Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces

IBM Security Systems Juin 2015

Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e trimestre 2015)Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la combattre.

2 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e trimestre 2015)

Table des matières 2 Présentation à l’attention des dirigeants

3 Menaces internes et rupture de la chaîne de confiance

6 Personnel interne et menace continue liée au courrier électronique indésirable

10 À chaque faille son plan d'action

15 Gestion d'identité et maîtrise des risques

18 À propos de X-Force

19 Contributeurs

19 Pour en savoir plus

Présentation à l’attention des dirigeantsDans le premier rapport trimestriel IBM® X-Force® de cette année, nous avons effectué un tour d'horizon des incidents de sécurité de 2014 qui nous a permis de relever que différents secteurs d'activité sont fragilisés jusque dans leurs fondations et que le perfectionnement des techniques d'agression modifie le regard que nous portons sur les questions de sécurité.

Alors que menaces sophistiquées et failles géantes continuent de faire l'actualité, nous nous focalisons, dans ce deuxième rapport trimestriel, sur le péril interne et les raisons qui font qu'il demeure une problématique insidieuse souvent négligée.

Selon le dernier index du renseignement sur la cybersécurité 2015 d'IBM Security Services, la menace interne occupe toujours une place de choix par rapport aux autres types d'agression. S'il apparaît que 45 % des attaques enregistrées en 2014 venaient de l'extérieur, les 55 % restants avaient pour origine des individus ayant accès, de l’intérieur, aux systèmes d’information des entreprises1.

Dans ce rapport, nous nous attacherons à voir comment ce type de menace évolue et quels moyens employer pour moins s'y exposer. Le terme de « menace interne » ou « d'initié » recouvre des sens multiples : il peut s'agir d'un salarié mal intentionné qui entend nuire à dessein, ou d'un utilisateur qui clique par mégarde sur la pièce jointe d'un e-mail et livre ainsi, sans le savoir, son système – voire tout le réseau de sa société – à un logiciel malveillant. Aujourd'hui, la majeure partie des emails indésirables est créée à des fins lucratives par des agents qui sont à même d'envoyer toute sorte d'exécutable nocif dans un spam. Qu'il soit mu par un projet purement délictueux ou par l'appât du gain, n'importe quel adversaire déterminé peut embaucher un opérateur de spam qui mettra en place une campagne personnalisée afin de piéger les utilisateurs en les amenant à ouvrir une pièce jointe ou à cliquer sur un lien qui infectera le réseau de l'entreprise par le biais d'un rançongiciel ou d'un logiciel malveillant.

Nous nous attardons également sur le problème du « quasi-initié », que l'on peut définir comme un sous-traitant, un tiers à qui l'entreprise accorde sa confiance dans le cadre d'une intervention sous contrat. Dans cette catégorie entrent électriciens, ouvriers du bâtiment, techniciens du téléphone et autres réparateurs qui se rendent sur place physiquement ou ont accès aux réseaux. Aux États-Unis, l'affaire de l'attaque des magasins Target et l'abus du recours à ces tiers ont permis d'établir que les agresseurs font souvent main basse sur des identifiants pour s'immiscer dans les réseaux.

La protection des données et ressources importantes étant au centre des préoccupations de la plupart des organisations, nous expliquons ici en quoi consistent les bonnes pratiques et recommandations courantes afin que le lecteur puisse commencer à réfléchir aux moyens de lutter contre ce facteur de risque.

Pour conclure, nous aborderons les dispositifs intelligents de sécurité, notamment les outils criminalistiques, qui facilitent la détection des menaces internes et ouvrent la porte à une analyse plus pointue de ce qui se passe au niveau des systèmes et des réseaux.

L'an dernier, nous avons vu toute l'importance que pouvait revêtir la capacité de réaction d'une entreprise, notamment lorsqu’il s’agit de comprendre comment protéger ses ressources informatiques, réseau et physiques critiques. L'évaluation du risque potentiel que pose un réseau infecté, que ce soit par quelqu'un d'interne ou d'externe à ce dernier, permet à l'entreprise de faire face lorsque le danger se présente à elle.

IBM Security Systems 3

Menaces internes et rupture de la chaîne de confianceSavez-vous qui a accès à vos ressources ? Nous vous expliquons comment protéger vos actifs critiques dans le paysage actuel de l'entreprise, dans le paysage actuel de l’entreprise, en constante évolution.

Pour la plupart des sociétés commerciales, le concept de « menace interne » renvoie historiquement aux employés mécontents ou négligents qui

endommageaient les biens – physique ou électroniques – de l'entreprise. L'essor de l'espionnage soutenu par des sociétés, mais aussi par des États, au cours de la dernière décennie, oblige désormais à tenir compte d'une multitude de nouveaux scénarios pour sauvegarder l'ensemble de ses ressources.

À l'heure d'évaluer les risques de menaces internes qu'elles encourent, de nombreuses entreprises s'intéressent de près à leurs salariés « dignes de confiance », en particulier ceux qui disposent de privilèges élevés. Elles attendent d'eux qu'ils respectent des règles de confidentialité strictes lorsqu'ils accèdent à ou gèrent des ressources commerciales et financières de première importance. Ces utilisateurs privilégiés sont censés respecter les politiques établies et ne pas tirer profit de leur droits d’accès privilégiés. Dans un environnement aux enjeux considérables, les entreprises doivent trouver le juste équilibre entre la confiance et les laissez-passer qu'elles accordent à ces individus. Toute organisation veut pouvoir faire confiance à son personnel, mais elle doit aussi vérifier ce qu'il advient de ses ressources les plus critiques, son patrimoine, qu'il s'agisse de propriété intellectuelle, de données financières, de plans produits ou d'autres informations jouant un rôle capital dans sa réussite. En général, c'est précisément la valeur de ces données qui en fait la cible numéro un des menaces internes.

Aujourd'hui, les actifs changent souvent d'emploi au bout de quelques années pour progresser, témoignant ainsi d'un attachement très relatif à leur entreprise. Lorsqu'ils passent chez un concurrent, il n'est pas rare qu'ils conservent des amis ayant accès aux ressources de leur ancien employeur. Si l'on ajoute à cela l'éventualité de salariés mécontents ou en quête d'argent facile, le résultat pourrait se traduire par une faille de sécurité dont la presse ne manquera pas de faire ses choux gras. Avant de quitter l'entreprise, un ancien membre du personnel peut avoir créé une « porte dérobée » qu'il activera une fois chez son nouvel employeur et qui lui permettra d'accéder depuis l'extérieur à des comptes cachés ou à des données sensibles. Rien de bien nouveau ici, les entreprises rendant compte presque tous les jours de ce genre d'activité. Pour rester au fait de ce qui se trame, il peut être utile de définir un processus récurrent qui recherche ces portes dérobées ou tout autre comportement étrange ou

sortant de l'ordinaire dans les journaux d'accès et l'activité réseau. Il existe également des services de surveillance automatique, mais leur mise en œuvre se résume souvent à un rapport risques-coûts pour l'entreprise.

En tout état de cause, il convient de ne pas prendre la question de la protection des données clients par-dessus la jambe. Récemment, y compris chez d’importants fournisseurs gérant des bases de données d'informations personnelles et dont les pratiques internes sont éprouvées ont été pris de court par des menaces d'initiés. L'an dernier, par exemple, les salariés mal intentionnés d'un distributeur tiers ont réussi à dérober les données client d'un opérateur téléphonique d'envergure mondiale – dates de naissance et numéros de sécurité sociale inclus – et à s'en servir pour débloquer des téléphones portables dans le but de les revendre sur le marché noir2.

Les réseaux informatiques qui hébergent les ressources les plus importantes doivent faire l'objet d'une surveillance volontaire et ciblée afin d'en éviter l'exfiltration par connexion réseau, email, clé USB ou autre. Il importe non seulement que l'entreprise limite l'accès privilégié aux données privées (y compris celles des clients) à ses seuls employés qui en ont besoin, mais qu'elle garde un œil sur toute activité inhabituelle de son personnel.

De son côté, le particulier se tiendra sur ses gardes si un prestataire lui demande de lui communiquer des informations personnelles. Dès lors qu'une entreprise possède des renseignements sensibles sur un individu, ce dernier bénéficie des politiques et pratiques de celle-ci en matière de protection des données, ce qui n'est pas forcément facile à évaluer ou à comprendre pour le grand public.

Un grand nombre d'organisations choisissent de renoncer à de mises à niveau sécuritaires jusqu'au jour où un problème survient. Il est alors souvent trop tard pour investir dans certaines mesures de défense et mettre en place des règles qui auraient dû l'être des années plus tôt. Nombreuses sont celles également qui font passer au second plan l'actualisation du niveau de sécurité, que ce soit pour des ressources technologiques, des données ou des ressources physiques, au motif que cet investissement n'a pas toujours un impact positif sur le chiffre d'affaires.


De la sécurité physique à l'ingénierie sociale, les menaces sont partout.On croit souvent que la sécurité informatique s'arrête au réseau de l'entreprise et aux différents périphériques ou outils qui y sont reliés. La menace numérique ne respecte malheureusement pas toujours cette frontière. Dans bien des cas, le réseau numérique donne accès au système de sécurité physique de la société.

Par conséquent, cette menace peut affecter les dispositifs d'alarme, notamment ceux qui autorisent la télésurveillance à partir d’Internet. Elle peut aussi toucher les systèmes téléphoniques connectés, vulnérables de l'intérieur comme de l'extérieur. Il y a quelques années, des chercheurs ont montré qu'il leur était facile d'allumer le micro d'un téléphone à distance et de se livrer à des écoutes clandestines depuis n'importe quel endroit du monde. Si le protocole de voix sur Internet (VoIP) avait été doté d'une webcam, ils auraient pu l'activer aussi sans que personne ne s'en rende compte3.

Il ressort de cette étude que lorsque vous évaluez les menaces qui pèsent sur un réseau informatique, il est vital de passer tous vos systèmes au crible par la même occasion. Les photocopieuses et fax de l'entreprise, par exemple, peuvent être la proie d'une menace mineure. La majorité, si ce n'est la totalité, de ces équipements dispose désormais d'une mémoire ou d'un disque dur et est souvent connectée à un réseau interne. L'individu qui, tel le réparateur, a les connaissances techniques idoines peut tout à fait accéder à ces périphériques de stockage et y dérober des données importantes. Ces périphériques sont aussi accessibles via le réseau.

De fait, certains chercheurs ont trouvé des documents sensibles sur le disque dur de photocopieuses achetées sur eBay et sur d'autres acquises lors de ventes aux enchères de matériel obsolète provenant du secteur privé et de l'administration publique. Dans ces cas-là, nul besoin d’aller jusqu’au piratage informatique ; il suffit de savoir démonter un disque dur et de le raccorder à un PC. Les lecteurs sont généralement prévus pour fonctionner sous Linux ou Microsoft Windows. Lors du remplacement d'une photocopieuse ou d'un fax, il est important de s'assurer que l'entreprise elle-même – et non un tiers – conserve les données ou les détruit.

Vecteurs d'attaque des menaces internes

Points d'entrée numériques dans les systèmes physiques : les agresseurs peuvent se servir des alarmes, des photocopieuses, des fax et des téléphones connectés comme points d'entrée pour accéder aux données sensibles.

Sous-traitants : personnel d'entretien, techniciens et agents d’entretien jouissent souvent d'un accès libre, sans accompagnant, ce qui leur laisse tout loisir de pénétrer les systèmes par effraction et de mettre la main sur les mots de passe qui traînent dans l'espace de travail.

Le « quasi-initié » constitue, pour la sécurité des entreprises, un autre type de menace que l'on peut qualifier de mineur, mais qu'il convient de ne pas négliger. Il a été le principal vecteur de l'espionnage économique bien avant l'ère des connexions électroniques. De nombreuses entités commerciales font appel à des sociétés d'entretien, de réparation, de construction ou de nettoyage dont les employés s'introduisent dans l'espace de travail en semaine après les heures de bureau ou le week-end. En général, ces individus accèdent librement, sans être accompagnés, à l'intégralité des locaux de l'entreprise, parfois même aux bureaux de la direction et aux salles de conférence.

La récente affaire Target illustre parfaitement les dangers qui peuvent découler de cette libre circulation des personnels tiers. En l'espèce, les pirates se sont servis d'identifiants récupérés dans une entreprise de réfrigération et de climatisation pour s'accaparer les informations personnelles et financières de quelque 110 millions d'individus, soit 11 Go de données4. Cette affaire montre qu'il ne faut pas hésiter à investir son temps et son argent dans une sécurisation qui ne saurait se limiter aux « entrées principales » du site Internet ou des serveurs Web de la société. Bon nombre d'entreprises doivent aussi veiller à contrôler les autres points d'accès susceptibles d'être ouverts à leurs franchiseurs, sous-traitants ou partenaires.


À l'échelle internationale, du reste, les vulnérabilités dues à un défaut de surveillance sont du pain béni pour les États et autres adversaires avides de s'infiltrer incognito et d'accéder ainsi aux ressources d'une entreprise. Des espions bien entraînés sont capables d'installer du matériel d'écoute dans un bureau de cadre supérieur ou dans une salle de conférence en quelques minutes, d'autant que leur « formation », si elle est parfois longue et complexe, peut aussi se résumer à brancher l’appareillage dans un mur et à le dissimuler derrière une plante. .

En un rien de temps, une personne non habilitée sera ainsi en mesure de fouiller les bureaux des salariés et de repartir avec un mot de passe qu'elle aura trouvé dans un tiroir, sur un bloc-notes ou ailleurs dans l'espace de travail. Si des individus non autorisés peuvent pénétrer le réseau de l'entreprise de l'intérieur, par exemple depuis le poste de travail d'un employé, ils auront tout loisir de faire un tort considérable à leur victime quasiment sans risque de se faire pincer. L'accès à une photocopieuse ou à un fax leur permettra de remplacer ou de copier le dispositif de stockage et d'en télécharger le contenu en un instant. Bien qu'il soit possible de protéger les machines en les verrouillant ou en y fixant des étiquettes antivols, elles restent malgré tout exposées. Le balayage électronique du bureau de la direction et de la salle de conférence peut aussi se justifier.

Que la faille soit l'œuvre d'une entreprise, d'un pays étranger ou simplement d'un individu attiré par le gain, il existe un certain nombre de mesures de défense à prendre si une organisation se sent visée. Par exemple, il faut que les entreprises sises dans un bâtiment public sachent qui en est le propriétaire, ou encore qui sont leurs voisins du dessous, du dessus et d'à côté. Il est importante de connaître et de protéger le lieu physique où vos données sont stockées. L'histoire montre qu'il est extrêmement facile d'attaquer des ressources géographiquement proches.

Dernières réflexions et recommandationsDans le monde professionnel, il est aujourd'hui plus difficile de prévenir le vol ou le transfert des ressources essentielles d'une entreprise car les individus nuisibles en interne et en externe ont la volonté, les informations, les ressources et la patience nécessaires pour pénétrer les systèmes sans y être autorisés. Les entreprises devraient bénéficier de réductions fiscales à cet égard. En guise de protection, on peut envisager de déployer des technologies et des moyens de contrôle dédiés à la sécurité physique et technologique, mais aussi maîtriser la connaissance des employés et sous-traitants qui travaillent au sein ou pour le compte de l'entreprise.

Une évaluation effectuée par un tiers sera à même d'éclairer les organisations qui essaient de conserver leurs biens à l'abri de l'ennemi numérique, mais ignorent la menace potentielle liée aux salariés ou aux sous-traitants qui ont accès, de l'intérieur, à ces richesses. Il existe de nombreux spécialistes qui ont la connaissance et l’expertise nécessaires pour vous dispenser conseils et bonnes pratiques quant à vos talons d’Achille - bien que cela puisse rentrer parfois en contradiction avec la culture de l’entreprise. Bon nombre de ces experts ont derrière eux des années d'expérience auprès de l'armée ou du gouvernement américain, au contact desquels ils ont acquis l’expertise nécessaire en enquêtant ou en étant impliqué dans des affaires d’espionnage ou de contre-espionnage.

Solution simple : faire en sorte que des membres du personnel accompagnent les externes qui ont accès aux zones abritant du matériel ou des données sensibles. Cela peut paraître fastidieux ou ressembler à un gaspillage des ressources de l'entreprise, mais cela revient relativement peu cher sur le long terme en comparaison des millions de dollars que coûtera une intrusion ou le vol de biens. Dans certains organismes publics, tout sous-traitant pénétrant les lieux doit soit être accompagné, soit se soumettre à une vérification de son parcours professionnel.

Lorsqu'il s'agit d'embaucher et de retenir les meilleurs employés aux postes sensibles, ou de solliciter les services de personnes qui se voient donner accès aux données vitales de l'entreprise, mieux vaut ne pas faire l'économie d’une étude approfondie du CV. La plupart des sociétés effectuent déjà un test médical pré-embauche et s'assurent que les candidats à certaines fonctions n'ont pas de casier judiciaire.


Personnel interne et menace continue liée au courrier électronique indésirableLa diffusion de logiciels malveillants à travers les spams est à la hausse. Voici comment protéger votre entreprise et pourquoi il convient d'appeler les utilisateurs à la plus grande vigilance.

La menace peut venir de l'extérieur de la société ou d'un salarié non autorisé ou mécontent, mais tout employé, même mu par les meilleures intentions, est susceptible

de faciliter une attaque par inadvertance en cliquant sur le lien malveillant qui lui aura été envoyé dans un e-mail de hameçonnage. Pour éviter cela, le service de sécurité de l'entreprise doit reconnaître le danger que représente le logiciel malveillant diffusé par spam et prendre les mesures qui s'imposent pour le bloquer. Chaque utilisateur est tenu de demeurer dans un état d'alerte permanent et de ne pas perdre de vue que même une action parfaitement anodine peut ouvrir la porte à une attaque.

Les professionnels de la sécurité informatique estiment parfois que le spam ordinaire relève davantage de la nuisance que de la menace. Après tout, les dangers tels que le hameçonnage ou le harponnage, les logiciels malveillants ou le déni de service distribué (DDoS) leur donnent déjà bien assez de travail. Une analyse récente du laboratoire de recherche X-Force montre toutefois que la menace liée au courrier électronique indésirable progresse et qu'il conviendrait peut-être de l'appréhender avec un peu plus de considération.

Pour ce qui concerne l'activité récente liée au spam, on pourrait commencer par se demander de quels pays partent ces e-mails non souhaités. La figure 1 donne la tendance en la matière sur les deux dernières années.

On constate dans ce tableau l'existence de hauts et de bas au cours d'un même exercice et d'une année sur l'autre. Quelques points clés :

• Au premier trimestre 2015, ce sont les États-Unis qui ont envoyé le plus de spams avec 8 % du total, ce qui tend à prouver que le phénomène s'est largement répandu.

• Le Viêtnam menait la danse en fin d'année dernière, mais doit désormais se contenter de la deuxième place.

• L'Espagne, qui avait remporté la palme d’or à plusieurs reprises au cours des deux précédents exercices, pointe à présent au troisième rang.

• Tous les autres pays concernés ont envoyé entre 6,1 et 1,1 % du courrier électronique indésirable dans le monde au dernier trimestre, avec des évolutions en dents de scie depuis deux ans.

Pays d'où proviennent le plus de spams1er trimestre 2013 au 1er trimestre 2015

14%

12%

10%

8%

6%

4%

2%

0%1Q 2013 2Q 2013 3Q 2013 4Q 2013 1Q 2014 2Q 2014 3Q 2014 4Q 2014 1Q 2015

Argentine (AR) Italie (IT)

Chine (CN) Russie (RU)

Allemagne(DE) République populaire de

Chine (TW)

Espagne (ES) USA (US)

Inde (IN) Viêt Nam (VN)

Figure 1 Pays d'où proviennent le plus de spams, 1er trimestre 2013 au 1er trimestre 2015

L'Espagne à la première place du classement des pays d'où proviennent le plus de spams


À la vue de ces chiffres, on peut avoir l'impression qu'il n'y a rien de très nouveau. Idem lorsqu'on se penche sur le volume de spams des deux dernières années, comme le

montre la figure 2.

Volume de spamsJanvier 2013 à mars 2015

300%

250%

200%

150%

100%

50%

0%

JAN

201

3FÉ

V 20

13M

AR

S 2

013

AVR

IL 2

013

MA

I 201

3JU

IN 2

013

JUIL

201

3A

OÛ

T 20

13S

EPT

2013

OC

T 20

13N

OV

2013

DÉC

201

3JA

N 2

014

FÉV

2014

MA

RS

201

4A

VRIL

201

4M

AI 2

014

JUIN

201

4JU

IL 2

014

AO

ÛT

2014

SEP

T 20

14O

CT

2014

NO

V 20

14D

ÉC 2

014

JAN

201

5FÉ

V 20

15M

AR

S 2

015

Figure 2 Volume de spams, janvier 2013 à mars 2015

Le plus gros volume depuis août 2010

Similaire au volume de début 2013


Bien qu'on note des pics importants à la hausse et à la baisse sur le volume total de courriers électroniques indésirables au cours des deux derniers exercices, le volume actuel est comparable à celui d'il y a deux ans. Il ne faut cependant pas

en conclure qu'il ne s'est rien passé dans ce domaine. La figure 3, relative à la proportion de courriers électroniques indésirables avec pièce jointe infectée, témoigne d’un grand changement.

Pourcentage de spams avec des pièces jointes malveillantes au format ZIP/RARJanvier 2013 à mars 2015

9%

8%

7%

6%

5%

4%

3%

2%

1%

0%

JAN

201

3FÉ

V 20

13M

AR

S 2

013

AVR

IL 2

013

MA

I 201

3JU

IN 2

013

JUIL

201

3A

OÛ

T 20

13S

EPT

2013

OC

T 20

13N

OV

2013

DÉC

201

3JA

N 2

014

FÉV

2014

MA

RS

201

4A

VRIL

201

4M

AI 2

014

JUIN

201

4JU

IL 2

014

AO

ÛT

2014

SEP

T 20

14O

CT

2014

NO

V 20

14D

ÉC 2

014

JAN

201

5FÉ

V 20

15M

AR

S 2

015

Figure 3 Pourcentage de spams avec des pièces jointes infectées au format ZIP/RAR, janvier 2013 à mars 2015

La valeur la plus importante depuis novembre 2012

D'octobre à février, environ 4 % des spams contenaient des pièces jointes malveillantes


Jusqu'à l'été 2013, la part du spam vecteur de logiciels malveillants dépassait rarement 1 %, mais les choses se sont sérieusement accélérées à l'automne de cette année-là. Pendant les premiers mois de 2015, les e-mails non souhaités avec pièce jointe corrompue représentaient environ 4 % du total. Ainsi, bien que le volume global de spam n'ait pas évolué depuis deux ans, les spammeurs utilisent davantage ce canal pour diffuser des programmes malveillants.

C’est la tendance dont a rendu compte notre rapport IBM X-Force du 1er trimestre 2015 sur les renseignements relatifs aux menaces. Nous avons constaté à cette époque que les logiciels malveillants figuraient parmi les principaux types d'attaque et que le spam à pièce jointe corrompue était l'un des vecteurs utilisés pour introduire des programmes malveillants dans les réseaux des entreprises et les ordinateurs des utilisateurs.

Un e-mail non sollicité peut être porteur de n'importe quel logiciel malveillant, tout comme le lien qu'il contient peut mener n'importe où. De nombreux spammeurs agissent dans le cadre de projets mercantiles où c'est l'acheteur qui définit la puissance de frappe plutôt que les opérateurs de spam. Cette « opération de spams » peut être commanditée par toute sorte d'adversaire et en vertu de motivations bien différentes, du simple projet délictueux à la recherche du gain. Aussi problématiques que puissent être les répercussions, l'invasion de votre réseau professionnel par un ransomware fera courir de gros risques à votre entreprise. Qui plus est, un adversaire surtout intéressé par vos actifs relevant de la propriété intellectuelle et vos secrets de fabrication peut avoir recours au courrier électronique indésirable pour infiltrer votre réseau via des enregistreurs de frappe et des outils de vol de mots de passe.

On peut tirer de ces observations plusieurs conclusions. La plus significative est que les spams représentent un risque chaque jour plus important. Si, jadis, les « opérations de spams » se bornaient à inciter leurs victimes à acheter quelque chose ou à participer à une arnaque, elles visent aujourd’hui, et de plus en plus souvent, à infecter les ordinateurs au moyen de logiciels malveillants. Cette tendance incite à donner davantage la priorité au filtrage des e-mails non souhaités pour ce qui concerne la sécurité de votre réseau. Aucune technologie ne pouvant se targuer d'une efficacité parfaite, il nous revient d'éduquer les utilisateurs et de faire en sorte qu'il soit plus difficile de les duper.

RecommandationsVoici quelques recommandations qui aideront les administrateurs réseau à faire barrage aux pièces jointes malveillantes que l'on trouve dans le spam.

• Tenez à jour vos filtres anti-spam et anti-virus.• Bloquez les fichiers exécutables en pièce jointe. Dans

un environnement professionnel normal, l'envoi de ce type de pièce jointe n'est pas habituel. La plupart des filtres anti-spam peuvent être configurés pour stopper ces fichiers, même s'ils sont zippés.

• Utilisez un logiciel de messagerie client permettant de désactiver l'aperçu des pièces jointes et des graphismes, ainsi que le préchargement des liens, et désactivez-les.

Le perfectionnement des défenses profitant à vos utilisateurs pose des problèmes plus épineux. C'est à eux d'être conscients du danger et de faire preuve de bon sens à chaque instant. Avant de lire un e-mail et de cliquer sur un lien ou d'ouvrir la pièce jointe qu'il contient, ils devraient se poser des questions simples comme :

• Est-ce que je connais l'expéditeur ?• Est-ce que ce message et cette pièce jointe étaient

attendus ?• Est-il normal que la pièce jointe soit zippée et le format

est-il approprié pour ce type de message et de pièce jointe ?

• De quel type est le fichier zippé ? Si c'est un exécutable, un économiseur d'écran ou un type de fichier que je ne connais pas, je ne dois pas l'ouvrir !

Les spammeurs s'efforcent en général de rédiger des e-mails qui ressemblent de plus en plus à ceux des commerces, banques ou institutions financières en ligne, ou encore aux systèmes internes du réseau, tels que fax et photocopieuses. Les utilisateurs doivent aussi se méfier de ce type de messages.


À chaque faille son plan d'actionDécouvrez pourquoi les outils d'analyse criminalistique offrent la visibilité nécessaire pour comprendre ce qui se passe dans votre réseau et quelles sont les mesures à prendre afin d'éviter les menaces.

La sécurisation d'un réseau face aux dangers potentiels, c'est un peu comme la vie d'un pilote d'avion : des mois d'ennui et des moments de panique. Si un pilote est

formé à réagir méthodiquement à tout dysfonctionnement de son appareil, il en va de même pour les spécialistes de la sécurité auxquels on demande d'être préparés et de disposer des outils adéquats pour réagir méthodiquement à toute mise en péril de leurs ressources réseau.

Un système sécurisé, c'est un système dont la violation exige un effort beaucoup plus important que ce qu’il rapportera comme bénéfice. Cependant, effort et bénéfice sont à géométrie variable. L'effort à faire pour s'introduire dans une organisation diminue à mesure que l'intrus socialise ses outils de piratage, partage ses techniques et collabore sur des cibles définies. Généralement, la récompense est assez conséquente pour que des légions entières de hackers élaborent, sur la base des vulnérabilités rendues publiques, des logiciels sophistiqués permettant de tester et de pénétrer les réseaux. Les experts en sécurité des entreprises visées voient leur réseau « s'illuminer » lorsqu'une nouvelle vulnérabilité est annoncée et que ces applications de l'ombre s'en viennent sonder les services.

La question n'est pas alors de savoir si votre réseau sera fragilisé, mais si vous êtes prêt à faire face et comment répondre à l'attaque. Imaginez un pilote qui n'a jamais été formé à la gestion des dysfonctionnements de son appareil. Il est peu probable que cela se passe bien. Imaginez ensuite un réseau sans capacités criminalistiques. Les perspectives seront aussi inquiétantes.

Aujourd'hui, par exemple, les particuliers reçoivent régulièrement des messages de leur mutuelle, de leur banque ou de leurs sites de e-commerce qui les informe que le réseau a été manipulé, sans que ces entreprises soient en mesure de fournir une description claire de l'agression. Dans bien des cas, la seule réponse possible pour le client est de changer de carte bancaire, d'identifiants de connexion et de mots de passe. Le fait que les utilisateurs ne puissent jamais récupérer leurs numéro de sécurité sociale, adresses, numéro de téléphone et autres identifiants personnels en est une conséquence plus préoccupante. Si la perte d'un seul élément d'identification n'est pas d'une gravité absolue,

les cyberdélinquants, lorsqu'ils connaissent les relations ou éléments liés à l'identité personnelle d'un individu, possèdent environ 95 % des données nécessaires pour opérer un vol ou une fraude d'ordre financier, que la victime ait changé de numéro de carte bancaire ou non. Ensuite, si le fournisseur n'est pas en mesure de faire toute la lumière sur la façon dont le détournement a eu lieu, il est peu probable qu'il puisse garantir que cela ne se reproduira pas.

La capacité à identifier précisément la manipulation est un principe fondamental pour toute entreprise qui conserve des informations suscitant l'intérêt de l'e-criminalité.

Forensique des réseaux et des ressources

La forensique est la capacité à recréer et à articuler clairement la mise en péril de vos systèmes. Parmi ses fonctions élémentaires figurent la capture de paquets, la recherche, le filtrage, la reconstitution et la micro-inspection.

Capture de paquetsPar « capture » s'entend l'aptitude à rassembler et à conserver toutes les transactions effectuées sur le réseau. Elle offre la visibilité nécessaire à la forensique, mais exige pour cela de grosses capacités de stockage. Par exemple, l'enregistrement du trafic réseau d'un lien de 10 Gbits fonctionnant à 60 % de sa capacité requiert quelque 7 To de stockage au quotidien. Un dispositif de capture classique à 2 racks (2U) affichant un volume de 56 To pourra ainsi conserver 8 jours d'historique des données réseau. Ce laps de temps est appelé « créneau de visibilité criminalistique ». Plus ce créneau est long, plus la visibilité dont jouit l'analyse forensique est importante.


De nombreuses agressions se produisant sur de longues périodes, la possibilité de fournir le plus grand créneau possible au coût le plus bas revêt une importance majeure. Ce qui coûte le plus cher dans la capture de paquets, c'est le stockage. Aussi est-il capital de trouver une solution économique dans ce domaine ; le créneau de visibilité n'en sera que plus grand. Grâce à la compression, les principaux fournisseurs de solutions de stockage peuvent multiplier par quatre la capacité d'un système. La figure 4 donne à voir ce que coûte la capture d'un réseau de 10 Gbits avec et sans compression. En l'espèce, le recours à cette technologie divise le coût par quatre, ce qui permet de capturer des paquets pendant environ 45 jours de plus quasiment au même prix que le stockage non compressé.

RechercheL'enquête forensique consiste généralement à rechercher ce qu'on ne connaît pas. La technologie du moteur de recherche peut y aider, car elle offre :

• Une interface de recherche simple et familière• Une visibilité immédiate à 100 % sur l'ensemble des

données criminalistiques

Quiconque recherche sur Internet un document contenant les termes [email protected] par exemple, obtiendra des résultats sur-le-champ Appliquée à la forensique, la technologie du moteur de recherche est tout aussi probante que la capture du trafic réseau. L'adresse électronique ci-dessus, avec nom de l'entreprise (corporatebank) intégrée au domaine de l'agresseur (syzexperts.com), est un exemple typique de ce qui peut servir à une tentative d'hameçonnage. Bien indexé, un moteur de recherche dévoilera instantanément les transactions réseau qui utilisent cette adresse.

Pour bénéficier d'une visibilité pleine et entière, il faut que tout le contenu des paquets capturés soit indexé. Lors de l'indexation, le moteur range les données dans des champs permettant des requêtes ultraprécises. Le trafic réseau, par exemple, est indexé par domaines Web, adresses électroniques, URL, codes d'erreur HTTP et des centaines d'autres champs facilitant les recherches spécifiques. Prenons la requête suivante :

IPAddress:192.72.68.121 AND Port:880 AND URL:*$^% AND HTTPError:404

Capture de paquetsFenêtre Coût vs Visibilité

0 jour 10 jours 20 jours 30 jours 40 jours 50 jours 60 jours 70 jours 80 jours 90 jours 100 jours

$1000

$800

$600

$400

$200

$0

Uncompressed Compressed

Figure 4 Capture de paquets, fenêtre Coût vs Visibilité


Cette requête permet à un enquêteur en forensique de rechercher toute tentative de masquer un service d'application HTTP en brouillant l'interface du transfert d'état de représentation (REST) au moyen de caractères étranges. L'enquêteur pourra ensuite concentrer sa recherche sur une tentative d'hameçonnage.

From:*syzexperts* AND password

Cette recherche lui permettra d'identifier tout trafic de courrier électronique contenant « syzexperts » dans le nom de l’e-mail et le mot de passe dans le corps du message.

FiltrageLa recherche de l'inconnu impose de savoir ce qui est important et ce qui ne l'est pas. Les fonctions de forensique devraient inclure la possibilité de filtrer et visualiser aisément les données de façon à pouvoir faire cette différence. Par exemple, un chercheur peut découvrir que les domaines adoptent un comportement étrange au sein du réseau. Une simple recherche sur le trafic DNS et la visualisation des relations entre les terminaux peut rapidement révéler les « anomalies » tandis que celles-ci ne sont pas directement disponibles dans les rapports. Par exemple, le graphique 1 présente l'intégralité du trafic DNS d'une demande particulière. Cette visualisation met en évidence les deux domaines d'anomalie qui ont été résolus en dehors des opérations normales. Cette représentation visuelle fournit un point de départ clair pour le chercheur afin d'examiner ces anomalies, par ailleurs impossibles à obtenir dans des rapports standard.

Graphique 1. Relations entre les entités de réseau DNS


ReconstitutionLa reconstruction permet aux organisations de voir les transactions réseau enregistrées dans des formats adaptés aux utilisateurs. Les systèmes de stockage contiennent les blocs bruts inintelligibles de données de trafic capturés dans le réseau. Ces données brutes doivent être disséquées et analysées avant d'être reconstruites. Des exemples de reconstitution comprennent l'affichage d'une page Web consultée par un adversaire, un message (ou un fil de messages) de courrier électronique impliqué, un fichier dérobé lors d'une attaque ou même une conversation complète de messagerie instantanée.

Au cours du processus de reconstitution, des modules logiciels appelés analystes décomposent les données du réseau dans des représentations intermédiaires à des fins de recherche et de reconstitution. Un analyste identifie le trafic réseau via des parties de patterns à partir des flux électroniques. Il est important d'identifier le trafic en fonction des patterns de données, et non en fonction du numéro de port, car il se peut qu'un pirate informatique essaye de dissimuler le protocole. Les analystes sont conçus par des ingénieurs qui analysent les protocoles et les services d'extraction de métadonnées de zones clés. Les métadonnées sont introduites dans le moteur de recherche dans un format structuré qui permet la reconstitution détaillée des événements du réseau. Lors de l'évaluation des capacités d'une solution de forensique, il est important de comprendre la différence entre l'identification du protocole et son analyse. De nombreux vendeurs réclament des milliers d'identificateurs de protocole. Un identificateur ne qualifie que le protocole utilisé, un analyste brise le protocole de recherche et de reconstitution. Les différents types de reconstitution sont les suivants :

• Page Web• Chat• Réseau social• Webmail• Mise à jour et échange sur blog• Transferts de fichiers• Fichiers joints• Métadonnées de fichier (géolocalisation, dernière

modification et autres attributs similaires)• Flux de fichiers (exécutable, JavaScript, macros et

redirections en pièces jointes)

Micro-inspectionLa recherche et la reconstitution affinent les transactions réseau d'intérêt de plusieurs milliards de flux à un ensemble de flux gérable. La micro inspection décompose les analyses finales (tels que les rapports sur les fichiers incorporés, l'entropie de fichier, la dissimulation de fichier, les fichiers de bac à sable et les flux de fichiers, macros, exécutables, etc.) en identifiant les contenus suspects ou les données qui mettent en évidence des informations forensiques stratégiques. Les environnements d'inspection novateurs incluent la fonction d'extraction d'informations détaillées dans le fichier de façon automatisée. Les pirates informatiques utilisent certaines méthodologies importantes telles que l'imbrication d'informations et de fichiers dans d'autres fichiers et la dissimulation des types de fichier.


Les systèmes forensiques détectent les fichiers imbriqués grâce à diverses méthodes comme les "nombres magiques" et l'analyse statistique. Les nombres magiques sont des attributs d'identité de fichier et leur détection au sein d'un fichier signale aux enquêteurs la présence d'un contenu suspect. L'analyse statistique mesure la « normalité » d'un flux de données ou d'un contenu de fichiers et peut potentiellement détecter l'instant à partir duquel les données ont été injectées dans des fichiers ou des flux de données.

Les autres techniques de micro-inspection de fichiers incluent le « démasquage de fichier », pendant lequel l'extension du fichier est comparée à la fois au MIME et au type de contenu. Par exemple, les pirates informatiques masquent souvent les fichiers exécutables sous forme de fichiers image. Ils utilisent également les flux de fichiers joints aux documents pour exécuter des logiciels malveillants imbriqués dans les fichiers (macros, JavaScript, exécutables, redirections d'URL, etc.)

Le mécanisme de bac à sable est l'outil idéal car il permet aux analystes en forensique de déterminer la façon dont une attaque infecte un hôte. Le graphique 2 affiche les fonctions de micro-analyse des fichiers trouvés par la recherche affinée des flux réseau.

SynthèseLa capacité à reconstituer les activités qui ont lieu au cours de l'altération de votre réseau est importante pour garantir la sécurité du réseau et prévenir de nouveaux dangers. Dans la plupart des cas, les malveillances sont difficiles à détecter avec précision et un environnement forensique novateur aura les mêmes capacités de recherche que son offre fondamentale. La capacité à fournir une visibilité complète du trafic réseau via la capture et l'indexation de toutes les données offre une précision parfaite pour investiguer sur le processus. Des outils supplémentaires dotés de fonctions de visualisation, d'intelligence dérivée et de micro-inspection réduisent considérablement la durée d'évaluation de l’agression et peuvent décrire avec précision l'étendue des dégâts, les adaptations et l'amélioration nécessaires en termes de sécurité pour prévenir d'autres dommages.

Graphique 2. Micro-inspection de tous les fichiers d'un incident réseau.


Gestion d'identité et maîtrise des risquesL'ensemble de votre personnel, et plus particulièrement les utilisateurs privilégiés, peuvent être une menace pour vos systèmes. Sachez utiliser les bons outils pour maîtriser la gestion du risque.

Les menaces qui pèsent sur les ressources métier de votre organisation, y compris vos données métier les plus critiques, peuvent provenir de pratiquement

n'importe où et de n'importe quel utilisateur. Vous avez donc besoin d'un ensemble complet d'outils pour contrôler les risques. Il s'agit d'outils qui peuvent atteindre les moindres recoins de l'entreprise, donnent un aperçu de toutes les actions en cours et vous aident à gérer l'ensemble des personnes ayant un accès à votre environnement.

Votre personnel peut être votre point faibleDans bon nombre d'organisations, les attaques externes ne sont pas la menace la plus importante pour la sécurité. A l'inverse, ce sont les menaces internes qui peuvent compromettre ou laisser s'échapper des données sensibles. Les nouvelles tendances des systèmes informatiques d'entreprise (l'essor des réseaux sociaux, le cloud, la mobilité et l'ère du big data) rendent les menaces émanant des employés, des fournisseurs, des partenaires et autres personnes ayant un accès sécurisé difficiles à identifier, et offrent au personnel interne plus de moyens pour transmettre des informations protégées avec peu de chance d'être détecté.

Les menaces internes sont causées par un grand nombre de contrevenants pouvant mettre une organisation et ses actifs en péril. Les employés malveillants représentent une source évidente de menaces. Il en va de même pour les utilisateurs qui laissent leurs systèmes ouverts aux attaques par inadvertance ou qui commettent des erreurs qui laissent la porte ouverte aux logiciels malveillants. Même les entreprises dotées de pratiques de sécurité solides sont toujours vulnérables aux actes de l'ingénierie sociale qui permettent aux cybercriminels de dérober les données d'identification d'accès. Dans l'un des cas, les pirates informatiques envoient des courriers électroniques malveillants à des employés sans la moindre méfiance pour avoir accès aux données client du fournisseur.5

Sensibiliser les employés sur les communications suspicieuses et les risques potentiels est important, cela va de soi. Cependant, ces efforts doivent être soutenus avec d'autres outils de protection contre les menaces, plus puissants et automatisés, et des règles de sécurité complètes.

Utiliser les solutions (Gestion des Identités et des Accès) pour diminuer les menaces internesLes solutions IAM (Identity and Access Management) peuvent jouer un rôle important dans la lutte contre les menaces internes car elles aident à réduire la menace engendrée par les violations de sécurité et de non conformité qui résultent de niveaux obsolètes ou inappropriés de privilèges d'accès. Le potentiel d'une activité de menace interne est en réalité beaucoup plus important lorsqu'un profil utilisateur accède à des ressources qui ne reflètent pas les besoins actuels et les schémas d'utilisation réels. Les utilisateurs internes qui déclenchent une attaque peuvent également bénéficier de privilèges administratifs mal contrôlés pour transférer une attaque à un niveau supérieur ou modifier les systèmes pour y activer l'écoute clandestine. Les privilèges d'accès utilisateur mal contrôlés et mal surveillés, associés à un manque de visibilité sur leur utilisation inadéquate ou abusive de ces privilèges jouent souvent un rôle dans la réussite de ces attaques internes. Par conséquent, il faut toujours s'assurer que les privilèges d'accès s'alignent avec les règles de sécurité établies et que les outils d'audit et de production de rapports sont en place pour surveiller le comportement des utilisateurs et appliquer ces règles.

Face aux menaces internes, la protection des données et ressources critiques exige que chaque utilisateur dispose d'un ID utilisateur et d'un mot de passe unique, mais cela ne suffit pas. Pour garantir l'identité, vous devez utiliser une authentification forte qui repose sur une politique saine. Ainsi, vous pourrez non seulement vous protéger contre les personnes malveillantes souhaitant nuire de l'extérieur, mais aussi réduire les opportunités permettant au personnel interne négligent de divulguer des données involontairement. Cela permet également d'empêcher les salariés malveillants de se servir d'une annulation laxiste des accès aux comptes périmés ou orphelins pour attaquer vos ressources critiques.

L'organisation devrait également utiliser des solutions de gouvernance d'identité pour aider à classer les utilisateurs en fonction de leur rôle et de leurs besoins en terme d’accès et établir puis appliquer des règles basées sur des rôles pour la gestion automatisée du cycle de vie et des mots de passe des utilisateurs. Il ne suffit pas d'autoriser ou de refuser l'accès aux applications ; vous devez savoir qui demande l'accès et pourquoi, et quelles actions l'individu va mener une fois que les droits d'accès lui seront accordés. Les solutions IAM doivent également assurer le suivi et la mise en application des règles pour aider à identifier les violations de règles et les abus potentiellement à l'origine d'une menace interne.


Les utilisateurs privilégiés sont souvent la plus grande menaceDans les infrastructures informatiques d'aujourd'hui, la tendance à la consolidation des centres de données, à l’utilisation du cloud computing, à la virtualisation et à l'externalisation des environnements génère des ID avec des privilèges plus importants. Cela crée un besoin encore plus important de gérer ces ID privilégiés de manière centralisée pour s’assurer de l’affectation des bons droits aux bons utilisateurs. L'accès global de ces utilisateurs privilégiés leur confère des habilités extraordinaires pour contrôler et exploiter les données, les applications et les équipements informatiques d'une organisation. Si les IDs « utilisateur privilégié » ne sont pas correctement gérés, ils peuvent être la cause de problèmes de périmètres de responsabilité et de conformité en plus de l’augmentation du risque de vol de données. Dans le même temps, les contrôles d'accès des salariés aux autres groupes, moins privilégiés mais exposés à un risque tout aussi élevé, ne devraient pas être ignorés. Les administrateurs système et autres membres du personnel informatique, qui possèdent peut-être les compétences requises pour initier une attaque interne, ne devraient pas être écartés. Comme illustré dans la figure 5, les décideurs interrogés dans une récente étude IBM reconnaissent la menace de sécurité posée par les administrateurs et les utilisateurs privilégiés.

Heureusement, il existe un certain nombre d'approches que peuvent adopter les organisations pour les aider à réduire les menaces internes. Des contrôles plus stricts des règles et une formation améliorée des utilisateurs sont un bon début. Cela signifie veiller à ce que les membres du personnel de l'ensemble de l'organisation soient conscients de leurs responsabilités et de celles de leurs activités, et être au courant des dangers pour éviter les attaques et les accès inappropriés. Les entreprises doivent également s'assurer que les employés sont à jour sur les exigences réglementaires et de conformité.

Ces mesures doivent être renforcées par des outils de sécurité efficaces. Les solutions de renseignement de sécurité qui surveillent le comportement et permettent la détection d'anomalies sont inestimables, à l'instar des solutions de gestion d'identités privilégiées (PIM) qui contrôlent et surveillent l'accès des « super-utilisateurs ». Les outils de gouvernance des identités peuvent aider à garantir que les droits d'accès des utilisateurs correspondent à leurs responsabilités professionnelles. Les solutions de renseignement et de gouvernance, lorsqu'elles sont intégrées, peuvent contribuer fortement à la lutte contre les salariés malveillants.

Pourcentage de spams avec des pièces jointes malveillantes au format ZIP/RAR Risque qu’un administrateur/employé privilégié puisse

compromettre vos données

Menaces provenant des activités de médias sociaux

Les portes dérobées ou fonctions cachées insérées par les produits utilisés dans la chaîne d'approvisionnement

(microprogrammes, middleware, kits d'outils, etc.)

Insertion de logiciels malveillants ou de vulnérabilités latentes dans les produits

Menaces persistantes sophistiquées pour l'entreprise

Menaces dues à la mobilité des employés et au BYOD (« Bring Your Own Device »)

Menaces de périphériques perdus ou volés

Menaces spécifiques au Cloud Computing

Figure 5 Les principales menaces de sécurité décrites par une enquête d'IBM Institute for Business Value Source : IBM Institute for Business Value, Etude de l'infrastructure informatique ; Q7 : Dans quelle mesure les menaces de sécurité suivantes vous concernent-elles ?


Les renseignements opérationnels : votre future arme secrètePour lutter efficacement contre les menaces internes, il est important d'établir et de gérer des contrôles d'accès et une surveillance des cadres et dirigeants supérieurs qui ont souvent un accès illimité aux données les plus sensibles de l'organisation. Sans surveillance adéquate, une personne expérimentée qui a quitté l'organisation il y a quelques mois, voire un pirate informatique qui a pénétré dans votre système, pourrait utiliser l'accès privilégié d'un dirigeant pour accéder à vos serveurs, à des appliances réseaux et à des données. Une meilleure surveillance de ces utilisateurs et de leurs activités peut déclencher une alerte de niveau important lorsqu’un utilisateur accède, partage et télécharge sans autorisation des informations confidentielles.

Pour aider à mieux responsabiliser les utilisateurs et réduire les menaces internes, les organisations devraient envisager une approche IAM à l'échelle de l'entreprise, soutenue par des analyses et des renseignements de sécurité. Une telle approche peut permettre aux organisations d'identifier rapidement et avec précision les anomalies dans le comportement de l'utilisateur, comprendre leurs rôles et leurs appartenances aux groupes, assurer une protection contre la fraude interne et démontrer la conformité aux nouvelles réglementations.

Les systèmes intégrés de renseignement sur les identités peuvent également surveiller l'activité des utilisateurs, partie essentielle d'une défense active contre les menaces internes. Le fait d'utiliser conjointement l'analyse des renseignements de sécurité et les outils de production de rapports, par exemple, peut fournir des fonctions essentielles pour auditer les activités des utilisateurs et détecter tout comportement suspect. Basées sur les renseignements de sécurité, les solutions de surveillance de l'activité de l'utilisateur offrent une visibilité complète sur son activité et son impact.

Les renseignements de sécurité permettent également de détecter les menaces internes qui ont lieu sur une période prolongée. Certaines solutions se concentrent sur des événements, des actifs ou des types de transaction spécifiques afin de stocker et d'analyser une quantité de données beaucoup moins importante et plus simple à gérer. Elles permettent même d'identifier une attaque « faible et lente » de l'intérieur. Mieux encore, grâce aux renseignements de sécurité, les entreprises n'ont plus besoin de s'atteler sur « ce qui est arrivé » et peuvent prédire directement « ce qui va se produire », aidant ainsi l'organisation à bloquer les violations potentielles.

RecommandationsQuelles sont donc les meilleures pratiques pouvant vous aider à atténuer les risques internes et renforcer la conformité ?

Les ID privilégiés ne cessent de croître. Vous devez donc contrôler le risque associé.Les organisations délèguent souvent des tâches administratives spécifiques à un important effectif de personnel ou de fournisseurs dont l'appartenance change fréquemment. En outre, les employés tels que les propriétaires et développeurs d'applications peuvent avoir besoin d’un accès occasionnel ou un accès ponctuel privilégié à des ressources spécifiques pour effectuer des tâches de maintenance. Ces deux pratiques peuvent provoquer une augmentation du nombre d'identifiants fournis au sein de l'organisation. Mais même si elle peut s'avérer rapide pour contrôler la croissance des ID en permettant à plusieurs utilisateurs privilégiés de partager un ou plusieurs ID utilisateur communs sur chaque ressource, ce n'est pas une bonne idée. Cette pratique évite d'avoir à ajouter et à supprimer continuellement des comptes à mesure que les utilisateurs arrivent et repartent, mais elle met également fin à leur responsabilité. En plus de détruire la responsabilité des utilisateurs, elle peut interférer avec la conformité réglementaire. La meilleure solution consiste à déployer un système de gestion d'identité qui peut fournir un moyen sécurisé et pratique pour le personnel informatique de partage d’IDs privilégiés tout en offrant des moyens de vérification du comportement individuel des utilisateurs.

Accorder des droits aux utilisateurs de manière appropriée et les tenir à jour. Les droits des utilisateurs doivent être mis à jour pour s'adapter aux changements, en particulier lorsque les employés changent de fonction ou quittent l'organisation. Une pratique relativement simple que chaque organisation peut adopter est d’octroyer aux utilisateurs les droits d’accès les plus restreints dont il ont besoin et d'effectuer par la suite des audits réguliers. Parce que le risque de préjudice est d'autant plus grand que les droits augmentent, le nombre de comptes privilégiés doit être maintenu à un niveau minimum. L'octroi de droits pour les ID privilégiés doit être examiné et se limiter uniquement à ceux qui nécessitent réellement un accès privilégié et qui possèdent les autorisations et habilitations nécessaires.

Gérer et surveiller la sécurité et la conformité des utilisateurs. Une fois les comptes utilisateur établis, les organisations doivent surveiller et contrôler attentivement les activités associées aux identifiants pour mettre en évidence les anomalies ou les utilisations inappropriées des privilèges du compte. En combinant la surveillance des utilisateurs et des applications avec la visibilité de la couche applicative du réseau, les entreprises peuvent détecter plus facilement les écarts significatifs par rapport à une activité normale, ce qui aide à stopper une attaque avant qu'elle n'aboutisse.


À propos de X-ForceLes menaces avancées sont partout. Réduisez vos risques grâce aux connaissances des experts IBM

Les équipes de recherche et de développement d'IBM X-Force étudient et surveillent les dernières tendances en termes de menaces, y compris les vulnérabilités, les failles, les attaques actives, les virus et autres logiciels malveillants, le spam, le hameçonnage et le contenu Web malveillant. En plus de conseiller les clients et le grand public sur les menaces émergentes et critiques, IBM X-Force propose également des contenus de sécurité pour aider à protéger les clients IBM contre ces menaces.

Collaboration IBM SecurityIBM Security représente plusieurs marques qui offrent un large éventail de compétences de sécurité :

• L'équipe de recherche et de développement IBM X -Force découvre, analyse, surveille et enregistre un large éventail de menaces de sécurité informatique, de vulnérabilités ainsi que les dernières tendances et les méthodes utilisées par les pirates informatiques. D’autres groupes au sein d'IBM utilisent ces données riches pour développer des techniques de protection pour nos clients.

• IBM X -Force Exchange est une plate-forme puissante de partage des renseignements relatifs aux menaces. Conçue pour utiliser, partager et agir sur les renseignements relatifs aux menaces, le tout soutenu par l'efficacité et la réputation d'IBM X-Force. Les utilisateurs peuvent rechercher divers indicateurs de menace issus des renseignements générés par cette plate-forme, leur ajouter du contexte fourni par les utilisateurs et offrir ainsi un moyen de collaboration pour rechercher et aider à stopper les menaces.

• La famille de produits de sécurité IBM Security Trusteer® offre une plate-forme de prévention de la cybercriminalité holistique sur les terminaux qui contribue à protéger les organisations contre la fraude financière et les violations de données. Des centaines d'organisations et des dizaines de millions d'utilisateurs finaux comptent sur ces produits IBM Security pour protéger leurs applications Web, ordinateurs et équipements mobiles contre les menaces en ligne (telles que les logiciels malveillants et les attaques par hameçonnage sophistiqués).

• L'équipe de sécurité des contenus IBM X -Force parcourt et classe de façon indépendante le Web par catégories en balayant les nouveautés non propriétaires (non IBM) ainsi que les flux fournis par l’équipe IBM MSS (IBM Managed Security Services).

• IBM Managed Security Services est responsable des failles de sécurité liées aux terminaux, aux serveurs (y compris aux serveurs Web) et à l'infrastructure réseau en général. Ce dispositif assure le suivi des failles publiées sur le Web ainsi que via d'autres vecteurs tels que les e-mails et la messagerie instantanée.

• IBM Professional Security Services fournit des services d'évaluation, de conception et de déploiement de la sécurité dans toute l'entreprise pour faciliter la création des solutions efficaces en matière de sécurité de l'information.

• IBM QRadar® Security Intelligence Platform est une solution intégrée de gestion des événements et des renseignements relatifs à la sécurité, de gestion des journaux, de gestion de la configuration, d'évaluation de la vulnérabilité et de détection des anomalies. Elle est dotée d'un tableau de bord unifié et d'un aperçu en temps réel des risques de sécurité et de conformité entre les personnes, les données, les applications et l'infrastructure.

• IBM Security QRadar Incident Forensics vise à fournir aux équipes de sécurité d'entreprise une visibilité sur les activités de réseau et à clarifier les actions utilisateur. Cette solution peut indexer à la fois le contenu des métadonnées et de charge utile dans des fichiers de capture de paquets (PCAP) pour reconstruire entièrement les sessions, générer des impressions numériques, mettre en évidence le contenu suspect et faciliter l'exploration des données de recherche à l'aide de visualisations. QRadar Incident Forensics s'intègre facilement à QRadar Security Intelligence Platform et peut être consulté en utilisant une interface de gestion QRadar à console unique.

• IBM Security AppScan® permet aux organisations d'évaluer la sécurité des applications Web et mobiles, de renforcer la gestion du programme de sécurité des applications et d'atteindre la conformité réglementaire en identifiant les vulnérabilités et en générant des rapports à l'aide des recommandations de correctifs intelligents pour faciliter la réparation. Le service IBM Hosted Application Security Management est une solution sur le cloud destinée au test dynamique d'applications Web en utilisant AppScan dans les environnements de pré-production et de production.

• Les solutions de gestion des identités et des accès IBM Security aident à renforcer la conformité et à réduire les risques en protégeant et en surveillant les accès utilisateur dans les environnements à multi-périmètres d'aujourd'hui. Elles aident à protéger les données et les applications critiques grâce au contrôle d'accès en fonction du contexte, à la mise en application des règles de sécurité et la gouvernance d'identité orientée métier.


ContributeursLe rapport IBM X-Force Threat Intelligence Quarterly est le fruit d'une de la collaboration de l’ensemble des équipes d'IBM. Nous tenons à remercier les personnes suivantes pour leur attention et leur contribution à la publication de ce rapport :

Pour en savoir plusPour en savoir plus sur IBM X-Force, consultez le site Web suivant : ibm.com/security/xforce/

Contributeur Titre

Ben Wuest Technicien sénior, IBM Security Intelligence

Doug Franklin Technologue de recherche, IBM X-Force Advanced Research

Leslie Horacek Responsable, IBM X-Force Threat Response

Michael Campbell Spécialiste de la sécurité sénior, IBM Security Systems Sales Enablement

Pamela Cobb Responsable du marché mondial, IBM X-Force and Threat Portfolio

Ralf Iffert Responsable, IBM X-Force Content Security

Robin Cohan Responsable produit, IBM Security Identity Management

Roger J. Hellman Responsable du marché mondial, IBM Security Intelligence

Russell Couturier Directeur de la technologie, IBM Network Forensics

Tim Kroupa Chef de mandat, IBM Emergency Response Services

Veronica A. Shelley Responsable du marché mondial, IBM Identity and Access Management

© Copyright IBM Corporation 2015

IBM France 17 avenue de l’Europe 92275 Bois Colombes Cedex

Produit en France Juin 2015

IBM, le logo IBM, ibm.com, AppScan, QRadar, Trusteer et X-Force sont des marques d'lnternational Business Machines Corp. dans de nombreux pays. Les autres noms de produits et de services peuvent appartenir à IBM ou à des tiers. La liste actualisée de toutes les marques d'IBM est disponible sur la page Web « Copyright and trademark information » à l'adresse ibm.com/legal/copytrade.shtml

Linux est une marque déposée de Linus Torvalds aux États-Unis et/ou dans d'autres pays.

Microsoft et Windows sont des marques de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Java ainsi que tous les logos et toutes les marques incluant Java sont des marques d'Oracle et/ou de ses filiales.

Le présent document est à jour à la date initiale de publication et peut être modifié par IBM à tout moment. Toutes les offres ne sont pas disponibles dans tous les pays où IBM est présent.

LES INFORMATIONS CONTENUES DANS CE DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE DE VALEUR MARCHANDE OU D’ADÉQUATION À UN USAGE SPÉCIFIQUE ET TOUTE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis selon les conditions générales des accords sous lesquels ils sont fournis.

Le client est responsable d'assurer la conformité aux lois et aux réglementations applicables. IBM ne fournit aucun conseil juridique et ne garantit pas que ses produits ou services assurent que le client est en conformité avec toute loi ou réglementation. Toutes les déclarations concernant la direction ou les intentions futures d'IBM peuvent être modifiées ou retirées sans avertissement préalable et représentent uniquement des buts et des objectifs.

Déclaration de bonnes pratiques en matière de sécurité : La sécurité informatique implique de protéger les systèmes et informations en empêchant, en détectant et en répondant à tout accès inapproprié venant de votre entreprise ou de l’extérieur. Un accès inapproprié peut se traduire par la modification, la destruction ou le détournement d’informations, ainsi que par l’endommagement ou le détournement de vos systèmes, notamment pour attaquer d’autres systèmes. Aucun système ou produit informatique ne doit être considéré comme complètement sécurisé et aucun produit ou mesure de sécurité ne peut être totalement infaillible pour empêcher les accès inappropriés. Les systèmes et produits IBM sont conçus pour faire partie d’une stratégie de sécurité complète, qui impliquera nécessairement des procédures opérationnelles supplémentaires, et peut nécessiter d’autres systèmes, produits ou services pour être pleinement efficace. IBM NE GARANTIT PAS QUE SES SYSTÈMES ET PRODUITS SOIENT À L'ABRI DE LA CONDUITE MALVEILLANTE OU ILLÉGALE DE QUICONQUE.

WGL03076-FRFR-00

1 « IBM Security Services 2015 Cyber Security Intelligence Index, » (Index des renseignements relatifs à la cybersécurité d'IBM Security Services 2015) http://www-935.ibm.com/services/us/en/it-services/security-services/index.html?lnk=sec_home

2 Sean Michael Kerner, « AT&T Insider Data Breach More Dangerous Than External Hacking, » eWEEK, 16 June 2014. http://www.eweek.com/mobile/att-insider-data-breach-more-dangerous-than-external-hacking.html

3 Darlene Storm, « Remotely listen in via hacked VoIP phones: Cisco working on eavesdropping patch, » (Ecoute distante des téléphones VoIP hackés : Cisco travaille sur un correctif des écoutes clandestines), Computerworld, 8 janvier 2013. http://www.computerworld.com/article/2474060/cybercrime-hacking/remotely-listen-in-via-hacked-voip-phones--cisco-working-on-eavesdropping-patch.html

4 Chris Poulin, « What Retailers Need to Learn from the Target Breach to Protect against Similar Attacks, » (Quels enseignements les détaillants doivent-ils tirer de la violation cible pour se protéger contre des attaques similaires) IBM Security Intelligence Blog, 31 janvier 2014. http://securityintelligence.com/target-breach-protect-against-similar-attacks-retailers/#.VUtHXPmqjRY

5 Adam Greenberg, « Home Depot announces 53M email addresses stolen in breach, » (Home Depot annonce 53 millions d'adresses e-mail volées lors de violations) SC Magazine, 07 novembre 2014. http://www.scmagazine.com/home-depot-announces-53m-email-addresses-stolen-in-breach/article/382144/

Recyclable

Technology

Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces