[Cyber] Revue de presse Février 2023
L’actualité de ce mois a permis de mettre en avant 2 principes de la cybersécurité :
- Le principe de « Security by design » (ou Sécurité dès la conception) est une approche de la cybersécurité qui consiste à intégrer les considérations de sécurité dès la conception d’un projet. Le fiasco du vote en ligne du drapeau de la Martinique, ainsi que la fermeture du guichet unique des entreprises sur le site de Bercy 2 jours après son lancement en sont des illustrations. Avant tout lancement d’un système, d’un service ou d’une application, une organisation doit prendre en compte les risques potentiels pour la sécurité des données et doit développer des solutions pour les éviter ou en atténuer les effets.
- Le principe de cyberrésilience est la capacité de l’organisation à se remettre de manière efficace d’une attaque en en minimisant les conséquences sur l’activité. La presse ne manque pas de contre-exemples avec des organisations qui peinent à se remettre d’une cyberattaque, à l’instar de l’Hôpital de Corbeille-Essonnes ou encore du Conseil Départemental de Seine et Marne.
L’occasion de rappeler que la cybersécurité ne s’arrête pas à des solutions techniques, mais repose avant tout sur des orientations et des mesures organisationnelles.
Bonne lecture
Vulnérabilités et techniques de hacking :
Aujourd’hui, une IA n’a besoin que de 3 secondes pour simuler votre voix
Publié le 13/01/2023
Avec le deepfake, la simulation de votre voix peut être un outil de social engineering aux mains des hackers. Pour s’en protéger, toute organisation doit sensibiliser son personnel et mettre en place des procédures pour parer à ce type d’attaque.
L’authentification multifacteurs (MFA) n’est pas dépourvue de faille
Publié le 27/01/2023
Même si elle est imparfaite, une authentification multifacteurs (MFA) est préférable à l’absence de MFA, et elle suffira à stopper la plupart des attaques. L’utilisation de la MFA renforce toujours votre posture de sécurité.
https://www.zataz.com/quest-ce-que-le-mfa-resistant-au-phishing/
Soldes : des hackers infectent les sites de e-commerce
Publié le 20/01/2023
Des pirates utilisent des codes malveillants, appelé « skimmers » pour exfiltrer des données bancaires des utilisateurs de sites de ventes en ligne. Pour contrer ce type d’attaques, les sites web doivent mettre en œuvre les dernières techniques de chiffrement, mettre à jour leur systèmes, faire des tests de sécurité pour détecter des vulnérabilités connues et enfin, mettre en place des outils de détection d’infiltration et de déploiement de skimmers.
Assurance cybersécurité
En 2023, peu d’entreprises seront cyber-assurables.
Publié le 12/01/2023
Pour être éligibles à une assurance, les entreprises doivent démontrer qu’elles ont mis en place des mesures adéquates pour protéger leurs actifs contre les risques liés à la cybersécurité.
https://www.globalsecuritymag.fr/Predictions-cybersecurite-2023-et-au-dela-cyber-assurables.html
Cyberattaque dans la presse :
Le centre hospitalier de Corbeille Essonne peine à se remettre de sa cyberattaque :
Publié le 04/01/2023
L’attaque du centre hospitalier de Corbeilles sera un mal pour un bien. Pour rendre son activité plus résiliente, les mesures suivantes ont été mises en place : le renouvellement d’un équipement trop obsolète, la redondance du stockage de données et la révision de la politique d’accès.
Le vote en ligne du drapeau de la Martinique sous le feu des cyberattaques :
Publié le 04/01/2023
Cet article illustre un projet qui n’a pas été réfléchi du point de vue de sa sécurité. En l’occurrence, le projet de vote en ligne du prochain drapeau Martiniquais ne nécessitait pas de confirmer l’adresse email. Il n’empêchait pas de voter via des IP non pertinentes, ni de créer des robots qui votaient via des adresses email aléatoires. En raison de cette attaque, le site de vote en ligne a dû être suspendu après 24h.
Charlie Hebdo victime d’une cyberattaque :
Publié le 05/01/2023
Le site internet de Charlie Hebdo a fait l’objet d’une attaque informatique. Des données, y compris celles de clients, auraient été mises en vente sur le Darkweb. La section cyber du Parquet de Paris a été saisie. Des investigations sont menées par la DGSI et l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication.
Le guichet unique des entreprises de Bercy piraté deux jours après son inauguration
Publié le 08/01/2023
Pour protéger un service en ligne contre les attaques DDOS, il est possible d’utiliser des solutions telles que :
- CDN (Réseau de distribution de contenu) pour répartir la charge des demandes
- Configurer des règles de firewall et utiliser un WAF (pare-feu applicatif) pour protéger les couches réseau et applicatives
- Utiliser des systèmes de détection d’intrusion (IDS) ou de prévention d’intrusion (IPS) pour détecter les comportements malveillants
- Appliquer une authentification forte pour les utilisateurs.
Il existe également des services de mitigation DDoS plus avancés qui utilisent des techniques comme la mise en cache des requêtes, la répartition des demandes sur plusieurs serveurs et la détection/filtrage des demandes malveillantes pour atténuer les attaques de déni de service.
Excellent podcast des “Pieds sur Terre” relatant le cauchemar de 2 organisations victimes de cyberattaque.
Publié le 11/01/2023
Qu’importent les moyens mis en place pour prévenir l’incident, il faut partir du postulat qu’il peut arriver. Et à ce stade qu’avez-vous prévu pour maintenir la continuité de l’activité ? Et pour récupérer rapidement les systèmes et les données compromis ? Répondre à ces deux questions suppose d’avoir un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA). Avoir les deux processus en place peut donc renforcer la résilience de l’entreprise face à une cyberattaque.
https://www.radiofrance.fr/franceculture/podcasts/les-pieds-sur-terre/cyberattaques-7095850
Les cabinets d’expertise comptable sont des cibles privilégiées pour les hackers
Publié le 13/01/2023
Les professionnels tels que les avocats, les comptables et les notaires sont des cibles particulièrement vulnérables face aux cybercriminels en raison de la nature de leurs activités et de la quantité de données sensibles qu’ils gèrent. Il est donc crucial pour ces professionnels de mettre en place des mesures de sécurité adéquates pour protéger ces données.
Seine-et-Marne : deux mois et demi après, la cyberattaque continue de ralentir le Conseil Départemental
Publié le 20/01/2023
Les organisations doivent considérer la résilience comme une partie intégrante de leur stratégie de cybersécurité et s’assurer qu’elles sont en mesure de continuer à fonctionner efficacement même en cas d’attaque. Il est donc important de prévoir toutes les situations qui peuvent survenir dans une entreprise et s’y préparer en amont pour éviter toutes les perturbations.
Les revenus des gangs de cybercriminels chutent selon des chercheurs de Chainalysis
Publié le 21/01/2023
“Le constat des chercheurs est que les victimes sont de plus en plus efficaces dans la protection de leurs sauvegardes, ce qui réduit le besoin de payer une rançon pour récupérer des données.”
Les cliniques Elsan victimes du groupe de hackers Lockbit 3.0
Publié le 25/01/2023
Le 17 janvier, le groupe ELSAN a détecté une cyberattaque contre les serveurs de son siège à Paris. L’incident y serait resté circonscrit, sans rebond vers les cliniques du Groupe. Selon le groupe, les fichiers concernés seraient des données administratives et les patients auraient été épargnés.
https://www.lemagit.fr/actualites/252529567/Cliniques-Elsan-LockBit-30-revendique-une-cyberattaque
Réglementation et conformité :
Le non-respect du RGPD qualifié de concurrence déloyale
Publié le 03/01/2023
Le Tribunal judiciaire de Paris a considéré qu’en l’absence d’une Charte de confidentialité mise à la disposition du public, une société tirait un avantage concurrentiel et se rendait coupable de concurrence déloyale au préjudice d’une société concurrente respectueuse de la réglementation relative à la protection des données.
https://derriennic.com/le-non-respect-du-rgpd-qualifie-de-concurrence-deloyale/
Une certification HDS doit pouvoir être justifiée par l’hébergeur dès la conclusion du contrat avec l’éditeur d’une solution traitant des données de santé
Publié le 17/01/2023
Pour mettre en œuvre une solution qui implique le stockage de données de santé, l’éditeur doit avoir un hébergeur certifié HDS. Cette certification doit être présentée dès la signature du contrat. Si cette certification est absente, le contrat peut être annulé et les sommes versées pour ce contrat seront remboursées, en plus des sanctions pénales et administratives encourues.
Recommandations :
Un projet de développement de la CAF provoque la fuite de données de 10.000 allocataires.
Publié le 05/01/2023
Un prestataire de la CAF a mis en ligne pendant 18 mois un fichier contenant les données personnelles de 10 204 allocataires, pensant qu’elles étaient fictives. L’occasion de rappeler qu’il ne faut jamais utiliser des bases de données de production actuelles ou passées pour des tests.
Le vrai coût d’une cyberattaque pour une PME-ETI
Publié le 11/01/2023
L’addition peut être salée pour les petites entreprises victime de cyberattaque :
– coût de remise en état du système attaqué et de reconstitution, lorsque c’est possible, des informations détruites, comme le fichier clients, les contrats, la facturation ou la comptabilité, etc.
– coût lié à la réputation de l’entreprise et à la perte de confiance des parties prenantes (salariés, clients, fournisseurs, etc.)
– Coût lié à l’engagement de responsabilité en cas de manquement avéré
La solution moindre prix est de décourager les attaquants en mettant en place des mesures techniques et organisationnelles élémentaires.