Non classifié(e)

Depuis longtemps, les sauvegardes sont utilisées comme canot de sauvetage pour l'entreprise ayant subit une perte de données comme une attaque de rançongiciel ou une erreur humaine.  Récemment, nous avons vu des petites et moyennes entreprises faire face à une attaque sur leurs sauvegardes. Par définition, un pirate informatique recherche des faiblesses dans les systèmes informatiques, les applications et les réseaux pour compromettre les systèmes associés et / ou voler des données. En ce qui concerne la sauvegarde, les pirates recherchent de plus en plus les vulnérabilités des logiciels de sauvegarde eux-mêmes, des fichiers de sauvegarde et des systèmes sur lesquels les données de sauvegarde sont stockées. Logiciel de sauvegarde Les solutions logicielles de sauvegarde nécessitent un haut niveau d'accès aux fichiers, aux systèmes, aux machines virtuelles, aux bases de données et autres...

Les changements provoqués et imposés par la pandémie ont eu des impacts profonds dans tous les secteurs de l'industrie.  Presque 12 mois plus tard, nous constatons que ne serons pas en mesure de revenir à ce que c’était avant de sitôt. En 2020, de nombreuses organisations ont dû apporter des changements rapides aux réseaux et aux infrastructures de sécurité en réponse à la pandémie. Ces changements sont susceptibles de demeurer permanents si on se fit à une récente enquête mené par Check Point auprès de plus de 600 professionnels de la sécurité informatique dans le monde. Les organisations sont confrontées à plus d'attaques depuis le début de la pandémie Plus de la moitié (58%) des répondants ont déclaré que leurs organisations avaient subi une augmentation des attaques et des menaces depuis le début de l'épidémie de COVID-19. Impact direct : 95% des personnes interrogées ont déclaré que leurs stratégies avaient changé au cours du second semestre, la plus importante étant de permettre le travail à distance à grande échelle (cité par 67%). Cela a été suivi par l'éducation à la sécurité pour les employés (39%); l’amélioration de la sécurité du réseau et la prévention des menaces (37%); la sécurité accrue des terminaux et des appareils mobiles (37%) et l’adoption rapide des technologies cloud (31%). Seulement un peu plus d'un quart (27%) ont déclaré avoir accéléré les projets de sécurité existants en 2020, montrant que pour la majorité, leur réponse à la pandémie impliquait une réinvention non planifiée de leur modèle commercial. Les plus grands défis de sécurité à l'horizon 2021 La sécurité des employés travaillant à distance demeure le principal défi (47% des répondants), suivie de la protection contre l’hameçonnage et les attaques d'ingénierie sociale (42%), le maintien d'un accès à distance sécurisé (41%) et enfin la protection des applications et de l'infrastructure cloud (39%). La nouvelle norme est là pour rester Environ la moitié de tous les répondants estiment que leur approche de sécurité ne reviendra pas aux normes d'avant la pandémie. 29% ont déclaré qu'ils s'attendaient à un retour aux opérations d'avant Covid à un moment donné dans le futur, et seulement 20% pensaient que leur situation était maintenant revenue à ce qu'elle était. Article original sur le blog de Check Point...

Le cloud s'estompait lentement de la liste annuelle des tendances de CompTIA. Il était mentionné en 2019 alors qu'il était absent de la liste complète en 2020. Pour 2021, le cloud est de retour et n'a plus besoin de partager les projecteurs avec d'autres les tendances. Les systèmes cloud sont, plus que jamais, un ingrédient clé à toute stratégie informatique. Ce qui a été moins clair ces dernières années, c'est le degré d'adoption du cloud dans les entreprises selon leur taille et leurs secteurs d'activités. Avec la flexibilité et la résilience comme principes directeurs pour l'avenir, les organisations adopteront une approche cloud lorsqu'il s'agit de construire ou de mettre à niveau leur infrastructure informatique. Qui dit Cloud-first ne dit pas nécessairement cloud exclusive. En effet, très peu d'entreprises choisiront de placer 100% de leurs applications et systèmes dans le cloud. Les opérations cloud seront ainsi le point de départ; les entreprises exploitant les composants et avantages du cloud, dans la mesure du possible, lorsque c'est le meilleur choix, puis opter pour des solutions gérées ou des systèmes sur site lorsque requis. Plutôt que de prendre des décisions de migration pour chaque système, les entreprises modifieront ou choisiront des systèmes pour s'adapter à une stratégie cloud plus élargie. Évaluations de sécurité, exigences d'intégration, risques liés à la continuité des affaires, frais fixes et variables, etc...

La sécurité de l’information est plus que jamais d’actualité et les deux dernières décennies donnent le contexte sur la façon dont nous sommes arrivés au paysage actuel de menaces.  Le tournant du millénaire a marqué une étape importante, lorsque la sécurité de l'information est devenue une industrie en soit. La chronologie des menaces et les événements représente des moments significatifs et représentatifs de l'évolution du comportement des menaces. Alors que les entreprises et les particuliers adoptaient Internet à la fois pour les affaires et le divertissement, les grands réseaux étaient des cibles pour l'émergence de vers prolifiques et des logiciels malveillants auto-propagés. Cumulativement, les vers ont infecté des dizaines de millions de systèmes dans le monde et coûté plus de 100 milliards de dollars en dommages et en coûts de réparation.   2000–2004 - L'ère du ver 2000 - ILOVEYOU Le ver ILOVEYOU a utilisé une astuce d'ingénierie sociale qui persiste même aujourd'hui: il est arrivé sous forme de pièce jointe de spam, éventuellement infectant environ 10% de tous les ordinateurs Windows connectés à Internet. Juillet 2001 - CodeRed Nommé d'après la saveur de Mountain Dew, CodeRed utilisait une vulnérabilité de débordement de tampon dans IIS pour se propager et endommager les sites Web. Il a été suivi d'un mois plus tard par une version mise à jour qui a installé une porte dérobée sur ordinateurs en réseau. Août 2001 - CodeRed II Septembre 2001 - Nimda Janvier 2003 - SQL Slammer À seulement 376 octets, Slammer a exploité un débordement de tampon dans Microsoft applications de base de données. Doubler ses infections toutes les 8,5 secondes, Slammer a détruit une grande partie d'Internet en seulement 15 minutes. Août 2003 - Blaster Blaster a été créé par rétro-ingénierie d'un correctif Microsoft quelques mois avant le premier Patch Tuesday. Il a exploité une vulnérabilité de buffer overflow dans le service RPC de Windows XP et 2000 et lancé une attaque DDoS contre windowsupdate.com si le jour du mois était supérieur à 15, ou le mois était septembre ou plus tard. Août 2003 - Welchia Août 2003 - Sobig Octobre 2003 - Sobre Janvier 2004 - Bagle Janvier 2004 - MyDoom On estime que 25% de tous les e-mails envoyés en 2004 provenaient du ver MyDoom, qui s'est multiplié par e-mail à de nouvelles victimes et engagé dans une attaque par déni de service (DDoS). Février 2004 - Netsky Avril 2004 - Sasser   2005-2012 - L'ère de la monétisation des logiciels malveillants Jusque vers 2005, les incidents de logiciels malveillants pouvaient être attribués à la curiosité ou la perturbation. Malware Botnet, conçu pour la furtivité et profit, dominé. Les exploits contre les vulnérabilités logicielles sont devenus la pièce maitresse des logiciels malveillants, qui ont permis la publicité malveillante. Partout où il y avait un potentiel de gain financier, les cybercriminels ont exploité ces opportunités. 2006 - Rx Spam Ce qui n'avait été qu'un simple ennui (ou un moyen de propager des vers), est devenue une entreprise lucrative vendant principalement des médicaments contrefaits; médicaments publicisés par l’envoi de spam. On estime que la pharma des spammeurs ont gagné des milliards de dollars en vendant des médicaments à des gens qui pouvaient les obtenir simplement en allant voir leurs médecins. 2007 - Tempête 2007 - Zeus 2008 - Conficker Conficker a rapidement infecté des millions d'ordinateurs dans le monde, mais n'entraînera pas beaucoup de dégâts. Nous ne savons toujours pas le but de ce ver, mais des milliers d'hôtes restent infectés à ce jour, et Conficker est régulièrement détecté. 2009 - Stuxnet Stuxnet a été l'une des premières armes numériques à cibler un système: centrifugeuses de raffinement nucléaire utilisées par l'Iran pour enrichir uranium. L'héritage durable de Stuxnet est qu'il a ouvert en permanence la porte à l'utilisation des logiciels comme outil de guerre. 2010 - Kit d'exploit Blackhole Kits d'exploit / boîtes à outils ciblant les vulnérabilités, le Crimeware-as-a-Service est né lorsque les créateurs de Blackhole Exploit Kit ont commencé à offrir leurs services. 2011 - Publicité malveillante   2013 – présent - L'ère des ransomwares Les ransomwares sont les plus redoutables à notre époque. Alors que les vers, les chevaux de Troie bancaires, la publicité malveillante et le spam persistent, rien n'a été proche de rivaliser avec la force destructrice des ransomwares. L’estimation des dommages causés par les attaques de ransomwares au cours des sept dernières années les années se chiffrent en milliers de milliards de dollars. 2013 - Fuites de Snowden 2013 - CryptoLocker Au cours de sa courte existence, CryptoLocker a fourni à de nouveaux criminels une formule gagnante en couplant deux technologies existantes: cryptage et crypto-monnaies. Le paysage de la menace était changé à jamais par CryptoLocker et ses répliques sont toujours ressentis aujourd'hui. Trois mois après son lancement, le portefeuille Bitcoin utilisé par CryptoLocker contenait près de 30 millions de dollars. 2014 - Logiciel malveillant de point de vente (POS) 2016 - Mirai Mai 2017 - WannaCry WannaCry, l'hybride ransomware-ver le plus répandu jamais vu, a démontré comment une interruption de l'application des correctifs peut avoir conséquences. Il s'appuyait sur des exploits volés à la NSA et publiquement publié par The Shadow Brokers. Les attaques ont forcé Microsoft à publier des mises à jour pour des produits qui n’étaient plus supportés. Juin 2017 - NotPetya NotPetya a paralysé certains des plus grands navires et entreprises de logistique et aurait causé pour plus de 10 milliards de dollars de dégâts. Certaines des entreprises concernées n'ont toujours pas récupérer depuis. 2018 - Attaques Magecart 2019 - Ransomware d'extorsion Lors d'une attaque contre la ville de Johannesburg, en Afrique du Sud, le les criminels derrière le ransomware Maze ont été les premiers à utiliser l'extorsion. Ils ont non seulement crypté et volé des données, mais ont également menacé de publier les données volées si les ne payaient pas. Cette tactique a été copié par de nombreuses autres équipes de pirates contre les cibles ayant de bonnes sauvegardes. 2020 - Tactiques APT par les acteurs de la menace L'adoption d'outils et de tactiques de l'État-nation, qui a commencé ces dernières années, s'est généralisée en 2020. Les groupes de cybercriminalité professionnels utilisent des outils sophistiqués comme Cobalt Strike qui a des effets dévastateurs, alors que certains groupes (Dharma) proposent des coffres à outils pour les novices. Source : Sophos 2021 Threat Report Photo par Michael Geiger sur Unsplash...

Mais ce ne sont pas tous les fournisseurs qui sont capables de bien le faire De plus en plus de PME se tournent vers les fournisseurs de services gérés pour la gestion et la supervision de leurs environnements informatiques et la majorité recherche un partenaire offrant également des services de cybersécurité. En effet, l’une des principales raisons évoquées pour l’externalisation des services informatiques gérés est la sécurité du réseau justement. Mais attention ! Ce ne sont tous les fournisseurs qui possèdent les spécialisations requises spécifiquement pour vous. Un récent rapport de Datto révèle que 75% des fournisseurs de services gérés ont une offre en sécurité gérée et que près de la moitié, utilise un ou plusieurs partenaires pour couvrir certains aspects. Dans un monde aussi complexe et évolutif que la sécurité, le fait qu’un fournisseur travaille avec des partenaires n’est pas une mauvaise nouvelle, bien au contraire. Il est toujours préférable de cumuler les spécialistes, plutôt que de s’en remettre à un généraliste. Les services gérés = chef d’orchestre En plus d'aider les PME à rester au fait des mises à jour critiques du réseau et des technologies, les fournisseurs de services gérés travaillent de manière proactive avec leurs clients et leurs partenaires pour prévenir les cyberattaques et les pannes de réseau. Ils surveillent les applications, le matériel et les divers points de terminaison. Pare-feu, détection d’intrusion, analyse des vulnérabilités, services antiviraux, réponses aux incidents… la liste longue et on peut parfois s’y perdre. Un fournisseur de services gérés de confiance et entouré des bons spécialistes sera en mesure de confirmer l'exactitude des menaces et de vous proposer les outils adéquats pour protéger votre entreprise. Il vous apportera tranquillité d'esprit en vous tenant informés des vulnérabilités majeures et en vous aidant à déployer un plan d'action efficace et sécurisé. La conjugaison parfaite de la proactivité et de la réactivité. Et vous ? Quelle est la profondeur d’expertise que votre fournisseur TI vous propose ? Vous sentez-vous en confiance et sécure ?...

En effet, il est faux de croire que Microsoft fait des copies de sécurité de vos données Microsoft 365 Pour la majorité des entreprises les systèmes basés sur Windows restent dominants et l'adoption de Microsoft 365 poursuit son essor rapide. Les avantages d'un accès facile aux documents depuis n'importe quel appareil et d'une collaboration facile sont évidents. De nombreuses organisations supposent que le passage à la collaboration basée sur le cloud dans Microsoft 365 signifie que la sauvegarde n'est plus nécessaire. Cependant, cela peut être une présomption dangereuse… Les données Microsoft 365 sont tout aussi vulnérables aux attaques de rançongiciel que les données locales. Il faut les protéger. La défense contre les rançongiciels commence par des systèmes d'exploitation, des navigateurs et des applications à jour. Une configuration minutieuse du filtrage des courriels doit également être considérée comme essentielle. Les logiciels malveillants sont conçus pour suivre plusieurs chemins autour des défenses. La gestion continue des correctifs d'application est un autre élément clé de votre stratégie de défense contre les rançongiciels. Passez à un service DNS qui surveille et bloque activement les sites malveillants et filtrez les courriels Microsoft 365 afin de bloquer près de 100 types de fichiers différents. Et la sauvegarde ? Puisque Microsoft OneDrive stocke une copie des fichiers d'un utilisateur dans le cloud Microsoft, de nombreuses personnes pensent que cela rend la sauvegarde classique obsolète. Cependant, s'appuyer sur OneDrive comme forme de sauvegarde peut entraîner une perte de données. En effet, si un fichier est supprimé ou infecté sur un appareil local, cette modification est automatiquement synchronisée dans OneDrive. En d'autres termes, le fichier est automatiquement supprimé ou infecté sur tous les appareils synchronisés. De plus, il faut savoir que même si Microsoft veille à ne pas perdre les données de ses clients, l’entreprise ne garantit pas des restaurations complètes et rapides des données Microsoft 365 supprimées ou corrompues. Ceci est communément appelé « modèle de responsabilité partagée » pour la protection des données et c’est pourquoi Microsoft vous recommande de protéger adéquatement vos données incluant la sauvegarde tierce de Microsoft 365. C’est la meilleure façon de vous protéger contre la suppression accidentelle ou malveillante de fichiers, d'autres erreurs d'utilisateur, les rançongiciels et la corruption des données. Ces solutions stockent les sauvegardes indépendamment des serveurs Microsoft et permettent des restaurations granulaires des fichiers, dossiers et applications Microsoft 365. La sécurité totale n’existe pas. C’est un cumul de petites choses faites au quotidien qui préserveront l’intégrité et l’accessibilité à vos données, quoiqu’il arrive. Gardez vos systèmes à jour, protégez votre réseau, surveillez le trafic et sauvegardez soigneusement vos données....

Vous connaissez l’expression « Être trop petit pour être gros et trop gros pour être petit » ? C’est le jour où vous en avez assez de devoir démarrer l’ordinateur du comptable pour avoir accès aux fichiers à partir du vôtre. C’est la fois qu’un client vous fait remarquer qu’il trouve cocasse que votre courriel corporatif soit steve1975@gmail.com. Bref, c’est lorsque votre entreprise a des besoins TI qui dépasse ses capacités. C’est souvent le douloureux moment pour vous de voir passer votre budget informatique de 2000 $ par année à 500 $ par mois. Le « kit de départ » d’une pme en croissance requiert minimalement une messagerie d’entreprise, une suite bureautique, un serveur de fichier, la gestion des accès et des impressions et un niveau de sécurité adéquat pour encapsuler le tout. Après avoir demandé : « Combien cela va coûter tout ça ? », la question suivante sera : « Est-ce vraiment nécessaire, nous sommes tout petit ? ». La réponse est que désormais vous êtes devenu trop gros pour agir comme un petit. Vos besoins actuels requièrent une mise à niveau importante. Si la marche est trop haute pour vous, il y a une option, mais vous devez en connaître les fondations. Il existe en effet des solutions plus économiques, mais vous aurez à partager vos ressources avec d’autres clients de votre fournisseur. En clair, rien ne vous sera dédié à 100% car afin d’obtenir des économies d’échelle pour vous en refiler une partie, certains fournisseurs TI mettent en place des environnements multi-tenants où ils regroupent plusieurs clients qui se partage les mêmes facilités mais dans des environnements virtuellement séparés. En plus des économies vous pourrez bénéficier d’équipements, en principe, à la fine pointe, plus performants et en redondances afin d’assurer la continuité de vos affaires. Toutefois, tout n’est pas rose. Il est possible que vous soyez coincé dans un contrat à long terme; ce qui peut occasionner des maux de tête si votre environnement ne suffit plus et que vous devez passer à autre chose. Les environnements multi-tenants imposent des contraintes techniques qui pourraient vous impacter dans l’éventualité où vous auriez une nouvelle application à mettre en service, comme un ERP par exemple. La sécurité peut être aussi un enjeu dans la mesure où sa solidité repose toujours sur le maillon le plus faible de la chaine. Si vous vous retrouvez avec des dizaines d’autres clients et des milliers d’usagers, c’est autant de brèches potentielles auxquelles vous êtes exposées. Vous devez vous conformer à certaines normes tel que SOX, GDPR ou autres ? Assurez-vous que les environnement multi-tenants ne vous mettent pas en défaut… Pour prendre une décision éclairée, évitez de tomber dans le piège de considérer seulement les conditions économiques. Informez-vous sur les contreparties et leurs impacts....

Les attaques de rançongiciels, toujours en progression Si vous faites un sondage auprès des responsables des infrastructures informatiques et réseaux de votre entourage; tous seront unanimes pour dire que les rançongiciels (ransomware) constituent la menace numéro un en 2020. Sachez que la moitié des entreprises ont été touchées, avec succès ou non, par des rançongiciels l’année dernière et que le coût moyen d’une attaque était de 133 000 $ américains. Vos données d’entreprise ont plus de valeur pour vous que quiconque. C’est la raison principale pour laquelle les pirates informatiques essaient de s’en emparer : ils veulent vous les revendre… Ils prennent vos données en otage pour en exiger une rançon. Mais comment peuvent-ils faire ? Il suffit d’un seul clic d’un employé sur une pièce jointe malveillante pour déclencher le tout. Les pirates sont habiles et savent créer des courriels personnalisés qui ont l’air tout à fait authentiques. Lorsqu’un de vos collaborateurs se fait prendre, ce petit clic déclenche tout un processus d’encryptage et de verrouillage des fichiers de l’employé; opération qui se propage et se répète furtivement sur l’ensemble de votre réseau et de ses composantes. Vous êtes maintenant pris au piège. Si rien n’est fait, votre entreprise sera complètement paralysée en quelques heures et vos données, désormais inaccessibles. Si la rançon n’est pas versée dans les délais prescrits, vos données seront effacées, demeureront à jamais encryptées ou tout simplement revendues à d’autres pirates. Peut-on prévenir ? Vous pouvez sensibiliser vos employés et leur apprendre à reconnaître les courriels suspicieux, mais vous avez également besoin de systèmes de défense évolués qui sauront détecter instantanément ces attaques ou de reprendre rapidement vos activités si tout vos mécanismes de protections ont failli. Sachez que la sécurité absolue n’existe pas, vous devez donc toujours être préparé au pire. Le seul moyen de résoudre une attaque de type rançongiciel rapidement tout en minimisant les impacts sur vos opérations courantes, est de restaurer vos systèmes infectés. Bref, de revenir en arrière. Il existe des solutions de détection des rançongiciels conçus pour identifier une attaque, avertir les administrateurs et effectuer une récupération des données à un moment précis dans le temps. En quelques minutes, vous serez revenu à la normale comme si rien ne s’était passé. Bien que la conscience de l’utilisateur final et les solutions de protections soient des essentielles, elles ne suffisent plus à elles seules car les rançongiciels continuent de s’infiltrer. Une protection spécifique contre ce type d’attaque jumelée à des capacités de restauration évoluées est désormais un incontournable pour faire face aux menaces de rançongiciels....

La Cybersecurity and Infrastructure Agency (CISE) vient de publier une directive d'urgence. Cette directive traite d'une vulnérabilité critique (CVE-2020-1472) affectant le protocole distant Microsoft Windows Netlogon; composant d'authentification de base d'Active Directory qui pourrait permettre à un attaquant non authentifié disposant d'un accès réseau à un contrôleur de domaine de compromettre complètement tous les services d'identité Active Directory. L'application de la mise à jour publiée par Microsoft le 11 août aux contrôleurs de domaine est actuellement la seule atténuation de cette vulnérabilité (en dehors de la suppression des contrôleurs de domaine concernés du réseau). La CISA a déterminé que cette vulnérabilité présente un risque inacceptable et nécessite une action immédiate et d'urgence. Cette détermination est basée sur les éléments suivants: la disponibilité du code d'exploitation augmentant la probabilité que tout contrôleur de domaine mis à jour soit exploité; la présence généralisée des contrôleurs de domaine concernés dans toute l'entreprise; le fort potentiel de compromission des systèmes d'information; le grave impact d'un compromis réussi; la présence continue de la vulnérabilité plus de 30 jours depuis la publication de la mise à jour. Il est important que les entreprises appliquent immédiatement la mise à jour de sécurité Windows Server d'août 2020 à tous les contrôleurs de domaine. Source: https://cyber.dhs.gov/ed/20-04/...