[Cyber] Revue de presse Mars 2023
Chers lecteurs,
Ce mois de février a été riche en sujets d’actualité cyber que nous souhaitons partager avec vous :
- Tout d’abord, nous avons été alertés par une attaque massive exploitant une faille de sécurité bien connue sur les serveurs ESXi de VMWare, qui souligne l’importance de la sécurité informatique.
- Ensuite, nous examinons d’autres attaques récentes qui ont retenu notre attention et soulignent l’urgence de renforcer la sécurité de nos systèmes.
- De plus, nous avons examiné les prévisions économiques qui révèlent un contraste inquiétant entre les entreprises confrontées à une future récession et leurs besoins croissants en matière de cybersécurité. Cette analyse soulève des questions sur l’avenir de l’offre de cybersécurité.
- Enfin, nous avons consacré un temps d’arrêt pour réfléchir sur la sensibilisation et les enseignements que nous pouvons en tirer pour renforcer notre sécurité.
Nous espérons que ces sujets vous intéresseront autant qu’ils nous ont fascinés.
Bonne lecture,
Attaque massive des serveurs ESXi VMWare via une faille pourtant connue :
Attaque massive sur les serveurs VMware ESXi
Publié le 05/02/2023
Une vague d’attaques a récemment exploité une faille informatique de VMware ESXi, solution de virtualisation des environnements applicatifs.
Au-delà des attaques, il faut comprendre qu’elles ont été facilitées par le manque d’hygiène numérique des cibles. En effet, cette vulnérabilité du logiciel était déjà identifiée depuis février 2021, et son éditeur, VMware, avait mis disposition de ses clients un « patch » de sécurité.
https://www.cnil.fr/fr/cyberattaques-alerte-sur-la-necessaire-mise-jour-des-hyperviseurs-vmware-esxi
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/
Modus operandi des attaques sur les serveurs VMware ESXi
Publié le 06/02/2023
Article intéressant sur l’attaque des serveurs VMware ESXi qui décrit le modus operandi des attaquants : à travers une opération massive, « ils utilisent un botnet — un réseau d’ordinateurs — pour parcourir un maximum d’adresses IP, les identifiants liés à chaque machine, et attaquer tous ceux qui n’auraient pas fait la mise à jour. »
Synthèse concernant l’attaque sur les serveurs ESXi
Publié le 12/02/2023
Excellente émission, avec des invités de marques, qui reprend les différentes étapes de l’exploitation de la faille, ainsi que les leçons à tirer suite à l’attaque massive des serveurs ESXi VMWare non patchés.
https://www.nolimitsecu.fr/2023/02/
Autres cyberattaques dans la presse :
Comment réagir face à une cyberattaque
Publié le 15/02/2023
L’article décrit comment le CHU de La Réunion est parvenu à répondre à une cyberattaque : couper l’accès Internet peut être une mesure de sécurité initiale pour empêcher la propagation d’une cyberattaque. Cela peut aider à limiter les dommages causés par l’attaque en empêchant les attaquants de communiquer avec les systèmes compromis et de transférer les données volées.
38 millions détournés par le biais d’une attaque au président à l’encontre d’une société immobilière
Publié le 17/02/2023
Autopsie d’une fraude au président à l’encontre d’une société immobilière habituée à faire des virements importants.
- L’attaquant appelle un comptable en se faisant passer pour un avocat. Il évoque une opération confidentielle de rachat de sociétés avec l’accord du président de l’entreprise.
- Aussitôt l’appel terminé, le comptable reçoit un mail du président qui confirme l’opération. Encore une fois, l’attaquant en est à l’origine.
- Conforté par l’email, le comptable effectue 40 virements en l’espace de quelques semaines, pour un montant de 38 millions d’euros.
L’ADN de 2,1 millions de personnes a été piraté à cause d’une incroyable négligence
Publié le 22/02/2023 :
L’entreprise américaine DNA Diagnostics Center (DDC), spécialisée dans les tests ADN, a été piratée en 2021, entraînant le vol des données ADN de 2,1 millions d’individus malgré les avertissements répétés d’un prestataire. Les pirates ont utilisé le logiciel Cobalt Strike pour s’infiltrer dans le réseau de l’entreprise. Cobalt Strike est un outil de piratage informatique créé pour les tests de pénétration et les simulations d’attaques, mais il est également souvent utilisé par les pirates informatiques pour exploiter des vulnérabilités et prendre le contrôle de systèmes à distance.
Cyberattaque d’envergure visant des utilisateurs mobiles à Paris
Publié le 24/02/2023
Une attaque de type Man in the Middle a permis une vaste campagne de smishing, hameçonnage via SMS, se faisant passer pour l’Assurance Maladie. L’IMSI catcher joue le rôle antenne relais et a permis d’espionner les communications des utilisateurs mobiles situés dans sa zone de proximité, en se substituant aux antennes relais classiques tout en assurant le maintien du service.
Un journalise réussit à pirater sa banque grâce à une IA gratuite
Publié le 24/02/2023
Certaines banques devraient prendre en compte le risque que représentent certaines intelligences artificielles. C’est ce que démontre un journaliste de Vice qui affirme avoir pu accéder à son compte bancaire via son application mobile, en utilisant uniquement une voix générée par une IA gratuite. L’utilisation de l’IA doit être confortée par des méthodes sécurisées de vérification de l’identité, comme l’authentification à double facteur.
Victime d’une cyberattaque, un concessionnaire doit mettre en chômage partiel ses salariés
Publié le 28/02/2023
Les cyberattaques ont un impact sur l’activité des organisations victimes, mais aussi sur la vie privée de ses salariés. Un concessionnaire à la Réunion en a fait l’expérience douloureuse. Privé de son logiciel de facturation suite à une attaque, la société était en incapacité de livrer pendant deux semaines. Cette actualité met en évidence l’importance de la continuité d’activité en cas d’attaque informatique. Elle passe par des mesures techniques telles que des sauvegardes des données. Au niveau organisationnel, il est également important d’avoir un plan de continuité d’activité, afin de minimiser les pertes financières et de réduire les temps d’arrêt. Enfin, il est conseillé de sensibiliser les employés à la sécurité informatique et de former une équipe dédiée pour gérer les incidents de sécurité en cas d’attaque.
La cybersécurité de demain
La coopération européenne en cybersécurité comme enjeu économique européen
Publié le 16/02/2023
Article intéressant de l’Ecole de Guerre Economique qui décrit une Europe en retard dans l’économie du numérique, car trop fragmentée pour pouvoir devenir un bloc indépendant. Le contexte de la menace cyber et la hausse des tensions entre les grandes puissances, exigent une coopération entre états européens. Mais pour engager cette posture commune, une compréhension partagée des risques et des menaces cyber à travers tous les acteurs de l’écosystème est indispensable pour coopérer.
https://www.ege.fr/infoguerre/la-cybersecurite-un-enjeu-collectif-francais-et-europeen
Quelle offre future en cybersécurité ?
Publié le 17/02/2023
Dans un contexte de récession économique et de pénurie de spécialiste, le CTO de CrowdStrike donne sa vision du futur marché de la cybersécurité avec :
- Une consolidation des éditeurs de solutions cyber pour des offres de produits tout-en-un ;
- Une collaboration plus étroite entre partenaires via la standardisation des données ;
- Des options d’achats flexibles via des services et produits en ligne.
- Des solutions principalement axées sur l’authentification des identités numériques ;
- L’intervention accrue de prestataires de services de sécurité managés (MSSP) et/ou d’intégrateurs de systèmes IT (GSI)
Transformation cybersécuritaire versus architectures de sécurité héritées
Publié le 24/02/2023
Une étude menée par Palo Alto constate que « La cybersécurité est passée du statut de fonction de conformité à celui d’impératif stratégique ». Elle évoque une architecture dans laquelle l’intelligence artificielle et l’apprentissage automatique automatisent la détection des anomalies, améliorent la visibilité et le contrôle, et contrent les attaques de type zéro-day. Mais le modèle doit s’affranchir des architectures de sécurité héritées vers une autre basée sur la donnée.
https://itsocial.fr/enjeux-it/enjeux-tech/intelligence-artificielle/cybersecurite-whats-next/
Le contexte actuel de la guerre en Ukraine va influencer les futures cybermenaces
Publié le 27/03/2023
Selon les rapports des cabinets Mandiant et Sekoia.IO, les attaques des belligérants reposent sur des logiciels de types wiper, c’est-à-dire des « malwares dont l’objectif prioritaire est d’effacer (« to wipe » en anglais), et de détruire le maximum de données sur le disque dur de l’ordinateur infecté / ciblé, afin qu’elles soient parfaitement irrécupérables. ». A l’issue du conflit, vers où se tourneront ces soldats numériques ?
Quelles stratégies de défense pour les entreprises
Des environnements à mieux configurer pour les institutions d’enseignement du secondaire et du supérieur
Publié le 15/02/2023
Illustration que les pirates informatiques peuvent tirer profit des données sensibles des écoles en utilisant des ransomwares pour extorquer de l’argent ou vendre ces informations sur le marché noir.
Les outils numériques permettent beaucoup de facilité dans le fonctionnement des établissements mais mal encadrés, ils offrent aux hackers une surface d’attaque significative avec “des serveurs parfois mal configurés, des mises à jour non effectuées, des versions de logiciels obsolètes présentant des failles de sécurité, ou encore des mots de passe trop faibles, faciles à pirater”.
Les entreprises européennes prévoient de se remettre à niveau contre les attaques cyber selon Kaspersky
Publié le 16/02/2023
Les entreprises européennes prévoient d’augmenter encore leurs budgets de sécurité informatique au cours des trois prochaines années. Les problèmes de protection des données constituent le plus grand défi. Près de la moitié des entreprises ont été confrontées à une violation de données interne ou externe au cours de l’année écoulée.
Les sites de vente en ligne ne sécurisent pas suffisamment
Publié le 16/02/2022
Les applications web sont très dépendantes du code tiers sur JavaScript et les hackers profitent des vulnérabilités du code javascript des sites web pour injecter leur code javascript. « Cette dépendance au code tiers crée un angle mort en matière de sécurité des applications de service web et élargit considérablement la surface d’attaque. ». Quant aux attaques, elles reposent principalement sur de l’injection de code pour exfiltrer des données.
Conseils simples pour commencer à sécuriser son cloud
Publié le 17/02/2023
Les entreprises se reposent souvent sur leur prestataires cloud lorsqu’il s’agit de sécurité. Elles n’ont en fait pas conscience de leurs responsabilités exactes s’agissant de la sécurité et de la protection des données dans le cloud. Pour rappel, le prestataire cloud n’est responsable que de la sécurité de l’infrastructure et des installations physiques qui l’hébergent. En revanche, la sécurisation des applications, des données et de l’accès à l’environnement incombe au client.
Dans un premier temps, l’entreprise doit chiffrer son exposition et doit pour cela, connaitre ses données. Dans un second temps, elle doit définir et organiser ses responsabilités aussi bien vis-à-vis de son environnement extérieur qu’en interne.
https://www.silicon.fr/avis-expert/les-3-bonnes-pratiques-de-la-protection-des-donnees-dans-le-cloud
Au cours des 5 dernières années, le budget dédié à la cybersécurité a plus que triplé
Publié le 21/02/2023
Selon l’étude annuel de l’assureur Hiscox, cette augmentation dépend fortement de la taille de l’organisation et les PME semblent à la traine : « les dépenses consacrées au sujet ont presque été divisées par deux sur la même période, probablement en raison de la pandémie, « les entreprises ayant moins de moyens à consacrer à l’informatique », écrit l’assureur britannique dans son rapport. ».
La cybersécurité comme vecteur de la transformation numérique
Publié le 22/02/2023
Le niveau de sécurité d’une entreprise est devenu un indice de sa performance. Les entreprises ne cherchent plus seulement à se conformer à la réglementation, et la sécurité est vue comme un avantage compétitif. A minima, le RSSI et le DSI doivent avancer en partenaires de confiance pour maintenir l’infrastructure et mettre à jour les outils.
Avec la Directive NIS2, les DPO sont d’avantage impliqués dans la cybersécurité.
Publié le 23/02/2023
La directive NIS 2 élargit considérablement le nombre d’organisations concernées et augmente le nombre de DPO soumis à des contraintes légales de sécurité, allant vers une cybersécurité de masse. Concrètement, elle passe de 6 à 23 secteurs économique régulés dans NIS 1. De plus, la directive peut concerner aussi bien des PME, des ETI et les collectivités territoriales.
https://www.lemagit.fr/actualites/365531713/NIS-2-pour-les-DPO-apres-RGPD-cest-cybersecurite
Les hôpitaux renforcent leurs réseaux contre les attaques :
Publié le 24/02/2023
Suite aux nombreuses attaques essuyées par les centres hospitaliers français, l’État va allouer 600 millions d’euros à travers un plan cyber pluriannuel. L’article évoque 3 solutions techniques :
- EDR (Endpoint Detection and Response) : Système de sécurité informatique qui surveille les terminaux (ordinateurs, serveurs, etc.) pour détecter et répondre aux menaces avancées.
- NDR (Network Detection and Response) : Système de sécurité qui surveille le réseau de l’entreprise pour détecter et répondre aux menaces en temps réel, en identifiant les comportements anormaux et les activités malveillantes.
- SIEM (Security Information and Event Management) : Plateforme de sécurité qui collecte et analyse les données de sécurité provenant de l’ensemble des systèmes et des applications pour détecter et signaler les menaces en temps réel.
La sensibilisation cyber, rempart ou frein à l’entreprise ?
La sensibilisation, une défense primordiale des PME-ETI contre les cyberattaques
Publié le 06/02/2023
Au-delà des solutions techniques souvent proposées, l’article souligne l’importance d’adopter une approche de la cybersécurité centrée sur l’humain par la formation et la sensibilisation des collaborateurs insuffisamment préparés.
“Les campagnes de tests des salariés face à l’hameçonnage soulignent l’importance d’adopter une approche centrée sur l’humain pour la formation, comme la création des contenus de sensibilisation à la sécurité.”
La sensibilisation à la cybersécurité ne doit pas lasser les collaborateurs
Publié le 20/02/2023
Pour que la sensibilisation ne soit pas contreproductive, cet article partage quelques conseils pour la rendre plus attractive auprès des collaborateurs :
- La direction doit être incluse dans le programme ;
- La sensibilisation doit être adaptée selon les pouvoirs au sein de l’entreprise ;
- Préférer le ludique à la longueur ;
- Faire le lien entre les risques cyber en entreprise et ceux à domicile.