BLOG

Sécurité APAC : 2 opportunités pour les entreprises, 1 pour les hackers

Miniature F5
F5
Publié le 1er mai 2016

Je viens de terminer une tournée d’évangélisation en matière de sécurité dans la région Asie-Pacifique Nord (APAC) et je voulais partager certains des défis et des opportunités liés à la sécurité dans cette partie du monde. L'APAC, en tant que région, n'est pas aussi développée technologiquement que les Amériques (AMER), l'Australie/Nouvelle-Zélande (ANZ) et l'Europe/Moyen-Orient/Afrique (EMEA). Le retard technologique de la région offre trois opportunités intéressantes : deux pour les entreprises et une pour les hackers.

Mise à l'échelle

Le grand nombre de consommateurs potentiels dans la région APAC signifie qu’il existe d’incroyables opportunités de croissance. Prenons l’exemple des Philippines : ce pays compte 90 millions d’habitants, dont la plupart n’ont pas de smartphone, mais qui en auront probablement un jour. Les fournisseurs de services de télécommunications aux Philippines se préparent à la transition. Lors de ma récente visite, un fournisseur a acheté quatre châssis haut de gamme de F5 remplis de 18 des lames les plus performantes proposées par F5. Ils construisent un réseau dans lequel des dizaines de millions de smartphones seront connectés au cours de la prochaine décennie.

De même, une entreprise en Inde souhaite transformer son énorme marché potentiel de consommation en proposant des smartphones à 5 $ avec un forfait de 5 $/mois . (En tant que personne vivant dans un pays développé et dont le forfait smartphone dépasse 100 $ par mois, je suis jaloux !) L’Inde, avec une population de plus de 1,5 milliard d’habitants, représente l’un des plus grands marchés possibles au monde. La question est de savoir si l’industrie indienne des télécommunications peut construire une infrastructure capable de prendre en charge autant de smartphones avant leur mise en ligne ?

 

 

PDG

Victimes non exploitées

Un nouveau piratage informatique aux États-Unis, appelé « fraude au PDG », a déjà coûté des milliards aux organisations. La fraude au PDG est un piratage d’ingénierie sociale qui commence par une infection par un logiciel malveillant. Un attaquant utilise le spear-phishing pour s'introduire dans une organisation jusqu'à compromettre le système de messagerie. S'il le peut, il surveille les e-mails et apprend les processus commerciaux, puis crée un e-mail du PDG au directeur financier demandant un transfert d'argent de routine, mais sur le propre compte de l'attaquant. J'ai parlé avec un client du Midwest américain qui a presque succombé à cette attaque ; le braquage a été contrecarré parce que l'attaquant n'a pas tout à fait modifié le ton de la conversation par e-mail de son PDG. Mais de nombreuses entreprises américaines sont bel et bien tombées dans le piège . Le FBI a en effet émis un avertissement concernant la fraude au PDG .

La « solution » contre la fraude du PDG est de confirmer verbalement les transferts importants avec le dirigeant qui a effectué le transfert ; c’est-à-dire de décrocher le téléphone et de s’assurer que le transfert est légitime.

Personne parmi ceux à qui j’ai parlé en Asie-Pacifique n’avait encore entendu parler de cette attaque. Les attaquants utilisant cette technique ciblent les clients les plus riches d’AMER qui ne sont pas encore vaccinés via les renseignements sur les menaces. À un moment donné, tout le monde aux États-Unis sera familier avec cette ruse, soit parce qu'ils ont eux-mêmes perdu de l'argent à cause de cela, soit parce que c'est arrivé à l'ami d'un ami, soit parce qu'ils en ont lu un article de blog comme celui-ci.

Les attaquants commenceront à cibler d’autres régions lorsque les États-Unis seront saturés. Singapour sera un choix évident étant donné le nombre d’institutions financières qui y effectuent des transactions. Les organisations des centres bancaires comme Singapour et Hong Kong devraient prendre des mesures dès maintenant pour améliorer leurs processus avant que l’attaque ne se propage à leurs villes.

Des opportunités pour éviter l'échec

Le concept de technologie disruptive n’est pas nouveau. Il y a plus de 20 ans, Philip Anderson et Michael L. Tushman ont écrit Technological Discontinuities and Dominant Designs : Un modèle cyclique de changement technologique1, dans lequel ils ont examiné les perturbations dans les industries du ciment, du verre et des transports.

Selon leurs recherches, le changement technologique suit quatre étapes dans un cycle :

  1. Technologie disruptive (assure la discontinuité)
  2. Une ère de fermentation, durant laquelle plusieurs créations se disputent la domination
  3. Un design dominant émerge (qui n’est souvent pas le design disruptif)
  4. L'ère du changement progressif (c'est là que les ventes atteignent leur maximum)

Puis une autre perturbation se produit et le cycle recommence.

Un nouveau piratage informatique aux États-Unis, appelé « fraude au PDG », a déjà coûté des milliards aux organisations. La fraude au PDG est un piratage d’ingénierie sociale qui commence par une infection par un logiciel malveillant. Un attaquant utilise le spear-phishing pour s'introduire dans une organisation jusqu'à compromettre le système de messagerie. S'il le peut, il surveille les e-mails et apprend les processus commerciaux, puis crée un e-mail du PDG au directeur financier demandant un transfert d'argent de routine, mais sur le propre compte de l'attaquant. J'ai parlé avec un client du Midwest américain qui a presque succombé à cette attaque ; le braquage a été contrecarré parce que l'attaquant n'a pas tout à fait modifié le ton de la conversation par e-mail de son PDG. Mais de nombreuses entreprises américaines sont bel et bien tombées dans le piège . Le FBI a en effet émis un avertissement concernant la fraude au PDG .

La « solution » contre la fraude du PDG est de confirmer verbalement les transferts importants avec le dirigeant qui a effectué le transfert ; c’est-à-dire de décrocher le téléphone et de s’assurer que le transfert est légitime.

Personne parmi ceux à qui j’ai parlé en Asie-Pacifique n’avait encore entendu parler de cette attaque. Les attaquants utilisant cette technique ciblent les clients les plus riches d’AMER qui ne sont pas encore vaccinés via les renseignements sur les menaces. À un moment donné, tout le monde aux États-Unis sera familier avec cette ruse, soit parce qu'ils ont eux-mêmes perdu de l'argent à cause de cela, soit parce que c'est arrivé à l'ami d'un ami, soit parce qu'ils en ont lu un article de blog comme celui-ci.

Les attaquants commenceront à cibler d’autres régions lorsque les États-Unis seront saturés. Singapour sera un choix évident étant donné le nombre d’institutions financières qui y effectuent des transactions. Les organisations des centres bancaires comme Singapour et Hong Kong devraient prendre des mesures dès maintenant pour améliorer leurs processus avant que l’attaque ne se propage à leurs villes.

Des opportunités pour éviter l'échec

Le concept de technologie disruptive n’est pas nouveau. Il y a plus de 20 ans, Philip Anderson et Michael L. Tushman ont écrit Technological Discontinuities and Dominant Designs : Un modèle cyclique de changement technologique1, dans lequel ils ont examiné les perturbations dans les industries du ciment, du verre et des transports.

Selon leurs recherches, le changement technologique suit quatre étapes dans un cycle :

  1. Technologie disruptive (assure la discontinuité)
  2. Une ère de fermentation, durant laquelle plusieurs créations se disputent la domination
  3. Un design dominant émerge (qui n’est souvent pas le design disruptif)
  4. L'ère du changement progressif (c'est là que les ventes atteignent leur maximum)

Puis une autre perturbation se produit et le cycle recommence.

Un nouveau piratage informatique aux États-Unis, appelé « fraude au PDG », a déjà coûté des milliards aux organisations. La fraude au PDG est un piratage d’ingénierie sociale qui commence par une infection par un logiciel malveillant. Un attaquant utilise le spear-phishing pour s'introduire dans une organisation jusqu'à compromettre le système de messagerie. S'il le peut, il surveille les e-mails et apprend les processus commerciaux, puis crée un e-mail du PDG au directeur financier demandant un transfert d'argent de routine, mais sur le propre compte de l'attaquant. J'ai parlé avec un client du Midwest américain qui a presque succombé à cette attaque ; le braquage a été contrecarré parce que l'attaquant n'a pas tout à fait modifié le ton de la conversation par e-mail de son PDG. Mais de nombreuses entreprises américaines sont bel et bien tombées dans le piège . Le FBI a en effet émis un avertissement concernant la fraude au PDG .

La « solution » contre la fraude du PDG est de confirmer verbalement les transferts importants avec le dirigeant qui a effectué le transfert ; c’est-à-dire de décrocher le téléphone et de s’assurer que le transfert est légitime.

Personne parmi ceux à qui j’ai parlé en Asie-Pacifique n’avait encore entendu parler de cette attaque. Les attaquants utilisant cette technique ciblent les clients les plus riches d’AMER qui ne sont pas encore vaccinés via les renseignements sur les menaces. À un moment donné, tout le monde aux États-Unis sera familier avec cette ruse, soit parce qu'ils ont eux-mêmes perdu de l'argent à cause de cela, soit parce que c'est arrivé à l'ami d'un ami, soit parce qu'ils en ont lu un article de blog comme celui-ci.

Les attaquants commenceront à cibler d’autres régions lorsque les États-Unis seront saturés. Singapour sera un choix évident étant donné le nombre d’institutions financières qui y effectuent des transactions. Les organisations des centres bancaires comme Singapour et Hong Kong devraient prendre des mesures dès maintenant pour améliorer leurs processus avant que l’attaque ne se propage à leurs villes.

Des opportunités pour éviter l'échec

Le concept de technologie disruptive n’est pas nouveau. Il y a plus de 20 ans, Philip Anderson et Michael L. Tushman ont écrit Technological Discontinuities and Dominant Designs : Un modèle cyclique de changement technologique1, dans lequel ils ont examiné les perturbations dans les industries du ciment, du verre et des transports.

Selon leurs recherches, le changement technologique suit quatre étapes dans un cycle :

  1. Technologie disruptive (assure la discontinuité)
  2. Une ère de fermentation, durant laquelle plusieurs créations se disputent la domination
  3. Un design dominant émerge (qui n’est souvent pas le design disruptif)
  4. L'ère du changement progressif (c'est là que les ventes atteignent leur maximum)

Puis une autre perturbation se produit et le cycle recommence.

Un nouveau piratage informatique aux États-Unis, appelé « fraude au PDG », a déjà coûté des milliards aux organisations. La fraude au PDG est un piratage d’ingénierie sociale qui commence par une infection par un logiciel malveillant. Un attaquant utilise le spear-phishing pour s'introduire dans une organisation jusqu'à compromettre le système de messagerie. S'il le peut, il surveille les e-mails et apprend les processus commerciaux, puis crée un e-mail du PDG au directeur financier demandant un transfert d'argent de routine, mais sur le propre compte de l'attaquant. J'ai parlé avec un client du Midwest américain qui a presque succombé à cette attaque ; le braquage a été contrecarré parce que l'attaquant n'a pas tout à fait modifié le ton de la conversation par e-mail de son PDG. Mais de nombreuses entreprises américaines sont bel et bien tombées dans le piège . Le FBI a en effet émis un avertissement concernant la fraude au PDG .

La « solution » contre la fraude du PDG est de confirmer verbalement les transferts importants avec le dirigeant qui a effectué le transfert ; c’est-à-dire de décrocher le téléphone et de s’assurer que le transfert est légitime.

Personne parmi ceux à qui j’ai parlé en Asie-Pacifique n’avait encore entendu parler de cette attaque. Les attaquants utilisant cette technique ciblent les clients les plus riches d’AMER qui ne sont pas encore vaccinés via les renseignements sur les menaces. À un moment donné, tout le monde aux États-Unis sera familier avec cette ruse, soit parce qu'ils ont eux-mêmes perdu de l'argent à cause de cela, soit parce que c'est arrivé à l'ami d'un ami, soit parce qu'ils en ont lu un article de blog comme celui-ci.

Les attaquants commenceront à cibler d’autres régions lorsque les États-Unis seront saturés. Singapour sera un choix évident étant donné le nombre d’institutions financières qui y effectuent des transactions. Les organisations des centres bancaires comme Singapour et Hong Kong devraient prendre des mesures dès maintenant pour améliorer leurs processus avant que l’attaque ne se propage à leurs villes.

Des opportunités pour éviter l'échec

Le concept de technologie disruptive n’est pas nouveau. Il y a plus de 20 ans, Philip Anderson et Michael L. Tushman ont écrit Technological Discontinuities and Dominant Designs : Un modèle cyclique de changement technologique1, dans lequel ils ont examiné les perturbations dans les industries du ciment, du verre et des transports.

Selon leurs recherches, le changement technologique suit quatre étapes dans un cycle :

  1. Technologie disruptive (assure la discontinuité)
  2. Une ère de fermentation, durant laquelle plusieurs créations se disputent la domination
  3. Un design dominant émerge (qui n’est souvent pas le design disruptif)
  4. L'ère du changement progressif (c'est là que les ventes atteignent leur maximum)

Puis une autre perturbation se produit et le cycle recommence.

Un nouveau piratage informatique aux États-Unis, appelé « fraude au PDG », a déjà coûté des milliards aux organisations. La fraude au PDG est un piratage d’ingénierie sociale qui commence par une infection par un logiciel malveillant. Un attaquant utilise le spear-phishing pour s'introduire dans une organisation jusqu'à compromettre le système de messagerie. S'il le peut, il surveille les e-mails et apprend les processus commerciaux, puis crée un e-mail du PDG au directeur financier demandant un transfert d'argent de routine, mais sur le propre compte de l'attaquant. J'ai parlé avec un client du Midwest américain qui a presque succombé à cette attaque ; le braquage a été contrecarré parce que l'attaquant n'a pas tout à fait modifié le ton de la conversation par e-mail de son PDG. Mais de nombreuses entreprises américaines sont bel et bien tombées dans le piège . Le FBI a en effet émis un avertissement concernant la fraude au PDG .

La « solution » contre la fraude du PDG est de confirmer verbalement les transferts importants avec le dirigeant qui a effectué le transfert ; c’est-à-dire de décrocher le téléphone et de s’assurer que le transfert est légitime.

Personne parmi ceux à qui j’ai parlé en Asie-Pacifique n’avait encore entendu parler de cette attaque. Les attaquants utilisant cette technique ciblent les clients les plus riches d’AMER qui ne sont pas encore vaccinés via les renseignements sur les menaces. À un moment donné, tout le monde aux États-Unis sera familier avec cette ruse, soit parce qu'ils ont eux-mêmes perdu de l'argent à cause de cela, soit parce que c'est arrivé à l'ami d'un ami, soit parce qu'ils en ont lu un article de blog comme celui-ci.

Les attaquants commenceront à cibler d’autres régions lorsque les États-Unis seront saturés. Singapour sera un choix évident étant donné le nombre d’institutions financières qui y effectuent des transactions. Les organisations des centres bancaires comme Singapour et Hong Kong devraient prendre des mesures dès maintenant pour améliorer leurs processus avant que l’attaque ne se propage à leurs villes.

Des opportunités pour éviter l'échec

Le concept de technologie disruptive n’est pas nouveau. Il y a plus de 20 ans, Philip Anderson et Michael L. Tushman ont écrit Technological Discontinuities and Dominant Designs : Un modèle cyclique de changement technologique1, dans lequel ils ont examiné les perturbations dans les industries du ciment, du verre et des transports.

Selon leurs recherches, le changement technologique suit quatre étapes dans un cycle :

  1. Technologie disruptive (assure la discontinuité)
  2. Une ère de fermentation, durant laquelle plusieurs créations se disputent la domination
  3. Un design dominant émerge (qui n’est souvent pas le design disruptif)
  4. L'ère du changement progressif (c'est là que les ventes atteignent leur maximum)

Puis une autre perturbation se produit et le cycle recommence.

Un nouveau piratage informatique aux États-Unis, appelé « fraude au PDG », a déjà coûté des milliards aux organisations. La fraude au PDG est un piratage d’ingénierie sociale qui commence par une infection par un logiciel malveillant. Un attaquant utilise le spear-phishing pour s'introduire dans une organisation jusqu'à compromettre le système de messagerie. S'il le peut, il surveille les e-mails et apprend les processus commerciaux, puis crée un e-mail du PDG au directeur financier demandant un transfert d'argent de routine, mais sur le propre compte de l'attaquant. J'ai parlé avec un client du Midwest américain qui a presque succombé à cette attaque ; le braquage a été contrecarré parce que l'attaquant n'a pas tout à fait modifié le ton de la conversation par e-mail de son PDG. Mais de nombreuses entreprises américaines sont bel et bien tombées dans le piège . Le FBI a en effet émis un avertissement concernant la fraude au PDG .

La « solution » contre la fraude du PDG est de confirmer verbalement les transferts importants avec le dirigeant qui a effectué le transfert ; c’est-à-dire de décrocher le téléphone et de s’assurer que le transfert est légitime.

Personne parmi ceux à qui j’ai parlé en Asie-Pacifique n’avait encore entendu parler de cette attaque. Les attaquants utilisant cette technique ciblent les clients les plus riches d’AMER qui ne sont pas encore vaccinés via les renseignements sur les menaces. À un moment donné, tout le monde aux États-Unis sera familier avec cette ruse, soit parce qu'ils ont eux-mêmes perdu de l'argent à cause de cela, soit parce que c'est arrivé à l'ami d'un ami, soit parce qu'ils en ont lu un article de blog comme celui-ci.

Les attaquants commenceront à cibler d’autres régions lorsque les États-Unis seront saturés. Singapour sera un choix évident étant donné le nombre d’institutions financières qui y effectuent des transactions. Les organisations des centres bancaires comme Singapour et Hong Kong devraient prendre des mesures dès maintenant pour améliorer leurs processus avant que l’attaque ne se propage à leurs villes.

Des opportunités pour éviter l'échec

Le concept de technologie disruptive n’est pas nouveau. Il y a plus de 20 ans, Philip Anderson et Michael L. Tushman ont écrit Technological Discontinuities and Dominant Designs : Un modèle cyclique de changement technologique1, dans lequel ils ont examiné les perturbations dans les industries du ciment, du verre et des transports.

Selon leurs recherches, le changement technologique suit quatre étapes dans un cycle :

  1. Technologie disruptive (assure la discontinuité)
  2. Une ère de fermentation, durant laquelle plusieurs créations se disputent la domination
  3. Un design dominant émerge (qui n’est souvent pas le design disruptif)
  4. L'ère du changement progressif (c'est là que les ventes atteignent leur maximum)

Puis une autre perturbation se produit et le cycle recommence.

Étant donné que la région APAC a plusieurs années de retard sur l’AMER, l’EMEA et l’ANZ, les organisations de la région APAC peuvent avoir une opportunité unique de sauter l’ère de l’effervescence (conceptions ratées) que ces autres régions ne manqueront pas de subir, et d’aller directement vers la conception dominante.

Voici un exemple concret (ha !) autour du transport.

Train à sucre, Australie, image de Gwernol CC BY-SA 3.0

En Australie, le train à vapeur a constitué une technologie disruptive pour l’industrie du transport, qui jusqu’alors reposait en grande partie sur le transport maritime. À mesure que la technologie des locomotives se développait, trois modèles d'écartement de train (largeur) étaient en compétition pour devenir la norme. Les compagnies ferroviaires ont posé des dizaines de milliers de kilomètres de voies ferrées de différentes largeurs dans différentes provinces.

Ces largeurs de rail divergentes existent encore aujourd'hui en Australie . Il existe plusieurs endroits où les passagers doivent descendre d'un train qui utilise une largeur donnée et monter à bord d'un autre train avec une largeur différente pour continuer leur voyage à travers les provinces. Plus de 250 solutions ont été proposées pour remédier à cette ère d’effervescence australienne, et toutes ont été rejetées. Aucun design dominant n’a émergé après plus de 150 ans.

 

Image de KimonBerlin - Flickr, CC BY-SA 2.0

Comparez cette situation ridicule avec les incroyables systèmes de trains à grande vitesse de la région Asie-Pacifique, qui ont été construits plus d’un siècle plus tard, lorsque les conceptions dominantes modernes sont apparues. L'APAC a mis plus de temps à mettre en place ces systèmes ferroviaires, mais leur résultat final est bien meilleur.

 La même opportunité existe pour la cybersécurité dans la région Asie-Pacifique. Certaines des nouvelles technologies dans lesquelles les organisations de la région Amérique latine et Caraïbes investissent aujourd’hui pourraient bien être la technologie disruptive initiale, mais pas la technologie dominante ultime. Les ingénieurs capables de déterminer quelles technologies sont adaptées à chacune dans la région Asie-Pacifique peuvent faire une énorme différence à l’avenir.

Vers et fromage

L’une de mes citations préférées est une combinaison de deux dictons célèbres : « L’avenir appartient à celui qui se lève tôt, mais c’est à la deuxième souris qu’appartient le fromage. »

Compte tenu de son envergure potentielle et de son retard technologique, l’APAC pourrait être la deuxième souris à recevoir une énorme part de fromage. D’un autre côté, les organisations de la région APAC qui ne tirent pas les leçons des cyber-victimes de la région AMER risquent de tomber dans les mêmes pièges.

Les deux approches méritent réflexion.