L UTILISATEUR, CIBLE DE TOUTES LES MENACES

Documents pareils
CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

ELEMENTS A FOURNIR. VIALAR Yoann

Demande d'assistance : ecentral.graphics.kodak.com

PPE 1 : GSB. 1. Démarche Projet

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Hachette Education/ Secondaire général Procédure d installation du Manuel numérique MN2.0 Version PC

Sage 100 CRM Les compatibilités Version Mise à jour : 2015 version 8

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Réflexion autour des Bases de données pour la gestion du personnel. Administration locale

Sessions en ligne - QuestionPoint

PRÉVENIR L EXPLOITATION DES FAILLES DE SÉCURITÉ RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

Mode d emploi pour lire des livres numériques

ERP Service Negoce. Pré-requis CEGID Business version sur Plate-forme Windows. Mise à jour Novembre 2009

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

Logiciel Enterprise Guide Version 1.3 Windows

Découvrir les vulnérabilités au sein des applications Web

Rapport 2015 sur les risques d attaques informatiques

Service de lettre électronique sécurisée de bpost. Spécificités techniques

Analyse statique de code dans un cycle de développement Web Retour d'expérience

MDM : Mobile Device Management

LES ACCES DISTANTS ET SECURISES. Installation et utilisation du client. Cisco AnyConnect VPN Client. pour Windows

Faille dans Internet Explorer 7

Code Produit Nom Produit Dernière mise à jour. AM003 Alias Mobile On Demand Licence 1 mois 27/04/2015

AIDE TECHNIQUE POUR L UTILISATION DE GÉODEQ III VUES D ENSEMBLE DU QUÉBEC

Oracle Developer Suite 10g. Guide de l installation. Vista & Seven

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Manuel Utilisateur Version 1.6 Décembre 2001

L hygiène informatique en entreprise Quelques recommandations simples

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Introduction aux antivirus et présentation de ClamAV

Exigences système Edition & Imprimeries de labeur

ELO Office / Pro Les avantages : Archivage et gestion documentaire

Constat ERP 20% ECM 80% ERP (Enterprise Resource Planning) = PGI (Progiciel de Gestion Intégré)

Blueprint OneWorld v8.2a Configuration Recommandée

La gestion des correctifs de sécurité avec WinReporter et RemoteExec

UTILISATION DU LIVRE NUMÉRIQUE

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Notice d installation du patch Lia 8.20

Communiqué de lancement. Sage 100 Entreprise Edition Etendue Module CRM inclus

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Les tableaux de bord de pilotage de nouvelle génération. Copyright PRELYTIS

Que faire si une vidéo ne s'affiche pas?

Tropimed Guide d'installation

Faille PayPal sous Magento ou comment faire ses achats (presque) gratuitement

CONVENTION D UTILISATION INTERNET

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Bilan 2008 du Cert-IST sur les failles et attaques

Netdays Comprendre et prévenir les risques liés aux codes malicieux

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Pré-requis techniques

Introduction à ORACLE WAREHOUSE BUILDER Cédric du Mouza

Utiliser un NAS pour remplacer Dropbox via Cloud Station

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Guide d'installation Application PVe sur poste fixe

Débuter avec Easyweb B

Indicateur et tableau de bord

CHOIX ET USAGES D UNE TABLETTE TACTILE EN ENTREPRISE

Mode d emploi du Bureau Virtuel (BV) à destination des étudiants en Formation À Distance (FAD)

À propos de l'canon Mobile Scanning MEAP Application

«Obad.a» : le malware Android le plus perfectionné à ce jour

LoReNa : pour dynamiser votre Relation Client (CRM)

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Avantages. Protection des réseaux corporatifs de gestion centralisée

Responsabilités du client

Activités professionnelle N 2

FileMaker Pro 12. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 12

CATALOGUE DES OFFRES O2i INGÉNIERIE POUR LES PLATEFORMES ÉDITORIALES

CHAPITRE 3 : INTERNET

Aperçu de l'activité virale : Janvier 2011

Les logiciels indispensables à installer sur votre ordinateur

Installation Client (licence réseau) de IBM SPSS Modeler 14.2

Instructions pas à pas pour l'enregistrement simplifié auprès de la PostCom

2. Pour accéder au Prêt numérique, écrivez dans la barre d adresse de votre navigateur Web.

Configuration matérielle et logicielle requise et prérequis de formation pour le SYGADE 6

Présenté par : Mlle A.DIB

Silk Central Notes de Release

KASPERSKY SECURITY FOR BUSINESS

INSTALLATION DE L AGENT CT EASY BACKUP LAN REV 1.0/

LA RECONNAISSANCE VOCALE INTEGREE

Ingénieur Développement Nouvelles Technologies

Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

WORKSHOP OBIEE 11g (version ) PRE-REQUIS:

CAHIER DES CHARGES D IMPLANTATION

PROTEGER SA CLE USB AVEC ROHOS MINI-DRIVE

FileMaker Pro 13. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 13

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

P E U G E O T A L E R T Z O N E S Y S T E M E D E N A V I GAT I O N S U R T A B L E T T E T A C T I L E

Vos outils CNED COPIES EN LIGNE GUIDE DE PRISE EN MAIN DU CORRECTEUR. 8 CODA GA WB 01 13

TUTORIEL D INSTALLATION D ORACLE ET DE SQL DEVELOPPER TUTORIEL D INSTALLATION D ORACLE...1 ET DE SQL DEVELOPPER...1

IBM Tivoli Compliance Insight Manager

Transcription:

CHAPITRE 2 : L UTILISATEUR DÉFINIT LE PÉRIMÈTRE L UTILISATEUR, CIBLE DE TOUTES LES MENACES 1

L UTILISATEUR, CIBLE DE TOUTES LES MENACES En 2014, le Groupe NTT a recensé des «70 % des vulnérabilités millions de vulnérabilités sur les systèmes se situent au niveau des de ses clients. Une étude plus poussée terminaux utilisateurs» apporte par ailleurs des faits très révélateurs. Ainsi, on découvre notamment que 70 % des vulnérabilités se situent au niveau des terminaux des utilisateurs, et non sur les serveurs. Découvrez dans l article du Weekend Trends les répercussions de cette situation sur les schémas d attaques. LE TOP 10 DES VULNÉRABILITÉS Environnement Java Runtime obsolète Mise à jour des correctifs critiques Oracle Java SE Nombreuses vulnérabilités dans Java Web Start Mises à jour de sécurité MS Windows manquantes Version Flash Player obsolète Adobe Reader et Acrobat obsolètes Internet Explorer obsolète Nombreuses vulnérabilités sur Oracle Correctifs Oracle DB obsolètes/manquants Version OpenSSH obsolète Source : Top 10 most common vulnerabilities in 2014. 2

Dès lors que son système contient de nombreuses vulnérabilités non corrigées, l utilisateur finit par représenter un véritable danger pour son entreprise. Au moment de la rédaction de ce rapport, il existait déjà des correctifs permettant de contrer la totalité des 10 principales vulnérabilités détectées en 2014. Or, force est de reconnaître que l application de correctifs et la mise à jour des systèmes peuvent représenter des opérations complexes et fastidieuses, notamment dans les entreprises devant gérer un environnement matériel et logiciel particulièrement mobile, hétérogène et réparti sur plusieurs zones géographiques. VULNÉRABILITÉS PAR ANNÉE D APPARITION 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 0% 2% 4% 6% 8% 10% 12% 14% Source : Detected vulnerabilities by year of release, 2014. En 2014, 76 % des vulnérabilités identifiées sur tous les systèmes étudiés avaient «En 2014, 76 % des vulnérabilités identifiées sur plus de 2 ans et près de 9 % plus de tous les systèmes étudiés 10 ans. Nombre de ces vulnérabilités avaient plus de 2 ans et près sont rapidement intégrées dans des kits de 9 % plus de 10 ans.» d exploits clé en main que les pirates peuvent facilement intégrer à leurs plans d attaques (pour plus d informations, reportez-vous au chapitre consacré aux exploits). 3

Source : Un site du «Dark Web» proposant la vente d un outil de cryptage comprenant un service de support et de sécurité. Fort heureusement, il existe un moyen sûr de réduire l exposition aux vulnérabilités des postes clients. Pour ce faire, les entreprises doivent revoir et renforcer leur dispositif de gestion des vulnérabilités. Plus concrètement, il s agit pour elles de veiller à l intégration de l ensemble des systèmes clients des utilisateurs dans leur gestion des correctifs. Une procédure évidemment plus facile à dire qu à faire, et qui doit souvent suivre un certain nombre de directives : 4

Définissez un ensemble de configurations approuvées pour renforcer les terminaux des utilisateurs et assurer leur bon fonctionnement. Le cahier des charges devra non seulement intégrer les systèmes d exploitation, applications et services approuvés, mais également préciser le navigateur pris en charge dans l entreprise. Plus ces «normes de référence» seront concises et cohérentes, plus l entreprise aura de facilité à les faire appliquer. Sensibilisez les utilisateurs à la teneur de ces normes, tout en précisant bien que l utilisation de logiciels «non approuvés» est formellement interdite, et donc passible de sanctions disciplinaires. Réduisez au maximum le nombre d administrateurs ou de comptes autorisés à changer les configurations systèmes, notamment pour réduire le risque d installation de logiciels potentiellement non autorisés. Appliquez régulièrement des correctifs sur les systèmes de vos utilisateurs, et contrôlez-en la bonne installation. Effectuez régulièrement des analyses de vulnérabilités internes et externes afin d identifier les systèmes non conformes aux normes définies, puis déployez des correctifs sur ces systèmes. Mettez en œuvre un processus d exception pour le suivi des logiciels «spéciaux» et les utilisateurs dotés de privilèges élevés. Pour télécharger le rapport GTIR, rendez-vous sur www.nttcomsecurity.com/fr 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back