[Cyber] Revue de presse Semaine 12 2023
Edito :
Bienvenue dans la revue de presse hebdomadaire en cybersécurité. Cette semaine, l’actualité a été marquée par une cyberattaque contre l’Assemblée nationale. Ensuite les articles de fond se focalisent sur l’importance d’articuler les mesures de cybersécurité avec les nouvelles pratiques des salariés (travail à distance et BYOD). Également, nous ferons un retour sur l’attaque du CHU de Brest. Un article met également en lumière l’OSINT (Open Source Intelligence), une approche innovante qui consiste à utiliser les informations publiques disponibles sur Internet pour anticiper les menaces et prévenir les attaques. Bonne lecture.
Cyberattaques :
27/03/2023 : Le site Internet de l’Assemblée nationale est victime d’une attaque par déni de service (DDoS). Pour rappel, une attaque DDoS consiste à submerger un site de connexions simultanées, pour que le nombre de requêtes dépasse sa capacité de traitement.
27/03/2023 : Les hackers qui ont revendiqué l’attaque de la mairie de Lille ont commencé à diffuser les données, soit environ 305Go, comprenant des emails, des numéros de téléphone et d’autres données à caractère personnel.
Autres articles :
Cybersécurité et sécurisation des données : que peut-on imposer aux salariés ? _ Publié le 19/03/2023. Synthèse intéressante qui abordent de nombreux sujets sur les bons usages en entreprise. La sensibilisation reste la priorité pour les entreprises. L’article distingue deux types de recommandations : les « bons usages », qui sont des recommandations non coercitives, et la charte informatique, qui est une règle à respecter sous peine de sanctions disciplinaires.
https://www.helloworkplace.fr/cybersecurite-securisation-donnees-droit-travail/
15000 postes vacants dans la cybersécurité selon le cabinet de Conseil Wavestone _ Publié le 23/03/2023. Pour faire face aux menaces qui planent sur la sécurité numérique des entreprises (vol de données, espionnage, sabotage informatique, rançongiciel etc.), 5 profils professionnels sont particulièrement recherchés par les entreprises :
- Le pentester qui va simuler les attaques pour mettre en lumière les vulnérabilités du système ;
- Le RSSI qui va chapeauter toute la sécurité informatique d’une organisation ;
- Le spécialiste en cryptologie qui met en pratique le chiffrement des données ;
- Le juriste en cybersécurité qui va formaliser les objectifs de sécurité et traiter les questions de sécurité réglementaire ;
- L’expert en cybersécurité industrielle en charge de la sécurité des systèmes de contrôle industriel (ICS)
Pour éviter un scénario de récupération de sauvegarde, cet article suggère une stratégie de « cyberdéception » (ou tromperie cyber) _ Publié le 24/03/2023. « Les technologies de déception commencent là où les outils de sécurité conventionnels s’arrêtent ». En cas d’attaque, la stratégie de déception a pour objectif de ralentir et faire apparaitre les menaces. Les technologies de cyberdéception impliquent la création d’environnements artificiels pour tromper les attaquants. Ces technologies peuvent inclure des honeypots (système informatique ou un réseau créé spécifiquement pour attirer et détecter les activités malveillantes des attaquants), mais elles utilisent également d’autres méthodes, telles que la diffusion de fausses informations, la modification de fichiers ou de configurations de système pour tromper les attaquants. L’objectif principal de la cyberdéception est de tromper les attaquants et de les amener à révéler leurs méthodes et leurs intentions.
Les EDR sont devenus un standard du marché de la cybersécurité _ Publié le 27/03/2023. Les logiciels de d’Endpoint Detection and Response (EDR) sont devenus des outils courants de la cybersécurité. Les éditeurs français de ces solutions ont du mal à s’imposer face notamment aux américains qui sont déjà passés à l’étape supérieure en proposant des MDR et XDR qui sont des solutions plus complètes. En effet, alors que l’EDR se concentre sur la surveillance et la réponse aux menaces au niveau des terminaux (endpoints) tels que les ordinateurs de bureau, les serveurs, le MDR (Managed Detection and Response) et le XDR (Extended Detection and Response) vont plus loin que l’EDR en intégrant également des données de sécurité provenant d’autres sources telles que les réseaux, les applications cloud, les environnements IoT, etc.
L’attaque contre l’Assemblée national : opération de communication ou technique de diversion ? _ Publié le 27/03/2023. L’article met en avant le fait que l’attaque serait avant tout une opération de communication sans réelle intention de blesser. Il rappelle aussi que les attaques de type DDoS peuvent également être des opérations de diversion pour distraire l’attention des équipes de sécurité d’une organisation ciblée. Les attaquants peuvent s’en prendre à une partie du système ou bien le bruit provoqué par l’attaque vient dissimuler une opération de reconnaissance et/ou de test d’intrusion plus discrètes et plus ciblées.
La région Grand Est adopte son plan régional pour la cybersécurité _ Publié le 27/03/2023. Le plan régional pour 2023-2025 passe par de la sensibilisation, les diagnostics de cybersécurité, l’accompagnement dans la gestion de crise et le renforcement des partenariats avec des acteurs privés. La Région Grand Est a également pour objectif de lancer au second semestre 2023 un Campus Cyber Grand Est pour coordonner et mutualiser les efforts et ressources de la communauté régionale en matière de cybersécurité.
https://www.grandest.fr/actualites/un-plan-regional-pour-la-cybersecurite/
Le passage à l’industrie 4.0 doit être sécurisé _ Publié le 24/03/2023. Avec la montée en puissance de l’industrie 4.0, les exigences en matière de connectivité se multiplient. Les entreprises doivent désormais stocker leurs données dans le cloud, superviser et gérer leurs équipements de production à distance, permettre la communication entre machines au sein de l’atelier, ainsi que connecter leurs systèmes informatiques industriels (OT) à ceux de leur bureau (IT). L’article rappelle que toutes ces portes d’entrée vers un monde plus connecté sont également des opportunités pour les cybercriminels. Bien que leurs objectifs soient à première vue différents, les équipes informatiques et celles de production doivent collaborer pour construire des systèmes de protection.
CHU de Brest : retour sur une attaque cybercriminelle et actions de défense engagées _ Publié le 27/03/2023. La chronologie de l’attaque pourrait se présenter ainsi.
- Utilisation d’un compte utilisateur compromis pour accéder frauduleusement au système d’information du CHRU
- Actions de reconnaissance réalisées à l’aide de ce compte utilisateur
- Tentative de mise en place d’un serveur de commande et de contrôle pour monter en privilège.
Coté défense, on notera entre autres, le rôle majeur de l’EDR dans la détection de l’attaque.
- Réception d’une notification d’intrusion via l’EDR de la machine compromise ;
- Détection des actions de reconnaissance grâce à l’EDR ;
- Décision de déconnecter tout le CHRU d’Internet pour empêcher l’assaillant d’aller plus loin ;
- Organisation des services de soin en mode dégradé ;
- Intervention d’un prestataire de réponse à incidents de sécurité pour établir l’état exact d’avancement de la cyberattaque : absence de montée de privilège ; implication d’un maliciel dérobeur (infostealer) pour compromettre le compte utilisateur, absence de porte dérobées.
https://www.lemagit.fr/actualites/365534157/Cyberattaque-contre-le-CHRU-Brest-ce-quil-sest-passe
La France en pointe de l’OSINT _ Publié le 27/03/2023. L’article aborde la popularité croissante de l’OSINT (Open Source Intelligence), une pratique qui consiste à obtenir des renseignements à partir de sources ouvertes en ligne, et son utilisation dans la guerre en Ukraine. La France serait en pointe dans cette discipline en raison de la diversité des profils qu’elle recense et de la structuration déjà ancienne de son écosystème.
Une approche multicloud doit prendre en compte des aspects de sécurité _ Publié le 28/03/2023. Selon une étude, les entreprises ont de plus en plus recours aux environnements multiclouds pour gérer leurs applications et données informatiques. Toutefois, cette approche peut introduire une certaine complexité en matière d’administration et de sécurité, notamment en raison d’un manque de cohérence entre les différents fournisseurs de services cloud. Les professionnels de l’informatique ont besoin d’une visibilité complète de l’emplacement de leurs données pour assurer leur protection et leur conformité réglementaire. Par conséquent, les entreprises cherchent à adopter un modèle d’exploitation unifié pour simplifier la gestion et la sécurité de leurs environnements multiclouds.
