Mémo des mesures de prévention Cyber Risques

Phishing, cheval de Troie, ransomware… Comment les reconnaître ?
Sur Internet vous vous exposez tous les jours à des actes de malveillance. Voici quelques pistes efficaces pour s’en prémunir. Pendant que vous communiquez, consultez vos comptes ou achetez sur le Web, certains scrutent la toile à la recherche de données personnelles pour les exploiter ou les revendre. Comment éviter les actes malveillants ?

Le vol de mot de passe : Pour voler les mots de passe, les hackers utilisent des logiciels qui génèrent un maximum de combinaisons possibles jusqu’à trouver le bon mot de passe. D’autres multiplient les essais d’après des informations obtenues sur les réseaux sociaux. Pour stocker vos identifiants et mots de passe, vous pouvez, si vous le souhaitez, utiliser un gestionnaire de mots de passe : un seul mot de passe et vous accédez à tous vos comptes !

Le phishing : Aussi appelé hameçonnage ou filoutage, le phishing tente de vous soutirer des informations personnelles telles que votre numéro de carte bancaire ou votre mot de passe en envoyant un mail se faisant passer pour un organisme officiel, une entreprise, ou une connaissance.

Comment s’en protéger ? : Soyez vigilant lorsqu’un courriel demande des actions urgentes. Ne cliquez jamais sur une pièce jointe ou sur les liens d’un mail qui vous semble douteux. Connectez-vous en saisissant l’adresse officielle dans la barre d’adresse de votre navigateur.

Vérifiez que votre antivirus est à jour pour renforcer sa protection contre les programmes malveillants.

Les chevaux de Troie

Ce sont des virus qui tentent de nuire à votre système informatique. Ils sont cachés dans des logiciels gratuits, des documents à télécharger ou sur des clés USB. Ils prennent le contrôle de votre ordinateur à distance pour espionner vos actions, voler vos données personnelles, lancer des attaques, etc.

Comment s’en protéger ?
N’installez que des logiciels provenant de sources fiables.
Ne téléchargez jamais un logiciel qui vous est proposé gratuitement alors qu’il est normalement payant. Préférez les sites officiels des éditeurs.
Ne téléchargez du contenu que sur des sites Internet de confiance : désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant d’ouvrir, afin de vérifier qu’ils ne sont pas infectés par un « spyware » ou virus.
Ne connectez pas une clé USB trouvée par hasard, elle est peut être piégée.

Le piratage des sites marchands

Des faux sites, il y en a pléthore. Boutiques en ligne ou sites administratifs, en apparence, peuvent parfaitement plagier l’original. Alors prudence quand vous achetez en ligne : vos données de paiement ou mots de passe peuvent être interceptés par des attaquants.

Comment s’en protéger ?
Assurez-vous du sérieux du site marchand : il doit proposer des garanties de sécurité de paiement (nature des données bancaires demandées, chiffrement, possibilité de rétractation…).
Un site fiable ne demande jamais de saisir votre code confidentiel à 4 chiffres associé à votre carte bancaire : s’il le fait, fuyez !
Privilégiez les sites proposant l’envoi d’un code de confirmation de commande par SMS.
Méfiez-vous des sites avec des fautes d’orthographe et proposant des offres trop alléchantes.
Vérifiez qu’un cadenas figure dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet.
Ne saisissez pas vos données de paiement ou mots de passe sur des sites web non sécurisés, c’est-à-dire ne commençant pas par « https// ».

Les ransomware

Les « rançongiciels » ou « ransomware » sont des programmes malveillants (WannaCry, Petya, Petrwrap, Locky, etc.), reçus par mail, dont le but est de chiffrer vos données puis de vous demander d’envoyer de l’argent en bitcoins en échange de la clé qui vous permettra de les décoder.

Comment s’en protéger ?
Sauvegardez régulièrement vos données sur un disque dur externe.
Mettez à jour régulièrement vos logiciels… Surtout votre antivirus !
N’ouvrez jamais les messages dont la provenance ou la forme est douteuse.
Méfiez-vous des extensions des fichiers douteuses (de type .scr ou .cab.).

Comment se défendre face aux cyber-risques ?

Usurpation d’identité, cyber-harcèlement, atteinte à l’e-réputation : ne laissez personne nuire à votre image. La Protection Juridique peut vous aider. De l’action amiable à la procédure judiciaire : en cas de besoin, nos juristes spécialisés sont à vos côtés pour :
– constituer la preuve numérique auprès d’un huissier spécialisé ;
– prendre contact auprès de la partie adverse, mettre en demeure de supprimer le contenu et stopper les messages diffamants ;
– demander le déréférencement des pages sur Google (limité à la France) via le formulaire de droit à l’oubli ; -mettre en demeure des sites hébergeurs de supprimer le contenu ;
-déposer plainte auprès de la CNIL ;
-effectuer un signalement Facebook, Twitter.

FILTRAGE DES CONNEXIONS : Vous avez, en place, les dispositifs de sécurité informatique vous permettant de filtrer les connexions entrantes et sortantes sur Internet et au minimum, un firewall, un proxy et un reverse proxy. Le filtrage des connexions apparaît comme un élément fondamental.

DESCRIPTION
Un filtrage sur les connexions entrantes limite le risque qu’un attaquant s’introduise dans le réseau de l’entreprise pour accéder à ses ressources et les compromette.
Ce rôle est principalement rempli par le pare-feu (firewall) qui analyse les flux en provenance de l’extérieur pour les autoriser, ou non, en fonction de règles préétablies. Ces règles peuvent porter sur l’adresse IP (1) de la machine émettrice, l’adresse IP de la machine destinataire, le protocole (2) utilisé par le flux ou encore le port (3)

(1) Numéro d’identification attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique.
(2) Ensemble de règles de communication entre machines.
(3) Les ports logiciels permettent à une machine donnée, de distinguer les programmes informatiques qui, selon les cas, écoutent ou émettent des informations sur ces ports.

Paramétrer le pare-feu pour bloquer tous les flux entrants et sortants par défaut. L’autorisation des flux légitimes sera ensuite réalisée sur des règles construites au cas par cas.
• Revoir régulièrement la matrice de règles du pare-feu (au moins une fois par an) pour s’assurer que les flux autorisés sont toujours légitimes.

Le reverse-proxy, qui réalise un filtrage sur les connexions entrantes, permet notamment de centraliser les requêtes envoyées au système informatique (SI), de rompre les flux en cas de nécessité, ou encore de répartir la charge entre les différents serveurs pour éviter toute indisponibilité due à une surcharge de l’infrastructure.
Le proxy, qui réalise un filtrage sur les connexions sortantes, limite le risque de connexion d’un collaborateur à un site internet dangereux, car susceptible d’héberger des programmes malveillants. Il permet notamment de filtrer les requêtes des utilisateurs sur la base de règles prédéfinies, et de bloquer potentiellement l’accès à certains sites jugés malveillants.

SECURISATION DE LA MESSAGERIE

Vous avez, en fonctionnement, les dispositifs de sécurité informatique ad hoc vous permettant de protéger votre messagerie électronique, et au minimum, un antivirus et un anti-spam. La sécurisation de la messagerie
est également un élément fondamental.
DESCRIPTION
La mise en place de dispositifs de protection de la messagerie vise à lutter
contre les intrusions et la compromission du SI par des programmes malveillants distribués par mail.

Compléter le dispositif par une solution anti-phishing
permettant de filtrer les messages frauduleux et antispoofing
afin de détecter une usurpation d’identité de l’expéditeur du message.
• Sensibiliser les utilisateurs à la détection des messages frauduleux (phishing, pièces jointes douteuses,…) et les encourager à remonter l’information en cas de doute.

PLUSIEURS MÉTHODES SONT UTILISÉES PAR L’ANTI-SPAM POUR ANALYSER LE CONTENU DES MESSAGES REÇUS PRINCIPAUX ACTEURS
DU MARCHÉ
L’anti-spam permet d’analyser les mails à destination du serveur de messagerie et de bloquer en amont ceux dont le contenu paraît inapproprié.
Ces messages ne présentent pas nécessairement de contenu intrinsèquement dangereux (comme des virus), mais peuvent toutefois être nuisibles : arnaques, démarchage commercial illégitime,…
Ses fonctions permettent :
• Le filtrage du contenu, basé sur une recherche de mots-clés ou d’expressions régulières au sein du message.
• Le filtrage d’enveloppe, c’est-à-dire l’analyse des éléments présents dans l’en-tête du message (expéditeur, titre, …).
• Le filtrage bayésien, basé sur l’apprentissage machine :
l’anti-spam s’appuie sur un grand nombre d’exemples de messages valides et illicites pour apprendre de lui-même à faire la distinction entre ces deux catégories. Des courriels jugés licites peuvent toutefois embarquer du contenu malveillant que l’anti-spam ne saura détecter. Cela peut être par exemple le cas lorsqu’un message contient une pièce jointe d’apparence licite (par exemple un fichier PDF), exécutant un programme malveillant.
Le rôle de l’antivirus, dans ce cas, est de détecter ces contenus et de les bloquer avant qu’ils ne parviennent à l’utilisateur.

PROTECTION ANTIVIRALE

Vous disposez d’antivirus maintenus à jour sur l’ensemble de vos postes de travail et de vos serveurs éligibles.
La protection antivirale est également un élément fondamental.
DESCRIPTION
Le rôle d’un antivirus est de réduire le risque d’infection du Système
d’Information par des programmes pouvant compromettre l’intégrité
des données, leur confidentialité ou la continuité des services proposés par
la société.
Pour cela, l’antivirus base sa détection sur trois principes :
• L’analyse des fichiers du disque à la recherche de la signature (4) d’un logiciel malveillant, par comparaison à une base de signatures connues.
• La surveillance du comportement des logiciels actifs, en analysant
notamment les fichiers modifiés ou créés.
• La simulation du fonctionnement de programmes inconnus par analyse
du code avant leur exécution.

• Les antivirus doivent être mis en place sur l’ensemble des postes de travail et des serveurs de votre entreprise, en particulier ceux fonctionnant sous un système d’exploitation Windows.
• S’il est fortement recommandé d’installer des solutions antivirales sur les environnements Mac ou Linux, cela n’est pas primordial dans la mesure où ces systèmes d’exploitation sont plus fermés que Windows. De plus, le faible volume représenté par le parc Unix et ses familles de systèmes (MacOS,
Linux…) en comparaison avec celui de Windows, en fait une cible moins attractive pour les attaquants.
• Les bases de signature des antivirus doivent être mises à jour régulièrement, de façon automatisée.
En effet, un antivirus qui ne serait pas maintenu à jour ne serait pas en mesure de reconnaître
les nouveaux virus mis en circulation et ne saurait ainsi rester efficace dans le temps.
• Les scans antiviraux doivent être réalisés au moins hebdomadairement.
• Il ne doit pas être possible de désactiver un scan planifié ou même de désactiver la solution antivirus, même temporairement.

SAUVEGARDES

Vos données et vos systèmes sont sauvegardés conformément aux règles de l’art et des tests de restauration sont menés, avec au minimum une sauvegarde hebdomadaire stockée dans un environnement cloisonné physiquement ou logiquement et une sauvegarde incrémentale quotidienne.
Parmi les conditions fixées, la réalisation de sauvegardes est aussi un élément fondamental.
DESCRIPTION
Des sauvegardes régulières permettent de diminuer la perte définitive de données potentiellement critiques pour l’entreprise en cas de compromission de son Système d’Information.
Une gestion appropriée des sauvegardes permet à l’entreprise de limiter les risques liés à un effacement de ses données, mais également à leur chiffrement par un ransomware. Rien ne garantit en effet que les données impactées seront effectivement déchiffrées au paiement de la rançon, ni que l’attaquant n’exploitera pas à nouveau la faille lui ayant permis de déployer le ransomware. La restauration de sauvegardes récentes est ainsi le seul moyen de s’assurer de la récupération intégrale de ses données dans un tel scénario.

• Réaliser une sauvegarde complète de l’ensemble des données hebdomadairement.
• Réaliser une sauvegarde incrémentale quotidiennement. La sauvegarde incrémentale ne copie pas l’intégralité des données, mais uniquement les traitements effectués depuis la dernière sauvegarde. Ainsi, en cas de perte totale des données, la restauration s’effectue en chargeant la dernière sauvegarde complète et en rejouant l’ensemble des transformations réalisées conservées par les sauvegardes incrémentales.
• Réaliser des tests de restauration au moins tous les trimestres, pour s’assurer de sa capacité à recouvrer l’ensemble de ses données en cas de perte.
• Isoler les sauvegardes des données nominales afin d’éviter leur perte conjointe en cas de sinistre physique ou de corruption logique. Les cassettes de sauvegarde doivent par exemple être stockées sur un site différent de celui abritant le Système d’Information.

ON DISTINGUE DEUX MODES DE SAUVEGARDE
• La sauvegarde synchrone, qui garantit en temps réel que le support de sauvegarde est la copie exacte du support de données nominal. Ce mode de fonctionnement permet d’éviter une perte de continuité dans l’activité en cas de crash du Système d’Information puisqu’une copie exacte peut être récupérée à tout moment.
• La sauvegarde asynchrone réplique le support de données nominal sur le support de sauvegarde de façon déphasée. Ce mode de fonctionnement permet d’éviter que des erreurs sur le support de données nominal soient immédiatement répliquées sur les sauvegardes.

PRINCIPAUX ACTEURS DU MARCHÉ
• L’enregistrement sur des supports physiques, tels que des bandes magnétiques ou des disques. Dans ce cas de figure, l’entreprise garde la maîtrise de son plan de sauvegarde, mais est contrainte d’investir dans le matériel et la main d’oeuvre nécessaires à sa gestion.
• La mise en place de réplication de bases de données en mode synchrone ou asynchrone, la version synchrone ne permettant pas de répondre au risque de corruption des données.
• Le recours à un prestataire de service dans le cloud, qui assurera la copie des données de l’entreprise cliente dans ses propres centres de données. Dans ce cas, l’entreprise acquiert uniquement un espace de stockage chez le prestataire, mais est dépendante des conditions de service en vigueur.

COMMENT MAINTENIR VOTRE ACTIVITÉ SI VOS DONNÉES OU VOTRE SYSTÈME D’INFORMATION SONT INDISPONIBLES ?
Rançongiciel, piratage de données, déni de service…
Depuis 5 ans, le risque de cyberattaque augmente.
De nouveaux types d’attaques apparaissent régulièrement, avec l’objectif de nuire en portant atteinte, parfois gravement, au système d’information et au bon fonctionnement de l’entreprise.

QUELLES CONSÉQUENCES POUR L’ENTREPRISE ?
• Coût d’intervention des experts informatiques pour remédier à l’attaque,
• Frais de reconstitution des données,
• Frais de notification en cas de vol de données personnelles,
• Perte de chiffre d’affaires en cas d’arrêt partiel ou total de l’activité,
• Risque de mise en cause de la responsabilité civile de l’entreprise par des tiers,
• Gestion de crise,
• Atteinte à l’image et à la réputation de l’entreprise,…