{"id":12095,"date":"2021-09-09T23:20:34","date_gmt":"2021-09-09T21:20:34","guid":{"rendered":"https:\/\/largeur.com\/?p=12095"},"modified":"2021-08-27T11:38:46","modified_gmt":"2021-08-27T09:38:46","slug":"securite-10","status":"publish","type":"post","link":"https:\/\/largeur.com\/?p=12095","title":{"rendered":"Piratage, tromperie, arnaques: les dangers de la cybercriminalit\u00e9 (2\u00e8me partie)"},"content":{"rendered":"

Une version de cet article r\u00e9alis\u00e9 par Large Network est parue dans\u00a0PME Magazine<\/a>.<\/p>\n

_______<\/p>\n

Retrouver la premi\u00e8re partie du dossier ici<\/a>.<\/p>\n

_______<\/p>\n

\u00abNous identifions toutes les portes d\u2019entr\u00e9es possibles des cyberattaquants\u00bb<\/strong><\/p>\n

Ils sont seulement quelques dizaines en Suisse romande \u00e0 \u00abhacker\u00bb des syst\u00e8mes informatiques pour la bonne cause. Quentin Praz, ing\u00e9nieur en s\u00e9curit\u00e9 chez Navixia \u00e0 \u00c9cublens (VD) et dipl\u00f4m\u00e9 de l\u2019EPFL, explique cette discipline.<\/strong><\/p>\n

Comment proc\u00e9dez-vous pour effectuer du hacking \u00e9thique, appel\u00e9 aussi \u00abtests d\u2019intrusion\u00bb?<\/strong><\/p>\n

Quentin Praz<\/strong>: En premier lieu, nous d\u00e9terminons la surface d\u2019attaque, autrement dit, nous cherchons \u00e0 identifier tout ce qui est expos\u00e9 sur internet. Il pourra s\u2019agir par exemple de serveurs mails, d\u2019applications pour la client\u00e8le, d\u2019acc\u00e8s VPN, etc. Nous devons \u00eatre les plus exhaustifs possibles. Si nous manquons un service, nous manquons une porte d\u2019entr\u00e9e possible pour une cyberattaque.<\/p>\n

Dans un second temps, nous cherchons \u00e0 trouver toutes les vuln\u00e9rabilit\u00e9s possibles \u00e0 l\u2019int\u00e9rieur de cette surface, soit toutes les failles pouvant porter \u00e0 atteinte au fonctionnement du syst\u00e8me ou \u00e0 l\u2019int\u00e9grit\u00e9 des donn\u00e9es. Certaines sont d\u00e9j\u00e0 connues et list\u00e9es dans des bases de donn\u00e9es publiques, qui indiquent par exemple que les versions X ou Y de tel serveur ont une faiblesse. D\u2019autres vuln\u00e9rabilit\u00e9s doivent \u00eatre identifi\u00e9es par nous-m\u00eames, par exemple lorsqu\u2019elles concernent des applications web sp\u00e9cialement d\u00e9velopp\u00e9es par le client.<\/p>\n

Enfin, nous rendons au client un rapport r\u00e9sumant tous les tests d\u2019intrusion qui ont \u00e9t\u00e9 men\u00e9s, les vuln\u00e9rabilit\u00e9s trouv\u00e9es et nos recommandations.<\/p>\n

Quelles erreurs commettent le plus souvent les PME que vous auditez?<\/strong><\/p>\n

Les vuln\u00e9rabilit\u00e9s proviennent souvent de syst\u00e8mes qui ne sont pas \u00e0 jour, comme des serveurs ou des logiciels. Les patchs de s\u00e9curit\u00e9 pour corriger la faille n\u2019ont pas encore \u00e9t\u00e9 install\u00e9s. Elles sont aussi souvent le fait d\u2019une erreur dans le code informatique, lors de d\u00e9veloppements personnalis\u00e9s. Par exemple, la segmentation des comptes n\u2019a pas \u00e9t\u00e9 correctement r\u00e9alis\u00e9e sur un portail client et un utilisateur peut potentiellement voir les donn\u00e9es d\u2019un autre usager. Les grandes entreprises budg\u00e8tent et r\u00e9alisent des audits d\u00e8s la phase de d\u00e9veloppement de leurs applications. Mais pour une petite entreprise, qui n\u2019a pas forc\u00e9ment les moyens pour cela, il est souvent plus s\u00fbr d\u2019utiliser des produits grand public, qui sont utilis\u00e9s par des millions de personnes et donc, beaucoup plus contr\u00f4l\u00e9s. Il faut toutefois bien les garder \u00e0 jour, car ils sont aussi plus souvent attaqu\u00e9s.<\/p>\n

De mani\u00e8re g\u00e9n\u00e9rale, il faut se demander en tant que PME: quels sont mes risques? Si j’ai un serveur mail et un site interne h\u00e9berg\u00e9 dans le cloud, je n\u2019ai pas une grande exposition. Si je manie des donn\u00e9es sensibles de clients ou que mon appareil de production d\u00e9pend de plusieurs logiciels connect\u00e9s, je pourrais songer \u00e0 un audit.<\/p>\n

Quelles sont les principales diff\u00e9rences entre un hacker et vous?<\/strong><\/p>\n

Nos techniques sont identiques mais nos philosophies diff\u00e8rent grandement. Le pirate informatique va rechercher n\u2019importe quelle faille pour l\u2019exploiter et nuire, en demandant une ran\u00e7on ou volant des donn\u00e9es. Nous recherchons des vuln\u00e9rabilit\u00e9s, mais dans le but d\u2019aider nos clients, de pr\u00e9venir des attaques. Nous sommes compl\u00e9tement indolores et exhaustifs dans l\u2019identification des failles.<\/p>\n

_______<\/p>\n

Point juridique: la Suisse et le RGPD <\/strong><\/p>\n

Le RGPD (R\u00e8glement g\u00e9n\u00e9ral de protection des donn\u00e9es) est un r\u00e8glement europ\u00e9en, entr\u00e9 en force en mai 2018. \u00abComme la Suisse n\u2019est pas membre de l\u2019Union europ\u00e9enne (U.E.), elle n\u2019y est pas directement soumise, explique Juliette Ancelle, avocate sp\u00e9cialis\u00e9e dans les domaines de la propri\u00e9t\u00e9 intellectuelle et du droit des technologies avanc\u00e9es, \u00e0 Lausanne. Cependant, certaines clauses ont des applications qui d\u00e9bordent les fronti\u00e8res europ\u00e9ennes.\u00bb Les entreprises qui ont leur si\u00e8ge en Suisse avec une succursale dans un pays membre de l\u2019U.E., ou qui traitent les donn\u00e9es personnelles de citoyens europ\u00e9ens qu’elles ciblent dans leurs activit\u00e9s commerciales, sont soumises au RGPD.<\/p>\n

Les entreprises concern\u00e9es doivent alors respecter les mesures suivantes: n\u00e9cessit\u00e9 d\u2019informer et d\u2019obtenir le consentement de la personne dont les donn\u00e9es sont trait\u00e9es\u00a0; assurer le \u00ab\u00a0Privacy by design\u00a0\u00bb et le \u00ab\u00a0Privacy by default\u00a0\u00bb (prise en compte de la protection des donn\u00e9es personnelles dans la conception des outils informatiques)\u00a0; tenir un registre des activit\u00e9s de traitement, d\u00e9clarer les cas de violation des donn\u00e9es \u00e0 l’autorit\u00e9 de contr\u00f4le\u00a0; ou encore proc\u00e9der \u00e0 une analyse d’impact relative \u00e0 la protection des donn\u00e9es.<\/p>\n

Th\u00e9oriquement, les entreprises soumises au RGPD doivent \u00e9galement d\u00e9signer un repr\u00e9sentant dans l\u2019U.E., mais cette condition n\u2019est pas toujours remplie. \u00abCe n\u2019est pas toujours \u00e9vident de savoir \u00e0 qui s\u2019adresser, expose Juliette Ancelle. Les soci\u00e9t\u00e9s craignent aussi de se soumettre \u00e0 la supervision des autorit\u00e9s de contr\u00f4le.\u00bb<\/p>\n

En cas d\u2019infraction au RGPD, l\u2019amende peut s\u2019\u00e9lever jusqu\u2019\u00e0 4% du chiffre d\u2019affaire annuel de l\u2019exercice pr\u00e9c\u00e9dent d\u2019une soci\u00e9t\u00e9. Pour le moment, en tant qu\u2019avocate, Juliette Ancelle n\u2019a pas eu \u00e0 accompagner d\u2019entreprises sanctionn\u00e9es qui souhaitaient faire recours. \u00abLes amendes sont prononc\u00e9es par les autorit\u00e9s nationales, qui ne peuvent pas venir en Suisse pour d\u00e9livrer des amendes\u00bb, explique-t-elle. Elle a surtout accompagn\u00e9 les entreprises pour leur mise en conformit\u00e9, \u00abun important travail, \u00e0 la fois sur le plan technique mais aussi en mati\u00e8re de sensibilisation au sujet.\u00bb<\/p>\n

De son c\u00f4t\u00e9, la Suisse met \u00e0 jour sa Loi sur la protection des donn\u00e9es (LPD), qui existe depuis le d\u00e9but des ann\u00e9es 1990. La nouvelle mouture, largement r\u00e9vis\u00e9e, entrera en vigueur en 2022. La nouvelle loi est sens\u00e9e s’adapter au niveau d\u2019exigence du RGPD, mais pr\u00e9voit des sanctions moins importantes sur le plan financier. Elle stipule cependant des sanctions p\u00e9nales, qui visent donc primairement les individus plut\u00f4t que l’entreprise. Une mesure \u00abqui peut \u00eatre dissuasive\u00bb, estime l\u2019avocate.<\/p>\n

\"\"<\/p>\n

L\u2019identit\u00e9 num\u00e9rique<\/strong><\/p>\n

Un seul identifiant, un seul mot de passe, le tout s\u00e9curis\u00e9: voici la promesse de l\u2019identit\u00e9 num\u00e9rique. Aussi appel\u00e9e e-ID, cette fonctionnalit\u00e9 vise \u00e0 simplifier les connexions sur internet. Cette identit\u00e9 se d\u00e9cline sous diff\u00e9rents niveaux de garantie: faible, substantiel et \u00e9lev\u00e9 en fonction du type de transactions. Elle comprend le nom, pr\u00e9nom, sexe, date de naissance, adresse, num\u00e9ro de t\u00e9l\u00e9phone, voire une copie d\u2019une pi\u00e8ce d\u2019identit\u00e9. Son adh\u00e9sion est volontaire. L\u2019objectif de cette cl\u00e9 unique est de pouvoir demander un extrait du registre des poursuites, faire du shopping en ligne, ou encore acheter un ticket de train avec un seul et m\u00eame identifiant s\u00e9curis\u00e9.<\/p>\n

En Suisse, aucune proc\u00e9dure n\u2019est approuv\u00e9e par l\u2019\u00c9tat. Le Conseil f\u00e9d\u00e9ral et le Parlement avaient pr\u00e9par\u00e9 une loi instaurant un syst\u00e8me d\u2019identification reconnu par la Conf\u00e9d\u00e9ration: l\u2019e-ID. Ce projet a toutefois \u00e9t\u00e9 rejet\u00e9 \u00e0 64% en votation populaire le 7 mars dernier, notamment parce qu\u2019il stipulait que le secteur priv\u00e9 serait en charge de fournir les identifications \u00e9lectroniques. Les opposants au texte avaient soulign\u00e9 le risque de communiquer des informations sensibles \u00e0 des entreprises.<\/p>\n

\u00abL\u2019e-ID constitue une solution d\u2019avenir puisque notre soci\u00e9t\u00e9 est de plus en plus digitalis\u00e9e, souligne Sergio Alves Domingues, chief technical officer chez SCRT, entreprise vaudoise active en cybers\u00e9curit\u00e9. Au niveau technique, la Suisse dispose des outils et comp\u00e9tences n\u00e9cessaires pour la mettre en place. Les enjeux sont aujourd\u2019hui plut\u00f4t politiques et sociaux, tels que la m\u00e9fiance des citoyens vis-\u00e0-vis de la digitalisation ou encore l\u2019acc\u00e8s des a\u00een\u00e9s aux technologies num\u00e9riques.\u00bb<\/p>\n

_______<\/p>\n

Ils ont subi du hacking: t\u00e9moignages<\/strong><\/p>\n

No\u00e9mie Carera, Directrice financi\u00e8re de MFP-Pr\u00e9fa (entreprise familiale bas\u00e9e \u00e0 Marin-Epagnier, active dans la production d\u2019\u00e9l\u00e9ments pr\u00e9fabriqu\u00e9s en b\u00e9ton)<\/strong><\/p>\n

\u00abLe 18 mai dernier, en arrivant au bureau le matin, tous nos fichiers \u00e9taient crypt\u00e9s. Sur le serveur, un message texte affichait une demande de ran\u00e7on en bitcoins, sans montant pr\u00e9cis, avec seulement des adresses mails de contact. Nous avons eu du mal \u00e0 y croire, c\u2019\u00e9tait compl\u00e8tement irr\u00e9el. Nous avons pris la mesure de la situation lorsque des experts en cybers\u00e9curit\u00e9 \u2013 que nous a envoy\u00e9 notre compagnie d\u2019assurance – nous ont expliqu\u00e9 de quoi il s\u2019agissait.<\/p>\n

La production ne s\u2019est pas arr\u00eat\u00e9e car nous avons toujours quelques semaines d\u2019avance sur les plans. Mais le bureau technique et l\u2019administration ont ferm\u00e9 pendant cinq jours. A leur retour, les techniciens ont eu un \u00e9norme travail pour reconfigurer le programme de dessin des plans. Cela a eu un impact sur les chantiers, qui ont pris du retard. Il est encore difficile de chiffrer les cons\u00e9quences de cette attaque, mais cela avoisinera sans doute le demi-million de francs. Nous avons la chance d\u2019\u00eatre dans une p\u00e9riode solide, avec de bonnes projections de chantiers pour les mois \u00e0 venir.<\/p>\n

Nous n\u2019avons pas pay\u00e9 la ran\u00e7on. Les experts en cybers\u00e9curit\u00e9 pensaient qu\u2019elle venait de la mafia russe. On s\u2019est dit qu\u2019on \u00e9tait plus forts qu\u2019eux et qu\u2019on se rel\u00e8verait. Depuis, nous avons pris des mesures de s\u00e9curit\u00e9 suppl\u00e9mentaires: solutions techniques, audits externes r\u00e9guliers avec simulations d\u2019attaques et formation des collaborateurs.\u00bb<\/p>\n

Andreas Schneider, Chief Security Officer de TX Group<\/strong><\/p>\n

\u00abTout a commenc\u00e9 par des probl\u00e8mes de connexion \u00e0 l\u2019interne, un week-end de novembre 2020. Il a fallu quelques heures pour que notre fournisseur d’acc\u00e8s nous informe qu’il s’agissait d’une vaste attaque DDoS (Distributed Denial of Service). Les hackers ont op\u00e9r\u00e9 par vagues, contre plusieurs services de notre groupe et de nos entreprises partenaires. En tout, les attaques ont dur\u00e9 32 jours.<\/p>\n

D\u00e8s le d\u00e9but, nous avons mis en place une cellule de crise compos\u00e9e de cadres sup\u00e9rieurs et d\u2019ing\u00e9nieurs, ce qui a permis une excellente coordination et communication. Gr\u00e2ce \u00e0 notre exp\u00e9rience en la mati\u00e8re, nous avons pu contrer efficacement ces attaques. Cela a n\u00e9cessit\u00e9 beaucoup de ressources en termes de temps et d’efforts, mais l’impact r\u00e9el sur l’entreprise a \u00e9t\u00e9 tr\u00e8s faible. Les donn\u00e9es clients de nos lecteurs, annonceurs et sp\u00e9cialistes du marketing n’ont jamais \u00e9t\u00e9 menac\u00e9es. Nous n’avons pas directement perdu d\u2019argent, \u00e0 l’exception de quelques campagnes de marketing que nous n’avons pas pu mener comme pr\u00e9vu.<\/p>\n

Le fait que les attaquants aient vis\u00e9 bon nombre de nos services nous a permis de mettre en \u00e9vidence des points faibles dont nous n’avions pas conscience. Aujourd\u2019hui, nous essayons de devenir une entreprise \u00ab\u00a0Cloud Only\u00a0\u00bb. Nous investissons pour rendre notre lieu de travail plus s\u00fbr et nous nous concentrons sur la cr\u00e9ation de produits avec une s\u00e9curit\u00e9 int\u00e9gr\u00e9e.\u00bb<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Alors qu\u2019un quart des PME suisses ont d\u00e9j\u00e0 subi une cyberattaque, les entreprises doivent d\u00e9sormais imp\u00e9rativement apprendre \u00e0 s\u2019en prot\u00e9ger, notamment en s\u00e9curisant leurs donn\u00e9es et en sensibilisant leurs collaborateurs.<\/p>\n","protected":false},"author":20288,"featured_media":12108,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-12095","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kapital","kapital"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/12095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/20288"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12095"}],"version-history":[{"count":3,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/12095\/revisions"}],"predecessor-version":[{"id":12110,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/12095\/revisions\/12110"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/media\/12108"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}