Newsletter cyber sécurité - Gouvernance et réglementation

L’intérêt pour la Sécurité des Systèmes d’Information (SSI), et pour son actualité environnante, ne cesse de croître dans les entreprises. Cette thématique est d’ailleurs au centre de nombreuses évolutions réglementaires, tant en France qu’à l’international, et de bon nombre d’études. À compter de ce jour, nous vous proposons donc de revenir régulièrement sur les principales publications qui marquent l’actualité SSI du moment.

Bonne lecture !

Les attaquants profitent du comportement des utilisateurs pour porter atteinte à la sécurité informatique

L’entreprise Proofpoint vient de dévoiler les résultats de son étude annuelle portant sur la manière dont les attaquants tirent parti du comportement des utilisateurs pour porter atteinte à la sécurité informatique. D’après cette étude, en 2014, les pirates ont concentré leurs attaques au niveau des entreprises et plus particulièrement sur les processus de partage d’informations au niveau des cadres. En outre les attaquants ont privilégié la sophistication des attaques, et non plus leur volume. Voici quelques points clés mis en avant par le rapport.

• En moyenne, les utilisateurs cliquent sur un lien malveillant tous les 25 messages
• En 2014, les cadres ont été deux fois plus ciblés qu’en 2013, et leurs clics sur des liens dangereux ont doublé
• Les services dédiés à la vente, aux finances et à l’approvisionnement sont les plus ciblés.

IBM met à disposition sa plateforme de renseignement de sécurité pour lutter contre les cyber-attaques

L’entreprise IBM met à disposition sa vaste base de données de renseignements de sécurité, IBM X-Force Exchange, une nouvelle plateforme de partage de renseignements liés aux cyber-menaces, fonctionnant sur le Cloud d’IBM. Cette plateforme collaborative fournit des données concrètes en matière de menaces et des indicateurs en temps réel des attaques en cours. L’outil permet de fournir, entre autre, les informations suivantes :

• 15 milliards de cyber-attaques par jour
• Plus de 8 millions d’attaques phishing ou ‘spam’
• Plus d'un million d'adresses IP malveillantes

Analyse de flux https : bonne pratiques et questions

L’ANSSI a récemment publié une note présentant les recommandations d’ordre technique à suivre lorsque l’analyse des flux HTTPS.

La CNIL de son côté n'émet pas de réserve sur le déchiffrement de ces flux à condition que plusieurs mesures soient mises en place :

• Informer les salariés de l’existence du dispositif,
• Contrôler les droits d’accès des administrateurs ayant accès aux courriers électronique,
• Minimiser les traces conservées (sources, destinations, fichiers malveillant et non mots de passes) et afin garantir la protection des données extraites de l’analyse.

Une question reste en suspens, le déchiffrement porte-t-il atteinte aux systèmes de traitements automatisés de données (STAD) ? Les articles 323-1 à 323-7 du code pénal interdisent en effet " d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un STAD " et " d'entraver ou de fausser le fonctionnement d'un STAD ".

Affaire à suivre...

Publication de trois décrets d'applications de la LPM

Le 29 mars 2015, trois décrets relatifs à la Loi de Programmation Militaire précisant les obligations en matière de cyber sécurité ont été publiés au journal officiel :

• Décret n° 2015-349 relatif à l'habilitation et à l'assermentation des agents de l’ANSSI : ce premier décret la procédure d’habilitation et d’assermentation que devront suivre les agents de l’ANSSI avant de pouvoir recueillir des données auprès des opérateurs de télécommunication ainsi que les données que ces derniers devront leur fournir
• Décret n° 2015-350 relatif à la qualification des produits de sécurité et des prestataires de service de confiance : ce second décret détaille les 3 procédures de qualification des produits de sécurité, de qualification des prestataires de service de confiance et de qualification des centres d’évaluation
• Décret n° 2015-351 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale : ce dernier décret détaille les obligations des OIV concernant la surveillance de leurs SI d’importance vitale (SIIV)

Julien Masson & Julien Douillard

Sources :

• La Plateforme IBM est disponible à cette adresse : https://exchange.xforce.ibmcloud.com/  

• https://www.globalsecuritymag.fr/IBM-met-a-disposition-sa,20150416,52339.html

• https://www.digimedia.be/News/fr/18009/ibm-cree-une-plateforme-contre-la-cybercriminalite.html

• http://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux

• https/http://www.01net.com/editorial/651057/votre-employeur-peut-espionner-vos-communications-chiffrees-et-la-cnil-est-d-accord/

• http://www.cnil.fr/linstitution/actualite/article/article/analyse-de-flux-https-bonnes-pratiques-et-questions/

• http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030405903