 mars 2018, la nullité de la marque SPA de France, jugeant que « l’association Défense de l’animal avait commis des actes de concurrence déloyale en entretenant la confusion dans l’esprit du public entre ces deux entités ».

La SPA a ainsi obtenu de la Cour d’Appel de Paris l’interdiction pour l’association Défense de l’animal d’utiliser le signe SPA de France « en tant que marque, nom de domaine, dénomination et slogan » et « de façon générale tous signes mettant en exergue le sigle SPA ou l’expression « sociétés protectrices des animaux »».

ICANN : l’avenir incertain du célèbre WHOIS au cœur du meeting 61 de Porto Rico

L’ICANN, organisme international dont l’objectif est de piloter la gestion internationale de l’attribution des noms de domaine et des adresses, vient de partager ses inquiétudes concernant sa base de données. D’après les explications apportées par Akram Atallah à l’AFP, président de la Global Domains Division à l’ICANN, l’organisation internationale craint que les noms de domaine des utilisateurs ne soient confrontés au droit à l’oubli numérique.

Grâce à une base de données baptisée « WHOIS » ou « Qui est-ce », l’ICANN conserve tous les noms de domaine et les renseignements liés à leurs propriétaires comme l’e-mail, les adresses et le téléphone par exemple. Les données WHOIS étant publiques, la mise à disposition de ces informations pose problème dans le cadre de l’application du RGPD.

En effet, au moment où le RGPD, Règlement général sur la protection des données, entrera en vigueur, le 25 mai 2018, les informations présentes dans les WHOIS ne devraient plus, en principe, apparaître ainsi et être conservées…

Des contraintes à prendre en compte

Seules les informations relatives à des individus sont concernées par le RGPD. Toutefois, le fait que des personnes puissent être identifiées d’une manière ou d’une autre dans la base peut poser un grand problème (de nombreuses extensions exigent à l’enregistrement un contact nominatif, quand bien même le titulaire du nom de domaine serait une entreprise).

Pourtant, en parallèle, la transparence sur Internet est de plus en plus sollicitée par les internautes, surtout afin de lutter efficacement contre ceux qui tentent d’influencer l’opinion publique.

D’après Monsieur Atallah, l’ICANN cherche à « trouver un équilibre » compte tenu des contraintes auxquels l’organisme est nouvellement confronté.

En quête d’une solution pour préserver la base de données de l’ICANN

Préoccupé par le fait que le format WHOIS et les informations associées puissent donc enfreindre le nouveau règlement européen, l’ICANN a organisé, lundi, une série de réunions dans le cadre du meeting ICANN 61 à San Juan, Porto Rico : trouver une solution pour préserver le WHOIS était à l’ordre du jour.

D’après les affirmations d’Akram Atallah : « Nous allons essayer de trouver une voie à suivre ». Il a d’ailleurs ajouté qu’ « il y a encore beaucoup de travail, mais nous travaillons le plus vite possible ».

L’ICANN cherche activement des arguments solides qui lui permettront de justifier largement que le WHOIS joue en la faveur de tout un chacun. Akram Atallah a de plus déclaré : « Nous proposons d’essayer de conserver au maximum nos règles actuelles, tout en restant respectueux de la législation ».

Il a indiqué qu’une base de données répartie sur deux niveaux pourrait être la solution. Le premier niveau gardera ses paramètres actuels notamment l’accès au public. Le deuxième niveau serait quant à lui gardé confidentiel, et l’accès uniquement autorisé aux chercheurs, à la police et toute autre organisation présentant une demande légitime : « Nous interrogeons les organismes de protection des données en Europe pour leur demander leur avis sur cette idée ».

Affaire à suivre, et de près.

Pour en savoir plus sur le RGPD, découvrez l’article de Maxime Benoist: Actualités de l’ICANN sous le prisme du RGPD.

Tout comprendre sur le Registry lock

Tous se souviennent de l’attaque dont avait été victime le New York Times en 2013. Un groupe de hackers agissant au nom de la SEA, l’Armée Electronique Syrienne (Syrian Electronic Army) avait eu accès aux codes de leur registrar Melbourne IT et ainsi pu modifier les informations DNS de nytimes.com. Le trafic du site a alors été redirigé vers un serveur contrôlé par les pirates.

Cette même attaque n’avait pourtant pas eu d’impact sur Twitter.com, géré par le même registrar mais verrouillé par un Registry lock.

En mars 2014, les hackers de la SEA s’en prennent cette fois à Facebook et tentent de détourner le nom de domaine facebook.com, mais protégé par la mise en place du Registry lock, Facebook a également réussi à déjouer cette cyberattaque.

Si rares sont les attaques rendues publiques, il est à l’inverse notoire qu’il existe une solution simple et efficace pour leur faire face : le Registry lock, comme en témoignent les exemples ci-dessus. Il constitue par ailleurs la première recommandation de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dans son guide des bonnes pratiques en matière de sécurité des noms de domaine.

Avec la hausse de la cybercriminalité, il est en effet devenu indispensable de se protéger à tous les niveaux sur Internet. Toutefois, si l’on connait bien les attaques par DDoS, il existe d’autres types de cyberattaques qui ont également des conséquences non négligeables pour une entreprise.

Les attaques par détournement de noms de domaine permettent au cybercriminel de prendre le contrôle du nom, en accédant aux données d’enregistrement, de détourner le trafic des sites web et de le rediriger par exemple vers un site internet frauduleux.

L’impact d’une telle attaque entraîne :

une forte dégradation de l’image de l’entreprise
une perte de confiance des utilisateurs
une perte de chiffre d’affaires
une perte de données confidentielles ou stratégiques

Qu’est-ce que le Registry lock ?

Il s’agit d’une mesure de sécurité ayant pour objectif de lutter contre ces attaques en verrouillant les opérations possibles sur les noms de domaine.

Ce service permet ainsi à un titulaire de nom de domaine d’indiquer au registre qu’il désire le verrouillage des informations relatives à son nom de domaine. Pour modifier les données d’un nom sécurisé par un registry lock, le registrar doit alors faire une demande de déverrouillage auprès du registre, qui sera validée après un processus d’authentification.

Le Registry lock permet donc de protéger un nom de domaine en verrouillant différentes opérations telles que la modification de serveur DNS, le changement de titulaire ou la modification de contact, le transfert ou même la suppression d’un nom de domaine.

Ce mécanisme de sécurité s’exécute par le biais de procédures manuelles fortement sécurisées, et offre une protection supplémentaire aux noms de domaine stratégiques.

Principe de déverrouillage auprès du registre :

Selon l’Afnic, le registre de l’extension .fr, le Registry lock est encore trop peu utilisé bien que les attaques par détournement de noms de domaine se soient multipliées. En effet, depuis le lancement de leur Registry lock, le .Fr Lock en 2015, sur 400 bureaux d’enregistrement accrédités Afnic, seuls 20 proposent ce service à leurs clients et moins d’une centaine de noms sont aujourd’hui verrouillés par le .Fr Lock.

Retrouvez le dossier thématique détaillé de l’Afnic sur le .Fr Lock avec une interview de Nameshield :

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description