Sécurité des emails

Les e-mails restent la principale source de communication pour les entreprises. Cependant, certains employés continuent d’envoyer, de recevoir et d’ouvrir des messages et des pièces jointes malveillants, sans penser au risque potentiel que ces messages peuvent faire courir à leur entreprise.

La sécurité de la messagerie électronique est un risque critique pour de nombreuses entreprises. En réalité, plus de 91 % des attaques réussies sur les réseaux d’entreprise résultent des attaques de phishing et d’une attaque ciblant les utilisateurs finaux dans une entreprise via la messagerie électronique. Ceci peut causer de préjudices à votre organisation et les conséquences sont souvent graves.

Voici donc une liste des meilleurs moyens d’assurer la sécurité de vos e-mails.

1. Utilisez des mots de passe sûrs pour améliorer la sécurité des emails

Il est peu surprenant de voir à quel point la plupart des mots de passe utilisés pour la messagerie électronique sont faibles. Mais il ne faut pas également utiliser des mots de passe trop compliqués. Un « bon » mot de passe comporte au moins 10 caractères, avec un mélange de majuscules et de minuscules. Il doit également comporter au moins un chiffre et un caractère spécial.

2. Utilisez le protocole TLS (Transport Layer Security) ou SSL (Secure Sockets Layer)

Les protocoles TLS et SSL sont très similaires. Ils permettent d’envoyer vos e-mails en toute sécurité entre votre ordinateur et votre service SMTP. Mais votre service SMTP doit aussi être en mesure de chiffrer correctement les messages envoyés entre lui-même et le serveur de messagerie de vos destinataires. Ce processus d’envoi d’e-mails nécessite par ailleurs que le serveur de messagerie de vos destinataires prenne en charge les protocoles TLS et/ou SSL.

3. Installez un logiciel antivirus sur chaque ordinateur

Cela contribuera à sécuriser votre service de messagerie électronique, mais aussi vos ordinateurs. Il existe de nombreuses options comme Bitdefender, ClamAV, Webroot, Norton, Kaspersky, etc.

4. Créez un nom d’utilisateur SMTP différent pour chaque expéditeur

Plusieurs personnes peuvent vous envoyer des e-mails dans votre entreprise. En fait, si votre ordinateur est piraté et qu’il commence à envoyer du spam, vous pouvez facilement désactiver le nom de l’utilisateur SMTP sans affecter les autres utilisateurs. Vous devez également changer le mot de passe de l’ordinateur infecté et son compte SMTP.

5. Soyez extrêmement prudent lorsque vous ouvrez des pièces jointes

Lorsque vous recevez un e-mail, il faut toujours l’analyser, notamment la pièce jointe, avant de l’ouvrir, surtout si le message provient d’une personne que vous ne connaissez pas. Sachez que neuf virus ou malwares sur dix atteignent les ordinateurs via les pièces jointes.

6. Pensez au chiffrement des e-mails sensibles

Grâce au chiffrement des e-mails, votre entreprise peut protéger les communications via la messagerie électronique avec le plus haut niveau de sécurité. La messagerie électronique est basée sur le protocole SMTP qui circule généralement sur Internet sans être chiffré. Lorsque vous envoyez un message, il peut être transmis en texte clair sur d’autres réseaux locaux et sur Internet. Une personne aux intentions malveillantes peut donc le falsifier, et les informations sur l’expéditeur peuvent être facilement usurpées.

7. N’utilisez pas votre adresse électronique dans les lieux publics

Si vous devez utiliser votre adresse électronique lorsque vous vous connectez à un WiFi public, il est recommandé d’utiliser un compte de messagerie secondaire. Si vous utilisez une adresse électronique liée à un compte dont vous pourriez vous passer, cela vous permettra de sécuriser vos données au cas où l’autre compte serait compromis.

8. Ne divulguez pas vos informations sensibles dans vos e-mails

Les pirates ont plusieurs tactiques pour usurper vos identifiants de connexion, et cela pourrait entraîner une fuite de données. Si vous devez envoyer à quelqu’un des informations sensibles, il est recommandé de l’appeler à l’avance. Et lorsque vous devez envoyer des documents sensibles, vous pouvez utiliser des outils sûrs comme Google Drive, qui est un service gratuit.

9. Ne répondez pas aux spams ou aux tentatives de phishing

Répondre à un spam ne fait qu’informer qu’aux pirates informatiques que vous êtes un humain. Ne le faites pas. De plus, sachez que plus de 3 % des spams contiennent des malwares.

10. Faites attention au WiFi public

Vous devez vérifier vos e-mails qui sont liés à votre activité professionnelle. Si vous deviez, par exemple, utiliser le WiFi public d’un aéroport ou d’un café, cela pourrait être une opportunité fantastique pour les pirates informatiques.

Au cas où vous devriez vous servir d’un réseau WiFi public, vérifiez au moins que vous êtes bien sur le réseau gratuit, et non sur le réseau qu’un pirate informatique a mis en place pour ressembler au réseau du café (ou de l’aéroport). Ensuite, assurez-vous qu’il y a un « HTTPS : » au début de l’URL où vous vous connectez. Si vous ne voyez pas le « S. » dans le « HTTPS » – ou si vous recevez un avertissement indiquant qu’il y a un problème avec le certificat de sécurité – n’utilisez pas ce réseau.

11. Formez vos employés

Les employés constituent le maillon faible de votre entreprise et ils sont l’une des principales causes des incidents de violation de données lors d’une cyberattaque. Il est donc essentiel de veiller à ce qu’ils soient informés et sensibilisés aux menaces cybercriminelles. Il faut leur dispenser une formation continue sur les risques de sécurité des e-mails et sur la manière d’éviter d’être victime d’attaques de phishing.

Bloquez et supprimez les spams et les e-mails de phishing grâce à SpamTitan

L’un des meilleurs moyens de réduire le nombre de spams est d’utiliser l’authentification DKIM (Domain Keys Identified Mail). Ce protocole permet au destinataire d’un message électronique de vérifier que le message provient bien du domaine dont il prétend être originaire et qu’il n’a pas été usurpé. Vous pouvez également utiliser une solution tierce comme SpamTitan, un filtre antispam qui peut bloquer les e-mails malveillants et indésirables. Elle est conçue pour contrôler, nettoyer et protéger vos flux de messagerie d’entreprise. SpamTitan prend en charge la protection antivirus, l’analyse multicouche, l’authentification DKIM, la liste noire et la liste blanche, entre autres.

Les produits SaaS de protection de la messagerie Mcafee abandonnés par Intel Security

Les produits SaaS de protection de la messagerie Mcafee abandonnés par Intel Security

Suite à l’annonce récente de l’abandon par Intel Security des produits SaaS de protection de la messagerie Mcafee, SpamTitan se prépare pour 2016, étant donné que les entreprises commenceront à chercher un nouveau fournisseur de sécurité pour assurer une protection continue.

La solution SaaS de protection de la messagerie Mcafee touche à sa fin

Intel Security, le nouveau nom de la société McAfee, a pris la décision de quitter le secteur de la sécurité de la messagerie électronique. L’entreprise abandonnera ses produits SaaS de protection de la messagerie et se concentrera sur d’autres secteurs d’activité.

À partir du 11 janvier 2016, McAfee SaaS Email Protection and Archiving et McAfee SaaS Endpoint ne seront plus vendus par Intel Security.

La nouvelle ne devrait pas déclencher un exode massif des entreprises vers d’autres fournisseurs au début de 2016, car Intel Security a annoncé qu’elle continuera à fournir un support pour ses produits pendant les 3 années à venir.

La prise en charge de McAfee SaaS Email Protection and Archiving et SaaS Endpoint cessera après le 11 janvier 2019.

Toutefois, on pourrait s’attendre à ce que de nombreux clients se tournent vers un nouveau fournisseur de sécurité de la messagerie électronique au cours de la nouvelle année.

Solutions antispam de SpamTitan Technologies

SpamTitan Technologies offre une gamme d’appliances de sécurité de la messagerie d’entreprise rentables qui protègent les réseaux contre les malwares, les autres variantes de logiciels malveillants et les spams.

Les utilisateurs bénéficient des deux moteurs antivirus, dont Bitdefender et Clam Anti-Virus, qui offrent une excellente protection contre le spamming et le phishing.

SpamTitan est une solution antispam très efficace qui a d’abord été lancée en tant que solution image.

Suite à un accord avec VMware, SpamTitan a été développé en appliance virtuelle.

La gamme de produits antispam a depuis été développée pour inclure SpamTitan OnDemand en 2011 et SpamTitan Cloud en 2013.

En août 2015, SpamTitan a bloqué 2 341 milliards d’e-mails et a aidé à protéger les réseaux d’affaires des malwares et des virus.

SpamTitan a été la première appliance anti-spam à recevoir deux prix VBSPAM+ de Virus Bulletin. La marque a également reçu 22 certifications VBSpam consécutives de Virus Bulletin.

De plus, SpamTitan a remporté le prix de la meilleure solution anti-spam aux Computing Security Awards en 2012.

Des entreprises basées dans plus de 100 pays à travers le monde ont choisi SpamTitan comme partenaire offrant une solution antispam pour leur messagerie électronique.

L’appliance de sécurité de la messagerie empêche 99,98 % des spams d’arriver dans la boite de réception des utilisateurs.

Solutions de filtrage Web de WebTitan de SpamTitan Technologies

WebTitan offre aux petites et moyennes entreprises une passerelle Web sécurisée et rentable qui leur permet de bloquer les malwares et les sites Web malveillants, avec des contrôles très granulaires permettant de définir des privilèges individuels, de groupe et d’organisation.

Livrée sous forme d’appliance logicielle qui peut être intégrée de manière transparente aux réseaux existants, la solution Webtitan est essentielle pour protéger tous les utilisateurs professionnels et permettre une navigation sécurisée sur Internet.

WebTitan Cloud est une solution de filtrage Web dans le cloud. Elle ne requiert aucune installation logicielle.

Grâce à cela, vous pouvez créer vos propres politiques d’utilisation du Web et bloquer les sites Web infectés par des malwares, les sites Web répréhensibles ; et limiter facilement l’accès des employés à des contenus inapproprié d’Internet pendant leur temps de travail.

Par ailleurs, vous pouvez bénéficier d’un ensemble complet d’outils de reporting qui vous permettent de suivre facilement l’activité de navigation de chaque utilisateur final au sein de votre organisation.

WebTitan WiFi a été développé pour les fournisseurs WiFi et les fournisseurs de services gérés (MSP) pour permettre un contrôle facile de l’accès Internet.

WebTitan WiFi permet aux utilisateurs de bloquer facilement le contenu répréhensible et les sites Web malveillants, avec des contrôles pouvant être appliqués par emplacement.

La solution de cloud computing ne nécessite aucune installation logicielle. Tout ce qu’il vous faut pour commencer à protéger votre entreprise, c’est une simple redirection DNS vers les serveurs cloud WebTitan.

Les filtres web avancés WebTitan ont bloqué 7 414 pages Web infectées par des malwares en août 2015 et aidé les entreprises à mieux se protéger contre les contenus malveillants des sites Web, les campagnes de phishing et les téléchargements de malwares par drive-by.

Fuite de données de votre entreprise : établir un plan d’intervention

Fuite de données de votre entreprise : établir un plan d’intervention

L’une des principales préoccupations des entreprises est de voir leurs données sensibles ou celles de leurs clients divulguées à des tiers. Aujourd’hui, les brèches de sécurité des données sont devenues un phénomène quotidien et qui figure dans les actualités du monde entier.

Les pirates peuvent par exemple profiter de ces fuites de données pour les tenir en otage. Autrement dit, les entreprises ne peuvent les récupérer que si elles acceptent de payer une rançon.

Quelle que soit la source de violation de données, sachez qu’il existe des mesures que vous pouvez prendre pour faire face à la situation.

Suivez le plan d’intervention en cas de fuite de données dans votre entreprise

Il ne fait aucun doute que votre entreprise a déjà mis en place un plan pour les tremblements de terre, les incendies et les inondations.

En plus de ces éventuels sinistres, le plan d’intervention en cas de violation de données devrait également tenir compte des catastrophes d’origine humaines, comme les atteintes à la sécurité. En effet, les données doivent être considérées comme un actif commercial à part entière et qu’il faut protéger autant que possible.

Si vous devez formuler un plan d’intervention en cas d’incident, vous pouvez vous inspirer des nombreux modèles qui sont proposés sur Internet. Assurez-vous toutefois de conserver une copie de votre plan hors site, sous forme imprimée.

1. Communiquez avec les personnes appropriées

L’équipe ou la personne qui est en charge d’assurer la sécurité des données doit être contactée immédiatement dès qu’un problème de sécurité informatique se produit.

Assurez-vous donc que tous les employés savent à qui ils pourront s’adresser en cas de besoin. Le service de dépannage informatique doit également rester vigilant pour détecter les signes révélateurs d’une infraction comme :

  • Les faux messages antivirus
  • Les barres d’outils du navigateur non souhaitées
  • Les installations inattendues de logiciels
  • Les pop-ups de rançon

2. Mener une enquête préliminaire

Une fois le problème détecté, l’équipe de sécurité doit mener une enquête préliminaire dans le but de déterminer son ampleur approximative. Cela ne devrait prendre que quelques minutes.

Selon la politique adoptée par votre entreprise, le réseau peut être désactivé immédiatement pour empêcher tout virus de se propager et d’infecter d’autres équipements.

3. Définir l’incident

L’étape suivante dépend du type d’incident de sécurité. S’il est facile à contenir et à corriger et qu’aucune violation de données ne s’est produite, l’équipe de sécurité se contentera d’informer la direction à propos de l’incident.

Par contre, si un email de phishing a été détecté, il est recommandé d’envoyer à tous les employés des informations sur l’email afin qu’ils puissent éviter de provoquer un nouvel incident.

4. Faites participer les intervenants

Assurez-vous de toujours impliquer deux types d’intervenants, à savoir l’équipe de direction et les gestionnaires d’affaires dont les données peuvent être affectées par l’incident.

5. Lois sur la notification des violations de la sécurité

La loi intervient s’il y a eu une violation de données. Aux États-Unis, 47 États ont des lois sur la notification des violations de la sécurité, dont beaucoup exigent des rapports aux clients ainsi qu’aux organismes de réglementation.

Au Canada par exemple, la province de l’Alberta exige la notification. En ce qui concerne les données de l’UE, le Règlement général sur la protection des données (RGPD) exige que les atteintes à la protection des données soient divulguées dans les 72 heures à compter de 2018.

Selon l’industrie, la Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley ou une autre loi fédérale étatique ou locale peut imposer l’établissement d’un rapport supplémentaire concernant la violation. Cette tâche incombe au responsable de la conformité de la société.

Le FBI encourage les entreprises à signaler les cyberincidents à son Centre de plaintes pour les crimes sur Internet (www.ic3.gov). Par ailleurs, il est recommandé de produire et de déposer un rapport concernant l’incident auprès du service de police local. Le service juridique devrait être impliqué dans ces activités.

Vous disposez maintenant d’une équipe d’intervention complète. Il est important de tenir tous les membres au courant des progrès réalisés en matière de remédiation.

6. Analyse et mesures correctives contre une fuite de données

L’équipe de sécurité doit travailler rapidement pour analyser le réseau et les points d’extrémité, en examinant en détail les hôtes les plus compromis. Une fois que les causes de la compromission sont trouvées, l’équipe établira rapidement un plan de remédiation.

En général, elle peut déterminer un ou plusieurs des éléments suivants :

  • Signature du virus
  • Adresse IP de l’attaquant
  • Hashage MD5 d’un fichier malveillant
  • URL ou nom de domaine d’un serveur de commande et de contrôle de botnet

Les pare-feu, les systèmes de détection d’intrusion et/ou les logiciels antivirus devraient être mis à jour pour se défendre contre les menaces cybercriminelles.

De même, il faut que les dispositifs affectés soient remis en état. Si nécessaire, des sauvegardes de données peuvent être utilisées pour restaurer le système à une date précise avant l’attaque. Ces étapes peuvent prendre des heures, des jours ou même des semaines.

7. Qu’arrive-t-il à l’entreprise pendant cette période ?

Selon la gravité de la compromission, le service réseau peut être non opérationnel ou restreint pendant la phase d’analyse et de restauration. Pire encore, les entreprises dont les activités sont essentiellement basées sur des sites web peuvent être durement touchées puisque leurs revenus proviennent de clients en ligne.

D’autres types d’entreprises peuvent également être fortement touchés, comme l’a montré la récente attaque de ransomware contre le Hollywood Presbyterian Medical Center, un hôpital privé situé à Los Angeles :

  • Sans pouvoir accéder au service de messagerie électronique, les médecins et les infirmières devaient communiquer par fax ou en personne.
  • Les antécédents de traitement des patients n’étaient pas disponibles puisque les dossiers médicaux étaient conservés en ligne.
  • Les résultats des tests ne pouvaient pas être facilement partagés au sein de l’hôpital ou avec des entités externes.
  • Des dossiers papier ont dû être utilisés pour l’enregistrement des patients. Ce système ne pouvait pas traiter le volume habituel de patients, et certains d’entre eux ont dû être transférés dans d’autres hôpitaux.

L’hôpital n’avait aucune sauvegarde de données utilisable pour pouvoir restaurer les opérations. Elle était restée dans cette situation difficile pendant 10 jours et a dû finalement payer plus de 15 000 euros aux cybercriminels pour obtenir les clés leur permettant de déchiffrer leurs propres données.

8. L’incident de sécurité pourrait ne pas être que la pointe de l’iceberg

Il n’est pas rare qu’au cours de l’enquête, l’équipe découvre qu’il y a d’autres problèmes de sécurité. Le système peut avoir été compromis pendant des mois ou même des années. Prenons le cas du virus Heartbleed. Il a été introduit dans un logiciel en 2012, mais n’a été rendu public qu’en avril 2014.

L’incident de sécurité dont il est question pourrait en fait être le prélude à une attaque plus importante. C’est notamment le cas si des emails de phishing sont impliqués. Une petite attaque pourrait faire perdre du temps et des efforts au personnel de sécurité pendant qu’une attaque plus importante se faufile sous leur radar.

Les piratages ne sont pas toujours perpétrés par des personnes extérieures. Les rapports de diverses organisations de sécurité indiquent qu’au moins 15 % des attaques proviennent d’un initié qui peut avoir accès à des informations d’identification pour attaquer le système de manière répétée.

Bien entendu, certains incidents sont le résultat d’erreurs commises par des employés. La formation et l’attribution de justificatifs d’identité selon le principe du moindre privilège sont donc les meilleurs remèdes dans ce cas.

L’incident de sécurité aurait peut-être pu être évité si des logiciels, paramètres logiciels ou matériels appropriés étaient en place. Envisagez d’utiliser un logiciel de filtrage des emails tel que SpamTitan Cloud, une solution robuste pour la sécurité des emails.

Pour les menaces Internet générales, optez pour WebTitan Cloud, un service de filtrage web qui vous permet de surveiller, contrôler et protéger votre entreprise et vos utilisateurs contre les menaces en ligne.

9. Leçons apprises – Revue complète

Dans la semaine suivant le rétablissement d’une brèche, l’équipe devrait se réunir pour déterminer ce qui a bien fonctionné et ce qui a mal fonctionné. Le plan d’intervention en cas d’incident devrait être mis à jour pour tenir compte des leçons apprises.

Étant donné le caractère inévitable des attaques, l’entreprise sera mieux préparée lorsque (et non pas si) une prochaine attaque se produira.

Méfiez-vous des fausses alertes de sécurité de Firefox

Méfiez-vous des fausses alertes de sécurité de Firefox

De fausses alertes emails, récemment découvertes, demandent aux utilisateurs de mettre à jour leurs navigateurs Firefox « pour des raisons de sécurité », et incluent un lien de téléchargement vers la fausse mise à jour.

Celle-ci inclut un cheval de Troie qui vole des mots de passe. Alors, ne cliquez pas sur ce lien, sinon risquez de vous faire voler vos mots de passe. D’ailleurs, les utilisateurs doivent toujours faire preuve de prudence lorsqu’ils cliquent sur un lien dans un email.

Dans le passé, SpamTitan a averti à plusieurs reprises ses lecteurs, mais cela vaut toujours la peine d’être répété : N’ouvrez pas les pièces jointes aux emails qui arrivent dans votre boîte de réception et auxquelles vous ne vous attendiez pas.

Si vous ne vous attendiez pas à recevoir un email, le mieux serait d’y répondre et d’attendre la réponse, sans ouvrir la pièce jointe. De cette façon, vous pouvez vous assurer que l’adresse de l’expéditeur n’est pas fausse.

Fausses alertes de sécurité Firefox : SpamTitan recommande aux utilisateurs de :

  • Maintenir à jour leur logiciel antispam et antivirus pour s’assurer que ces types de messages soient bloqués avant d’arriver dans leurs boîtes aux lettres.
  • Il est également important de se rappeler que si vous n’avez pas demandé la réinitialisation de votre mot de passe, ignorez simplement un email (probablement un spam) qui cherche à réinitialiser vos mots de passe.

Pour plus d’informations sur les meilleures pratiques en matière de sécurité web et de la messagerie, pourquoi ne pas télécharger notre nouveau livre blanc, conçu en collaboration avec Ostermann Research.

HIPAA et phishing : les attaques par email peuvent entraîner des sanctions

HIPAA et phishing : les attaques par email peuvent entraîner des sanctions

Une attaque de phishing sur une entité couverte par la loi américaine HIPAA (Health Insurance Portability and Accountability Act) a entraîné une pénalité de 400 000 $ pour non-respect de ce texte.

Ce n’est pas la première fois qu’une attaque de phishing est sanctionnée par l’Office des droits civils (OCR) pour non-conformité.

L’incapacité à prévenir les attaques de phishing n’est pas nécessairement synonyme de sanction, mais le fait de ne pas mettre en œuvre des protections suffisantes pour empêcher de telles attaques pourrait mettre les entités couvertes par l’HIPAA dans l’embarras.

Conformité HIPAA et phishing

L’OCR du Département américain de la santé et des services sociaux est chargé de faire respecter les règles de la loi sur la transférabilité et la responsabilité en matière d’assurance maladie.

L’OCR effectue les audits des entités couvertes pour identifier les aspects des règles HIPAA qui s’avèrent problématiques pour les entités concernées.

Cependant, à ce jour, aucune sanction financière n’a été émise suite à des infractions à la loi HIPAA découvertes lors de ces audits. Mais ce n’est certainement pas le cas lorsqu’il s’agit d’enquêtes sur des violations de données.

OCR enquête sur toutes les formes de violations de données touchant plus de 500 personnes. Ces enquêtes aboutissent souvent à la découverte de violations des règles de l’HIPAA.

Toute entité couverte par cette loi et qui subit une attaque de phishing entraînant l’exposition d’informations de santé protégées de patients ou de membres d’assurance maladie pourrait être considérée comme ayant violé l’HIPAA.

Une seule attaque de phishing qui n’a pas été contrecarrée pourrait donc entraîner une amende considérable pour non-conformité.

Quelles sont les règles de l’HIPAA qui couvrent le phishing ?

Bien que cette loi ne mentionne pas spécifiquement le phishing, cette menace pourrait porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ou Electronic protected health information – ePHI).

Le phishing est donc couvert par les exigences administratives de la règle de sécurité HIPAA.

Les entités couvertes par la règle de sécurité HIPAA sont tenues de dispenser une formation continue appropriée aux membres de leur personnel.

Selon le §164.308.(a).(5).(i), une formation de sensibilisation à la sécurité est nécessaire. Bien que ces exigences soient adressables, elles ne peuvent être ignorées.

Les exigences administratives incluent l’envoi de rappels de sécurité, la protection contre les malwares, la gestion de mots de passe et la surveillance des connexions.

Les employés doivent également apprendre à identifier les emails de phishing potentiels et connaître la réponse correcte lorsqu’ils en reçoivent un.

La règle de sécurité HIPAA exige également la mise en place de protections techniques contre les menaces pesant sur les ePHI.

Des mesures de sécurité raisonnables et appropriées, telles que le chiffrement, devraient être utilisées pour protéger les informations.

Comme les EPHI sont souvent divulguées via des comptes de messagerie, une mesure de sécurité raisonnable et appropriée consisterait donc à utiliser une solution de filtrage du spam avec un composant anti-phishing.

PhishMe rapporte que 91 % des cyberattaques commencent par un email de phishing. Une solution de filtrage anti-spam peut donc être considérée comme un contrôle de sécurité essentiel.

Le risque de phishing doit être mis en évidence lors de l’analyse de votre système de sécurité. C’est un élément obligatoire de la règle de sécurité HIPAA.

Une telle analyse doit identifier les risques et les vulnérabilités susceptibles d’entraîner la divulgation ou le vol des ePHI. Ces failles doivent ensuite être traitées dans le cadre du processus de gestion de la sécurité de l’entité couverte.

Sanctions HIPAA pour attaques de phishing

OCR a récemment conclu un accord avec Metro Community Provider Network (MCPN), un centre de santé agréé par le gouvernement fédéral (FQHC), basé à Denver, au Colorado.

Cela fait suite à une attaque de phishing survenue en décembre 2011.

L’attaque a permis aux pirates d’accéder aux comptes de messagerie de l’organisation après que les employés aient répondu à un email de phishing et fourni ses informations d’identification.

Les ePHI de 3 200 personnes figuraient dans les comptes de messagerie piratés.

L’amende ne visait pas précisément à empêcher toutes les attaques de phishing, mais à faire suffisamment d’efforts pour gérer les risques de sécurité.

MCPN n’avait pas effectué l’analyse des risques avant l’attaque et n’avait pas mis en œuvre de mesures de sécurité suffisantes pour réduire les failles et les vulnérabilités à un niveau raisonnable et approprié.

Le centre de santé MCPN a dû verser 400 000 $ à l’OCR suite à cet incident.

En 2015, une autre entité couverte par l’HIPAA a fini par se mettre d’accord avec l’OCR pour résoudre les violations des règles HIPAA suite à une attaque de phishing.

Le centre médical de l’Université de Washington a versé 750 000 dollars à l’OCR en raison de la divulgation de 90 000 ePHI individuelles. Pour ce cas précis, l’attaque de phishing permettait à des attaquants d’installer des malwares.

Jocelyn Samuels, directeur d’OCR à l’époque, a déclaré: « Une analyse de risque efficace doit être exhaustive et menée dans l’ensemble de l’organisation pour traiter suffisamment les risques et les vulnérabilités des données des patients.

Trop souvent, nous voyons des entités couvertes avec une analyse de risque limitée, qui se concentre sur un système spécifique tel que les dossiers médicaux électroniques, où qui n’assure pas une supervision et une responsabilité appropriées pour toute l’entreprise. »

On ne s’attend pas à ce que les entités visées empêchent toutes les attaques de phishing, mais elles doivent s’assurer que le risque de phishing soit identifié et que des mesures soient mises en place pour empêcher ces attaques d’entraîner l’exposition au vol des ePHI.

Dans le cas contraire, une amende relative à violation de la loi HIPAA pourrait être infligée aux entreprises concernées.

45 % des RSSI s’inquiètent de perdre leur emploi à la suite d’une cyberattaque

45 % des RSSI s’inquiètent de perdre leur emploi à la suite d’une cyberattaque

Qu’est-ce qui vous empêche de dormir la nuit ? Si vous êtes un Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une grande entreprise, il se peut que vous ayez peur de perdre votre emploi au cas où votre employeur serait victime d’une cyberattaque comme une atteinte à la protection des données.

Les RSSI prennent la responsabilité des cyberattaques subit par leurs entreprises

C’est l’une des statistiques inquiétantes rapportées par l’étude Megatrend Study du Ponemon Institute.

Cette étude, rendue publique plus tôt cette année, a montré que les nombreux incidents cybernétiques qui ont fait la une des journaux et des médias au cours des deux dernières années semblent avoir des répercussions sur les dirigeants du RSSI et d’autres dirigeants de C-Suite.

L’enquête portait sur 612 RSSI, DSI et autres professionnels de la sécurité de l’information :

  • 45 % des répondants ont déclaré qu’ils craignaient de perdre leur emploi à la suite d’une cyberattaque majeure.
  • Cela semble compréhensible puisqu’en 2018, 67 % d’entre eux s’attendent à une atteinte à la protection des données ou à un type d’attaque informatique semblable, contre 60 % en 2017.

Ces appréhensions ne sont pas propres aux professionnels de l’industrie établis aux États-Unis.

Une enquête menée dans le cadre de la conférence Infosecurity Europe 2017 a rapporté des résultats similaires.

En effet, on a demandé aux professionnels de la sécurité le poste le plus responsable d’une entreprise en cas d’atteinte à la protection des données.

Parmi les répondants, 40 % affirmaient que les PDG seraient les premiers à être sur la ligne de mire, suivis des RSSI (21 %), des autres professionnels de la sécurité de l’information (15 %) et des DSI (14 %).

Parmi les exemples récents de départs forcés, on peut citer celui du chef de la direction d’Equifax, Richard Smith, après la divulgation d’une violation massive de données.

Chez Uber, trois cadres supérieurs du département sécurité ont également démissionné suite à la dissimulation révélée d’une attaque cybercriminelle. Suite à cela, les données de plus de 50 millions de conducteurs et passagers ont été atteintes.

Uber a dû payer un groupe de pirates informatiques pour effacer les dossiers infectés.

D’autres exemples d’attaques de haut niveau ont impliqué d’autres entreprises, comme :

  • Le fabricant aérospatial autrichien FACC
  • Sony
  • Target
  • Home Depot.

Le grand public est clairement convaincu que les entreprises doivent être pénalisées pour les violations de données impliquant des informations personnelles.

Dans un sondage mené récemment auprès de 9 000 consommateurs en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats arabes unis, en Arabie saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis, 70 % des répondants ont attribué la responsabilité de protéger et de sécuriser leurs données directement aux entreprises.

L’étude du Ponemon Institute montre que le stress lié à la cybercriminalité affecte les RSSI

Non seulement la majorité d’entre eux estiment qu’une cyberattaque est imminente, mais 66 % disent qu’ils s’attendent à ce que leur travail devienne plus stressant au cours des douze prochains mois.

Un autre fait inquiétant est que :

  • 44 % des répondants ont indiqué qu’ils prévoyaient de faire une mutation latérale au sein de leur organisation, en travaillant hors du domaine de la sécurité informatique.
  • 40 % envisagent tout simplement de changer de carrière.

Pourquoi les responsables de la sécurité informatique du C-Suite sont-ils si inquiets ?

Certes, la publicité sur les cyberattaques – telles que les atteintes à la protection des données et les attaques de ransomwares – a fait monter la pression pour ces dirigeants.

Mais la surcharge d’informations et l’augmentation des réglementations y contribuent également.

Outre ces faits, l’étude du Ponemon Institute a mis en évidence d’autres préoccupations spécifiques des répondants.

  • 70 % d’entre eux ont affirmé que la cause la plus probable d’une atteinte à la protection des données était le manque de personnel interne compétent.
  • 64 % ont souligné le manque d’expertise interne qui pourrait entraîner une atteinte à la protection des données. La pénurie chronique de talents dans le domaine de la cybersécurité est qualifiée d’épidémie selon certains analystes de l’industrie. L’un des principaux groupes de défense de la sécurité de l’information prévoit qu’il y aura une pénurie mondiale de deux millions de professionnels de la sécurité d’ici 2019.
  • 47 % s’inquiétaient d’une brèche potentielle due à l’incapacité de leur organisation à sécuriser les dispositifs IoT (Internet des objets).
  • 56 % d’entre eux ont cité que les organisations sont incapables de faire face aux cyberattaques qui sont de plus en plus sophistiquées.
  • Un tiers des répondants ont affirmé que cette préoccupation est due à un financement inadéquat.
  • 40 % ont déclaré que leurs budgets de sécurité informatique étaient restés stables l’an dernier malgré les menaces croissantes, tandis que 23 % s’attendaient à un budget réduit pour les douze mois à venir.

L’une des principales préoccupations exprimées dans le rapport était l’incapacité de se préparer à de nouveaux types de menaces sur le long terme, en raison de l’augmentation du nombre d’attaques quotidiennes.

Les malwares et le phishing demeurent leur principale préoccupation, car ils constituent le principal moyen de diffusion des attaques cybernétiques.

La capacité de sécuriser complètement la messagerie électronique des utilisateurs est également une priorité absolue, outre la mise en œuvre d’outils de sécurité tels que le filtrage moderne des emails et des contenus web.

La cybersécurité doit devenir une culture pratiquée dans chaque organisation. En attendant, le stress des RSSI restera certainement élevé.

Attaques de ransomwares ExPetr : Utilisation d’EternalBlue et EternalRomance

Attaques de ransomwares ExPetr : Utilisation d’EternalBlue et EternalRomance

Le mardi 27 juin 2017, une importante cyberattaque utilisant des ransomwares a eu lieu.

Elle ciblait des organisations à travers le monde.

Les analystes de TitanHQ ont enquêté sur cette nouvelle vague d’attaques de ransomwares.

Les premiers résultats de notre fournisseur antivirus Kaspersky suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, telle que rapportée publiquement, mais d’un nouveau ransomware qui n’a jamais été vu auparavant.

Bien qu’il présente des chaînes de caractères similaires à celles de Petya, il possède des fonctionnalités complètement différentes. Kaspersky l’a nommé « ExPetr ».

Il s’agit d’une attaque complexe impliquant plusieurs vecteurs de malwares.

Nous pouvons confirmer que les kits d’exploitation modifiés d’EternalBlue et d’EternalRomance — lesquels ont été utilisés lors de l’attaque ransomwares avec WannaCry en mai — ont été utilisés par les criminels pour propager des virus dans le réseau des entreprises.

Kaspersky a nommé les variantes de cette menace de différentes manières, à savoir :

  • Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • Trojan-Ransom.Win32.ExPetr.gen
  • Win32.Generic
  • Win32.Generic.

Protection SpamTitan contre le ransomware ExPetr

Les clients utilisant SpamTitan sont protégés contre toutes les variantes récentes du ransomware ExPetr.

Notre service antivirus peut bloquer cette menace et nous travaillons en étroite collaboration avec des fournisseurs spécialisés pour assurer une protection optimale de vos réseaux d’entreprise.

TitanHQ a détecté l’infection initiale à l’aide de la fonction de protection Kaspersky.

Que devriez-vous faire ?

  • Nous conseillons à toutes les organisations de mettre à jour leurs logiciels Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le correctif de sécurité MS17-010.
  • Nous conseillons également à toutes les organisations de s’assurer qu’elles disposent de systèmes de sauvegarde des données, notamment la méthode de sauvegarde 3-2-1. Un système de sauvegarde approprié et opportun peut être utilisé pour restaurer les fichiers originaux après une perte de données.
  • S’assurer que tous les mécanismes de protection antivirus sont activés.
  • Évitez d’ouvrir des pièces jointes à des emails auxquels vous ne vous attendez pas ou provenant de destinataires que vous ne connaissez pas.

Couches de sécurité

De nos jours, les entreprises ont besoin de plusieurs niveaux de sécurité pour stopper les emails qui passent à travers votre pare-feu, par le biais d’un antispam et d’une solution antivirus pour votre serveur de messagerie.

Si l’email parvient à contourner votre système de défense, il sera alors arrêté par l’antivirus.

Au cas où un malware s’installerait sur votre poste de travail, il va également être détecté dès qu’il commence à fonctionner de façon suspecte.

Les solutions de sécurité multicouches comme SpamTitan et WebTitan peuvent bloquer les sites Web dangereux, y compris les liens malveillants trouvés dans les sites web, les réseaux sociaux et les emails.

Vous pouvez donc vous protéger contre les virus, les attaques de phishing et de ransomwares, et bien d’autres menaces en ligne.

Corriger – Répondre – Atténuer

En cas d’attaque par des ransomwares, les sauvegardes sont essentielles, tout comme la mise à jour régulière de vos systèmes.

Le problème est que les entreprises ne peuvent pas toujours appliquer les correctifs le jour où elles sont disponibles, car les entreprises doivent encore tester les modifications et s’assurer que les mises à jour n’auront aucun impact sur leur fonctionnement.

Il est également crucial pour les équipes informatiques d’intégrer la redondance dans l’infrastructure, de sorte que lorsqu’un système sera mis hors service pendant la période de test, un autre système pourra fonctionner correctement.

Les équipes informatiques doivent disposer d’un plan pour hiérarchiser les mises à jour de sécurité ou mettre en place des mesures de protection pour celles qui ne peuvent pas être corrigées.

La seule certitude concernant les ransomwares, c’est qu’ils évoluent tout le temps. Rien qu’en janvier, 37 nouvelles variantes se sont apparues, dont :

  • F Society
  • CyberHub
  • Spora
  • Marlboro
  • Dark OverLord
  • Pour n’en citer que quelques-unes.

Avec autant de souches différentes qui circulent sur le web, les précautions restent les mêmes :

  • Les entreprises doivent maintenir des sauvegardes
  • Utiliser une sécurité efficace de la messagerie électronique et du web
  • Traiter le spam comme un vecteur sérieux de malwares plutôt que comme une simple nuisance.

Les statistiques concernant les attaques de ransomwares montrent clairement comment les entreprises ignorent ou n’accordent pas la priorité aux correctifs.

Avez-vous appliqué tous vos correctifs après les attaques de WannaCry ?

Avez-vous été victime d’une attaque par le ransomware ExPetr ?

Si vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles soient protégés, parlez-en à nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.