Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
1. IBM Security Systems Juin 2015
Rapport trimestriel IBM X-Force sur les
renseignements relatifs aux menaces
(2e
trimestre 2015)
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
2. 2 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
Table des matières
2 Présentation à l’attention des dirigeants
3 Menaces internes et rupture de la chaîne de
confiance
6 Personnel interne et menace continue liée au courrier
électronique indésirable
10 À chaque faille son plan d'action
15 Gestion d'identité et maîtrise des risques
18 À propos de X-Force
19 Contributeurs
19 Pour en savoir plus
Présentation à
l’attention des
dirigeants
Dans le premier rapport trimestriel IBM®
X-Force®
de
cette année, nous avons effectué un tour d'horizon des
incidents de sécurité de 2014 qui nous a permis de relever
que différents secteurs d'activité sont fragilisés jusque dans
leurs fondations et que le perfectionnement des techniques
d'agression modifie le regard que nous portons sur les
questions de sécurité.
Alors que menaces sophistiquées et failles géantes
continuent de faire l'actualité, nous nous focalisons, dans
ce deuxième rapport trimestriel, sur le péril interne et les
raisons qui font qu'il demeure une problématique insidieuse
souvent négligée.
Selon le dernier index du renseignement sur la cybersécurité
2015 d'IBM Security Services, la menace interne occupe
toujours une place de choix par rapport aux autres types
d'agression. S'il apparaît que 45 % des attaques enregistrées
en 2014 venaient de l'extérieur, les 55 % restants avaient
pour origine des individus ayant accès, de l’intérieur, aux
systèmes d’information des entreprises1
.
Dans ce rapport, nous nous attacherons à voir comment
ce type de menace évolue et quels moyens employer pour
moins s'y exposer. Le terme de « menace interne » ou
« d'initié » recouvre des sens multiples : il peut s'agir d'un
salarié mal intentionné qui entend nuire à dessein, ou d'un
utilisateur qui clique par mégarde sur la pièce jointe d'un
e-mail et livre ainsi, sans le savoir, son système – voire tout le
réseau de sa société – à un logiciel malveillant. Aujourd'hui,
la majeure partie des emails indésirables est créée à des fins
lucratives par des agents qui sont à même d'envoyer toute
sorte d'exécutable nocif dans un spam. Qu'il soit mu par un
projet purement délictueux ou par l'appât du gain, n'importe
quel adversaire déterminé peut embaucher un opérateur
de spam qui mettra en place une campagne personnalisée
afin de piéger les utilisateurs en les amenant à ouvrir une
pièce jointe ou à cliquer sur un lien qui infectera le réseau
de l'entreprise par le biais d'un rançongiciel ou d'un logiciel
malveillant.
Nous nous attardons également sur le problème du « quasi-
initié », que l'on peut définir comme un sous-traitant, un
tiers à qui l'entreprise accorde sa confiance dans le cadre
d'une intervention sous contrat. Dans cette catégorie entrent
électriciens, ouvriers du bâtiment, techniciens du téléphone
et autres réparateurs qui se rendent sur place physiquement
ou ont accès aux réseaux. Aux États-Unis, l'affaire de
l'attaque des magasins Target et l'abus du recours à ces tiers
ont permis d'établir que les agresseurs font souvent main
basse sur des identifiants pour s'immiscer dans les réseaux.
La protection des données et ressources importantes étant
au centre des préoccupations de la plupart des organisations,
nous expliquons ici en quoi consistent les bonnes pratiques
et recommandations courantes afin que le lecteur puisse
commencer à réfléchir aux moyens de lutter contre ce
facteur de risque.
Pour conclure, nous aborderons les dispositifs intelligents de
sécurité, notamment les outils criminalistiques, qui facilitent
la détection des menaces internes et ouvrent la porte à
une analyse plus pointue de ce qui se passe au niveau des
systèmes et des réseaux.
L'an dernier, nous avons vu toute l'importance que pouvait
revêtir la capacité de réaction d'une entreprise, notamment
lorsqu’il s’agit de comprendre comment protéger ses
ressources informatiques, réseau et physiques critiques.
L'évaluation du risque potentiel que pose un réseau infecté,
que ce soit par quelqu'un d'interne ou d'externe à ce dernier,
permet à l'entreprise de faire face lorsque le danger se
présente à elle.
3. IBM Security Systems 3
Menaces internes et rupture de la chaîne de
confiance
Savez-vous qui a accès à vos ressources ? Nous vous expliquons comment protéger
vos actifs critiques dans le paysage actuel de l'entreprise, dans le paysage actuel de
l’entreprise, en constante évolution.
P
our la plupart des sociétés commerciales, le concept
de « menace interne » renvoie historiquement
aux employés mécontents ou négligents qui
endommageaient les biens – physique ou électroniques –
de l'entreprise. L'essor de l'espionnage soutenu par des
sociétés, mais aussi par des États, au cours de la dernière
décennie, oblige désormais à tenir compte d'une multitude
de nouveaux scénarios pour sauvegarder l'ensemble de ses
ressources.
À l'heure d'évaluer les risques de menaces internes qu'elles
encourent, de nombreuses entreprises s'intéressent de
près à leurs salariés « dignes de confiance », en particulier
ceux qui disposent de privilèges élevés. Elles attendent
d'eux qu'ils respectent des règles de confidentialité strictes
lorsqu'ils accèdent à ou gèrent des ressources commerciales
et financières de première importance. Ces utilisateurs
privilégiés sont censés respecter les politiques établies et
ne pas tirer profit de leur droits d’accès privilégiés. Dans
un environnement aux enjeux considérables, les entreprises
doivent trouver le juste équilibre entre la confiance et les
laissez-passer qu'elles accordent à ces individus. Toute
organisation veut pouvoir faire confiance à son personnel,
mais elle doit aussi vérifier ce qu'il advient de ses ressources
les plus critiques, son patrimoine, qu'il s'agisse de propriété
intellectuelle, de données financières, de plans produits ou
d'autres informations jouant un rôle capital dans sa réussite.
En général, c'est précisément la valeur de ces données qui en
fait la cible numéro un des menaces internes.
Aujourd'hui, les actifs changent souvent d'emploi au bout
de quelques années pour progresser, témoignant ainsi d'un
attachement très relatif à leur entreprise. Lorsqu'ils passent
chez un concurrent, il n'est pas rare qu'ils conservent des
amis ayant accès aux ressources de leur ancien employeur.
Si l'on ajoute à cela l'éventualité de salariés mécontents ou
en quête d'argent facile, le résultat pourrait se traduire par
une faille de sécurité dont la presse ne manquera pas de
faire ses choux gras. Avant de quitter l'entreprise, un ancien
membre du personnel peut avoir créé une « porte dérobée »
qu'il activera une fois chez son nouvel employeur et qui lui
permettra d'accéder depuis l'extérieur à des comptes cachés
ou à des données sensibles. Rien de bien nouveau ici, les
entreprises rendant compte presque tous les jours de ce
genre d'activité. Pour rester au fait de ce qui se trame, il peut
être utile de définir un processus récurrent qui recherche
ces portes dérobées ou tout autre comportement étrange ou
sortant de l'ordinaire dans les journaux d'accès et l'activité
réseau. Il existe également des services de surveillance
automatique, mais leur mise en œuvre se résume souvent à
un rapport risques-coûts pour l'entreprise.
En tout état de cause, il convient de ne pas prendre la
question de la protection des données clients par-dessus
la jambe. Récemment, y compris chez d’importants
fournisseurs gérant des bases de données d'informations
personnelles et dont les pratiques internes sont éprouvées
ont été pris de court par des menaces d'initiés. L'an dernier,
par exemple, les salariés mal intentionnés d'un distributeur
tiers ont réussi à dérober les données client d'un opérateur
téléphonique d'envergure mondiale – dates de naissance
et numéros de sécurité sociale inclus – et à s'en servir
pour débloquer des téléphones portables dans le but de les
revendre sur le marché noir2
.
Les réseaux informatiques qui hébergent les ressources les
plus importantes doivent faire l'objet d'une surveillance
volontaire et ciblée afin d'en éviter l'exfiltration par
connexion réseau, email, clé USB ou autre. Il importe non
seulement que l'entreprise limite l'accès privilégié aux
données privées (y compris celles des clients) à ses seuls
employés qui en ont besoin, mais qu'elle garde un œil sur
toute activité inhabituelle de son personnel.
De son côté, le particulier se tiendra sur ses gardes si
un prestataire lui demande de lui communiquer des
informations personnelles. Dès lors qu'une entreprise
possède des renseignements sensibles sur un individu, ce
dernier bénéficie des politiques et pratiques de celle-ci
en matière de protection des données, ce qui n'est pas
forcément facile à évaluer ou à comprendre pour le grand
public.
Un grand nombre d'organisations choisissent de renoncer à
de mises à niveau sécuritaires jusqu'au jour où un problème
survient. Il est alors souvent trop tard pour investir dans
certaines mesures de défense et mettre en place des règles
qui auraient dû l'être des années plus tôt. Nombreuses
sont celles également qui font passer au second plan
l'actualisation du niveau de sécurité, que ce soit pour des
ressources technologiques, des données ou des ressources
physiques, au motif que cet investissement n'a pas toujours
un impact positif sur le chiffre d'affaires.
4. 4 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
De la sécurité physique à l'ingénierie sociale, les
menaces sont partout.
On croit souvent que la sécurité informatique s'arrête au
réseau de l'entreprise et aux différents périphériques ou
outils qui y sont reliés. La menace numérique ne respecte
malheureusement pas toujours cette frontière. Dans bien des
cas, le réseau numérique donne accès au système de sécurité
physique de la société.
Par conséquent, cette menace peut affecter les dispositifs
d'alarme, notamment ceux qui autorisent la télésurveillance
à partir d’Internet. Elle peut aussi toucher les systèmes
téléphoniques connectés, vulnérables de l'intérieur comme
de l'extérieur. Il y a quelques années, des chercheurs
ont montré qu'il leur était facile d'allumer le micro d'un
téléphone à distance et de se livrer à des écoutes clandestines
depuis n'importe quel endroit du monde. Si le protocole
de voix sur Internet (VoIP) avait été doté d'une webcam, ils
auraient pu l'activer aussi sans que personne ne s'en rende
compte3
.
Il ressort de cette étude que lorsque vous évaluez les
menaces qui pèsent sur un réseau informatique, il est vital
de passer tous vos systèmes au crible par la même occasion.
Les photocopieuses et fax de l'entreprise, par exemple,
peuvent être la proie d'une menace mineure. La majorité,
si ce n'est la totalité, de ces équipements dispose désormais
d'une mémoire ou d'un disque dur et est souvent connectée
à un réseau interne. L'individu qui, tel le réparateur, a les
connaissances techniques idoines peut tout à fait accéder
à ces périphériques de stockage et y dérober des données
importantes. Ces périphériques sont aussi accessibles via le
réseau.
De fait, certains chercheurs ont trouvé des documents
sensibles sur le disque dur de photocopieuses achetées sur
eBay et sur d'autres acquises lors de ventes aux enchères
de matériel obsolète provenant du secteur privé et de
l'administration publique. Dans ces cas-là, nul besoin
d’aller jusqu’au piratage informatique ; il suffit de savoir
démonter un disque dur et de le raccorder à un PC. Les
lecteurs sont généralement prévus pour fonctionner sous
Linux ou Microsoft Windows. Lors du remplacement d'une
photocopieuse ou d'un fax, il est important de s'assurer
que l'entreprise elle-même – et non un tiers – conserve les
données ou les détruit.
Vecteurs d'attaque des menaces internes
Points d'entrée numériques dans les
systèmes physiques : les agresseurs
peuvent se servir des alarmes, des
photocopieuses, des fax et des
téléphones connectés comme points
d'entrée pour accéder aux données
sensibles.
Sous-traitants : personnel d'entretien,
techniciens et agents d’entretien
jouissent souvent d'un accès libre,
sans accompagnant, ce qui leur laisse
tout loisir de pénétrer les systèmes
par effraction et de mettre la main sur
les mots de passe qui traînent dans
l'espace de travail.
Le « quasi-initié » constitue, pour la sécurité des
entreprises, un autre type de menace que l'on peut qualifier
de mineur, mais qu'il convient de ne pas négliger. Il a
été le principal vecteur de l'espionnage économique bien
avant l'ère des connexions électroniques. De nombreuses
entités commerciales font appel à des sociétés d'entretien,
de réparation, de construction ou de nettoyage dont les
employés s'introduisent dans l'espace de travail en semaine
après les heures de bureau ou le week-end. En général,
ces individus accèdent librement, sans être accompagnés,
à l'intégralité des locaux de l'entreprise, parfois même aux
bureaux de la direction et aux salles de conférence.
La récente affaire Target illustre parfaitement les dangers
qui peuvent découler de cette libre circulation des
personnels tiers. En l'espèce, les pirates se sont servis
d'identifiants récupérés dans une entreprise de réfrigération
et de climatisation pour s'accaparer les informations
personnelles et financières de quelque 110 millions
d'individus, soit 11 Go de données4
. Cette affaire montre
qu'il ne faut pas hésiter à investir son temps et son
argent dans une sécurisation qui ne saurait se limiter aux
« entrées principales » du site Internet ou des serveurs Web
de la société. Bon nombre d'entreprises doivent aussi veiller
à contrôler les autres points d'accès susceptibles d'être
ouverts à leurs franchiseurs, sous-traitants ou partenaires.
5. IBM Security Systems 5
À l'échelle internationale, du reste, les vulnérabilités dues
à un défaut de surveillance sont du pain béni pour les
États et autres adversaires avides de s'infiltrer incognito
et d'accéder ainsi aux ressources d'une entreprise. Des
espions bien entraînés sont capables d'installer du matériel
d'écoute dans un bureau de cadre supérieur ou dans une
salle de conférence en quelques minutes, d'autant que leur
« formation », si elle est parfois longue et complexe, peut
aussi se résumer à brancher l’appareillage dans un mur et à
le dissimuler derrière une plante. .
En un rien de temps, une personne non habilitée sera ainsi
en mesure de fouiller les bureaux des salariés et de repartir
avec un mot de passe qu'elle aura trouvé dans un tiroir,
sur un bloc-notes ou ailleurs dans l'espace de travail. Si
des individus non autorisés peuvent pénétrer le réseau de
l'entreprise de l'intérieur, par exemple depuis le poste de
travail d'un employé, ils auront tout loisir de faire un tort
considérable à leur victime quasiment sans risque de se
faire pincer. L'accès à une photocopieuse ou à un fax leur
permettra de remplacer ou de copier le dispositif de stockage
et d'en télécharger le contenu en un instant. Bien qu'il soit
possible de protéger les machines en les verrouillant ou en
y fixant des étiquettes antivols, elles restent malgré tout
exposées. Le balayage électronique du bureau de la direction
et de la salle de conférence peut aussi se justifier.
Que la faille soit l'œuvre d'une entreprise, d'un pays
étranger ou simplement d'un individu attiré par le gain, il
existe un certain nombre de mesures de défense à prendre
si une organisation se sent visée. Par exemple, il faut que les
entreprises sises dans un bâtiment public sachent qui en est
le propriétaire, ou encore qui sont leurs voisins du dessous,
du dessus et d'à côté. Il est importante de connaître et de
protéger le lieu physique où vos données sont stockées.
L'histoire montre qu'il est extrêmement facile d'attaquer des
ressources géographiquement proches.
Dernières réflexions et recommandations
Dans le monde professionnel, il est aujourd'hui plus difficile
de prévenir le vol ou le transfert des ressources essentielles
d'une entreprise car les individus nuisibles en interne et en
externe ont la volonté, les informations, les ressources et la
patience nécessaires pour pénétrer les systèmes sans y être
autorisés. Les entreprises devraient bénéficier de réductions
fiscales à cet égard. En guise de protection, on peut
envisager de déployer des technologies et des moyens de
contrôle dédiés à la sécurité physique et technologique, mais
aussi maîtriser la connaissance des employés et sous-traitants
qui travaillent au sein ou pour le compte de l'entreprise.
Une évaluation effectuée par un tiers sera à même d'éclairer
les organisations qui essaient de conserver leurs biens à
l'abri de l'ennemi numérique, mais ignorent la menace
potentielle liée aux salariés ou aux sous-traitants qui ont
accès, de l'intérieur, à ces richesses. Il existe de nombreux
spécialistes qui ont la connaissance et l’expertise nécessaires
pour vous dispenser conseils et bonnes pratiques quant à
vos talons d’Achille - bien que cela puisse rentrer parfois en
contradiction avec la culture de l’entreprise. Bon nombre
de ces experts ont derrière eux des années d'expérience
auprès de l'armée ou du gouvernement américain, au contact
desquels ils ont acquis l’expertise nécessaire en enquêtant
ou en étant impliqué dans des affaires d’espionnage ou de
contre-espionnage.
Solution simple : faire en sorte que des membres du
personnel accompagnent les externes qui ont accès aux
zones abritant du matériel ou des données sensibles. Cela
peut paraître fastidieux ou ressembler à un gaspillage des
ressources de l'entreprise, mais cela revient relativement
peu cher sur le long terme en comparaison des millions de
dollars que coûtera une intrusion ou le vol de biens. Dans
certains organismes publics, tout sous-traitant pénétrant
les lieux doit soit être accompagné, soit se soumettre à une
vérification de son parcours professionnel.
Lorsqu'il s'agit d'embaucher et de retenir les meilleurs
employés aux postes sensibles, ou de solliciter les services de
personnes qui se voient donner accès aux données vitales de
l'entreprise, mieux vaut ne pas faire l'économie d’une étude
approfondie du CV. La plupart des sociétés effectuent déjà
un test médical pré-embauche et s'assurent que les candidats
à certaines fonctions n'ont pas de casier judiciaire.
6. 6 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
Personnel interne et menace continue liée au
courrier électronique indésirable
La diffusion de logiciels malveillants à travers les spams est à la hausse. Voici comment protéger
votre entreprise et pourquoi il convient d'appeler les utilisateurs à la plus grande vigilance.
L
a menace peut venir de l'extérieur de la société ou d'un
salarié non autorisé ou mécontent, mais tout employé,
même mu par les meilleures intentions, est susceptible
de faciliter une attaque par inadvertance en cliquant sur le
lien malveillant qui lui aura été envoyé dans un e-mail de
hameçonnage. Pour éviter cela, le service de sécurité de
l'entreprise doit reconnaître le danger que représente le
logiciel malveillant diffusé par spam et prendre les mesures
qui s'imposent pour le bloquer. Chaque utilisateur est tenu
de demeurer dans un état d'alerte permanent et de ne pas
perdre de vue que même une action parfaitement anodine
peut ouvrir la porte à une attaque.
Les professionnels de la sécurité informatique estiment
parfois que le spam ordinaire relève davantage de la
nuisance que de la menace. Après tout, les dangers tels que
le hameçonnage ou le harponnage, les logiciels malveillants
ou le déni de service distribué (DDoS) leur donnent déjà
bien assez de travail. Une analyse récente du laboratoire
de recherche X-Force montre toutefois que la menace
liée au courrier électronique indésirable progresse et qu'il
conviendrait peut-être de l'appréhender avec un peu plus de
considération.
Pour ce qui concerne l'activité récente liée au spam, on
pourrait commencer par se demander de quels pays partent
ces e-mails non souhaités. La figure 1 donne la tendance en
la matière sur les deux dernières années.
On constate dans ce tableau l'existence de hauts et de bas
au cours d'un même exercice et d'une année sur l'autre.
Quelques points clés :
• Au premier trimestre 2015, ce sont les États-Unis qui ont
envoyé le plus de spams avec 8 % du total, ce qui tend à
prouver que le phénomène s'est largement répandu.
• Le Viêtnam menait la danse en fin d'année dernière, mais
doit désormais se contenter de la deuxième place.
• L'Espagne, qui avait remporté la palme d’or à plusieurs
reprises au cours des deux précédents exercices, pointe à
présent au troisième rang.
• Tous les autres pays concernés ont envoyé entre 6,1 et
1,1 % du courrier électronique indésirable dans le monde
au dernier trimestre, avec des évolutions en dents de scie
depuis deux ans.
Pays d'où proviennent le plus de spams
1er trimestre 2013 au 1er trimestre 2015
14%
12%
10%
8%
6%
4%
2%
0%
1Q 2013 2Q 2013 3Q 2013 4Q 2013 1Q 2014 2Q 2014 3Q 2014 4Q 2014 1Q 2015
Argentine (AR)
Italie (IT)
Chine (CN)
Russie (RU)
Allemagne(DE)
République populaire de
Chine (TW)
Espagne (ES)
USA (US)
Inde (IN)
Viêt Nam (VN)
Figure 1 Pays d'où proviennent le plus de spams, 1er trimestre 2013 au 1er trimestre 2015
L'Espagne à la première place
du classement des pays d'où
proviennent le plus de spams
7. IBM Security Systems 7
À la vue de ces chiffres, on peut avoir l'impression qu'il
n'y a rien de très nouveau. Idem lorsqu'on se penche sur
le volume de spams des deux dernières années, comme le
montre la figure 2.
Volume de spams
Janvier 2013 à mars 2015
300%
250%
200%
150%
100%
50%
0%
JAN2013
FÉV2013
MARS2013
AVRIL2013
MAI2013
JUIN2013
JUIL2013
AOÛT2013
SEPT2013
OCT2013
NOV2013
DÉC2013
JAN2014
FÉV2014
MARS2014
AVRIL2014
MAI2014
JUIN2014
JUIL2014
AOÛT2014
SEPT2014
OCT2014
NOV2014
DÉC2014
JAN2015
FÉV2015
MARS2015
Figure 2 Volume de spams, janvier 2013 à mars 2015
Le plus gros volume
depuis août 2010
Similaire au
volume de
début 2013
8. 8 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
Bien qu'on note des pics importants à la hausse et à la baisse
sur le volume total de courriers électroniques indésirables
au cours des deux derniers exercices, le volume actuel est
comparable à celui d'il y a deux ans. Il ne faut cependant pas
en conclure qu'il ne s'est rien passé dans ce domaine.
La figure 3, relative à la proportion de courriers
électroniques indésirables avec pièce jointe infectée,
témoigne d’un grand changement.
Pourcentage de spams avec des pièces jointes malveillantes au format ZIP/RAR
Janvier 2013 à mars 2015
9%
8%
7%
6%
5%
4%
3%
2%
1%
0%
JAN2013
FÉV2013
MARS2013
AVRIL2013
MAI2013
JUIN2013
JUIL2013
AOÛT2013
SEPT2013
OCT2013
NOV2013
DÉC2013
JAN2014
FÉV2014
MARS2014
AVRIL2014
MAI2014
JUIN2014
JUIL2014
AOÛT2014
SEPT2014
OCT2014
NOV2014
DÉC2014
JAN2015
FÉV2015
MARS2015
Figure 3 Pourcentage de spams avec des pièces jointes infectées au format ZIP/RAR, janvier 2013 à mars 2015
La valeur la plus
importante depuis
novembre 2012
D'octobre à février, environ
4 % des spams contenaient
des pièces jointes
malveillantes
9. IBM Security Systems 9
Jusqu'à l'été 2013, la part du spam vecteur de logiciels
malveillants dépassait rarement 1 %, mais les choses se
sont sérieusement accélérées à l'automne de cette année-
là. Pendant les premiers mois de 2015, les e-mails non
souhaités avec pièce jointe corrompue représentaient
environ 4 % du total. Ainsi, bien que le volume global
de spam n'ait pas évolué depuis deux ans, les spammeurs
utilisent davantage ce canal pour diffuser des programmes
malveillants.
C’est la tendance dont a rendu compte notre rapport IBM
X-Force du 1er
trimestre 2015 sur les renseignements relatifs
aux menaces. Nous avons constaté à cette époque que les
logiciels malveillants figuraient parmi les principaux types
d'attaque et que le spam à pièce jointe corrompue était
l'un des vecteurs utilisés pour introduire des programmes
malveillants dans les réseaux des entreprises et les
ordinateurs des utilisateurs.
Un e-mail non sollicité peut être porteur de n'importe quel
logiciel malveillant, tout comme le lien qu'il contient peut
mener n'importe où. De nombreux spammeurs agissent
dans le cadre de projets mercantiles où c'est l'acheteur qui
définit la puissance de frappe plutôt que les opérateurs de
spam. Cette « opération de spams » peut être commanditée
par toute sorte d'adversaire et en vertu de motivations
bien différentes, du simple projet délictueux à la recherche
du gain. Aussi problématiques que puissent être les
répercussions, l'invasion de votre réseau professionnel par
un ransomware fera courir de gros risques à votre entreprise.
Qui plus est, un adversaire surtout intéressé par vos actifs
relevant de la propriété intellectuelle et vos secrets de
fabrication peut avoir recours au courrier électronique
indésirable pour infiltrer votre réseau via des enregistreurs
de frappe et des outils de vol de mots de passe.
On peut tirer de ces observations plusieurs conclusions. La
plus significative est que les spams représentent un risque
chaque jour plus important. Si, jadis, les « opérations de
spams » se bornaient à inciter leurs victimes à acheter
quelque chose ou à participer à une arnaque, elles visent
aujourd’hui, et de plus en plus souvent, à infecter les
ordinateurs au moyen de logiciels malveillants. Cette
tendance incite à donner davantage la priorité au filtrage
des e-mails non souhaités pour ce qui concerne la sécurité
de votre réseau. Aucune technologie ne pouvant se targuer
d'une efficacité parfaite, il nous revient d'éduquer les
utilisateurs et de faire en sorte qu'il soit plus difficile de les
duper.
Recommandations
Voici quelques recommandations qui aideront les
administrateurs réseau à faire barrage aux pièces jointes
malveillantes que l'on trouve dans le spam.
• Tenez à jour vos filtres anti-spam et anti-virus.
• Bloquez les fichiers exécutables en pièce jointe. Dans
un environnement professionnel normal, l'envoi de ce
type de pièce jointe n'est pas habituel. La plupart des
filtres anti-spam peuvent être configurés pour stopper ces
fichiers, même s'ils sont zippés.
• Utilisez un logiciel de messagerie client permettant de
désactiver l'aperçu des pièces jointes et des graphismes,
ainsi que le préchargement des liens, et désactivez-les.
Le perfectionnement des défenses profitant à vos utilisateurs
pose des problèmes plus épineux. C'est à eux d'être
conscients du danger et de faire preuve de bon sens à chaque
instant. Avant de lire un e-mail et de cliquer sur un lien ou
d'ouvrir la pièce jointe qu'il contient, ils devraient se poser
des questions simples comme :
• Est-ce que je connais l'expéditeur ?
• Est-ce que ce message et cette pièce jointe étaient
attendus ?
• Est-il normal que la pièce jointe soit zippée et le format
est-il approprié pour ce type de message et de pièce
jointe ?
• De quel type est le fichier zippé ? Si c'est un exécutable,
un économiseur d'écran ou un type de fichier que je ne
connais pas, je ne dois pas l'ouvrir !
Les spammeurs s'efforcent en général de rédiger des e-mails
qui ressemblent de plus en plus à ceux des commerces,
banques ou institutions financières en ligne, ou encore aux
systèmes internes du réseau, tels que fax et photocopieuses.
Les utilisateurs doivent aussi se méfier de ce type de
messages.
10. 10 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
À chaque faille son plan d'action
Découvrez pourquoi les outils d'analyse criminalistique offrent la visibilité nécessaire pour
comprendre ce qui se passe dans votre réseau et quelles sont les mesures à prendre afin
d'éviter les menaces.
L
a sécurisation d'un réseau face aux dangers potentiels,
c'est un peu comme la vie d'un pilote d'avion : des mois
d'ennui et des moments de panique. Si un pilote est
formé à réagir méthodiquement à tout dysfonctionnement
de son appareil, il en va de même pour les spécialistes de la
sécurité auxquels on demande d'être préparés et de disposer
des outils adéquats pour réagir méthodiquement à toute
mise en péril de leurs ressources réseau.
Un système sécurisé, c'est un système dont la violation exige
un effort beaucoup plus important que ce qu’il rapportera
comme bénéfice. Cependant, effort et bénéfice sont à
géométrie variable. L'effort à faire pour s'introduire dans
une organisation diminue à mesure que l'intrus socialise
ses outils de piratage, partage ses techniques et collabore
sur des cibles définies. Généralement, la récompense est
assez conséquente pour que des légions entières de hackers
élaborent, sur la base des vulnérabilités rendues publiques,
des logiciels sophistiqués permettant de tester et de pénétrer
les réseaux. Les experts en sécurité des entreprises visées
voient leur réseau « s'illuminer » lorsqu'une nouvelle
vulnérabilité est annoncée et que ces applications de l'ombre
s'en viennent sonder les services.
La question n'est pas alors de savoir si votre réseau sera
fragilisé, mais si vous êtes prêt à faire face et comment
répondre à l'attaque. Imaginez un pilote qui n'a jamais été
formé à la gestion des dysfonctionnements de son appareil.
Il est peu probable que cela se passe bien. Imaginez ensuite
un réseau sans capacités criminalistiques. Les perspectives
seront aussi inquiétantes.
Aujourd'hui, par exemple, les particuliers reçoivent
régulièrement des messages de leur mutuelle, de leur
banque ou de leurs sites de e-commerce qui les informe
que le réseau a été manipulé, sans que ces entreprises soient
en mesure de fournir une description claire de l'agression.
Dans bien des cas, la seule réponse possible pour le client
est de changer de carte bancaire, d'identifiants de connexion
et de mots de passe. Le fait que les utilisateurs ne puissent
jamais récupérer leurs numéro de sécurité sociale, adresses,
numéro de téléphone et autres identifiants personnels en
est une conséquence plus préoccupante. Si la perte d'un
seul élément d'identification n'est pas d'une gravité absolue,
les cyberdélinquants, lorsqu'ils connaissent les relations
ou éléments liés à l'identité personnelle d'un individu,
possèdent environ 95 % des données nécessaires pour
opérer un vol ou une fraude d'ordre financier, que la victime
ait changé de numéro de carte bancaire ou non. Ensuite, si le
fournisseur n'est pas en mesure de faire toute la lumière sur
la façon dont le détournement a eu lieu, il est peu probable
qu'il puisse garantir que cela ne se reproduira pas.
La capacité à identifier précisément la
manipulation est un principe fondamental
pour toute entreprise qui conserve des
informations suscitant l'intérêt de l'e-
criminalité.
Forensique des réseaux et des ressources
La forensique est la capacité à recréer et à articuler
clairement la mise en péril de vos systèmes. Parmi ses
fonctions élémentaires figurent la capture de paquets,
la recherche, le filtrage, la reconstitution et la micro-
inspection.
Capture de paquets
Par « capture » s'entend l'aptitude à rassembler et à
conserver toutes les transactions effectuées sur le réseau.
Elle offre la visibilité nécessaire à la forensique, mais exige
pour cela de grosses capacités de stockage. Par exemple,
l'enregistrement du trafic réseau d'un lien de 10 Gbits
fonctionnant à 60 % de sa capacité requiert quelque 7 To
de stockage au quotidien. Un dispositif de capture classique
à 2 racks (2U) affichant un volume de 56 To pourra ainsi
conserver 8 jours d'historique des données réseau. Ce laps
de temps est appelé « créneau de visibilité criminalistique ».
Plus ce créneau est long, plus la visibilité dont jouit l'analyse
forensique est importante.
11. IBM Security Systems 11
De nombreuses agressions se produisant sur de longues
périodes, la possibilité de fournir le plus grand créneau
possible au coût le plus bas revêt une importance majeure.
Ce qui coûte le plus cher dans la capture de paquets, c'est
le stockage. Aussi est-il capital de trouver une solution
économique dans ce domaine ; le créneau de visibilité n'en
sera que plus grand. Grâce à la compression, les principaux
fournisseurs de solutions de stockage peuvent multiplier par
quatre la capacité d'un système. La figure 4 donne à voir ce
que coûte la capture d'un réseau de 10 Gbits avec et sans
compression. En l'espèce, le recours à cette technologie
divise le coût par quatre, ce qui permet de capturer des
paquets pendant environ 45 jours de plus quasiment au
même prix que le stockage non compressé.
Recherche
L'enquête forensique consiste généralement à rechercher
ce qu'on ne connaît pas. La technologie du moteur de
recherche peut y aider, car elle offre :
• Une interface de recherche simple et familière
• Une visibilité immédiate à 100 % sur l'ensemble des
données criminalistiques
Quiconque recherche sur Internet un document contenant
les termes support@corporatebank.syzexperts.com par
exemple, obtiendra des résultats sur-le-champ Appliquée
à la forensique, la technologie du moteur de recherche
est tout aussi probante que la capture du trafic réseau.
L'adresse électronique ci-dessus, avec nom de l'entreprise
(corporatebank) intégrée au domaine de l'agresseur
(syzexperts.com), est un exemple typique de ce qui peut
servir à une tentative d'hameçonnage. Bien indexé,
un moteur de recherche dévoilera instantanément les
transactions réseau qui utilisent cette adresse.
Pour bénéficier d'une visibilité pleine et entière, il faut
que tout le contenu des paquets capturés soit indexé. Lors
de l'indexation, le moteur range les données dans des
champs permettant des requêtes ultraprécises. Le trafic
réseau, par exemple, est indexé par domaines Web, adresses
électroniques, URL, codes d'erreur HTTP et des centaines
d'autres champs facilitant les recherches spécifiques.
Prenons la requête suivante :
IPAddress:192.72.68.121 AND Port:880 AND URL:*$^%
AND HTTPError:404
Capture de paquets
Fenêtre Coût vs Visibilité
0 jour 10 jours 20 jours 30 jours 40 jours 50 jours 60 jours 70 jours 80 jours 90 jours 100 jours
$1000
$800
$600
$400
$200
$0
Uncompressed Compressed
Figure 4 Capture de paquets, fenêtre Coût vs Visibilité
12. 12 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
Cette requête permet à un enquêteur en forensique
de rechercher toute tentative de masquer un service
d'application HTTP en brouillant l'interface du transfert
d'état de représentation (REST) au moyen de caractères
étranges. L'enquêteur pourra ensuite concentrer sa
recherche sur une tentative d'hameçonnage.
From:*syzexperts* AND password
Cette recherche lui permettra d'identifier tout trafic de
courrier électronique contenant « syzexperts » dans le nom
de l’e-mail et le mot de passe dans le corps du message.
Filtrage
La recherche de l'inconnu impose de savoir ce qui
est important et ce qui ne l'est pas. Les fonctions de
forensique devraient inclure la possibilité de filtrer et
visualiser aisément les données de façon à pouvoir faire
cette différence. Par exemple, un chercheur peut découvrir
que les domaines adoptent un comportement étrange au
sein du réseau. Une simple recherche sur le trafic DNS
et la visualisation des relations entre les terminaux peut
rapidement révéler les « anomalies » tandis que celles-ci
ne sont pas directement disponibles dans les rapports. Par
exemple, le graphique 1 présente l'intégralité du trafic DNS
d'une demande particulière. Cette visualisation met en
évidence les deux domaines d'anomalie qui ont été résolus
en dehors des opérations normales. Cette représentation
visuelle fournit un point de départ clair pour le chercheur
afin d'examiner ces anomalies, par ailleurs impossibles à
obtenir dans des rapports standard.
Graphique 1. Relations entre les entités de réseau DNS
13. IBM Security Systems 13
Reconstitution
La reconstruction permet aux organisations de voir les
transactions réseau enregistrées dans des formats adaptés
aux utilisateurs. Les systèmes de stockage contiennent les
blocs bruts inintelligibles de données de trafic capturés
dans le réseau. Ces données brutes doivent être disséquées
et analysées avant d'être reconstruites. Des exemples de
reconstitution comprennent l'affichage d'une page Web
consultée par un adversaire, un message (ou un fil de
messages) de courrier électronique impliqué, un fichier
dérobé lors d'une attaque ou même une conversation
complète de messagerie instantanée.
Au cours du processus de reconstitution, des modules
logiciels appelés analystes décomposent les données du
réseau dans des représentations intermédiaires à des fins
de recherche et de reconstitution. Un analyste identifie
le trafic réseau via des parties de patterns à partir des flux
électroniques. Il est important d'identifier le trafic en
fonction des patterns de données, et non en fonction du
numéro de port, car il se peut qu'un pirate informatique
essaye de dissimuler le protocole. Les analystes sont conçus
par des ingénieurs qui analysent les protocoles et les services
d'extraction de métadonnées de zones clés. Les métadonnées
sont introduites dans le moteur de recherche dans un
format structuré qui permet la reconstitution détaillée des
événements du réseau. Lors de l'évaluation des capacités
d'une solution de forensique, il est important de comprendre
la différence entre l'identification du protocole et son
analyse. De nombreux vendeurs réclament des milliers
d'identificateurs de protocole. Un identificateur ne qualifie
que le protocole utilisé, un analyste brise le protocole de
recherche et de reconstitution. Les différents types de
reconstitution sont les suivants :
• Page Web
• Chat
• Réseau social
• Webmail
• Mise à jour et échange sur blog
• Transferts de fichiers
• Fichiers joints
• Métadonnées de fichier (géolocalisation, dernière
modification et autres attributs similaires)
• Flux de fichiers (exécutable, JavaScript, macros et
redirections en pièces jointes)
Micro-inspection
La recherche et la reconstitution affinent les transactions
réseau d'intérêt de plusieurs milliards de flux à un
ensemble de flux gérable. La micro inspection décompose
les analyses finales (tels que les rapports sur les fichiers
incorporés, l'entropie de fichier, la dissimulation de fichier,
les fichiers de bac à sable et les flux de fichiers, macros,
exécutables, etc.) en identifiant les contenus suspects ou
les données qui mettent en évidence des informations
forensiques stratégiques. Les environnements d'inspection
novateurs incluent la fonction d'extraction d'informations
détaillées dans le fichier de façon automatisée. Les pirates
informatiques utilisent certaines méthodologies importantes
telles que l'imbrication d'informations et de fichiers dans
d'autres fichiers et la dissimulation des types de fichier.
14. 14 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
Les systèmes forensiques détectent les fichiers imbriqués
grâce à diverses méthodes comme les nombres magiques et
l'analyse statistique. Les nombres magiques sont des attributs
d'identité de fichier et leur détection au sein d'un fichier
signale aux enquêteurs la présence d'un contenu suspect.
L'analyse statistique mesure la « normalité » d'un flux de
données ou d'un contenu de fichiers et peut potentiellement
détecter l'instant à partir duquel les données ont été injectées
dans des fichiers ou des flux de données.
Les autres techniques de micro-inspection de fichiers incluent
le « démasquage de fichier », pendant lequel l'extension du
fichier est comparée à la fois au MIME et au type de contenu.
Par exemple, les pirates informatiques masquent souvent les
fichiers exécutables sous forme de fichiers image. Ils utilisent
également les flux de fichiers joints aux documents pour
exécuter des logiciels malveillants imbriqués dans les fichiers
(macros, JavaScript, exécutables, redirections d'URL, etc.)
Le mécanisme de bac à sable est l'outil idéal car il permet
aux analystes en forensique de déterminer la façon dont une
attaque infecte un hôte. Le graphique 2 affiche les fonctions
de micro-analyse des fichiers trouvés par la recherche affinée
des flux réseau.
Synthèse
La capacité à reconstituer les activités qui ont lieu au cours
de l'altération de votre réseau est importante pour garantir la
sécurité du réseau et prévenir de nouveaux dangers. Dans la
plupart des cas, les malveillances sont difficiles à détecter avec
précision et un environnement forensique novateur aura les
mêmes capacités de recherche que son offre fondamentale.
La capacité à fournir une visibilité complète du trafic réseau
via la capture et l'indexation de toutes les données offre une
précision parfaite pour investiguer sur le processus. Des
outils supplémentaires dotés de fonctions de visualisation,
d'intelligence dérivée et de micro-inspection réduisent
considérablement la durée d'évaluation de l’agression et
peuvent décrire avec précision l'étendue des dégâts, les
adaptations et l'amélioration nécessaires en termes de sécurité
pour prévenir d'autres dommages.
Graphique 2. Micro-inspection de tous les fichiers d'un incident réseau.
15. IBM Security Systems 15
Gestion d'identité et maîtrise des risques
L'ensemble de votre personnel, et plus particulièrement les utilisateurs privilégiés, peuvent
être une menace pour vos systèmes. Sachez utiliser les bons outils pour maîtriser la gestion
du risque.
L
es menaces qui pèsent sur les ressources métier de
votre organisation, y compris vos données métier
les plus critiques, peuvent provenir de pratiquement
n'importe où et de n'importe quel utilisateur. Vous avez
donc besoin d'un ensemble complet d'outils pour contrôler
les risques. Il s'agit d'outils qui peuvent atteindre les
moindres recoins de l'entreprise, donnent un aperçu de
toutes les actions en cours et vous aident à gérer l'ensemble
des personnes ayant un accès à votre environnement.
Votre personnel peut être votre point faible
Dans bon nombre d'organisations, les attaques externes
ne sont pas la menace la plus importante pour la sécurité.
A l'inverse, ce sont les menaces internes qui peuvent
compromettre ou laisser s'échapper des données sensibles.
Les nouvelles tendances des systèmes informatiques
d'entreprise (l'essor des réseaux sociaux, le cloud, la
mobilité et l'ère du big data) rendent les menaces émanant
des employés, des fournisseurs, des partenaires et autres
personnes ayant un accès sécurisé difficiles à identifier,
et offrent au personnel interne plus de moyens pour
transmettre des informations protégées avec peu de chance
d'être détecté.
Les menaces internes sont causées par un grand nombre
de contrevenants pouvant mettre une organisation et ses
actifs en péril. Les employés malveillants représentent
une source évidente de menaces. Il en va de même pour
les utilisateurs qui laissent leurs systèmes ouverts aux
attaques par inadvertance ou qui commettent des erreurs
qui laissent la porte ouverte aux logiciels malveillants.
Même les entreprises dotées de pratiques de sécurité
solides sont toujours vulnérables aux actes de l'ingénierie
sociale qui permettent aux cybercriminels de dérober les
données d'identification d'accès. Dans l'un des cas, les
pirates informatiques envoient des courriers électroniques
malveillants à des employés sans la moindre méfiance pour
avoir accès aux données client du fournisseur.5
Sensibiliser les employés sur les communications
suspicieuses et les risques potentiels est important, cela
va de soi. Cependant, ces efforts doivent être soutenus
avec d'autres outils de protection contre les menaces, plus
puissants et automatisés, et des règles de sécurité complètes.
Utiliser les solutions (Gestion des Identités et des
Accès) pour diminuer les menaces internes
Les solutions IAM (Identity and Access Management)
peuvent jouer un rôle important dans la lutte contre les
menaces internes car elles aident à réduire la menace
engendrée par les violations de sécurité et de non conformité
qui résultent de niveaux obsolètes ou inappropriés de
privilèges d'accès. Le potentiel d'une activité de menace
interne est en réalité beaucoup plus important lorsqu'un
profil utilisateur accède à des ressources qui ne reflètent
pas les besoins actuels et les schémas d'utilisation réels.
Les utilisateurs internes qui déclenchent une attaque
peuvent également bénéficier de privilèges administratifs
mal contrôlés pour transférer une attaque à un niveau
supérieur ou modifier les systèmes pour y activer l'écoute
clandestine. Les privilèges d'accès utilisateur mal contrôlés
et mal surveillés, associés à un manque de visibilité sur leur
utilisation inadéquate ou abusive de ces privilèges jouent
souvent un rôle dans la réussite de ces attaques internes.
Par conséquent, il faut toujours s'assurer que les privilèges
d'accès s'alignent avec les règles de sécurité établies et que
les outils d'audit et de production de rapports sont en place
pour surveiller le comportement des utilisateurs et appliquer
ces règles.
Face aux menaces internes, la protection des données et
ressources critiques exige que chaque utilisateur dispose
d'un ID utilisateur et d'un mot de passe unique, mais cela
ne suffit pas. Pour garantir l'identité, vous devez utiliser
une authentification forte qui repose sur une politique
saine. Ainsi, vous pourrez non seulement vous protéger
contre les personnes malveillantes souhaitant nuire de
l'extérieur, mais aussi réduire les opportunités permettant
au personnel interne négligent de divulguer des données
involontairement. Cela permet également d'empêcher les
salariés malveillants de se servir d'une annulation laxiste des
accès aux comptes périmés ou orphelins pour attaquer vos
ressources critiques.
L'organisation devrait également utiliser des solutions de
gouvernance d'identité pour aider à classer les utilisateurs en
fonction de leur rôle et de leurs besoins en terme d’accès et
établir puis appliquer des règles basées sur des rôles pour la
gestion automatisée du cycle de vie et des mots de passe des
utilisateurs. Il ne suffit pas d'autoriser ou de refuser l'accès
aux applications ; vous devez savoir qui demande l'accès et
pourquoi, et quelles actions l'individu va mener une fois
que les droits d'accès lui seront accordés. Les solutions IAM
doivent également assurer le suivi et la mise en application
des règles pour aider à identifier les violations de règles et
les abus potentiellement à l'origine d'une menace interne.
16. 16 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
Les utilisateurs privilégiés sont souvent la plus
grande menace
Dans les infrastructures informatiques d'aujourd'hui, la
tendance à la consolidation des centres de données, à
l’utilisation du cloud computing, à la virtualisation et à
l'externalisation des environnements génère des ID avec des
privilèges plus importants. Cela crée un besoin encore plus
important de gérer ces ID privilégiés de manière centralisée
pour s’assurer de l’affectation des bons droits aux bons
utilisateurs. L'accès global de ces utilisateurs privilégiés
leur confère des habilités extraordinaires pour contrôler et
exploiter les données, les applications et les équipements
informatiques d'une organisation. Si les IDs « utilisateur
privilégié » ne sont pas correctement gérés, ils peuvent être
la cause de problèmes de périmètres de responsabilité et
de conformité en plus de l’augmentation du risque de vol
de données. Dans le même temps, les contrôles d'accès des
salariés aux autres groupes, moins privilégiés mais exposés à
un risque tout aussi élevé, ne devraient pas être ignorés. Les
administrateurs système et autres membres du personnel
informatique, qui possèdent peut-être les compétences
requises pour initier une attaque interne, ne devraient pas
être écartés. Comme illustré dans la figure 5, les décideurs
interrogés dans une récente étude IBM reconnaissent la
menace de sécurité posée par les administrateurs et les
utilisateurs privilégiés.
Heureusement, il existe un certain nombre d'approches
que peuvent adopter les organisations pour les aider à
réduire les menaces internes. Des contrôles plus stricts des
règles et une formation améliorée des utilisateurs sont un
bon début. Cela signifie veiller à ce que les membres du
personnel de l'ensemble de l'organisation soient conscients
de leurs responsabilités et de celles de leurs activités, et être
au courant des dangers pour éviter les attaques et les accès
inappropriés. Les entreprises doivent également s'assurer
que les employés sont à jour sur les exigences réglementaires
et de conformité.
Ces mesures doivent être renforcées par des outils de
sécurité efficaces. Les solutions de renseignement de
sécurité qui surveillent le comportement et permettent
la détection d'anomalies sont inestimables, à l'instar des
solutions de gestion d'identités privilégiées (PIM) qui
contrôlent et surveillent l'accès des « super-utilisateurs ».
Les outils de gouvernance des identités peuvent aider à
garantir que les droits d'accès des utilisateurs correspondent
à leurs responsabilités professionnelles. Les solutions
de renseignement et de gouvernance, lorsqu'elles sont
intégrées, peuvent contribuer fortement à la lutte contre les
salariés malveillants.
Pourcentage de spams avec des pièces jointes malveillantes au format ZIP/RAR
Risque qu’un administrateur/employé privilégié puisse
compromettre vos données
Menaces provenant des activités de médias sociaux
Les portes dérobées ou fonctions cachées insérées par
les produits utilisés dans la chaîne d'approvisionnement
(microprogrammes, middleware, kits d'outils, etc.)
Insertion de logiciels malveillants ou de vulnérabilités
latentes dans les produits
Menaces persistantes sophistiquées pour l'entreprise
Menaces dues à la mobilité des employés et au BYOD
(« Bring Your Own Device »)
Menaces de périphériques perdus ou volés
Menaces spécifiques au Cloud Computing
Figure 5 Les principales menaces de sécurité décrites par une enquête d'IBM Institute for Business Value
Source : IBM Institute for Business Value, Etude de l'infrastructure informatique ; Q7 : Dans quelle mesure les menaces de sécurité suivantes vous concernent-elles ?
17. IBM Security Systems 17
Les renseignements opérationnels : votre future
arme secrète
Pour lutter efficacement contre les menaces internes, il
est important d'établir et de gérer des contrôles d'accès et
une surveillance des cadres et dirigeants supérieurs qui ont
souvent un accès illimité aux données les plus sensibles de
l'organisation. Sans surveillance adéquate, une personne
expérimentée qui a quitté l'organisation il y a quelques
mois, voire un pirate informatique qui a pénétré dans votre
système, pourrait utiliser l'accès privilégié d'un dirigeant
pour accéder à vos serveurs, à des appliances réseaux et à
des données. Une meilleure surveillance de ces utilisateurs
et de leurs activités peut déclencher une alerte de niveau
important lorsqu’un utilisateur accède, partage et télécharge
sans autorisation des informations confidentielles.
Pour aider à mieux responsabiliser les utilisateurs et réduire
les menaces internes, les organisations devraient envisager
une approche IAM à l'échelle de l'entreprise, soutenue par
des analyses et des renseignements de sécurité. Une telle
approche peut permettre aux organisations d'identifier
rapidement et avec précision les anomalies dans le
comportement de l'utilisateur, comprendre leurs rôles et
leurs appartenances aux groupes, assurer une protection
contre la fraude interne et démontrer la conformité aux
nouvelles réglementations.
Les systèmes intégrés de renseignement sur les identités
peuvent également surveiller l'activité des utilisateurs, partie
essentielle d'une défense active contre les menaces internes.
Le fait d'utiliser conjointement l'analyse des renseignements
de sécurité et les outils de production de rapports, par
exemple, peut fournir des fonctions essentielles pour auditer
les activités des utilisateurs et détecter tout comportement
suspect. Basées sur les renseignements de sécurité, les
solutions de surveillance de l'activité de l'utilisateur offrent
une visibilité complète sur son activité et son impact.
Les renseignements de sécurité permettent également
de détecter les menaces internes qui ont lieu sur une
période prolongée. Certaines solutions se concentrent
sur des événements, des actifs ou des types de transaction
spécifiques afin de stocker et d'analyser une quantité de
données beaucoup moins importante et plus simple à
gérer. Elles permettent même d'identifier une attaque
« faible et lente » de l'intérieur. Mieux encore, grâce aux
renseignements de sécurité, les entreprises n'ont plus
besoin de s'atteler sur « ce qui est arrivé » et peuvent
prédire directement « ce qui va se produire », aidant ainsi
l'organisation à bloquer les violations potentielles.
Recommandations
Quelles sont donc les meilleures pratiques pouvant
vous aider à atténuer les risques internes et renforcer la
conformité ?
Les ID privilégiés ne cessent de croître. Vous devez
donc contrôler le risque associé.
Les organisations délèguent souvent des tâches
administratives spécifiques à un important effectif
de personnel ou de fournisseurs dont l'appartenance
change fréquemment. En outre, les employés tels que
les propriétaires et développeurs d'applications peuvent
avoir besoin d’un accès occasionnel ou un accès ponctuel
privilégié à des ressources spécifiques pour effectuer
des tâches de maintenance. Ces deux pratiques peuvent
provoquer une augmentation du nombre d'identifiants
fournis au sein de l'organisation. Mais même si elle peut
s'avérer rapide pour contrôler la croissance des ID en
permettant à plusieurs utilisateurs privilégiés de partager un
ou plusieurs ID utilisateur communs sur chaque ressource,
ce n'est pas une bonne idée. Cette pratique évite d'avoir
à ajouter et à supprimer continuellement des comptes à
mesure que les utilisateurs arrivent et repartent, mais elle
met également fin à leur responsabilité. En plus de détruire
la responsabilité des utilisateurs, elle peut interférer avec la
conformité réglementaire. La meilleure solution consiste
à déployer un système de gestion d'identité qui peut
fournir un moyen sécurisé et pratique pour le personnel
informatique de partage d’IDs privilégiés tout en offrant
des moyens de vérification du comportement individuel des
utilisateurs.
Accorder des droits aux utilisateurs de manière
appropriée et les tenir à jour. Les droits des utilisateurs
doivent être mis à jour pour s'adapter aux changements, en
particulier lorsque les employés changent de fonction ou
quittent l'organisation. Une pratique relativement simple
que chaque organisation peut adopter est d’octroyer aux
utilisateurs les droits d’accès les plus restreints dont il ont
besoin et d'effectuer par la suite des audits réguliers. Parce
que le risque de préjudice est d'autant plus grand que les
droits augmentent, le nombre de comptes privilégiés doit
être maintenu à un niveau minimum. L'octroi de droits pour
les ID privilégiés doit être examiné et se limiter uniquement
à ceux qui nécessitent réellement un accès privilégié et qui
possèdent les autorisations et habilitations nécessaires.
Gérer et surveiller la sécurité et la conformité des
utilisateurs. Une fois les comptes utilisateur établis, les
organisations doivent surveiller et contrôler attentivement
les activités associées aux identifiants pour mettre en
évidence les anomalies ou les utilisations inappropriées des
privilèges du compte. En combinant la surveillance des
utilisateurs et des applications avec la visibilité de la couche
applicative du réseau, les entreprises peuvent détecter plus
facilement les écarts significatifs par rapport à une activité
normale, ce qui aide à stopper une attaque avant qu'elle
n'aboutisse.
18. 18 Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces (2e
trimestre 2015)
À propos de X-Force
Les menaces avancées sont partout. Réduisez vos risques grâce aux connaissances des
experts IBM
Les équipes de recherche et de développement d'IBM
X-Force étudient et surveillent les dernières tendances en
termes de menaces, y compris les vulnérabilités, les failles,
les attaques actives, les virus et autres logiciels malveillants,
le spam, le hameçonnage et le contenu Web malveillant.
En plus de conseiller les clients et le grand public sur les
menaces émergentes et critiques, IBM X-Force propose
également des contenus de sécurité pour aider à protéger les
clients IBM contre ces menaces.
Collaboration IBM Security
IBM Security représente plusieurs marques qui offrent un
large éventail de compétences de sécurité :
• L'équipe de recherche et de développement IBM X
-Force découvre, analyse, surveille et enregistre un
large éventail de menaces de sécurité informatique, de
vulnérabilités ainsi que les dernières tendances et les
méthodes utilisées par les pirates informatiques. D’autres
groupes au sein d'IBM utilisent ces données riches pour
développer des techniques de protection pour nos clients.
• IBM X -Force Exchange est une plate-forme puissante de
partage des renseignements relatifs aux menaces. Conçue
pour utiliser, partager et agir sur les renseignements
relatifs aux menaces, le tout soutenu par l'efficacité et
la réputation d'IBM X-Force. Les utilisateurs peuvent
rechercher divers indicateurs de menace issus des
renseignements générés par cette plate-forme, leur
ajouter du contexte fourni par les utilisateurs et offrir
ainsi un moyen de collaboration pour rechercher et aider
à stopper les menaces.
• La famille de produits de sécurité IBM Security Trusteer®
offre une plate-forme de prévention de la cybercriminalité
holistique sur les terminaux qui contribue à protéger les
organisations contre la fraude financière et les violations
de données. Des centaines d'organisations et des dizaines
de millions d'utilisateurs finaux comptent sur ces produits
IBM Security pour protéger leurs applications Web,
ordinateurs et équipements mobiles contre les menaces
en ligne (telles que les logiciels malveillants et les attaques
par hameçonnage sophistiqués).
• L'équipe de sécurité des contenus IBM X -Force parcourt
et classe de façon indépendante le Web par catégories
en balayant les nouveautés non propriétaires (non IBM)
ainsi que les flux fournis par l’équipe IBM MSS (IBM
Managed Security Services).
• IBM Managed Security Services est responsable des
failles de sécurité liées aux terminaux, aux serveurs (y
compris aux serveurs Web) et à l'infrastructure réseau en
général. Ce dispositif assure le suivi des failles publiées
sur le Web ainsi que via d'autres vecteurs tels que les
e-mails et la messagerie instantanée.
• IBM Professional Security Services fournit des services
d'évaluation, de conception et de déploiement de la
sécurité dans toute l'entreprise pour faciliter la création
des solutions efficaces en matière de sécurité de
l'information.
• IBM QRadar®
Security Intelligence Platform est une
solution intégrée de gestion des événements et des
renseignements relatifs à la sécurité, de gestion des
journaux, de gestion de la configuration, d'évaluation de
la vulnérabilité et de détection des anomalies. Elle est
dotée d'un tableau de bord unifié et d'un aperçu en temps
réel des risques de sécurité et de conformité entre les
personnes, les données, les applications et l'infrastructure.
• IBM Security QRadar Incident Forensics vise à fournir
aux équipes de sécurité d'entreprise une visibilité sur les
activités de réseau et à clarifier les actions utilisateur.
Cette solution peut indexer à la fois le contenu des
métadonnées et de charge utile dans des fichiers de
capture de paquets (PCAP) pour reconstruire entièrement
les sessions, générer des impressions numériques, mettre
en évidence le contenu suspect et faciliter l'exploration
des données de recherche à l'aide de visualisations.
QRadar Incident Forensics s'intègre facilement à QRadar
Security Intelligence Platform et peut être consulté
en utilisant une interface de gestion QRadar à console
unique.
• IBM Security AppScan®
permet aux organisations
d'évaluer la sécurité des applications Web et mobiles,
de renforcer la gestion du programme de sécurité des
applications et d'atteindre la conformité réglementaire en
identifiant les vulnérabilités et en générant des rapports
à l'aide des recommandations de correctifs intelligents
pour faciliter la réparation. Le service IBM Hosted
Application Security Management est une solution sur
le cloud destinée au test dynamique d'applications Web
en utilisant AppScan dans les environnements de pré-
production et de production.
• Les solutions de gestion des identités et des accès IBM
Security aident à renforcer la conformité et à réduire
les risques en protégeant et en surveillant les accès
utilisateur dans les environnements à multi-périmètres
d'aujourd'hui. Elles aident à protéger les données et
les applications critiques grâce au contrôle d'accès en
fonction du contexte, à la mise en application des règles
de sécurité et la gouvernance d'identité orientée métier.
19. IBM Security Systems 19
Contributeurs
Le rapport IBM X-Force Threat Intelligence Quarterly est
le fruit d'une de la collaboration de l’ensemble des équipes
d'IBM. Nous tenons à remercier les personnes suivantes
pour leur attention et leur contribution à la publication de
ce rapport :
Pour en savoir plus
Pour en savoir plus sur IBM X-Force, consultez le site Web
suivant : ibm.com/security/xforce/
Contributeur Titre
Ben Wuest Technicien sénior, IBM Security Intelligence
Doug Franklin Technologue de recherche, IBM X-Force Advanced Research
Leslie Horacek Responsable, IBM X-Force Threat Response
Michael Campbell Spécialiste de la sécurité sénior, IBM Security Systems Sales Enablement
Pamela Cobb Responsable du marché mondial, IBM X-Force and Threat Portfolio
Ralf Iffert Responsable, IBM X-Force Content Security
Robin Cohan Responsable produit, IBM Security Identity Management
Roger J. Hellman Responsable du marché mondial, IBM Security Intelligence
Russell Couturier Directeur de la technologie, IBM Network Forensics
Tim Kroupa Chef de mandat, IBM Emergency Response Services
Veronica A. Shelley Responsable du marché mondial, IBM Identity and Access Management