2014SecurityReport 140528 FR PDF

CHECK POINT
RAPPORT SCURIT
2014
01
CHECK POINT - RAPPORT SCURIT 2014
CHECK POINT
RAPPORT SCURIT 2014
01
INTRODUCTION ET MTHODOLOGIE
02
LA FLAMBE DES LOGICIELS MALVEILLANTS INCONNUS
03
UN DANGER BIEN CONNU
Les logiciels malveillants dans l'entreprise
04
APP(ETITE) FOR DESTRUCTION
Les applications risque dans l'entreprise
05
PRVENTION DES FUITES DE DONNES
Le grand retour
06
SDP
L'architecture de scurit pour les menaces de demain
07
PROPOS DE
Check Point Software Technologies
11
03
21
37
49
59
65
02
03
INTRODUCTION
ET
MTHODOLOGIE
01
04
05
01
Les technologies impliques, les moyens de connexion
et les mthodes d'intrusion, ont normment volu
depuis la fn des annes 1980, mais l'identifcation
des systmes compromis, la rponse aux incidents, et
la protection des systmes et des donnes contre de
futures attaques restent les principaux dfs relever pour
les entreprises dans le monde entier, indpendamment
de leur taille et de leur secteur d'activit.
Il y a plus de vingt-cinq ans, un administrateur
UNIX a remont le fl d'une erreur de facturation
de 75 cents jusqu' un rseau d'espionnage du
bloc de l'Est qui tentait de voler des secrets du
gouvernement et de l'arme des tats-Unis. Le
rcit de son cheminement, de la dcouverte des
anomalies initiales jusqu' son combat contre la plus
grande intrusion, est retrac dans The Cuckoo's Egg,
qui reste un modle pour les dfs de la cyberdfense.
INTRODUCTION
ET MTHODOLOGIE
SUR LA SORTIE PAPIER, JE POUVAIS VOIR LE PIRATE TENTER SA CHANCE SUR MILNET. IL A ESSAY QUINZE
ORDINATEURS DE L'ARME DE L'AIR LES UNS APRS LES AUTRES, DANS LES BASES D'EGLIN, DE KIRTLAND
ET DE BOLLING. SANS SUCCS. IL SE CONNECTAIT CHAQUE ORDINATEUR, ESSAYAIT D'OUVRIR LA PORTE
UNE FOIS OU DEUX FOIS, PUIS PASSAIT AU SYSTME SUIVANT. JUSQU' CE QU'IL ESSAIE LES SYSTMES
DE LA DIVISION DU SPACE COMMAND. IL A D'ABORD TENT D'OUVRIR LA PORTE EN ESSAYANT LEUR
COMPTE SYSTEM AVEC LE MOT DE PASSE MANAGER . SANS SUCCS. PUIS LE COMPTE GUEST AVEC
LE MOT DE PASSE GUEST . AUCUN EFFET. PUIS LE COMPTE FIELD AVEC LE MOT DE PASSE SERVICE
[...] COMME PAR MAGIE, LA PORTE S'EST GRANDE OUVERTE. IL AVAIT RUSSI SE CONNECTER EN TANT
QU'ANTENNE DU SERVICE ADMINISTRATIF. PAS SEULEMENT UN UTILISATEUR ORDINAIRE. UN COMPTE
COMPLTEMENT PRIVILGI. [...] QUELQUE PART EN CALIFORNIE DU SUD, EL SEGUNDO, UN ORDINATEUR
VAX TAIT INFILTR PAR UN PIRATE INFORMATIQUE SITU L'AUTRE BOUT DU MONDE.
Clifford Stoll, The Cuckoos Egg
1
Virus
01 INTRODUCTION ET MTHODOLOGIE
06
En 2013, la scurit de l'information a pris une place
importance dans la conscience publique en raison
de la forte mdiatisation des fuites de donnes. Le
vol et la divulgation d'informations appartenant au
renseignement amricain ont fait la une des actualits
en 2013 et ont secou les relations diplomatiques
travers le monde. Des vols grande chelle de donnes
de cartes bancaires ont t signals tout au long de
l'anne et ont ruin la saison des soldes des grandes
enseignes et de nombreux consommateurs. La
cyberguerre et l'hacktivisme
2
ont remodel la nature
des confits entre les peuples et les nations, de mme
que l'mergence de l'Internet des objets
3
expose
plusieurs aspects de nos vies quotidiennes et les rend
vulnrables.
Dans le milieu de la scurit, la fambe des logiciels
malveillants inconnus, pas seulement les nouvelles
menaces, mais de nouvelles faons de crer et
dployer des menaces indtectables trs grande
chelle, a remis en question la viabilit des stratgies
et des technologies existantes. De plus en plus de
logiciels malveillants courants deviennent obstinment
rsistants aux dfenses en place, tandis que la mobilit,
la consumrisation et l'informatique de l'ombre ,
ont considrablement accru la complexit des
problmatiques de scurit.
V
Tendances des logiciels malveillants
Vers Virus
Logiciels
publicitaires
et logiciels
espions
Attaques
DDoS
1
9
9
7
2
0
0
4
2
0
0
7
Utilisation des infrastructures web (DNS)
Logiciels ranonneurs
Hactivisme
Espionnage industriel sponsoris par ltat
APT de nouvelle gnration (de masse)
2
0
1
0
2
0
1
4
5 QUESTIONS QUE VOUS DEVEZ VOUS POSER
1. COMMENT L'VOLUTION RAPIDE DU PAYSAGE DE
LA SCURIT A AFFECT VOTRE ENTREPRISE ?
2. QUELLES MENACES AVEZ-VOUS RENCONTR, ET
QUELS SONT LES RISQUES MERGENTS QUI VOUS
PROCCUPENT LE PLUS ?
3. PENSEZ-VOUS AVOIR LA BONNE STRATGIE
ET LES BONS OUTILS POUR RELEVER LES DFIS,
OU TES-VOUS DE PLUS EN PLUS DPASSS PAR
D'INCESSANTES VAGUES DE DVELOPPEMENTS
INQUITANTS ?
4. QUELLES NOUVELLES MESURES ALLEZ-VOUS
ADOPTER DURANT L'ANNE ?
5. COMMENT ALLEZ-VOUS AIDER VOTRE ENTREPRISE
RENFORCER SA SCURIT ?
Les chercheurs de Check Point ont analys les
vnements de plus de 10 000 entreprises sur une
anne complte pour identifer les tendances de
scurit informatique et les logiciels malveillants
critiques de 2013 auxquels les entreprises doivent faire
face en 2014 et au-del. Le Rapport Scurit 2014 de
Check Point prsente les rsultats de cette analyse.
Cette analyse en profondeur des menaces et des
tendances de 2013 aidera les dcideurs comprendre
les diffrentes menaces qui psent sur leur entreprise.
Le rapport comprend galement des recommandations
sur la manire de se protger contre ces menaces et de
futures menaces. Les points cls de notre tude sont :
07
24
49 mn
h
27 mn
10 mn
9 mn
3 mn
1 mn
UNE JOURNE TYPIQUE
EN ENTREPRISE
Toutes les 9mn, une
application risque est utilise
Toutes les 27mn,
un logiciel malveillant
inconnu est tlcharg
Toutes les 1mn, un hte
accde un site web malveillant
Toutes les 49mn,
des donnes confdentielles
sont envoyes l'extrieur de
l'entreprise
Toutes les 24h, un hte
est infect par un bot
Toutes les 3mn, un bot
communique avec son centre
de commande et de contrle
Toutes les 10mn,
un logiciel malveillant
connu est tlcharg
Source : Check Point Software Technologies
Graphique 1-1
08
L'utilisation de logiciels malveillants inconnus a
explos avec la tendance de la personnalisation
de masse
4
des logiciels malveillants : 2,2 logiciels
malveillants inconnus en moyenne (des logiciels
malveillants qui n'ont jamais t vu avant) frappent
les entreprises toutes les heures
Le nombre d'infections a augment, ce qui refte
le succs croissant des campagnes de logiciels
malveillants cibles : en 2013, 73% des entreprises
ont dtect au moins un bot, par rapport 63% en
2012
Chaque catgorie d'application risque est de
plus en plus prsente dans les entreprises dans le
monde entier : par exemple, 63% des entreprises
ont constat l'utilisation de BitTorrent, par rapport
40% en 2012
Le nombre d'incidents de fuites de donnes ont
augment dans tous les secteurs et pour tous les
types de donnes : 88% des entreprises ont connu
au moins une fuite de donnes, contre 54% en
2012
Les sources de donnes de ce rapport
Le Rapport Scurit 2014 de Check Point repose
sur des tudes collaboratives et des analyses des
vnements de scurit provenant des rapports
d'analyse des passerelle de scurit de Check Point
(Security Checkup),
5
des capteurs de Check Point
Threat Emulation,
6
de Check Point ThreatCloud
,
7
et
des rapports de Check Point Endpoint Security.
8
Une mta-analyse des vnements de scurit
rseau de 996 entreprises a t effectue partir des
donnes recueillies via des tudes Check Point Security
Checkup, qui ont analys en direct le trafc entrant et
sortant de ces entreprises. Ce trafc a t inspect grce
la technologie multicouche Check Point Software
Blades
9
afn de dtecter diffrents types d'applications
risque, de tentatives d'intrusions, de virus, de bots,
de fuites de donnes confdentielles et autres menaces.
Le trafc rseau de chaque entreprise tait surveill en
temps rel via le mode en ligne ou le mode surveillance
des passerelles de scurit Check Point,
10
pendant
216 heures en moyenne.
TABLEAU COMPLET DES MENACES
Environnement informatique : utilisateurs, donnes et systmes
Objectifs mtiers
Paysage des menaces : logiciels malveillants
C
O
M
P
R
E
N
D
R
E
V
O
T
R
E

S
C
U
R
I
T

09
Les entreprises tudies sont issues d'un large ventail
de secteurs et sont situes dans le monde entier comme
le montre le Graphique 1-2.
En outre, des vnements provenant de
9 240 passerelles de scurit ont t analyss l'aide
des donnes gnres par Check Point ThreatCloud.
ThreatCloud est une base de donnes massive mise
jour en temps rel partir de donnes de scurit
provenant d'un vaste rseau mondial de capteurs placs
stratgiquement autour du globe. ThreatCloud collecte
des informations sur les menaces et les attaques de
logiciels malveillants, et permet d'identifer les nouvelles
tendances mondiales de scurit et de menaces,
pour constituer un rseau collaboratif de lutte contre
la cybercriminalit. Pour notre tude, les donnes de
ThreatCloud recueillies sur une priode de 12 mois ont
t consolides puis analyses.
Des donnes sur les logiciels malveillants inconnus ont
t recueillies par les capteurs de Check Point Threat
Emulation, entre juin et dcembre 2013. Check Point
Threat Emulation place les fchiers suspects dtects
par les passerelles Check Point dans un bac sable
dans le cloud et les analyse dynamiquement. Des
donnes anonymes provenant de Threat Emulation
depuis 848 passerelles de scurit ont t relayes
dans ThreatCloud pour agrgation, corrlation et
analyse avance.
Enfn, une mta-analyse de 1 036 rapports de scurit
de postes de travail provenant de diffrentes entreprises
a t effectue. Cette analyse de la scurit valuait
notamment chaque hte pour estimer les risques de
fuites de donnes, les risques d'intrusions et les risques
lis aux logiciels malveillants. L'analyse a t ralise
au moyen d'un outil de reporting Check Point Endpoint
Security pour vrifer la prsence d'un antivirus sur
les htes, s'il est jour, si les logiciels utiliss sont les
dernires versions, et plus encore. Cet outil est gratuit et
disponible publiquement. Il peut tre tlcharg depuis
le site de Check Point.
Les donnes au cur du Rapport Scurit 2014
de Check Point sont compltes par des exemples
d'incidents rels qui illustrent la nature des menaces
actuelles, leur impact sur les entreprises concernes et
leurs implications pour la communaut de la scurit.
Des experts mettent galement des recommandations
et des conseils afn que votre stratgie et vos solutions
de scurit soient pertinentes et effcaces pour vous
protger contre les risques d'aujourd'hui. Le rapport
est divis en chapitres traitant des logiciels malveillants
inconnus, des logiciels malveillants connus, des
applications risque et des fuites de donnes.
A
m
r
i
q
u
e
s
E
M
E
A
*
A
P
A
C
*
*
Rgion
24% 47% 29%
Secteurs
A
u
t
r
e
s
I
n
d
u
s
t
r
i
e
F
i
n
a
n
c
e
A
d
m
i
n
i
s
t
r
a
t
i
o
n

p
u
b
l
i
q
u
e
4
%

T
e
l
c
o
m
.
1
%

C
o
n
s
e
i
l
46% 22% 15% 12%
* EMEA : Europe, Moyen-Orient et Afrique.
** APAC : Asie Pacifque et Japon.
Graphique 1-2
10
11
LA FLAMBE
DES LOGICIELS
MALVEILLANTS
INCONNUS
02
12
13
13
144%
D'AUGMENTATION DU NOMBRE DE
NOUVEAUX LOGICIELS MALVEILLANTS
IDENTIFIS ENTRE 2012 ET 2013
18 000 000 2010
12 000 000 2009
18 500 000 2011
34 000 000 2012
83 000 000 2013
02
Fin 2013, les chercheurs de Check Point travaillant avec
le service Threat Emulation ont dcouvert et analys une
nouvelle variante de logiciel malveillant qui employait
une combinaison sophistique de techniques pour
chapper aux proxies et aux solutions antimalwares.
Dnomm HIMAN
12
par les chercheurs, ce logiciel
malveillant illustre parfaitement le type d'attaques cibles
complexes auxquelles sont confronts les entreprises et
les professionnels de la scurit informatique travers
le monde.
La passerelle de scurit d'un client Check Point abonn
au service Threat Emulation, a analys un document
Microsoft Word joint un email provenant de l'adresse
boca_juniors@aol.com avec pour ligne d'objet
Invitation une rception . Lors de l'ouverture dans
un bac sable, le document a exploit une vulnrabilit
connue (CVE-2012-0158) afn de dposer un fchier
nomm kav.exe dans le dossier Local Settings\
La menace des logiciels malveillants inconnus
Les technologies traditionnelles de scurit telles que
les antivirus et les systmes de prvention d'intrusions
(IPS) sont les plus effcaces pour dtecter les tentatives
d'exploitation des vulnrabilits connues des logiciels,
et dans une certaine mesure, elles offrent galement une
protection prventive contre les attaques inconnues.
Les pirates ont bien compris cela et soffrent le luxe
de tester leurs nouveaux logiciels malveillants sur ces
technologies afn de vrifer s'ils sont dtects.
La course aux armements entre les diteurs de solutions
de scurit et les pirates conduit une volution rapide
des techniques utilises par ces derniers, qui essaient
continuellement d'utiliser des vulnrabilits inconnues
(galement appeles exploitations de vulnrabilits
zero-day car il faut habituellement quelques heures
ou quelques jours pour les dtecter et fournir les
protections adquates) et des mthodes d'infection
inconnues dans le but de contourner les dfenses.
LE CONNU EST FINI,
L'INFINI EST INCONNU.
Thomas Henry Huxley
11
LA FLAMBE DES LOGICIELS
MALVEILLANTS INCONNUS
Source : AV-Test.org
Graphique 2-1
14
LOGICIELS MALVEILLANTS INCONNUS FRAPPENT
LES ENTREPRISES TOUTES LES HEURES
2,2
et du fonctionnement des outils antimalwares pour
chapper toute dtection, sans aller jusqu'
dvelopper ou acheter un vritable kit d'exploitation
de vulnrabilit zero-day. Cette sophistication s'tend
galement aux communications de commande et de
contrle et aux processus d'exfltration : HIMAN peut
s'attaquer des proxies sortants via des mthodes
de force brute l'aide d'identifants stocks, chiffrer
les donnes recueillies l'aide d'AES,
14
et utiliser des
techniques d'obscurcissement pendant l'exfltration afn
de se soustraire au fltrage sortant.
Une fois install, et aprs avoir tabli une connexion un
serveur de commande et de contrle, HIMAN s'adapte
dynamiquement et excute un script qui recueille des
donnes sur les services utiliss, les comptes locaux
ayant des droits administrateur, d'autres informations
sur la confguration du systme et les parties du rseau
local qui sont visibles la machine infecte. Arms de
cette information, les assaillants possdent une carte
du rseau local et un moyen d'accs l'entreprise
cible pour continuer l'tudier, l'explorer, exfltrer des
donnes, et attaquer les serveurs, les systmes et les
processus mtiers.
Utilisant diffrentes techniques pour tablir une tte de
pont dans le rseau d'une entreprise cible et drober
des donnes confdentielles, le logiciel malveillant
HIMAN dmontre la fois la fexibilit des dveloppeurs
Temp de l'ordinateur cible de l'utilisateur. Le nom de
ce fchier semblait tre un leurre destin ressembler
l'excutable
13
de l'antivirus Kaspersky, et le logiciel
malveillant lui-mme semblait li des campagnes de
logiciels malveillants prcdentes que les chercheurs
ont attribu un ou plusieurs groupes dattaquants
chinois. L'analyse a rvl que le fchier procdait en
deux tapes, en se renommant en cours d'installation
sur le systme cible puis en s'accrochant au processus
explorer.exe afn de charger une DLL malveillante.
Check Point a effectu des recherches dans les bases
de donnes de logiciels malveillants connus et a
constat qu'aucun diteur d'antivirus n'tait capable de
dtecter ce logiciel malveillant au moment o il a t
dcouvert.
Ce dernier injectait une bibliothque malveillante
(mswins64.dll) l'aide d'une srie d'appels de fonctions
Windows et de contrles d'exclusion mutuelle, afn
d'installer le logiciel malveillant dans le systme client
sans tre dtect par les solutions antimalwares
existantes. Une fois install, le logiciel malveillant ajoutait
une entre dans la base de registre diffrente de celles
bien connues qui sont couramment utilises par les
processus des logiciels malveillants, et qui sont donc plus
troitement surveilles par les logiciels antimalwares.
Cette combinaison d'appels de fonctions API et
d'entres dans la base de registre moins utilises
permettait au logiciel malveillant d'augmenter ses
chances d'chapper toute dtection.
HIMAN dmontre comment les auteurs de logiciels
malveillants mettent proft leur expertise du systme
Windows, du comportement du systme d'exploitation
MOINS DE 10% DES MOTEURS ANTIVIRUS
DTECTENT LES LOGICIELS MALVEILLANTS
INCONNUS LORSQU'ILS SONT CAPTURS
POUR LA PREMIRE FOIS
02 LA FLAMBE DES LOGICIELS MALVEILLANTS INCONNUS
15
CRER UN
INCONNU EST SI FACILE QU'UN ENFANT
POURRAIT LE FAIRE
en tte. Deuximement, il tait trs rare, ce qui signife
qu'il n'avait jamais t expos aux rseaux de collecte
et d'analyse que les diteurs d'antivirus ont mis au
point pour rester au fait du march de masse des
virus et des bots qui avait dfni le paysage des logiciels
malveillants depuis une dcennie, et il tait rest
silencieux pendant un laps de temps indtermin de
potentiellement plusieurs annes. Enfn, le motif derrire
Stuxnet diffrait nettement de celui des virus et de la
plupart des vers trs mdiatiss, tels que Code Red
16
et
Sasser,
17
qui ont suivis. En regard de ce motif, il est clair
que le ou les auteurs de Stuxnet taient persvrants.
En bref, Stuxnet reprsentait un nouveau type de
logiciels malveillants cibl, rare et motiv, que les
technologies antivirus et de prvention d'intrusions
existantes taient mal quipes pour le combattre. En
ce sens, il tait l'avant-garde d'une vague de logiciels
malveillants sur mesure exigeant un nouvel ensemble
d'outils et de stratgies. L'mergence de HIMAN
souligne l'volution continue de cette tendance et la
menace qu'elle reprsente.
de logiciels malveillants et des agresseurs, et les dfs
auxquels les professionnels de la scurit ont t
confronts en 2013.
Comment en sommes-nous arrivs l ?
L'volution des logiciels malveillants inconnus
Depuis plusieurs annes, les dangers des
attaques cibles et des menaces persistantes
avances (APT) ont fortement suscit l'attention
des professionnels de la scurit de l'information.
Les APT ont fait leur entre sur scne en 2010 avec
l'attaque cible Stuxnet,
15
dans laquelle un logiciel
malveillant hautement spcialis a dstabilis le
systme de contrle d'une centrifugeuse nuclaire
iranienne dans le cadre de cyberattaques parraines
par des tats.
Ce nouveau type de logiciels malveillants a russi percer
la plupart des dfenses antimalwares classiques de trois
manires. Tout d'abord, Stuxnet tait trs spcialis. Il
a t tudi et conu pour un systme spcifque, dans
un environnement spcifque, et avec un objectif prcis
33%
DES ENTREPRISES ONT TLCHARG AU
MOINS UN FICHIER INFECT PAR UN LOGICIEL
MALVEILLANT INCONNU
16
Le 22 octobre 2013, une entreprise de mdias a reu
six emails suspects qui ont t analyss par le service
Check Point Threat Emulation.
De : No-Replay@UPS.COM
Objet : Notifcation de livraison UPS
Pice jointe : factureBQW8OY.doc
(MD5 ad0ef249b1524f4293e6c76a9d2ac10d)
Pendant la simulation automatique dans un bac sable
virtuel d'un utilisateur ouvrant un fchier potentiellement
malveillant, plusieurs comportements anormaux ont t
dtects :
Microsoft Word a cess de fonctionner et s'est relanc
avec un document vide
Une cl de registre a t confgure
Un nouveau processus a t lanc sur le poste
Check Point Threat Emulation a dtermin en consquence
que ce fchier tait malveillant.
Une analyse plus approfondie effectue par les chercheurs
de Check Point a mis en vidence que les documents des
six emails taient identiques et exploitaient la vulnrabilit
CVE-2012-0158 affectant Microsoft Word. Cette
vulnrabilit, galement appele MSCOMCTL.OCX RCE,
18

permet l'excution de code distance sur le poste.
L'analyse a identif le code malveillant comme tant
une variante personnalise du cheval de Troie Zbot,
19
qui
drobe des donnes via des attaques de type man-in-
the-browser , enregistrement de frappe, dtournement
de formulaires et autres mthodes. La consignation de ces
chantillons dans la base de donnes VirusTotal
20
a rvl
un faible taux de dtection (< 10%) la fois pour la pice
jointe malveillante et la variante de Zbot au moment de la
consignation.
Les chercheurs de Check Point ont analys les diffrentes
URL partir desquelles les documents malveillants ont t
tlchargs et ont dtermin que la liste des paramtres
uniques passs aux serveurs infectant tait en fait un
dsignateur de cible chiffr en Base64 contenant l'adresse
email cible. Ces URL uniques reprsentaient les adresses
email des utilisateurs de grandes entreprises cibles par les
attaques, y compris de grandes entreprises internationales,
dont des institutions fnancires, des constructeurs
automobiles internationaux, des oprateurs de tlcoms,
des organismes gouvernementaux, des institutions
d'enseignement et des organismes municipaux en Amrique
du Nord. Les attaques faisaient partie d'une campagne
cible visant capturer des identifants utilisateur, des
informations bancaires et d'autres informations pouvant tre
utilises pour accder aux donnes les plus confdentielles
des entreprises cibles.
ATTAQUE CIBLE, CAMPAGNE MONDIALE
DES FICHIERS INFECTS PAR DES LOGICIELS
MALVEILLANTS INCONNUS SONT AU FORMAT PDF
35%
17
jusqu'alors inconnues et non dclares pour lesquelles
il n'existe pas de correctif. Les logiciels malveillants
inconnus contiennent du code malveillant qui exploite
des vulnrabilits ou des faiblesses connues, mais qui
ne peuvent tre dtects au moment de leur dcouverte,
mme par des antivirus, des antibots et des systmes
de prvention d'intrusions jour. La fentre d'effcacit
d'un logiciel malveillant inconnu est souvent de 2 ou 3
jours seulement, car son existence donne aux diteurs
d'antivirus le temps de le dtecter sur leurs rseaux
mondiaux et de dvelopper des signatures.
Cette distinction est cruciale, car elle nous permet de
comprendre la vraie nature des logiciels malveillants qui
ont pris le devant de la scne en 2013.
Rendre l'inconnu connu
En 2013, les moteurs d'mulation de Check Point,
une forme avance d'analyse automatise de logiciels
malveillants en bac sable, dploys dans le monde
entier, ont dcouvert que 2,2 logiciels malveillants
inconnus frappaient les entreprises toutes les heures,
soit un taux quotidien de 53.
Les chercheurs de Check Point ont dtermin que deux
principaux facteurs taient l'origine de cette soudaine
augmentation de la frquence :
1. Les pirates employaient des mcanismes
automatiss de cration de logiciels malveillants
inconnus furtifs grande chelle, puis ciblaient
les entreprises travers le monde grce des
campagnes coordonnes pour maximiser leur
effcacit.
2013 : Un dbut prometteur, une fn dcevante
Les administrateurs scurit sont de plus en plus
habitus aux attaques cibles, mais galement aux
nouveaux outils ncessaires pour les combattre.
Les technologies automatises d'analyse en bac sable
des logiciels malveillants sont des outils bien connus
des quipes de scurit des grandes entreprises et des
organismes publics, qui les ont dploys pour renforcer
leur infrastructure de scurit actuelle et dtecter les
logiciels malveillants cibls qui pourraient autrement
chapper aux dfenses existantes des passerelles et
des postes reposant sur des signatures et l'valuation
de la rputation.
Cependant, 2013 a connu une augmentation
spectaculaire de la frquence des logiciels malveillants
inconnus , c'est--dire des attaques appliquant les
techniques d'obscurcissement et de contournement
des APT des logiciels malveillants connus dans
des campagnes cibles de porte mondiale (Encart :
Attaque cible, campagne mondiale). Non seulement les
attaques hyper cibles utilisant des logiciels malveillants
hautement spcialiss demeurent une problmatique,
la personnalisation de masse signife maintenant
que l'effcacit accrue des logiciels malveillants cibls
est galement la porte de campagnes de grande
envergure motives par l'appt du gain.
Inconnu ou zero-day
Il est important de distinguer les logiciels malveillants
inconnus de ce qui est sont souvent dnomm
exploitation de vulnrabilits zero-day . Les logiciels
malveillants zero-day exploitent des vulnrabilits
Graphique 2-2
Fonctionnement des analyses en bac sable
Les fchiers suspects
sont envoys un bac
sable virtuel local ou
hors site
Ouvrir et excuter le fchier
inconnu dans un systme
d'exploitation virtuel. Rechercher
les actions malveillantes :
Base de registre
Systme de fchier
Services
Connectivit rseau
S'il est sain, le transmettre
sa destination. S'il est
malveillant, les actions
possibles sont :
Le transmettre sa
destination avec une alerte
Le bloquer
Bac sable
virtuel
Fichier inconnu
Fichier OK
Inspection
Fichier reu sous
forme de pice
jointe d'un email ou
tlcharg
18
Un fot de nouveaux logiciels malveillants
Les analyses de Check Point sur les donnes des
logiciels malveillants en 2013 ont mis en vidence
la frquence laquelle les programmes malveillants
inconnus ont t dtects au niveau des passerelles
rparties dans le monde entier. Des donnes provenant
de sources externes ont confrm ces rsultats.
AV-TEST,
21
un institut de recherche indpendant sur
la scurit informatique et les antivirus, enregistre
plus de 220 000 nouveaux programmes malveillants
chaque jour. AV-TEST a enregistr plus de 80 millions
de nouveaux logiciels malveillants en 2013, soit plus du
double de 2012.
Nos recherches portant sur 2013 jettent beaucoup plus
de lumire sur cette tendance et son impact gnralis.
Sur l'ensemble de nos chantillons, un tiers des
entreprises ont tlcharg au moins un fchier infect
par des logiciels malveillants inconnus.
2. Les processus d'enqute et d'intervention manuels
utiliss pour attnuer les attaques cibles taient
incapables de faire face ce nouveau volume lev
d'incidents.
L'analyse des dtections de 2013 a montr que la majorit
des logiciels malveillants inconnus tait diffuse des
clients cibls par email, le plus souvent via des pices
jointes. En 2013, le format PDF tait le plus populaire,
reprsentant prs de 35% des fchiers dtects par
les mcanismes d'mulation des logiciels malveillants
inconnus et conus pour exploiter des versions non
corriges d'Adobe Reader. (Graphique 2-3) Nos
recherches montrent que les formats EXE et archives
sont galement populaires, reprsentant 33% et 27%
des fchiers malveillants analyss, respectivement.
Parmi les formats de fchiers Microsoft Offce, le plus
populaire tait Word (.doc), bien que les analyses des
donnes des bacs sable ont montr que les agresseurs
tendaient leurs attaques d'autres formats galement.
En tout, nous avons dtect des programmes
malveillants inconnus dans 15 types de fchiers Offce
diffrents, y compris les fchiers de modles pour Word
et PowerPoint, et diffrents formats Excel. Bien que la
majorit des fchiers d'archives malveillantes taient au
format ZIP, sans doute parce que tous les systmes
Windows sont capables d'ouvrir des archives ZIP,
les analyses Check Point ont nanmoins dtect des
logiciels malveillants dans tous les autres types majeurs
de fchiers archive, tels que TAR, RAR, 7z et CAB.
2,2 LOGICIELS MALVEILLANTS INCONNUS
FRAPPENT LES ENTREPRISES TOUTES LES
HEURES, SOIT UN TAUX QUOTIDIEN DE 53
Types de logiciels malveillants inconnus
Graphique 2-3
P
D
F
E
X
E
A
r
c
h
i
v
e
5
%

M
i
c
r
o
s
o
f
t

O
f
f
c
e
35% 33% 27%
19
Recommandations
L'explosion en 2013 du nombre de logiciels malveillants
inconnus signife que les entreprises doivent reconsidrer
les outils et les processus dploys principalement pour
dtecter et rpondre de faible volume d'attaques
cibles. Les mcanismes de dtection qui ncessitent
des interventions manuelles sans possibilit de blocage
automatique laissent les quipes de scurit dmunies
face la vague de logiciels malveillants inconnus
frappant leur rseau.
L'mulation, ou l'analyse automatise des logiciels
malveillants en bac sable, est dsormais une solution
incontournable pour toute entreprise. Mme les
solutions antivirus, antibots et IPS les plus ractives
doivent compter avec une fentre de 2 3 jours durant
laquelle les logiciels malveillants inconnus ne sont pas
dtects ; un laps de temps plus que suffsant pour
permettre des agresseurs de prendre pied dans une
entreprise.
Cette explosion du nombre de logiciels malveillants
inconnus est due en partie l'accessibilit des
techniques d'obscurcissement qui ncessitaient des
comptences ou des outils spcialiss dans le pass,
voire les deux (Encart : Les contes de Crypter).
22
Les
cas que nous avons tudis dans ce chapitre illustrent
le haut degr de sophistication atteint par les logiciels
malveillants actuellement diffuss, habituellement
rserv de simples variantes. Cette sophistication
aggrave la problmatique qu'ils reprsentent, car ils
ncessitent le dploiement de capacits de dtection et
d'analyse intelligentes et plus subtiles une chelle bien
suprieure aux ressources de suivi, de rponse et de
gestion des incidents prsentes dans de nombreuses
entreprises.
Afn de contourner les mcanismes de dtection des
solutions antimalwares, les auteurs de logiciels malveillants
modernes utilisent des outils de masquage spcialiss
appels crypters . Pour vrifer que leurs variantes ne sont
pas dtectes, les auteurs de logiciels malveillants vitent
les plates-formes d'analyse antivirus en ligne telles que
VirusTotal et autres qui communiquent les chantillons avec
les diteurs de solutions antimalwares, et utilisent la place
des services privs tels que RazorScanner, Vscan (appel
galement NoVirusThanks) et chk4me. Les crypters sont
classs par les communauts de pirates comme tant UD
(indtectable) ou FUD (totalement indtectable), en fonction
de leur degr de russite chapper la dtection antivirus.
En 2013, Check Point Threat Emulation a dtect une
variante de logiciel malveillant chiffre jusqu'alors inconnue,
conue pour diffuser l'outil d'administration distance
DarkComet.
23
Dans le cas de notre chantillon dtect,
une chane de caractres intgre a rvl qu'il s'agissait
d'un produit du crypter iJuan, qui est disponible en ligne
la fois sous forme de version gratuite (UD) et payante FUD).
Techniquement classif comme tant un packer
(empaqueteur) d'excutables portable (PE),
24
ne pas
confondre avec les logiciels ranonneurs chiffreurs tels que
CryptoLocker,
25
ces crypters dguisent des excutables au
moyen de diffrents systmes de chiffrement et d'encodage,
habilement combins et recombins, souvent plus d'une fois.
Cet chantillon dtect, qui a russi chapper la plupart des
solutions antivirus, a t compar une dtection similaire dans
un autre pays. Nous avons pu dterminer qu'il s'agissait d'une
version masque diffremment du mme outil DarkComet,
communiquant avec le mme serveur de commande et
de contrle. Runis ensembles, ces facteurs indiquent que
ces deux dtections distinctes, l'une en Europe et l'autre en
Amrique latine, font en fait partie de la mme campagne.
Ces dtections soulignent les rouages internes des familles
d'attaques avances qui transforment la fois le paysage des
menaces, et la gamme de solutions dont les responsables
de la scurit ont besoin pour dfendre leur rseau et leurs
donnes.
LES CONTES DE CRYPTER
20
Ces solutions doivent toutefois faire partie intgrante
de l'infrastructure de scurit de l'entreprise plutt que
d'exister dans une couche distincte de l'infrastructure.
Les entreprises devraient rechercher des solutions
d'mulation capables de fournir :
Intgration L'intgration transparente avec
les passerelles, les infrastructures de messagerie
et les postes existants, est la seule mthode
de dploiement volutive qui n'augmente ni
la complexit ni le cot. L'intgration avec la
messagerie est particulirement critique puisque
le courrier lectronique est le principal vecteur
d'attaque contre les clients la fois l'intrieur et
l'extrieur du rseau.
Prvention Les approches employant la
dtection seule ne sont plus suffsantes pour les
gros volumes de logiciels malveillants inconnus. Les
entreprises doivent rechercher des solutions axes
sur la prvention qui permettent de dtecter et de
bloquer automatiquement les logiciels malveillants
inconnus avant qu'ils n'atteignent leur destination.
Dtection
Logiciel malveillant
connu
Cration
Kit de logiciels
malveillants
Packer/Crypter
Binder/Joiner
Validation
Assurance qualit
Inconnu
Lancement
Assurance qualit
Analyse multimoteur
NoVirusThanks
Kit de logiciels malveillants
Spy Eye
Zeus Builder
Citadel Builder
Crypter/Packer
UPX GUI
PFE CX
Indectables.net
Joiner/Binder
File Joiner
ExeBundle
Cycle de vie d'un logiciel malveillant
Automatisation L'limination des processus
manuels pour l'analyse et les interventions permet
aux entreprises de faire face ces attaques, et
rpond d'autres objectifs de scurit et mtiers.
La prvention automatique est dterminante, tout
comme le sont le reporting et l'intgration des fux
de travail pour des notifcations et des interventions
effcaces.
La hausse rapide du nombre de logiciels malveillants
inconnus change clairement la donne en matire
de scurit, appelant de nouvelles stratgies et
technologies ainsi qu' une approche de la scurit
capable de fournir une protection effcace sans
surcharger les ressources de l'entreprise. L'adaptation
ces nouvelles exigences devrait tre une priorit
urgente pour toutes les entreprises. En parallle, les
types d'attaques les plus courants et tablis de longue
date continuent de poser de srieuses menaces, et
ncessitent une vigilance continue et des contre-
mesures proactives. Les toutes dernires tendances
sur les logiciels malveillants connus sont dcrites dans
le chapitre suivant.
L'MULATION, OU L'ANALYSE AUTOMATIQUE
AVANCE DE LOGICIELS MALVEILLANTS EN BAC
SABLE, EST DSORMAIS UNE SOLUTION
INCONTOURNABLE POUR TOUTE ENTREPRISE
21
UN DANGER
BIEN CONNU
Les logiciels
malveillants dans
l'entreprise
03
22
03 UN DANGER BIEN CONNU : LES LOGICIELS MALVEILLANTS DANS L'ENTREPRISE
23
03
La dmocratisation des menaces persistantes
avances
L'omniprsence des botnets
L'augmentation du nombre de vulnrabilits
tendant la surface d'attaque
Durant nos tudes, nous avons constat que ces
tendances ont non seulement continu en 2013, mais
ont acclr dans presque tous les domaines, que ce
soit la frquence laquelle les logiciels malveillants
entrent dans les entreprises, ou l'tendue et la gravit
des infections de bots.
La scurit de l'information a domin l'actualit en
2013, avec des rvlations sur les programmes de
cybersurveillance fnancs par l'tat et le piratage
d'entreprises de mdias telles que le Washington
Post et Yahoo, des pidmies malveillantes telles
que CryptoLocker et des fuites de donnes client
une chelle clipsant tout ce qui a pu tre signal
prcdemment.
L'anne coule fait que 2012 semble calme en
comparaison, sauf que 2012 n'tait absolument pas
une anne calme du point de vue des cyberattaques.
Cette anne-l s'est distingue par la quantit et
l'ampleur de ses cyberattaques, y compris la fambe
de l'hacktivisme, du piratage parrain par l'tat sur les
mdias et les entreprises, et des fuites de donnes
d'institutions fnancires travers le monde. Les
principales tendances de 2012 en matire de logiciels
malveillants releves dans le Rapport Scurit 2013
27

de Check Point taient :
UN DANGER BIEN CONNU :
LES LOGICIELS MALVEILLANTS DANS
L'ENTREPRISE
DES ENTREPRISES ONT TLCHARG
DES LOGICIELS MALVEILLANTS
84%
NOUS NOUS INQUITONS DES ARMES
DE DESTRUCTION MASSIVE DEPUIS
DES DCENNIES. IL EST MAINTENANT TEMPS
DE NOUS INQUITER DE CE NOUVEAU TYPE
D'ARMES DE PERTURBATION MASSIVE.
John Mariotti
26
24
Nombre total de vulnrabilits courantes
2008 5 632
2009 5 736
2010 4 651
2011 4 155
2012 5 297
2013 5 191
Plus rapide ne signife pas toujours mieux
S'il existe une statistique unique en 2013 qui illustre
le mieux les dfs que rencontrent aujourd'hui les
administrateurs de scurit, c'est bien la frquence
croissante avec laquelle les logiciels malveillants ont
t tlchargs par les entreprises que nous avons
tudies (Graphique 3-1). En 2012, prs de la moiti
(43%) des entreprises que nous avons analyses ont
tlcharg des logiciels malveillants un taux de moins
de un par jour, tandis que les autres entreprises (57%)
ont tlcharg des logiciels malveillants toutes les 2
24 heures.
En 2013, en revanche, prs des deux tiers (58%) des
entreprises ont tlcharg des logiciels malveillants
toutes les deux heures ou moins. Cette acclration du
rythme des cyberattaques sur les entreprises se refte
dans toutes les statistiques de notre dernire tude
sur la scurit. Dans ce chapitre, nous examinons les
dtails de ce changement et ses implications pour la
scurit et les responsables, avec un premier regard sur
les vulnrabilits qui crent de la surface d'attaque pour
les auteurs de logiciels malveillants et les pirates.
Moins de vulnrabilits, ou un faux espoir ?
Le seul facteur de risque du paysage de la scurit
de l'information qui n'a pas augment en 2013 est le
nombre de vulnrabilits signales. premire vue, cela
semble tre un certain soulagement aprs les indications
de 2012 qui suggraient que la tendance la baisse du
nombre de vulnrabilits signales tait renverse, vu
que leur nombre avait bondi de 27% par rapport 2011
pour atteindre 5 297 (Graphique 3-2). En effet, 2012 a
vu un paysage de vulnrabilits largir les opportunits
pour les agresseurs, et augmenter galement la zone
que les administrateurs, dj aux prises avec l'entre
des appareils mobiles et des services grand public dans
les rseaux d'entreprise, devaient dfendre.
Graphique 3-1
Frquence de tlchargement des logiciels
malveillants (% des entreprises)
14% Jusqu' 2 heures
19% 2 6 heures
12% 6 12 heures
12% 12 24 heures
43% Plus de 24 heures
58%
13%
12%
11%
7%
2012
2013
(Source : Base de donnes CVE (vulnrabilits courantes
58% DES ENTREPRISES ONT TLCHARG
DES LOGICIELS MALVEILLANTS
TOUTES LES DEUX HEURES OU MOINS
Graphique 3-2
25
DES HTES ACCDENT DES
SITES WEB MALVEILLANTS
60
TOUTES LES SECONDES
ncessaires afn de vrifer que les correctifs
n'entranent pas d'effets indsirables.
Le dploiement de systmes de prvention
d'intrusions (IPS) pour dtecter et, le cas
chant, bloquer les tentatives d'exploitation des
vulnrabilits connues. Cela se fait parfois comme
mesure provisoire jusqu' ce qu'une mise jour
puisse tre applique dans le cadre du cycle de
correction normal. Dans d'autres cas, l'IPS est le
Pourquoi alors 2013 ne reprsente pas vraiment
une tendance positive ? certains gards, oui. La
protection des vulnrabilits implique gnralement
deux approches principales :
L'application des correctifs mis par les diteurs
pour corriger les vulnrabilits. Pour les systmes
clients, c'est maintenant gnralement fait
automatiquement, sans requrir de test. Pour les
serveurs, des tests supplmentaires sont souvent
Malgr l'augmentation des primes proposes aux chercheurs
par les diteurs pour dcouvrir des vulnrabilits, la valeur
leve des vritables vulnrabilits zero-day sur le march
conduit les chercheurs les vendre des organismes
gouvernementaux
28
qui travaillent avec des pirates pour
tendre leurs cyberdfenses, et des entreprises de tests
de pntration. Un march noir des logiciels malveillants
souterrain encore plus lucratif attire les pirates. Les prix
des vulnrabilits non dclares y varient selon la plate-
forme cible, allant de 5 000 dollars pour Adobe Reader
jusqu' 250 000 dollars pour Apple iOS. La disponibilit
des exploitations de vulnrabilits zero-day place les
cyberattaques avances la porte de toute organisation,
indpendamment de ses comptences techniques.
ZERO-DAY, GROS SOUS
PLATE-FORME CIBLE PRIX
Adobe Reader De 5 000 30 000 dollars
Mac OS X De 20 000 50 000 dollars
Android De 30 000 60 000 dollars
Plug-ins Flash ou Java pour navigateurs De 40 000 100 000 dollars
Microsoft Word De 50 000 100 000 dollars
Microsoft Windows De 60 000 120 000 dollars
Navigateurs Firefox et Safari De 60 000 150 000 dollars
Navigateurs Chrome et Internet Explorer De 80 000 200 000 dollars
Apple iOS De 100 000 250 000 dollars
Source : Forbes
26
principal moyen de dfense long terme pour les
systmes qui ne peuvent tre corrigs pour une
varit de raisons.
Le nombre de vulnrabilits nouvellement signales a
tendance avoir une corrlation positive directe sur
la charge de travail des services de scurit et des
services informatiques. Dans cette optique, 2013
semble bien avoir apport de bonnes nouvelles aux
responsables de la scurit surmens. La base de
donnes CVE a confrm une diminution du nombre de
vulnrabilits signales pour l'anne, 5 191, soit une
baisse modeste de 2% par rapport 2012, avec une
baisse de 9% du nombre de vulnrabilits critiques
signales.
Mais tout n'est pas aussi clair que cela puisse paratre.
Mme si moins de vulnrabilits ont t signales, les
experts s'entendent pour dire qu'un nombre croissant
de vulnrabilits critiques est siphonn par les marchs
gris et noir ; une tendance potentiellement plus
dsastreuse (Encart : Zero-day, gros sous).
Quand bien mme de nouvelles vulnrabilits
disparaissent pour tomber potentiellement dans
les mains des auteurs de logiciels malveillants, la
rpartition des vulnrabilits signales souligne une autre
problmatique pour les responsables informatiques
(Graphique 3-3). Oracle est rest la plate-forme la plus
vulnrable en 2013, avec de nombreuses vulnrabilits
signales dans les produits Java qui sont largement utiliss
dans les serveurs et les applications clientes, prsentant
ainsi de grandes opportunits pour les agresseurs.
Microsoft a t rtrograd en quatrime position, et
plus de vulnrabilits ont t signales dans les produits
Cisco et IBM, y compris les serveurs et les composants
d'infrastructure rseau grande chelle qui ne sont pas
toujours couverts par des politiques de protection IPS.
La plupart des entreprises ont des processus bien
dfnis pour le dploiement des correctifs de Microsoft.
Il n'en est pas de mme pour les applications clientes
Principales vulnrabilits en 2013 par diteur
(nombre de vulnrabilits)
Graphique 3-3
160 Mozilla
175 Sun
190 Linux
191 Redhat
192 Apple
192 Google
345 Microsoft
394 IBM
433 Cisco
496 Oracle
TLCHARGE DES LOGICIELS MALVEILLANTS
10
TOUTES LES MINUTES, UN HTE
(Source : Base de donnes CVE (vulnrabilits courantes
27
2013
2012
Graphique 3-5
* Java+Oracle+Sun Solaris
Incidents de scurit par diteur
(% des entreprises)
4%
4%
3%
2%
15%
Oracle*
CA Technologies
Novell
3Com
4%
2%
5%
Squid
10%
1%
VideoLAN
15%
13%
Adobe
67% Microsoft
Microsoft, 14% des postes analyss ne disposent pas
des tous derniers Service Packs Microsoft Windows, qui
intgrent tous les correctifs et mises jour prcdentes.
Plus important encore, 33% des postes en entreprise
ne disposent pas des toutes dernires versions des
logiciels clients tels qu'Adobe Reader, Adobe Flash
Player, Java et Internet Explorer, laissant ces clients
vulnrables de nombreuses attaques.
telles que Java et Adobe Reader. Cet cart les expose
des attaques dhameonnage via navigateur (emails
de phishing cibls) et des attaques de type watering
hole (point d'eau), par lesquelles un agresseur
compromet un site web populaire et y incorpore des
logiciels malveillants capables d'infecter un client
vulnrable qui le consulte.
Postes : aucun correctif, aucune restriction et
aucune prparation
Les statistiques Endpoint Security de notre tude
2013 confrment que la gestion des correctifs reste
un df majeur, en particulier pour les systmes
clients (Graphique 3-4). Malgr l'adoption gnralise
de processus rguliers d'application de correctifs
23%
14%
33%
18%
53%
38%
Htes o l'utilisateur a des droits administrateur local
Htes qui ont au moins un appareil Bluetooth install
Htes qui n'ont pas de signatures antivirus jour
Htes ne disposant pas de versions de logiciels jour*
Htes ne disposant pas du tout dernier Service Pack**
Htes sans pare-feu de bureau
Vulnrabilits et erreurs de confguration
des postes en entreprise
(% des htes)
Graphique 3-4
68%
* Les logiciels suivants ont t analyss : Acrobat Reader, Flash Player, Java,
Internet Explorer
** Les plates-formes Microsoft Windows analyses : Windows XP, Windows 2003,
Vista, 2008, 2008 R2, Windows 7
28
La vulnrabilit de ces systmes est aggrave par le fait
que prs d'un cinquime (18%) des postes tudis ne
disposent pas des toutes dernires signatures pour leur
solution antivirus. Les consquences de ces dfaillances
peuvent tre considrables. Un agresseur qui a russi
tablir une tte de pont dans un client vulnrable peut
ainsi disposer d'une plate-forme solide pour explorer le
reste du rseau de l'entreprise cible. Parmi les postes
analyss en entreprise, 38% d'entre eux sont confgurs
avec des privilges d'administrateur local, permettant
l'excution de logiciels malveillants dans le contexte
du systme (root), plutt que de limiter l'excution au
contexte de l'utilisateur.
Loin d'offrir de l'espoir aux responsables informatiques,
l'environnement de 2013 s'avre avoir t trs favorable
aux agresseurs :
Plus de vulnrabilits sur le march noir, o elles
restent non signales et non corriges.
Clients non protgs.
Report du nombre de vulnrabilits sur des
applications et plates-formes qui sont moins
rgulirement corriges.
LA LONGUE TRANE
vnements de scurit par diteur
A
d
o
b
e

1
5
%
N
o
v
e
l
l

2
%
H
P

0
,
4
%
3
C
o
m

4
%
A
p
a
c
h
e

1
%
Y
a
h
o
o

0
,
2
%
V
i
d
e
o
L
A
N

1
0
%
A
u
r
i
g
m
a

2
%
A
O
L

0
,
3
%
O
r
a
c
l
e

4
%
A
p
p
l
e

1
%
P
H
P

0
,
2
%
B
i
t
T
o
r
r
e
n
t

0
,
2
%
W
W
F

0
,
2
%
M
i
c
r
o
s
o
f
t

6
7
%
C
A

3
%
H
y
l
a
F
A
X

1
%
S
q
u
i
d

4
%
L
A
N
D
e
s
k

2
%
R
e
a
l
N
e
t
w
o
r
k
s

0
,
2
%
NEE LA LONGUE TRA
ar dditeur vnements de scurit pa
2
%
H
P
0
,
4
%
c
a
c
h
e
1
%
Y
a
h
o
o
0
,
2
%
a
2
%
A
O
L
0
,
3
% %
A
p
p
l
e
1
%
P
H
P
0
,
2
%
B
i
t
T
o
r
r
e
n
t
0
,
2
%%%%%%%%%%%%%%%%%%%%%%%%%
W
W
F
0
,
2
%
3
%
H
y
l
a
F
A
X
1
%
e
s
k
s
2
%%
N
e
t
w
o
r
k
s
0
,
2
%
Graphique 3-6 Source : Check Point Software Technologies
29
Les pirates voient au-del de Windows
Les donnes relatives aux attaques dans notre tude de
2013 montrent comment les agresseurs s'adaptent
ces opportunits dans les rseaux cibls des entreprises
(Graphique 3-5). Mme si Microsoft reste la plate-
forme la plus attaque en 2013, vise par au moins
une attaque dans 67% des entreprises analyses, cela
reprsente une lgre diminution par rapport 2012.
L'augmentation des attaques contre Adobe (Reader et
Flash Player) et VideoLAN (le lecteur de mdias VLC)
refte le ciblage accru des applications utilisateur,
tandis que l'attention porte aux plates-formes et aux
dispositifs d'infrastructure est vidente comme le montre
l'augmentation du nombre d'attaques sur les systmes
de Squid (proxy et cache web), 3Com (commutation et
routage) et CA (analyse et identit). En fait, la rpartition
des attaques sur diffrentes plates-formes refte l'effet
de longue trane dcrit par l'auteur Chris Anderson
29

DES HTES N'ONT PAS DE LOGICIELS
JOUR
33%
Incidents de scurit par plate-forme
2013 % du total
S
e
r
v
e
u
r
C
l
i
e
n
t
32%
68 %
Graphique 3-7
Principaux vecteurs d'attaque
(% des entreprises)
Graphique 3-8
51% Excution de code
47% Corruption de la mmoire
36%
Dni de service 23%
Fuites de donnes 16%
Dpassement d'entier 12%
Contournement d'authentifcation 9%
Force brute 2%
Dpassement de pile 2%
Escalade de privilge 1%
Usurpation d'enregistrement 0.2%
en 2006 (Graphique 3-6). La suite de plates-formes
cibles est un ensemble de marchs de niche l'infni
qui atteste du modle conomique et des motivations
conomiques des cyberattaques modernes.
Dpassement
de tampon
30
La messagerie reste le vecteur de propagation privilgi
des logiciels malveillants. Un exemple de 2013 montre
que mme aujourd'hui, les utilisateurs restent imprudents
face de simples attaques, ce qui donne ainsi aux logiciels
malveillants un mcanisme de diffusion dans de nombreuses
entreprises.
En octobre 2013, un utilisateur travaillant chez un grand
fabricant en France a reu un email avec Blagounette du
jour
33
pour ligne d'objet. Un fchier Microsoft Excel de 6 Mo
tait joint l'email.
L'analyse automatique de documents suspects dans un bac
sable virtuel a rvl que le fchier Excel contenait une image
et qu'il la plaait dans le systme de fchiers de l'ordinateur,
puis modifait la base de registre pour mettre la nouvelle
image en fond d'cran. En raison du caractre humoriste
de l'image, l'utilisateur tait susceptible de partager cette
blague sans mfance, en transmettant l'email ses
amis et collgues. Une analyse plus pousse a rvl que
c'est exactement ce qui s'est produit. Le document a t
transmis au moins trois grandes entreprises franaises
supplmentaires.
Heureusement pour ces entreprises, ce document n'intgrait
pas de code malveillant et n'avait pas t conu pour
causer des dommages aux ordinateurs des utilisateurs qui
l'ouvraient. Toutefois, tous les ingrdients d'une campagne
de logiciels malveillants cible sont prsents. Les utilisateurs
qui ont ouvert ce document ont expos leur ordinateur et leur
entreprise un risque important, aggrav par ceux qui l'ont
transmis des collgues et des amis travaillant dans d'autres
entreprises, qui sont devenus un vecteur supplmentaire de
propagation d'une blague du jour qui n'avait vraiment rien
de drle.
LA BLAGUE DU JOUR :
LES UTILISATEURS RESTENT UN MAILLON FAIBLE
Les serveurs sont l o se trouve l'argent
L'tude de Check Point a constat en 2013 que les
serveurs restent la cible principale des attaques
dtectes par les systmes de prvention d'intrusions,
soit prs du double (Graphique 3-7). Compte tenu de
la faiblesse des systmes clients dcrits plus haut, on
peut se demander : Pourquoi attaquer des serveurs s'ils
sont susceptibles d'tre plus corrigs et bien gards ?
Pour la mme raison que Willie Sutton s'attaquait en
son temps des banques, car selon lui : c'est l ou
se trouve l'argent.
30
Les serveurs d'application sont
exposs au rseau et parfois mme Internet dans une
zone dmilitarise, et les attaques automatises sont
bien adaptes aux serveurs car ils peuvent exploiter
les vulnrabilits des services ou des applications sans
ncessiter d'interaction avec les utilisateurs fnaux. Les
serveurs peuvent tre analyss depuis l'extrieur du
rseau ou d'un client interne compromis, puis cibls par
des attaques spcifques la version des applications
ou de leur systme d'exploitation. Les nombreuses
attaques fournissent un contrle distance du systme
aux agresseurs en cas de russite.
Les principaux vecteurs d'attaque observs dans notre
tude de 2013 (Graphique 3-8) penchent fortement
pour l'excution de code distance (RCE),
31
les trois
premiers tant l'excution de code, la corruption de la
mmoire et les dpassements de tampon. Mme les
attaques de dni de service (DoS) peuvent soutenir
les attaques menes contre des serveurs en servant
d'cran de fume pour dtourner l'attention. Lorsque
la fume se dissipe, l'attaque est termine et le serveur
cibl est compromis.
31
Les systmes clients offrent galement de nombreuses
autres vulnrabilits, notamment par l'exploitation du
comportement des utilisateurs avec la messagerie et
la navigation web. Dans ces domaines, les donnes
de notre tude de 2013 reftent la fois l'acclration
de l'activit des logiciels malveillants et le passage la
personnalisation de masse.
En 2013, le nombre d'htes accdant des sites
malveillants a continu d'augmenter. Notre tude
montre qu'en moyenne, un hte accde un site
web malveillant toutes les 60 secondes. l'exception
de la fourchette de 1 2 htes , le Graphique 3-9
montre que la rpartition du nombre d'htes accdant
des sites malveillants est reste relativement stable
par rapport 2012. Ces bonnes nouvelles apparentes
dmentent un problme plus profond, car c'est un
effet des campagnes dhameonnage ciblant un
nombre limit d'utilisateurs au sein d'une entreprise
et de proflage social pour crer un email qui est plus
susceptible d'tre ouvert par les destinataires. Plutt
que de submerger toute l'entreprise d'emails de
phishing facilement dtectables, ces attaques ciblent
un ou deux utilisateurs. Cette approche plus effcace a
permis une augmentation de 20% du nombre d'htes
accdant des sites malveillants par rapport 2012.
Clients : aucun correctif, aucune restriction et
aucune prparation
Les clients sont galement de bonnes cibles, en
particulier pour les attaques rseau qui tentent de se
propager travers un rseau interne ou dans un rseau
public non protg. En plus des correctifs et Service
Packs manquants qui corrigent les services connus et
facilement cibls tels que RPC,
32
les clients sont souvent
vulnrables en raison de la dsactivation d'importantes
protections. Par exemple, prs d'un quart (23%) des
postes en entreprise analyss par Check Point ne
disposent pas d'un pare-feu de bureau activ, et
plus de la moiti (53%) ont Bluetooth activ, ce qui
les expose des attaques via rseau sans fl dans les
espaces publics.
Graphique 3-9
Accs des sites malveillants
par nombre d'htes
(% des entreprises)
36% 20% 18% 12%
31% 18% 20% 16% 15%
15%
P
l
u
s

d
e
1
6

h
t
e
s
9

1
6

h
t
e
s
5

8

h
t
e
s
3

4

h
t
e
s
1

2

h
t
e
s
2013
2012
DES ENTREPRISES, AU MOINS UN BOT
A T DTECT, CONTRE 63% EN 2012
73%
49% DES ENTREPRISES ONT
7 HTES OU PLUS INFECTS PAR DES BOTS
DANS
32
CryptoLocker est une souche de logiciel malveillant appel
ranonneur qui a t identif pour la premire fois dbut
septembre 2013. Comme d'autres formes de ranonneurs,
CryptoLocker s'installe sur l'ordinateur d'une victime et
chiffre ses diffrents fchiers de donnes en tche de fond,
l'insu de l'utilisateur.
Lorsque la phase de chiffrement est termine, CryptoLocker
affche un message informant l'utilisateur que ses fchiers
ont t pris en otage et exige le paiement d'une ranon
aux criminels pour dchiffrer les fchiers. Le message indique
que si l'utilisateur ne se conforme pas cette demande
dans un certain dlai (souvent moins de quatre jours), la
cl prive ncessaire au dchiffrement sera supprime du
serveur des criminels, ce qui rend les donnes de la victime
dfnitivement irrcuprables.
Il n'existe actuellement aucune mthode connue pour
rtablir l'accs aux fchiers chiffrs.
Un trait important de CryptoLocker est que l'agent logiciel
malveillant a besoin de trouver et d'tablir une communication
avec un serveur de commande et de contrle avant de pouvoir
commencer le processus de chiffrement des fchiers. Le
moyen le plus effcace de vaincre CryptoLocker est donc de
dtecter et de bloquer la premire tentative de communication
de l'agent, avant qu'il puisse se connecter au serveur de
commande et de contrle et commencer le processus de
chiffrement.
CryptoLocker a montr que la dtection des bots, souvent
considre une mesure ractive, peut galement jouer un
rle proactif dans une dfense prventive de pointe. Durant
l'pidmie CryptoLocker de fn 2013, les entreprises qui
employaient des solutions antibots intelligentes taient en
mesure d'attnuer les dommages causs par les infections de
CryptoLocker dans leur rseau, en identifant non seulement les
clients infects mais en bloquant galement la communication
initiale critique avec le serveur de commande et de contrle.
BLOCAGE DE CRYPTOLOCKER
Graphique 3-10
Nombre d'htes qui ont
tlcharg des logiciels
malveillants
(% des entreprises)
5

8

h
t
e
s
9

1
6

h
t
e
s

5
%

3
%

1
7

3
2

h
t
e
s
4
%
P
l
u
s

d
e

3
3

h
t
e
s
1

4

h
t
e
s
76%
5
12%
EN MOYENNE, UN HTE ACCDE UN SITE WEB
MALVEILLANT TOUTES LES MINUTES, ET
UN LOGICIEL MALVEILLANT EST TLCHARG
TOUTES LES DIX MINUTES
Cette tendance explique galement la hausse en
2013 du nombre d'htes tlchargeant des logiciels
malveillants. De 1 4 htes dans 76% des entreprises
analyses ont tlcharg des logiciels malveillants, soit
une augmentation de 69% par rapport 2012, tandis
que les frquences sont restes stables ou ont diminu
dans toutes les autres fourchettes (Graphique 3-10).
Un petit nombre d'htes accdant des sites
malveillants et tlchargeant des logiciels malveillants
dans un plus grand nombre d'entreprises a contribu
l'acclration globale de l'activit des logiciels
malveillants en 2013. En moyenne, un hte accde
un site web malveillant toutes les minutes, et un logiciel
malveillant est tlcharg toutes les dix minutes.
33
Les bots tendent leur porte
Comme on pouvait s'y attendre de cette augmentation
des activits d'infltration, les chercheurs de Check Point
ont trouv une augmentation correspondante des
infections et de l'activit des bots en 2013. Si pour les
infltrations, le thme tait une baisse du volume des
attaques plus cibles, pour les bots, l'inverse est vrai :
volume lev et haute frquence. En 2013, le nombre
d'entreprises comprenant 22 ou plusieurs htes
infects par des bots a augment de prs de 400%
(Graphique 3-11), tandis que les plus petites infestations
de bots ont diminu.
Cela ne devrait pas tre interprt comme signifant que
l'ensemble des infections de bots a diminu, puisque
plus d'un tiers (38%) des entreprises avait encore au
moins 1 3 htes infects par des bots.
Les enjeux des infections de bots sont sans doute
galement en train d'augmenter avec l'avnement d'une
nouvelle gnration de logiciels ranonneurs, illustr par
l'pidmie de CryptoLocker fn 2013 (Encart : Blocage
de CryptoLocker).
Non seulement les entreprises sont aux prises avec
des infestations plus tendues de bots dans leur
environnement, mais les bots sont galement plus
actifs. La frquence des communications des bots avec
les serveurs de commande et de contrle a augment
de faon spectaculaire en 2013, avec 47% des
entreprises dtectant des tentatives de communication
avec des serveurs de commande et de contrle un
taux de plus d'une par heure, soit une augmentation
de 88% par rapport 2012 (Graphique 3-12). Remis
l'chelle de l'chantillon entier de notre tude, un bot
tente de communiquer avec son serveur de commande
et de contrle toutes les trois minutes. Chacune de ces
tentatives de communication est l'occasion pour le bot
de recevoir des instructions et potentiellement exfltrer
des donnes confdentielles hors de l'entreprise cible.
Cette acclration de la frquence des communications
avec les serveurs de commande et de contrle
reprsente une grave menace pour les entreprises qui
luttent pour protger leurs donnes et leurs systmes.
Nombre d'htes
infects par des bots
(% des entreprises)
Plus de 35 htes
22 35 htes
10 21 htes
7 9 htes
4 6 htes
1 3 htes
6%
16%
7%
18%
18%
10%
8%
18%
14%
48%
38%
0%
Graphique 3-11
2013
2012
34
77%
DES BOTS SONT ACTIFS
PENDANT PLUS DE 4 SEMAINES
77%
23%
plus de 4 semaines
moins de 4 semaines
Graphique 3-12
Frquence des communications
des bots avec leur serveur de com-
mande et de contrle
(% des entreprises)
2013
2012
Plus de 4 heures
2 4h
1 2h
Jusqu' 1h
24%
10%
3%
6%
45%
40%
25%
47%
Les dfenses antibots deviennent plus vitales et
plus problmatiques
L'augmentation de la frquence permet galement
aux responsables de la scurit de dtecter, bloquer
et stopper les infections de bots dans leur rseau. La
dtection des communications des bots est souvent la
tche la plus facile, tandis que l'radication des bots
sans rinstaller le systme infect peut prsenter un plus
grand df. Le blocage effcace des communications des
bots devient la partie la plus diffcile de la guerre antibots
en raison des nouveaux canaux plus sophistiqus de
commande et de contrle utiliss par les rseaux de
zombies pour chapper au fltrage et aux outils de
blocage traditionnels (Encart : Ce n'est pas la partie de
pche de votre pre).
34
UN BOT ESSAIE DE COMMUNIQUER
AVEC SON SERVEUR DE COMMANDE
ET DE CONTRLE
TOUTES LES TROIS MINUTES
35
En 2013, les campagnes de phishing analyses par les
chercheurs de Check Point ont mis en vidence des
techniques de plus en plus sophistiqus employes
aujourd'hui par les attaques de phishing pour chapper aux
listes noires qui sont au cur de la plupart des dfenses
traditionnelles, y compris l'utilisation d'une certaine forme de
schma d'URL dynamique pour chapper toute dtection
par les listes noires statiques. Dans le cas de la campagne
de phishing du kit d'exploitations Nuclear, ce systme rsiste
galement aux analyses effectues par les chercheurs.
L'analyse de CryptoLocker mene par nos chercheurs
a rvl un autre aspect de cette tendance : en tant que
botnet reposant sur un algorithme de gnration de noms
de domaine (DGA),
35
CryptoLocker emploie des noms de
domaine dynamiques, apparemment gnrs alatoirement
pour tablir des communications entre le bot et le serveur
de commande et de contrle. Les bots CryptoLocker
gnrent 1 000 nouveaux domaines tous les jours, tandis
que les exploitants de CryptoLocker enregistrent les mmes
1 000 nouveaux domaines puis s'en dbarrassent au bout
de 24 heures. En consquence, les domaines malveillants
ont peu de chance d'tre dtects et enregistrs par les
ressources charges de crer et maintenir les listes noires
d'URL et de domaines malveillants connus.
Vues dans leur ensemble, ces rcentes campagnes de
logiciels malveillants mettent en vidence le rle important
des URL et des noms de domaine dynamiques dans ces
attaques, en particulier pour luder les listes noires statiques
traditionnellement utilises pour dtecter et bloquer les
bots et les tentatives de phishing. Les URL dynamiques
et l'algorithme DGA tirent parti de l'infrastructure mme
d'Internet pour gnrer des variantes obscures ou usage
unique, capables de confondre les systmes de dfense
reposant sur l'analyse et le blocage du trafc de et vers des
adresses qui ont t prcdemment dtectes et classes
comme tant malveillantes.
Ces observations reftent une tendance beaucoup plus
importante dans l'industrie du logiciel malveillant. Les pirates
exploitent les faiblesses du systme de nom de domaine et des
mthodes traditionnelles de mise en liste noire des URL pour
contourner les dfenses existantes et atteindre leurs objectifs.
Dans les conclusions de son tude pour le deuxime trimestre
2013, le Groupe de travail antiphishing (APWG)
36
a constat
que mme si les noms de domaine de premier niveau (TLD)
37

.com restent les plus couramment utiliss dans les campagnes
de phishing (44% au total contre 42% au 1er trimestre), les
TLD de certains pays sont plus frquemment utiliss dans
les attaques de phishing qu'il n'y a de domaines rellement
enregistrs. Le Brsil (.br) par exemple a seulement 1% de
domaines enregistrs mais reprsente 4% des TLD dans les
emails de phishing. Les auteurs de tentatives de phishing et de
logiciels malveillants exploitent la quantit de TLD possibles des
pays pour gnrer un nombre immense de noms de domaine
et d'URL uniques, et les contrles que beaucoup supposent en
place pour empcher ce genre d'abus ne fonctionnent pas.
Le rapport de l'APWG, Enqute mondiale sur le phishing,
1re moiti de 2013 : Tendances et utilisation des noms
de domaine ,
38
tudie le rle des noms de domaine dans
les attaques de phishing et constate que les bureaux
d'enregistrement de noms de domaine ne s'aperoivent soit
de rien soit sont les complices des agresseurs.
Ce problme ne fera que s'aggraver. En 2013, l'ICANN
(la socit pour l'attribution des noms de domaine et des
numros sur Internet)
39
a annonc un projet d'augmentation
du nombre de domaines de premier niveau de 22 1 400,
avec notamment des TLD en caractres non latins comme
l'arabe, le chinois et le cyrillique. Alors que l'APWG note que
des TLD en caractres non latins sont disponibles depuis
des annes et ne sont pas particulirement utiliss par les
agresseurs, il y a tout lieu de croire que ces derniers vont
chercher des moyens de les exploiter puisque les diteurs
de solutions de scurit russissent maintenant mieux
identifer les URL et les domaines de phishing utilisant
des caractres latins. Ils vont tester les limites de toutes
les techniques de fltrage des URL et par listes noires qui
s'appuient sur des listes d'URL malveillantes ou suspectes
connues, en local ou dans le cloud, pour crer un pool quasi
infni d'URL usage unique pouvant tre utilises dans les
emails de phishing, et de noms de domaine pouvant tre
utiliss pour les botnets via DGA.
CE N'EST PAS LA PARTIE DE PCHE DE VOTRE PRE
36
Antivirus sur passerelle et sur poste avec
fltrage des URL Les entreprises doivent tre
en mesure de dtecter et de bloquer les logiciels
malveillants et les tentatives de connexion des
sites connus pour diffuser des logiciels malveillants.
Passerelle antibots En plus de dtecter les
logiciels malveillants, ces solutions devraient tre
capables de limiter les communications des botnets
via DGA.
Protection IPS tendue Au-del de la
supervision seule, vous devriez tre en mesure
de bloquer les attaques critiques. Le systme
devrait galement prendre en charge les rseaux,
les serveurs et les infrastructures informatiques
de Cisco et d'autres fournisseurs, pas seulement
Microsoft Windows.
Maintenance complte du systme et des
applications Veillez ce que des processus de
gestion et de correction des vulnrabilits soient en
place pour tous les systmes et les applications, y
compris Java et Adobe Reader, pas seulement les
clients et les serveurs Microsoft Windows.
Meilleures pratiques pour la confguration des
clients et des serveurs Il s'agit notamment de
restreindre l'utilisation des privilges administrateur,
dsactiver Java et autres scripts, et limiter les
applications que les utilisateurs peuvent installer
sur leur poste.
Dans le prochain chapitre, nous examinons les rsultats
de notre tude de 2013 sur les applications et les
risques qu'elles posent aux donnes et aux utilisateurs.
Recommandations
L'analyse de Check Point du paysage de la scurit
en 2013 rvle que l'activit des logiciels malveillants
a augment dans toutes les catgories. Cette
augmentation avait trois principaux aspects :
Une plus grande activit d'infltration, dans laquelle
les utilisateurs sont exposs des logiciels
malveillants via des sites web, des emails et des
tlchargements malveillants.
Des menaces post-infection accrues sous
forme de grandes infections de bots avec des
communications de commande et de contrle plus
frquentes.
Un plus grand nombre d'attaques sur un large
ventail de plates-formes, ciblant des vulnrabilits
non seulement sur les serveurs et les clients
Windows, mais galement dans les infrastructures
rseau et serveur, et les applications moins
supervises.
Vue dans son ensemble, cette augmentation du nombre
de cyberattaques reprsente un df de taille pour les
entreprises et les responsables de la scurit s'efforant
dj de relever les dfs prsents par les logiciels
malveillants dcrits dans le Rapport Scurit 2013 de
Check Point. La seule faon pour les entreprises de
contrer effcacement cette acclration de l'activit des
logiciels malveillants, et lutter contre l'acclration du
rythme des attaques, des infections et des exfltrations
dans leur environnement, est d'automatiser et de
coordonner plusieurs niveaux de dfense. Les mesures
essentielles comprennent :
37
APP(ETITE) FOR
DESTRUCTION :
04
Les applications
risque dans
l'entreprise
38
39
04
dans le cloud et de partager des fchiers, d'utiliser
des applications de bureau et donnes distance, et
partager des mdias et autres fchiers entre utilisateurs et
ordinateurs. Les applications risque voluent souvent
en marge des solutions informatiques offciellement
sanctionnes, voire totalement en dehors, et font partie
de l'informatique de l'ombre ; cest--dire l'ensemble
des applications, des appareils et des services qui ne
font lobjet daucune supervision.
Le contrle des applications reprsente un df interne
qui aggrave les dfs poss par les cyberattaques
externes. Les applications sont essentielles la
productivit et au fonctionnement quotidien de chaque
entreprise, mais elles crent galement des degrs de
vulnrabilit dans leur posture de scurit. Du point de
vue de la scurit, elles ressemblent aux personnages
du roman La ferme des animaux
41
de George Orwell :
toutes les applications sont gales, mais certaines ont
plus d'galit que d'autres.
Les applications risque incarnent ces problmatiques.
Contrairement aux applications de productivit telles
que Microsoft Offce et les applications web 2.0 de
rseaux sociaux de plus en plus reconnues telles
que Facebook, LinkedIn, Twitter, WebEx et YouTube,
les applications risque permettent de surfer sur le
web de manire anonyme, de stocker des donnes
APP(ETITE) FOR DESTRUCTION :
LES APPLICATIONS RISQUE DANS
L'ENTREPRISE
DES ENTREPRISES ONT AU MOINS
UNE APPLICATION HAUT RISQUE*
86%
MAIS SI NOUS SOMMES EN LIGNE,
LE MONDE EST LOCAL.
Neal Stephenson, Cryptonomicon
40
* Partage de fchiers en P2P, anonymiseurs, stockage et partage de fchiers
04 APP(ETITE) FOR DESTRUCTION : LES APPLICATIONS RISQUE DANS L'ENTREPRISE
40
PRINCIPALES
APPLICATIONS
RISQUE PAR RGION
Amriques
APAC**
Anonymiseurs
Ultrasurf Tor Hide My Ass
Partage de fchiers en P2P
Protocole BitTorrent Xunlei SoulSeek
Stockage et partage de fchiers
Dropbox Windows Live Offce
Hightail (anciennement YouSendIt)
Administration distance
TeamViewer RDP LogMeIn
Anonymiseurs
Tor Ultrasurf Hotspot Shield*
Protocole BitTorrent SoulSeek Box Cloud
RDP LogMeIn TeamViewer
EMEA*
Protocole BitTorrent SoulSeek
Protocole EDonkey
RDP TeamViewer LogMeIn
Anonymiseurs
Tor Hide My Ass! OpenVPN
Graphique 4-1
* EMEA : Europe, Moyen-Orient et Afrique
** APAC : Asie Pacifque et Japon
41
Les dangers de l'anonymat
Les applications d'anonymisation fournissent
principalement aux utilisateurs un moyen de surfer sur
Internet et consulter des sites web tout en prservant
leur anonymat. Elles reposent gnralement sur la
cration d'un tunnel chiffr vers un ensemble de proxies
HTTP qui permettent aux utilisateurs de contourner les
pare-feux et les restrictions de fltrage des contenus.
Certaines, telles que Tor, emploient des techniques
supplmentaires d'obscurcissement du routage et
mme des logiciels spciaux ou des plug-ins de
navigateur pour permettre aux utilisateurs de brouiller les
pistes et chapper leur employeur, le gouvernement
ou d'autres contrles.
En 2013, les chercheurs de Check Point ont enregistr
une augmentation globale de l'utilisation des proxies
anonymes dans les rseaux d'entreprise, avec plus de
la moiti (56%) des entreprises analyses comprenant
au moins un incident d'anonymisation, soit une
augmentation de 13% par rapport 2012.
En 2012, les chercheurs de Check Point ont constat que
les applications web 2.0 risque taient omniprsentes
dans l'infrastructure de l'entreprise et posaient des
risques importants de fuite de donnes, voire des
failles de scurit. Notre analyse de la scurit des
rseaux d'entreprise en 2013 a constat que, malgr
ces risques connus, le nombre d'applications risque a
augment dans toutes les catgories (Graphique 4-2).
Ce chapitre examine les rsultats de l'tude pour
chaque catgorie et met des recommandations pour
attnuer ce problme.
Graphique 4-2
Pourcentage des entreprises utilisant des applications risque
(% des entreprises)
2012
2013
Anonymiseurs
Stockage et partage
de fchiers
Administration
distance
43%
56%
61%
75%
80%
86%
81%
90%
LES CHERCHEURS ONT ENREGISTR
UNE AUGMENTATION DE L'UTILISATION
DES ANONYMISEURS DANS LES RSEAUX
D'ENTREPRISE, AVEC PLUS
DE LA MOITI (56%) DES ENTREPRISES
ANALYSES ENREGISTRANT AU MOINS
UN INCIDENT D'ANONYMISATION
42
Appel galement le routeur oignon , Tor
42
a de nouveau
t l'application d'anonymisation la plus largement dtecte
dans notre tude de 2013. Tor tait dj bien connu comme
vhicule pour la navigation anonyme contournant facilement
les politiques de scurit d'entreprise, mais en 2013, il a
gagn une nouvelle notorit en tant que portail vers le web
profond, le ct tnbreux de l'Internet ouvert et consultable,
ou web surfacique .
43
Caractris par son inaccessibilit
partir des outils de recherche standard, le web profond
a attir l'attention en 2013 en rponse aux proccupations
accrues aux tats-Unis et l'tranger concernant la
surveillance et la vie prive, et en raison de l'arrestation du
dirigeant de Silk Road.
44
D'autres applications d'anonymisation posent un problme
similaire, mais le rle de Tor comme passerelle vers le web
profond en font un risque particulier pour les responsables
de la scurit. Bien qu'il propose de l'anonymat et des places
de march underground, le web profond est galement en
proie des logiciels malveillants et des escroqueries, et les
entreprises ont raison de craindre que les employs qui
utilisent Tor pour chapper la surveillance relle ou perue
fnissent par exposer leur ordinateur et l'entreprise un
degr de risque lev. Plus rcemment, des chercheurs ont
dcouvert que les donnes de cartes bancaires drobes
auprs de nombreux commerants l'aide du cheval de
Troie d'accs distance ChewBacca
45
ont t exfltres vers
des serveurs grce Tor.
La libert d'expression et l'anonymat sont des liberts
essentielles et doivent tre prserves pour les individus.
Toutefois, pour les administrateurs de scurit dans les
environnements d'entreprise, la dtection et le blocage
de l'utilisation de Tor et d'autres anonymiseurs dans les
systmes et les rseaux d'entreprise doit tre une priorit
absolue en 2014 et au-del.
PORTAIL VERS LE WEB PROFOND
Les applications d'anonymisation individuelles ont
cependant enregistr des gains ingaux. Tor a mme t
dtect dans moins d'entreprises qu'en 2012 : 15% en
2013, par rapport 23% en 2012 (Graphique 4-3). Cela
refte une attention accrue, avec raison, la restriction
de Tor dans les politiques de scurit d'entreprise
(Encart : Portail vers le web profond). Cela pourrait
galement signifer que les employs surfent de manire
anonyme moins frquemment partir des systmes et
rseaux d'entreprise, ou que les utilisateurs sont passs
d'autres applications d'anonymisation qui sont moins
connues et donc moins susceptibles d'tre bloques
par les politiques de scurit.
Champions des dfenseurs de la vie prive et de la
libert de parole, les outils d'anonymisation ont permis
de protger la confdentialit, et mme la vie, des
dissidents dans des pays en priode de troubles. Plus
rcemment, les rvlations en 2013 sur la surveillance
orchestre par des tats ont augment leur adoption
par les utilisateurs en Europe et en Asie comme
refuge contre le cyberespionnage rel ou peru. Les
Graphique 4-3
2012
2013
OpenVPN
3%
10%
Hide My Ass!
7%
12%
CoralCDN
10%
Tor
23%
15%
Ultrasurf
8%
14%
Applications d'anonymisation
les plus populaires
(% des entreprises)
43
Graphique 4-4
2013
2012
Utilisation des applications
d'anonymisation par rgion
(% des entreprises)
54%
49%
58%
40%
54%
35%
EMEA
APAC
Amriques
diffrences rgionales dans les incidences d'utilisation
des anonymiseurs dans les rseaux d'entreprise
tmoignent de ce facteur, et pointent galement sur
la russite relative des administrateurs de scurit des
entreprises amricaines contraindre l'utilisation de
cette catgorie d'applications risque (Graphique 4-4).
Tout comme l'hydre mythique,
46
si les administrateurs
ont russi couper la tte de Tor en 2013, ce n'tait
que pour voir six autres anonymiseurs prendre sa place.
La frquence d'utilisation des dix principaux outils
d'anonymisation restants a augment par rapport
2012.
Vous avez dit contrle distance ?
La catgorie d'applications risque la plus largement
dtecte dans notre tude de 2013 tait celle des
applications d'administration distance. L'application
la plus connue est Microsoft RDP (Remote Desktop),
47

mais beaucoup d'autres sont largement utilises
dans le monde, dont notamment TeamViewer qui
gagne en popularit depuis 2012 (Graphique 4-5).
Ces applications ont des usages lgitimes lorsqu'elles
permettent des quipes d'assistance de grer et
maintenir les postes de travail des employs travers
le monde (Encart : Outils d'administration distance : le
bon, la brute et le truand).
De nombreuses entreprises ont cependant adopt ces
outils au hasard, en fonction des besoins tactiques.
Plutt que de normaliser une seule application
d'administration distance, les services informatiques
en utilisent trois ou plus, en fonction des plates-
formes, des connexions et des tches. En 2013, les
applications d'administration distance sont les seules
pour lesquelles la frquence d'utilisation la plus leve
a t dtecte dans le secteur industriel, avec 90% des
entreprises faisant tat d'au moins un incident dtect
li ces applications.
Principales applications
d'administration distance
(% des entreprises)
Graphique 4-5
RDP 71%
71% TeamViewer
LogMeIn 50%
VNC 21%
GoToAssist-RemoteSupport 8%
Ammyy Admin 7%
44
Partage de fchiers en P2P : Pas sr pour le travail
Les applications de P2P (pair pair) sont utilises pour
partager des fchiers entre utilisateurs. Souvent utilis
pour la distribution de contenus protgs, de logiciels
lgaux ou pirats, et autres mdias, le partage de fchiers
en P2P est le vhicule favori pour la diffusion de logiciels
malveillants, qui peuvent tre intgrs dans les fchiers
partags. En plus de livrer des logiciels malveillants
des utilisateurs peu mfants ou non prpars, les
applications de P2P peuvent crer des portes drobes
dans les rseaux d'entreprise, permettant ainsi des
agresseurs de pntrer dans les rseaux et drober des
donnes confdentielles.
L'utilisation frquente d'applications de P2P telles que
BitTorrent pour distribuer de la musique et des flms
protgs, expose les entreprises des poursuites
de la part de la RIAA (Association de l'industrie du
disque amricaine), qui travaille agressivement avec
les fournisseurs d'accs Internet pour identifer et
Principales applications de partage
de fchiers en P2P
(% des entreprises)
Graphique 4-6
10% Box Cloud
13% Xunlei
14% Protocole EDonkey
25% SoulSeek
Protocole BitTorrent 63%
Les outils d'administration distance sont parfois confondus
avec les outils d'accs distance en raison de leur similarit.
En pratique, tandis que les outils d'administration distance
posent d'importants risques de scurit, ceux-ci sont
diffrents des risques associs aux outils d'accs distance
tels que ChewBacca, Poison Ivy,
48
DarkComet ou le clbre
Back Orifce.
49
Essentiellement des chevaux de Troie en
pratique, les outils d'accs distance n'ont pas un usage
lgitime dans un rseau d'entreprise, et en tant que menace
majeure, leur dtection doit entraner une rponse rapide de
suppression, d'assainissement et d'analyse de l'exposition
potentielle des donnes.
Les outils d'administration distance les plus connus, d'autre
part, prolifrent souvent dans les rseaux en raison des
besoins des quipes d'assistance qui tentent de rsoudre
des problmes, et pour fournir un accs aux applications et
aux donnes un ensemble toujours plus large d'appareils
et de plates-formes utilisateur. L'outil d'administration
distance TeamViewer est un bon exemple de la tendance
de ces outils. En 2013, la prsence de TeamViewer sur
les rseaux tudis a bondi, grce l'arrt de la version
gratuite de son concurrent LogMeIn et de son ensemble
de fonctionnalits comprenant la prise en charge tendue
des plates-formes autres que Windows, ses fonctions de
confrence et de collaboration, et ses performances sur
diffrentes connexions sans avoir modifer la confguration
du pare-feu comme pour RDP.
Mais ces fonctionnalits ont un cot, car les caractristiques
qui en font un outil de choix pour les quipes informatiques
sont galement attrayantes pour les utilisateurs fnaux qui
souhaitent accder distance leurs ordinateurs de travail
depuis leur smartphone, tablette ou mme PC personnel,
ouvrant ainsi des portes dans le rseau de l'entreprise et
compromettant la scurit de l'entreprise. Dans ces cas,
mme un employ bien intentionn peut transformer un bon
outil en un grave danger.
OUTILS D'ADMINISTRATION DISTANCE :
LE BON, LA BRUTE ET LE TRUAND
45
DES ENTREPRISES
DROPBOX EST PRSENT DANS
85%
Stockage et sur-partage de fchiers
La possibilit de crer et de partager facilement des
contenus entre les appareils et les utilisateurs est un trait
marquant des applications web 2.0. Les applications
de stockage et de partage de fchiers y jouent un rle
important en facilitant l'enregistrement des contenus
dans un dossier d'un appareil, puis en les rpliquant
automatiquement dans le cloud et en les synchronisant
sur l'ensemble des appareils associs. Il sufft ensuite
simplement d'envoyer un lien d'autres utilisateurs
pour partager des fchiers. Ces utilisateurs peuvent alors
accder aux fchiers partags et mme les modifer.
De toute vidence, cette facilit de partage expose les
entreprises un risque important de sur-partage , si
par inadvertance ou intentionnellement, des utilisateurs
synchronisent les donnes confdentielles de l'entreprise
depuis un systme protg vers d'autres appareils non
protgs, et mme dans des dossiers partags avec
d'autres utilisateurs.
En 2013, Dropbox est rest l'application de stockage
et de partage de fchiers la plus courante, dtecte
dans 85% des rseaux analyss contre 69% en 2012
(Graphique 4-7). Cette situation contraste avec la quasi-
totalit des autres applications de stockage et de partage
de fchiers, dont la frquence d'utilisation a diminu
par rapport 2012, ce qui signife que les entreprises
sanctionnent l'utilisation d'une seule application, et que
la popularit continue de Dropbox parmi les utilisateurs
le pousse dans les environnements d'entreprise dans le
cadre de l'informatique de l'ombre .
50
poursuivre les sources de diffusion de contenus pirats
ou sans licence (Graphique 4-6). En 2013, BitTorrent
est rest l'application la plus populaire de partage
de fchiers en P2P. Son utilisation est passe dans
les entreprises de 40% en 2012 63% en 2013. La
frquence d'utilisation des applications de partage de
fchiers en P2P a augment de faon constante dans
toutes les rgions.
Graphique 4-7
Principales applications de stockage
et de partage de fchiers
(% des entreprises)
2012
2013
Windows Live Offce 48%
51%
Dropbox 85%
69%
Hightail (anciennement YouSendIt) 26%
22%
SugarSync 16%
13%
ImageVenue 15%
9%
Mendeley
14%
4%
46
2013 est marque comme tant l'anne o les agresseurs
et les chercheurs ont ralis la capacit des applications de
stockage et de partage de fchiers infltrer les entreprises et
exfltrer des donnes confdentielles. En mars, des pirates ont
mis au point un mcanisme permettant d'utiliser Evernote pour
prendre en charge les communications avec les serveurs de
commande et de contrle et les communications d'exfltration
des rseaux de bots.
Peu de temps aprs, en avril, un chercheur a dcrit un
mcanisme de propagation de logiciels malveillants dans
une entreprise l'aide des mcanismes de synchronisation
de Dropbox. Appele DropSmack,
51
l'attaque consiste
intgrer des commandes de macro dans un fchier portant
l'extension .doc et un en-tte lgitime, puis placer ce fchier
dans le dossier Dropbox d'un utilisateur d'une entreprise
cible. Qu'il s'agisse d'un ordinateur manag par l'entreprise
ou d'un appareil personnel ne fait aucune diffrence ; une
fois DropSmack install dans un appareil, les routines de
synchronisation automatiques de Dropbox le rpliquent dans
le dossier Dropbox de chaque appareil associ ce compte.
DropSmack permet un agresseur de contourner le primtre
et mme la plupart des dfenses anti-infltration des appareils,
de communiquer avec un serveur de commande et de contrle,
de se dplacer latralement et d'exfltrer des donnes.
L'introduction de nouvelles fonctionnalits de scurit dans
Dropbox telles que le chiffrement et l'authentifcation deux
facteurs rpond certes aux proccupations des responsables
de la scurit, mais DropSmack montre que ces applications
ont encore un fort potentiel pour le partage de logiciels
malveillants, et doivent donc tre surveilles de prs dans les
environnements d'entreprise, si tant est qu'elles doivent tre
autorises.
DROPBOX PREND UNE GIFLE
Cratures sociales
Les plates-formes de rseaux sociaux sont une
caractristique intgrale du web 2.0 et sont dsormais
acceptes, parfois au prix de grandes rticences, dans
les environnements informatiques d'entreprise. Dans
le Rapport Scurit 2013 de Check Point, nous avons
dcrit comment Facebook exposait les employs au
piratage et l'ingnierie sociale, et avons recommand
une meilleure sensibilisation des utilisateurs et de
meilleures dfenses pour les postes et le rseau.
En 2013, les risques sont les mmes et sont exacerbs
par le rle croissant des rseaux sociaux comme
outil essentiel pour les pirates dans la planifcation et
l'excution d'attaques cibles.
Une fois que les agresseurs ont cibl une entreprise
et identif les employs qui ont accs aux donnes
souhaites, les agresseurs prparent le profl social
de chaque employ cibl (Graphique 4-8). Ce profl
comprend des informations prcieuses pour les
agresseurs, telles que les sites web et les services de
vente en ligne couramment utiliss par les employs, les
amis qui sont susceptibles de leur envoyer des emails, et
les vnements importants auxquels ils ont rcemment
assist ou assisteront. Arms de cette information, les
agresseurs peuvent crer des emails dhameonnage
ayant de fortes probabilits de russite. Il nous sufft
de regarder les conclusions du Chapitre 3 pour voir les
effets de ce proflage.
Profl social
Cible:
Votre entreprise
Utilisateur:
Jean Salari
Autres
donnes
sociales
Profl social
Graphique 4-8
47
Parmi les applications de rseaux sociaux, Facebook
reste la plus populaire, mesure en termes de
consommation de bande passante dans les
environnements d'entreprise que nous avons analyss
pour notre tude de 2013 (Graphique 4-9).
Twitter et LinkedIn font galement partie des trois
principales applications de rseaux sociaux, mais leur
frquence d'utilisation globale a diminu par rapport
2012, probablement moins en raison de la diminution
de l'utilisation par les employs sur leur lieu de travail
que de l'accs aux rseaux sociaux sur tlphones
mobile. Bien que ce changement peut avoir l'avantage
de rduire la pression sur les rseaux d'entreprise
et diminuer les menaces immdiates sur les PC de
l'entreprise, l'utilisation gnralise des applications de
stockage et de partage de fchiers telles que Dropbox
signife qu'une infection sur la tablette ou le MacBook
personnel d'un utilisateur peut facilement tre transfre
leur systme d'entreprise. (Encart : Dropbox prend
une gife).
Recommandations
Les applications risque de toutes sortes restent une
menace grandissante dans l'entreprise, alors mme
que les outils spcifques plbiscits par les utilisateurs
changent avec le temps. Tandis que certains d'entre eux,
en particulier les anonymiseurs et les rseaux de P2P,
n'ont pas un usage professionnel lgitime et doivent
tre entirement limins, les outils d'administration
distance et de partage et de stockage de fchiers
peuvent rpondre aux besoins lgitimes des utilisateurs
et des services informatiques, ce qui pose un df plus
complexe. Mme les plates-formes de rseaux sociaux
communment admises telles que Facebook, LinkedIn
et YouTube, qui peuvent jouer un rle important dans les
activits et les stratgies marketing, peuvent prsenter
un vecteur attractif pour les attaques dhameonnage.
Tandis que la protection antimalwares se concentre
sur la dtection, la prvention et l'radication, les
applications ncessitent une approche plus nuance,
devant inclure :
Le contrle des applications par catgories
Les administrateurs doivent tre en mesure de bloquer
des familles entires d'applications, plutt que d'avoir
procder des blocages individuels. L'administration
s'en trouve non seulement simplife, mais cela permet
galement d'appliquer des contrles toute nouvelle
application adopte par les employs en remplacement
des applications qui ont t bloques ou restreintes.
La normalisation des applications sanctionnes
Les entreprises qui ont besoin d'outils d'administration
distance pour prendre en charge les fonctions
du service informatique ou de l'entreprise doivent
normaliser une seule application, puis surveiller leur
rseau pour dtecter d'autres outils d'administration
distance. Si le blocage n'est pas possible, leur prsence
devrait dclencher un processus de notifcation et
d'enqute pour dterminer qui les utilise et comment
ils sont utiliss, et vrifer si ce sont des exceptions
la politique en vigueur ou des digressions tactiques qui
doivent tre mises en conformit avec la politique. En
outre, le suivi et la mise en application devraient tre
Utilisation de la bande passante
par les rseaux sociaux
(% des entreprises)
Graphique 4-9
9% Flickr
8% Pinterest
10% LinkedIn
11% Twitter
Facebook 47%
48
lis des utilisateurs ou des groupes d'utilisateurs
autoriss spcifques, afn de garantir que seuls les
employs ayant un besoin mtier lgitime soient en
mesure de les utiliser. Une approche similaire peut
tre utilise pour les outils de stockage et de partage
de fchiers. Le service informatique devrait mettre en
place un service ou adopter une solution scurise
pour rpondre ce besoin. Sinon, les utilisateurs se
tourneront invitablement vers des applications non
slectionnes pour permettre le partage de fchiers et
la synchronisation multi-appareils que leur travail exige.
La sensibilisation des utilisateurs fnaux
Compte tenu de l'impossibilit de bloquer entirement
certaines catgories d'applications, les responsables
informatiques et de scurit devraient laborer des
programmes afn d'informer les utilisateurs des menaces
poses par les applications risque. Les employs
doivent comprendre les risques spcifques poss par
les diffrents types d'applications, notamment comment
viter les tentatives dhameonnage, les violations des
droits d'auteur et autres menaces, et comment ils
peuvent rpondre leurs besoins lgitimes par des
outils slectionns.
Il ne sufft pas toujours d'un logiciel malveillant ou d'une
application inapproprie pour exposer votre entreprise
des menaces. Bien que les logiciels malveillants
jouent un rle dans de nombreux incidents de fuites
de donnes, de simples erreurs humaines sont trop
souvent un facteur cl. Le chapitre suivant examine les
incidents majeurs et les tendances de fuites de donnes
en 2013.
49
PRVENTION
DES FUITES
DE DONNES :
Le grand retour
05
50
51
05
DES ENTREPRISES ONT SUBI AU MOINS UN
INCIDENT POTENTIEL DE FUITE DE DONNES
EN 2013, 88%
plus grande quantit de donnes transite par encore
plus de moyens, il devient de plus en plus diffcile de les
contrler et les protger.
Les pirates ne sont pas la seule menace pour les
donnes d'entreprise. De nombreux incidents se
produisent par inadvertance, lorsque les utilisateurs
envoient le mauvais fchier au bon destinataire, ou le
bon fchier au mauvais destinataire, ou tout simplement
Les incidents de fuites de donnes ont acquis une
nouvelle notorit en 2013. Adobe Systems, Target,
Neiman Marcus et d'autres entreprises de grande
envergure ont t victimes de failles de scurit exposant
la confdentialit de millions de consommateurs.
Les donnes sont depuis longtemps la cible privilgie
des pirates, y compris les informations fnancires, la
proprit intellectuelle, les informations commerciales
et les informations d'authentifcation. Plus que
jamais, les donnes peuvent facilement tomber dans
de mauvaises mains. Les appareils mobiles et les
applications de l'informatique de l'ombre fournissent
de nouveaux vecteurs d'attaque, et augmentent les
risques de fuites et d'exfltration. L'Internet des objets
ne fait qu'aggraver la situation puisque les appareils
communiquent directement entre eux pour changer
des informations sur la consommation d'nergie
domicile, la localisation et l'tat d'un vhicule, le suivi des
colis, la sant personnelle et plus encore. Lorsqu'une
PRVENTION DES FUITES DE DONNES :
LE GRAND RETOUR
LES NUMROS DE SCURIT SOCIALE, DE
COMPTES ET DE CARTES BANCAIRES, NE SONT
PAS JUSTE DES DONNES. DANS DE MAUVAISES
MAINS, ILS PEUVENT RDUIRE NANT LES
CONOMIES DE TOUTE UNE VIE ET RUINER LA
SANT FINANCIRE D'UN INDIVIDU.
Melissa Bean
52
52
Il serait facile pour une petite entreprise de se
considrer trop petite pour avoir se soucier des fuites
de donnes, mais rien n'est plus loign de la vrit
(Encart : Vous pensez ne courir aucun risque de fuite de
donnes ? Rfchissez bien...). Heartland Payments,
57

une entreprise de 700 personnes, a t victime de la
plus grande brche jamais signale lorsque des voleurs
ont drob les informations numriques codes dans
la bande magntique des cartes bancaires. Chaque
entreprise de la chane d'approvisionnement de
l'information peut devenir une victime, et mme un vol
relativement petit peut fournir des donnes intressantes
aux pirates.
laissent un ordinateur portable sans surveillance au
mauvais endroit. Les erreurs des employs ont jou un
rle cl dans un grand nombre d'incidents de fuites de
donnes de l'anne passe, mais intentionnel ou non, le
rsultat peut tre le mme : des donnes confdentielles
exposes, des clients en colre, une rputation tche,
des amendes pour non-conformit et de graves
interruptions d'activit.
Le commerce de dtail est peut-tre le secteur qui a
subi les pires fuites de donnes en 2013, mais selon
les chercheurs de Check Point, des entreprises de tous
les secteurs sont en train de perdre le contrle de leurs
donnes confdentielles, et elles le font un rythme bien
plus rapide qu'en 2012 (Graphique 5-1).
De nombreuses entreprises continuent de ngliger la mise
en uvre de politiques et de contrles de protection des
donnes parce qu'elles estiment qu'elles ne risquent aucune
fuite. La douloureuse ralit est que les pirates ne ciblent pas
seulement les grandes banques et les grandes enseignes
commerciales, mais que chaque entreprise possde des
donnes confdentielles qui peuvent tre exposes par un
simple email ou un ordinateur portable gar. Ce ne sont que
quelques-uns des exemples de 2013 :
Les renseignements personnels, y compris les
numros de scurit sociale, de 3 500 patients ont t
drobs au Dpartement de la Sant de l'tat de Floride,
par des employs qui ont ensuite transmis les donnes
un parent pour les utiliser dans des dclarations de revenus
frauduleuses.
53
Le gouvernement du conseil d'Islington (Londres) a t
condamn une amende de 70 000 livres aprs qu'une
quipe interne ait publi par inadvertance des feuilles de
calcul contenant les renseignements personnels de
2 375 habitants, y compris leur historique de sant, sur le
site web public d'un organisme de logement.
54
Rotech Healthcare a signal l'exposition accidentelle
de donnes personnelles et de renseignements
sur l'tat de sant de 3 500 employs par une ancienne
employe des ressources humaines qui avait t autorise
conserver son ordinateur personnel lorsqu'elle a quitt la
socit.
55
Le bureau du Commissaire l'information du Royaume-Uni a
cit plus de soixante infractions de la Loi sur la protection des
donnes par le conseil d'Anglesey (Pays de Galles) relatives
l'accs non autoris aux donnes personnelles
des rsidents, y compris leur envoi par inadvertance des
sites web publics et par email.
56
VOUS PENSEZ NE COURIR AUCUN RISQUE DE FUITE
DE DONNES ? RFLCHISSEZ BIEN...
CHAQUE JOUR, UNE ENTREPRISE SUBIT
29 INCIDENTS DE FUITE POTENTIELLE
DE DONNES CONFIDENTIELLES.
05 PRVENTION DES FUITES DE DONNES : LE GRAND RETOUR
53
Graphique 5-1
2013
2012
Pourcentage d'entreprises avec au moins
un incident de fuite de donnes potentielle
par secteur d'activit (% des entreprises)
Tlcommunication
Administration publique
Finance
Industrie
45%
79%
70%
87%
61%
88%
50%
88%
confdentielles. Ce taux trs lev de fuites de donnes,
affectant toutes les entreprises de tous les secteurs,
met en vidence la ncessit d'un contrle plus agressif
des donnes confdentielles.
Les hausses les plus spectaculaires ont t observes
dans les secteurs de l'industrie et du conseil. Ces
augmentations ont plus de sens dans le contexte des
types de donnes viss en 2013. (Graphique 5-2)
Notre tude a rvl que le code source tait le type
de donnes le plus couramment envoy l'extrieur de
l'entreprise en 2013, soit un bond de prs de 50% par
rapport 2012.
Le code source, les dossiers clients et autres secrets
commerciaux, reprsentent la majorit des actifs
des entreprises, et sont constamment viss par des
attaques. L'espionnage conomique seul cote aux
entreprises amricaines entre 250 et 500 milliards de
dollars chaque anne. Alors que les banques et les
entreprises mdicales sont depuis longtemps soumises
la pression des rglementations externes pour la
protection des donnes des clients et des patients, les
entreprises des secteurs de la fabrication, de l'nergie,
du transport, de l'extraction minire et mme des loisirs,
n'ont pas toujours adopt une approche proactive de la
scurit des donnes. Ce sont les entreprises qui sont
de plus en plus vises dans les campagnes utilisant
des logiciels malveillants personnaliss ainsi que des
attaques plus cibles.
Les chercheurs de Check Point ont dcouvert que 88%
des entreprises analyses ont t victimes de fuites de
donnes, ce qui signife que des donnes confdentielles
ont t envoyes l'extrieur des entreprises via email
ou tlcharges via un navigateur web. Il s'agit d'une
augmentation spectaculaire par rapport au chiffre dj
lev de 54% que nous avons observ en 2012, et
met en vidence la lutte continue des entreprises pour
empcher les donnes confdentielles d'tre exposes
accidentellement ou volontairement.
En d'autres termes, des donnes confdentielles
sont envoyes l'extrieur des entreprises toutes
les 49 minutes. Chaque jour, une entreprise subit
29 incidents d'exposition potentielle de donnes
TOUTES LES 49 MINUTES,
DES DONNES CONFIDENTIELLES
SORTENT DES ENTREPRISES
54
DONNES ENVOYES
L'EXTRIEUR DE L'ENTREPRISE
PAR DES EMPLOYS (% des entreprises)
35%
Numros de comptes bancaires 4%
Messages Outlook confdentiels 5%
Informations sur le rseau 14%
Fichiers protgs par mot de passe 10%
Informations sur les salaires 14%
3%
7%
21%
Donnes
personnelles
confden-
tielles
Donnes de e
cartes bancaires 29%
29%
13%
14%
24% Code source
6% Dossiers
d'entreprise
2012
2013
21%
Graphique 5-2 Source : Check Point Software Technologies
DES INSTITUTIONS FINANCIRES ONT ENVOY
DES INFORMATIONS DE CARTES BANCAIRES
33%
55
Les rglementations s'adaptent galement
Malgr les nombreuses fuites de donnes de cartes
bancaires qui se sont produites en 2013, les chercheurs
de Check Point ont constat que la frquence des
incidents de fuites de donnes lies PCI dans les
organismes fnanciers a lgrement baiss 33%,
contre 36% en 2012. Au sein des entreprises de
soins et d'assurance, le nombre d'incidents lis la
rglementation HIPAA est pass de 16% des entreprises
en 2012 25% en 2013.
La norme PCI-DSS 3.0
58
a t publie en 2013. Elle
comprend de nombreuses exigences qui arrivent
point nomm, concernant :
Les pratiques de scurit pour les systmes tels
que les points de vente et autres bornes.
La sensibilisation accrue des utilisateurs aux
attaques potentielles (phishing, USB, etc.) et
la manipulation responsable des donnes
confdentielles.
Les tests de pntration des contrles et des
protections qui dfnissent la segmentation entre
les donnes des titulaires de cartes bancaires et
d'autres parties du rseau.
Les identifants utiliss par les fournisseurs de
services pour l'accs distance aux environnements
des clients qui sont soumis PCI-DSS.
Dans l'ensemble, ces exigences rvises mettent
l'accent sur la formation, la sensibilisation et la scurit
en tant que responsabilit partage . Les normes
3.0 ont pris effet au 1er Janvier 2014 et les incidents
de 2013 ont contribu au sentiment d'urgence qui a
pouss l'adoption de ces nouvelles exigences.
Dans la perspective de 2014, les entreprises devront
s'adapter de nouvelles conformits et rglementations
en matire de protection des donnes, y compris
PCI-DSS 3.0 et ses exigences accrues autour de la
protection des points de vente et de la sensibilisation
des utilisateurs.
En Europe, la nouvelle directive de confdentialit
des donnes de l'Union europenne, le rglement
gnral sur la protection des donnes (GDPR),
59
prend
galement effet en 2014, et intgre des conditions plus
strictes pour la protection des citoyens et des donnes
client la fois au sein des pays, et par-del les frontires
nationales et de l'UE. Les entreprises seront tenues de
faire voluer leurs politiques et pratiques de scurit pour
se conformer aux nouveaux rglements ou courront le
risque de sanctions fnancires importantes.
Recommandations
Les incidents de fuites de donnes de grande envergure
et trs mdiatiss de 2013, qui ont affect certaines
des marques les plus connues dans le monde ainsi
que de nombreuses petites entreprises, montrent
qu'il reste beaucoup faire pour protger les donnes
personnelles et professionnelles. Cela ne fera qu'empirer
avec les tendances de la mobilit et de l'Internet des
objets qui exposent les donnes de nouvelles faons
de les drober ou les exposer accidentellement.
L'erreur humaine joue un rle particulirement central
dans de nombreux incidents de fuites de donnes, et il
faudra une approche vritablement globale et holistique
pour que les donnes ne soient pas exposes des
menaces.
Dans un monde o les fuites de donnes sont un
phnomne croissant, les entreprises doivent se
charger elles-mmes de la protection de leurs donnes
confdentielles. La meilleure solution pour empcher les
fuites de donnes involontaires consiste implmenter
des rgles de scurit automatiques qui dtectent
les donnes protges avant qu'elles ne quittent
l'entreprise. Ces politiques peuvent tre appliques par
une solution de prvention des fuites de donnes (DLP).
Les produits de DLP intgrent un ensemble complet
de fonctionnalits pour offrir aux entreprises plusieurs
options de dploiement.
Avant de dployer une solution de DLP, les entreprises
doivent dvelopper des stratgies prcises avec des
critres concrets prcisant : Ce qui est considr
comme tant des informations confdentielles Qui
peut les expdier O, comment et sur quels types
d'appareils elles peuvent tre utilises Vous pouvez
56
d'analyse reposant sur des correspondances avec des
modles et des classifcations de fchiers, pour identifer
les types de contenu quel que soit l'extension applique
aux fchiers ou leur compression. La solution de DLP
doit tre en mesure de reconnatre et de protger les
formulaires confdentiels, selon des modles prdfnis
et la correspondance fchiers/formulaire.
Rsolution des incidents par les utilisateurs
Les solutions de DLP traditionnelles peuvent dtecter,
classifer et mme reconnatre des documents
spcifques et diffrents types de fchiers, mais elles ne
peuvent dterminer l'intention des utilisateurs lorsqu'ils
communiquent des informations confdentielles. La
technologie seule est inadquate car elle ne peut
identifer cette intention et prendre les dcisions qui
s'imposent. Ainsi, une bonne solution de DLP doit
engager les utilisateurs afn d'obtenir un rsultat optimal,
en leur permettant de remdier aux incidents en temps
ainsi implmenter la solution de faon optimale et la
confgurer pour rpondre aux besoins uniques de votre
entreprise en matire de productivit et de scurit. Pour
une prvention effcace des fuites de donnes, votre
solution doit englober les mesures et les fonctionnalits
suivantes :
Classifcation des donnes L'identifcation fable
des donnes confdentielles est un composant essentiel
de la solution de DLP. La solution de DLP doit tre en
mesure de dtecter les informations personnellement
identifables, les donnes de conformit (HIPAA, SOX,
PCI, etc.), et les donnes d'entreprise confdentielles,
quel que soit leur type, gnralis ou personnalis.
Comme les donnes se dplacent dans l'entreprise et
au-del, la solution doit inspecter les fux de contenus
et appliquer les rgles de scurit dans les protocoles
TCP les plus couramment utiliss, y compris SMTP,
FTP, HTTP, HTTPS et webmail, l'aide de mcanismes
Les fuites massives de donnes de cartes bancaires en fn
2013 ont redynamis le dbat sur la relation entre PCI-DSS
et la scurit, et en particulier de savoir si une entreprise
certife comme tant conforme aux normes PCI est
vraiment protge contre le piratage.
Certains affrment que la certifcation de la conformit
PCI favorise un faux sentiment de scurit auprs des
commerants et du grand public. Les fuites de donnes
qui se sont produites dans les entreprises conformes et la
rvocation rtroactive de la conformit PCI vont certainement
engendrer du cynisme, tandis que l'volution continue de la
norme peut sembler en faire une cible mouvante.
Face ces proccupations, l'organisme PCI souligne
juste titre que les cas o les entreprises conformes telles
que Target qui obissait de solides processus de scurit,
mais ont nanmoins subi des fuites de donnes, illustrent un
problme fondamental dans la manire dont la scurit est
souvent implmente, savoir que ce n'est pas un produit,
mais un processus.
Bob Russo, prsident du Conseil des normes de scurit
PCI, a soulign lors d'une intervention ComputerWorld que
la certifcation de la conformit PCI est un instantan
un moment donn. Vous pouvez tre en conformit
aujourd'hui et totalement hors de conformit demain.
60

Les normes sont des outils prcieux pour mesurer et
comparer la posture de scurit par rapport des rfrentiels
communs. Le danger de la certifcation de conformit est
qu'elle donne aux entreprises le sentiment d'en avoir
termin avec la scurit, plutt que de s'engager dans
un processus continu de rvaluation et d'adaptation pour
faire face aux changements de leur environnement et des
pratiques en matire de donnes.
LA CONFORMIT PCI DONNE-T-ELLE UN FAUX SENTIMENT
DE SCURIT ?
57
Protection des donnes dans les disques durs
des postes Les entreprises doivent protger les
donnes des ordinateurs portables dans le cadre de leur
politique de scurit pour empcher des tiers d'obtenir
des donnes importantes en cas de perte ou de vol
des ordinateurs portables. Vous pouvez empcher les
utilisateurs non autoriss d'accder aux informations
en chiffrant les donnes sur tous les disques durs des
postes de travail, y compris les donnes utilisateur,
les fchiers du systme d'exploitation, les fchiers
temporaires et les fchiers supprims.
Protection des donnes sur supports amovibles
Les employs combinent souvent des fchiers
personnels (musique, photos et documents) avec des
fchiers professionnels dans des appareils de stockage
et des supports amovibles, ce qui rend encore plus
diffcile le contrle des donnes d'entreprise. Les fuites
de donnes peuvent tre minimises par le chiffrement
des appareils de stockage amovibles.
Protection des documents Des documents
d'entreprise sont rgulirement envoys sur le
web par des applications de stockage de fchiers,
envoys sur des smartphones personnels, copis
sur des supports amovibles et partags avec des
partenaires commerciaux externes. Chacune de ces
actions augmente les risques de fuites ou d'utilisation
rel. En d'autres termes, la solution de DLP doit
informer les utilisateurs que leur action peut entraner
un incident de fuite de donnes, puis leur permettre
de dcider de stopper ou de poursuivre leur action.
Cette mthodologie amliore la scurit grce la
sensibilisation aux politiques d'utilisation des donnes.
Elle alerte les utilisateurs d'erreurs potentielles en
temps rel et leur permet de remdier instantanment
aux problmes. L'impact des utilisateurs est rduit
et les communications lgitimes sont rapidement
autorises. L'administration est ainsi simplife, car
les administrateurs peuvent suivre les vnements de
DLP pour les analyser, sans quil leur soit ncessaire
de traiter personnellement les demandes d'envoi de
donnes vers l'extrieur.
Protection contre les fuites de donnes
internes Une autre fonctionnalit importante de
la DLP est la possibilit d'empcher des donnes de
quitter l'entreprise, mais galement d'inspecter et de
contrler les emails confdentiels entre dpartements.
Des rgles de scurit peuvent tre dfnies pour
empcher des donnes confdentielles d'atteindre
les mauvais dpartements, notamment les fchiers
de rmunration, les documents confdentiels de
ressources humaines, les documents de fusions/
acquisitions et les formulaires mdicaux
DES ENTREPRISES DES SECTEURS DE LA
SANT ET DES ASSURANCES ONT ENVOY
DES INFORMATIONS CONFIDENTIELLES
25%
58
Votre solution de scurit doit intgrer la surveillance et
l'analyse des vnements de DLP passs et en temps
rel. Cela donne aux administrateurs de scurit une
visibilit claire et tendue sur les informations envoyes
l'extrieur et leurs sources, et la possibilit d'agir en
temps rel si ncessaire.
Le chapitre suivant prsente un schma de scurit de
haut niveau pour une protection effcace.
Bien que le piratage des terminaux de point de vente
dans le but de drober les donnes des cartes bancaires
a longtemps t techniquement possible, les agresseurs
trouvaient que les serveurs de stockage de ces donnes
taient des cibles plus faciles. L'amlioration de la scurit
des serveurs de stockage des donnes de cartes bancaires
et des donnes des clients a forc les agresseurs reporter
leur attention sur la source des donnes. L'anne 2013
a marqu un tournant dans le piratage des terminaux de
point de vente. Mme si l'ampleur de ces fuites de donnes
ont t choquantes pour beaucoup, la varit de logiciels
malveillants employs dans cette catgorie tait tout aussi
intressante pour les professionnels de la scurit.
Les logiciels malveillants pour points de vente varient
en sophistication, de la simple rcupration de donnes
en mmoire de ChewBacca et de Dexter,
61
au complexe
BlackPOS
62
et au logiciel malveillant encore plus cibl
dcouvert chez Neiman Marcus.
63
Cependant, ils partagent
plusieurs caractristiques qui permettent aux agresseurs
d'infltrer les systmes des points de vente et drober de
grandes quantits de donnes de cartes bancaires :
L'utilisation de systmes d'exploitation obsoltes dans
les terminaux des points de vente, qui restent souvent
non corrigs pendant des mois, mme si un correctif
est disponible
L'accs au systme de point de vente par l'intermdiaire
d'un client ou d'un serveur infect dans l'enseigne cible
La capacit contourner le contrle des applications
et autres mesures de confnement du systme, par
exemple en infectant un serveur de mise jour
L'utilisation du chiffrement, de protocoles communs et
de modles de trafc rseau standards, pour cacher les
donnes pendant leur exfltration
Dans de nombreux rseaux, l'accs direct Internet
partir des points de vente mme, car c'est souvent ainsi
que la facturation relle est effectue
Aborder ces questions sparment ne rsout pas le
problme, car cela ne rsout pas la cause : une segmentation
faible ou inexistante des rseaux des points de vente et
d'exploitation. Les rseaux des enseignes commerciales
mettent en vidence l'importance de dvelopper et mettre
en uvre une stratgie de segmentation obissant aux
meilleures pratiques, qui permet aux entreprises d'appliquer
des politiques de confnement des htes compromis et
dfnir les interactions l'intrieur d'un segment pouvant
tre supervises automatiquement. Par exemple, la
surveillance de la direction et des types de trafc dans les
segments contenant des terminaux de point de vente devrait
restreindre les possibilits pour les logiciels malveillants
de se propager et d'exfltrer des donnes. cet gard,
les enseignes commerciales vont se retrouver l'avant-
garde de changements conduisant toutes les entreprises
dfnir et implmenter une segmentation logique et une
mise en application reposant sur des politiques dans leur
environnement informatique.
QUE RETENIR DES ATTAQUES CONTRE LES POINTS DE VENTE ?
malintentionne. Pour protger les documents
d'entreprise, la solution de scurit doit tre en mesure
de les chiffrer via des rgles de scurit et ne permettre
leur accs qu' des individus autoriss.
Gestion des vnements La dfnition de rgles
de DLP qui rpondent la politique d'utilisation des
donnes de l'entreprise doit s'accompagner de
solides possibilits de supervision et de reporting.
59
SDP :
L'architecture
de scurit
pour les menaces
de demain
06
06 CONCLUSION : SCHMA DE SCURIT
60
60
61
06
du web 2.0, de stockage et de partage de fchiers,
et d'administration distance ayant des utilisations
lgitimes, continuent de prolifrer, ouvrant de nouveaux
vecteurs de menaces lorsqu'elles se propagent. Les
incidents de fuites de donnes malveillants et non
intentionnels causent des dommages sans prcdent
aux entreprises de toute taille dans tous les secteurs
d'activit, et la mobilit, la consumrisation et l'Internet
des objets, aggravent encore plus la problmatique de
protection des donnes. Les entreprises ont besoin
d'un meilleur contrle sur la circulation et l'utilisation de
l'information.
L'volution des menaces n'est cependant pas le seul
df de l'environnement informatique. Les entreprises
sont aujourd'hui de plus en plus domines par la
libre circulation de l'information, qui supprime les
frontires clairement dfnies des rseaux d'entreprise.
Les donnes des entreprises circulent dans le cloud
et les appareils mobiles, et rayonnent travers des
ides et des messages dans les rseaux sociaux.
L'utilisation des appareils personnels, la mobilit et le
cloud computing ont rvolutionn les environnements
informatiques statiques, entranant la naissance de
rseaux et d'infrastructures dynamiques.
Dans ce monde fait d'infrastructures informatiques et
de rseaux exigeants, o les primtres ne sont plus
Le Rapport Scurit 2014 de Check Point prsente
les rsultats de notre analyse approfondie des
menaces et des tendances de 2013. Ce rapport
peut aider les dcideurs comprendre l'ventail des
menaces qui psent sur leur entreprise et envisager de
nouvelles mesures pour amliorer la protection de leur
environnement informatique.
Les points cls de notre tude sont :
L'utilisation de logiciels malveillants inconnus a
explos avec la tendance de personnalisation de
masse des logiciels malveillants.
Le nombre d'infections a augment, ce qui refte
le succs croissant des campagnes de logiciels
malveillants cibles.
Chaque catgorie d'application risque est de plus
en plus prsente dans toutes les entreprises.
Le nombre d'incidents de fuites de donnes a
augment dans tous les secteurs et tous les types
de donnes.
Relever les dfs
Les conclusions de ce rapport indiquent clairement que
le paysage des menaces continue d'voluer alors que les
stratgies et les technologies de scurit utilises dans
de nombreuses entreprises sont insuffsantes face des
attaques de plus en plus sophistiqus et prjudiciables.
L'explosion du nombre de logiciels malveillants inconnus
rend les solutions de dtection obsoltes. La quantit
de logiciels malveillants connus crase les dfenses
existantes et s'attaque un large ventail de plates-
formes. Les applications risque, ainsi que les outils
SDP : L'ARCHITECTURE DE SCURIT
POUR LES MENACES DE DEMAIN
UN NOUVEAU PARADIGME
EST NCESSAIRE POUR PROTGER
LES ENTREPRISES DE MANIRE PROACTIVE
61
62
N
iv
e
a
u
d
e
c
o
n
t
r
le
N
iv
e
a
u

d
e

m
is
e

e
n

a
p
p
lic
a
t
io
n
N
i
v
e
a
u

d
a
d
m
i
n
i
s
t
r
a
t
i
o
n
M
o
d
u
la
rit
V
is
ib
ilit
A
u
to
m
a
tis
a
tio
n
P
r
v
e
n
tio
n
d
e
s m
e
n
a
c
e
s
R
e
n
s
e
ig
n
e
m
e
n
ts
s
u
r le
s
m
e
n
a
c
e
s
P
o
litiq
u
e
d
e
s
c
u
rit
C
o
n
tr
le
d
e
s a
c
c
s
P
ro
te
c
tio
n
d
e
s d
o
n
n
e
s
Point
dexcution
Point
dexcution
Point
dexcution
Point
dexcution
Protection
P
ro
te
c
tio
n

Un niveau de contrle qui analyse les diffrentes
sources d'information sur les menaces et gnre
des protections et des politiques de scurit
excutes par le niveau de mise en application.
Un niveau d'administration qui orchestre
l'infrastructure et apporte le plus haut degr d'agilit
l'ensemble de l'architecture.
En combinant le niveau de mise en application haute
performance avec le niveau de contrle logiciel
hautement volutif et dynamique, l'architecture SDP
fournit non seulement une rsilience fonctionnelle,
mais fournit galement une prvention proactive
des incidents adapte au paysage des menaces en
constante volution.
Implmentation du schma de scurit dans votre
entreprise
Un des principaux avantages de l'architecture
SDP est qu'elle propose une simple mthodologie
d'implmentation du schma de scurit. Check Point
SDP Schma de Scurit Entreprise dcrit en dtail
l'architecture SDP, ses avantages et une mthodologie
d'implmentation claire. Il est disponible en ligne
gratuitement sur checkpoint.com/sdp.
aussi bien dfnis et o les menaces deviennent chaque
jour plus intelligentes, nous devons dfnir la meilleure
faon de protger les entreprises.
Il existe aujourd'hui une multitude de produits de
protection, qui sont gnralement de nature ractive
et tactique, mais font abstraction de toute notion
d'architecture. Les entreprises d'aujourd'hui ont besoin
d'une architecture unique combinant des quipements
de scurit rseau haute performance avec des
protections proactives en temps rel.
Un nouveau paradigme est ncessaire pour protger
les entreprises de manire proactive.
Architecture de scurit SDP
Pour rpondre aux besoins actuels de protection contre
les menaces en constante volution, tout en prenant
en charge les infrastructures informatiques exigeantes,
Check Point a introduit SDP,
64
une nouvelle architecture
et mthodologie pragmatiques de scurit qui
proposent une infrastructure modulaire, agile et surtout,
SCURISE.
Grce l'architecture SDP, les entreprises de toute
taille sont protges en tout lieu : sige, succursales,
smartphones ou appareils mobiles, ou lors de l'utilisation
du cloud.
Les protections devraient automatiquement s'adapter
la nature des menaces, sans obliger les administrateurs
de scurit garder un il sur des milliers de notifcations
et de recommandations. Ces protections doivent
s'intgrer harmonieusement dans l'environnement
informatique, et l'architecture doit fournir une posture
dfensive s'appuyant sur des sources d'intelligence
collaboratives internes et externes.
L'architecture SDP partitionne l'infrastructure de
scurit en trois niveaux interconnects :
Un niveau de mise en application qui repose sur
des points d'excution physiques et virtuels de la
scurit, segmente le rseau, et excute la logique
de protection dans des environnements exigeants.
06 SDP : L'ARCHITECTURE DE SECURITE POUR LES MENACES DE DEMAIN
62
Niveaux de l'architecture SDP
63
La section suivante dcrit, niveau par niveau, comment
SDP peut tre intgr dans votre entreprise pour la
protger contre les menaces prsentes dans ce
rapport.
Niveau de mise en application
Le niveau de mise en application, conu pour tre fable,
rapide et simple, se compose de passerelles de scurit
rseau et de logiciels sur hte qui agissent en tant que
points d'excution rseau. Ces points d'excution
peuvent tre implments sous forme physiques ou
virtuelles, ou encore sous forme de composants sur les
postes du rseau de l'entreprise ou dans le cloud.
O dployer ces points d'excution dans notre rseau ?
Lorsque les rseaux taient simples, nous pouvions
nous contenter d'appliquer des protections au niveau
du primtre. Mais lorsque le primtre n'est pas bien
dfni, o dployer les points d'excution ?
Chaque segment devient le nouveau primtre.
En divisant un environnement complexe en petits
segments, en fonction de profls de scurit, et en
dployant un point d'excution au primtre de chaque
segment, l'environnement est scuris !
Niveau de contrle
L'lment suivant de l'architecture SDP est le niveau
de contrle. Il gnre les protections et les politiques
de scurit, et les transmet aux points d'excution.
l'aide de politiques de contrle d'accs et de protection
des donnes, les administrateurs peuvent dfnir des
politiques reposant sur des rgles pour contrler les
interactions entre les utilisateurs, les actifs, les donnes
et les applications. Il s'agit essentiellement d'un pare-
feu et d'un pare-feu de nouvelle gnration.
Des politiques y sont dfnies pour contrler l'accs aux
applications risque dcrites au Chapitre 4, telles que les
anonymiseurs et les applications de partage de fchiers en
P2P, de stockage de fchiers et d'administration distance.
Ces politiques contrlent galement les fux de donnes
en mouvement et au repos, et protgent contre les fuites
de donnes telles que celles dcrites au Chapitre 5.
Les politiques de contrle d'accs et de protection
des donnes ne sont pas suffsantes. Les entreprises
doivent galement se protger contre les agresseurs
et les menaces en constante volution. Afn d'atteindre
cet objectif, nous devons implmenter des protections
qui permettent d'identifer les attaques connues et
inconnues, telles que celles dcrites aux Chapitres 2 et 3.
C'est le rle de la prvention des menaces, la deuxime
partie du niveau de contrle. Les protections y sont mises
jour en temps rel et protgent automatiquement les
points d'excution de sorte qu'il n'est pas ncessaire de
dfnir ici une politique spcifque, mais plutt d'activer
le mcanisme de prvention des menaces.
Les renseignements sur les menaces sont la cl d'une
prvention effcace des menaces. Ces renseignements
devraient provenir d'autant de sources que possible, et
devraient tre transforms et traduits en de nouvelles
protections pour alimenter tous les points d'excution
en temps rel.
Niveau d'administration
Ce troisime niveau, qui permet l'architecture SDP
de prendre vie, est crucial pour grer l'ensemble de
l'architecture. Le niveau d'administration a 3 principales
caractristiques : modularit, automatisation et visibilit.
La modularit permet de sparer les tches
administratives pour une souplesse optimale.
L'automatisation et l'ouverture permettent l'intgration
de systmes tiers pour crer des politiques et des
protections en temps rel. Enfn, la visibilit, c'est--dire
la possibilit de recueillir des renseignements de scurit
partir de tous les points d'excution, fournit une vue
d'ensemble sur la posture de scurit de l'entreprise.
L'architecture SDP fournit une infrastructure modulaire
et dynamique, capable de s'adapter rapidement
l'volution des menaces et des environnements
informatiques.
06 SDP : L'ARCHITECTURE DE SECURITE POUR LES MENACES DE DEMAIN
63
07 PROPOS DE CHECK POINT SOFTWARE TECHNOLOGIES
64
64
65
PROPOS DE
CHECK POINT
SOFTWARE
TECHNOLOGIES
07
65
66
66
67
PROPOS DE CHECK POINT
SOFTWARE TECHNOLOGIES
07
Enfn, l'architecture Check Point est administre partir
d'une console de scurit unife, modulaire, hautement
volutive et ouverte aux systmes tiers.
Check Point propose l'architecture de scurit dont les
entreprises ont besoin ds aujourd'hui pour se protger
contre les menaces de demain. Pour obtenir des
informations complmentaires sur SDP, rendez-vous
sur www.checkpoint.com/sdp
Check Point combine cette approche holistique de la
scurit avec ses solutions technologiques innovantes
pour rpondre aux dfs poss par les menaces actuelles
et intgrer la scurit dans l'activit de l'entreprise.
Rgulirement identif par les analystes comme leader
du march de la scurit rseau, Check Point Software
fournit ses clients des solutions de scurit de haut
niveau et des meilleures pratiques depuis maintenant
20 ans. Check Point compte parmi ses clients les
100 plus grandes entreprises mondiales, et plus d'une
centaine de milliers d'entreprises de toute taille.
Depuis maintenant 20 ans, la mission de Check Point
est de scuriser Internet. Aprs avoir invent le pare-
feu et tre devenu le leader du march de la scurit
rseau, Check Point se concentre dornavant sur le
dveloppement de technologies de protection adaptes
l'volution continue d'Internet.
Internet n'est plus seulement une plate-forme pour
mener des activits lgitimes. C'est galement un repre
de cybercriminels. Compte tenu de cet environnement,
Check Point a dvelopp une architecture permettant
de dployer des technologies de prvention des
menaces multicouche qui proposent une protection
maximale contre toutes les menaces, y compris les
attaques zero-day.
Check Point SDP
Les protections Check Point dfnies par logiciel offrent
la fexibilit ncessaire pour faire face aux nouvelles
menaces et adopter de nouvelles technologies.
Check Point propose une gamme complte de points
d'excution, notamment sous forme d'appliances de
scurit rseau haute performance, de passerelles
virtuelles, de logiciels sur hte et d'applications pour
appareils mobiles, pouvant tre dploys dans un
rseau d'entreprise ou dans le cloud.
En termes de niveau de contrle, Check Point propose
le pare-feu de nouvelle gnration le plus avanc du
march, et ThreatCloud est la plus grande base ouverte
de renseignements sur les menaces, qui alimente nos
points d'excution en temps rel.
Check Point SDP
67
08 ANNEXE
68
RFRENCES
1
Stoll, Cliff. (2005). The Cuckoos Egg : Tracking a Spy Through the Maze of Computer Espionage. New York : Pocket Books.
2
http://resources.infosecinstitute.com/hacktivism-means-and-motivations-what-else/
3
http://www.entrepreneur.com/article/231886
4
http://www.darkreading.com/advanced-threats/mass-customized-attacks-show-malware-mat/240154997
5
http://www.checkpoint.com/campaigns/securitycheckup/index.html
6
http://www.checkpoint.com/products/threat-emulation/
7
http://www.checkpoint.com/threatcloud-central/index.html
8
https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcde-
tails=&fleid=20602
9
https://www.checkpoint.com/products/softwareblades/architecture/
10
http://www.checkpoint.com/products/index.html#gateways
11
Huxley, Thomas Henry (1887). Sur la rception de l'Origine des espces, http://www.todayinsci.com/H/Huxley_Thomas/HuxleyThomas-Quotations.htm

12
http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf
13
http://usa.kaspersky.com/
14
http://msdn.microsoft.com/en-us/magazine/cc164055.aspx
15
http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon
16
http://news.cnet.com/Code-Red-worm-claims-12,000-servers/2100-1001_3-270170.html
17
http://www.cnn.com/2004/TECH/internet/05/03/sasser.worm/
18
http://support.microsoft.com/kb/2664258
19
http://www.pcmag.com/article2/0,2817,2370016,00.asp
20
https://www.virustotal.com/
21
http://www.av-test.org/en/home/
22
http://www.checkpoint.com/threatcloud-central/downloads/10001-427-19-01-2014-ThreatCloud-TE-Thwarts-DarkComet.pdf
23
http://contextis.com/research/blog/malware-analysis-dark-comet-rat/
24
http://www.princeton.edu/~achaney/tmve/wiki100k/docs/Portable_Executable.html
25
http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/
26
Mariotti, John. (2010). The Chinese Conspiracy. Bloomington : iUniverse.com
27
http://www.checkpoint.com/campaigns/security-report/download.html?source=google-ngfw-us-sitelink-report&gclid=CIfK-JuOhrwCFZFxQgodsBYA_w
28
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/ch-risk.html
29
Anderson, Chris. (2006). The Long Tail : Why the Future of Business is Selling Less of More. New York : Hyperion.
30
http://www.fbi.gov/about-us/history/famous-cases/willie-sutton
31
http://searchwindowsserver.techtarget.com/defnition/remote-code-execution-RCE
68
08 ANNEXE
69
RFRENCES Suite
32
http://searchsoa.techtarget.com/defnition/Remote-Procedure-Call
33
https://www.checkpoint.com/threatcloud-central/articles/2013-11-25-te-joke-of-the-day.html
34
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
35
http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html
36
http://www.apwg.org/
37
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
38
http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf
39
http://newgtlds.icann.org/en/program-status/delegated-strings
40
Stephenson, Neal. (2002). Cryptonomicon. New York : Avon.
41
Orwell, George. (1956). La ferme des animaux. New York : Signet Books.
42
https://www.torproject.org/
43
http://www.pcworld.com/article/2046227/meet-darknet-the-hidden-anonymous-underbelly-of-the-searchable-web.html
44
http://www.huffngtonpost.com/tag/silk-road-arrest
45
http://www.pcworld.com/article/2093200/torenabled-malware-stole-credit-card-data-from-pos-systems-at-dozens-of-retailers.html
46
http://www.britannica.com/EBchecked/topic/278114/Hydra
47
http://msdn.microsoft.com/en-us/library/aa383015(v=vs.85).aspx
48
http://www.securityweek.com/poison-ivy-kit-enables-easy-malware-customization-attackers
49
http://www.checkpoint.com/defense/advisories/public/2005/cpai-20-Decf.html
50
http://www.emea.symantec.com/web/ShadowIT-enduser/
51
http://www.techrepublic.com/blog/it-security/dropsmack-using-dropbox-to-steal-fles-and-deliver-malware/
52
http://vote-il.org/politicianissue.aspx?state=il&id=ilbeanmelissa&issue=buscrime
53
http://www.scmagazine.com/forida-health-department-employees-stole-data-committed-tax-fraud/article/318843/
54
http://www.islingtongazette.co.uk/news/data_leak_lands_islington_council_with_70_000_fne_1_2369477
55
http://healthitsecurity.com/2013/11/12/rotech-healthcare-reports-three-year-old-patient-data-breach/
56
http://www.dailypost.co.uk/news/north-wales-news/anglesey-council-under-fre-over-6330304
57
http://www.informationweek.com/attacks/heartland-payment-systems-hit-by-data-security-breach/d/d-id/1075770
58
https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf
59
http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm
60
http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says
61
http://www.csoonline.com/article/723630/dexter-malware-infects-point-of-sale-systems-worldwide-researchers-say
62
http://www.darkreading.com/vulnerabilities---threats/securestate-releases-black-pos-malware-scanning-tool/d/d-id/1141216
63
http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data
64
http://www.checkpoint.com/sdp
69
www.checkpoint.com
SIGE MONDIAL
5 HASOLELIM STREET, TEL AVIV 67897, ISRAL
TL. : +972 3 753 4555 | FAX : +972-3-624-1100
EMAIL : INFO@CHECKPOINT.COM
SIGE FRANAIS
1 PLACE VICTOR HUGO, 92400 COURBEVOIE, FRANCE
TL. : +33 (0)1 55 49 12 00
EMAIL : INFO_FR@CHECKPOINT.COM
2014 Check Point Software Technologies Ltd. Tous droits rservs.

2014SecurityReport 140528 FR PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

2014SecurityReport 140528 FR PDF

Încărcat de

Drepturi de autor:

Formate disponibile

CHECK POINT

CHECK POINT - RAPPORT SCURIT 2014

S-ar putea să vă placă și