Malwares

Nouvelles attaques dans les hopitaux français. services restreints et des milliers de donnees exfiltrees

Quelques mois après les attaques perpétrées auprès des hôpitaux de Brest, Strasbourg, Paris, Lyon ou encore Marseille, c’est au tour du C.H.U (Centre Hospitalier Universitaire) de Rennes d’être victime d’une cyberattaque le mercredi 21 juin 2023.

Le CHU de Rennes a annoncé via X [anciennement Twitter] avoir été victime d’une cyberattaque et rassure les patients sur la continuité des services hospitaliers. Plus tard, dans la journée, l’ARS de Bretagne (Agence Régionale de la Santé) confirmera par communiqué de presse que l’attaque n’a pas d’impact sur la prise en charge des patients mais que pour éviter une propagation, les services internet ont été coupés.

Quelles sont les conséquences de ces cyberattaques pour les hôpitaux ?

Ces attaques ont des dommages directs au niveau organisationnel dans des services hospitaliers déjà en tension et même si, dans le cas du CHU de Rennes, les rendez-vous ont été maintenus et les soins prodigués, cette coupure du réseau a rendu la prise de rendez-vous en ligne impossible mais aussi, le paiement par carte bleue. La communication par e-mails a été interrompue ainsi que l’arrêt total des consultations d’imagerie médicale à distance, de la télé-expertise ou encore des téléconsultations.

De nouvelles procédures ont dû être mises en place pour permettre les échanges entre le CHU et ses partenaires et près de deux semaines pour que les services redeviennent opérationnels. A ce jour, le site internet du CHU de Rennes est toujours indisponible.

Ces attaques ont donc des répercutions à long terme et contraignent les établissements de santé à mettre en place un mode de fonctionnement dégradé durant parfois, plusieurs mois. Dans le rapport d’incident publié sur l’année 2022, CERT Santé déclare que « 39 % des structures ont été concernées par la mise en place de fonctionnement en mode dégradé du système de prise en charge des patients. ». Si l’impact de cette attaque n’a pas eu de conséquences majeures sur les patients, il est à rappeler que lors des deux cyberattaques perpétrées dans les hôpitaux en îles de France l’an dernier, certains patients dans les états les plus critiques avaient dû être transférés vers d’autres hôpitaux !

Demandes de rançon et exfiltrations de données.

Le 22 juin, toujours par communiqué de presse, le CHU de Rennes informe le public que La cyberattaque a entrainé une exfiltration de données et qu’une enquête est en cours. Le 29 juillet, Clément Domingo allias S.A.X.X. « Hacker Ethique » annonce sur X que les données auraient été publiées. Cette information n’a, à ce jour pas été confirmée par le CHU de Rennes.

D’après le Rapport des menaces dans le secteur de la santé, publié en juillet 2023 par l’ENISA (European Union Agency for Cybersecurity), les attaques menées dans le secteur de la santé restent majoritairement des Ransomwares (ou Rançongiciels en français).

Ransomware comment fonctionne cette attaque et Pourquoi ?

La plupart du temps, les pirates informatiques arrivent à pénétrer dans le système par le biais de courriels d’hameçonnage (ou phishing en anglais). Le destinataire du courriel clique sur un lien ou ouvre une pièce jointe dans lequel se cache un logiciel malveillant. Une fois installé sur un appareil, le logiciel va pouvoir se répandre sur le réseau.

Ce type d’attaque avait initialement pour objectif de crypter les fichiers présents sur le réseau et de demander une rançon à la victime en échange du décryptage et d’y avoir à nouveau accès. Les hackers ont vite compris que l’exfiltration des données avaient plus de poids en termes de négociation sur la divulgation des données sensibles mais surtout que ces données pouvaient être très recherchées. Sur l’année 2022, la « fuite de données » arrive en première place avec 35% des cyberattaques d’après une étude réalisée par Statista.

La fuite de données ? Quelles conséquences ?

« 63 % des structures ayant signalé un incident, indiquent que celui-ci a eu un impact sur des données, qu’elles soient à caractère personnel, techniques ou relatives au fonctionnement de la structure »

Ce n’est plus un secret, aujourd’hui nos données personnelles, collectées et analysées sont une réelle valeur ajoutée pour n’importe quelle entreprise ou administration et ce, quels que soient son statut, sa taille ou son domaine d’activité. Eh bien pour les pirates c’est pareil ! Ces données, très prisées, très monnayées, sont une véritable mine d’or ! Dossiers médicaux, adresses postales, numéros de téléphone, e-mails, numéros de sécurité sociale, cartes bleues, mots de passe, identifiants, réseaux sociaux, plateformes de streaming…Tout se vend, tout s’achète sur le Darknet.

  • Les e-mails se vendent en dizaine de millions pour quelques centaines d’euros mais, certaines valent beaucoup plus cher. Notamment Gmail qui offre plus d’informations en raison des fonctionnalités proposées par Google.
  • Les comptes sur les réseaux sociaux et plateformes de streaming se vendent entre 10€ et 20€ selon le type.
  • Les données bancaires sont également recherchées et vendues à partir d’une vingtaine d’euros en fonction du pays mais, peuvent valoir beaucoup plus en fonction du solde sur le compte.
  • Les documents d’identité peuvent être vendus jusqu’à plus de 3 000€ en fonction des pays.
  • Les identifiants des employés peuvent être vendus pour plusieurs dizaines de milliers d’euros.
  • Quant au dossier médical, imaginez qu’il s’agisse d’une personne célèbre. Le prix de vente peut devenir presque inestimable, selon la victime et les informations présentes.

Vous l’aurez compris, ces informations une fois revendues permettent de récupérer beaucoup d’argent mais attention, elles permettent également voire, surtout, de nouvelles attaques, cette fois-ci plus ciblées. Les cybercriminels vont pouvoir exploiter vos données, mieux vous comprendre et plus facilement vous duper !

Les hôpitaux, données sensibles, accessibles en grand nombre et faciles d’accès ?

D’après le Panorama de la cybermenace 2022 réalisé par l’ANSSI, le secteur de la santé est le 3ème secteur le plus touché par les cyberattaques en France. A l’échelle mondiale, le Healthcare Data institute le place également en 3ème position au premier trimestre 2023.

Lors de la conférence du Forum international sur la cybersécurité (FIC), il a été révélé que les hôpitaux sont une cible facile pour les cybercriminels. Malgré les efforts du gouvernement ces dernières années d’accorder des moyens supplémentaires dans la cybersécurité, les hôpitaux doivent changer de culture, moderniser leurs équipements et réussir à attirer des ingénieurs.

Les cyberattaques, tous concernés, comment lutter ?

Si le secteur de la santé arrive en 3ème place des secteurs les plus touchés par les cyberattaques en France, ce sont les entreprises et en particulier les PME (petites et moyennes entreprises) qui restent la cible préférée des cybercriminels soit, 90 % des entreprises françaises. En 2020 déjà, l’ENISA avertissait que dans le contexte interconnecté actuel, ces PME constituaient le maillon faible de la cybersécurité. Ne pouvant pas se permettre d’investir dans un système performant, elles sont les plus vulnérables à ces attaques.

Comment protéger son entreprise d’une cyberattaque ?

  • Protégez et limitez les accès avec des mots de passe différents et suffisamment complexes
  • Effectuez des sauvegardes régulières de vos fichiers avec une copie de celle-ci sur un support externe.
  • Réalisez régulièrement les mises à jour (les éditeurs corrigent fréquemment les failles détectées).
  • Téléchargez les documents et logiciels depuis les sites officiels
  • Utilisez un système de sécurité tel que TitanHQ qui répond parfaitement avec vos besoins
  • Enfin, formez le personnel à la cybersécurité, les bons usages et pièges à éviter, notamment concernant le phishing.

Si vous avez été victime d’une attaque, vous pouvez déclarer un incident auprès du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, Ici, et vous pouvez vous faire accompagner via le site cybermalveillance.gouv.fr. D’un point de vue réglementaire, il vous faudra porter plainte auprès de la Gendarmerie nationale et si vous pensez que des données ont été exfiltrées, vous devrez déclarer l’incident auprès de la Commission nationale de l’informatique et des libertés (CNIL) dans un délai de 72h.

La technique du bac a sable, la cle pour bloquer les attaques des e-mails malveillants

Les solutions de sécurité des e-mails avec mise en quarantaine Sandbox (ou bac à sable en français) bloquent davantage les menaces de logiciels malveillants (malware) que les filtres anti-spam traditionnels, y compris pour les variants qui n’ont pas encore été identifiés. Sans cette fonctionnalité, les e-mails contenant des pièces jointes malveillantes risquent d’être reçus dans les boîtes de réception d’une entreprise. Il suffit qu’un employé ouvre un fichier malveillant pour que le logiciel soit installé et prenne le contrôle sur le réseau.

Qu’est-ce qu’une mise en quarantaine des e-mails ?

En cybersécurité, la Sandoz est une technique de mise en quarantaine. Une machine virtuelle isolée où du code potentiellement dangereux peut être exécuté et analysé en toute sécurité, où les fichiers peuvent être soumis à une analyse approfondie et où les différents liens (URL) peuvent être visités sans risque. La Sandbox n’étant pas connectée au réseau, il n’y a donc, aucun risque de provoquer des dommages. Cette mise en quarantaine des e-mails permet d’identifier l’attaque mais elle permet aussi de duper les cybercriminels (hackers) en leur faisant croire qu’ils ont atteint leur cible. Ces attaques peuvent réussir les tests antivirus classiques qui examinent la crédibilité de l’expéditeur, les en-têtes, le contenu des messages et les pièces jointes, en revanche il n’y a aucune garantie que les e-mails soient sûrs sans une analyse comportementale.

Pourquoi la mise en quarantaine des e-mails est-elle importante ?

Les hackers développent des techniques pour contourner les solutions de sécurité des e-mails standards, telles que l’intégration de liens malveillants dans des pièces jointes PDF, la dissimulation de contenu malveillant dans des fichiers compressés, l’utilisation de redirections multiples sur des hyperliens et l’inclusion de liens vers des plateformes cloud légitimes telles que SharePoint. Les solutions traditionnelles de sécurité de messageries peuvent filtrer les courriers indésirables et les e-mails d’hameçonnage (phishing) néanmoins, elles échouent souvent à bloquer des menaces plus sophistiquées, en particulier sur les nouvelles failles d’exploitation appelées également zero-day. Les Sandboxes offrent donc une couche de protection supplémentaire contre ces nouvelles formes de menace telles que les e-mails d’hameçonnage ciblé, les menaces persistantes avancées (APT) et les variantes de logiciels malveillants encore inconnues.

Il y a quelques années, ces nouvelles variantes étaient diffusées à un rythme relativement lent ; cependant, les hackers utilisent désormais l’automatisation et l’intelligence artificielle pour générer de nouvelles attaques et ce, à un rythme alarmant. Pour contourner les mécanismes de détections traditionnelles comme la signature, les cybercriminels utilisent des « échantillons » de malware suffisamment différents des menaces connues. Ils n’utilisent pas qu’une seule version du logiciel mais des dizaines de versions sont créées chaque jour, leur garantissant d’atteindre leur cible. Bien que la sensibilisation en cybersécurité puisse aider les employés à identifier et à éviter les e-mails suspects, les hackers sont devenus habiles en ingénierie sociale et réussissent souvent à les tromper.

La mise en quarantaine des e-mails avec SpamTitan

La Sandbox de SpamTitan est dotée d’une puissante fonctionnalité de sécurité de nouvelle génération ; technologies d’apprentissage automatique et d’analyse comportementale primées. Propulsée par Bitdefender, la mise en quarantaine des e-mails de SpamTitan permet d’exécuter et d’analyser en toute sécurité les fichiers potentiellement dangereux. Les pièces jointes qui réussissent la série de vérifications effectuées par SpamTitan sont placées en quarantaine pour une analyse approfondie. Cet environnement virtuel est configuré pour ressembler à un antivirus classique en ajoutant des algorithmes d’apprentissage automatique avancés spécialement conçus : des leurres (le cybercriminel pense qu’il a atteint sa cible), des techniques anti-évasion (contre les attaques d’intrusion du système), une protection contre les exploits (type de programme créé pour détecter une vulnérabilité du système), et une analyse comportementale agressive.

Les fichiers sont également soumis à des vérifications dans un large éventail de référentiels en ligne, en quelques minutes. Cela garantit que les e-mails légitimes ne sont pas inutilement retardés. Si des propriétés malveillantes sont détectées, elles sont transmises au réseau de protection global de Bitdefender (service d’intelligence sur les menaces dans le cloud). Si la menace est rencontrée à nouveau, elle sera détectée et bloquée sans avoir besoin d’être analysée à nouveau.

La Sandbox de SpamTitan est utilisée pour une large gamme de pièces jointes, y compris le contenu des documents de bureau, les macros, les scripts, ainsi que tous les fichiers exécutables et fichiers d’application. Cette mise en quarantaine permet à SpamTitan de détecter les virus polymorphes et d’autres menaces conçues pour être utilisées dans des attaques ciblées, indétectables. Si un fichier malveillant est détecté, l’e-mail n’est pas envoyé dans les courriers indésirables où il pourrait être ouvert par un utilisateur mais il est transféré, en quarantaine, dans un répertoire du serveur de messagerie local auquel seul l’administrateur peut accéder. Les administrateurs pourront donc, s’ils le souhaitent, mener des enquêtes plus approfondies et mieux comprendre comment leur organisation est attaquée.

Les cybercriminels mènent des attaques de plus en plus sophistiquées. Il est donc nécessaire de déployer des solutions de sécurité capables de détecter ces nouvelles menaces. Avec l’augmentation des attaques « Zero Day », c’est le moment idéal pour améliorer la sécurité de vos courriers électroniques grâce à SpamTitan.

N’hésitez pas à vous inscrire dès aujourd’hui pour un essai gratuit de SpamTitan afin de tester la solution et de constater la différence avec votre système de sécurité actuel. Des démonstrations de produits peuvent également être demandées en contactant TitanHQ, et notre sympathique équipe commerciale qui se fera un plaisir de discuter avec vous concernant les meilleures options de déploiement de SpamTitan et de répondre aux besoins spécifiques de votre entreprise.

Les entreprises, premiere cible des cyberattaques. quelles peuvent etre les consequences et comment les eviter

Les entreprises d’aujourd’hui font face à une menace omniprésente, invisible et évolutive : les cyberattaques. Ces attaques peuvent coûter très chères, nuire à votre réputation et même, mettre en péril la survie de votre entreprise.

Voici une liste non exhaustive des principaux risques encourus par les entreprises en cas de cyberattaque. Les vulnérabilités les plus courantes, les conséquences et surtout comment prévenir ces attaques et mettre un système de sécurité efficace.

Quels sont les Risques Majeurs pour votre entreprise ?

  • Fuite de Données : le vol ou la destruction de données, particulièrement sensibles est l’une des motivations principales des hackers. Informations client, données financières, secrets professionnels… la fuite de ces données peut mettre en danger non seulement votre entreprise mais également vos clients et vos partenaires. Elle peut avoir un impact financier immédiat et une incidence sur la compétitivité à long terme de l’entreprise.
  • Perturbation des Opérations : les cyberattaques peuvent perturber les opérations, provoquant une interruption des services, des temps d’arrêt coûteux et une réduction de la productivité. Notamment avec des attaques de type rançongiciel (ou ransomware en anglais) qui peuvent paralyser l’ensemble des opérations en chiffrant ses données, exigeant ensuite une rançon pour les débloquer.
  • Responsabilité Juridique : les entreprises peuvent être tenues responsables des violations de données, ce qui peut entraîner des poursuites judiciaires coûteuses et des amendes importantes.
  • Nuire à votre image : les attaques réussies peuvent gravement ternir la réputation de votre entreprise. La perte de confiance des clients et des partenaires entraînera des conséquences durables.

Comment Anticiper les Cyberattaques

  • Sensibilisation et Formation : ce sont souvent les employés qui sont en première ligne des cyberattaques. Les former et les sensibiliser à la cybersécurité est essentiel.
  • Mises à Jour régulières des logiciels et système d’exploitation : ces mises à jour doivent être vérifiées et réalisées rapidement, elles sont très importantes car elles permettent de corriger les failles de sécurité connues.
  • Contrôle d’Accès : limitez l’accès aux données et aux systèmes en fonction des besoins de chaque employé. Mettez en place une authentification à deux facteurs pour renforcer la sécurité.
  • Sauvegardes Régulières : effectuez des sauvegardes régulières de toutes les données essentielles et n’hésitez pas à créer une copie sur support de stockage externe. En cas d’attaque, une restauration depuis cette sauvegarde vous permettra d’accéder à vos fichiers et évitera un arrêt total des services.
  • Installation de Pare-feu et d’Antivirus : utilisez des pare-feux et des antivirus fiables pour bloquer les menaces potentielles avant qu’elles atteignent le réseau de l’entreprise. Choisissez la solution qui correspond à vos besoins.

Les cyberattaques représentent une menace sérieuse pour les entreprises, quels que soient leur statut, leur taille et leur secteur d’activité. Les coûts, qu’ils soient financiers, en termes de réputation ou opérationnels, sont trop importants pour être ignorés. Cependant, avec une sensibilisation adéquate, des mesures de sécurité solides et une bonne préparation en cas de cyberattaque, les entreprises peuvent anticiper les menaces et atténuer les risques. Les entreprises doivent investir dans la cybersécurité pour se protéger, protéger leurs clients, leurs partenaires et maintenir leur réputation.

9 choses qu’un administrateur système ne devrait jamais faire : les interdits absolus de la sécurité en réseau

Le travail d’un administrateur système est très difficile. Il y a de nombreuses tâches à effectuer, le besoin constant de mettre le système à jour au fur et à mesure des avancées technologiques et les longues heures nécessaires pour faire ce travail. Il faut manipuler des logiciels complexes et régler les demandes d’utilisateurs toujours plus exigeants. En plus de tout ce que l’administrateur système doit faire s’ajoute la liste de ce qu’il ne doit jamais faire.

Ce n’est pas que les administrateurs système font ces choses consciemment ; le fait est qu’il arrive à tout le monde de contourner les règles pour terminer une tâche. Par exemple, le directeur des ventes appelle parce qu’il lui faut l’accès à une liste de sites internet pour sa présentation qui se déroule dans trois minutes en salle de conférence et les sites en question affichent un accès bloqué. L’administrateur système n’a pas le temps de chercher pourquoi l’accès à ces sites est bloqué… il force dont l’ordinateur utilisé pour la présentation à outrepasser le blocage pour accéder à tous les sites désirés. Le directeur des ventes en est très content et la présentation se déroule sans encombre. Malheureusement, l’administrateur système se retrouve bientôt avec mille autres demandes de ce genre et oublie la manipulation qu’il a précédemment réalisée… En conséquence, l’ordinateur du directeur des ventes forcé reste ouvert à toutes les menaces et cyber-attaques présentes sur internet. Deux mois plus tard, quelqu’un télécharge un rançongiciel depuis un site frauduleux et toutes les données de la compagnie se retrouvent cryptées. Le chemin vers le désastre est pavé de bonnes intentions.

Nous avons donc établi une courte liste des choses que fait l’administrateur système, volontairement ou non, mais devrait éviter, car les conséquences pourraient être dramatiques.

1)    Ne jamais créer d’exception pour le pare-feu et le filtre web

Cette règle comprend l’adresse IP de l’ordinateur désigné, souvent assignée par DHCP. Cela signifie que cette adresse IP peut être attribuée à un autre ordinateur le lendemain, lequel sera potentiellement utilisé par un employé qui ne devrait pas avoir une marge de manœuvre telle que celle configurée sur ce poste. Afin d’éviter le scénario exposé en introduction, créez une politique d’accès stricte exigeant de préciser combien de temps sera nécessaire à la requête. Vérifiez régulièrement la liste des exceptions pare-feu et filtre web et supprimez toutes celles qui n’ont plus lieu d’être.

2)    Ignorer les paramètres sortants du pare-feu

Nous connaissons tous l’importance de la configuration des paramètres entrants du pare-feu, mais nous oublions fréquemment de vérifier les paramètres sortants, tout aussi importants. Parfois, les règles de la navigation externe sont ignorées parce que le processus de sécurisation vers l’extérieur est plus complexe que celui de la navigation vers l’intérieur, puisqu’il nous faut nous assurer que nos paramètres ne gênent pas le trafic autorisé ni les applications qui requièrent un accès internet. C’est une opération qui prend beaucoup de temps ; elle est cependant indispensable pour garantir la sécurité de votre entreprise, ainsi que celle de l’ensemble des utilisateurs. Si un ordinateur est piraté dans votre réseau, il peut servir aux cyber-pirates de point d’ancrage pour répandre logiciels malveillants, courriers indésirables et exfiltration de données importantes. Un soigneux filtrage des données sortantes peut vous protéger de ce cas de figure. Par exemple, vous devriez implémenter une règle selon laquelle les mails sortants et le trafic DNS sont autorisés uniquement sur les serveurs internes. Tout comme il vous faut être sûr qu’aucun port entrant n’est ouvert, vous devez décider qu’aucun port sortant ne le soit non plus.

3)    Placer des ressources accessibles par internet sur le LAN interne

Tout pare-feu efficace opère sur plusieurs zones. Cela comprend les zones publiques (internet), le LAN interne (où naviguent les utilisateurs avec leurs ordinateurs, les services et les données) et une DMZ (une zone démilitarisée), qui sert à fournir aux serveurs et aux équipements technologiques un espace particulier devant être accessible depuis internet via serveurs mail, FTP et terminaux. La zone DMZ est par nature moins restrictive que le LAN interne, ce qui rend les ordinateurs qui y demeurent plus vulnérables. De nombreux problèmes peuvent survenir quand les ordinateurs opèrent sur le LAN interne ; il suffit qu’un seul d’entre eux soit corrompu pour que les cybercriminels exploitent la faille et créent le chaos dans l’entreprise. C’est là que réside la fonction de la DMZ : limiter la vulnérabilité d’un ordinateur sur le réseau. Cela suppose que le trafic entre la DMZ et le LAN soit sérieusement contrôlé et sécurisé. La DMZ a trop souvent un accès libre au LAN interne parce que personne n’a pris le temps de configurer la séparation.

4)    Autoriser le trafic de zone DNS à tout serveur

De nombreuses entreprises permettent cela, par facilité ou par manque d’expérience. Si vous autorisez le transfert de zone à tout serveur, toutes les données enregistrées sont alors visibles par tout hôte capable de contacter votre serveur DNS ; cela inclue les serveurs DNS corrompus localisés dans votre réseau. Afin d’éviter cela, assurez-vous que les transferts de zone ne sont autorisés que pour les serveurs avec AD intégré, si vous utilisez un réseau Windows AD. Si ce n’est pas le cas, spécifiez les adresses IP autorisées sur tous les serveurs DNS et restreignez les transferts de zone à leur usage exclusif. L’opération prendra du temps, mais la sécurisation de vos zones DNS en vaut largement la peine.

5)    Consulter vos emails ou naviguer sur internet en utilisant votre compte administrateur

Oui, nous le savons tous, et pourtant, c’est l’un des raccourcis que nous empruntons de temps en temps. Peut-être attendons-nous un email important pendant que nous configurons un nouveau serveur ou peut-être souhaitons-nous naviguer quelques minutes sur internet en attendant la fin d’une mise à jour lancée… Ne le faites pas, le risque est trop grand. Les comptes administrateurs sont les clefs du royaume que rêve de posséder chaque cyber-pirate. Le logiciel malveillant est installé sur le compte qui l’a téléchargé ; les comptes administrateurs agissent comme des stéroïdes pour malwares, leur accordant un accès total au réseau.

6)    Héberger plus d’un AD sur un contrôleur de domaine

Un contrôleur de domaine est un ordinateur qui prend en charge Windows Active Directory ; il est donc indispensable qu’il soit soigneusement sécurisé. La première étape : une isolation totale. L’ordinateur hébergeant Active Directory doit ne servir qu’à cela, et rien d’autre. Se servir de cet ordinateur pour autre chose est une invitation à éprouver la loi de Murphy. En informatique, les éléments importants doivent être isolés. Si l’un d’eux se trouvait piraté, les autres resteraient en sécurité, au moins temporairement. D’autre part, si vous conserviez une sauvegarde sur ce même ordinateur, que feriez-vous de cette sauvegarde si elle était compromise à son tour ? Combien de temps pensez-vous qu’il faudrait au cybercriminel pour avoir mainmise sur vos données ? Pourquoi prendre ce risque ?

7)    Ré-utiliser le même mot de passe

Cette règle semble simple et évidente. Cela dit, le bon sens n’est pas si répandu… Un administrateur système ne devrait jamais utiliser le même mot de passe sur plusieurs ordinateurs ou services. Si un cybercriminel le dérobe, il aura accès à toutes les données de l’entreprise.

8)    Utiliser les identifiants d’administration pour se connecter sur un poste de travail

Dans ce cas précis, c’est comme si vous donniez votre mot de passe directement aux cybercriminels. Il existe en effet aujourd’hui de nombreuses façons pour eux d’obtenir vos identifiants et mots de passe en quelques secondes.

9)    Déployer un réseau wifi libre d’accès

Il n’y a aucun besoin de réseau wifi libre en entreprise. Si vous avez besoin d’un compte invité en réseau, créez-en un avec mot de passe, que vous changerez régulièrement. Si vos invités se plaignent parce qu’il faut toujours demander le nouveau mot de passe, posez-vous la question suivante : ces gens viendront-ils se plaindre quand vous devrez gérer la remise en ordre du système après une cyber-attaque ? Une chose est certaine : en cas de problème, vous serez tenu pour responsable du désastre. Avec une solide technologie comme WebTitan Wifi, vous pourrez fournir une haute qualité internet sécurisée aux utilisateurs naviguant sur votre réseau. Vous pourrez bloquer les logiciels malveillants et surveiller l’utilisation faite d’internet dans toute l’entreprise.

La sécurité ne devrait être jamais sacrifiée sur l’autel de la facilité. La plupart des administrateurs système ne penseraient jamais à faire les choses listées ci-dessus volontairement ; il est clair qu’administrer un réseau est une tâche difficile. Chaque réseau est différent, aussi la configuration de la sécurité et la gestion de crise reste un domaine de compétence très spécialisé et apprécié. Et cela continuera jusqu’à ce que quelqu’un développe des réseaux et des ordinateurs capables de lire dans l’esprit des utilisateurs.

Un niveau de sécurité DNS

Protéger efficacement votre réseau informatique des cyber-attaques nécessite une solide combinaison d’outils technologiques, de bonnes habitudes d’utilisation et de vigilance. En ce qui concerne l’aspect technologique, de nombreux professionnels de la cybersécurité négligent la protection DNS. C’est une grave erreur. Implanter un niveau de sécurité DNS est tout aussi important que protéger votre réseau avec un pare-feu. Ce niveau de protection DNS est aujourd’hui essentiel : de nombreux cyber-pirates tirent en effet avantage d’un manque de sécurisation DNS pour s’infiltrer dans les réseaux, installer des logiciels malveillants et exfiltrer des données. La plupart des variants de malwares sont désormais capables de passer par les failles de sécurité, composantes du système DNS, pour détourner et prendre le contrôle des serveurs puis dérober des données. Les entreprises qui n’ont pas encore installé de filtre DNS sont peut-être déjà victimes de piratage, sans en avoir la moindre conscience.

Un niveau de sécurité DNS est impératif

Le DNS (Domain Name System) est le carnet d’adresse d’internet : il traduit les noms de domaines comme celui de google.com en adresse de protocole internet, c’est-à-dire l’adresse IP. Le DNS est un élément fondamental de l’infrastructure internet, et pourtant, il n’est pas capable d’empêcher les utilisateurs d’être redirigés vers des sites internet frauduleux ; il est bien loin d’être un système sécurisé… C’est pourquoi il est indispensable de lui adjoindre un niveau de protection DNS, sans lequel les entreprises demeurent ouvertement exposées aux cyber-attaques.

Les utilisateurs peuvent être redirigés vers des sites internet frauduleux où, sans méfiance, ils entreront leurs données personnelles, inconscients de la réalité dans laquelle ils se trouvent : tout ce qu’ils font est en effet contrôlé et enregistré. Voilà pourquoi les attaques par hameçonnage sont si efficaces : les victimes ne se rendent pas compte qu’elles compromettent leur propre réseau elles-mêmes.

Installer un filtre DNS aidera le système à détecter et prévenir les connexions indésirables en prévenant les administrateurs dudit système d’un risque de logiciel malveillant. Utiliser un filtre DNS basé dans le Cloud et dirigé sur une console d’administration système vous permet de configurer rapidement les paramètres de sécurité que vous souhaitez appliquer quant au réseau, au groupe d’utilisateurs, aux ordinateurs et aux adresses IP. Vous avez ainsi un plus vaste contrôle de l’usage fait d’internet dans votre entreprise.

Bloquer la communication des logiciels malveillants

Les attaques par hameçonnage sont devenues le fléau des entreprises à travers le monde entier. Le harponnage permet aujourd’hui d’envoyer des logiciels malveillants qui contournent toutes les étapes de contrôle prévues par les entreprises. Quelle que soit la manière dont un utilisateur est induit en erreur pour installer un malware reçu par courrier indésirable ou téléchargement indirect, ce nuisible peut être rapidement détecté. Une fois installé, le malware peut en effet se déplacer à une vitesse folle dans le réseau, en restant, la plupart du temps, totalement inaperçu.

Un niveau de sécurité DNS permettant de prévenir les cyber-attaques

Si vous n’avez pas encore installé de niveau de protection DNS, vous n’êtes pas un cas isolé : malheureusement, de nombreuses compagnies ainsi que des organisations gouvernementales ayant fait peu de cas de la sécurité DNS ont été attaquées, et leurs systèmes ont été compromis.

Les cybercriminels exploitent déjà la faille de l’absence de sécurité DNS

Les cybercriminels sont déjà capables d’exploiter l’absence de sécurité au niveau du DNS : ils savent où diriger les attaques par hameçonnage pour obtenir des données personnelles. Ne pas sécuriser le DNS, c’est leur simplifier la tâche et leur laisser le champ libre. Si vous voulez que votre système représente un vrai défi pour les cyber-pirates, vous devriez envisager d’ajouter un filtre DNS à votre arsenal de cybersécurité.

La bonne nouvelle, c’est qu’il est très simple d’installer un niveau de sécurité DNS ; il n’y a pas besoin pour cela de disque dur supplémentaire ou d’un nouveau logiciel. Certains vendeurs proposent aujourd’hui des offres de filtrage DNS basé dans le Cloud que l’on peut configurer en quelques minutes.

Ne pensez-vous pas qu’il est grand temps de sécuriser le DNS et de rendre votre réseau aussi solide qu’une forteresse contre les cybercriminels ? Si vous recherchez une protection contre les logiciels malveillants et l’hameçonnage à une échelle d’entreprise, consultez l’offre WebTitan Cloud, le filtre internet DNS qui vous permet de gérer, contrôler et protéger vos utilisateurs et vos données en ligne. Vous n’avez besoin d’aucun logiciel préinstallé, car sa configuration est incroyablement simple et rapide.

Comment éviter 4 des dangers cachés de l’hameçonnage ?

Environ 10% des mails présentent une menace d’hameçonnage ; puisqu’il s’agit d’une tentative de duperie, on peut être sûr de trouver quelque dangereux élément dans le corps du mail. Voici une liste des principales menaces susceptibles de mettre en péril votre entreprise et comment les combattre.

Les attaques par rançongiciel et autres programmes malveillants

Le rançongiciel est une menace que certains ont cru en voie de disparition. Il n’en est rien ! D’après une récente étude, les rançons obtenues par ce biais s’élèvent à plus de 500 000 dollars en 2021. Une explication avancée pour expliquer ce chiffre est le développement du RAAS (le « Ransomware-as-a-Service ») : un de ceux auxquels il faudra faire très attention en 2022 est le RAAS appelé BlackMatter. Il s’agit d’un RAAS apparu en 2021, utilisé pour voler les données de nombreuses compagnies basées aux États-Unis à hauteur de sommes étalées entre 100 000 et 15 millions de dollars.

Sans surprise, 92,4% de ces malwares arrivent dans les boîtes mail. Afin d’éviter que cela n’arrive à votre entreprise, il vous faut impérativement installer un système de sécurité des emails incluant une protection contre les logiciels malveillants, comme SpamTitan : sa protection incluant un double antivirus excelle à combattre ce fléau. Un autre outil technologique permettant de lutter efficacement contre le piratage : la nouvelle génération du « bac à sable », permettant à l’utilisateur d’ouvrir la pièce jointe suspecte dans un environnement informatique isolé, avant de choisir de la conserver ou de la supprimer. Bien que la plupart des fournisseurs en cybersécurité ne propose pas d’option bac à sable, SpamTitan Cloud l’intègre automatiquement.

L’usurpation d’identité de l’adresse mail

Vous recevez un mail urgent du PDG de votre compagnie demandant un virement bancaire de dernière minute pour finaliser une transaction. Que faites-vous ? Voici une situation qui se produit tous les jours, car l’usurpation d’identité est aujourd’hui devenue monnaie courante dans le monde des courriers internet. Il est bien naturel de se demander comment les cybercriminels peuvent si facilement usurper les comptes mails des employés… Il faut se rappeler que le protocole du système email a été créé dans les années 1980, quand internet était encore fiable. Personne n’avait alors imaginé les stratégies malveillantes que les pirates informatiques utilisent aujourd’hui pour attaquer nos organisations.

Il est très difficile pour le filtrage standard du courrier indésirable d’identifier une usurpation d’identité email, car ces attaques sont ciblées et intelligemment préparées : le langage est adapté et personnalisé sur le mode utilisé généralement par la victime au travail, les cybercriminels passant des semaines – voire des mois – à espionner le style d’écriture de leurs cibles. La meilleure approche consiste à vérifier puis légitimer l’adresse mail de l’expéditeur. Beaucoup pensent que l’authentification SPF hébergée sur DNS permet de contrer l’usurpation d’identité, mais c’est une erreur : il est en effet nécessaire de renseigner les données SPF, DKIM et DMARC pour authentifier l’origine d’un mail. C’est pourquoi SpamTitan inclut la vérification DMARC dans son programme de sécurité. Vous pourrez générer vos propres éléments avec le générateur DMARC.

Le Dévoiement (ou le « pharming »)

Les cybercriminels adaptent sans cesse leurs techniques de piratage pour mieux infiltrer vos ordinateurs et vos réseaux. Le dévoiement est une nouvelle façon d’y parvenir, plus complexe : il ressemble à l’hameçonnage, utilisant de faux sites internet pour voler des données personnelles, mais à son inverse, il ne requiert pas d’action de la part de l’utilisateur, redirigé automatiquement vers ces sites frauduleux sans s’en rendre compte.

Vous recevrez un mail de votre banque vous demandant de confirmer une récente transaction qui vous paraît suspecte. Vous recevrez un mail de PayPal vous demandant de réinitialiser votre compte ou de votre compagnie d’assurance vous demandant de confirmer les paramètres de votre profil à la suite d’une erreur système dans leurs ordinateurs. Tout dans l’email vous semble authentique, jusqu’au lien à la fin du message vous redirigeant vers un site internet que vous avez l’habitude de voir. Tout ceci, bien sûr, est une illusion bien travaillée : même si le visuel correspond en tout point à ce qu’il doit être, l’adresse du site est douteuse… et malheureusement, la plupart des utilisateurs se laissent prendre au piège.

Les cybercriminels utilisent le dévoiement pour capter des données personnelles et les réutiliser à des fins malveillantes. C’est là que les offres de sécurité modernes entrent en jeu, avec l’intelligence artificielle capable de distinguer les sites internet authentiques et les sites frauduleux.

L’affichage du nom de l’identité usurpée

Ce type de fraude à l’identité est plus courant que la simple usurpation d’identité email, car tout le monde peut l’employer : cette approche rudimentaire ne nécessite que la création d’une adresse mail gratuite comme celles proposées par Gmail et Outlook. L’adresse mail est alors créée avec un nom affiché n’ayant rien à voir avec les caractères choisis pour l’adresse – il peut s’agit de votre chef de projet, ou du directeur de l’école… ces attaques visent à soutirer quelques profits de votre entreprise.

En effet, ces tentatives de piratage n’extorquent généralement pas beaucoup d’argent de leurs victimes, mais elles mettent à mal la productivité de l’entreprise, car l’utilisateur victime perd du temps à se demander qui lui a envoyé le mail suspect… il risque d’ailleurs d’ignorer d’importants messages dans l’avenir, à la suite de cette mauvaise expérience. La manière la plus efficace de combattre ce type de cyber-attaque consiste à former vos employés pour les identifier. L’hameçonnage est la méthode favorite des cybercriminels pour dérober de l’argent, des mots de passe, des données personnelles et la bonne volonté de vos employés. Ne sous-estimez pas les dangers de ces attaques. Assurez-vous d’avoir le meilleur en matière de cyber-sécurité.

Avec la menace cybercriminelle grandissante, former vos employés est un excellent début, mais c’est loin de suffire.

Une protection contre l’hameçonnage et le harponnage

Avec la protection email Cloud SpamTitan, votre réseau et vos ordinateurs seront sécurisés : vos mails seront scannés en temps réel, car SpamTitan recherche des indices-clefs de corruption dans l’en-tête de l’email, le nom de domaine et le contenu. SpamTitan analyse également tous les liens (même les raccourcis) présents dans le texte et bloque les mails frauduleux avants qu’ils ne puissent arriver dans la boîte de réception de l’utilisateur. Voyez comment SpamTitan vous protège :

  • Une analyse multi-niveaux incluant les données SPF, SURBL, RBL et autres,
  • Le scan des liens internet présents dans les mails,
  • Une protection anti-hameçonnage et anti-harponnage, capable de détecter et de bloquer les attaques répétées,
  • Un système complet de détection de mots-clefs dans l’en-tête du mail régulièrement mis à jour pour contrer les dernières menaces recensées,
  • Une synchronisation aisée avec Azure Active Directory et LDAP,
  • La création d’une liste de contacts et d’adresses IP autorisés ou bloqués,
  • Une progression illimitée,
  • Un système adapté aux PME, aux écoles et aux universités,
  • Une protection « bac à sable » intégrée.

La combinaison de tous ces éléments vous assure une protection complète pour les utilisateurs de Office 365 contre les BEC et les attaques au rançongiciel. Les administrateurs du système doivent s’assurer que leur paramétrage est sécurisé contre la cybercriminalité avec un outil puissant comme SpamTitan.