Ecrit par & déposé en vertu de Actualités.

La malveillance

L’intention de nuire n’est pas la seule explication d’un acte malveillant, contrairement à ce qui est dit dans bon nombre de définitions. Elle peut être légitimée par le besoin de s’approprier quelque chose, sans vouloir absolument nuire à autrui.

Vous êtes dirigeant ou décideur, vous vous posez des questions sur la sécurité de vos biens et de vos valeurs, ainsi que de vos salariés. Êtes-vous bien protégé contre la malveillance ?

L’offre est pléthorique, les sollicitations nombreuses. Vous ne savez pas par quel bout commencer. En interne, via un installateur ou plutôt un cabinet conseil qui saura vous guider et vous accompagner.

2S RISK vous donne ici des premiers éléments de réponse:

Protection intrusion d'un commerce sensible

Ecrit par & déposé en vertu de Actualités.

Pourquoi le test de pénétrabilité est-il complémentaire d’un diagnostic de vulnérabilité, quand on parle de sécurité des accès ?

Avant de s’attacher à démontrer la nécessaire complémentarité du test de pénétrabilité (voir article sur la surveillance en entreprises PSM juillet-août 2016 n° 236) et du diagnostic des risques et des vulnérabilités, il convient d’apporter préalablement des précisions sémantiques sur ces 2 approches.

Le diagnostic de vulnérabilité est d’abord une méthodologie qui ne peut être efficace qu’après analyse dans le même temps des risques encourus par une entité, privée ou publique. Ces risques sont inhérents aux valeurs même de cette entité, valeurs avant tout humaines. On protègera les personnes avant de protéger les valeurs matérielles (biens, bâtiments, outils de production, …) ou immatérielles (données et information). Pour être complet, le diagnostic de vulnérabilité devrait balayer les vulnérabilités liées aux salariés, mais bien souvent, n’est que le prétexte au dimensionnement d’équipements techniques de sûreté. Il évalue les points faibles d’un établissement et les synthétise dans un récapitulatif des besoins, lesquels donnent souvent lieu à des réponses que techniques.

Le test de pénétrabilité, et non d’intrusion, sinon il pourrait être entendu comme un passage en force, porte sur les comportements humains et organisationnels censés opérer en cas de tentative d’entrée « douce », en tout cas « non désirée », sur un site. Ce sont toutes les attitudes, tous les gestes, mais aussi toutes les habitudes, toutes les négligences et autres comportements humains qui sont parfois à l’origine d’entrées de personnes étrangères au site et non autorisées. Ici, même les meilleurs dispositifs techniques ou technologiques peuvent être inopérants, dès lors qu’ils auraient pu être déconnectés ou court-circuités, ou dès lors que la vigilance humaine qui devrait s’imposer partout se serait relâchée. On pourra ainsi tester toutes les installations et prétendre que celles-ci sont opérationnelles, mais passer à côté de la problématique centrale : l’humain, dans sa dimension limitée et imparfaite.

Pour s’assurer que votre dispositif global est opérationnel et efficace, il ne faudra donc pas hésiter à faire réaliser des diagnostics de vulnérabilité de manière régulière, ce afin de vérifier la bonne adéquation entre risques et solutions de prévention et de protection, mais aussi et surtout des tests de pénétrabilité.

De ces tests, vous pourrez ainsi formuler des recommandations à vos salariés, refaire des actions de sensibilisations, produire des procédures et des consignes, responsabiliser et former des salariés à ces missions, et peut-être même définir une vraie politique interne de sûreté.

2S RISK propose de vous accompagner sur l’une et l’autre de ces missions.

Protection intrusion d'un commerce sensible

Ecrit par & déposé en vertu de Actualités.

La sécurité dans les entreprises

La vague des attentats de 2015 est passée. On pensait dissoute l’effervescence toute naturelle autour d’elle. Et puis 2016 est arrivée, avec elle ses dramatiques actualités. Les attentats du 13 novembre dernier ont fait 130 morts et de nombreux blessés, très rapidement relayés par une actualité encore plus tragique. Des mesures exceptionnelles ont été annoncées, certaines prises, d’autres non, d’autres semble-t-il assouplies, laissant à nouveau la place à toutes sortes de projets malveillants. L’attentat du 14 juillet à Nice est venu le démontrer avec ses 84 décès, ses dizaines de mutilations et ses centaines de chocs psychologiques. Au delà des mesures prises (Vigipirate, état d’urgence) et des renforts des forces de l’ordre annoncés (on parlait de 5000 postes dans la Police et la Gendarmerie, 2500 dans la justice, 1000 dans les douanes et plus de 2000 à la Défense), les attentats ont le triste privilège de faire progresser la sécurité, et d’ouvrir les yeux du grand public sur la nécessité de se protéger.

Certes un débat est lancé aujourd’hui sur la place publique suite à l’attentat de Nice. Jusqu’où la sécurité peut et doit aller, quelle est la limite que nos libertés ne veulent pas voir atteinte, quels moyens mettre en œuvre, quelles orientations doit-on donner à nos actions, quel engagement militaire doit-on prendre, etc. … ? On l’a constaté dernièrement avec le texte sur la présence de la vidéosurveillance dans la cellule de Salah Abdelsam qui a fait beaucoup débat avant d’être définitivement adopté.

C’est bien là, hélas, notre problème en France, nous envisageons quantité de scénarios avant même d’avoir pris la moindre mesure. Et une fois les décisions prises, il faut s’attendre encore à quantités de voix se lever pour exprimer chacune son opinion.

Le débat ne sera pas ouvert ici, je veux dire simplement combien les actes sont importants, plus que les intentions et les paroles, et porter mon attention au chemin encore à parcourir, en particulier dans le domaine privé de celui des entreprises.

Du chemin reste à faire

On retrouve le même fond idéologique dans les interrogations posées sur la sécurité dans les entreprises, même si les textes règlementaires sont clairs sur le sujet. La loi est formelle: la sécurité doit protéger et non être un outil de flicage. Et ceci est valable quelque soit l’entreprise, quelque soit son importance par rapport à la sécurité publique, même dans les entreprises sujettes à forts risques (transport, hôtellerie, grandes surfaces, spectacles, tourisme, chimie, pétro-chimie, nucléaire, etc. …).

A priori, les entreprises les plus exposées se disent protégées techniquement, je demande à voir (SEVESO, Food Defense ?). Qu’en est-il des dispositions humaines et comportementales ? Qu’en est-il des contrôles des accès, des vérifications d’identité professionnelle, des protections contre les malveillances cachées (vol, piratage, fraude, détournement d’information, …). Les organisations sont-elles en place, les métiers sont-ils bien définis, les missions suffisamment claires ? La contrainte financière n’est-elle pas encore et toujours la seule réponse aux problématiques de sécurité dans les entreprises ?

Autant de questions qui laissent penser que du chemin reste à faire. Pourtant les réponses ne sont pas toujours que techniques et technologiques, mais peuvent être très grandement complétées par l’œil et l’intelligence de l’homme. 2S RISK revendique sa légitimité en réaffirmant que l’humain reste et restera au cœur des dispositifs de sécurité. Les évolutions techniques en matière de sécurité (vidéo intelligente, détection thermique, biométrie, drones, …) permettent aujourd’hui de prévenir l’acte de malveillance, elles ne peuvent seules servir sans l’intelligence humaine et sa perception sensible du danger.

Autant de questions qui permettent de se rendre compte que tout n’a pas encore été dit ou fait. L’esprit latin n’a pas encore rejoint l’esprit anglo-saxon pour qui les questions de sécurité passent par des efforts importants et constants d’équipements mais aussi de travail sur les comportements.

Protection intrusion d'un commerce sensible

Ecrit par & déposé en vertu de Actualités.

Intrusions chez les professionnels en hausse

Après 2 années d’augmentation ininterrompue, les infractions sont en baisse de plus de 3% en 2015. Cette diminution s’explique notamment par un très fort recul des dégradations hors incendies (-12,89%). Pourtant les vols chez les particuliers (+0,6%) et les intrusions chez les professionnels (+2,66%) continuent de progresser.

(Source: bulletin mensuel ODRP – Observatoire National de la Délinquance et des Réponses Pénales)

Alors pourquoi dans un contexte de plus en plus insécurisé, et de sensibilisation de plus en plus prononcée, une telle augmentation ?

J’aurai bien du mal à répondre précisément à cette question, mais force est de constater qu’il y a un problème de protection. Soit les entreprises manquent de protection, soit, quand elles sont en place, elles ne sont pas suffisamment efficaces.

Dans ce dernier cas, pourquoi ne le sont-elles pas ?

  • Mal dimensionnées ?
  • Mal utilisées ?
  • Consignes pas respectées ?

Chez 2S RISK, nous cultivons chaque jour ces terrains pour trouver la meilleure réponse technique, au coût le plus adapté, et facilement utilisables et acceptables par les salariés.

Espionnage industriel

Ecrit par & déposé en vertu de Actualités.

Cybersécurité : Les attaques augmentent, la prévention et la détection aussi

Le nombre de cyberattaques recensées a progressé de 38% dans le monde en 2015. En France, c’est pire, puisque l’évolution de ces attaques a franchi le cap des 50%, soit une moyenne de 21 incidents par jour. (Etude datant d’octobre 2015 réalisée par le cabinet d’audit et de conseil PwC auprès de plus de 10 000 dirigeants d’entreprises dans 127 pays).

Encore une fois, l’étude pointe très nettement l’origine interne, cela nous le savions déjà. En revanche les budgets des entreprises ont eux aussi augmenté en 2015 (+29% en France, c’est plus que la moyenne monde). Les pertes financières s’élèvent à 3,7 M€ en moyenne par entreprise, c’est bien plus qu’en 2014.

Alors où est le problème ?

  • Capacité technique des attaquants en progression: cela est certain
  • Nouvel attrait financier pour les hackers: très vraisemblablement
  • Nouvelles méthodes gouvernementales pour affaiblir des pays ennemis: c’est de plus en plus vrai, notamment du côté de l’est, dit-on !
  • Nouvelles approches mafieuses pour réduire la concurrence: c’est indéniable
  • Protections pas ou peu mises en oeuvre: qui dirait le contraire ?
  • etc. …

Autant de réponses qui démontrent que la cybersécurité est avant tout une problématique de prise de conscience. En prenant conscience de sa fragilité, une entreprise ou une organisation pose déjà les briques de sa défense.

Sécurité dans les PME-PMI

Ecrit par & déposé en vertu de Actualités.

Sécurité dans les PME-PMI.

Selon le référentiel CNPP, 42% des dirigeants de PME-PMI n’ont pas amélioré le système de sécurité de leur entreprise depuis qu’ils la dirigent.

Les raisons invoquées sont davantage liées à la non connaissance des problèmes.

  • 68% des chefs d’entreprise estiment que cela ne leur paraît pas nécessaire
  • 47% s’en remettent à leur assureur, bien plus concernés par les mesures à mettre en place pour des risques réputés majeurs comme l’incendie

Plus préoccupant, seuls 27% des chefs d’entreprise qui ont subi une effraction ont amélioré leurs systèmes de sécurité par la suite. Qu’est ce que cela signifie ? Clairement, près d’1/3 de ces chefs d’entreprise peuvent subir les mêmes préjudices sans même avoir pris des mesures.

Alors faut-il toujours attendre le vol, la malveillance et les préjudices pour se protéger ? Assurément non !

La sécurité dans les PME-PMI passe par une analyse préalable. Bien se sécuriser, c’est d’abord bien évaluer ses biens et les risques auxquels ils sont exposés. Cela donne lieu à l’identification de scénarios de vulnérabilité et de criticité. C’est aussi évaluer les mesures mises en place ou à mettre en place. Et ceci, en permanence. Mais tout cela doit être fait selon des méthodes pérennes et lisibles pour l’entreprise.

Chez 2S RISK, nous cultivons chaque jour ces terrains pour trouver la meilleure réponse technique, au coût le plus adapté, et facilement utilisables et acceptables par les salariés. Nos études démarrent systématiquement par une véritable analyse des risques.

Protection intrusion d'un commerce sensible

Ecrit par & déposé en vertu de Actualités.

La sécurité des sites SEVESO

L’instruction du gouvernement du 30 juillet 2015 relative au renforcement de la sécurité des sites SEVESO contre les actes de malveillance a fait l’objet d’une parution dans le BO Écologie du 25 août 2015 sous le numéro 2015/15.

Pourquoi un tel renforcement ?

Cette instruction a été rédigée dans la foulée des évènements du printemps été 2015 avec les attaques du site de St Quentin Fallavier en Isère et des explosions criminelles du site pétrochimique de l’étang de Berre dans les Bouches du Rhône.

Qu’apporte cette nouvelle instruction ?

Cette instruction vise à contrôler la mise en place de moyens de protection contre de potentiels actes de malveillance. Plusieurs actions sont prévues, notamment du côté des pouvoirs publics, mais également du côté des entreprises exploitantes. Pour celles-ci, il est demandé de réaliser une auto-évaluation de leurs sites avant fin octobre 2015. (Demandez-là ici !).

Cette autoformation, décrite dans le guide d’analyse de la vulnérabilité des sites industriels chimiques face aux menaces de malveillance et de terrorisme, guide produit par l’INERIS, comporte plusieurs lots, dont celui des mesures pour la prévention des actes de malveillance. Ce lot est décomposé en 3 volets de sûreté:

  • Physique et électronique
  • Employés, du sous-traitant et du visiteur
  • Information, réseaux et propriété intellectuelle

Sur ces 3 volets, 2S RISK peut intervenir en conseil auprès des équipes responsables de la sûreté et sécurité.

Espionnage industriel

Ecrit par & déposé en vertu de Actualités.

Les MAC ne sont pas inviolables

On dit souvent que les MAC ne sont pas inviolables, qu’ils sont super sécurisés. On dit aussi qu’un Mac est plus sécurisé qu’un ordinateur sous Windows.

Sauf qu’il n’en est rien.

En 2014, le nombre de failles de sécurité découvertes sur Mac OS était bien supérieur à celles découvertes sur le système d’exploitation de Microsoft.

Et la dernière en date fait froid dans le dos. Avec une simple photo, il est possible de se faire voler tous ses mots de passe.

C’est en effet ce qu’ont découvert deux développeurs, Antoine Vincent Jebara et Raja Rahbani, rapporte 01Net.

Le fautif? Keychain, le gestionnaire de mot de passe de Mac OS X. C’est lors de tests sur leur propre logiciel de gestion de mots de passe, MyKi, qu’ils se sont aperçus du problème.

En tapant quelques lignes de commande dans l’opérateur de commandes, il est possible d’accéder à toutes les informations stockées par Keychain… sans avoir besoin de rentrer le mot de passe principal. En effet, seule une petite fenêtre s’affiche, qui demande à l’utilisateur de cliquer sur “autoriser”.

iPhone et iPad concernés si…

Les deux développeurs ont poussé le vice jusqu’à mettre en place un petit virus glissé dans… une simple photo. Il suffit d’ouvrir la photo pour que les lignes de commandes s’exécutent. De même que la petite case “autoriser” soit cochée, le tout en moins d’un cinquième de seconde. Une fois les mots de passe récupérés, ils sont directement envoyés par SMS au pirate.

Voici une vidéo de leur tour de force: ICI

Comme le rapporte Csoonline, les développeurs ont précisé que cette faille pouvait aussi concerner les mots de passe des iPhone et iPad, à condition d’utiliser iCloud Keychain. Cela permet au gestionnaire de mots de passe de gérer tous vos appareils Apple.

Dans ce cas, si votre Mac est piraté, tous les mots de passe du gestionnaire seront accessibles. Y compris ceux de vos appareils mobiles.