Téléverser un fichier

ei-institut - newsletter check point - septembre 2013

  • Home
  • Documents
  • EI-Institut - Newsletter Check Point - Septembre 2013
2
Selon Check Point, une entreprise sur deux est victime d’une attaque d’ingénierie sociale et son coût dépasse les 100.000 $ dans 20% des cas ! Le terme d'« ingénierie sociale » (en anglais « social engineering ») désigne l'art de manipuler des personnes afin de contourner des dispositifs de sécurité. Dans un article paru sur son Blog (Helloblog.fr) Symantec présente "Francophoned" : une campagne d’ingénierie sociale visant des entreprises françaises. Extrait : « En avril 2013, l’assistante d’un vice-président d’une multinationale basée en France reçoit un message faisant référence à une facture et son lien pointant vers un système de partage de fichier très populaire. Quelques minutes plus tard, cette même assistante reçoit un appel téléphonique d’un “autre” vice-président de l’entreprise, l’enjoignant de procéder immédiatement au paiement de cette facture; cette personne parle avec autorité, dans un excellent Français. Seulement voilà, la facture est un faux et le vice-président au téléphone un escroc ! La facture supposée contient en réalité un cheval de Troie de type RAT (Remote Access Tool) configuré pour contacter un serveur de Command&Control situé en Ukraine. Grâce au RAT, l’attaquant prend le contrôle de la machine de l’assistante, enregistre les frappes au clavier, peut voir l’écran, inspecte puis exfiltre des fichiers. » Les attaques d’ingénierie sociale ciblent en particulier les personnes disposant de connaissances implicites ou d’un accès aux informations sensibles. Leurs auteurs exploitent toute une gamme de techniques et notamment les réseaux sociaux pour obtenir des données personnelles et/ou professionnelles sur elles. Elles deviennent les maillons faibles de l’entreprise. Selon Check Point Software : « En définitive, les individus sont un élément essentiel du processus sécuritaire, car ils peuvent très bien se faire manipuler par les criminels et commettre des erreurs, menant à une contamination par des logiciels malveillants ou à des pertes accidentelles de données. De nombreuses entreprises ne prêtent pas suffisamment attention aux utilisateurs, alors qu’en fait, ce sont eux qui devraient être la première ligne de défense. Une bonne méthode pour améliorer la sensibilisation des utilisateurs à la sécurité est de les faire participer au processus sécuritaire. ». « Francophoned » Les techniques utilisées 48% des entreprises sont concernées Newsletter Septembre 2013 Les attaques d’ingénierie sociale Selon Trend Micro, « les méthodes d'ingénierie sociale afin de pénétrer ce que l'éditeur définit comme le « cercle de confiance » sont multiples et font appel à des leviers tels que la vulnérabilité, l'autorité ou les centres d'intérêts : recommandation d'un docteur, conseils boursiers ou encore photos de vacances. » Les attaquants rivalisent d’inventivité !!! Exemples en images Source Trend Micro

Upload: pierre-sarrola

Post on 09-Aug-2015

54 views

Category:

Documents


2 download

Report

TRANSCRIPT

Page 1: EI-Institut - Newsletter Check Point - Septembre 2013

Selon Check Point, une entreprise sur deux est victime d’uneattaque d’ingénierie sociale et son coût dépasse les 100.000 $ dans20% des cas !

Le terme d'« ingénierie sociale » (en anglais« social engineering ») désigne l'art demanipuler des personnes afin decontourner des dispositifs de sécurité. Dansun article paru sur son Blog (Helloblog.fr)Symantec présente "Francophoned" : unecampagne d’ingénierie sociale visant desentreprises françaises. Extrait : « En avril2013, l’assistante d’un vice-président d’unemultinationale basée en France reçoit unmessage faisant référence à une facture etson lien pointant vers un système departage de fichier très populaire. Quelquesminutes plus tard, cette même assistantereçoit un appel téléphonique d’un “autre”vice-président de l’entreprise, l’enjoignantde procéder immédiatement au paiement decette facture; cette personne parle avecautorité, dans un excellent Français.Seulement voilà, la facture est un faux et levice-président au téléphone un escroc ! Lafacture supposée contient en réalité uncheval de Troie de type RAT (RemoteAccess Tool) configuré pour contacter unserveur de Command&Control situé enUkraine. Grâce au RAT, l’attaquant prend lecontrôle de la machine de l’assistante,enregistre les frappes au clavier, peut voirl’écran, inspecte puis exfiltre des fichiers. »Les attaques d’ingénierie sociale ciblent enparticulier les personnes disposant deconnaissances implicites ou d’un accès auxinformations sensibles. Leurs auteursexploitent toute une gamme de techniqueset notamment les réseaux sociaux pourobtenir des données personnelles et/ouprofessionnelles sur elles. Elles deviennentles maillons faibles de l’entreprise. SelonCheck Point Software : « En définitive, lesindividus sont un élément essentiel duprocessus sécuritaire, car ils peuvent trèsbien se faire manipuler par les criminels etcommettre des erreurs, menant à unecontamination par des logiciels malveillantsou à des pertes accidentelles de données. Denombreuses entreprises ne prêtent passuffisamment attention aux utilisateurs,alors qu’en fait, ce sont eux qui devraientêtre la première ligne de défense. Unebonne méthode pour améliorer lasensibilisation des utilisateurs à la sécuritéest de les faire participer au processussécuritaire. ».

« Francophoned » Les techniques utilisées

48% des entreprises sont concernées

Newsletter – Septembre 2013

Les attaques d’ingénierie sociale

Selon Trend Micro, « les méthodes d'ingénierie sociale afin de pénétrer ceque l'éditeur définit comme le « cercle de confiance » sont multiples et fontappel à des leviers tels que la vulnérabilité, l'autorité ou les centresd'intérêts : recommandation d'un docteur, conseils boursiers ou encorephotos de vacances. »

Les attaquants rivalisent d’inventivité !!! Exemples en images

Source Trend Micro

http://www.helloblog.fr/index.php/operation-francophoned-une-campagne-dingenierie-sociale-visant-des-entreprise-francaises/
http://www.helloblog.fr/index.php/operation-francophoned-une-campagne-dingenierie-sociale-visant-des-entreprise-francaises/
Page 2: EI-Institut - Newsletter Check Point - Septembre 2013

Calendrier Formations Liens utiles

CCSA R75 : 7 au 9 OctobreCCSA R75 : 4 au 6 NovembreCCSA R75 : 2 au 4 DécembreCCSE R75 : 14 au 16 Octobre

CCSE R75 : 12 au 14 NovembreCCSE R75 : 9 au 11 Décembre

Formations surmesure, utilisateurs,

« one to one » : Contactez-nous

- Accéder au site EI-Technologies : www.ei-technologies.com- Demande d'information/s’inscrire

A propos de EI-Institut

EI-Institut est le Centre de Formation du groupe EI-Technologies. Agréé sous le n° 11 75 479 18 75, toutes ses formationspeuvent être financées par un organisme collecteur (OPCA) et sont également éligibles au DIF.Il est le Centre de Formation agréé et exclusif en France de Salesforce depuis 2009 et aussi Centre de Formation agréé deCheck Point depuis 1996.EI-Institut est une marque du groupe EI-Technologies, 42 rue Lisbonne - 75017 Paris – Tél. : +33 1 56 59 17 20

A propos de EI-Technologies

EI-Technologies est un groupe français de Conseil en Management (EI-Management) et de Conseil en Systèmesd’Informations comptant 260 collaborateurs. Nos expertises sont directement liées à la transformation numérique desentreprises due aux ruptures majeures et récentes dans les technologies de l’information et leurs usages.Nos métiers :Conseiller nos clients sur les options stratégiques de transformation et d’évolution de leurs métiers, de leur DSI et de leurSystème d’InformationConcevoir et développer les architectures et applications innovantes de la transformation numériqueGarantir qualité, performance et sécurité des applications et des infrastructures en cours de modernisationEI-Technologies, 42, rue Lisbonne - 75017 Paris ou 27, rue Fortuny – 75017 Paris – Tél. : +33 1 56 59 17 20

Votre contact : Alexandra LEYBAC : +33 1 80 05 24 29

@ : [email protected]

http://www.ei-technologies.com/contact.html
mailto:[email protected]
mailto:[email protected]
mailto:[email protected]
http://www.ei-technologies.com/contact.html
http://www.ei-technologies.com/
http://www.ei-technologies.com/
http://www.ei-technologies.com/
http://www.ei-technologies.com/
http://www.ei-technologies.com/
http://www.ei-technologies.com/
http://www.ei-technologies.com/
mailto:[email protected]
mailto:[email protected]
mailto:[email protected]
mailto:[email protected]
http://www.ei-technologies.com/contact.html
mailto:[email protected]
mailto:[email protected]
mailto:[email protected]

Check-List acheteur

CHECK POINTS AUTOMATIQUE RALLYE

Proximity_Sensor EI 44

1 PDG EI Rocadest 042016

EI emestriel n10 E CIE DE EI 10 LESCAHIERSDEL’EIFR

Digital Pulse Check Suisse

China Si Proverbele Ei

Fiche Matiere EI

Check sys3 googlemobu 1404

OFFIC:I EI [)

CHECK-UP CENTER

Check-direct CPE IFU 080-03 FR 05Sept2013check-points.nl/downloads/manuals/Check-Direct_CPE... · Version 1.1, publiée le 05-09-2013 Champs d’application Check-Direct CPE est un

Business Case: EI TECHNOLOGIES

Check-list du télé-travailleur - Check-list du nouveau collaborateur

CHECK OUT COBIAX - ANTHELYS

Trombi Open Up EI

Medela Check-In Newsletter Nr. 2, Herbst 2011 français

Aûtjbmhdtt - Nyad Fact Check

Catalogue formations ei-institut

Check List

Présentation EI-Institut

Fonctions EI&C - Siemens

Catalogue Formation Salesforce - EI-Institut - Groupe EI-Technologies

IPB Today Check

Ei aneuropsy p2_anat_fonctionnelle

CHECK VALVES - Proditec

Ei aneuropsy p2_anat_morpho

Ei geopolitique moyen_orient. ppt

Présentation forum ei

Check List Meilleures Pratiques

#DUMONT EI France

La Check-list mariage

EI Albas Hexagone energie 2356

Cycle Ingénieur EI-2I

EI - EXERCICES DE PROBABILITES CORRIGESGerard.Eguether/zARTICLE/EI.pdf · EI 1 EI - EXERCICES DE PROBABILITES CORRIGES Notations 1) Les coefficients du binôme sont notés n p. 2)