Rapport Rapport de McAfee Labs sur le paysage des menaces Septembre 2016 En moyenne, une entreprise détecte 17 incidents de fuites de données par jour. À propos de McAfee Labs Introduction McAfee Labs est l'une des principales références à l'échelle mondiale en matière d'études et de cyberveille sur les menaces, et les orientations stratégiques que cette équipe propose dans le domaine de la cybersécurité font autorité. Grâce à des données recueillies à partir de millions de sondes sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseaux), McAfee Labs fournit une cyberveille en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. Excellente rentrée à tous ! Alors que beaucoup profitaient de leurs vacances, nous n'avons pas chômé. McAfee fait désormais partie d'Intel Security. Juste avant l'Aspen Security Forum, Intel Security a publié Pénurie des compétences : quelles solutions ? Étude sur la pénurie internationale de compétences en cybersécurité. Le rapport faisait suite à l'exposé d'Intel Security à l'occasion de la conférence RSA qui soulignait la pénurie de personnel en cybersécurité. Des chercheurs du CSIS (Center for Strategic and International Studies) ont interrogé des décideurs informatiques du secteur public et privé de huit pays afin de quantifier le manque de personnel de cybersécurité et de comprendre les différences régionales dans plusieurs domaines, notamment les dépenses en sécurité, les programmes d'études et de formation, la dynamique des employeurs et les politiques des pouvoirs publics. L'étude proposait également plusieurs recommandations concrètes pour améliorer ces différents domaines et renforcer la cybersécurité à l'échelle mondiale. www.mcafee.com/fr/mcafee-labs.aspx Suivre McAfee Labs Chris Young, Vice-président et Directeur général d'Intel Security, a été nommé par la Maison-Blanche pour siéger au National Security and Telecommunications Committee, le comité sur la sécurité nationale et les télécommunications qui fournit au Président et à l'exécutif des analyses et recommandations en matière de politique et d'améliorations de la sécurité nationale et de la préparation aux situations d'urgence dans le secteur des télécommunications. Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 2 Fin juillet, des chercheurs d'Intel Security ont également collaboré avec les forces de l'ordre de plusieurs pays pour démanteler les serveurs de contrôle du logiciel de demande de rançon Shade. Apparu pour la première fois à la fin de l'année 2014, Shade a infecté des utilisateurs d'Europe centrale et de l'Est par le biais de sites web malveillants et de pièces jointes infectées. En plus d'aider à ce démantèlement, Intel Security a développé un outil gratuit qui décode les fichiers chiffrés par ce redoutable ransomware. Pour en savoir plus sur Shade et accéder à l'outil permettant de le neutraliser, cliquez ici. Par ailleurs, nous nous sommes joints à Europol, la Police nationale néerlandaise et Kaspersky Lab pour lancer le projet « No More Ransom », fruit de la collaboration entre les forces de l'ordre et le secteur privé pour lutter contre les ransomwares. Le portail en ligne No More Ransom informe le public des dangers de ces logiciels et aide les victimes à récupérer leurs données sans avoir à verser de rançon. Les articles du Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016, s'intéressent à trois thématiques : ■■ ■■ ■■ Une grande étude a été réalisée à la demande d'Intel Security pour mieux comprendre et identifier les responsables des vols de données, les types de données ciblées et les méthodes d'exfiltration utilisées. Le premier article analyse les données de l'étude et présente nos résultats. Le deuxième article se penche sur la problématique des ransomwares dans le milieu hospitalier, notamment les défis posés par des anciens systèmes et des équipements médicaux mal sécurisés ainsi que l'importance vitale de l'accès instantané à l'information. Il propose aussi une analyse des attaques de ransomware lancées au 1er trimestre contre des hôpitaux et explique les raisons du succès de ces attaques ciblées et liées, en dépit de leur relative simplicité. Le troisième article s'intéresse à l'apprentissage automatique et à son application pratique dans le domaine de la cybersécurité. Il présente les différences entre l'apprentissage automatique, l'informatique cognitive et les réseaux neuronaux. Il examine aussi les avantages et les inconvénients de l'apprentissage automatique, s'attache à briser certains mythes en la matière et explique comment utiliser l'apprentissage automatique pour améliorer la détection des menaces. En ce qui concerne le reste de l'actualité… La Conférence sur la sécurité FOCUS 16 d'Intel Security, qui aura lieu du 1er au 3 novembre à Las Vegas, approche à grands pas. Comme d'habitude, McAfee Labs répondra présent, qu'il s'agisse d'organiser des ateliers pratiques, des séances de discussion ou encore de participer à un nouveau projet piloté par les services professionnels Foundstone d'Intel Security et visant à offrir une formation pratique élémentaire sur la sécurité pendant toute la journée. Participez avec nous à cet événement exceptionnel ! Chaque trimestre, les données télémétriques qui alimentent McAfee Global Threat Intelligence nous permettent de faire de nouvelles découvertes. Grâce au tableau de bord cloud de McAfee GTI, nous pouvons détecter et analyser des modèles d'attaques réelles, de façon à doter nos clients d'une protection plus efficace. Nous avons découvert que les demandes envoyées par les produits Intel Security à McAfee GTI évoluaient au rythme des saisons et au fil des améliorations apportées aux produits. Nous nous efforçons de mieux caractériser et anticiper cette évolution. ■■ ■■ ■■ ■■ McAfee GTI a reçu en moyenne 48,6 milliards de requêtes par jour. Les protections McAfee GTI contre les fichiers malveillants présentent une tendance très différente. Au 2e trimestre 2015, nous avions observé un nombre record de protections McAfee GTI contre des fichiers malveillants, soit 462 millions par jour. Ce chiffre a chuté à 104 millions au 2e trimestre 2016. Les protections de McAfee GTI contre les programmes potentiellement indésirables ont connu une baisse similaire depuis le 2e trimestre de l'année dernière. Ce chiffre est passé de 174 millions par jour au 2e trimestre 2015 à 30 millions par jour au 2e trimestre 2016. En revanche, les protections de McAfee GTI contre les adresses IP dangereuses ont enregistré l'augmentation la plus marquée de ces deux dernières années. Ce chiffre est passé de 21 millions à 29 millions par jour entre le 2e trimestre 2015 et le 2e trimestre 2016. Le nombre observé au 2e trimestre 2016 a plus que doublé par rapport au trimestre précédent. Comme d'habitude, ces articles sont suivis de nos statistiques trimestrielles sur les menaces. Les commentaires que nous recevons de nos lecteurs à propos de nos Rapports sur le paysage des menaces nous sont toujours très utiles. Si vous souhaitez nous faire part de vos impressions au sujet de cette édition, cliquez ici pour participer à une petite enquête qui ne vous prendra pas plus de cinq minutes. Partager ce rapport — Vincent Weafer, Vice-Président, McAfee Labs Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 3 Sommaire Rapport de McAfee Labs sur le paysage des menaces Septembre 2016 Ce rapport a été préparé et rédigé par : Christiaan Beek Joseph Fiorella Celeste Fralick Douglas Frosst Paula Greve Andrew Marwan François Paget Ted Pan Eric Peterson Craig Schmugar Rick Simon Dan Sommer Bing Sun Résumé 5 Points marquants 6 Vol de données : types de fuites, méthodes et responsables7 Les hôpitaux en danger : des logiciels de demande de rançon infectent les hôpitaux 19 Cours accéléré sur la science des données de sécurité, l'analyse et l'apprentissage automatique 28 Statistiques sur les menaces 38 Résumé Vol de données : types de fuites, méthodes et responsables Intel Security a interrogé des professionnels de la sécurité pour en savoir plus sur les méthodes d'exfiltration des données et les raisons de ces fuites de données. Nous avons découvert, entre autres, une inadéquation entre les méthodes actuelles de prévention des fuites de données et les vecteurs des fuites. La plupart des entreprises connaissent des fuites de données. Parfois le fait d'utilisateurs internes, ces vols de données sont généralement imputables à des personnes externes à l'entreprise. Les données quittent l'entreprise sous de nombreuses formes et via de multiples canaux. Les entreprises tentent d'endiguer ces fuites pour différentes raisons et avec plus ou moins de succès. Une grande étude a été réalisée à la demande d'Intel Security pour mieux comprendre et identifier les responsables des vols de données, les types de données ciblées et les méthodes d'exfiltration utilisées : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données). Ce premier article analyse les données de l'étude et présente nos résultats. L'étude a révélé plusieurs éléments importants : ■■ ■■ ■■ ■■ Le délai entre les fuites de données et la découverte de la compromission s'allonge. Les prestataires de soins de santé et les fabricants sont des cibles faciles. L'approche préventive classique est de plus en plus inefficace au vu de l'évolution des cibles des vols de données. La plupart des entreprises ne surveillent pas le deuxième vecteur le plus courant des fuites de données. ■■ La visibilité est capitale. ■■ La prévention des fuites de données est implémentée pour les bonnes raisons. L'article suggère également des stratégies et des procédures à suivre pour limiter ces fuites de données. Les hôpitaux sont devenus les cibles de prédilection de certains auteurs de ransomware. Au 1er trimestre, plusieurs attaques ciblées et liées contre les hôpitaux ont parfaitement réussi, en dépit de leur manque de sophistication. Avec l'augmentation du volume des données et du nombre d'équipements connectés à Internet, l'analyse deviendra une arme importante pour tenir les attaquants en échec. Pour se préparer à cette évolution, les professionnels de la sécurité devront acquérir des connaissances de base de la science des données, de l'analyse et de l'apprentissage automatique. Partager ce rapport Les hôpitaux en danger : des logiciels de demande de rançon infectent les hôpitaux Ces dernières années, le ransomware est devenu un sujet préoccupant pour tous les professionnels de la sécurité. Malheureusement, il s'agit d'un outil de cyberattaque simple, efficace et très lucratif. Ces dernières années, le choix des cibles a évolué : ce sont désormais les entreprises, et plus les particuliers, qui en sont victimes car elles ont les moyens de payer des rançons plus élevées. Voici peu, ce sont les hôpitaux qui sont devenus les cibles de prédilection de certains auteurs de logiciels de demande de rançon. Cet article propose une analyse des attaques de ransomware lancées au 1er trimestre contre des hôpitaux et explique les raisons du succès de ces attaques ciblées et liées, en dépit de leur relative simplicité. Il se penche aussi sur la problématique des ransomwares dans le milieu hospitalier, notamment les défis posés par des anciens systèmes et des équipements médicaux mal sécurisés ainsi que l'importance vitale de l'accès instantané à l'information. Cours accéléré sur la science des données de sécurité, l'analyse et l'apprentissage automatique L'apprentissage automatique (machine learning) consiste à automatiser l'analyse sur des systèmes capables d'apprendre au fil du temps. Les analystes scientifiques des données s'appuient sur l'apprentissage automatique pour résoudre des problèmes, dont ceux spécifiques à la sécurité informatique. Certains domaines de l'analyse s'interrogent sur les événements intervenus et les raisons qui les sous-tendent. D'autres s'attachent à prédire ce qui va se passer ou recommandent des actions en fonction des situations susceptibles de survenir. Cet article s'intéresse à l'apprentissage automatique et à son application pratique dans le domaine de la cybersécurité. Il présente les différences entre l'apprentissage automatique, l'informatique cognitive et les réseaux neuronaux. Enfin, il examine les avantages et les inconvénients de l'apprentissage automatique, s'attache à briser certains mythes et explique comment utiliser l'apprentissage automatique pour améliorer la détection des menaces. Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 5 Points marquants Vol de données : types de fuites, méthodes et responsables Les hôpitaux en danger : des logiciels de demande de rançon infectent les hôpitaux Cours accéléré sur la science des données de sécurité, l'analyse et l'apprentissage automatique Donner votre avis Points marquants Vol de données : types de fuites, méthodes et responsables — Douglas Frosst et Rick Simon La plupart des entreprises connaissent des fuites de données. Parfois le fait d'utilisateurs internes, ces vols sont généralement imputables à des personnes externes à l'entreprise. Les données quittent l'entreprise sous de nombreuses formes et via de multiples canaux. Les sociétés tentent d'endiguer ces fuites pour différentes raisons et avec plus ou moins de succès. Pour examiner la question, une grande étude a été réalisée à la demande d'Intel Security pour mieux comprendre et identifier les responsables des fuites de données, les types de données ciblées, les méthodes d'exfiltration utilisées ainsi que les mesures prises pour améliorer leur prévention : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données). Une grande étude a été réalisée à la demande d'Intel Security pour mieux comprendre et identifier les responsables des fuites de données, les types de données dérobées, les méthodes d'exfiltration utilisées ainsi que les mesures prises pour améliorer leur prévention. Pour compléter les résultats de l'étude, nous avons inclus d'autres informations issues de deux études connexes, en indiquant la source. ■■ ■■ ■■ DPB = Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security) DX = Étude 2015 d'Intel Security Braquage de données — Étude sur l'exfiltration de données DBIR = Verizon 2016 Data Breach Investigations Report (Rapport d'enquête 2016 de Verizon sur les compromissions de données) Dans les questions de l'étude ainsi que dans l'analyse ultérieure, nous utilisons trois termes définis dans le rapport de Verizon (Verizon 2016 Data Breach Investigations Report) publié au printemps dernier. ■■ ■■ ■■ Événement : modification imprévue d'une ressource d'information, indiquant la violation possible d'une stratégie de sécurité. Incident : événement de sécurité compromettant l'intégrité, la confidentialité ou la disponibilité d'une ressource d'information. Compromission : incident entraînant une divulgation avérée (et non potentielle) des données à un tiers non autorisé. L'étude Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security) a interrogé des répondants occupant des fonctions de sécurité dans des petites, moyennes et grandes entreprises de cinq secteurs et de différents pays. Les résultats mettent en évidence des problèmes souvent négligés par bon nombre d'entreprises. Ainsi, l'étude pose les constats suivants : ■■ ■■ ■■ ■■ ■■ ■■ Le délai entre les fuites de données et la découverte de la compromission s'allonge. Les prestataires de soins de santé et les fabricants sont des cibles faciles. L'approche préventive classique est de plus en plus inefficace au vu de l'évolution des cibles des vols de données. La plupart des entreprises ne surveillent pas le deuxième vecteur le plus courant des fuites de données. La visibilité est capitale. La prévention des fuites de données est implémentée pour les bonnes raisons. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 7 Points marquants Des vols de données motivés par l'appât du gain 68 % des compromissions concernent des fuites de données devant être déclarées pour respecter les impératifs réglementaires. L'époque des petites compromissions et des motifs innocents est révolue. D'après l'étude DBIR, 89 % des compromissions sont motivées par l'appât du gain ou l'espionnage, et les motivations d'ordre financier sont en hausse depuis 2013. En d'autres termes, ces attaquants sont généralement des criminels attirés par le profit ou des États cherchant à disposer d'un moyen de pression politique. Il n'est guère surprenant que les entreprises possédant des données de plus grande valeur, par exemple des données de cartes de paiement, des données médicales protégées ou des informations d'identification personnelle, soient plus souvent prises pour cible et compromises. Toutefois, au vu de la valeur croissante des informations personnelles, médicales et du capital intellectuel sur les marchés clandestins, aucune organisation n'est à l'abri d'une attaque. Les signes les plus évidents de la gravité du problème sont la multiplication des lois en matière de confidentialité et le fait que 68 % des compromissions impliquent une exfiltration de données sensibles que les entreprises sont tenues de déclarer pour respecter leur obligation d'information du public [DX]. Le respect de réglementations spécifiques sur la protection des données reste inégal, et les entreprises se concentrent généralement sur les lois de leur sphère géographique ou politique. Sans doute à cause de leurs vastes réseaux commerciaux, l'Inde et Singapour font figure d'exception puisqu'elles affirment respecter la plupart ou l'ensemble des 17 réglementations citées dans l'étude. Par ailleurs, la conformité favorise des niveaux de surveillance et de maturité plus élevés dans la mesure où les entreprises doivent tenir compte de cadres plus détaillés. Par contre, le simple respect des réglementations n'est pas corrélé à l'efficacité des défenses de sécurité ou la prévention des fuites de données [DPB]. Non seulement les fuites de données affectent la plupart des organisations, mais les équipes de sécurité internes ignorent trop souvent l'existence d'une compromission. Depuis 2005, la découverte de ces compromissions est de plus en plus souvent le fait de tiers ou des forces de l'ordre. Les données échappent non seulement au contrôle de l'entreprise, mais elles ont très probablement déjà été utilisées ou vendues avant même la découverte des fuites. La découverte et la prévention des compromissions en interne nécessitent une meilleure compréhension et identification des responsables des vols, des données prises pour cible, des méthodes d'exfiltration et des mesures à prendre pour optimiser les systèmes et processus de prévention des fuites de données. Les responsables des fuites Les intervenants externes, dont les États cherchant à disposer d'un moyen de pression politique ou encore les organisations criminelles et pirates motivés par le profit, sont généralement les premiers coupables dans les affaires de vol de données. Plus de la moitié des compromissions sont découvertes par une personne externe à l'entité qui en est victime. Les intervenants externes, dont les États cherchant à disposer d'un moyen de pression politique ou encore les organisations criminelles et pirates motivés par le profit, sont généralement les premiers coupables dans les affaires de vol de données. Ils sont jugés responsables de 60 % [DX] à 80 % [DBIR] des compromissions. Il n'en reste pas moins que 20 à 40 % des vols sont le fait d'utilisateurs internes (employés, sous-traitants ou partenaires), dont les actes sont pour moitié délibérés et pour moitié accidentels. Bien qu'il faille éviter de tomber dans l'excès en ne faisant plus confiance à personne, il est essentiel de surveiller toutes les parties concernées et susceptibles de profiter du vol ou de l'utilisation abusive des données confidentielles. Le plus inquiétant est le nombre croissant de compromissions découvertes par des personnes et entités externes. L'étude DX a révélé que 53 % des compromissions ont été détectées par des groupes externes, par exemple des experts en piratage éthique (white hats), des sociétés de cartes de crédit et des services de police. Selon l'étude DBIR, qui se base davantage sur les signalements externes d'incidents, 80 % des compromissions analysées ont été détectées au départ par des sources externes. Le pourcentage de découvertes internes baisse depuis 10 ans et seuls 10 % des compromissions ont été mis au jour par les équipes de sécurité d'entreprise l'année dernière [DBIR]. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 8 Points marquants Entreprises touchées par les fuites de données Si nous supposons qu'en général, le nombre de compromissions (incidents) est proportionnel à l'intérêt que présentent les données d'un groupe particulier et à la probabilité de fuites de celles-ci, les résultats sont conformes aux attentes [DPB]. Nombre moyen d'incidents de fuites de données par jour 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1à5 6 à 10 De 1 000 à 3 000 employés 11 à 20 21 à 30 De 3 001 à 5 000 employés 31 à 50 51 à 75 Plus de 75 Plus de 5 000 employés Source : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données) Les petites entreprises (1 000 à 3 000 employés) signalent généralement moins d'incidents, avec une moyenne de 11 à 20 incidents par jour. Les moyennes entreprises (3 001 à 5 000 employés) sont un peu plus touchées, avec une moyenne de 21 à 30 incidents par jour. Les grandes entreprises (plus de 5 000 employés) affichent une moyenne encore plus élevée, soit 31 à 50 incidents par jour. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 9 Points marquants Nombre moyen d'incidents de fuites de données par jour 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1à5 6 à 10 Asie/Pacifique 11 à 20 21 à 30 31 à 50 Inde Amérique du Nord 51 à 75 Plus de 75 Royaume-Uni Source : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données) D'un point de vue géographique, les sociétés de la région Asie/Pacifique (Australie, Nouvelle-Zélande et Singapour), généralement plus petites, présentent une moyenne plus basse avec 11 à 20 incidents par jour. Les entreprises nord-américaines et britanniques ont une moyenne de 21 à 30 incidents par jour. Quant aux entreprises indiennes, généralement de plus grande taille que l'échantillon global, elles sont les plus touchées, avec une moyenne de 31 à 50 incidents par jour. Nombre moyen d'incidents de fuites de données par jour 30 25 20 15 10 5 0 Services financiers Tous Commerce de détail Administrations Soins de santé Fabrication Grandes entreprises Source : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données) Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 10 Points marquants L'analyse par secteur d'activité révèle que le commerce de détail et les services financiers sont les cibles les plus prisées, compte tenu de la valeur des données de cartes de paiement et des informations personnelles (dont la cote augmente actuellement). Ces secteurs sont confrontés en moyenne à 20 % d'activités suspectes en plus que le secteur public, les soins de santé et la fabrication, et on enregistre près de 50 % plus d'activités suspectes si l'on compare les plus grandes sociétés de chaque catégorie. Il n'est guère étonnant que la maturité relative des mesures de prévention des fuites de données aille de pair avec le volume d'activités suspectes, la valeur perçue des données et les précédentes compromissions observées dans le secteur. Les commerçants sont les plus susceptibles d'affirmer que leurs mesures répondent à toutes les exigences. Ils sont suivis de près par les services financiers et les établissements de soins de santé, qui affirment que leur sécurité répond à la plupart des exigences. Vient ensuite le secteur public. La fabrication ferme la marche puisque 25 % des entreprises reconnaissent que leurs mesures de prévention sont partiellement déployées, voire pas du tout [DPB]. Malheureusement, le rythme des attaques s'accélère alors que la détection, et a fortiori la prévention, est à la traîne. Le temps nécessaire à une compromission se mesure désormais en minutes ou en heures, et ce délai ne dépasse pratiquement jamais quelques jours. Par contre, moins de 25 % des incidents sont détectés dans les jours qui suivent la compromission [DBIR]. Types de données exfiltrées Les informations personnelles sur les employés et les clients constituent désormais l'essentiel des compromissions. Tout laisse penser qu'en termes d'incidents, les différences entre secteurs tendront à s'amenuiser à mesure que les numéros de cartes de crédit volés perdront de la valeur et que celle des informations personnelles, médicales et du capital intellectuel augmentera. Les informations personnelles sur les employés et les clients constituent désormais l'essentiel des compromissions signalées. Les données de paiement se classent en troisième place, mais loin derrière [DX]. Cette évolution concerne également le format des documents volés, puisque ce sont les données non structurées des fichiers Microsoft Office, des PDF et fichiers texte qui sont les plus susceptibles d'être impliquées dans une compromission. Les systèmes de détection des intrusions et de prévention des fuites de données sont les solutions les plus aptes à identifier et à prévenir les compromissions. Types de contrôles de fuites de données mis en place De nombreuses entreprises se contentent toujours de déployer des mécanismes élémentaires de protection contre les fuites de données, conçus pour les données structurées, alors que les fuites visent de plus en plus souvent des données non structurées. Les outils de prévention des fuites de données ont recours à un large éventail de mécanismes pour surveiller ou bloquer les compromissions potentielles — notamment les expressions régulières, les dictionnaires, le mappage des données non structurées et les systèmes de classification des données. Le plus simple consiste à recourir aux expressions régulières qui peuvent être rapidement configurées pour rechercher des numéros de carte de crédit, de sécurité sociale et d'autres éléments structurés. Toutefois, se limiter aux seules expressions régulières ne suffit plus dans la mesure où la valeur des données personnelles et non structurées augmente. Malheureusement, près de 20 % des sociétés s'en contentent encore [DPB]. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 11 Points marquants Utilisation des mécanismes de configuration DLP 40 % 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1 De 1 000 à 3 000 employés 2 De 3 001 à 5 000 employés 3 4 Plus de 5 000 employés Source : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données) On constate sans surprise que les petites sociétés sont les plus susceptibles d'utiliser cette configuration de base, de même que les sociétés de services financiers en raison de la nature structurée de la plupart de leurs données. Par contre, les expressions régulières constituent la seule option de configuration pour 27 % des sociétés américaines et 35 % de leurs homologues du RoyaumeUni, des pourcentages bien trop élevés dans des pays très souvent pris pour cible. Il existe par ailleurs peu de corrélation entre la durée d'existence de l'implémentation de ce mécanisme de base et sa durée d'utilisation. Cela laisse penser qu'un nombre trop élevé d'entreprises se contentent d'une configuration initiale unique, ce qui constitue une approche risquée dans un monde où les cyberattaques évoluent à un rythme rapide. Il est également préoccupant de constater que 5 % des répondants, tous des professionnels de la sécurité, ignorent tout du fonctionnement de leur technologie de prévention des fuites de données [DPB]. Formations de sensibilisation à la sécurité pour le personnel La plupart des entreprises semblent conscientes de la nécessité d'informer leurs utilisateurs de la valeur des données qu'ils utilisent et de solliciter leur participation dans la prévention des fuites. Plus de 85 % des entreprises ont mis en place des formations de sensibilisation à la sécurité et à la valeur des données et les renforcent par l'affichage de messages ou d'autres méthodes de notification. La distribution par secteurs reste conforme aux autres éléments préalablement analysés puisque près de 90 % des sociétés de services financiers, des commerces de détail et des établissements de soins de santé mettent en place un processus d'information et de formation des utilisateurs, alors qu'ils ne sont que 75 % à le faire dans le secteur de la fabrication. Dans l'ensemble, le secteur public va encore plus loin puisque 40 % notifient automatiquement le superviseur de l'utilisateur [DPB]. Partager ce rapport Bien que l'étude d'Intel Security ne se soit pas intéressée à l'efficacité de telles formations, d'autres l'ont fait. L'étude de PricewaterhouseCoopers sur l'état de la cybercriminalité en 2014 (2014 US State of Cybercrime Survey) a révélé que les formations de sensibilisation à la sécurité dispensées aux nouvelles recrues ont joué un rôle dans la prévention d'attaques potentielles et diminué sensiblement les pertes financières moyennes annuelles résultant d'incidents de cybersécurité. Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 12 Points marquants Méthodes d'exfiltration des données Alors que près de 40 % des fuites de données impliquent un support physique quelconque, la surveillance des terminaux, y compris les activités des utilisateurs et les supports physiques, est implémentée dans 37 % seulement des entreprises. Même si les cibles des vols de données évoluent, les méthodes, elles, ne changent pas. Les cyberattaques ont gagné en sophistication sur le plan technique et exploitent plus souvent des informations recueillies sur les réseaux sociaux pour renforcer leur crédibilité, mais les principaux mécanismes utilisés restent essentiellement les mêmes. Le piratage, les logiciels malveillants et l'ingénierie sociale sont les méthodes les plus souvent utilisées dans les effractions informatiques et continuent d'augmenter plus rapidement que les autres [DBIR]. Étonnamment, l'exfiltration des données repose encore sur des moyens physiques puisque 40 % impliquent des ordinateurs portables et des clés USB. Les protocoles web, les transferts de fichiers et l'e-mail représentent les trois principales méthodes d'exfiltration électroniques [DX]. Surveillance des mouvements de données Bon nombre de sociétés ne surveillent pas les mouvements de données là où elles le devraient. Alors que près de 40 % des fuites de données impliquent un support physique quelconque [DX], la surveillance des terminaux, y compris les activités des utilisateurs et les supports physiques, est implémentée dans 37 % seulement des entreprises [DPB]. La surveillance réseau des données en mouvement sur le réseau approuvé et au niveau de ses points d'entrée et de sortie est la solution la plus fréquemment déployée (44 %), ce qui devrait au moins permettre de détecter la plupart des fuites de données (60 %) impliquant des technologies réseau comme l'e-mail, les protocoles web et les transferts de fichiers. Alors que près de 60 % des répondants ont déployé des applications dans le cloud [DX] et que près de 90 % affirment disposer d'une forme quelconque de stratégie de protection pour le traitement ou le stockage dans le cloud, seuls 12 % ont implémenté une solution capable de leur offrir une réelle visibilité sur les activités liées aux données dans le cloud [DPB]. Peut-être confondentils protection des données et sécurité du cloud et supposent-ils à tort que les services de sécurité offerts par les fournisseurs de services cloud suffisent. Enfin, seuls 7 % procèdent à une découverte proactive des données pour identifier les ressources qu'ils possèdent et leurs emplacements de stockage. Compte tenu de la valeur accrue des informations personnelles et du capital intellectuel, et de la prévalence de l'exfiltration des documents non structurés, la classification automatisée des données devient une technologie essentielle pour détecter et prévenir les fuites de données. Surveillance des activités Utilisation suspecte de la messagerie (p. ex. pour communiquer avec des concurrents) Partage ou accès aux informations d'identification personnelle (PII) ou aux données médicales personnelles (PHI) des employés Utilisation inappropriée des données financières de l'entreprise (p. ex. envoi de rapports financiers par e-mail) Partage ou accès aux informations d'identification personnelle (PII) ou aux données médicales personnelles (PHI) des clients Partage ou accès aux informations de crédit personnelles (PCI) Partage ou accès au capital intellectuel confidentiel de l'entreprise (p. ex. plans stratégiques, plans CAO, listes de clients, etc.) 0 Partager ce rapport 20 % 40 % 60 % Source : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données) Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 13 Points marquants Surveiller de près les données en mouvement est un excellent moyen d'identifier des activités anormales ou suspectes, souvent le signe d'une perte de données potentielle. Globalement, il semble que les entreprises se concentrent sur les activités qui s'apparentent le plus aux méthodes d'exfiltration courantes puisque près de 70 % surveillent les activités suspectes liées à l'e-mail et plus de 50 % accordent aussi une grande attention au partage ou à l'accès inapproprié des données financières et des informations sensibles sur les clients ou les employés [DPB]. Plus de 25 % des entreprises ne surveillent pas du tout le partage ou l'accès aux informations sensibles sur les clients ou employés. De même, seuls 37 % surveillent les deux. Toutefois, plus de 25 % des entreprises ne surveillent pas du tout le partage ou l'accès aux informations sensibles sur les clients ou employés. De même, seuls 37 % surveillent les deux, même si ce pourcentage grimpe à près de 50 % pour les entreprises de plus grande taille. La surveillance des informations personnelles augmente aussi selon le niveau de maturité et la durée d'existence des solutions de prévention des fuites de données. Les méthodes de configuration ont également un impact considérable. 65 % des répondants qui ne comprennent pas le fonctionnement de la technologie ne surveillent pas du tout l'usage des informations personnelles. En revanche, 90 % de ceux qui ont activé ces fonctionnalités surveillent les informations du personnel ou des clients, ou les deux. Dans la mesure où les informations d'identification personnelle et les données médicales personnelles sont devenues les cibles principales des vols, la surveillance de ces données est essentielle pour détecter et prévenir les compromissions [DPB]. Les activités à risque Les déploiements de nouveaux projets et les restructurations internes sont les deux activités les plus susceptibles d'augmenter les incidents liés aux fuites de données. Comme les cybercriminels sont constamment à l'affût de données de valeur, certaines activités de l'entreprise peuvent contribuer à une augmentation du nombre d'incidents car elles impliquent une innovation ou un changement qui n'a pas encore été efficacement protégé. Les nouveaux projets et produits, les restructurations et les activités de planification stratégique figurent parmi les principales activités susceptibles de favoriser une augmentation des incidents de sécurité. Toutefois, leur évidence et la formation qui accompagne leur lancement tendent à maintenir l'augmentation en deçà des 10 %. À l'inverse, des rapports financiers à paraître, par exemple les résultats trimestriels, et l'utilisation des réseaux sociaux par le personnel, qui figurent en bas du classement des activités à risque, sont plus susceptibles d'entraîner une augmentation de 10 à 20 %, voire plus [DPB]. L'utilisation des réseaux sociaux par les employés mérite pourtant notre attention dans la mesure où elle fournit aux cybercriminels une autre source d'annonces inédites et peut servir à mieux cibler et optimiser les attaques de phishing et de vol d'identifiants. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 14 Points marquants Activités à l'origine de l'augmentation des incidents de sécurité Déploiement de nouveaux projets (p. ex. campagnes marketing, tarifs promotionnels) Restructuration interne Lancement de nouveaux produits (p. ex. matériel ou logiciels) Activités de planification stratégique d'entreprise (p. ex. annonces d'entreprise) Pics saisonniers de demande Fusion/acquisition ou cession Rapports financiers (p. ex. résultats trimestriels ou annuels) Utilisation des réseaux sociaux par les employés Pas de raison particulière à l'augmentation 0 10 % 20 % 30 % 40 % Source : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données) Il est intéressant de souligner que les grandes entreprises et celles qui signalent le nombre le plus élevé d'incidents par jour connaissent également le pourcentage d'augmentation le plus élevé d'incidents signalés après la plupart de ces activités. Cela peut être dû à un manque de planification, de formation en sécurité ou de mise à jour des configurations avant l'événement étant donné que les nouvelles données enregistrent une hausse brusque des activités liées et un pic de fuites comparable avant d'être correctement protégées. Nombre d'incidents de fuites de données par jour 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1à5 6 à 10 11 à 20 21 à 30 31 à 40 41 à 75 Plus de 75 Nombre de mécanismes de configuration DLP 1 Partager ce rapport 2 3 4 Source : Intel Security 2016 Data Protection Benchmark Study (Étude de référence 2016 d'Intel Security sur la protection des données) Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 15 Points marquants Pas de prévention sans analyse Paradoxalement, les entreprises qui ont déployé le plus de fonctions de détection des fuites de données sont aussi les plus nombreuses à reconnaître être toujours victimes de fuites de données. L'identification des faux négatifs est sans doute l'aspect le plus complexe de la prévention des fuites de données. L'une des questions les plus intéressantes de l'étude était de savoir si les entreprises continuaient d'être confrontées à des fuites de données après avoir mis en place une solution de prévention. Elle nous a permis de déterminer leur capacité à évaluer la situation, en d'autres termes, si elles exploitaient correctement leurs outils et respectaient les bonnes pratiques, ou si elles ne disposaient pas d'une visibilité suffisante sur les incidents intervenus. Les résultats sont conformes aux attentes, compte tenu du pourcentage élevé de compromissions détectées par des entités externes. Les entreprises qui ont déployé le plus de fonctions de détection des fuites de données sont aussi les plus nombreuses à reconnaître être toujours victimes de fuites de données. En revanche, de l'autre côté du spectre, 23 % des répondants qui ne comprennent pas le fonctionnement de cette technologie ne savent pas s'ils continuent à subir d'importantes fuites de données. Plus préoccupant encore, les 77 % restants de ce groupe sont convaincus de ne pas être victimes de fuites de données. Or, comment pourraient-ils le savoir ? Ce sentiment de fausse sécurité peut être dangereux. Les répondants qui surveillent un nombre plus limité de ressources signalent également un nombre plus faible d'incidents, ce qui laisse supposer qu'ils ne disposent pas d'une visibilité suffisante pour détecter et prévenir les fuites de données [DPB]. Conclusions Le délai entre les fuites de données et la découverte de la compromission s'allonge. Les fuites de données sont une réalité et bien trop d'entreprises sont victimes de compromissions. Pire encore, celles-ci ne sont que rarement détectées par les équipes de sécurité internes, ce qui allonge le délai entre la détection et l'application de mesures correctives. Et si l'équipe interne ne détecte pas les compromissions, elle est d'autant plus incapable de les prévenir. Les prestataires de soins de santé et les fabricants sont des cibles faciles. Les secteurs qui possèdent un important volume de données de cartes de paiement sont aussi les plus évolués en matière de systèmes et pratiques de prévention des fuites de données. Cela étant, les types de données ciblées par les cybercriminels évoluent puisqu'ils préfèrent désormais les informations d'identification personnelle, les données médicales protégées et le capital intellectuel. En conséquence, les secteurs qui possèdent des systèmes moins matures, notamment les soins de santé et la fabrication, sont exposés à un risque élevé. L'approche préventive classique est de plus en plus inefficace au vu de l'évolution des cibles des vols de données. Le volume croissant de données non structurées convoitées par les cybercriminels complique la tâche des équipes de sécurité. En effet, ce type de données est plus difficile à surveiller à l'aide d'expressions régulières, mieux adaptées aux données structurées. Par conséquent, les sociétés qui se contentent toujours de configurations de prévention des fuites de données simples et par défaut peuvent penser à tort que leur protection est plus efficace qu'elle ne l'est en réalité. La plupart des entreprises ne surveillent pas le deuxième vecteur le plus courant des fuites de données. Seul un tiers des entreprises interrogées applique des contrôles à la deuxième source la plus importante de fuites de données : les supports physiques. La prévention des fuites de données est implémentée pour les bonnes raisons. Globalement, la protection des données est la principale raison d'implémenter des solutions de prévention des fuites de données, avant le respect des obligations légales et réglementaires. C'est une bonne nouvelle dans la mesure où l'accent est désormais mis sur l'ensemble du cycle de vie des données. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 16 Points marquants La visibilité est capitale. La visibilité fournit les informations dont nous avons besoin pour agir. En comparant plusieurs bonnes pratiques aux réponses concernant les fuites de données, nous constatons que les répondants qui utilisent des outils de classification des données, des messages automatiques de sensibilisation à la sécurité, des formations sur la valeur des données et des solutions plus évoluées sont plus susceptibles de signaler régulièrement des fuites de données, vraisemblablement parce qu'ils les détectent en interne. Les produits de prévention des fuites de données incluent une série de fonctions de détection et il est conseillé d'activer un maximum d'entre elles. Au départ, cela risque d'augmenter le nombre d'incidents quotidiens, mais il baissera rapidement une fois que vous aurez créé des règles de filtrage des faux positifs. Il est préférable d'être confronté initialement à un nombre plus élevé de faux positifs que d'avoir un nombre inconnu de faux négatifs. Stratégies et procédures recommandées pour mettre en place une prévention des fuites de données efficace Il est essentiel que les entreprises créent des stratégies et procédures de prévention des fuites de données pour éviter les transferts accidentels ou délibérés de données sensibles à des parties non autorisées. Un projet bien abouti de prévention des fuites de données commence par la planification et la définition des impératifs métier. Ainsi, en phase de planification, il est nécessaire d'aligner les stratégies de classification des données et de prévention des fuites de données sur les politiques de confidentialité et les normes de partage des données de l'entreprise. La définition d'impératifs métier rationnels et logiques permet de mieux délimiter le périmètre du projet de prévention des fuites de données et d'éviter la dérive des objectifs. Une étape importante du projet consiste à identifier les données sensibles dans l'entreprise. Les technologies d'analyse des serveurs et des terminaux permettent de classer les fichiers sur la base d'expressions régulières, de dictionnaires et de types de données non structurées. Les produits de prévention des fuites de données intègrent souvent des catégories de données sensibles, par exemple les données de cartes de paiement ou les données médicales personnelles, ce qui peut accélérer le processus de découverte. Il est également possible de créer un système de classification personnalisé pour identifier des types de données propres à l'entreprise. L'exécution de cette étape peut être compliquée par l'hébergement dans le cloud d'applications approuvées et interdites par le service informatique, et leurs données connexes. En ce qui concerne les données approuvées hébergées dans le cloud, les données sensibles doivent idéalement être identifiées lors du processus d'abonnement au service cloud. Lorsque c'est le cas, la classification de ce type de données est relativement simple. Cela dit, les groupes fonctionnels au sein des entreprises évitent parfois de passer par le service informatique pour satisfaire leurs objectifs métier et s'abonnent aux services cloud de leur propre chef. Si l'équipe informatique ne connaît pas l'existence de ces services et des données qu'ils hébergent, il existe un risque accru de fuites de données. Par conséquent, il est important, lors de cette étape, de collaborer avec les groupes fonctionnels afin d'identifier les emplacements des données dans le cloud et d'utiliser le processus décrit précédemment pour catégoriser celles-ci. Au terme du processus de découverte des données sensibles, l'implémentation de solutions de prévention des fuites de données au sein du réseau approuvé et sur tous les terminaux peut offrir la visibilité et le contrôle requis sur les données importantes, au repos et en mouvement. Il est utile d'implémenter des stratégies pour détecter un accès ou un mouvement imprévu de données sensibles. Des événements tels que le transfert de données sensibles sur des clés USB ou via le réseau vers un emplacement externe peuvent être soit une activité normale, soit une action délibérée ou accidentelle susceptible d'entraîner des fuites de données. Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 17 Points marquants Une formation de sensibilisation à la sécurité bien conçue peut diminuer la probabilité de telles compromissions. Des écrans de justification peuvent rappeler aux utilisateurs de prendre les précautions appropriées lors du transfert de données sensibles et les sensibiliser aux stratégies de protection des données en vigueur tout au long de leurs journées de travail. Ainsi, un écran de justification peut avertir les utilisateurs que leur transfert de données sensibles est contraire à la politique d'entreprise et leur fournir des solutions alternatives, par exemple en leur conseillant de supprimer les données sensibles avant de réessayer le transfert. Pour savoir comment les produits Intel Security peuvent améliorer la protection contre les fuites et les vols de données, cliquez ici. Les propriétaires des données sont généralement les mieux placés pour déterminer comment celles-ci sont utilisées et quels sont les usages permis. Il serait donc préférable de leur confier la mission et la capacité d'effectuer le tri dans les incidents de fuites de données. La division des responsabilités entre les propriétaires de données et l'équipe de sécurité réduit la possibilité qu'une équipe contourne les stratégies de protection des données. Après avoir déterminé les mouvements de données approuvés et intégré les stratégies contrôlant ces mouvements aux solutions de prévention des fuites de données, vous pouvez activer les stratégies de blocage des transferts non autorisés de données sensibles. Lorsque le blocage est activé, les utilisateurs ne sont pas en mesure d'effectuer des actions contraires aux stratégies définies. Selon les impératifs métier, il est possible d'optimiser les stratégies et les règles afin de garantir une certaine flexibilité et de laisser aux utilisateurs la possibilité d'accomplir leur travail tout en assurant la sécurité des données. À mesure que le projet de prévention des fuites de données avance, il est important de valider et d'optimiser les stratégies à intervalles planifiés. Il arrive que les stratégies soient trop restrictives ou, au contraire, trop laxistes, les premières affectant la productivité tandis que les secondes posent un risque pour la sécurité. Pour savoir comment les produits Intel Security peuvent améliorer la protection contre les fuites et les vols de données, cliquez ici. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 18 Points marquants Les hôpitaux en danger : des logiciels de demande de rançon infectent les hôpitaux —Joseph Fiorella et Christiaan Beek Ces dernières années, le ransomware est devenu un sujet de préoccupation majeure pour tous les professionnels de la sécurité. Cet outil de cyberattaque très efficace est largement exploité par les cyberpirates pour perturber les activités des entreprises et s'enrichir à leurs dépens. Depuis quelques années, le choix des cibles a évolué : les pirates préfèrent désormais les entreprises aux particuliers, car elles rapportent davantage. Ils privilégiaient initialement les PME, en raison du manque de sophistication de leurs infrastructures informatiques et des moyens limités dont elles disposent le plus souvent pour neutraliser de telles attaques. Les auteurs de ransomware savaient que ces victimes avaient rarement d'autre choix que de payer la rançon. En 2016, les auteurs de ransomware ont visé de plus en plus le secteur des soins de santé, principalement les hôpitaux. Cette année, par contre, ils se sont tournés vers le secteur des soins de santé, et en particulier les hôpitaux. Le secteur a connu sa part de compromissions de données ces dernières années, mais aujourd'hui, nous observons un chargement de tactique. Au lieu d'utiliser des techniques d'exfiltration de données complexes pour voler des informations et les revendre sur les marchés clandestins, les attaquants ont recours à des kits d'outils faciles à utiliser pour distribuer le ransomware et contraindre les victimes à payer sans délai. C'est tout bénéfice pour les attaquants qui n'ont même plus besoin de voler les données. Un des meilleurs exemples de cette récente évolution est l'attaque lancée au 1er trimestre contre un groupe d'hôpitaux, dont un situé dans la région de Los Angeles. L'enquête menée par Intel Security sur cette série d'attaques a permis de relever plusieurs caractéristiques intéressantes qu'on ne retrouve généralement pas dans les attaques sophistiquées. Examinons à présent ces découvertes et efforçons-nous de comprendre pourquoi le secteur des soins de santé est devenu une cible facile. Pourquoi les hôpitaux sont-ils des cibles faciles ? En effet, ces derniers possèdent généralement des systèmes assez anciens et des équipements médicaux mal sécurisés, et ils ont besoin d'un accès instantané à l'information. Les professionnels responsables du fonctionnement et de la gestion des réseaux et systèmes informatiques des hôpitaux sont confrontés à plusieurs défis. Nombre d'entre eux sont face à des infrastructures vétustes, mais qui doivent impérativement rester opérationnelles en toutes circonstances. L'équipe informatique prenant en charge ces systèmes critiques est confrontée à trois problèmes majeurs. ■■ ■■ ■■ Veiller à ne pas perturber les soins dispensés aux patients. Protéger les hôpitaux contre les compromissions de données et éviter qu'ils fassent la une des journaux. Assurer le support d'équipements vieillissants dotés de systèmes d'exploitation archaïques. Malheureusement, il n'existe pas de remède miracle. En cas d'attaque de ransomware, les soins aux patients peuvent être gravement perturbés. Voici peu, un organisme de soins de santé de Columbia dans le Maryland a été victime d'une attaque et d'une compromission de ses systèmes. Au moment de l'attaque, le personnel a constaté l'apparition de messages pop-up exigeant le paiement d'une rançon en bitcoins. En réaction, l'organisme a déconnecté une partie du réseau, ce qui a provoqué de graves perturbations. Les prestataires de soins n'ont pas pu prendre les rendez-vous des patients ni examiner des dossiers médicaux critiques. Les services ont été interrompus au sein de son réseau de cliniques et d'hôpitaux. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 19 Points marquants Les compromissions de données peuvent avoir un impact durable sur les organismes de soins de santé. Les patients choisissent souvent un hôpital en fonction de la qualité des soins et de sa réputation. Si celle-ci est entachée par une attaque de ransomware, les patients peuvent se tourner vers d'autres établissements et les médecins décider d'exercer ailleurs. En conséquence, l'impact financier peut être considérable à court terme (pour se remettre de l'attaque) et à long terme (mauvaise presse entraînant une diminution du nombre de patients). De nombreux hôpitaux éprouvent des difficultés à intégrer des nouvelles technologies à des systèmes souvent archaïques, et les systèmes d'exploitation utilisés dans les blocs opératoires sont généralement assez anciens alors qu'ils sont capitaux pour la vie des patients. Certains équipements médicaux fonctionnent uniquement sous Windows XP parce que le fournisseur de matériel ou de logiciels a mis la clé sous la porte ou ne s'est pas adapté aux nouvelles technologies. Les cybercriminels en sont parfaitement conscients et c'est la raison pour laquelle les équipements médicaux sont devenus des cibles de choix pour les attaques de ransomware. Une récente étude du Ponemon Institute révèle que la cause la plus fréquente de la compromission d'un organisme de soins de santé est une attaque criminelle. Quelle est la cause première de la compromission des données du prestataire de soins de santé ? (Plusieurs réponses admises) Attaque criminelle Erreur commise par un tiers Vol d'un terminal informatique Action involontaire d'un employé Dysfonctionnement des systèmes techniques Action malveillante d'un utilisateur interne Action volontaire non malveillante d'un employé 0 10 % 2016 20 % 30 % 40 % 50 % 2015 Source : Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data (6e étude de référence annuelle sur la confidentialité et la sécurité des données médicales), mai 2016, Ponemon Institute Dans le cadre de cette même étude, ils ont demandé aux organismes de soins de santé d'identifier leur problème de sécurité majeur. Leurs réponses concordent avec nos observations. Les nombreuses attaques de ransomware que nous avons étudiées sont souvent le fait d'une action involontaire d'un employé, par exemple le clic sur un lien ou l'ouverture d'une pièce jointe d'un e-mail. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 20 Points marquants Menaces pour la sécurité qui préoccupent le plus les prestataires de santé (Trois réponses admises) Négligence du personnel Cyberpirates Absence de sécurité sur les terminaux mobiles Utilisation de services de cloud public Utilisateurs internes par malveillance Équipements mobiles appartenant au personnel ou BYOD Usurpations d'identité Applications mobiles non sécurisées (eHealth) Défaillance des processus Défaillance des systèmes Équipements médicaux non sécurisés Autre 0 15 % 2016 30 % 45 % 60 % 75 % 2015 Source : Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data (6e étude de référence annuelle sur la confidentialité et la sécurité des données médicales), mai 2016, Ponemon Institute La présence d'anciens systèmes mal sécurisés alliée à un manque de sensibilisation du personnel à la sécurité, à des effectifs dispersés et à la nécessité d'un accès instantané à l'information sont autant de facteurs qui ont conduit les cybercriminels à s'en prendre aux hôpitaux. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 21 Points marquants Étapes d'une attaque de ransomware contre un hôpital Un utilisateur reçoit en pièce jointe un document Word et un message lui demande d'activer une macro. Celle-ci commande à un utilitaire de téléchargement de récupérer la charge active. Une fois la charge active déposée, une série d'événements s'enchaîne et mène à l'infection par le ransomware. Après quoi, le logiciel malveillant se propage latéralement aux autres systèmes, chiffrant au passage un grand nombre de fichiers. Dans de nombreux cas, le succès de ces attaques est dû à l'excès de confiance de certains membres du personnel. Ceux-ci ont cliqué sur un lien ou ouvert une pièce jointe malveillante qui a déclenché une série d'événements menant à l'infection par le logiciel de demande de rançon. L'une de ces attaques a, par exemple, utilisé la variante de ransomware Locky. Locky supprime les clichés instantanés créés par le service Capture instantanée de volume pour empêcher les administrateurs de restaurer des configurations du système local à partir des sauvegardes. Malheureusement pour les hôpitaux, ce type de logiciel malveillant ne se contente pas d'endommager les équipements informatiques traditionnels. Il peut également infecter les appareils médicaux, notamment ceux utilisés par le service d'oncologie et les appareils IRM. La protection et le nettoyage de ces équipements est généralement plus compliqué que dans le cas des postes de travail et des serveurs standard. La plupart d'entre eux fonctionnent sous d'anciennes versions de système d'exploitation et, dans certains cas, ne peuvent même pas prendre en charge les technologies de sécurité nécessaires pour se protéger contre des attaques de ransomware avancées. Qui plus est, comme de nombreux appareils jouent un rôle critique dans les soins dispensés aux patients, une disponibilité élevée est essentielle. Attaques ciblées de ransomware contre les hôpitaux En février 2016, un hôpital californien a été victime d'une attaque de ransomware. L'hôpital aurait versé une rançon de 17 000 dollars pour restaurer ses fichiers et systèmes après avoir connu une indisponibilité des services pendant 5 jours ouvrables. En février 2016, un hôpital californien a été la cible d'un ransomware et, selon les premiers renseignements, les pirates auraient réclamé une rançon de 9 000 bitcoins, soit environ 5,77 millions de dollars. L'hôpital californien a en réalité versé une rançon de 17 000 dollars pour restaurer ses fichiers et systèmes après avoir connu une indisponibilité des services pendant 5 jours ouvrables. Bien que de nombreux hôpitaux aient été infectés par des ransomwares, cette attaque, tout comme plusieurs autres lancées à la même période, est assez inhabituelle dans la mesure où l'hôpital a été victime d'un ransomware très ciblé. Une méthode inédite pour les attaques ciblées du 1er trimestre Les ransomwares sont le plus souvent distribués par des e-mails de phishing dont les objets sont par exemple « Échec de remise » ou « Mon CV », contenant des pièces jointes qui téléchargent le logiciel de demande de rançon. Une autre méthode très prisée de pirates est le kit d'exploits. Pourtant ni l'une ni l'autre n'a été utilisée dans le cadre des attaques ciblées du 1er trimestre. Les attaquants ont choisi ici d'exploiter les instances vulnérables d'un serveur web JBoss. À l'aide de l'outil open source JexBoss, ils ont recherché des serveurs web JBoss vulnérables et envoyé un exploit pour lancer un shell sur ces hôtes. Les auteurs du ransomware ont utilisé un outil open source pour identifier les vulnérabilités présentes dans les systèmes de l'hôpital. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 22 Points marquants Une fois les serveurs infectés, les attaquants ont utilisé des outils courants pour mapper le réseau approuvé. Au moyen de scripts de commandes, ils ont lancé des commandes sur les systèmes actifs. L'une d'elles a supprimé tous les clichés instantanés des volumes afin d'empêcher la restauration des fichiers. Ce script de commandes supprime tous les clichés instantanés des volumes afin d'empêcher la restauration des fichiers. Ces attaques sont uniques en cela que le code de commande figure dans des fichiers de commandes. Dans la plupart des familles de ransomware, les commandes sont incluses dans le code exécutable. Pour quelle raison les attaquants ont-ils séparé les commandes et le code exécutable ? Nous pensons que de nombreuses solutions de sécurité détectent les commandes en texte clair du code exécutable et génèrent des signatures basées sur ce comportement. Tout porte à croire que les attaquants ont choisi cette approche pour contourner les mesures de sécurité. Pour découvrir l'analyse approfondie réalisée par l'équipe de chercheurs en menaces avancées d'Intel Security sur l'attaque du ransomware samsam, cliquez ici. Le script qui précède montre également que le fichier samsam.exe est copié sur les serveurs cibles dans le fichier list.txt. Cette famille de ransomware porte le nom de samsam, samsa, Samas ou Mokoponi, selon l'évolution de l'échantillon. Des pirates « honorables » Peu de temps après avoir pris connaissance de l'attaque de l'hôpital californien, plusieurs pirates informatiques ont réagi dans les forums clandestins. Ainsi, le porte-parole russe d'un célèbre forum de pirates a exprimé son mécontentement et condamné l'action des auteurs de ces attaques. Il faut savoir que les cercles clandestins russes partagent un « code d'honneur » qui interdit de s'en prendre aux hôpitaux même dans les pays cibles de leurs campagnes cybercriminelles. Sur un autre forum criminel spécialisé dans l'échange de bitcoins, les membres ont aussi vivement critiqué les attaques lancées contre les hôpitaux. Les discussions se sont poursuivies sur plus de sept pages. En voici quelques extraits : Dumbest hackers ever , like they couldn’t hack anything else . This kind of things will kill Bitcoin if they continue to do this shit Yes, this is pretty sad and a new low. These ransom attacks are bad enough, but if someone were to die or be injured because of this it is just plain wrong. The hospital should have backups that they can recover from, so even if they need to wipe the system clean it would result in only a few days of lost data, or data that would later need to be manually input, but the immediate damage and risk is patient safety. Au vu de l'analyse du code, nous ne pensons pas que les attaques de ransomware du 1er trimestre étaient le fait d'attaquants habituels. Le code et l'attaque ont été efficaces mais peu sophistiqués. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 23 Points marquants Attaques contre les hôpitaux au cours du 1er semestre 2016 Date Victime Menace Zone 06/01/2016 Hôpital au Texas Ransomware États-Unis 06/01/2016 Hôpital au Massachusetts Ransomware États-Unis 06/01/2016 Plusieurs hôpitaux en Rhénanie-du-Nord-Westphalie Ransomware Allemagne 06/01/2016 2 hôpitaux Ransomware Australie 19/01/2016 Hôpital à Melbourne Ransomware Australie 03/02/2016 Hôpital Ransomware Royaume-Uni 03/02/2016 Hôpital Ransomware Corée 03/02/2016 Hôpital Ransomware États-Unis 12/02/2016 Hôpital Ransomware Royaume-Uni 12/02/2016 Hôpital Ransomware États-Unis 27/02/2016 Service de santé en Californie Ransomware États-Unis 05/03/2015 Hôpital à Ottawa Ransomware Canada 16/03/2016 Hôpital au Kentucky Ransomware États-Unis 18/03/2016 Hôpital en Californie Ransomware États-Unis 21/03/2016 Cabinet dentaire en Géorgie Ransomware États-Unis 22/03/2016 Hôpital au Maryland Ransomware États-Unis 23/03/2016 Hôpital Publicités malveillantes États-Unis 25/03/2016 Hôpital en Iowa Logiciels malveillants États-Unis 28/03/2016 Hôpital au Maryland Ransomware États-Unis 29/03/2016 Hôpital en Indiana Ransomware États-Unis 31/03/2016 Hôpital en Californie Ransomware États-Unis 09/05/2016 Hôpital en Indiana Logiciels malveillants États-Unis Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 24 Points marquants Date Victime Menace Zone 16/05/2016 Hôpital au Colorado Ransomware États-Unis 18/05/2016 Hôpital au Kansas Logiciels malveillants États-Unis L'équipe de chercheurs spécialisés dans les menaces avancées d'Intel Security a recueilli des données publiques et internes pour faire la lumière sur les incidents dont ont été victimes les hôpitaux au cours du 1er semestre 2016. Ces données révèlent que la plupart des attaques sont liées au ransomware. Certaines d'entre elles, mais pas toutes, étaient des attaques ciblées. Le ransomware rapporte-t-il gros ? Intel Security a découvert qu'au 1er trimestre, une vague d'attaques liées ciblant les hôpitaux a rapporté environ 100 000 dollars en rançons. Dans le cas des attaques ciblées du 1er semestre contre les hôpitaux (samsam), nous avons identifié une multitude de portefeuilles de bitcoins utilisés pour transférer les paiements des rançons. Après avoir analysé plus en détail les transactions, nous avons découvert que le montant des rançons payées s'élevait à environ 100 000 dollars. Dans un forum clandestin, l'offre de code de ransomware d'un développeur montre le montant des rançons obtenues par les acheteurs. Le développeur propose des captures d'écran illustrant le total des transactions et la preuve que le code de ransomware n'est pas détecté par les solutions de sécurité. Dans cet exemple, un développeur de ransomware propose une capture d'écran d'un portail permettant d'administrer et de suivre des campagnes. Pour améliorer sa notoriété, le même développeur partage un lien vers un fournisseur de chaîne de blocs (« blockchain ») de Bitcoin avec un historique des transactions et le détail du portefeuille. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 25 Points marquants Intel Security a appris que l'auteur et le distributeur du ransomware ont empoché quelque 189 813 bitcoins au cours des campagnes, soit près de 121 millions de dollars. Bien sûr, ces campagnes ont un certain coût, notamment la location des réseaux de robots et l'achat de kits d'exploits. Il n'en reste pas moins que le solde actuel s'élève à 94 millions de dollars, une somme que le développeur prétend avoir gagnée en 6 mois. Ces campagnes illustrent les montants qu'il est possible de gagner, rapidement qui plus est, grâce aux attaques de ransomware. Exemple d'analyse d'une transaction en bitcoins En examinant les informations connues concernant les attaques de ransomware illustrées au tableau précédent, nous pouvons en conclure que la plupart des victimes n'ont pas versé de rançon. Par contre, les hôpitaux visés par le ransomware samsam ont apparemment payé. Pour découvrir l'analyse de l'impact financier d'une attaque de ransomware lancée contre un hôpital, lisez l'article « Healthcare Organizations Must Consider the Financial Impact of Ransomware Attacks » (Les organismes de soins de santé doivent prendre en compte les répercussions financières d'une attaque de ransomware) sur Dark Reading. Le montant des rançons varie. Les coûts directs les plus importants étaient liés à l'indisponibilité (perte de revenus), aux interventions sur incident, à la restauration des systèmes, aux services d'audit et à d'autres frais de nettoyage. Dans les rapports que nous avons étudiés, les organismes de soins de santé ont connu une indisponibilité au moins partielle de cinq à dix jours. Stratégies et procédures Pour protéger les systèmes contre les logiciels de demande de rançon, il est essentiel d'être conscient du problème et informé des modes de propagation de ces menaces. Voici plusieurs stratégies et procédures que les hôpitaux devraient mettre en œuvre pour limiter les chances de succès d'une attaque de ransomware : ■■ ■■ ■■ Élaborez un plan d'action qui pourra être mis à exécution dans l'éventualité d'une attaque. Sachez où résident les données critiques et déterminez s'il existe un moyen de les infiltrer. Effectuez des exercices de reprise après sinistre et de continuité des activités avec la cellule d'urgence de l'hôpital, pour valider les objectifs de délai et de point de reprise. Ces exercices peuvent permettre d'identifier des conséquences cachées sur le fonctionnement de l'hôpital qui n'apparaissent pas lors des tests de sauvegarde habituels. La plupart des hôpitaux ont dû verser la rançon car ils ne possédaient pas de plan de secours. Veillez à appliquer les correctifs nécessaires aux systèmes. De nombreuses vulnérabilités exploitées par les logiciels de demande de rançon peuvent être corrigées. Installez les derniers correctifs disponibles pour les systèmes d'exploitation, Java, Adobe Reader, Flash et les différentes applications. Mettez en place une procédure de déploiement des patchs et correctifs, et vérifiez si ceux-ci ont été correctement appliqués. Pour les systèmes plus anciens de l'hôpital et les équipements médicaux auxquels il n'est pas possible d'appliquer des correctifs, limitez le risque en implémentant une technologie de listes blanches d'applications qui verrouille les systèmes et empêche l'exécution de programmes non autorisés. Isolez ces systèmes et équipements du reste du réseau à l'aide d'un pare-feu ou d'un système de prévention des intrusions. Désactivez les ports et les services superflus sur ces systèmes pour limiter les points d'entrée possibles d'une infection. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 26 Points marquants ■■ ■■ Pour savoir comment les produits Intel Security peuvent protéger les hôpitaux contre le ransomware, cliquez ici. ■■ ■■ ■■ ■■ ■■ ■■ Protégez les terminaux. Utilisez une solution de protection des terminaux et ses fonctionnalités avancées. Souvent, les clients se limitent à certaines fonctionnalités activées par défaut à l'installation. L'implémentation de certaines fonctions avancées (tel le blocage de l'exécution des fichiers exécutables à partir du dossier Temp) permet de détecter et de stopper davantage de logiciels malveillants. Si possible, évitez de stocker des données sensibles sur des disques locaux. Demandez aux utilisateurs de les stocker sur des lecteurs réseau sécurisés. Vous limitez ainsi le temps d'arrêt car il est possible de simplement restaurer une image des systèmes infectés. Utilisez des logiciels antispam. La première étape de la plupart des campagnes de ransomware est l'envoi d'un e-mail de phishing contenant un lien ou une pièce jointe. Dans le cas où la pièce jointe contenant le logiciel de demande de rançon est un fichier .scr ou un fichier d'un autre format peu courant, il est possible de la bloquer simplement en configurant une règle de filtrage antispam. Si vous autorisez les fichiers .zip, veillez à ce que leur analyse porte sur deux niveaux d'imbrication au moins pour détecter tout contenu malveillant potentiel. Bloquez les programmes et le trafic indésirables ou inutiles. Si vous n'avez pas besoin de l'application Tor, bloquez-la de même que le trafic réseau lié à celle-ci. Souvent, cela empêchera le ransomware d'obtenir la clé publique RSA du serveur de contrôle et, par conséquent, l'exécution de son processus de chiffrement. Segmentez votre réseau pour les systèmes critiques essentiels aux soins des patients. Isolez vos sauvegardes. Assurez-vous que les systèmes, le stockage et les bandes de sauvegarde sont conservés dans un endroit inaccessible aux systèmes des réseaux de production. Si la charge active des attaques de ransomware se propage latéralement, elle pourrait affecter les données sauvegardées. Implémentez une infrastructure virtuelle pour les systèmes de gestion des dossiers médicaux électroniques critiques qui sont isolés du reste du réseau de production. Sensibilisez régulièrement vos utilisateurs à la problématique de la sécurité. Cette formation continue est capitale, dans la mesure où la plupart des attaques par logiciel de demande de rançon débutent par l'envoi d'e-mails de phishing. Les statistiques prouvent que, sur dix e-mails envoyés par les auteurs d'attaques, au moins un fera mouche. N'ouvrez pas des e-mails et des pièces jointes si leur expéditeur vous est inconnu ou sans avoir vérifié son identité. Pour savoir comment les produits Intel Security peuvent protéger les hôpitaux contre le ransomware, cliquez ici. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 27 Points marquants Cours accéléré sur la science des données de sécurité, l'analyse et l'apprentissage automatique — Celeste Fralick Face à des adversaires toujours plus sournois et ingénieux dès qu'il s'agit de contourner la sécurité, tous les professionnels chargés de protéger les systèmes et réseaux informatiques devraient avoir une connaissance élémentaire de la science des données, car elle est l'avenir de la sécurité informatique. Vous avez sans doute déjà entendu parler de l'analyse, des Big Data, ou de l'apprentissage automatique. Même si vous n'êtes pas un analyste scientifique des données ou un statisticien, il peut être utile de connaître ces différents concepts. Pourquoi ? Parce qu'avec l'augmentation du volume des données et du nombre d'équipements connectés à Internet, l'analyse deviendra — si elle ne l'est pas déjà — une arme importante pour tenir les attaquants en échec. Les systèmes automatisés devront analyser des yottaoctets (10²⁴ octets) de données. Pour garder une longueur d'avance sur les menaces et prédire les vulnérabilités, nous devrions tous comprendre les concepts fondamentaux de la science des données. Qu'est-ce que la science des données ? La science des données est la convergence des mathématiques, des statistiques, du matériel et des logiciels informatiques, des domaines (ou segments de marché) et de la gestion des données. La science des données est la convergence des mathématiques, des statistiques, du matériel et des logiciels informatiques, des domaines (ou segments de marché) et de la gestion des données. La gestion des données est le terme général utilisé pour comprendre les flux des données que nous recueillons via nos architectures matérielles et logicielles, ainsi que la gouvernance de ces données, les stratégies (dont les exigences de confidentialité) appliquées à ces données, à leur stockage et à leur sécurité, et les conditions aux limites mathématiques, pour ne citer qu'eux. La gestion des données est aussi importante que l'algorithme lui-même. Commençons par la définition d'une fonction mathématique, d'un algorithme et d'un modèle. Une fonction mathématique peut être vue comme une règle de calcul, par exemple a + b = c. Un algorithme est une formule mathématique, tel qu'une moyenne ou un écart type, qui analyse les données pour en extraire des connaissances. Un modèle représente les caractéristiques examinées par l'analyste scientifique des données. Il permet de comprendre un processus et ses interactions avec d'autres variables. Il peut souvent prédire les événements à venir. Ainsi, les météorologues utilisent des modèles pour prévoir le temps. Nate Silver, auteur de l'ouvrage Signal and the Noise: Why So Many Predictions Fail and Some Don’t (Signal et bruit : pourquoi tant de prédictions ne se réalisent pas tandis que d'autres s'avèrent) a eu recours à des modèles pour prédire la victoire de Barack Obama aux élections présidentielles. En règle générale, les analystes scientifiques des données appliquent des algorithmes et des modèles mathématiques dans le but de résoudre des problèmes, par exemple pour détecter une attaque avant qu'elle ne se produise ou bloquer un ransomware avant qu'il ne prenne le contrôle d'un réseau informatique. La plupart d'entre eux se concentrent sur une discipline ou un domaine particulier. Citons par exemple le traitement des images ou du langage naturel, le contrôle des processus statistiques, les algorithmes prédictifs, la conception d'expériences, l'analyse textuelle, la visualisation et la création de graphiques, la gestion des données et la surveillance des processus. (Référezvous au diagramme suivant.) Si un analyste scientifique des données possède des connaissances en statistiques, le développement et l'application d'un algorithme peuvent être adaptés d'un domaine à une autre. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 28 Points marquants Quelle différence existe-t-il entre un statisticien et un analyste scientifique des données ? La plupart des statisticiens vous diront qu'il n'y en a pas si l'analyste scientifique des données possède une formation statistique. Cela dit, avec l'avènement des Big Data, de l'Internet des objets et de la connectivité permanente, l'émergence de la science des données a sorti les statisticiens de leur placard pour les propulser à l'avant-scène du développement de produits. La création d'analyses uniques et basées sur des scénarios — le processus scientifique de transformation des données en connaissances — permet au statisticien et à l’analyste scientifique des données de jouer un nouveau rôle dans l'évolution des processus métier. C'est tout particulièrement vrai dans le domaine du développement des produits de sécurité. Terminologie de base à connaître Ce qu'un analyste scientifique des données doit connaître Mathématiques Statistiques Matériel/ logiciels Gestion des données Domaine Définition de l'analyse Processus scientifique destiné à transformer les données en connaissances pour améliorer la prise de décisions. Domaines spécialisés de l'analyse Prospection de données ■■ ■■ ■■ ■■ ■■ ■■ ■■ Suivi des données Traitement des événements complexes Traitement des images (p. ex. IRM) Interprétation textuelle (p. ex. réseaux sociaux) ■■ Prévisions ■■ Optimisation ■■ Analyse décisionnelle ■■ Traitement du langage naturel ■■ Apprentissage automatique ■■ Informatique cognitive Conception d'expériences Visualisation (p. ex. création de graphiques) Définition générale des connaissances requises pour un analyste scientifique des données, accompagnée d'exemples de domaine de spécialisation L'évolution de la science des données L'analyse comporte plusieurs stades : d'abord descriptive, elle évolue ensuite vers une analyse de diagnostic, prédictive et, enfin, prescriptive. L'analyse descriptive et l'analyse de diagnostic répondent à des questions de type « que s'est-il passé ? » et « pourquoi cela s'est-il passé ? ». L'analyse prédictive, qui s'appuie sur les deux premières, répond à la question « que va-t-il se passer ? ». L'analyse prescriptive, basée sur la précédente, affirme « ceci est la marche à suivre parce que cette situation particulière ne manquera pas de se produire ». Partager ce rapport L'analyse descriptive et de diagnostic peut être réactive ou proactive. (Proactive ne voulant pas dire prédictive.) L'approche proactive permet d'agir sur des événements à venir mais connus, et pour lesquels on possède déjà une solution. Souvent, cet arbre décisionnel proactif peut être utilisé lors de la phase prescriptive. Par contre, l'analyse descriptive et de diagnostic peut parfois Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 29 Points marquants se contenter de générer un rapport. De nombreux fournisseurs de solutions de sécurité adoptent l'analyse descriptive et de diagnostic et appliquent des réponses proactives en cas de détection d'une menace. L'évolution de l'analyse a connu plusieurs phases. La première version, l'analyse 1.0, ne faisait pas encore intervenir les statisticiens et les problèmes survenaient sans crier gare. L'analyse descriptive et l'analyse de diagnostic dominaient et, de manière générale, l'analyse ne faisait pas encore partie intégrante du processus de gestion de l'entreprise. Le secteur de la sécurité est généralement très performant au niveau de l'analyse descriptive et l'analyse de diagnostic, y compris pour établir des arbres décisionnels basés sur des règles. Les éditeurs de solutions de sécurité doivent impérativement poursuivre dans cette voie, dans la mesure où une approche multiniveau est essentielle pour fournir une couverture de protection efficace. Grâce à l'extension de la connectivité et aux progrès des microprocesseurs, nous sommes entrés dans la seconde phase d'évolution de l'analyse (2.0) avec l'apparition des Big Data aux alentours de 2010. L'appellation d’analyste scientifique des données s'est répandue et la gestion d'importants volumes de données issues de nombreuses sources diverses est devenue problématique pour les architectures logicielles. S'il était déjà possible de se livrer à des analyses prédictives et prescriptives (comme c'était le cas au moment de l'analyse 1.0), les analyses descriptives et de diagnostic restaient les outils de prédilection des solutions de sécurité. Aujourd'hui, les sociétés spécialisées dans la sécurité sont de plus en plus nombreuses à adopter l'analyse 3.0, et le secteur connaît déjà une abondance d'études et d'applications relatives à l'analyse prédictive. Le schéma suivant illustre l'évolution continue de l'analyse dans le secteur de la sécurité, de ses débuts 1.0 à la version 3.0. Les solutions d'analyse 3.0 sont davantage axées sur l'analyse prédictive et l'analyse prescriptive. Selon nos prévisions, la plupart des éditeurs de solutions de sécurité auront intégré l'analyse 3.0 à leurs produits d'ici 2020. Cette troisième génération est davantage axée sur les analyses prédictives et prescriptives qui deviennent, avec les analyses descriptives et de diagnostic, la norme dans le cadre de la gestion d'entreprise. La plupart des éditeurs de solutions de sécurité n'ont pas encore atteint le stade 3.0, mais ils concentrent leurs efforts sur le développement de solutions prédictives pour lutter contre les logiciels malveillants, le ransomware et les réseaux de robots, devenus un véritable fléau. Selon nos prévisions, la plupart des éditeurs de solutions de sécurité auront intégré l'analyse 3.0 à leurs produits d'ici 2020. L'évolution de l'analyse La sécurité en 2016 1.0 2.0 La sécurité de pointe aujourd'hui 3.0 Solutions d'analyse 1.0 Solutions d'analyse 2.0 Solutions d'analyse 3.0 • Ensembles de données structurées, générés en interne • Big Data : grands volumes de données complexes, non structurées • Analyse descriptive et de diagnostic • Données issues de sources internes et externes • Utilisation de l'apprentissage automatique avec les Big Data, l'apprentissage profond et l'informatique cognitive • Solutions réactives mais utiles • Découverte et acquisition de connaissances rapides et proactives Évolution de l'analyse avec alignement global de l'analyse descriptive, de diagnostic, prédictive et prescriptive. (Avec l'aimable autorisation du Dr. Tom Davenport) Partager ce rapport Texte adapté de l'International Institute for Analytics (IIA) Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 30 Points marquants Apprentissage automatique L'apprentissage automatique (machine learning) consiste à automatiser l'analyse en se servant d'ordinateurs pour enrichir les connaissances. Même si l'apprentissage automatique peut être appliqué aux analyses descriptives et de diagnostic, il est généralement utilisé avec des algorithmes prédictifs et prescriptifs. L'apprentissage automatique (machine learning) consiste à automatiser l'analyse en se servant d'ordinateurs pour enrichir les connaissances. Même si l'apprentissage automatique peut être appliqué aux analyses descriptives et de diagnostic, il est généralement utilisé avec des algorithmes prédictifs et prescriptifs. Les algorithmes de regroupement ou de classification appris et appliqués aux données entrantes peuvent être considérés comme des algorithmes de diagnostic. Si les données entrantes sont utilisées pour un algorithme prédictif, par exemple les modèles ARIMA (Auto Regressive Moving Average) ou SVM (Support Vector Machine), l'algorithme apprend au fil du temps à assigner des données à un certain groupe ou classe ou à prédire une valeur, une classe ou un groupe futur. Cette assignation de données ou prédiction suppose d'avoir « appris » à l'algorithme comment s'améliorer, ce qui constitue le premier défi. Comme dans tous les domaines de l'analyse, la délimitation du problème est cruciale. Il est essentiel de comprendre dès le départ comment l'analyse résultante permettra de résoudre le problème ; d'appréhender correctement les variables, les données entrantes et les résultats du processus ; et de déterminer comment la solution favorisera le développement d'une entreprise saine. Vient ensuite l'étape de nettoyage et de traitement des données, qui prend environ 80 % du temps total du développement analytique. C'est une étape fastidieuse mais essentielle durant laquelle il faut identifier les valeurs aberrantes, les mesures incorrectes et le comportement des tendances types des données. Les experts peuvent souvent sous-estimer le temps nécessaire au nettoyage et au traitement des données. Après avoir délimité le problème, puis nettoyé et traité les données, il est temps de procéder aux analyses statistiques des données. Celles-ci incluent des étapes simples, par exemple la distribution, l'écart type, la dissymétrie et l'aplatissement qui, ensemble, permettent de déterminer si les données sont linéaires ou non et s'il faut appliquer des normalisations ou des transformations. Une normalisation ou une transformation aide l’analyste scientifique des données à ajuster les données ou leur échelle de façon cohérente afin de les adapter à un modèle particulier. L'aspect mathématique peut souvent être très compliqué. Ces différentes étapes aident l'analyste à développer les modèles destinés à la partie de classification et d'évaluation du système du processus d'apprentissage automatique. Le type de données disponibles et le problème que l'analyste scientifique des données tente de résoudre l'aideront à identifier les modèles dont il a besoin. C'est d'ailleurs le principal défi auquel est confronté l'analyste scientifique des données : le choix d'un modèle approprié. En d'autres termes, les données l'aideront à sélectionner le modèle. Cela dit, il doit essayer au moins trois à cinq modèles pour déterminer le plus adapté. À ce stade, il subit généralement la pression des spécialistes du domaine qui souhaitent obtenir des résultats le plus rapidement possible. Pourtant, le choix du bon modèle est capital pour être en mesure de satisfaire les besoins du client et garantir la parfaite adéquation des données au modèle. Après quoi, les données sont subdivisées en deux groupes : un ensemble d'apprentissage et un ensemble de validation. L'ensemble d'apprentissage (environ 80 % du total) fournit les relations prédites avec les données tandis que l'ensemble de validation (ou de test) (environ 20 %) garantit la fiabilité des données. Il est important de comprendre la relation entre les deux dans la mesure où le surapprentissage (un mauvais dimensionnement des données par rapport au modèle) peut survenir si les données de l'ensemble d'apprentissage sont mieux adaptées au modèle que celles de l'ensemble de validation. L'adéquation au modèle dans ce cas peut inclure des calculs analytiques, comme le calcul de la valeur R, de la valeur R généralisée et de l'erreur quadratique moyenne. Il est essentiel d'essayer plusieurs modèles et d'ajuster les variables de ces modèles (par exemple le type de transformation) pour obtenir le plus haut degré d'adéquation au modèle. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 31 Points marquants Processus général d'analyse Évolution de l'analyse Rapports Réactive Proactive Prédictive Prescriptive Processus d'analyse général Génération de fonctions Conception d'un système de classification Extraction de fonctions Évaluation des systèmes Conception Expérimentation Analyse Algorithmes Processus itératif, par approximations successives pour optimiser les résultats Implémentation • Compréhension, filtrage et nettoyage des données, prétraitement • Statistiques de base des données • Transformation/ normalisation • Séparation des données • Mathématiques prédictives • Compréhension des fonctions • Apprentissage, validation, test Description Processus global d'analyse illustrant l'évolution de l'analyse, les itérations par approximations successives, des descriptions et quelques exemples d'algorithmes et d'actions. La présence des flèches dans le cercle du processus d'analyse signifie que ce dernier est itératif et pas nécessairement linéaire. Termes associés à l'apprentissage automatique L'apprentissage automatique utilise l'automatisation pour apprendre les relations et surtout l'analyse prédictive et prescriptive. Lorsqu'elle est correctement implémentée, l'analyse peut apprendre de façon périodique ou en continu au fur et à mesure de l'entrée de nouvelles données. Le terme Big Data très en vogue à partir de 2010, a cédé la place à la nouvelle expression à la mode : l'apprentissage automatique (machine learning). L'apprentissage automatique utilise l'automatisation pour apprendre les relations et surtout l'analyse prédictive et prescriptive. Lorsqu'elle est correctement implémentée, l'analyse peut apprendre de façon périodique ou en continu au fur et à mesure de l'entrée de nouvelles données. D'autres termes liés à l'apprentissage automatique sont apparus récemment. (Référez-vous au tableau page 34.) Nous allons nous intéresser à trois d'entre eux : les réseaux neuronaux, l'apprentissage profond et l'informatique cognitive. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 32 Points marquants Les réseaux neuronaux, ou réseaux de neurones (neural networks) représentent un type d'apprentissage automatique et un algorithme d'apprentissage profond. Il en existe de nombreux types qui émulent la fonction neuronale du cerveau grâce à des couches cachées, des transformations et des nœuds. Il est souvent possible de leur appliquer un algorithme de validation croisée par v-ensembles, suivi d'une transformation logarithmique, gaussienne ou tanh pour produire différentes catégories : vrais négatifs, vrais positifs, faux négatifs et faux positifs. Par le passé, les réseaux neuronaux étaient assez coûteux en termes de temps de développement et de puissance de calcul. Toutefois, grâce aux progrès réalisés dans les processeurs, les processeurs graphiques, les circuits logiques programmables (FPGA) et la mémoire, ces réseaux neuronaux sont à nouveau considérés comme un outil d'apprentissage automatique puissant offrant une grande variété de choix. Les réseaux neuronaux sont considérés comme un type d'algorithme d'apprentissage profond (deep learning) qui est souvent associé à l'intelligence artificielle et peut avoir des applications dans des domaines tels que les voitures autonomes, la reconnaissance d'images ou encore l'interprétation et l'association de données textuelles à l'aide du traitement du langage naturel. Les algorithmes complexes, dont les algorithmes d'ensemble (série d'algorithmes utilisés ensemble pour parvenir à une conclusion), font partie de l'apprentissage profond. Celui-ci consiste généralement à appliquer la mémoire (événements passés), le raisonnement (hypothèses) et l'attention à des données actuelles et prédites. L'informatique cognitive, ou neuromorphique, est un autre type d'apprentissage automatique et profond. Assez complexe, elle s'appuie beaucoup sur le calcul intégral. L'informatique cognitive est une forme d'analyse par apprentissage automatique qui imite le cerveau ainsi que le comportement et le raisonnement humains. Les algorithmes corticaux, une forme d'analyse progressive et régressive à n dimensions, peuvent relever de l'informatique cognitive en raison des similarités entre les processus algorithmiques et le cerveau humain et ses neurones. Chacune de ces applications d'apprentissage automatique doivent prendre en compte plusieurs éléments : ■■ Emplacements de collecte et de calcul des données. ■■ Données brutes nécessaires et application ou non d'un échantillonnage ■■ Coût de la bande passante et de la latence pour le client en termes de temps, d'argent et de ressources (personnel, matériel et logiciels) ■■ Emplacement de l'apprentissage périodique ou continu (préférable) ■■ Emplacement et modalités du stockage des données ■■ Fréquence du recalcul due à la modification des processus, des métadonnées ou des stratégies de gouvernance du client Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 33 Points marquants Terminologie de base à connaître Périodicité Description Apprentissage automatique Analyse automatisée capable de s'améliorer au fil du temps. Il est souvent appliqué à des algorithmes (prédictifs et prescriptifs) plus complexes. Réseaux neuronaux Schématiquement inspirés de la structure neuronale du cerveau, ils utilisent plusieurs couches avec des transformations mathématiques et les données précédentes pour identifier les bonnes données et rejeter les autres. Apprentissage profond Algorithmes souvent associés à l'intelligence artificielle (IA) et à des domaines tels que les voitures autonomes, la reconnaissance d'images et le traitement du langage naturel. Il utilise généralement les réseaux neuronaux et d'autres algorithmes complexes. La mémoire, le raisonnement et l'attention en sont des attributs clés. Informatique cognitive En général, il s'agit de systèmes d'apprentissage automatique qui appliquent un ensemble d'algorithmes complexes pour imiter les processus du cerveau humain. Mythes de l'analyse et de l'apprentissage automatique L'analyse et l'apprentissage automatique ne peuvent pas résoudre tous les problèmes. Dans les deux cas, il est important de savoir que le développement d'algorithmes d'apprentissage automatique demande souvent du temps et des efforts concertés. C'est également vrai pour sa maintenance. L'évaluation régulière des algorithmes après leur développement est essentielle à la réussite à long terme de l'analyse par apprentissage automatique. Il est temps à présent de passer en revue quelques mythes de l'analyse et de l'apprentissage automatique. (Référez-vous aux deux tableaux suivants.) Nous avons déjà mentionné quelques mythes concernant l'analyse, mais ils méritent d'être rappelés. Souvenez-vous que l'analyse prend du temps et qu'un seul modèle ne suffit pas. Il faut du temps pour nettoyer et traiter les données. En outre, vous devez sélectionner entre 3 et 5 modèles pour vous assurer d'avoir choisi le modèle approprié (en le validant par rapport au scénario du client) et de l'avoir bien conçu (en vérifiant la validité mathématique ainsi que l'adéquation au modèle). L'analyse n'apporte pas toujours de solution miracle à un problème. Elle peut certes résoudre de nombreux défis logistiques, mais certainement pas tous. Souvenez-vous de la citation de Mark Twain : « Il y a trois sortes de mensonges : les mensonges, les grands mensonges et les statistiques ». Souvent, le modèle est bon mais il ne résout pas le problème car les caractéristiques correctes (variables statistiquement significatives) n'ont pas été identifiées. Il est parfois bon de s'assurer que l'analyste scientifique des données possède une certaine maîtrise des statistiques. Si l'analyste vous déclare que « x et y sont corrélés », demandez-lui quel coefficient de corrélation il a utilisé et si les données sont normales. Il peut arriver que la réponse vous surprenne ; certains analystes scientifiques des données feraient bien de revoir leurs cours de statistiques. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 34 Points marquants Mythes de l'analyse Le mythe La réalité Le processus est rapide. Il faut du temps et des connaissances pour cerner correctement le problème, puis nettoyer et préparer les données. L'analyse résout tous les problèmes. Il peut s'agir d'un problème logistique ou d'une mauvaise gestion que l'analyse est incapable de résoudre. Les résultats de l'analyse sont toujours corrects. Lisez l'ouvrage « Signal and the Noise: Why So Many Predictions Fail and Some Don’t » (Signal et bruit : pourquoi tant de prédictions ne se réalisent pas tandis que d'autres s'avèrent) de Nate Silver. Il n'est pas nécessaire d'avoir des connaissances en statistiques pour effectuer des analyses. Une bonne maîtrise des statistiques est essentielle pour configurer et interpréter correctement les données. Le nettoyage et la préparation des données sont des tâches très simples. Parfois, il ne faut rien faire. Les données parasites ou aberrantes peuvent fausser vos résultats. Les outils analytiques conçus pour automatiser l'analyse évitent de devoir connaître les fonctions et formules mathématiques sous-jacentes. De nombreux outils posent des hypothèses concernant les algorithmes appliqués. Une connaissance élémentaire des concepts mathématiques sousjacents est nécessaire. Les analystes scientifiques des données ne devraient pas utiliser un outil automatisé comme JMP, RapidMiner, Hadoop ou Spark, sans comprendre les mathématiques sous-jacentes et leurs restrictions. N'hésitez pas à vérifier le travail de l'analyste scientifique des données ! Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 35 Points marquants Mythes de l'apprentissage automatique Le mythe La réalité L'apprentissage automatique se passe de toute intervention humaine. Les analystes doivent toujours préparer, nettoyer, modéliser et évaluer les ensembles de données à long terme. L'apprentissage automatique peut produire des résultats à partir de n'importe quelles données et dans tout type de situation. Les données non structurées peuvent poser des problèmes majeurs et entraîner des imprécisions. L'apprentissage automatique est toujours adaptable. Certains algorithmes d'apprentissage automatique conviennent mieux aux ensembles de données plus larges. L'apprentissage automatique est « plug-and-play ». La plupart de ces algorithmes nécessitent un apprentissage, et chaque modèle doit être validé. La sélection de l'ensemble de données et du modèle appropriés demande du temps et du discernement. L'apprentissage automatique est toujours prédictif. Certains algorithmes d'apprentissage automatique servent uniquement à classer et non à prédire. Les algorithmes d'apprentissage automatique sont impossibles à pirater. Si nous pouvons les concevoir, les attaquants peuvent imaginer un mécanisme tout aussi efficace pour les pirater. L'apprentissage séquentiel et la présence d'algorithmes complexes compliquent leur tâche. Si de nombreux mythes circulent concernant l'analyse en général, il en va de même pour l'apprentissage automatique. Il n'existe pas d'approche universelle en matière d'apprentissage automatique. De plus, à l'instar de l'analyse, ce dernier nécessite un nettoyage et un traitement des données et une modélisation avant son automatisation. Il n'est pas toujours possible d'adapter des modèles conçus pour des petits ensembles de données aux Big Data, ou inversement. La distribution des petits ensembles de données sera peut-être normale alors que celle des Big Data ne le sera pas et exigera des modèles différents. L'apprentissage automatique est souvent livré à lui-même après son implémentation, pendant que l'analyste scientifique s'attaque au problème suivant. Pourtant, les modifications des processus et des caractéristiques, de même que l'intégrité des données (due aux redémarrages, aux nouvelles connexions, etc.) peuvent affecter la précision de l'algorithme d'apprentissage automatique. Il est dès lors indispensable de le réévaluer après sa mise en production pour s'assurer que le modèle continue d'apprendre de la façon prévue et que les données en entrée et en sortie sont correctes. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 36 Points marquants Qu'attendre de la science des données de sécurité, de l'analyse et de l'apprentissage automatique Chaque secteur d'activité peut appliquer l'analyse et l'apprentissage automatique à la résolution de problèmes. Tout le défi consiste à les implémenter de façon correcte et répétitive. Dans le domaine de la sécurité par exemple, les produits doivent bénéficier d'une précision extrêmement élevée pour protéger les utilisateurs et éviter que les faux positifs et faux négatifs viennent perturber les entreprises ou les particuliers. Les analystes scientifiques des données qui soutiennent la conception du produit doivent être nombreux, compétents et soucieux d'optimiser continuellement les processus. Cette optimisation ne concerne pas uniquement les applications de modélisation et d'apprentissage automatique, mais aussi le matériel. Les bibliothèques telles que Intel Integrated Performance Primitives, Math Kernel Library et Data Analytics Acceleration Library sont des composants essentiels qui couvrent toutes les étapes de l'analyse des données et optimisent le matériel et les logiciels. Les solutions de détection et de gestion pour terminaux avec support cloud optimisent les performances de l'apprentissage automatique et des algorithmes prédictifs. Les solutions de détection et de gestion pour terminaux avec support cloud optimisent les performances de l'apprentissage automatique et des algorithmes prédictifs tout en tenant compte des contraintes de bande passante de l'utilisateur. Envisagez une mise à jour régulière des modèles de données et l'adoption d'applications analytiques de pointe. Par exemple, la lutte contre le ransomware (une menace en progression de 200 % depuis janvier 2015) doit être au premier plan du développement des technologies de sécurité. En outre, il faut commencer à envisager le déploiement de l'informatique cognitive et de l'intelligence artificielle dans un avenir proche. Avoir des connaissances de base sur l'analyse, l'apprentissage automatique et le rôle joué par des analystes scientifiques des données aide à mieux comprendre le risque métier et contribue au succès de l'entreprise (retour sur investissement, satisfaction de la clientèle, croissance, vélocité, etc.). Sélectionnez une solution soutenue par ressources importantes en science des données et des recherches novatrices, proposant diverses options de sécurité afin de répondre aux besoins de votre entreprise d'aujourd'hui, mais aussi de demain. Même si cet article ne constitue qu'une simple introduction à la science des données, n'hésitez pas à approfondir vos connaissances et adoptez une approche proactive en la matière. Choisissez une solution de sécurité dotée de fonctions analytiques de pointe et basée sur des composants matériels optimisés pour détecter et bloquer des menaces toujours plus sophistiquées. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 37 Statistiques sur les menaces Logiciels malveillants (malware) Menaces web Donner votre avis Statistiques sur les menaces Logiciels malveillants Nouveaux malveillants Nouveaux logiciels logiciels malveillants 60 000 000 Quatrième trimestre consécutif d'augmentation des nouveaux logiciels malveillants. Le nombre de nouveaux échantillons de logiciels malveillants au 2e trimestre représente le 2e record historique jamais observé. 50 000 000 40 000 000 30 000 000 20 000 000 10 000 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Nombre logicielsmalveillants malveillants Nombretotal total de de logiciels 700 000 000 Le nombre d'échantillons de la « collection » de logiciels malveillants de McAfee Labs dépasse aujourd'hui 600 millions. Il a progressé de 32 % depuis l'année dernière. 600 000 000 500 000 000 400 000 000 300 000 000 200 000 000 100 000 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 39 Statistiques sur les menaces Nouveaux malveillants sur mobiles Nouveauxlogiciels logiciels malveillants sur mobiles 2 000 000 Le nombre de nouveaux échantillons de logiciels malveillants sur mobiles au 2e trimestre constitue lui aussi un record. 1 750 000 1 500 000 1 250 000 1 000 000 750 000 500 000 250 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Nombre total malveillants mobiles Nombre totalde delogiciels logiciels malveillants sursur mobiles 12 000 000 Le nombre total de logiciels malveillants sur mobiles a augmenté de 151 % au cours de l'année dernière. 10 500 000 9 000 000 7 500 000 6 000 000 4 500 000 3 000 000 1 500 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 40 Statistiques sur les menaces Taux d'infection par des logiciels malveillants sur mobiles par région — 2e trim. 2016 (pourcentage de clients mobiles signalant des infections) 14 % 12 % 10 % 8% 6% 4% 2% 0% Afrique Asie Australie Europe Amérique du Nord Amérique du Sud Source : McAfee Labs, 2016 Taux d'infection par des logiciels malveillants mobiles au niveau Taux d'infection par des logicielssur malveillants mondial (pourcentage de clients mobiles mondial signalant une infection) sur mobiles au niveau (pourcentage de clients mobiles signalant des infections) 16 % 14 % 12 % 10 % 8% 6% 4% 2% 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 41 Statistiques sur les menaces Nouveaux malveillants pour Mac OS Nouveauxlogiciels logiciels malveillants pour Mac OS 30 000 Les nouveaux logiciels malveillants pour Mac OS ont diminué de 70 % au cours du trimestre, en raison du déclin de l'activité d'une seule famille de logiciels publicitaires, OSX.Trojan.Gen. 25 000 20 000 15 000 10 000 5 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Nombre total malveillants pour Nombre totalde delogiciels logiciels malveillants pour MacMac OS OS 90 000 80 000 70 000 60 000 50 000 40 000 30 000 20 000 10 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 42 Statistiques sur les menaces Nouveaux logiciels derançon rançon (ransomware) Nouveaux logicielsde de demande demande de (ransomware) 1 400 000 La croissance des nouveaux échantillons de ransomware ne cesse de s'accélérer. Le nombre de nouveaux échantillons de ransomware au 2e trimestre a battu tous les records. 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Nombre total dedelogiciels demandedede rançon (ransomware) Nombre total logiciels de de demande rançon (ransomware) 8 000 000 Le nombre total de ransomwares a augmenté de 128 % depuis l'année dernière. 7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 43 Statistiques sur les menaces Nouveaux malveillants signés Nouveauxfichiers fichiers binaires binaires malveillants signés 2 000 000 Après avoir régressé pendant quatre trimestres consécutifs, les nouveaux échantillons de fichiers binaires malveillants signés connaissent un nouvel essor. 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Nombre total binairesmalveillants malveillants signés Nombre totalde defichiers fichiers binaires signés 22 500 000 20 000 000 17 500 000 15 000 000 12 500 000 10 000 000 7 500 000 5 000 000 2 500 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 44 Statistiques sur les menaces Nouveaux malveillants macro Nouveauxlogiciels logiciels malveillants dede macro 180 000 Les nouveaux chevaux de Troie de téléchargement sont responsables de l'augmentation de plus de 200 % observée au 2e trimestre. Ces menaces sont utilisées dans les campagnes de spam, telles celles distribuées via le réseau de robots Necurs. Pour en savoir plus sur le retour des logiciels malveillants de macro, lisez le Rapport de McAfee Labs sur le paysage des menaces — Novembre 2015. 160 000 140 000 120 000 100 000 80 000 60 000 40 000 20 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Nombre total malveillants macro Nombre totalde delogiciels logiciels malveillants de de macro 700 000 Le nombre total de logiciels malveillants de macro a augmenté de 39 % au cours du dernier trimestre. 600 000 500 000 400 000 300 000 200 000 100 000 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 45 Statistiques sur les menaces Menaces web Nouvelles URLsuspectes suspectes Nouvelles URL 35 000 000 Le nombre de nouvelles URL suspectes est en recul pour le 5e trimestre consécutif. 30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 3e trim. 4e trim. 2014 URL 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Domaines associés Source : McAfee Labs, 2016 Nouvelles URLde dephishing phishing Nouvelles URL 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3e trim. 4e trim. 2014 URL 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Domaines associés Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 46 Statistiques sur les menaces Nouvelles URLde despam spam Nouvelles URL 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3e trim. 4e trim. 2014 URL 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Domaines associés Source : McAfee Labs, 2016 Volume de spam et d'e-mails dans le monde (en milliers de milliards de messages) 11 10 9 8 7 6 5 4 3 2 1 0 3e trim. 4e trim. 2014 URL 1er trim. 2e trim. 3e trim. 2015 4e trim. 1er trim. 2e trim. 2016 Domaines associés Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 47 Statistiques sur les menaces E-mails de spam émanant des 10 principaux réseaux de robots (botnets) (en millions de messages) 1 400 Ce trimestre, un nouveau venu fait son apparition dans notre liste des 10 principaux réseaux de robots (botnets) : Necurs, qui représente à la fois le nom d'une famille de logiciels malveillants et celui d'un réseau de robots de spam. Doté d'une large infrastructure, Necurs distribue les campagnes Dridex et du ransomware Locky à partir de millions d'ordinateurs infectés dans le monde entier. Une interruption début juin a ralenti le volume de ces campagnes, mais nous avons récemment observé une reprise de l'activité. Tout laisse penser que ces campagnes de ransomware se poursuivront au 3e trimestre. Le volume global du réseau de robots a augmenté d'environ 30 % au 2e trimestre. 1 200 1 000 800 600 400 200 0 3e trim. 4e trim. 2014 1er trim. 2e trim. 3e trim. 2015 Kelihos Lethic Cutwail Gamut Slenfbot Autres Necurs Darkmailer KelihosC 4e trim. 1er trim. 2e trim. 2016 Sendsafe Source : McAfee Labs, 2016 Prévalence des réseaux de robots (botnets) dans le monde Prévalence des réseaux de robots (botnets) dans le monde Wapomi Wapomi, qui distribue des vers et des utilitaires de téléchargement, a progressé de 8 % au cours du 2e trimestre. Muieblackcat, 2e au classement du trimestre précédent et conçu pour ouvrir la porte aux exploits, a connu un recul de 11 %. China Chopper Webshell OnionDuke 18 % 3% Ramnit 3% 45 % 4% Sality Maazben 4% Muieblackcat 4% 5% 6% 8% Nitol H-Worm Autres Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 48 Statistiques sur les menaces Principaux pays hébergeant des serveurs Principaux pays hébergeant des serveurs de contrôle de réseaux de robots de contrôle de réseaux de robots États-Unis Allemagne Russie Pays-Bas 30 % 37 % France République tchèque Chine 2% 2% 2% 2% 2% Corée du Sud 4% 4% 12 % Australie Canada 3% Autres Source : McAfee Labs, 2016 Principales attaques réseaux Principales attaques réseaux Les attaques par déni de service ont progressé de 11 % au 2e trimestre et occupent désormais la 1re place au classement. Les attaques de navigateur ont diminué de 8 % par rapport au 1er trimestre. 2% 3% Déni de service 9% Navigateur 4% 33 % 6% Attaque en force SSL DNS 18 % Balayage 25 % Porte dérobée (backdoor) Autres Source : McAfee Labs, 2016 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Septembre 2016 | 49 À propos d'Intel Security Commentaires et suggestions. Pour nous aider à améliorer encore les prochaines éditions de ce rapport, nous aimerions connaître votre opinion. Si vous souhaitez nous faire part de vos impressions, cliquez ici pour participer à une petite enquête sur nos rapports. Elle ne vous prendra pas plus de cinq minutes. McAfee fait désormais partie d'Intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau mondial de cyberveille sur les menaces Global Threat Intelligence, Intel Security met tout en œuvre pour proposer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, réseaux et équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances reconnues d'Intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique. La mission d'Intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique. www.intelsecurity.com Suivre McAfee Labs McAfee. Part of Intel Security. Tour Pacific 13, Cours Valmy - La Défense 7 92800 Puteaux France +33 1 47 62 56 09 (standard) www.intelsecurity.com Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients d'Intel Security. Les informations présentées ici peuvent faire l’objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. Intel et les logos Intel et McAfee sont des marques commerciales d'Intel Corporation ou de McAfee, Inc. aux États-Unis et/ou dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2016 Intel Corporation. 908_0816_rp_sept-2016-quarterly-threats