Rapport cyber-sinistres 2018 - Hiscox

La page est créée Estelle Bruneau
 
CONTINUER À LIRE
Rapport cyber-sinistres 2018 - Hiscox
Rapport
cyber-sinistres
2018
Rapport cyber-sinistres 2018 - Hiscox
Hiscox, assureur spécialiste, est une société cotée
au London Stock Exchange (LSE:HSX) et dont le siège
social est situé aux Bermudes. Dans le cadre de son
activité de retail au Royaume-Uni, en Europe et aux
États-Unis, Hiscox propose une gamme d’assurances
spécialisées à destination des professionnels, entreprises
et particuliers. Pour plus d’informations, rendez-nous
visite à l’adresse suivante : www.hiscox.fr.
Rapport cyber-sinistres 2018 - Hiscox
Introduction
Du ransomware au cryptojacking...

Gestion des cyber-risques                        Par ailleurs, nous constatons une
Si beaucoup voient encore la cyber-              évolution des méthodes employées
assurance comme un produit nouveau,              par les cybercriminels, qui associent
cela fait déjà presque vingt ans qu’Hiscox       désormais à l’assaut du périmètre
propose cette garantie aux entreprises           relativement bien protégé des réseaux
dans certains pays ; au cours des seuls          d’entreprise des attaques visant leur
12 derniers mois, nous avons reçu à ce           ventre mou sécuritaire : le personnel.
titre plus de 1.000 déclarations de sinistre.    L’erreur humaine émerge dès lors
                                                 comme un risque majeur, comme le
La cause la plus fréquente de ces
                                                 montrent les exemples d’attaques par
sinistres reste le ransomware – qui
                                                 phishing, mais également l’infection
consiste à rendre le système informatique
                                                 “à la volée” (“drive-by”) sur certains sites
d’une entreprise hors d’usage jusqu’au
                                                 web, la transmission non sécurisée
paiement par cette dernière d’une
                                                 d’informations confidentielles, ou encore
rançon. Une analyse transversale du
                                                 la perte d’appareils non verrouillés. Les       Gareth Wharton
marché pourrait laisser penser que cette
                                                 entreprises doivent donc s’assurer que          Cyber CEO
technique est sur le déclin, les particuliers
                                                 leurs employés comprennent et sont              Hiscox
comme les entreprises étant aujourd’hui
                                                 capables de gérer ces risques et, à ce
mieux informés du danger qu’elle
                                                 titre, leur formation s’avère capitale.
présente (surtout depuis les attaques
Wannacry et Petya en 2017), mais ce type         Réponse à la menace
de sinistre a néanmoins donné lieu à de          Dans chacun des exemples détaillés ici,
très nombreuses déclarations en 2018.            notre offre de cyber-assurance, loin de
                                                 s’en tenir à son seul rôle d’indemnisation,
L’essor du cryptojacking
                                                 a également joué un rôle crucial dans la
L’usage de ces tactiques tend à montrer
                                                 réponse aux attaques. Les entreprises
que, même si la cybercriminalité est
                                                 touchées ont pu rapidement avoir accès
encore très portée sur le vol et l’utilisation
                                                 à de nombreux experts (informatiques,
d’informations confidentielles à des
                                                 juridiques, communication de crise, etc.)
fins de gain financier, elle se développe
                                                 capables de les aiguiller pendant la durée
de plus en plus sur la base d’autres
                                                 de l’incident. Notre objectif, outre la
méthodes, assez simples, pour atteindre
                                                 couverture des conséquences financières
ses objectifs.
                                                 de l’incident, est de remettre nos assurés
Le cryptojacking, par exemple – utiliser         sur pied le plus rapidement possible.
frauduleusement la puissance de
                                                 Dans un marché de la cyber-assurance
calcul des systèmes informatiques
                                                 dont on estime qu’il pèsera 36 milliards
d’une entreprise pour miner des
                                                 de dollars en 2027 (contre 3,2 milliards
cryptomonnaies –, est une tendance
                                                 aujourd’hui), ce rapport Hiscox sur
émergente dont nous explorons l’impact
                                                 les sinistres cyber – le premier d’un
ci-dessous, au travers d’exemples
                                                 longue série de rapports et documents
qui offrent un aperçu assez large de la
                                                 que nous produirons sur le sujet – a pour
variété des sinistres que nous avons eu
                                                 objectif de favoriser, chez nos clients, une
à traiter au cours de l’année écoulée,
                                                 meilleure appréhension des cyber-risques
touchant des entreprises de toutes
                                                 actuels et émergents, d’aider à les limiter
tailles, dans toutes les industries et les
                                                 au sein des entreprises, et enfin d’illustrer
zones géographiques. L’enseignement
                                                 comment l’assurance peut participer
que nous en retirons est qu’aujourd’hui
                                                 d’une stratégie efficace de gestion
encore, aucune entreprise n’est à l’abri
                                                 de ces risques.
des cybermenaces, qui sont toujours
en constante augmentation.

                                                                                                  Hiscox rapport cyber-sinistres 2018   1
Rapport cyber-sinistres 2018 - Hiscox
Sinistres liés à la cybercriminalité en volume
Plus de 1.000 sinistres déclarés en 2017

Hausse du nombre de sinistres                                           Hiscox – sinistres 2017
Tous territoires confondus                                              Royaume-Uni
2013             2014           2015            2016    2017            Erreur humaine                            Autres

                                                                                                                               33%

                                                                                          67%

Depuis 2013, le nombre de déclarations de sinistres couverts par        Plus des deux tiers (67%) des sinistres déclarés sont partiellement
nos polices de cyber-assurance a augmenté de plus de 1.700%,            ou totalement attribuables à l’erreur d’un employé. Les erreurs
ce qui démontre clairement que les entreprises, quelle que              les plus courantes consistent à cliquer sur un email malveillant,
soient leur taille ou leur situation géographique, sont confrontées     à visiter des sites frauduleux ou en la perte d’appareils connectés.
à un risque cyber bien plus intense qu’il ne l’était il y a cinq ans.   Il est donc vital pour les entreprises d’investir non seulement
Cette croissance se traduit notamment par un potentiel de pertes        dans la technologie, mais aussi dans les processus de
financières et d’atteintes à la réputation nettement aggravé.           sensibilisation aux risques, de sorte que les employés puissent
                                                                        former une première ligne de défense efficace.

Sinistres 2017 – Données personnelles (DP)                              2017 – Causes de sinistres
Royaume-Uni                                                             Tous territoires confondus
Autres sinistres                                                  78%                                                      23%      Ransomware

                                                                                                                   20%                     Hacker

                                                                                                         16%                      Perte ou usage
                                                                                                                               abusif de données
                                                                                                  13%                                      Autres

Sinistres DP                      22%                                                           12%                 Détournement de paiements
                                                                                                                                   et phishing
                                                                                     7%                          Perte d’appareils et documents

                                                                                  6%                                                     Malware

                                                                           3%                                  Défaillance logicielle ou matérielle

Près d’un quart des sinistres déclarés au Royaume-Uni en                Même si le ransomware reste la cause de sinistre la plus fréquente
2017 (22%) relevaient d’un vol, perte ou utilisation abusive de         en 2017, le graphique ci-dessus illustre la diversité des attaques
données personnelles. Étant donné le renforcement récent de             contre lesquelles les entreprises doivent se prémunir. Certaines
la réglementation européenne dans ce domaine, les incidents             de ces menaces sont externes, d’autres sont internes, d’autres
de ce type vont certainement devenir plus coûteux, à la fois            encore sont accidentelles. Prises ensemble, elles démontrent
financièrement et en matière de réputation.                             qu’une bonne stratégie de cyberdéfense résulte d’un effort
                                                                        combiné en matière de formation, de process et de technologies.

2              Hiscox rapport cyber-sinistres 2018
Rapport cyber-sinistres 2018 - Hiscox
Sinistres cyber au sein des PME
Le ransomware poursuit son essor

Tout comme en 2016, le ransomware est encore la première cause des sinistres cyber déclarés en 2017, notamment du fait de la
faible protection à l’entrée des systèmes informatiques pour les pirates, de la facilité de déploiement des logiciels malveillants, et du
très bon retour sur investissement qu’il présente. Les attaques par ransomware passent généralement par une erreur humaine, les
employés étant toujours vulnérables au phishing et aux techniques d’ingénierie sociale. Ci-dessous, quatre exemples anonymisés
de sinistres que nous avons traités au cours des 12 derniers mois : dans trois d’entre eux, l’erreur humaine a été un facteur décisif.

Un cas de ransomware peu ordinaire             Contexte                                          Enseignements
                                               Notre assuré a pris conscience que                Le pirate a essayé un grand nombre
Secteur             Technologies
                                               ses sytèmes informatiques étaient                  de combinaisons avant de trouver le
Chiffre d’affaires €10m – €50m                 compromis lorsqu’il s’est aperçu que               mot de passe (les tentatives se comptent
                                               certains de ses fichiers avait fait l’objet        généralement en milliers). Pour se
Coût du sinistre    €420,000
                                               d’un chiffrement, et qu’une demande de             protéger de ce type d’attaques, une
                                               rançon lui est parvenue. Le hacker avait           gestion sérieuse des accès aux comptes
                                               réussi à obtenir l’identité de l’administrateur    est indispensable, par exemple, en
                                               réseau de l’entreprise, puis avait utilisé         désactivant les comptes après un certain
                                               une attaque en force brute pour trouver            nombre d’échecs d’identification.
                                               son mot de passe.
                                                                                                 L’ANSSI offre de bons conseils en la
                                               En utilisant les identifiants de                  matière, et recommande notamment
                                               l’administrateur pour accéder à distance          aux entreprises d’installer les patchs
                                               aux systèmes de l’entreprise, l’attaquant         de sécurité mis à disposition par
                                               a pu collecter d’autres jeux d’identifiants       Microsoft, de sauvegarder régulièrement
                                               qui lui ont permis un accès encore plus           ses données critiques, dans l’idéal
                                               étendu. Des données personnelles                  quotidiennement et à l’extérieur de
                                               et commerciales sensibles (contrats,              son système d’information, ou encore
                                               coordonnées bancaires, etc.) ont été              de prendre l’habitude de mettre
                                               compromises.                                      systématiquement à jour les logiciels
                                                                                                 utilisés, que ce soit dans un cadre
                                               Notre réponse
                                                                                                 professionnel ou à titre privé.
                                               L’entreprise nous ayant contacté, nous
                                               avons immédiatement dépêché un expert
                                               et un avocat pour aider l’entreprise à gérer
                                               les conséquences de la violations de
                                               données, et pour enquêter sur la gravité
                                               de l’incident, re-sécuriser le réseau de
                                               l’entreprise et informer celle-ci de ses
                                               obligations réglementaires de notification.
                                               Nous avons également engagé une
                                               agence de relations publiques pour
                                               conseiller l’entreprise dans ses
                                               communications avec la presse et avec
                                               ses clients. Le régulateur local, les
                                               personnes dont les données personnelles
                                               ont été compromises et les clients de
                                               l’entreprise ont tous été prévenus de
                                               l’incident. Cette réaction rapide et
                                               décisive a convaincu le régulateur de
                                               ne pas prononcer de sanction.

                                                                                                  Hiscox rapport cyber-sinistres 2018        3
Rapport cyber-sinistres 2018 - Hiscox
4   Hiscox rapport cyber-sinistres 2018
Une note salée pour le restaurant        Contexte                                      Enseignements
                                         Une attaque par ransomware a chiffré          En aidant le personnel à reconnaître le
Secteur            Services
                                         l’intégralité du système informatique          style des potentiels emails de phishing,
                   de restauration
                                         d’un restaurant, affectant jusqu’à ses         ou à savoir identifier dans les informations
Chiffre d’affaires €1m – €10m            caisses physiques et rendant toute             sur l’expéditeur d’un email des éléments
                                         transaction électronique impossible.           qui le rendent suspect, les entreprises
Coût du sinistre   €20,000
                                                                                        peuvent réduire de manière significative
                                         Notre réponse
                                                                                        les risques d’attaque par phishing.
                                         Ayant épuisé toutes les autres options,
                                         il est apparu que le moyen le plus            Il est également important de mettre en
                                         efficace pour rétablir les systèmes de         place un protocole sérieux de sauvegarde
                                         l’établissement était de payer la rançon.      des données. Celles-ci doivent faire l’objet
                                                                                        de tests réguliers et être stockées sur
                                         Nous avons donc pris en charge le
                                                                                        un système qui n’est pas connecté au
                                         coût de la rançon, ainsi que les coûts
                                                                                        réseau principal (par, exemple, un disque
                                         informatiques liés à la mise en œuvre
                                                                                        dur externe).
                                         du déchiffrement et à la restauration
                                         complète des fonctionnalités du système.
                                         Nous avons également dépêché un
                                         expert pour détecter d’éventuelles
                                         violations de données personnelles.
                                         En plus de ces coûts, nous avons
                                         compensé la perte d’activité subie par
                                         le restaurant du fait de son incapacité
                                         temporaire à traiter les transactions.

Vengeance par DDoS                       Contexte                                      Enseignements
                                         Une enquête de police a révélé que les        Les organisations qui dépendent de la
Secteur            Services financiers
                                         attaques avaient été menées par un            capacité de leurs clients à accéder à des
Chiffre d’affaires €10m – €50m           employé mécontent. Nous avons couvert         services en ligne devraient envisager
                                         les sommes payées par l’assuré à son          l’achat d’un service de prévention des
Coût du sinistre   €150,000
                                         sous-traitant informatique pour la            attaques DdoS. Ceux-ci filtrent le trafic
                                         restauration des systèmes. L’entreprise       et écartent les requêtes indésirables et
                                         a également subi une interruption très        ne transmettent au site protégé que les
                                         préjudiciable de ses activités commerciales   requêtes réputées légitimes.
                                         en raison de cette attaque.
                                         Notre réponse
                                         Les organisations qui dépendent de la
                                         capacité de leurs clients à accéder à des
                                         services en ligne devraient envisager
                                         l’achat d’un service de prévention des
                                         attaques DdoS. Ceux-ci filtrent le trafic
                                         et écartent les requêtes indésirables
                                         et ne transmettent au site protégé que
                                         les requêtes réputées légitimes.

                                                                                         Hiscox rapport cyber-sinistres 2018           5
Et l’avenir ? Le cryptojacking
Plus lucratif et moins d’efforts pour les criminels

Les pirates commencent à se détourner des attaques par ransomware, invasives et très visibles, pour se consacrer sur une activité bien
plus discrète : le cryptojacking. Selon Symantec, les cas de cryptojacking ont connu une hausse de 8.5% sur le dernier trimestre 2017.
Une fois qu’un hacker a réussi à s’introduire dans un système informatique, plutôt que d’y charger un ransomware pour chiffrer les fichiers
de la victime, l’attaque de cryptojacking va installer un logiciel de “minage”. Ce dernier va tourner en arrière-plan en mobilisant la puissance
de calcul non utilisée par l’ordinateur de la victime (ou les serveurs de son lieu de travail) pour miner discrètement des cryptomonnaies
pour le compte du hacker. Il est probable qu’un hacker averti préfère ce mode opératoire pour passer inaperçu et accumuler des revenus
supérieurs sur le long terme.

Une victime dans le secteur                       Contexte                                        Enseignement
informatique                                      Une société informatique se rend compte         En plus des bonnes pratiques sur la
                                                  qu’un malware a été installé sur l’un de        bonne gestion des mots de passe et la
Secteur               Technologies
                                                  ses serveurs.                                   mise à jour régulière des logiciels pour
Chiffre d’affaires €50m+                                                                          s’assurer qu’ils soient dûment “patchés”
                                                  Notre réponse
                                                                                                  – les entreprises ont intérêt à installer des
Coût du sinistre      €80,000                     Nous avons demandé à un expert IT
                                                                                                  logiciels de surveillance des statistiques
                                                  d’enquêter sur les fonctions du malware
                                                                                                  clés des serveurs (taux d’utilisation du
                                                  et sur les circonstances de son apparition
                                                                                                  processeur, de la mémoire, du réseau
                                                  dans les systèmes de notre assuré. Nous
                                                                                                  et du disque). Sur la durée, le logiciel
                                                  avons examiné la possibilité d’une atteinte
                                                                                                  de contrôle va établir un “état normal”
                                                  plus large, risquant entre autre l’intégrité
                                                                                                  du système, à partir duquel on peut
                                                  des données personnelles.
                                                                                                  déterminer des seuils d’alerte. Outre le
                                                  Étant donné la gravité potentielle de           fait qu’un tel logiciel peut s’avérer utile
                                                  l’intrusion, nous avons échangé un              pour signaler les pannes de serveurs,
                                                  spécialiste de la protection des données        il permet également d’avertir
                                                  de piloter l’enquête qui a confirmé que         l’administrateur si un volume inhabituel
                                                  le malware était un programme de minage         de trafic est détecté, laissant ainsi
                                                  mais, heureusement, rien de grave :             soupçonner que des données sont en
                                                  aucune fuite de données n’a été détectée.       train d’être transmises à l’extérieur. Si
                                                                                                  le taux d’utilisation du processeur reste
Les publicitaires et le Bitcoin                   Contexte                                        plus élevé qu’attendu sur une longue
                                                  Une société de relations publiques a            période, cela peut également indiquer
Secteur               Marketing
                                                  remarqué un problème affectant ses              qu’un programme malveillant de
Chiffre d’affaires €0 – €1m                       courriers électroniques. Son sous-traitant      cryptojacking est à l’œuvre au sein
                                                  informatique habituel a mené une enquête        du système.
Coût du sinistre      €50,000
                                                  et déterminé que la cause la plus probable
                                                  en était une activité malveillante. L’assuré
                                                  nous a alors contacté et nous avons
                                                  dépêché sur site une un expert IT,
                                                  qui a confirmé que l’assuré était victime
                                                  d’une attaque.
                                                  Les systèmes informatiques de la société
                                                  étaient infectés par un programme de
                                                  cryptojacking destiné au minage de
                                                  cryptomonnaie. L’enquête a pu déterminer
                                                  que les hackers qui avaient déployé ce
                                                  malware étaient accédés aux systèmes de
                                                  l’assuré et avaient potentiellement menacé
                                                  l’intégrité de données personnelles.
                                                  Notre réponse
                                                  Après avoir enquêté pour déterminer
                                                  la gravité de l’intrusion, l’équipe
                                                  informatique a désinstallé le logiciel
                                                  malveillant et remédié aux failles de
                                                  sécurité Nous avons engagé un avocat
                                                  pour informer notre client de ses
                                                  obligations de notification et l’assister
                                                  dans la notification du régulateur et des
                                                  personnes concernées.

6           Hiscox rapport cyber-sinistres 2018
Glossaire technique

Advanced persistent threat (APT).              Chiffrement. Processus par lequel une          DNS hijacking, ou “manipulation de
Attaque ciblée, c’est-à-dire dirigée contre    information ou donnée est convertie en         l’espace des noms de domaine”.
une structure en particulier, basée sur        un code, de sorte qu’elle soit illisible par   Attaque qui modifie les réglages d’un
des mécanismes plus complexes que              toute personne ou appareil ne disposant        ordinateur pour qu’il ignore le DNS,
les attaques à grandes échelles type           pas d’une clé chiffrée idoine.                 ou bien se connecte à un serveur DNS
spamming (failles 0-day, vulnérabilités                                                       contrôlé par des pirates malveillants.
spécifiques du système d’information,          Conseil des normes de sécurité de
                                                                                              Les attaquants peuvent alors rediriger ses
etc.). Elle est qualifiée de persistante car   l’industrie des cartes de paiement
                                                                                              communications vers un site frauduleux.
elle va en général perdurer jusqu’à ce que     (PCI-SSC). Organe dirigeant du PCI.
son objectif soit atteint. En général, ces     Le Conseil des normes de sécurité PCI          Drive-by download. Infection d’un
attaques sont précédées d’une longue           (PCI SSC) a été formé en septembre             ordinateur par un malware lorsqu’un
période de préparation, à la fois technique    2006 par American Express, Discover            utilisateur visite un site malveillant,même
et relevant de l’ingénierie sociale.           Financial Services, Japan Credit               en l’absence d’action particulière de
                                               Bureau, MasterCard Worldwide et Visa           l’utilisateur pour initier le téléchargement.
Air gap. (Litt. “vide d’air”) La séparation    International. Le site du Conseil des
ou l’isolation physique entre un système                                                      Exploit. Élément de programme
                                               normes de sécurité PCI répertorie environ      permettant d’exploiter une faille de
donné et des systèmes ou réseaux tiers.        700 membres / adhérents.                       sécurité (généralement un défaut de
Anti-malware/anti-virus. Logiciel utilisant    Contrôle d’accès. Processus au terme           programmation d’un logiciel) afin d’infecter
un analyseur qui permet d’identifier virus     duquel sont acceptées ou rejetées les          ou d’accéder à la mémoire d’un ordinateur.
et autres programmes potentiellement           requêtes spécifiques, les tentatives
malveillants sur une machine                   d’obtenir et d’utiliser certaines données      Faille 0-Day. Exploit qui tire parti d’une
Attaque par force brute. Cyber-attaque         et services associés de traitement de          faille de sécurité le jour même où la
« par tâtonnement », qui vise à décoder        l’information, mais aussi les demandes         vulnérabilité est connue du public.
des données cryptées en essayant toutes        d’accès à des installations physiques.         Ces exploits sont en principe bloqués
les combinaisons possibles ou à forcer                                                        ultérieurement par des patchs de sécurité/
                                               Cookie. Fichier stocké sur un ordinateur       des mises à jour fournies par l’éditeur
l’accès à un système d’information jusqu’
                                               qui permet aux sites web de se souvenir        du logiciel.
à trouver une faille qui permet d’entrer.
                                               d’un utilisateur.
Cette méthode prend beaucoup de temps                                                         Firewall, ou pare-feu. Barrière logicielle
et peut être rendue beaucoup moins             Cryptographie. Méthodes consistant             entre divers réseaux, ou parties d’un
efficaces par des mesures de sécurité          à protéger des informations en les             réseau, visant à bloquer le traffic
assez basiques.                                convertissant dans un format illisible pour    malveillant, ou à prévenir les tentatives
                                               tout individu ne disposant pas de la clé       de piratage. Le pare-feu inspecte
Authentification. Processus de
vérification de l’identité (ou d’autres        de décryptage. Il existe différentes           l’ensemble du traffic à la fois entrant et
attributs) d’un individu. Peut être simple     formes de chiffrement, le format le plus       sortant et vérifie qu’il répond à certains
ou multi-facteurs, c’est-à-dire faire appel    largement répandu étant le PGP (Pretty         critères. Dans le cas contraire, le pare-
à plusieurs méthodes simultanément             Good Privacy).                                 feu bloque l’accès.
(login et mot de passe pour se connecter       Cryptojacking. Utilisation non autorisée       Hacktivisme. Désigne les activités de
+ code envoyé par sms, par exemple, ou         d’un ordinateur-cible pour le minage           piratage menées à des fins politiques,
mot de passe + empreinte rétinienne).          de cryptomonnaie.                              éthiques, ou sociétales (les attaques
Backdoor (trojan) ou “Porte dérobée”.          Data loss prevention (DLP). Ensemble           d’Anonymous en sont un bon exemple).
Programme malveillant conçu pour être          de procédures et d’outils logiciels visant     Hameçonnage / phishing. Technique par
introduit dans un système informatique         à assurer que des données sensibles ne         laquelle des cyber-pirates se font passer
et, une fois dedans, s’exécuter pour y voler   puissent pas sortir d’un réseau prédefini.     pour des interlocuteurs de confiance
ensuite des données ou endommager                                                             (grandes sociétés, organismes financiers)
l’ordinateur.                                  Distributed denial-of-service attack
                                               (DDoS). Attaque visant à empêcher              familiers de leurs cibles, et leur demandent
Blacklist. Liste des entités, adresses         l’accès d’utilisateurs légitimes à un          par email des informations confidentielles
IP, etc. dont l’accès est bloqué, ou à qui     ordinateur ou à un site internet ciblé en      (type mots de passe, numéros de comptes
certains accès ou privilèges sont refusés.     submergeant ce dernier de requêtes             bancaires, etc) ou des transferts de fonds,
                                               et/ou d’instructions ; elles sont le plus      ou encore les incitent à se connecter
Botnet. Série d’ordinateurs compromis
                                                                                              sur une page web corrompue. C’est une
par un malware et contrôlés par le biais       souvent menées au moyen d’un botnet.
                                                                                              méthode qui relève de l’ingénierie sociale
d’un réseau. Utilisé notamment dans les        Domain name system (DNS) (“Système             (exploitation d’une faille humaine plutôt
attaques DDoS (déni de service).
                                               de noms de domaine”). L’annuaire du            que technique). de la banque choisie, par
Bug. Erreur, défaut, lacune ou                 web. Permet aux ordinateurs de traduire        exemple), certains iront quand même
imperfection imprévue et relativement          les noms de domaine, par exemple hiscox.       jusqu’à lire le mail et ouvrir la pièce jointe /
mineure au sein d’un système, d’un             com, en adresses IP, et donc d’établir une     cliquer sur le lien. Se rattachent aussi au
logiciel ou d’un appareil.                     connection entre ordinateurs distants.         hameçonnage le spear-phishing,

                                                                                                Hiscox rapport cyber-sinistres 2018           7
ou harponnage (se concentrer sur un seul          de gestion de la sécurité de l’information.   Un standard de sécurité des données,
utilisateur ou service) ou le whale-phishing /                                                  établi à l’initiative du PCI, qui gouverne
                                                  Keylogger. Type de logiciel malveillant
hameçonnage ciblé (se concentrer                                                                la manière dont les entreprises qui
                                                  capable d’enregistrer furtivement les
sur des personnes à haut revenu).                                                               perçoivent des paiements par carte de
                                                  frappes de clavier d’un utilisateur et de
Hashing (ou hachage). Processus                   les communiquer à un tiers.                   crédit ou débit doivent traiter et protéger
utilisant un algorithme de chiffrement                                                          les données concernées. On distingue
irréversible pour convertir une information       Malware. Abréviation de « malicious           quatre niveaux de gouvernance selon le
en une valeur alphanumérique aléatoire.           software », terme commun désignant            volume de transactions traitées, du niveau
Typiquement utilisé pour protéger                 l’ensemble des logiciels malveillants, dont   quatre pour les plus modestes, au niveau
l’intégrité des mots de passe au cas où           les virus, vers informatiques, trojans et     un pour les plus importants. Les limites
un acteur malveillant parviendrait à              logiciels espions. Dans le langage courant,   précises de ces niveaux sont décidées
accéder à la base de données où ceux-             les termes malware et virus sont souvent      par chaque marque individuellement.
ci sont stockés. Souvent associé à un             utilisés de manière interchangeable.          Informations supplémentaires disponibles
“salage” des données (v. infra).                  Menace interne. Personne ou groupe            ici : www.pcisecuritystandards.org.
Ingénierie sociale. Techniques de                 de personnes au sein d’une entreprise         Patch, ou correctif. Extension logicielle
manipulation psychologique utilisées par          qui présente potentiellement, soit            et/ou du firmware destinée à corriger
un attaquant pour pousser sa victime à            par négligence, soit par malveillance,        les bogues et vulnérabilités.
certaines actions, souvent par le biais d’un      un risque de violation des politiques de
                                                  sécurité. Network access control (NAC).       Phreaking. Utilisation d’un ordinateur
phishing, mais aussi au moyen d’appels
téléphoniques, de faux comptes LinkedIn,          Un contrôleur d’accès au réseau est une       ou autre appareil pour tromper un
etc. Les actions visées sont généralement         méthode permettant de réserver l’accès        système téléphonique. Le phreaking est
la connexion à un site malveillant, ou            d’un réseau aux appareils qui se conforment   souvent utilisé pour passer des appels
l’exécution non-désirée d’un fichier joint.       à une politique de sécurité prédéfinie.       gratuitement, ou bien les faire facturer
                                                                                                au compte d’un tiers.
Injection SQL. Le SQL est un langage              NIST cyber security framework.
informatique normalisé servant à                  (États-Unis) Cadre général de normes,         Plan de réponse aux incidents (IRP).
l’exploitation des bases de données.              bonnes pratiques et recommandations           Ensemble prédéterminé et documenté
Une injection SQL consiste en une                 destiné à promouvoir la sécurité              de procédures visant à détecter et à
manipulation de ce langage instruisant            informatique. Visant à la neutralité          réagir aux incidents de cybersécurité.
à la base de données visée d’effectuer            industrielle, géographique et normative,      Point d’extrémité. Un appareil connecté
des tâches différentes de sa                      il s’intéresse moins aux mesures à
                                                                                                à internet. Le terme peut désigner
fonction attendue.                                prendre qu’aux résultats attendus.
                                                                                                des ordinateurs de bureau, portables,
ISO27001. Norme internationale                    Norme PCI-DSS (norme de sécurité              smartphones, tablettes, clients légers,
établissant les bonnes pratiques en terme         de l’industrie des cartes de paiement).       imprimantes, etc.

8           Hiscox rapport cyber-sinistres 2018
Protocole RDP (Remote Desktop                 symétriques pour le chiffrement des                 sécurisée par TLS en affichant un
Protocol). Protocole qui permet à un          données. Les navigateurs web indiquent              cadenas ou un certificat de sécurité
utilisateur de se connecter à un système      qu’une connexion est protégée par                   à côté du champ d’adresse. On parle
informatique par le biais d’internet.         protocole SSL en affichant un cadenas               encore souvent de protocole SSL
                                              ou un certificat de sécurité près du                en langage courant.
Qualified security assessor (QSA).
                                              champ URL.
Fournisseur de services d’évaluation                                                              Trojan, ou cheval de Troie. Programme
certifié PCI-DSS pour l’audit de conformité   Security information and event                      malveillant conçu pour imiter l’apparence
des marchands partenaires.                    management (SIEM). Une solution                     d’un logiciel légitime, mais qui exécute en
                                              de sécurité qui améliore la visibilité de           réalité des fonctions nuisibles et cachées.
Questionnaire d’auto-évaluation (SAQ).
                                              la cybersécurité au sein des entreprises
Formulaire d’auto-évaluation utilisé par                                                          Ver informatique. Forme de malware
                                              en procédant à l’aggrégation et à la
les plus petits commerçants pour vérifier                                                         qui peut se dupliquer et se propager sans
                                              corrélation des alertes et logs générés
leur conformité avec la norme PCI DSS.                                                            qu’une interaction humaine ou système
                                              par de multiples sources et logiciels
                                                                                                  soit nécessaire. Un malware en pilote
Ramscraping. Technique utilisée               de sécurité (IPS, IDS, AV, etc).
                                                                                                  automatique, en quelque sorte.
par certains malwares afin d’extraire les     Serveur de commande et contrôle.
informations carte de paiement de la                                                              Virtual private network (VPN). Système
                                              Ordinateur qui émet des instructions
mémoire d’une machine avant qu’elles                                                              permettant de connecter des ordinateurs
                                              aux appareils formant un botnet.
ne soient cryptées.                                                                               distants à un réseau central, qui offre aux
                                              Spoofing. Falsification de l’adresse                utilisateurs la possibilité de communiquer
Ransomware. Logiciel malveillant qui          expéditeur d’un courrier électronique               entre eux ou d’accéder aux serveurs de
chiffre ou bloque l’accès à des données       à des fins de phishing ou d’ingénierie              l’organisation par le biais d’internet,
et/ou systèmes et soumet la remise de         sociale.                                            et de manière sécurisée.
la clé de chiffrement utilisée au paiement
d’une rançon.                                 Spyware. Logiciel qui collecte les                  Virus. Programmes malveillants capables
                                              informations d’un système d’information             de se propager à d’autres fichiers.
Rapport de conformité (RoC).                  ou d’une interface web à l’insu de l’utilisateur,
Délivré par un QSA lorsque les systèmes                                                           Vulnérabilité. Bug logiciel exploité par
                                              souvent à des fins publicitaires ou
informatiques d’un commerçant sont                                                                un hacker pour pirater un ordinateur.
                                              d’espionnage industriel.
en conformité avec la norme PCI-DSS.                                                              Whitelist. Une liste d’entités, adresses IP,
                                              Surface d’attaque. L’ensemble des
Red team exercise. Exercice mené en                                                               applications, etc. réputées de confiance
                                              ressources matérielles et logicielles
conditions réelles consistant à simuler                                                           pour qui l’accès et/ou certains privilèges
                                              connectées à internet au sein d’une
une attaque de hacker, ou une tentative                                                           sont garantis.
                                              organisation. Plus ces ressources sont
d’exploiter une vulnérabilité d’un réseau     nombreuses, plus il existe de vulnerabilités        Zombie (aussi appelé bot). Un ordinateur
d’entreprise.                                 potentielles pouvant être utilisées par un          infecté qui est contrôlé à distance par
Redondances. Systèmes                         adversaire pour attaquer l’organisation.            un hacker. Il fait généralement partie
supplémentaires ou alternatifs, sous-                                                             d’un botnet.
                                              Système de détection des intrusions
systèmes, ressources ou processus             (IDS). Appareil ou application logicielle
permettant de garantir un certain degré       destinée à la surveillance de réseaux ou
de fonctionnalité en cas de défaillance       systèmes et permettant de détecter les
d’un autre système, sous-système,             activités malveillantes ou les violations
ressource ou processus.                       de politiques d’utilisation en signalant toute
Résilience. Capacité d’un réseau à            activité inhabituelle aux administrateurs.
maintenir ses fonctions opérationnelles       Système de prévention des intrusions
(résistance aux perturbations et capacité     (IPS). Version proactive de l’IDS pouvant
à opérer des fonctions de base même           automatiquement procéder au blocage
en cas d’atteinte grave), à se rétablir       d’utilisateurs ayant des comportements
efficacement en cas de défaillance avérée     suspects.
et à adapter rapidement sa capacité pour
répondre à des requêtes imprévisibles         Test d’intrusion ou de pénétration.
ou à leur soudaine multiplication (comme      Processus d’évaluation qui consiste à
dans les attaques DDoS).                      rechercher des vunérabilités et à tenter
                                              de contourner les éléments de sécurité
Rootkit. Un élément logiciel qui permet       d’un réseau ou d’un système informatique.
de dissimuler des programmes ou
processus en cours d’exécution sur            Threat actor (cyber délinquant). Individu,
un ordinateur.                                groupe, organisation, ou gouvernementqui
                                              perpètre ou a l’intention de perpétrer des
Salage. L’ajout d’une suite aléatoire         actions préjudiciables (autrement dit, un
de caractères à un mot de passe avant         hacker).
hashing afin de rendre son décryptage
plus difficile.                               Threat vector (vecteur de menace).
                                              Méthode utilisée par un cyber délinquant
Secure file transfer protocol (SFTP).         pour accéder à un réseau.
Protocole pour la transmission de fichiers
                                              Transport layer security (TLS).
chiffrés par internet.
                                              Successeur du SSL, il s’agit également
Secure sockets layer (SSL).                   d’un protocole de sécurisation des
Protocole obsolète (remplacé par le           échanges sur internet utilisant des clés
TLS) pour la transmission de données          symétriques pour le chiffrement des
privées reposant sur des systèmes             données. De nombreux navigateurs
cryptographiques utilisant deux clés          internet indiquent qu’une connexion est

                                                                                                    Hiscox rapport cyber-sinistres 2018          9
Hiscox
19 rue Louis Legrand
75002 Paris
hiscox.fr

19264 8/18
Vous pouvez aussi lire