Entre une évolution continuelle des menaces sur la toile et des réglementations toujours plus coercitives, l´entreprise se retrouve face à de nouveaux enjeux de sécurité qui lui échappent parfois. Compressé entre le risque d´être victime d´une attaque et celui d´être condamné malgré tout, le dirigeant n´a pas toujours la meilleure place. Quels sont les véritables risques juridiques ? Quelle solution de sécurité peut-on mettre en place ? Le séminaire organisé, le 20 juin dernier, par Ironport et Mag Securs fut à la fois l´occasion d´éclaircir juridiquement ces nouveaux enjeux de sécurité, et de découvrir la nouvelle appliance de sécurité Web d´Ironport.

A l´occasion de cet événement, Garance Mathias, Avocat à la Cour, nous a, dans un premier temps, rappelé qu´un avocat ne sert pas seulement en cas de contentieux. Ce dernier a également un rôle de conseil et de prévention, ainsi qu´une mission de formation (comment se passe une perquisition,…).

Après la sécurité de la messagerie, Ironport s´attaque désormais à la sécurité du Web. A partir d´un panorama sur l´évolution des menaces, dressé par Sébastien Commérot, Responsable Marketing Europe du Sud chez Ironport, nous avons pu observer la mutation des problèmes de sécurité. A l´heure actuelle, le piratage se fait, en effet, pour l´argent. Contrairement aux prémices du hacking qui reposaient principalement sur l´exploit isolé, c´est un véritable business qui a vu le jour ces dernières années, une économie à part entière reposant sur un réseau organisé. De plus, auparavant le pirate s´avérait extérieur à l´entreprise, tandis qu´aujourd´hui l´utilisateur se rend lui-même complice, volontairement ou non.


Au niveau juridique, la responsabilité civile ou pénale peut être engagée pour l´entreprise en cas de faute ou de dommage. Elle se retrouve soumise aux exigences de la CNIL, dans le cas par exemple des données à caractère personnel dont l´employeur est responsable. Pour rappel, une donnée à caractère personnel permet d´identifier une personne de manière directe ou indirecte. Une intrusion dans ce système de données engendre des sentences pour l´entreprise.

IMG/jpg/DSC02201.jpg


Comme le souligne Sébastien Commérot, on dénombre quatre principaux types de menaces actuellement. Le phishing, tout d´abord, qui consiste à faire passer un site Web pour un autre. Ce dernier n´est pas nouveau mais connaît toutefois certaines évolutions. Trois nouvelles tendances sont, en effet, apparues :

- le pharming : c´est la même chose que pour le phishing sans email ; on tape directement sur une URL l´adresse, de sa banque par exemple. Le pharming est dangereux et difficile à contrer. Il a touché 1 entreprise sur 5 l´an dernier.

- Le spear phishing ou « phishing à la lance » représente un type d´attaque très ciblée.

- Les attaques dites d´erreur typographiques (ex: googkle.com).

Il existe toutefois des niveaux de protection contre le phishing. Une attaque de ce type vise les utilisateurs internes à l´entreprise. Il faut donc protéger les utilisateurs à la fois au niveau des passerelles Web et email.

Pour Garance, face au phishing, il faut sensibiliser les salariés à tous les niveaux. Sans une politique de sensibilisation, les salariés vont se faire piéger de toute bonne foi. Il existe une jurisprudence à ce sujet. Différentes banques ont fait l´objet de ce type d´attaque, dont l´objectif est la collecte de données ou le gain financier. La responsabilité civile peut être engagée dans ce type d´affaire. Souvent, en effet, l´entreprise attaquée elle-même s´est retrouvée condamnée. C´est pourquoi la mise en place d´un système de protection doit impérativement s´accompagner d´une sensibilisation.

IMG/jpg/DSC00138.jpg


En ce qui concerne les spyware, la France a le triste privilège de se positionner au 4ème rang mondial. Les keyloggers enregistrent les frappes de clavier. On observe une augmentation ces derniers temps des captures d´écran.

Les spyware et keyloggers font également rage en terme de piratage. Ces attaques sont très difficiles à contrer. Dans ce domaine, la France obtient la 4ème place au niveau mondial, ce qui est loin d´être glorieux. Les pirates sont très malins et ils ont souvent un gros avantage par rapport à beaucoup de personnes : ils connaissent la législation. Ils ne se trouvent, d´ailleurs, que très rarement en France. Les attaques sont de plus en plus rapides et ciblées, ce qui pose le problème des preuves. Pour trouver un indice de keylogger, il faut, en effet, le signaler extrêmement rapidement, ce qui est loin d´être évident. L´entreprise doit pouvoir détecter ce type de comportement bizarre, d´où la nécessité de mettre en place un système de veille. De plus, si un spyware s´introduit dans l´entreprise en raison des lois sur les données personnelles, la responsabilité peut être engagée.

Les réseaux de zombie se multiplient. Le pirate va prendre le contrôle du poste à distance, puis s´en servir pour lancer d´autres attaques. On dénombre environ 60 000 PC infestés par jour, ce qui place la France au 3ème rang mondial. La durée de vie d´un zombie est d´environ 30 jours. Passé ce délai, le pirate abandonne alors le zombie et en prend un autre. 80% des spams aujourd´hui sont lancés par des zombies. Ce phénomène bouge énormément ; il est donc très difficile à maîtriser.

Les réseaux de zombie soulèvent différents problèmes juridiques. En effet, même si vous êtes victime d´une attaque, c´est votre poste qui va être identifié par la police comme pirate. Il est donc important de savoir qui est victime de quoi. Grâce à votre poste, le pirate va commettre des délits plus ou moins graves. Dans ce cas, quelle est votre responsabilité ? Il est nécessaire dans ce cas de déposer plainte et de rappeler à la police que vous êtes une victime, que vous avez mis des logiciels de protection (antivirus,…) en place, et qu´ils sont à jour, que vous n´avez jamais été sur des sites illicites. Il faut donc montrer votre bonne foi ainsi que votre côté « victime ».

Sébastien Commérot souligne les différentes techniques d´infection Web :
- infection par un simple passage sur un site avec un clic sur un pop up,
- infection par passage sur un site à l´insu de l´utilisateur
- infection par un malware embarqué dans un exécutable.

L´information des proches, des utilisateurs est primordiale. Les techniques de protection doivent, de plus, s´accompagner de mesures de prévention sur le plan juridique. Actuellement, il ne faut pas hésiter à pratiquer la « victimisation », c´est-à-dire se mettre en position de victime. Qui est victime ? Pourquoi ? Quelles en sont les conséquences ? Il faut protéger les salariés et mettre en place les outils adéquats.

Suite à une observation du marché, Ironport a décidé de développer des solutions de sécurité Web. Les solutions existantes s´avèrent, pour le groupe, limitées : proxies, solutions basées sur le réseau, sur le filtrage d´URL, ou encore à base de signature. Pour Ironport, une bonne solution de protection de la passerelle Web doit combiner les 4.

IMG/jpg/DSC02205.jpg Arnaud Kopp, Ingénieur Avant-Vente chez Ironport, nous a présenté la nouvelle solution, la Série S, qui tente de répondre à la problématique du trafic global généré par l´ordinateur. Cette solution comprend entre autres :

- Un proxy-cache : c´est le cœur du système qui va pouvoir gérer un certain nombre de connections TCP simultanées. Cette fonction n´impacte en rien l´utilisateur. Les différentes briques de sécurité se retrouvent intégrées dans un seul boîtier, ce qui rend l´utilisation de la solution relativement simple. Le moniteur de trafic (niveau 4) détecte et bloque toute communication de spyware, keylogger, trojan, zombie,…, vers un serveur externe. Ce système permet d´avoir un aperçu de la navigation de l´utilisateur. Il apporte donc une visibilité du trafic et des menaces. Les remontées d´alertes permettent d´intervenir rapidement.

- Le filtrage du trafic Web connu : Ironport URL Filters. Le filtrage s´effectue à partir d´une base de données complète, 52 catégories, plus de 21 millions de sites, environ 3,5 millions de pages Web.

- Le filtrage du trafic Web inconnu : système de filtrage par réputation, Web Reputation Filters, qui utilise les données de SenderBase. La prévention des menaces s´effectue donc en temps réel et le filtrage s´opère avant même que l´utilisateur n´arrive sur le réseau.

- Le filtrage des contenus malveillants, Ironport Anti-Malware System : inspection complète du contenu. Différents moteurs vont scanner le flux de l´utilisateur, qui va donc être analysé en temps réel.

La solution est personnalisable, dans le sens où les différents modules proposés par la Série S pourront être activés ou non. Selon la politique des accès mise en place, l´utilisateur pourra plus ou moins accéder aux différentes utilisations. L´objectif n´est cependant pas de bloquer tout le réseau. L´appliance ne va pas chercher à tout bloquer. Le système de reporting va permettre de décomposer les consultations des sites Web effectuées par les utilisateurs, et de déterminer le type de sites qui a le plus de chance de contenir des malware.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145575
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire