Rapport cyber-sinistres 2018 - Hiscox
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Hiscox, assureur spécialiste, est une société cotée au London Stock Exchange (LSE:HSX) et dont le siège social est situé aux Bermudes. Dans le cadre de son activité de retail au Royaume-Uni, en Europe et aux États-Unis, Hiscox propose une gamme d’assurances spécialisées à destination des professionnels, entreprises et particuliers. Pour plus d’informations, rendez-nous visite à l’adresse suivante : www.hiscox.fr.
Introduction Du ransomware au cryptojacking... Gestion des cyber-risques Par ailleurs, nous constatons une Si beaucoup voient encore la cyber- évolution des méthodes employées assurance comme un produit nouveau, par les cybercriminels, qui associent cela fait déjà presque vingt ans qu’Hiscox désormais à l’assaut du périmètre propose cette garantie aux entreprises relativement bien protégé des réseaux dans certains pays ; au cours des seuls d’entreprise des attaques visant leur 12 derniers mois, nous avons reçu à ce ventre mou sécuritaire : le personnel. titre plus de 1.000 déclarations de sinistre. L’erreur humaine émerge dès lors comme un risque majeur, comme le La cause la plus fréquente de ces montrent les exemples d’attaques par sinistres reste le ransomware – qui phishing, mais également l’infection consiste à rendre le système informatique “à la volée” (“drive-by”) sur certains sites d’une entreprise hors d’usage jusqu’au web, la transmission non sécurisée paiement par cette dernière d’une d’informations confidentielles, ou encore rançon. Une analyse transversale du la perte d’appareils non verrouillés. Les Gareth Wharton marché pourrait laisser penser que cette entreprises doivent donc s’assurer que Cyber CEO technique est sur le déclin, les particuliers leurs employés comprennent et sont Hiscox comme les entreprises étant aujourd’hui capables de gérer ces risques et, à ce mieux informés du danger qu’elle titre, leur formation s’avère capitale. présente (surtout depuis les attaques Wannacry et Petya en 2017), mais ce type Réponse à la menace de sinistre a néanmoins donné lieu à de Dans chacun des exemples détaillés ici, très nombreuses déclarations en 2018. notre offre de cyber-assurance, loin de s’en tenir à son seul rôle d’indemnisation, L’essor du cryptojacking a également joué un rôle crucial dans la L’usage de ces tactiques tend à montrer réponse aux attaques. Les entreprises que, même si la cybercriminalité est touchées ont pu rapidement avoir accès encore très portée sur le vol et l’utilisation à de nombreux experts (informatiques, d’informations confidentielles à des juridiques, communication de crise, etc.) fins de gain financier, elle se développe capables de les aiguiller pendant la durée de plus en plus sur la base d’autres de l’incident. Notre objectif, outre la méthodes, assez simples, pour atteindre couverture des conséquences financières ses objectifs. de l’incident, est de remettre nos assurés Le cryptojacking, par exemple – utiliser sur pied le plus rapidement possible. frauduleusement la puissance de Dans un marché de la cyber-assurance calcul des systèmes informatiques dont on estime qu’il pèsera 36 milliards d’une entreprise pour miner des de dollars en 2027 (contre 3,2 milliards cryptomonnaies –, est une tendance aujourd’hui), ce rapport Hiscox sur émergente dont nous explorons l’impact les sinistres cyber – le premier d’un ci-dessous, au travers d’exemples longue série de rapports et documents qui offrent un aperçu assez large de la que nous produirons sur le sujet – a pour variété des sinistres que nous avons eu objectif de favoriser, chez nos clients, une à traiter au cours de l’année écoulée, meilleure appréhension des cyber-risques touchant des entreprises de toutes actuels et émergents, d’aider à les limiter tailles, dans toutes les industries et les au sein des entreprises, et enfin d’illustrer zones géographiques. L’enseignement comment l’assurance peut participer que nous en retirons est qu’aujourd’hui d’une stratégie efficace de gestion encore, aucune entreprise n’est à l’abri de ces risques. des cybermenaces, qui sont toujours en constante augmentation. Hiscox rapport cyber-sinistres 2018 1
Sinistres liés à la cybercriminalité en volume Plus de 1.000 sinistres déclarés en 2017 Hausse du nombre de sinistres Hiscox – sinistres 2017 Tous territoires confondus Royaume-Uni 2013 2014 2015 2016 2017 Erreur humaine Autres 33% 67% Depuis 2013, le nombre de déclarations de sinistres couverts par Plus des deux tiers (67%) des sinistres déclarés sont partiellement nos polices de cyber-assurance a augmenté de plus de 1.700%, ou totalement attribuables à l’erreur d’un employé. Les erreurs ce qui démontre clairement que les entreprises, quelle que les plus courantes consistent à cliquer sur un email malveillant, soient leur taille ou leur situation géographique, sont confrontées à visiter des sites frauduleux ou en la perte d’appareils connectés. à un risque cyber bien plus intense qu’il ne l’était il y a cinq ans. Il est donc vital pour les entreprises d’investir non seulement Cette croissance se traduit notamment par un potentiel de pertes dans la technologie, mais aussi dans les processus de financières et d’atteintes à la réputation nettement aggravé. sensibilisation aux risques, de sorte que les employés puissent former une première ligne de défense efficace. Sinistres 2017 – Données personnelles (DP) 2017 – Causes de sinistres Royaume-Uni Tous territoires confondus Autres sinistres 78% 23% Ransomware 20% Hacker 16% Perte ou usage abusif de données 13% Autres Sinistres DP 22% 12% Détournement de paiements et phishing 7% Perte d’appareils et documents 6% Malware 3% Défaillance logicielle ou matérielle Près d’un quart des sinistres déclarés au Royaume-Uni en Même si le ransomware reste la cause de sinistre la plus fréquente 2017 (22%) relevaient d’un vol, perte ou utilisation abusive de en 2017, le graphique ci-dessus illustre la diversité des attaques données personnelles. Étant donné le renforcement récent de contre lesquelles les entreprises doivent se prémunir. Certaines la réglementation européenne dans ce domaine, les incidents de ces menaces sont externes, d’autres sont internes, d’autres de ce type vont certainement devenir plus coûteux, à la fois encore sont accidentelles. Prises ensemble, elles démontrent financièrement et en matière de réputation. qu’une bonne stratégie de cyberdéfense résulte d’un effort combiné en matière de formation, de process et de technologies. 2 Hiscox rapport cyber-sinistres 2018
Sinistres cyber au sein des PME Le ransomware poursuit son essor Tout comme en 2016, le ransomware est encore la première cause des sinistres cyber déclarés en 2017, notamment du fait de la faible protection à l’entrée des systèmes informatiques pour les pirates, de la facilité de déploiement des logiciels malveillants, et du très bon retour sur investissement qu’il présente. Les attaques par ransomware passent généralement par une erreur humaine, les employés étant toujours vulnérables au phishing et aux techniques d’ingénierie sociale. Ci-dessous, quatre exemples anonymisés de sinistres que nous avons traités au cours des 12 derniers mois : dans trois d’entre eux, l’erreur humaine a été un facteur décisif. Un cas de ransomware peu ordinaire Contexte Enseignements Notre assuré a pris conscience que Le pirate a essayé un grand nombre Secteur Technologies ses sytèmes informatiques étaient de combinaisons avant de trouver le Chiffre d’affaires €10m – €50m compromis lorsqu’il s’est aperçu que mot de passe (les tentatives se comptent certains de ses fichiers avait fait l’objet généralement en milliers). Pour se Coût du sinistre €420,000 d’un chiffrement, et qu’une demande de protéger de ce type d’attaques, une rançon lui est parvenue. Le hacker avait gestion sérieuse des accès aux comptes réussi à obtenir l’identité de l’administrateur est indispensable, par exemple, en réseau de l’entreprise, puis avait utilisé désactivant les comptes après un certain une attaque en force brute pour trouver nombre d’échecs d’identification. son mot de passe. L’ANSSI offre de bons conseils en la En utilisant les identifiants de matière, et recommande notamment l’administrateur pour accéder à distance aux entreprises d’installer les patchs aux systèmes de l’entreprise, l’attaquant de sécurité mis à disposition par a pu collecter d’autres jeux d’identifiants Microsoft, de sauvegarder régulièrement qui lui ont permis un accès encore plus ses données critiques, dans l’idéal étendu. Des données personnelles quotidiennement et à l’extérieur de et commerciales sensibles (contrats, son système d’information, ou encore coordonnées bancaires, etc.) ont été de prendre l’habitude de mettre compromises. systématiquement à jour les logiciels utilisés, que ce soit dans un cadre Notre réponse professionnel ou à titre privé. L’entreprise nous ayant contacté, nous avons immédiatement dépêché un expert et un avocat pour aider l’entreprise à gérer les conséquences de la violations de données, et pour enquêter sur la gravité de l’incident, re-sécuriser le réseau de l’entreprise et informer celle-ci de ses obligations réglementaires de notification. Nous avons également engagé une agence de relations publiques pour conseiller l’entreprise dans ses communications avec la presse et avec ses clients. Le régulateur local, les personnes dont les données personnelles ont été compromises et les clients de l’entreprise ont tous été prévenus de l’incident. Cette réaction rapide et décisive a convaincu le régulateur de ne pas prononcer de sanction. Hiscox rapport cyber-sinistres 2018 3
Une note salée pour le restaurant Contexte Enseignements Une attaque par ransomware a chiffré En aidant le personnel à reconnaître le Secteur Services l’intégralité du système informatique style des potentiels emails de phishing, de restauration d’un restaurant, affectant jusqu’à ses ou à savoir identifier dans les informations Chiffre d’affaires €1m – €10m caisses physiques et rendant toute sur l’expéditeur d’un email des éléments transaction électronique impossible. qui le rendent suspect, les entreprises Coût du sinistre €20,000 peuvent réduire de manière significative Notre réponse les risques d’attaque par phishing. Ayant épuisé toutes les autres options, il est apparu que le moyen le plus Il est également important de mettre en efficace pour rétablir les systèmes de place un protocole sérieux de sauvegarde l’établissement était de payer la rançon. des données. Celles-ci doivent faire l’objet de tests réguliers et être stockées sur Nous avons donc pris en charge le un système qui n’est pas connecté au coût de la rançon, ainsi que les coûts réseau principal (par, exemple, un disque informatiques liés à la mise en œuvre dur externe). du déchiffrement et à la restauration complète des fonctionnalités du système. Nous avons également dépêché un expert pour détecter d’éventuelles violations de données personnelles. En plus de ces coûts, nous avons compensé la perte d’activité subie par le restaurant du fait de son incapacité temporaire à traiter les transactions. Vengeance par DDoS Contexte Enseignements Une enquête de police a révélé que les Les organisations qui dépendent de la Secteur Services financiers attaques avaient été menées par un capacité de leurs clients à accéder à des Chiffre d’affaires €10m – €50m employé mécontent. Nous avons couvert services en ligne devraient envisager les sommes payées par l’assuré à son l’achat d’un service de prévention des Coût du sinistre €150,000 sous-traitant informatique pour la attaques DdoS. Ceux-ci filtrent le trafic restauration des systèmes. L’entreprise et écartent les requêtes indésirables et a également subi une interruption très ne transmettent au site protégé que les préjudiciable de ses activités commerciales requêtes réputées légitimes. en raison de cette attaque. Notre réponse Les organisations qui dépendent de la capacité de leurs clients à accéder à des services en ligne devraient envisager l’achat d’un service de prévention des attaques DdoS. Ceux-ci filtrent le trafic et écartent les requêtes indésirables et ne transmettent au site protégé que les requêtes réputées légitimes. Hiscox rapport cyber-sinistres 2018 5
Et l’avenir ? Le cryptojacking Plus lucratif et moins d’efforts pour les criminels Les pirates commencent à se détourner des attaques par ransomware, invasives et très visibles, pour se consacrer sur une activité bien plus discrète : le cryptojacking. Selon Symantec, les cas de cryptojacking ont connu une hausse de 8.5% sur le dernier trimestre 2017. Une fois qu’un hacker a réussi à s’introduire dans un système informatique, plutôt que d’y charger un ransomware pour chiffrer les fichiers de la victime, l’attaque de cryptojacking va installer un logiciel de “minage”. Ce dernier va tourner en arrière-plan en mobilisant la puissance de calcul non utilisée par l’ordinateur de la victime (ou les serveurs de son lieu de travail) pour miner discrètement des cryptomonnaies pour le compte du hacker. Il est probable qu’un hacker averti préfère ce mode opératoire pour passer inaperçu et accumuler des revenus supérieurs sur le long terme. Une victime dans le secteur Contexte Enseignement informatique Une société informatique se rend compte En plus des bonnes pratiques sur la qu’un malware a été installé sur l’un de bonne gestion des mots de passe et la Secteur Technologies ses serveurs. mise à jour régulière des logiciels pour Chiffre d’affaires €50m+ s’assurer qu’ils soient dûment “patchés” Notre réponse – les entreprises ont intérêt à installer des Coût du sinistre €80,000 Nous avons demandé à un expert IT logiciels de surveillance des statistiques d’enquêter sur les fonctions du malware clés des serveurs (taux d’utilisation du et sur les circonstances de son apparition processeur, de la mémoire, du réseau dans les systèmes de notre assuré. Nous et du disque). Sur la durée, le logiciel avons examiné la possibilité d’une atteinte de contrôle va établir un “état normal” plus large, risquant entre autre l’intégrité du système, à partir duquel on peut des données personnelles. déterminer des seuils d’alerte. Outre le Étant donné la gravité potentielle de fait qu’un tel logiciel peut s’avérer utile l’intrusion, nous avons échangé un pour signaler les pannes de serveurs, spécialiste de la protection des données il permet également d’avertir de piloter l’enquête qui a confirmé que l’administrateur si un volume inhabituel le malware était un programme de minage de trafic est détecté, laissant ainsi mais, heureusement, rien de grave : soupçonner que des données sont en aucune fuite de données n’a été détectée. train d’être transmises à l’extérieur. Si le taux d’utilisation du processeur reste Les publicitaires et le Bitcoin Contexte plus élevé qu’attendu sur une longue Une société de relations publiques a période, cela peut également indiquer Secteur Marketing remarqué un problème affectant ses qu’un programme malveillant de Chiffre d’affaires €0 – €1m courriers électroniques. Son sous-traitant cryptojacking est à l’œuvre au sein informatique habituel a mené une enquête du système. Coût du sinistre €50,000 et déterminé que la cause la plus probable en était une activité malveillante. L’assuré nous a alors contacté et nous avons dépêché sur site une un expert IT, qui a confirmé que l’assuré était victime d’une attaque. Les systèmes informatiques de la société étaient infectés par un programme de cryptojacking destiné au minage de cryptomonnaie. L’enquête a pu déterminer que les hackers qui avaient déployé ce malware étaient accédés aux systèmes de l’assuré et avaient potentiellement menacé l’intégrité de données personnelles. Notre réponse Après avoir enquêté pour déterminer la gravité de l’intrusion, l’équipe informatique a désinstallé le logiciel malveillant et remédié aux failles de sécurité Nous avons engagé un avocat pour informer notre client de ses obligations de notification et l’assister dans la notification du régulateur et des personnes concernées. 6 Hiscox rapport cyber-sinistres 2018
Glossaire technique Advanced persistent threat (APT). Chiffrement. Processus par lequel une DNS hijacking, ou “manipulation de Attaque ciblée, c’est-à-dire dirigée contre information ou donnée est convertie en l’espace des noms de domaine”. une structure en particulier, basée sur un code, de sorte qu’elle soit illisible par Attaque qui modifie les réglages d’un des mécanismes plus complexes que toute personne ou appareil ne disposant ordinateur pour qu’il ignore le DNS, les attaques à grandes échelles type pas d’une clé chiffrée idoine. ou bien se connecte à un serveur DNS spamming (failles 0-day, vulnérabilités contrôlé par des pirates malveillants. spécifiques du système d’information, Conseil des normes de sécurité de Les attaquants peuvent alors rediriger ses etc.). Elle est qualifiée de persistante car l’industrie des cartes de paiement communications vers un site frauduleux. elle va en général perdurer jusqu’à ce que (PCI-SSC). Organe dirigeant du PCI. son objectif soit atteint. En général, ces Le Conseil des normes de sécurité PCI Drive-by download. Infection d’un attaques sont précédées d’une longue (PCI SSC) a été formé en septembre ordinateur par un malware lorsqu’un période de préparation, à la fois technique 2006 par American Express, Discover utilisateur visite un site malveillant,même et relevant de l’ingénierie sociale. Financial Services, Japan Credit en l’absence d’action particulière de Bureau, MasterCard Worldwide et Visa l’utilisateur pour initier le téléchargement. Air gap. (Litt. “vide d’air”) La séparation International. Le site du Conseil des ou l’isolation physique entre un système Exploit. Élément de programme normes de sécurité PCI répertorie environ permettant d’exploiter une faille de donné et des systèmes ou réseaux tiers. 700 membres / adhérents. sécurité (généralement un défaut de Anti-malware/anti-virus. Logiciel utilisant Contrôle d’accès. Processus au terme programmation d’un logiciel) afin d’infecter un analyseur qui permet d’identifier virus duquel sont acceptées ou rejetées les ou d’accéder à la mémoire d’un ordinateur. et autres programmes potentiellement requêtes spécifiques, les tentatives malveillants sur une machine d’obtenir et d’utiliser certaines données Faille 0-Day. Exploit qui tire parti d’une Attaque par force brute. Cyber-attaque et services associés de traitement de faille de sécurité le jour même où la « par tâtonnement », qui vise à décoder l’information, mais aussi les demandes vulnérabilité est connue du public. des données cryptées en essayant toutes d’accès à des installations physiques. Ces exploits sont en principe bloqués les combinaisons possibles ou à forcer ultérieurement par des patchs de sécurité/ Cookie. Fichier stocké sur un ordinateur des mises à jour fournies par l’éditeur l’accès à un système d’information jusqu’ qui permet aux sites web de se souvenir du logiciel. à trouver une faille qui permet d’entrer. d’un utilisateur. Cette méthode prend beaucoup de temps Firewall, ou pare-feu. Barrière logicielle et peut être rendue beaucoup moins Cryptographie. Méthodes consistant entre divers réseaux, ou parties d’un efficaces par des mesures de sécurité à protéger des informations en les réseau, visant à bloquer le traffic assez basiques. convertissant dans un format illisible pour malveillant, ou à prévenir les tentatives tout individu ne disposant pas de la clé de piratage. Le pare-feu inspecte Authentification. Processus de vérification de l’identité (ou d’autres de décryptage. Il existe différentes l’ensemble du traffic à la fois entrant et attributs) d’un individu. Peut être simple formes de chiffrement, le format le plus sortant et vérifie qu’il répond à certains ou multi-facteurs, c’est-à-dire faire appel largement répandu étant le PGP (Pretty critères. Dans le cas contraire, le pare- à plusieurs méthodes simultanément Good Privacy). feu bloque l’accès. (login et mot de passe pour se connecter Cryptojacking. Utilisation non autorisée Hacktivisme. Désigne les activités de + code envoyé par sms, par exemple, ou d’un ordinateur-cible pour le minage piratage menées à des fins politiques, mot de passe + empreinte rétinienne). de cryptomonnaie. éthiques, ou sociétales (les attaques Backdoor (trojan) ou “Porte dérobée”. Data loss prevention (DLP). Ensemble d’Anonymous en sont un bon exemple). Programme malveillant conçu pour être de procédures et d’outils logiciels visant Hameçonnage / phishing. Technique par introduit dans un système informatique à assurer que des données sensibles ne laquelle des cyber-pirates se font passer et, une fois dedans, s’exécuter pour y voler puissent pas sortir d’un réseau prédefini. pour des interlocuteurs de confiance ensuite des données ou endommager (grandes sociétés, organismes financiers) l’ordinateur. Distributed denial-of-service attack (DDoS). Attaque visant à empêcher familiers de leurs cibles, et leur demandent Blacklist. Liste des entités, adresses l’accès d’utilisateurs légitimes à un par email des informations confidentielles IP, etc. dont l’accès est bloqué, ou à qui ordinateur ou à un site internet ciblé en (type mots de passe, numéros de comptes certains accès ou privilèges sont refusés. submergeant ce dernier de requêtes bancaires, etc) ou des transferts de fonds, et/ou d’instructions ; elles sont le plus ou encore les incitent à se connecter Botnet. Série d’ordinateurs compromis sur une page web corrompue. C’est une par un malware et contrôlés par le biais souvent menées au moyen d’un botnet. méthode qui relève de l’ingénierie sociale d’un réseau. Utilisé notamment dans les Domain name system (DNS) (“Système (exploitation d’une faille humaine plutôt attaques DDoS (déni de service). de noms de domaine”). L’annuaire du que technique). de la banque choisie, par Bug. Erreur, défaut, lacune ou web. Permet aux ordinateurs de traduire exemple), certains iront quand même imperfection imprévue et relativement les noms de domaine, par exemple hiscox. jusqu’à lire le mail et ouvrir la pièce jointe / mineure au sein d’un système, d’un com, en adresses IP, et donc d’établir une cliquer sur le lien. Se rattachent aussi au logiciel ou d’un appareil. connection entre ordinateurs distants. hameçonnage le spear-phishing, Hiscox rapport cyber-sinistres 2018 7
ou harponnage (se concentrer sur un seul de gestion de la sécurité de l’information. Un standard de sécurité des données, utilisateur ou service) ou le whale-phishing / établi à l’initiative du PCI, qui gouverne Keylogger. Type de logiciel malveillant hameçonnage ciblé (se concentrer la manière dont les entreprises qui capable d’enregistrer furtivement les sur des personnes à haut revenu). perçoivent des paiements par carte de frappes de clavier d’un utilisateur et de Hashing (ou hachage). Processus les communiquer à un tiers. crédit ou débit doivent traiter et protéger utilisant un algorithme de chiffrement les données concernées. On distingue irréversible pour convertir une information Malware. Abréviation de « malicious quatre niveaux de gouvernance selon le en une valeur alphanumérique aléatoire. software », terme commun désignant volume de transactions traitées, du niveau Typiquement utilisé pour protéger l’ensemble des logiciels malveillants, dont quatre pour les plus modestes, au niveau l’intégrité des mots de passe au cas où les virus, vers informatiques, trojans et un pour les plus importants. Les limites un acteur malveillant parviendrait à logiciels espions. Dans le langage courant, précises de ces niveaux sont décidées accéder à la base de données où ceux- les termes malware et virus sont souvent par chaque marque individuellement. ci sont stockés. Souvent associé à un utilisés de manière interchangeable. Informations supplémentaires disponibles “salage” des données (v. infra). Menace interne. Personne ou groupe ici : www.pcisecuritystandards.org. Ingénierie sociale. Techniques de de personnes au sein d’une entreprise Patch, ou correctif. Extension logicielle manipulation psychologique utilisées par qui présente potentiellement, soit et/ou du firmware destinée à corriger un attaquant pour pousser sa victime à par négligence, soit par malveillance, les bogues et vulnérabilités. certaines actions, souvent par le biais d’un un risque de violation des politiques de sécurité. Network access control (NAC). Phreaking. Utilisation d’un ordinateur phishing, mais aussi au moyen d’appels téléphoniques, de faux comptes LinkedIn, Un contrôleur d’accès au réseau est une ou autre appareil pour tromper un etc. Les actions visées sont généralement méthode permettant de réserver l’accès système téléphonique. Le phreaking est la connexion à un site malveillant, ou d’un réseau aux appareils qui se conforment souvent utilisé pour passer des appels l’exécution non-désirée d’un fichier joint. à une politique de sécurité prédéfinie. gratuitement, ou bien les faire facturer au compte d’un tiers. Injection SQL. Le SQL est un langage NIST cyber security framework. informatique normalisé servant à (États-Unis) Cadre général de normes, Plan de réponse aux incidents (IRP). l’exploitation des bases de données. bonnes pratiques et recommandations Ensemble prédéterminé et documenté Une injection SQL consiste en une destiné à promouvoir la sécurité de procédures visant à détecter et à manipulation de ce langage instruisant informatique. Visant à la neutralité réagir aux incidents de cybersécurité. à la base de données visée d’effectuer industrielle, géographique et normative, Point d’extrémité. Un appareil connecté des tâches différentes de sa il s’intéresse moins aux mesures à à internet. Le terme peut désigner fonction attendue. prendre qu’aux résultats attendus. des ordinateurs de bureau, portables, ISO27001. Norme internationale Norme PCI-DSS (norme de sécurité smartphones, tablettes, clients légers, établissant les bonnes pratiques en terme de l’industrie des cartes de paiement). imprimantes, etc. 8 Hiscox rapport cyber-sinistres 2018
Protocole RDP (Remote Desktop symétriques pour le chiffrement des sécurisée par TLS en affichant un Protocol). Protocole qui permet à un données. Les navigateurs web indiquent cadenas ou un certificat de sécurité utilisateur de se connecter à un système qu’une connexion est protégée par à côté du champ d’adresse. On parle informatique par le biais d’internet. protocole SSL en affichant un cadenas encore souvent de protocole SSL ou un certificat de sécurité près du en langage courant. Qualified security assessor (QSA). champ URL. Fournisseur de services d’évaluation Trojan, ou cheval de Troie. Programme certifié PCI-DSS pour l’audit de conformité Security information and event malveillant conçu pour imiter l’apparence des marchands partenaires. management (SIEM). Une solution d’un logiciel légitime, mais qui exécute en de sécurité qui améliore la visibilité de réalité des fonctions nuisibles et cachées. Questionnaire d’auto-évaluation (SAQ). la cybersécurité au sein des entreprises Formulaire d’auto-évaluation utilisé par Ver informatique. Forme de malware en procédant à l’aggrégation et à la les plus petits commerçants pour vérifier qui peut se dupliquer et se propager sans corrélation des alertes et logs générés leur conformité avec la norme PCI DSS. qu’une interaction humaine ou système par de multiples sources et logiciels soit nécessaire. Un malware en pilote Ramscraping. Technique utilisée de sécurité (IPS, IDS, AV, etc). automatique, en quelque sorte. par certains malwares afin d’extraire les Serveur de commande et contrôle. informations carte de paiement de la Virtual private network (VPN). Système Ordinateur qui émet des instructions mémoire d’une machine avant qu’elles permettant de connecter des ordinateurs aux appareils formant un botnet. ne soient cryptées. distants à un réseau central, qui offre aux Spoofing. Falsification de l’adresse utilisateurs la possibilité de communiquer Ransomware. Logiciel malveillant qui expéditeur d’un courrier électronique entre eux ou d’accéder aux serveurs de chiffre ou bloque l’accès à des données à des fins de phishing ou d’ingénierie l’organisation par le biais d’internet, et/ou systèmes et soumet la remise de sociale. et de manière sécurisée. la clé de chiffrement utilisée au paiement d’une rançon. Spyware. Logiciel qui collecte les Virus. Programmes malveillants capables informations d’un système d’information de se propager à d’autres fichiers. Rapport de conformité (RoC). ou d’une interface web à l’insu de l’utilisateur, Délivré par un QSA lorsque les systèmes Vulnérabilité. Bug logiciel exploité par souvent à des fins publicitaires ou informatiques d’un commerçant sont un hacker pour pirater un ordinateur. d’espionnage industriel. en conformité avec la norme PCI-DSS. Whitelist. Une liste d’entités, adresses IP, Surface d’attaque. L’ensemble des Red team exercise. Exercice mené en applications, etc. réputées de confiance ressources matérielles et logicielles conditions réelles consistant à simuler pour qui l’accès et/ou certains privilèges connectées à internet au sein d’une une attaque de hacker, ou une tentative sont garantis. organisation. Plus ces ressources sont d’exploiter une vulnérabilité d’un réseau nombreuses, plus il existe de vulnerabilités Zombie (aussi appelé bot). Un ordinateur d’entreprise. potentielles pouvant être utilisées par un infecté qui est contrôlé à distance par Redondances. Systèmes adversaire pour attaquer l’organisation. un hacker. Il fait généralement partie supplémentaires ou alternatifs, sous- d’un botnet. Système de détection des intrusions systèmes, ressources ou processus (IDS). Appareil ou application logicielle permettant de garantir un certain degré destinée à la surveillance de réseaux ou de fonctionnalité en cas de défaillance systèmes et permettant de détecter les d’un autre système, sous-système, activités malveillantes ou les violations ressource ou processus. de politiques d’utilisation en signalant toute Résilience. Capacité d’un réseau à activité inhabituelle aux administrateurs. maintenir ses fonctions opérationnelles Système de prévention des intrusions (résistance aux perturbations et capacité (IPS). Version proactive de l’IDS pouvant à opérer des fonctions de base même automatiquement procéder au blocage en cas d’atteinte grave), à se rétablir d’utilisateurs ayant des comportements efficacement en cas de défaillance avérée suspects. et à adapter rapidement sa capacité pour répondre à des requêtes imprévisibles Test d’intrusion ou de pénétration. ou à leur soudaine multiplication (comme Processus d’évaluation qui consiste à dans les attaques DDoS). rechercher des vunérabilités et à tenter de contourner les éléments de sécurité Rootkit. Un élément logiciel qui permet d’un réseau ou d’un système informatique. de dissimuler des programmes ou processus en cours d’exécution sur Threat actor (cyber délinquant). Individu, un ordinateur. groupe, organisation, ou gouvernementqui perpètre ou a l’intention de perpétrer des Salage. L’ajout d’une suite aléatoire actions préjudiciables (autrement dit, un de caractères à un mot de passe avant hacker). hashing afin de rendre son décryptage plus difficile. Threat vector (vecteur de menace). Méthode utilisée par un cyber délinquant Secure file transfer protocol (SFTP). pour accéder à un réseau. Protocole pour la transmission de fichiers Transport layer security (TLS). chiffrés par internet. Successeur du SSL, il s’agit également Secure sockets layer (SSL). d’un protocole de sécurisation des Protocole obsolète (remplacé par le échanges sur internet utilisant des clés TLS) pour la transmission de données symétriques pour le chiffrement des privées reposant sur des systèmes données. De nombreux navigateurs cryptographiques utilisant deux clés internet indiquent qu’une connexion est Hiscox rapport cyber-sinistres 2018 9
Hiscox 19 rue Louis Legrand 75002 Paris hiscox.fr 19264 8/18
Vous pouvez aussi lire