ICSS CYBERSECURITY CONFERENCE LOUVAIN OBSERVATIONS ET PERSPECTIVES PARFOIS SURPRENANTES, PARFOIS PLUS ATTENDUES

Transcription

1 INFO SECURITY MAGAZINE ANNÉE 1 - MARS ICSS CYBERSECURITY CONFERENCE LOUVAIN OBSERVATIONS ET PERSPECTIVES PARFOIS SURPRENANTES, PARFOIS PLUS ATTENDUES NOUS N APPRENONS PAS DE NOS ERREURS, LES CYBERCRIMINELS BIEN, MALHEUREUSEMENT SPÉCIALE EXPOSITION INFOSECURITY - STORAGE EXPO - TOOLING EVENT BONNES PRATIQUES POUR MIEUX SÉCURISER LES SYSTÈMES DE GESTION DE BÂTIMENTS - DIRK COOLS SOUHAITE PROMOUVOIR G DATA CHEZ LES ENTREPRENEURS BELGES - UN RÉSEAU SÉCURISÉ EN TROIS ÉTAPES - UNE INFRASTRUCTURE PROGRAMMABLE EST-ELLE VRAIMENT SÉCURISÉE? - UN SCRIPT CONTENANT DES HASH-CODES PERMET DE DÉTECTER UN LOGICIEL BRICOLÉ - LE CRYPTAGE S'IMPOSE TOUJOURS DAVANTAGE - BEAUCOUP DE CYBERCRIMINELS COMMENCENT PAR DES VOLS NUMÉRIQUES DANS DES JEUX EN LI-GNE -COLONNE GUY KINDERMANS

2 Not PURE g Colophon - Éditorial Infosecurity Magazine est le seul magazine indépendant au Benelux consacré exclusivement à la sécurité informatique. Le magazine est à la croisée des enjeux technologiques et stratégiques. Depuis le fonctionnement de la barrière à l entrée de l entreprise jusqu aux réflexions stratégiques au sein du comité de direction. Infosecurity Magazine paraît cinq fois par an. Il est distribué sur abonnement : abonnement Clients Félicitations, vous tenez en mains le premier numéro d Infosecurity Magazine Belgium, un magazine que nous pouvons fièrement qualifier de tout premier magazine totalement dédié à la sécurité informatique dans ce pays. En collaboration avec nos collègues néerlandais, nous voulons vous fournir les informations les plus récentes et pertinentes sur la sécurité et le secteur de la sécurité. Dans ce magazine et sur notre plateforme en ligne Vous réjouissez-vous de cette nouvelle initiative? Vous trouvez qu il manque encore quelque chose? Faites-le nous savoir : envoyez-nous un à redaction@infosecuritymagazine.be, nous dialoguerons volontiers avec vous pour rendre notre magazine encore meilleur. 2 Pure Storage is a leader in the 2014 Gartner Magic Quadrant for Solid-State Arrays. Find out why, visit: purestorage.com/gartner PURE All-flash storage is what we do. Which is why we ve become the natural choice for accelerating the next-generation data center. Pure Storage FlashArrays are purpose-built to deliver the full advantages of flash, pushing the speed limit for business with disruptive innovation that s hard to imitate Pure Storage, Inc. Pure Storage and the Pure Storage Logo are trademarks or registered trademarks of Pure Storage, Inc. or its affiliates in the U.S. and other countries. Gartner, Magic Quadrant for Solid-State Arrays, Valdis Filks et al, 28 August Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. Editeur Jos Raaphorst +31 (0) jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Rédaction Stef Gyssels redactie@infosecuritymagazine.be Les ventes de publicité Jan De Bondt Tel jan@djinn.eu Peter Witsenburg Tel: peter@witsenburg-consultancy.com Édition / trafic Ab Muilwijk Apparence Media Service Uitgeest Pression Profeeling Infosecurity Magazine est une publication de FenceWorks BV Beatrixstraat CK Zoetermeer +31 (0) info@fenceworks.nl 2015 Aucune partie de cette publication ne peut être reproduite en aucune façon sans l autorisation expresse de l éditeur. Plus d infos: Dans cette édition d Infosecurity Magazine, nous accordons une attention particulière aux formations en sécurité. L approche classique en ce domaine est de suivre un cours technique ou un atelier. De cette manière, nous apprendrons la différence entre un trafic de données normal et anormal, des concepts comme Unified Threat Management, et nous verrons si nous obtenons le budget nécessaire comment appliquer une sécurité au niveau fichier ( file-level ). Peter Vermeulen du bureau d études Pb7 Research constate à juste titre dans son article que nous ne prenons toujours pas la mesure des réalités : la sécurité informatique ne se limite pas à placer un nombre impressionnant de serrures numériques sur la porte. Il s agit aussi et sans doute surtout d une question humaine. L homme commet beaucoup d erreurs. La plupart du temps involontairement, mais il y a également des individus qui, par exemple, ont la volonté de se venger, après un licenciement injustifié selon eux. Le second problème peut être résolu par une solution technique (introduction de droits d accès et autres), mais le premier problème est surtout une question de prise de conscience. Et de bonnes procédures. Imaginons que nous ayons pris toutes les mesures nécessaires, sur le point technique comme humain. Sommes-nous alors en sécurité? Pas vraiment, je le crains. Il y a encore un troisième problème : les clients. Ou plutôt : les gens qui se font passer pour des clients. Ils sont des fraudeurs, des arnaqueurs ou tout ce dont vous voulez les qualifier. Ils parviennent à s introduire dans l entreprise. Souvent en se servant d une histoire bien construite à propos d un appareil ou un service pour lequel il pourrait y avoir un problème. Ces gens veulent souvent obtenir un remboursement ou quelque chose dans le genre. Ce groupe d individus reste souvent peu documenté dans le monde de la sécurité informatique. Cette question est plutôt destinée au département fraude. A juste titre? Car les cybercriminels semblent de plus en plus souvent utiliser ce canal. Les grandes entreprises dépensent beaucoup de milliards partout dans le monde pour contrer ce genre d abus. Elles dépensent cet argent auprès de fournisseurs connus dans le domaine des Big Data et les solutions analytiques, comme SAP et SAS Institute. Armées de ce genre d outils, elles recherchent des anomalies parmi les énormes quantités de données qu elles rassemblent à propos des clients, des partenaires, des transactions, etc. Des anomalies qui peuvent indiquer un usage inapproprié des procédures. Toutes les communications entre l entreprise et ses clients, réels ou supposés, ne se font toutefois pas par des formulaires en ligne ou des s. Parfois, cela passe par un coup de téléphone à un call center. Souvent, ce type de criminels utilisent leur bagout pour s introduire relativement facilement dans l entreprise. Il n est pas question pour la sécurité d associer des outils à des systèmes et des processus. L intégration doit se faire rapidement. Les grandes entreprises sont dès lors à la recherche d outils qui peuvent associer toutes les techniques Big Data à des analyses de fichiers audio, par exemple. Cela explique le grand intérêt des sociétés de capital à risque pour des entreprises comme Pindrop Security. Ce genre de start-up développent des technologies d investigation des conversations téléphoniques : quelle communication téléphonique provient d un client légitime et laquelle provient d un fraudeur ou cybercriminel potentiel? Ce genre d outils s intègrent très bien à des solutions SIEM par exemple. Ils permettent de franchir une étape importante dans la lutte contre les cybercriminels. Stef Gyssels Rédacteur en chef Infosecurity Magazine INFOSECURITY MAGAZINE - NR. 1 - MARS

3 CONTENT Thru side panel for Microsoft Outlook MFT: more than File Sharing File-based Automation Non-Repudiation Experts in Managed Ad Hoc MFT PCI Compliant Integrated Global File exchange with Salesforce Seamless Enterprise Integration Transport Encryption ( Data-in-Transit ) Automate, Integrate and Control Secure File Transfer Experts in Managed File Transfer Software and Solutions! OWASP Comprehensive File Transfer for the Enterprise B2B MFT OpenPGP Mobile File Transfer File Transfer Software and Solutions for the Enterprise! Secure Managed File Transfer Integration and Programmatic File Transfer 10 Une enquête de la BSA le prouve: les Etats européens ne sont pas tous bien préparés à la législation sur la cybersécurité 11 Bonnes pratiques pour mieux sécuriser les systèmes de gestion de bâtiments Nous n'apprenons pas de nos erreurs, les cybercriminels bien, malheureusement 14 L'un des problèmes majeurs rencontrés dans le domaine de la sécurité IT est le fait que l'on n'apprend pas ou que peu de ses erreurs. "Comment expliquer sinon que les cybercriminels restent encore performants avec des méthodes d'attaque qui datent de plusieurs années et qu'ils exploitent des failles dans les logiciels et les réseaux qui auraient déjà dû être corrigées depuis longtemps?", s'interroge Simon Leech de Hewlett Packard Belgium. 35 Un réseau sécurisé en trois étapes Un script contenant des hash-codes permet de détecter un logiciel bricolé 38 Après avoir été axée pendant longtemps sur la sécurisation des portes d accès aux systèmes informatiques, la cybersécurité est occupée à revenir aux sources. Il s agit à nouveau de protéger les logiciels d une utilisation non autorisée. En insérant un script avec des hash-codes dans les instructions, il est possible avec certitude de détecter si certains programmes ont toujours les mêmes caractéristiques que quand ils ont été activés pour la première fois. 43 Beaucoup de cybercriminels commencent par des vols numériques dans des jeux en ligne 44 Smals construit un modèle d évaluation de la sécurité cloud 45 Colonne Guy Kindermans PROGRAMME, PLAN FAIR, LISTE DES EXPOSANTS ET TOUTES LES INFORMATIONS: INFOSECURITY.BE, STORAGE EXPO ET THE TOOLING EVENT OBSERVATIONS ET PERSPECTIVES PARFOIS SURPRENANTES, PARFOIS PLUS ATTENDUES 6 Le mois passé s est tenu à Louvain l International Cyber Security Strategy Congress (ICSS) autour du thème Cyber Security and Forensic Readiness. Ce congrès organisé notamment par le Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCENTRE) et la KU Leuven comme hôte, nous a valu quelques observations et perspectives parfois surprenantes, parfois plus attendues. Voici un aperçu des présentations les plus remarquées. DIRK COOLS SOUHAITE PROMOUVOIR G DATA CHEZ LES ENTREPRENEURS BELGES UNE INFRASTRUCTURE PROGRAMMABLE EST-ELLE VRAIMENT SÉCURISÉE? De nombreuses personnes considèrent le software-defined networking comme l une des plus grandes révolutions informatiques depuis l abandon du mainframe au profit des desktops. D ailleurs, cette révolution n affecte pas seulement les LAN, WAN et réseaux de centres de données. En effet, les logiciels s imposent toujours plus dans chaque élément de l infrastructure IT, un changement s explique par le fait que les systèmes à base logicielle promettent davantage de flexibilité, d évolutivité et d automatisation. Avec en toile de fond la possibilité de programmer à distance l ensemble de l environnement IT. Ce qui permettra aux organisations de mieux répondre à la dynamique à laquelle elles sont confrontées. Mais quel est le niveau de sécurité d une telle infrastructure programmable? LE CRYPTAGE S IMPOSE TOUJOURS DAVANTAGE Depuis le 1er Janvier, il succède à Jan Van Haver et devient Country Manager Benelux pour G DATA. Dirk Cools a de grandes ambitions pour G DATA sur le marché du Benelux. «G Data offre des solutions de sécurité informatique parmi les plus fiables. Tous les entrepreneurs des Pays-Bas, du Luxembourg, et de la Belgique, mon propre pays, devraient le savoir», martèle Dirk avec engagement. 40 Le cryptage, entendez le verrouillage d informations pour les rendre illisibles aux personnes non-autorisées, prend une importance croissante au moment où l attention se focalise sur la protection des données et de la vie privée suite aux révélations dans la presse sur les écoutes des services de sécurité et aux piratages de données à grande échelle. Songeons par exemple au récent hacking de Gemalto. Le cryptage est donc un sujet tendance. Forrester a récemment inventorié les principaux fournisseurs de cryptage d extrémité sur la base de 52 critères. Et classé Sophos en tête. 4 VIACLOUD BV BEECH AVENUE PW SCHIPHOL-RIJK THE NETHERLANDS +31 (0) INFO@VIACLOUD.NL INFOSECURITY MAGAZINE - NR. 1 - MARS

4 ICSS CYBERSECURITY CONFERENCE LOUVAIN STEF GYSSELS 1. COLLABORER EST INDISPENSABLE... Le discours inaugural du ministre belge de la Justice Koen Geens a d emblée donné le ton. Après une énumération de quelques initiatives locales comme un meilleur cadre législatif pour lutter plus efficacement contre la cybercriminalité et une formation plus adéquate des corps de police afin d identifier et de s attaquer plus rapidement au cybercrime, Koen Geens a souligné l importance d une collaboration internationale. Les frontières physiques ou virtuelles n arrêtent nullement les cybercriminels: ceux-ci peuvent Koen Geens OBSERVATIONS ET PERSPECTIVES PARFOIS SURPRENANTES, PARFOIS PLUS ATTENDUES Le mois passé s est tenu à Louvain l International Cyber Security Strategy Congress (ICSS) autour du thème Cyber Security and Forensic Readiness. Ce congrès organisé notamment par le Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCENTRE) et la KU Leuven comme hôte, nous a valu quelques observations et perspectives parfois surprenantes, parfois plus attendues. Voici un aperçu des présentations les plus remarquées. exploiter les potentialités de l internet mondial, généralement même en tout anonymat. Dès lors, les équipes de lutte contre le crime doivent opérer de manière transfrontalière si elles veulent avoir des chances raisonnables de succès. Frederic Van Leeuw, magistrat fédéral au SPF Justice, a insisté sur une autre justification de la collaboration internationale: prises isolément, les équipes de lutte contre la cybercriminalité ne sont souvent pas armées contre les bandes organisées et contre les grandes entreprises qui s appuient sur un monde virtuel et globalisé pour échapper à leurs obligations locales. Et de comparer à l occasion de ce congrès la situation au Far West. Comment le sherif local d un petit village peut-il faire face à des bandes et organisations complexes dans une région largement hors-la-loi, comme c est le cas chez nous? La collaboration doit dès lors intervenir tant au niveau législatif que du respect de la loi, si nous voulons avancer dans le lutte contre les cybercriminels, a conclu Frédéric Van Leeuw MAIS EST AUSSI DIFFICILE S il est une réalité apparue clairement au cours d un congrès comme ICSS2015, c est que la collaboration, tant au plan national qu international, est particulièrement complexe. Toute forme de collaboration fructueuse doit donc être considérée comme un succès remarquable. Permettez-nous de les aborder. Dans chaque pays, nous retrouvons certes les services de police traditionnels, outre au niveau national et parfois même également fédéral et/ou local une cellule spécialisée en cybercriminalité. Par ailleurs, existe Europol, le service de police pan-européen qui a également mis sur pied son propre département de cybercriminalité (European CyberCrime Center, ou EC3). Et il ne faudrait pas oublier les services de police aux Etats-Unis et dans les pays de l Est, sans parler d Interpol et d autres services. Chacun de ces départements dispose de ses propres compétences et contraintes, ce qui ne facilite souvent pas la collaboration. De même, sur le plan législatif et judiciaire, la collaboration est souvent freinée par des restrictions ou entraves nationales, régionales ou autres. Pourtant, d importants efforts sont déployés pour surmonter ces obstacles. C est ainsi qu Eurojust l unité de coopération judiciaire de l Union européenne a fait de la lutte contre la cybercriminalité l une de ses neuf priorités. L objectif est notamment d assurer une meilleure collaboration entre les Etats membres, de faire office de conseiller juridique et de promouvoir les échanges d informations. Une ambition pas évidente, concède volontiers la présidente d Eurojust, Michèle Conisx, mais pas non plus impossible. C est ainsi que grâce à la collaboration interne et en concertation avec le FBI et Europol, le réseau Blackshades a été démantelé, réseau qui opérait à l échelle internationale. Mais le paysage est plus complexe encore: outre la police et la justice, on retrouve en effet encore l EDA (l agence de défense de l Union européenne), le département de cybercrime de l OTAN, plusieurs CERT nationaux (Cyber Emergency Response Teams) et l ENISA (European Union Agency for Network and Information Security). Chacun de ces organismes effectue un travail remarquable dans son domaine et dispose sans conteste d informations très utiles. Mais il semble pratiquement impossible de partager efficacement l ensemble des informations utiles entre tous, ne serait-ce que parce que chacun n a même pas toujours conscience de l existence de l autre. La pertinence d une super-base de données regroupant la totalité des informations nationales, régionales et transfrontalières sur les malwares, la cybercriminalité et les cybercriminels connus semble plus que jamais d actualité. Mais dans l attente d un organe de coordination susceptible de porter ce projet un rêve qui mettra sans doute des années à se réaliser -, il faut se contenter de la bonne volonté des acteurs présents à partager les informations et les bonnes pratiques selon une approche ponctuelle ou structurelle. 3. LES DIMENSIONS SUPPLÉMENTAIRES DU CYBERCRIME Ceux qui se seront rendus à l Aula Pieter De Somer situé rue Beriot à Louvain auront certainement été confrontés à une situation inattendue: des agents de sécurité armés à l entrée et une sécurité renforcée à l intérieur du bâtiment. Peut-être Rik Ferguson ce déploiement de forces était-il justifié par les récents attentats terroristes, mais il illustre en tout cas parfaitement à nos yeux une réalité flagrante: le cybercrime ne se limite plus depuis longtemps au monde numérique et virtuel. L intérêt croissant pour la criminalité située à la frontière entre les mondes numérique et virtuel s est ainsi démontré dans l exposé de Rik Ferguson, vice president security research chez Trend Micro. Celui-ci a attiré l attention de son auditoire sur un phénomène malware sans doute sous-estimé et qui gagnera certainement en importance au fil des années: le malware PoS (Point-of-Sale). Par le passé, la fraude à la carte de crédit dans les magasins et les automates de paiement était limitée au key capture et au screen scraping, deux techniques connues de récupération des données d une carte. Mais désormais, l attention se focalise sur les fameux RAM scrapers, des malwares qui effacent les informations de la mémoire RAM des caisses et terminaux de paiement. En 2014, nous avons recensé autant de nouveaux RAM scrapes qu au cours de l ensemble des dernières années, a expliqué Rik Ferguson pour illustrer ce nouveau risque. Reste que d autres évolutions estompent la frontière entre les mondes analogique et numérique. C est le cas des lampes intelligentes qui se commandent à l aide d un smartphone. Ces lampes stockent des informations sur votre mot de passe WiFi, informations qui sont en général à la portée des pirates, avertit Gorazd Bosic, responsable de l équipe CERT de Slovénie. 4. TOUJOURS PLUS PERSONNALISÉ Au cours de l année écoulée, les attaques sur les entreprises ont généralement suivi le même schéma de type kill chain, 6 INFOSECURITY MAGAZINE - NR. 1 - MARS

5 dixit Ronald Prins, CTO de Fox-IT: reconnaissance en quête d un exploit, construction d armes pour réaliser cet exploit, livraison des armes via , USB ou autres portes dérobées, exploitation de la faille pour installer le malware, et commande à distance de ce malware à des fins criminelles. Mais cela ne signifie pas pour autant qu il faille en conclure que ce schéma est désormais immuable, avertit Prins. Prins met en garde contre le fait qu il faut s attendre à des attaques bien plus complexes et plus virulentes. Ce qui est aujourd hui considéré comme sophistiqué et réservé aux attaques les plus importantes sera dans quelques années monnaie courante. Et les malwares seront toujours plus difficiles à détecter et à tracer. Et, last but not least, le malware est toujours plus personnalisé: pas seulement ciblé, mais vraiment conçu sur mesure pour votre entreprise. Il faut tous s y 8 ICSS CYBERSECURITY CONFERENCE LOUVAIN Roberto Tavano attendre, d ici trois ans environ. Que faire dès lors pour combattre ce phénomène? Tout d abord, partir du principe que l on sera tôt ou tard victime d une attaque. Un point de départ qui constitue déjà une base solide. Ainsi, il est possible d adapter en conséquence sa défense. Avec des honeypots par exemple, pour attirer le pirate et en savoir davantage sur lui. Ainsi, vous pouvez commencer un jeu sophistiqué afin de mieux connaître votre assaillant et d avoir toujours une longueur d avance. Mais d autres bonnes pratiques peuvent s appliquer, poursuit Ronald Prins. Veillez à une segmentation suffisante entre les différents éléments de votre réseau, de façon à limiter les risques en cas d attaque réussie. Limitez les possibilités de communication interne au strict nécessaire afin de réduire le champ d action potentiel du pirate. De même, protégez autant que possible les droits des administrateurs face aux personnes non-autorisées. Faites appel à des services d antivirus file reputation pour rester informé des tout derniers malwares, une solution plus performante que de faire appel à un éditeur d antivirus particulier. Implémentez et optimisez les Host Intrusion Prevention Systems (HIPS) pour détecter plus rapidement le comportement des pirates et ainsi prévenir toute attaque. Ces bonnes pratiques ont d ailleurs été inspirées d une source particulièrement bien informée: la NSA, connue pour des techniques de piratage. 5. BIG DATA, À LA FOIS MALÉDICTION ET BÉNÉDICTION Comme nous l écrivions ci-dessous, tout devient numérique et un volume croissant d informations sont désormais accessibles aux cybercriminels. Songeons aux réseaux sociaux où un peu d ingénierie sociale suffit à mettre en lumière un trésor d informations. Dans ce contexte, les big data constituent donc une malédiction: des flux de données sont déversés quotidiennement et permettent aux criminels d extraire des informations utiles. Mais les big data peuvent également être une bénédiction, estime Thomas Clemente Sanchez de PwC. Les équipes de lutte contre la cybercriminalité peuvent par exemple utiliser les big data pour identifier des comportements suspects et, sur cette base, imaginer de meilleurs défenses. Sanchez met toutefois en garde contre un recours débridé aux big data. Il convient en effet de respecter certaines règles relatives à la vie privée, un élément dont il faut tenir compte dans la collecte de données. C est donc toujours plus une question d équilibre, afin de peser les intérêts de chaque partie citoyen, administration, police, entreprise - et de défendra au mieux l intérêt commun EN CHIFFRES 19% des utilisateurs Android ont été victimes d une attaque mobile. 38% des ordinateurs des utilisateurs finaux ont été victimes d au moins une attaque web. La cybercriminalité coûte 445 milliards de dollars à l échelle mondiale, soit 1 pour cent du produit mondial brut. Dans le monde, applis mobiles malveillantes ont été recensées, dont chevaux de Troie en mobile banking. Chaque seconde au cours de l année écoulée, plus de 5 nouvelles cybermenaces ont été détectées. Faut-il ajouter que l on s attend à une croissance sensible en 2015, tant au niveau du nombre que de la portée des attaques numériques. ABONNEZ-VOUS DÈS À PRÉSENT À INFOSECURITY MAGAZINE BELGIUM RESTEZ AU COURANT DES DERNIERS DÉVELOPPEMENTS DANS LE DOMAINE DE LA SÉCURITÉ IT! ABONNEMENT GRATUIT SUR: ANNÉE 1 - MARS INFO SECURITY MAGAZINE ICSS CYBERSECURITY CONFERENCE LOUVAIN OBSERVATIONS ET PERSPECTIVES PARFOIS SURPRENANTES, PARFOIS PLUS ATTENDUES NOUS N APPRENONS PAS DE NOS ERREURS, LES CYBERCRIMINELS BIEN, MALHEUREUSEMENT EXPOSITION SPÉCIALE INFOSECURITY - STORAGE EXPO - TOOLING EVENT BONNES PRATIQUES POUR MIEUX SÉCURISER LES SYSTÈMES DE GESTION DE BÂTIMENTS - DIRK COOLS SOUHAITE PROMOUVOIR G DATA CHEZ LES ENTREPRENEURS BELGES - UN RÉSEAU SÉCURISÉ EN TROIS ÉTAPES - UNE INFRASTRUCTURE PROGRAMMABLE EST-ELLE VRAIMENT SÉCURISÉE? - UN SCRIPT CONTENANT DES HASH-CODES PERMET DE DÉTECTER UN LOGICIEL BRICOLÉ - LE CRYTAGE S'IMPOSE TOUJOURS DAVANTAGE - BEAUCOUP DE CYBERCRIMINELS COMMENCENT PAR DES VOLS NUMÉRIQUES DANS DES JEUX EN LI-GNE -COLONNE GUY KINDERMANS LA BELGIQUE EST DÉSORMAIS MIEUX SÉCURISÉE NOUVELLE PLATE-FORME MÉDIA SUR LA SÉCURITÉ IT: SITE WEB LETTRE D INFORMATION MÉDIA SOCIAUX - MAGAZINE TOUT CE QUE VOUS AVEZ TOUJOURS VOULU SAVOIR SUR: LA SÉCURITÉ IT PRODUITS, BONNES PRATIQUES, RÉCITS D UTILISATEURS. LA CYBERCRIMINALITÉ COMMENT SÉCURISER VOS DONNÉES? LA GOUVERNANCE LA SÉCURITÉ EST UN PROCESSUS, PAS UN PRODUIT. LA GESTION DU RISQUE QUELS RISQUES POUVEZ-VOUS PRENDRE AVEC VOS DONNÉES D ENTREPRISE? LA CONFORMITÉ LES RÈGLEMENTATIONS ET LÉGISLATIONS INFOSECURITY SONT-ELLES MAGAZINE - NR. SUFFISANTES? 1 - MARS

6 UNE ENQUÊTE DE LA BSA LE PROUVE LES ETATS EUROPÉENS NE SONT PAS TOUS BIEN PRÉPARÉS À LA LÉGISLATION SUR LA CYBER-SÉCURITÉ Les Etats membres de l UE ne sont pas tous aussi bien préparés en matière de cyber-sécurité. C est ce qui ressort d une enquête de la BSA The Software Alliance qui a examiné pour la première fois les législations et règlementations européennes dans le domaine de la cyber-sécurité. La BSA a analysé les législations et règlementations nationales de l ensemble des 28 Etats membres de l UE sur la base de 25 critères considérés comme essentiels pour assurer une protection efficace en cyber-sécurité. En matière de cyber-protection, on constate en Europe une grande diversité. La plupart des Etats membres considèrent certes la cyber-sécurité comme une priorité, mais le marché intérieur demeure fragile face aux menaces en raison des incohérences entre les approches, explique Thomas Boué, Director of Policy EMEA à la BSA. Voici certains des principaux résultats de l enquête. La plupart des Etats membres de l UE voient dans la cyber-sécurité une priorité nationale surtout au niveau des infrastructures vitales. Il existe un hiatus important entre les politiques de cyber-sécurité, les cadres juridiques et les moyens opérationnels des Etats membres, avec comme conséquence un retard notoire en matière de cyber-sécurité au sens large en Europe. Presque tous les Etats membres ont mis en place des équipes d incident response afin de s attaquer aux cyber-incidents, mais les objectifs et l expérience de ces équipes sont variés. On constate en matière de cyber-sécurité un manque inquiétant de collaboration systématique entre les pouvoirs publics et le secteur privé, ainsi qu entre les gouvernements européens, les organisations non-gouvernementales (ONG) et les partenaires internationaux. Sur la base de cette enquête, la BSA recommande aux Etats membres de l UE de se focaliser sur quatre éléments importants d un cadre juridique solide en cyber-sécurité. Créer et maintenir un cadre juridique élargi associant des politiques Thomas Boué, Director of Policy EMEA à la BSA. basées sur une stratégie nationale de cyber-sécurité et complétées de plans de cyber-sécurité sectoriels. Confier aux entités opérationnelles des responsabilités claires en matière de protection de l informatique opérationnelle ainsi qu en emergency response et incident response. Encourager la confiance et la collaboration avec le secteur privé, les ONG et les partenaires et alliances internationales. Stimuler l enseignement et la conscientisation en matière de risques et de priorités en cyber-sécurité. Par ailleurs, la BSA insiste auprès des gouvernements européens pour qu ils évitent des règlementations de sécurité inutiles et susceptibles d entraver les initiatives en matière de cyber-protection au lieu de les favoriser. Les Etats membres doivent en particulier: Eviter de poser des exigences inutiles ou irréalistes qui peuvent limiter les choix et augmenter les coûts, comme des critères de certification et de test nationaux spécifiques et ponctuels, des contraintes de contenu local, des prescriptions relatives aux informations sensibles comme le code source ou les clés de cryptage, et des limitations au droit à la propriété étrangère et intellectuelle. Ne pas manipuler les standards, mais supporter uniquement des standards techniques majeurs et reconnus internationalement. S abstenir de prévoir des règles de localisation des données et veiller à ce que les données puissent circuler librement entre les différents marchés. Tolérer la concurrence étrangère et éviter ainsi que l innovation internationale ne soit freinée par des obstacles nationalistes. BELGIQUE La Belgique réalise un score généralement moyen comparé aux autres pays européens, même si aucun classement n a été établi sur la base d un résultat total. Le rapport d enquête indique que les pouvoirs publics belges ont ratifié en 2012 la Cyber Security Strategy. Reste que le cadre juridique en matière de cyber-sécurité en Belgique reste flou et que les informations sur l implémentation de la stratégie sont limitées. La Belgique dispose certes d un computer emergency response-team, CERT.be, et d une structure bien développée de rapportage des incidents en cyber-sécurité. Et partout dans le pays, les partenariats entre pouvoirs publics et secteur privé sont activement supportés, ceci grâce à BeINIS, un organisme public qui entretient des contacts étroits entre les organisations privées et semi-privées. WHITEPAPER BONNES PRATIQUES POUR MIEUX SÉCURISER LES SYSTÈMES DE GESTION DE BÂTIMENTS Selon Schneider Electric, la sécurité des systèmes de gestion de bâtiments (SGB) des organisations laisse parfois à désirer. Or comme ces systèmes sont étroitement intégrés à l IT de l entreprise, ils communiquent via divers protocoles ouverts, notamment avec les équipements mobiles et reliés à l internet. Du coup, de tels systèmes de gestion de bâtiments sont vulnérables à la cybercriminalité. Schneider Electric propose dès lors des bonnes pratiques susceptibles d éviter des dommages financiers importants. Le coût total de la cybercriminalité portant sur les systèmes IT s élèverait selon une étude de McAfee à quelque 263 milliards de dollars par an. Le SGB s est entre-temps imposé comme un élément à part entière de cette problématique. Cette cybercriminalité entraîne des pertes de productivité, des défaillances techniques et des baisses de chiffre d affaires. Sans parler de manques à gagner moins aisément quantifiables comme la perte d image de marque. Or selon Marcel Spijkers, directeur général de Schneider Electric aux Pays-Bas, il est étonnant de constater que nombre de ces systèmes ne s inscrivent pas dans une stratégie de sécurité mûrement réfléchie. Il faut que les choses changent, considère Spijkers. Les organisations se doivent notamment de former correctement le personnel de gestion afin que celui-ci apprenne à reconnaître les (nouvelles) menaces et applique les mesures qui s imposent. Par ailleurs, les bonnes pratiques en matière de sécurisation de l IT en général s appliquent parfaitement au SGB. Elles réduisent sensiblement les risques d intrusion numérique et les dommages associés. Ces bonnes pratiques sont: 1. La gestion des mots de passe Lors de la mise en service d un équipement, le mot de passe n est pas changé pour des raisons de facilité. Or les entreprises rendent ainsi la tâche du pirate des plus aisées. L internet regorge en effet de listes d équipements auxquels sont associés des mots de passe standards. 2. Gestion réseau Un SGB fait partie intégrante du réseau IT et sa sécurisation constitue un point de départ incontournable. Limitez l accès aux canaux de communication de type IP, comme les ports USB, et sécurisez les interfaces web contre les injections SQL. Investissez dans de bons pare-feux et n oubliez pas non plus la sécurité physique. 3. Gestion des utilisateurs N accordez aux utilisateurs que les droits d accès minimum dont ils ont besoin pour exécuter leur travail. De la sorte, les organisations éviteront les dégâts causés notamment par des collaborateurs non-autorisés. 4. Gestion des logiciels Ne permettez qu aux seuls utilisateurs autorisés de déployer des logiciels. Installez toujours les dernières mises à jour. Ce faisant, les entreprises seront protégés au mieux contre les fuites et bugs de code. 5. Gestion des vulnérabilités Mettez en place un plan de gestion des risques qui couvre l ensemble des types de risques. Prévoyez un document formel pour chaque installation. Pour davantage d informations, consultez le livre blanc Five Best Practices to Improve Building Management Systems (BMS) Security sur le site web de Schneider Electric. 10 INFOSECURITY MAGAZINE - NR. 1 - MARS