Sur le premier semestre 2016, Beazley a traité deux fois plus d’attaques par ransomware (cryptage puis demande de rançon) que sur toute l’année 2015 (86 contre 43). Après le secteur de la santé, ce sont les institutions financières, et plus particulièrement celles dont le chiffre d’affaires n’excède pas 35 M$, qui ont subi les violations de données les plus graves selon l’étude de l’assureur.
L’assureur Beazley vient de publier les premiers résultats de son étude mondiale Beazley Breach Insights pour le premier semestre 2016, portant sur 955 affaires de violation de données (contre 611 au premier semestre 2015). Le nombre d’attaques par piratage informatique ou attaque de logiciel malveillant est jugé préoccupant (31% du total).
L’assureur Beazley envisage ainsi de faire face à deux fois plus d’attaques par ransomware (cryptage de données puis demande de rançon pour les hackers) en 2016 si la tendance du premier semestre se maintient au second.
Or ces attaques inquiètent les autorités. Europol, l’office européen des polices, a ainsi lancé le 25 juillet 2016 un site internet, No more ransom, destiné à informer sur le danger des attaques parransomware, ces logiciels malveillants qui cryptent les données d’un support connecté jusqu’au paiement d’une rançon. Le site européen propose des conseils – valables pour un nombre limité de logiciels malveillants – afin de récupérer les données sans avoir à payer les cybercriminels.
ALERTE SUR LES INSTITUTIONS FINANCIÈRES
Au sujet de l’identité des victimes, Beazley maintient son alerte sur le secteur de la santé. Les violations de données sous la forme de divulgations non intentionnelles représentent 42 % de tous les incidents sur le secteur au premier semestre 2016. Un phénomène dû au grand volume d’informations échangées par les acteurs du secteur.
Mais l’assureur souligne également la forte vulnérabilité des institutions financières dont le chiffre d’affaires n’excède pas 35 M$. Sur l’année 2015, le piratage informatique et les attaques de logiciels malveillants constituaient 27 % des 128 violations de données d’institutions financières traitées par Beazley. Sur le premier semestre 2016, ce pourcentage subit une importante croissance en atteignant 43 % des 139 affaires traitées.
5 RECOMMANDATIONS CLES DU CLUSIF POUR LA SECURISATION DES ENTREPRISES
Pour se prémunir des cyberattaques, le CLub de la Sécurité de l’Information Française (CLUSIF) s’est penché sur les bonnes pratiques pour sécuriser l’infrastructure entreprises. Dans un livre blanc de 10 pages publié en mai dernier, le Clusif rappelle les mesures essentielles à prendre pour se mettre à l’abri des attaque par piratage informatique :
1. Sécuriser les échanges
Le premier point important consiste à sécuriser les échanges en chiffrant les informations essentielles avec un logiciel de messagerie adéquat, et donc pas uniquement un webmail accessible en ligne. S’il n’est pas possible de chiffrer et de signer complètement ses messages, le Clusif recommande de chiffrer au moins localement les pièces jointes et des informations sensibles pour que les tiers ne puissent les ouvrir à l’improviste.
Et rappelle des mesures de bons sens, telles que le changement des mots de passe régulièrement et a minima lors que des collaborateurs quittent la société (ne serait-ce que pour éviter que le commercial ne parte avec la liste de prospect dans son ordinateur). De même, pensez à utiliser des systèmes de VPN (Virtual private network – réseau privé network) pour travailler à distance sur le réseau de votre société.
2. Structurer son réseau
Le deuxième point consiste à structurer son réseau : ne pas multiplier les technologies différentes (pour faciliter les mises à jour), bien configurer ses pare-feu, antivirus et accès à Internet (en sachant qui accède à quoi et qui peut émettre quoi) tout en maintenant le tout à jour pour se prémunir d’éventuelles failles, et surtout proscrire l’accès à la fois à Internet et aux données sensibles sur l’entreprise à partir d’un même poste.
Le Clusif recommande également d’avoir un double abonnement à Internet en cas de panne du prestataire principal.
3. Vérifier les mises à jour
Le Clusif recommande de vérifier « au minimum une fois par an » que les logiciels installés sont bien à jour. En pratique, le faire une fois par semaine ou activez les mises à jour automatiques dans votre système d’exploitation. Désactiver les fonctions du système d’exploitation qui ne sont pas utilisées (si cela est possible) ainsi que le compte invité, n’utiliser que des logiciels provenant de sources sures, protéger la session avec un mot de passe robuste et sécurisé.
Et comme pour un ordinateur personnel, protégez-le par un pare-feu, antivirus (si vous êtes sous Windows), et faire des sauvegardes régulières du travail dans le Cloud et sur des supports externes physiques, en pensant à la possibilité de faire des restaurations en cas de souci.
4. S’assurer de la présence d’un pare-feu
Le Clusif insiste fortement sur la nécessité d’installer un pare-feu. Ce type de logiciel qui va filtrer la façon dont les données circulent entre votre ordinateur et votre réseau, voire Internet est déjà souvent installé dans la plupart des systèmes d’exploitation (Windows Defender par exemple) ainsi que dans les box des fournisseurs Internet.
Si les recommandations du Clusif vous semblent un peu trop complexe à mettre en place ou trop coûteuses puisqu’elles impliquent de passer par un prestataire commerciale, utilisez a minima ces solutions déjà disponibles et configurez soigneusement en utilisant comme principe de base « tout ce qui n’est pas explicitement autorisé est interdit ».
5. Protéger néanmoins la vie privée des salariés
Enfin concernant l’usage de la messagerie et du Web, le Clusif rappelle que la sécurité de l’entreprise ne doit pas se faire aux dépens du respect de la vie privée des salariés. S’il est donc nécessaire d’établir certaines méthodes de protection, celles-ci doivent respecter les recommandations de la CNIL.
Nous vous rappelons que RiskAttitude peut vous conseiller sur la gestion des risques Cyber. Si vous êtes intéressé par une Formation, un Audit, ou le Développement de logiciel, contactez-nous.