L’actualité de ce mois a permis de mettre en avant 2 principes de la cybersécurité :

• Le principe de « Security by design » (ou Sécurité dès la conception) est une approche de la cybersécurité qui consiste à intégrer les considérations de sécurité dès la conception d’un projet. Le fiasco du vote en ligne du drapeau de la Martinique, ainsi que la fermeture du guichet unique des entreprises sur le site de Bercy 2 jours après son lancement en sont des illustrations. Avant tout lancement d’un système, d’un service ou d’une application, une organisation doit prendre en compte les risques potentiels pour la sécurité des données et doit développer des solutions pour les éviter ou en atténuer les effets.
• Le principe de cyberrésilience est la capacité de l’organisation à se remettre de manière efficace d’une attaque en en minimisant les conséquences sur l’activité. La presse ne manque pas de contre-exemples avec des organisations qui peinent à se remettre d’une cyberattaque, à l’instar de l’Hôpital de Corbeille-Essonnes ou encore du Conseil Départemental de Seine et Marne.

L’occasion de rappeler que la cybersécurité ne s’arrête pas à des solutions techniques, mais repose avant tout sur des orientations et des mesures organisationnelles.

Bonne lecture

 

Vulnérabilités et techniques de hacking :

Aujourd’hui, une IA n’a besoin que de 3 secondes pour simuler votre voix

Publié le 13/01/2023

Avec le deepfake, la simulation de votre voix peut être un outil de social engineering aux mains des hackers. Pour s’en protéger, toute organisation doit sensibiliser son personnel et mettre en place des procédures pour parer à ce type d’attaque.

https://www.it-connect.fr/vall-e-a-partir-dun-echantillon-de-3-secondes-cette-nouvelle-ia-peut-simuler-votre-voix/

L’authentification multifacteurs (MFA) n’est pas dépourvue de faille

Publié le 27/01/2023

Même si elle est imparfaite, une authentification multifacteurs (MFA) est préférable à l’absence de MFA, et elle suffira à stopper la plupart des attaques. L’utilisation de la MFA renforce toujours votre posture de sécurité.

https://www.zataz.com/quest-ce-que-le-mfa-resistant-au-phishing/

Soldes : des hackers infectent les sites de e-commerce

Publié le 20/01/2023

Des pirates utilisent des codes malveillants, appelé « skimmers » pour exfiltrer des données bancaires des utilisateurs de sites de ventes en ligne. Pour contrer ce type d’attaques, les sites web doivent mettre en œuvre les dernières techniques de chiffrement, mettre à jour leur systèmes, faire des tests de sécurité pour détecter des vulnérabilités connues et enfin, mettre en place des outils de détection d’infiltration et de déploiement de skimmers.

https://www.numerama.com/cyberguerre/1242594-attention-lors-de-vos-achats-en-ligne-des-hackers-infectent-les-sites-de-commerce.html

Assurance cybersécurité

En 2023, peu d’entreprises seront cyber-assurables.

Publié le 12/01/2023

Pour être éligibles à une assurance, les entreprises doivent démontrer qu’elles ont mis en place des mesures adéquates pour protéger leurs actifs contre les risques liés à la cybersécurité.

https://www.globalsecuritymag.fr/Predictions-cybersecurite-2023-et-au-dela-cyber-assurables.html

 

 

 

 

Cyberattaque dans la presse :

Le centre hospitalier de Corbeille Essonne peine à se remettre de sa cyberattaque :

Publié le 04/01/2023

L’attaque du centre hospitalier de Corbeilles sera un mal pour un bien. Pour rendre son activité plus résiliente, les mesures suivantes ont été mises en place : le renouvellement d’un équipement trop obsolète, la redondance du stockage de données et la révision de la politique d’accès.

https://actu.fr/ile-de-france/corbeil-essonnes_91174/essonne-apres-la-cyberattaque-le-chsf-va-moderniser-son-systeme-d-information-hospitalier_56313567.html

Le vote en ligne du drapeau de la Martinique sous le feu des cyberattaques :

Publié le 04/01/2023

Cet article illustre un projet qui n’a pas été réfléchi du point de vue de sa sécurité. En l’occurrence, le projet de vote en ligne du prochain drapeau Martiniquais ne nécessitait pas de confirmer l’adresse email. Il n’empêchait pas de voter via des IP non pertinentes, ni de créer des robots qui votaient via des adresses email aléatoires. En raison de cette attaque, le site de vote en ligne a dû être suspendu après 24h.

https://www.leparisien.fr/martinique-972/le-vote-pour-choisir-lhymne-et-le-drapeau-martiniquais-suspendu-apres-des-cyberattaques-04-01-2023-7V4S4B2RY5C3ZN77XXI4MVHCHQ.php

Charlie Hebdo victime d’une cyberattaque :

Publié le 05/01/2023

Le site internet de Charlie Hebdo a fait l’objet d’une attaque informatique. Des données, y compris celles de clients, auraient été mises en vente sur le Darkweb. La section cyber du Parquet de Paris a été saisie. Des investigations sont menées par la DGSI et l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication.

https://www.europe1.fr/faits-divers/info-europe-1-charlie-hebdo-victime-dune-attaque-informatique-la-dgsi-saisie-4159055.amp

Le guichet unique des entreprises de Bercy piraté deux jours après son inauguration

Publié le 08/01/2023

Pour protéger un service en ligne contre les attaques DDOS, il est possible d’utiliser des solutions telles que :

• CDN (Réseau de distribution de contenu) pour répartir la charge des demandes
• Configurer des règles de firewall et utiliser un WAF (pare-feu applicatif) pour protéger les couches réseau et applicatives
• Utiliser des systèmes de détection d’intrusion (IDS) ou de prévention d’intrusion (IPS) pour détecter les comportements malveillants
• Appliquer une authentification forte pour les utilisateurs.

Il existe également des services de mitigation DDoS plus avancés qui utilisent des techniques comme la mise en cache des requêtes, la répartition des demandes sur plusieurs serveurs et la détection/filtrage des demandes malveillantes pour atténuer les attaques de déni de service.

https://www.lejdd.fr/Economie/cyberattaque-a-bercy-le-nouveau-guichet-unique-pour-les-entreprises-paralyse-deux-jours-apres-son-lancement-4159677

Excellent podcast des « Pieds sur Terre » relatant le cauchemar de 2 organisations victimes de cyberattaque.

Publié le 11/01/2023

Qu’importent les moyens mis en place pour prévenir l’incident, il faut partir du postulat qu’il peut arriver. Et à ce stade qu’avez-vous prévu pour maintenir la continuité de l’activité ? Et pour récupérer rapidement les systèmes et les données compromis ? Répondre à ces deux questions suppose d’avoir un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA). Avoir les deux processus en place peut donc renforcer la résilience de l’entreprise face à une cyberattaque.

https://www.radiofrance.fr/franceculture/podcasts/les-pieds-sur-terre/cyberattaques-7095850

Les cabinets d’expertise comptable sont des cibles privilégiées pour les hackers

Publié le 13/01/2023

Les professionnels tels que les avocats, les comptables et les notaires sont des cibles particulièrement vulnérables face aux cybercriminels en raison de la nature de leurs activités et de la quantité de données sensibles qu’ils gèrent. Il est donc crucial pour ces professionnels de mettre en place des mesures de sécurité adéquates pour protéger ces données.

https://www.zataz.com/quand-un-cabinet-dexperts-comptables-se-fait-pirater-les-clients-peuvent-trembler/

Seine-et-Marne : deux mois et demi après, la cyberattaque continue de ralentir le Conseil Départemental

Publié le 20/01/2023

Les organisations doivent considérer la résilience comme une partie intégrante de leur stratégie de cybersécurité et s’assurer qu’elles sont en mesure de continuer à fonctionner efficacement même en cas d’attaque. Il est donc important de prévoir toutes les situations qui peuvent survenir dans une entreprise et s’y préparer en amont pour éviter toutes les perturbations.

https://www.leparisien.fr/seine-et-marne-77/seine-et-marne-deux-mois-et-demi-apres-la-cyberattaque-continue-de-ralentir-le-conseil-departemental-20-01-2023-3WZGST3EIFGMTEFUCW2MOKLWDY.php

Les revenus des gangs de cybercriminels chutent selon des chercheurs de Chainalysis

Publié le 21/01/2023

« Le constat des chercheurs est que les victimes sont de plus en plus efficaces dans la protection de leurs sauvegardes, ce qui réduit le besoin de payer une rançon pour récupérer des données. »

https://siecledigital.fr/2023/01/20/les-revenus-des-gangs-de-cybercriminels-chutent-parce-que-les-victimes-refusent-de-payer/

Les cliniques Elsan victimes du groupe de hackers Lockbit 3.0

Publié le 25/01/2023

Le 17 janvier, le groupe ELSAN a détecté une cyberattaque contre les serveurs de son siège à Paris. L’incident y serait resté circonscrit, sans rebond vers les cliniques du Groupe. Selon le groupe, les fichiers concernés seraient des données administratives et les patients auraient été épargnés.

https://www.lemagit.fr/actualites/252529567/Cliniques-Elsan-LockBit-30-revendique-une-cyberattaque

 

Réglementation et conformité :

Le non-respect du RGPD qualifié de concurrence déloyale

Publié le 03/01/2023

Le Tribunal judiciaire de Paris a considéré qu’en l’absence d’une Charte de confidentialité mise à la disposition du public, une société tirait un avantage concurrentiel et se rendait coupable de concurrence déloyale au préjudice d’une société concurrente respectueuse de la réglementation relative à la protection des données.

https://derriennic.com/le-non-respect-du-rgpd-qualifie-de-concurrence-deloyale/

Une certification HDS doit pouvoir être justifiée par l’hébergeur dès la conclusion du contrat avec l’éditeur d’une solution traitant des données de santé

Publié le 17/01/2023

Pour mettre en œuvre une solution qui implique le stockage de données de santé, l’éditeur doit avoir un hébergeur certifié HDS. Cette certification doit être présentée dès la signature du contrat. Si cette certification est absente, le contrat peut être annulé et les sommes versées pour ce contrat seront remboursées, en plus des sanctions pénales et administratives encourues.

https://www.dsih.fr/article/4983/la-certification-hds-une-condition-de-validite-des-contrats-informatiques.html#:~:text=Le%20certificat%20est%20d%C3%A9livr%C3%A9%20pour,minist%C3%A9rielle%20du%20num%C3%A9rique%20en%20sant%C3%A9

 

Recommandations :

Un projet de développement de la CAF provoque la fuite de données de 10.000 allocataires.

Publié le 05/01/2023

Un prestataire de la CAF a mis en ligne pendant 18 mois un fichier contenant les données personnelles de 10 204 allocataires, pensant qu’elles étaient fictives. L’occasion de rappeler qu’il ne faut jamais utiliser des bases de données de production actuelles ou passées pour des tests.

https://www.sudouest.fr/economie/social/caf-de-la-gironde-les-donnees-personnelles-de-plus-de-10-000-allocataires-mises-en-ligne-sur-internet-13566926.php

Le vrai coût d’une cyberattaque pour une PME-ETI

Publié le 11/01/2023

L’addition peut être salée pour les petites entreprises victime de cyberattaque :

– coût de remise en état du système attaqué et de reconstitution, lorsque c’est possible, des informations détruites, comme le fichier clients, les contrats, la facturation ou la comptabilité, etc.

– coût lié à la réputation de l’entreprise et à la perte de confiance des parties prenantes (salariés, clients, fournisseurs, etc.)

– Coût lié à l’engagement de responsabilité en cas de manquement avéré

La solution moindre prix est de décourager les attaquants en mettant en place des mesures techniques et organisationnelles élémentaires.

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/cybersecurite-tpe-pme-enjeux-solutions