Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
5 avril 2011 2 05 /04 /avril /2011 10:08

 

 

CYBERSECURITE. Journée franco-israélienne de la CCFI : Les PME et les applications Web cibles privilégiées des pirates informatiques.

Par Dominique BOURRA


Son Excellence Yossi Gal, Ambassadeur d’Israël en France au 5ème Forum de Cyber-sécurité à la CCIP, lundi 4 avril 2011.

 

Compte-rendu de la Journée franco-israélienne de la CCFI par Marc Jacob, Global Security Mag.

La Chambre de Commerce et d’Industrie de Paris (CCIP) et la Chambre de Commerce France-Israël (CCFI) ont organisé les 10e Rencontres économiques et technologiques France-Israël, 5e Édition du Forum annuel de sécurité Franco-Israélien. L’OWASP, l’Ecole de Guerre Economique et le CLUSIF étaient cette année particulièrement à l’honneur.

L’accent a été mis sur l’impact des cyber-attaques et des actes des cyber-guerres sur les PMEs et la sécurité des applications Web. Il a été démontré que les PME sont particulièrement vulnérables de même que les applications Web. De plus, tous nos intervenants ont reconnu que les outils de sécurité sont insuffisants pour parer les attaques et en particulier celles qui sont ciblées. De plus, selon Nicolas Ruff, expert sécurité d’EADS a suggéré que les entreprises victimes d’attaques fassent des « Class Action » contre les fournisseurs de solutions de sécurité…Tout un programme.

Après les traditionnels messages de bienvenue du Président de la CCI de Paris Pierre-Antoine Gailly et d’Henri Cukiermann, Président de la CCFI qui ont rappelé l’importance des relations économiques franco-israélienne les débats ont été lancés et animés par Dominique Bourra CEO de la société NanoJV .

Les PME au cœur des cyber-attaques

La première table ronde avant pour thème cyber-attaques ciblées et guerre économique, l’équipement des PME dans la lignede mire. Elle réunissait Pascal Lointier, Président du CLUSIF,Christian Harbulot, Directeur de l’Ecole de Guerre Economique et Itzik Kotler, CTO de Security Art. Pour Pascal Lointier, les équipements industriels de production sont aujourd’hui la ciblé des pirates informatiques, car ils sont accessibles par les réseaux. Par contre, les entreprises sont mal préparer à ces attaques. Il faudra plusieurs années aux Grands Comptes pour réduire ces risques. Il a cité le M2M qui est particulièrement vulnérable car la sécurité n’a pas été prévue. Cette technologie est embarquée dans de nombreux outils comme les imprimantes… Si dans les Grands Comptes le risque est mal pris en compte, c’est pire dans les PME…

Pour Christian Harbulot, directeur de l’Ecole de Guerre Economique (EGE), créée il y a 10 ans, la cyber-guerre c’est à la fois des attaques sur des réseaux mais aussi la guerre de l’information. Cette dernière n’est pas nouvelle, déjà durant la guerre du Vietnam les Etats-Unis avaient certes gagné la guerre au niveau militaire mais avaient perdu celle de l’information. Effectivement, reprend Pascal Lointier l’informatique offensive a été utilisé lors de la guerre du Kossovo pour cartographier l’impact des cibles stratégiques détruits comme les réseaux de communication. Par contre, il a précisé qu’il ne faut pas confondre la cyber-guerre et les cyber-attaques. Pour nos intervenants, viser les PME c’est aussi agir pour déstabiliser les Etats.

Itzik KotlerCTO de Security Art société de conseils israélienne spécialisée entre autre dans l’audit de vulnérabilité a montré que les attaquants pouvaient utiliser des bombes logiques, des attaques en DDOS permanents, mais aussi du social engineering qui reste une arme très dangereuse. Bien sûr reprend Pascal Lointier, on peut avoir tous les outils de sécurité, l’agression psychologique est la plus difficile à parer : « bien souvent en étant poli on peut obtenir ce que l’on veut ». Ainsi, les actions de sensibilisations doivent être répétées afin que les utilisateurs adoptent un comportement sécuritaire sans tomber dans la paranoïa. Pour Christian Harbulot au-delà des failles humaines, il y a celle de la connaissance et de l’information. Itzik Kotler a présenté des outils permettant de produire des attaques ciblées quasiment imparables. Ainsi, il est possible d’attaquer les CPU, de faire de l’overvolting, du Power cycling… Pour lui aucun outil de sécurité ne protège à 100%, il s’agit donc pour un attaquant de trouver une seule faille pour s’y engouffrer. Souvent il ne s’agit pas d’utiliser des outils mais uniquement du social engineering en passant par les réseaux sociaux. Toutes ces attaques peuvent aussi être associées à des bombes logiques ou des DDOS. Christian Harbulot a déploré une absence de vision globale qui prendrait en compte la guerre de l’information. Pascal Lointier estime qu’il manque dans les entreprises une cartographie des enjeux de l’entreprise et une sécurisation des principales parties du SI à sécuriser en priorité. Dans ce contexte, les PME doivent bénéficier d’un accompagnement pour déployer des outils et faire une analyse de risque.

Puis plusieurs dirigeants d’entreprises israéliennes partenaires de l’événement ont présenté leur solution : Access Layers : contrôle d’accès; Covertix protection des données sensibles;GreenSQL est un firewall de base de données en Open Source LynuxWorks, société américaine d’analyse de malware LynxSecure securité des solutions de virtualisation, Radware load balancing ;  autre Skybox système automatique de gestion des risque et de compliance TeQualSociété de service en Outsourcing compagnie née d’une joint venture israélo-palestinienne;  Whitebox Security : IAM. 

 Roy Zisapel, CEO de Radware a fait une analyse des attaques qui ont eu lieu pour défendre Wikileaks. En préambule, il a montré que les attaques en DDOS se multiplient depuis 2009. De nouvelles techniques ont été mises en œuvre par les pirates informatiques comme le Slowloris qui permet de réaliser un DDOS lentement. Cette technique permet de contourner les outils de sécurité car les requêtes semblent normales. Dans l’affaire de Wikileaks, il faut noter que les attaquants sont passés par les réseaux sociaux pour diffuser leur malware destiner aux opérateurs bancaires VISA, MASTERCARD, PAYPAL… Pour cette attaque, les supporters de Wikileaks n’avaient qu’un outil à télécharger et saisir une l’URL de la société ciblée pour réaliser l’attaque. 

 Les applications Web dans la tourmente

Pour nos trois intervenants Ofer Maor, Président de l’OWASP Israël, Nicolas Ruff, Expert en Sécurité EADS et Yves Tenenbaum, Directeur Commercial France de Seculert les applications web sont particulièrement vulnérables. Ofer Maor citant les statistiques de l’OWAPS montre que 97% des applications Web sont vulnérables et plus de 90% des attaques se concentrent sur ces applications. Dans le Top des attaques on trouve comme à l’habitude les injections SQL, les attaques XSS, les mots de passes faibles… Pour lui, il est nécessaires de faire du test de pénétration, se protéger avec des WAF, mais surtout d’utiliser des méthodes de développement sécurisé comme le SDLC. Ce dernier point pourrait être le « Saint Graal ».

Toutefois, il faut tout d’abord former les développeurs, avoir des outils de test fiable…Mais c’est aussi un problème de coût de développement car il faut faire à la fois du test automatique et manuel. Pour y arriver, il faut aussi le soutien des managers et qu’ils allouent des budgets sécurité et R&D. Yves Tenenbaum a présenté rapidement l’offre de Seculert un système d’alerte pour trouver les machines infectées. Il considère que l’on sous-estime régulièrement les risques liés à la navigation Web, d’autant que les antimalware n’arrêtent en moyenne que 40% des malwares, de même les outils qui se basent sur la réputation web…. Nicolas Ruff a déploré qu’il n’y ait pas de procédure formelle de développement des applications Web. Pour lui, le W3C et l’HTML5 sont de véritables catastrophes en termes de sécurité. Il a rappelé que le SSL a été développé par un stagiaire et est régulièrement pirater. Les entreprises font trop souvent appellent pour le développement des applications à des entreprises Offshore qui utilisent des processus et des outils industriels sans aucune notion de sécurité. Ainsi, on arrive souvent à des problèmes qui au final peuvent couter aux entreprises. Ainsi, citant l’exemple de la récente affaire des pertes de données des bases de données par RSA, ces Tokens sont devenus peu sûr. Pour lui, la plus part des outils de sécurité ne protègent pas à la hauteur des « discours des vendeurs ». Enfin, il a conclu son intervention en s’étonnant qu’à ce jour il n’y ait pas encore de « Class Action » contre les vendeurs de solutions de sécurité !  La journée a été conclue par son Excellence Yossi Gal, Ambassadeur d’Israël en France qui a lui aussi rappelé l’importance des relations des échanges franco-israélienne en particulier en matière de nouvelles technologies.

 

Copyrights Global Security Mag : http://www.globalsecuritymag.fr

Partager cet article
Repost0

commentaires

Traducteur/translator

 

 

France  ISREAL  English

Recherche

logo-lien-aschkel-copie-1.jpg

 

France  ISREAL  English
Traduire la page:
By
retour à l'acueil

------------------------------------- 

 

Communication and Information

 

Vous souhaitez 

- proposer un article ?
 - communiquer une info ?

Contactez la rédaction

bOITE-a-mail.jpg

-------------------------------

 

Nous remercions par avance tous ceux

qui soutiendront le site Aschkel.info

par un don

icone paypal

Paiement sécurisé


Consultez les dossiers

Archives

Mon livre d'or

 

 Livre_dor

 


 

Visites depuis la création du site


visitors counter

Catégories