sensibilisation des métiers supports à la cybersécurité

Identifier vos essentiels et renforcer votre cyber stratégie

Consulting &

Services

Identifier vos essentiels et renforcer votre cyber stratégie

Consulting &

Services

Sensibilisation à la CybersécuritéDirection Administrative et Financière

Plan

Introduction

I. Présentation de l’environnement métier

II.Exemples d’attaquesIII.Règles et solutions à suivre

Introduction

C’est ce qui permet de protéger l’entreprise des attaques qui pourraient compromettre les données, services, et tout autres

éléments du système d’information.

Qu’est ce que la cybersécurité ?

IntroductionLe danger est bien présent :

9ème pays le plus touché par

les cyberattaques

431M de malwares différents

5 585 nouvelles vulnérabilité

découvertes en 2015

IntroductionLe danger est bien présent :

992M attaques de rançongiciel

s par jour

Un total de 362K

rançongiciels différents en

2015

1 e-mail sur 220

contient un malware

46 attaques de spear

phishing par jour

1 e-mail sur 1846 est un e-

mail de phishing

Introduction

60 % des PME ferment après une attaque

80 % des attaques sont liés au facteur humain

77 % des attaques concernent les PME

Pourquoi cette formation ?

Environnement métierDirection Administrative et Financière

I. Environnement métier

Budget prévisionnel- Ventes

Comptes bancaires de l’entreprise- Coordonnées

bancaires- Mouvements

bancaires

Fiches fournisseurs :- Activité- Adresse- Coordonnées bancaires

Fiches clients :- Factures- Noms- Adresses- Coordonnées

Données accessibles

Comptes bancaires de l’entreprise

PrivilègesDonnées

I. Environnement métierPourquoi ces données sont elles intéressantes pour les cybercriminels ?

Fiches fournisseurs Informations sur les clients de l’entreprise

Visuel sur la situation financière de l’entreprise

Fiches clients

Budget prévisionnel

Attaques typesDirection Administrative et Financière

II. Attaques types1. Arnaque au président

Etape 1 : Etude du rôle de chaque employé

Etape 2 : Montage d’un scénario

Etape 3 : Prise de contact avec la cible

Etape 4 : Exploitation de la cible, Social Engineering


Etape 1 :Etude du rôle des

employésEtape 2 Etape 3 Etape 4

• Collecte d’un maximum d’informationso Sur les réseaux sociauxo Surveillance des comptes mail d’une entreprise

• L’attaquant peut facilement connaître :

Votre lieu de résidence

Votre lieude travail

Votre numéro de téléphone

Toutes autres informations ou détails utilisables pour renforcer

sa crédibilité

II. Attaques types

Etape 1Etape 2 :Montage

du scénario

Etape 3 Etape 4

• Corrélation des informations des employés et de la sociétéo Facilité par les informations disponibles en ligne

• Montage d’un scénario crédible : o Rachat d’une entrepriseo Demande exceptionnelle d’un directeur financier, d’un

fournisseur

Site web de l’entreprise Site web d’informations

1. Arnaque au président

II. Attaques types

Etape 1 Etape 2Etape 3 :Contact avec la cible

Etape 4

Méthodes :

L’adresse mail du collaborateur usurpée.

L’attaquant dans certains cas utilisera la messagerie de la

personne pour qui il se fait passer

Usurper identité au téléphone.L’attaquant aura une voix ressemblante à celle de la personne pour qui il se fait

passer

L’attaquant prend contact avec la cible sous l’identité :o D’un collaborateur haut placéo D’un cliento D’un fournisseuro Un cabinet d’avocat, ou toute autre entité, en principe, de

confiance

Une adresse mail ressemblant à celle d’un

collaborateur.L’attaquant comptera sur la confusion dû à l’imitation de

l’adresse.


II. Attaques types

Etape 1 Etape 2 Etape 3Etape 4 :Exploitation de la

cible

• Demande de versement d’argent demandé et rendu crédible par :o La signature d’une clause de confidentialité parfois

demandéeo Le pouvoir de dissuasion

• Plusieurs virements sont souvent demandés.

• L’attaquant exploite la confiance qu’il a établi avec vous.

Ingénierie Sociale


BRM MobilierPME de 44 salariés

Avant juillet 2015 :

• Les attaquants recherchent des informations sur le rôle des employés afin d’identifier leur cible.

• Ils recherchent également des informations interne à l’entreprise, probablement en piratant les comptes mails des employés.

Etape 1 : Etude du rôle de chaque

employé


Etape 2 : Montage

d’un scénario

Avant juillet 2015 :

• Les attaquants préparent un scénario crédible à partir des informations internes récoltées.

• Le scénario choisi : Se faire passer pour un cabinet d’avocat.



21 juillet 2015 :

• Les ravisseurs contactent la directrice administrative et financière via mail et téléphone.

• Ils obtiennent un premier virement vers la Thaïlande

II. Attaques types

Etape 3 : Prise de

contact avec la cible



Etape 4 : Exploitation de la cible

Été 2015 : • Les ravisseurs continuent d’exploiter la

directrice administrative et financière et obtiennent des virements vers la Chine.

27 janvier 2016 : • BRM Mobilier est en liquidation judiciaire• Montant total volé : 1,6 millions d’Euros

II. Attaques types



Etape 1 : Propagation par e-mail et/ou clé USB

Etape 2 : Chiffrement des données du PC, des serveurs, etc

Etape 3 : Demande de rançon en échange de la clé

II. Attaques types

Un rançongiciel ou ransomware est un programme informatique malveillant qui prend en otage les données d’un système informatique en les chiffrant.

2. Rançongiciel

• Mail spam envoyé via un réseau de bot nets :o L’objet est souvent suspecto Contient toujours une pièce jointes :

Document Word, ExcelExemple du rançongiciel Locky

II. Attaques types

Etape 1 :Propagation

Etape 2 Etape 3

• Moyens de propagations :

Pièces jointes Clé USB

2. Rançongiciel

II. Attaques types

Etape 1 :Propagation

Etape 2 Etape 3

La pièce jointe peut être un document .pdf, .doc, etc.

Exemple du rançongiciel Locky

La suite Office possède une fonctionnalité qui permet de se protéger de ce genre d’attaque !(les macros sont désactivées) En les activant vous autorisez les

éventuels malwares à venir s’installer

NB:

2. Rançongiciel

• Le malware chiffre toutes les données présentes :

o sur le PC

o sur les serveurs accessibles via le partage réseau

II. Attaques types

Etape 1Etape 2 :Chiffreme

ntEtape 3

2. Rançongiciel

• Une fois les données chiffrées, l’ordinateur affiche les instructions à suivre pour payer la rançon en échange de la clé permettant le déchiffrement

• La monnaie utilisée est le bitcoin

II. Attaques types

Etape 1

Etape 2

Etape 3 :

Rançon

Exemple de fond d’écran du rançongiciel Locky

2. Rançongiciel

II. Attaques types

Etape 1

Etape 2

Etape 3 :

Rançon

Le prix moyen d’une rançon est

de 640 €

Payer la rançon ne permet pas toujours d’avoir la clé ! Sur les 50% des décideurs IT qui décident de payer, seulement 32% d’entre eux récupèrent réellement la clé

2. Rançongiciel

10 avril 2016 :

PME du Béarn, souhaitant garder l’anonymat

23 salariés

- Réception en nombre d’un mail contenant une pièce jointe piégée.

Etape 1 : Propagation

II. Attaques types2. Rançongiciel

10 avril 2016 :


23 salariés

- Ouverture de la pièce jointe par plusieurs collaborateurs.

Chiffrement des données.

Etape 2 : Le

chiffrement


11 avril 2016 :- Toutes les données de l’entreprise sont

chiffrées- Le fond d’écran d’un ordinateur affiche

les exigences d’une rançonTous les employés sont au chômage techniqueLes jours suivants :

- La rançon double chaque jour- Après près d’une semaine, le chef d’entreprise paye 3 000

€

Etape 3 : La rançon


23 salariés


II. Attaques types3. Autres exemples d’attaquea) Le phishing et le spear phishing

Le phishing est une technique utilisée pour obtenir des renseignements personnels. Elle consiste à faire croire que la victime s’adresse à un tiers de confiance (banque, collègues, administration, etc)

Il peut se faire par :o Mailo Sites webo SMS (SMishing)

Le spear phishing est du phishing grandement personnalisé et vise une seule personne (ou un petit groupe)

L’attaquant possède déjà des informations sur vous

Il est beaucoup plus discret que le phishing :

o Plus cohérant avec votre environnement

o Avec moins de fautes o Il fait référence à des détails précis

sur vous

II. Attaques types3. Autres exemples d’attaquea) Le phishing et le spear phishing

Lien vers un formulaire

Syntaxe étrange

Adresse web déguisée

Pourquoi est-ce dangereux ?

L’accès à distance des données de l’entreprise

Le contrôle d’accès souvent faible : mot de passe simple ou absent

Les logiciels ne sont pas mis à jour : antivirus, suite Office

Le vol : dans un train, dans la voiture, à l’arraché

Les données ne sont généralement pas chiffrées

Le B.Y.O.D. ou Bring Your Own Device est le fait d’utiliser du matériel personnel à des fins professionnelles.

II. Attaques types3. Les dangers du B.Y.O.D.

Règles et solutionsDirection Administrative et Financière

III. Règles et solutions1. Arnaque au président

Règle n°1 : Ne divulguez pas trop d’informations sur internetLes informations que vous complétez dans les réseaux sociaux peuvent être publiques et visibles par tout le monde.A minima, n’autorisez l’affichage de vos informations qu’à vos contact, afin de maitriser la diffusion de celles-ci.


Règle n°2 : Méfiez vous des demandes trop « exceptionnelles ».

Il est nécessaire de se tenir aux procédures qui ont été mises en place et de toujours procéder sous celle ci pour les règlements.


Règle n°3 : Vérifiez l’adresse mail.

En général, l’adresse mail usurpée ressemble fortement à celle pour qui elle se fait passer.La vérifier est une première étape pour vérifier une arnaque.

III. Règles et solutions1. Arnaque au présidentRègle n°4 : Contactez le demandeur de façon imprévue.Afin de vérifier l’identité du demandeur, vous pouvez le contacter par vous même, par mail ou directement pas téléphone. S’il n’est pas joignable facilement, cela peut être suspect.Cette procédure a pour objectif de surprendre l’arnaqueur.


Règle n°5 : Mettez en place de procédure à double validation. Dans la mesure du possible, modifiez la procédure actuelle afin que deux personnes différentes soient responsables de la validation d’un paiement et ainsi éviter l’utilisation de l’ingénierie sociale sur une personne.

III. Règles et solutions2. RançongicielRègle n°1 : Méfiez vous des pièces jointes suspectes.Ne pas ouvrir les pièces jointes dont on n’est pas sûr de la source et dont l’extension est issue d’un document Word ou Excel.Transférez ces mails vers la personne en charge de la sécurité du système d’information.

III. Règles et solutions2. Rançongiciel

Règle n°2 : Vérifiez l’adresse mail.En général, l’adresse mail n’est pas connue ou ressemble fortement à celle pour qui elle se fait passer.La vérifier est une première étape pour contrer une arnaque.


Règle n°3 : Mettez à jour vos équipements.Toujours effectuer les mises à jour de votre ordinateur, vos logiciels et votre antivirus.Ceci évitera à un potentiel attaquant d’exploiter des failles de sécurité connues présentes dans les logiciels ou dans l’ordinateur.


Règle n°4 :Méfiez vous des clés USB.De manière générale, n’utilisez pas de supports amovibles de type clé USB ou carte SD dont vous ne connaissez pas l’origine.Ceux-ci peuvent contenir des virus ou des logiciels malveillants sans que vous le sachiez.

III. Règles et solutions2. Autres exemples d’attaques

Règle n°1 :Analysez le contenu du mail.• Adresse mail : Lorsque vous êtes face à un mail de phishing, l’adresse le mail semble

venir d’un tiers de confiance telle une organisation, un partenaire, un collaborateur, et peut être une parfaite copie de l’originale.Ne vous fiez pas uniquement à cette adresse, elle peut être usurpée.

• Elément joint : Si c’est un lien, survolez le lien afin de voir l’adresse vers lequel il redirige. Si c’est une pièce jointe, portez attention sur le format de cette ci, s’il est inhabituel, ne lui accordez pas votre confiance.

• Orthographe : Les mails de phishing ont pendant longtemps été reconnaissables par leurs fautes d’orthographe. Même s’il en contiennent aujourd’hui de moins en moins, recherchez-les ainsi que les erreurs de syntaxe.

Vérifier la cohérence du mail dans son ensemble.

a) Le phishing

III. Règles et solutions2. Autres exemples d’attaques

Règle n°2 :Ne renseignez pas de données sensibles.Dans le cas où vous n’auriez pas identifié un mail de phishing, et que vous avez cliqué sur le lien contenu dans le mail.Ce lien pourra vous rediriger vers le site web d’un tiers de confiance. Ce site sera une copie d’un vrai site, à la différence qu’il vous invitera à remplir des données confidentielles telles que des informations bancaires sur un formulaire.Aucun n’organisme n’est amené à vous demander ce genre d’informations, quittez ce site sans compléter les informations demandées.

a) Le phishing

III. Règles et solutions3. Les dangers du B.Y.O.D

Règle n°1 :N’enregistrez pas de données professionnelles sur vos appareil personnels.Bien que le côté pratique vous y incite, enregistrer des données de votre entreprise revient à mettre en danger votre entreprise.Votre appareil personnel ne possède pas toutes les protections nécessaires à protéger les données qu’il contient.Ce manque de sécurité permettra à un attaquant d’accéder au contenu de votre appareil, et donc aux potentielles données sensibles qu’il contient.

III. Règles et solutions

Règle n°2 : N’utilisez vos appareils personnels que dans un cadre prédéfini.Incitez votre entreprise à mettre en place des mesures permettant aux employés d’utiliser leur matériel personnel dans un cadre défini.La politique de sécurité sur les matériels sera ainsi appliquée sur vos appareils que vous pourrez utiliser en toute sécurité.

3. Les dangers du B.Y.O.D

III. Règles et solutions

Règle : Choisissez un mot de passe long et avec plusieurs type de caractères o Une longueur de 8 caractères est un minimum.o Utilisez des majuscules, des minuscules, des chiffres

et des caractères spéciaux.o Utilisez des phrases comme moyen

mnémotechnique.

4. Bien choisir son mot de passe

Exemple : le père Fouras connait deux nains : Passe-partout et Passe-muraille lpFc2n:PeP!

Temps nécessaire pour casser un mot de passe avec un PC, par force brute :• 6 lettres minuscules : 3

sec• L’exemple : + de 10 ans

Règles et bonnes pratiquesRègle n°1 :Contrôler les informations que vous publiez sur internet.

Règle n°2 :Vérifiez les adresses mails des expéditeurs.

Règle n°3 :N’ouvrez que les pièces jointes qui vous semble sûres.

Règle n°4 :N’utilisez pas votre messagerie personnelle pour votre travail.

Règle n°5 :N’utilisez pas votre matériel personnel si ce n’est pas prévu par votre entreprise.

Règle n°6 :N’utilisez pas de supports amovibles : clé USB.

Règle n°7 :Mettez à jour vos équipements professionnels.

Règle n°8 :Utilisez des mots de passe robuste.

Règle n°9 :Ne renseignez pas de données sensibles sur un site web.

MerciLéo PILLET

Vincent BOULANGER

Elèves ingénieur Telecom LilleINGE3, 2016/2017

Projet Scientifique et Technologique

sensibilisation des métiers supports à la cybersécurité

Technology