Les fournisseurs de systèmes de contrôle industriels (ICS) n’ont pas encore corrigé environ 35 % des vulnérabilités découvertes au second semestre 2022.
Le rapport de vulnérabilité ICS SynSaber a analysé 926 problèmes informatiques avec des identifiants CVE qui ont été signalés par les conseillers ICS de la Cybersecurity and Infrastructure Protection Agency (CISA) des États-Unis au cours du second semestre 2022.
On découvre que les entreprises ICS sont non seulement aux prises avec une augmentation des CVE publiés (36 % de plus qu’au premier semestre 2022), mais aussi avec les fournisseurs de produits qui sont souvent lents à fournir toutes les mises à jour nécessaires.
Dans le même temps, Il est souligné que dans certains cas, les retards sont dus au fait que les fournisseurs d’équipement d’origine (OEM) ont des processus de test, d’approbation et de correction stricts.
Dans le même temps, même si des correctifs sont disponibles, les propriétaires de ressources ICS peuvent rencontrer des difficultés pour mettre à jour les systèmes en temps opportun. « Les opérateurs doivent tenir compte de l’interopérabilité et des limites de garantie pour les changements à l’échelle de l’environnement en plus d’attendre le prochain cycle de maintenance », déclare l’étude.
Le rapport a également indiqué que, d’autre part, 22% des vulnérabilités CVE identifiées au second semestre 2022 devraient être prioritaires pour les correctifs, contre 41% au cours des six mois précédents. Cela est en partie dû à la probabilité d’exploitation : environ 11 % des CVE introduits au second semestre 2022 nécessitent une interaction locale et une interaction de l’utilisateur pour une exploitation réussie, et 25 % nécessitent une interaction de l’utilisateur quelle que soit la disponibilité du réseau.
Il convient de noter que Nozomi Networks a précédemment déclaré dans un rapport que les industries et l’énergie étaient les plus vulnérables aux attaques de cybercriminalité au second semestre 2022, suivies de l’eau et de l’assainissement, de la santé et des transports.
Des hackers exploitent une nouvelle vulnérabilité zero-day affectant un outil populaire de transfert de fichiers, MOVEit Transfer, utilisé par des milliers de grandes entreprises.
MOVEit Transfer, un outil a été créé par Progress Software, a publié un avis sur une faille 0Day utilisé contre son logiciel et les usagers. « Il a été découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement. Si vous êtes un client de MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates telles que décrites afin de protéger votre environnement MOVEit Transfer, en attendant que notre équipe publie un correctif », a déclaré l’entreprise.
La société a exhorté les clients à désactiver tout le trafic HTTP et HTTPS vers leur environnement MOVEit Transfer. Elle a également indiqué que les clients devraient être vigilants quant aux téléchargements de fichiers inattendus et volumineux, ainsi qu’à la création de fichiers inattendus dans certains dossiers sur toutes leurs instances MOVEit Transfer, y compris les sauvegardes.
La société a déclaré que des correctifs pour la faille sont actuellement en cours de test et seront publiés dès que possible.
Caitlin Condon, directrice principale de la recherche sur les vulnérabilités chez Rapid7, a déclaré qu’au 31 mai 2023, il y avait environ 2 500 instances de MOVEit Transfer exposées sur Internet public, la majorité étant aux États-Unis.
Le chercheur en cybersécurité Kevin Beaumont a partagé des images d’au moins une instance connectée au Département de la Sécurité Intérieure des États-Unis. « Chaque instance en ligne est toujours vulnérable. Cela inclut certaines grandes banques, etc. – Les webshells ont commencé à être implantés il y a quelques semaines, plusieurs incidents se sont produits dans différentes organisations pendant cette période où des activités ont été détectées.«
Condon a expliqué qu’il y avait des preuves que les hackers avaient déjà automatisé l’exploitation de la faille, et BleepingComputer a rapporté que les hackers ont déjà commencé à télécharger en masse des données provenant des entreprises affectées. L’attaque contre MOVEit serait la dernière en date visant un outil populaire de transfert de fichiers utilisé par de grandes organisations cette année.
En février 2023, des groupes de ransomwares, dont Cl0p, ont exploité une vulnérabilité affectant le produit de transfert de fichiers GoAnywhere MFT de Fortra. Les gouvernements de Toronto et de Tasmanie avaient été touchés par cet incident, aux côtés de géants de l’entreprise tels que Proctor & Gamble, Virgin et Hitachi. Une faille pourtant corrigée 1 an auparavant.
Le groupe de ransomwares derrière cette exploitation, Cl0p, était déjà responsable d’une attaque généralisée contre un autre outil de transfert de fichiers en 2021, Accellion. A l’époque, l’Université du Colorado, Kroger, Morgan Stanley et Shell avaient été impactés.
Microsoft a récemment signalé une augmentation alarmante des cyberattaques utilisant la technique baptisée Business Email Compromise (BEC). Cette méthode d’hameçonnage consiste en des attaquants se faisant passer pour des dirigeants ou des partenaires d’entreprises, cherchant à convaincre les employés de transférer de l’argent ou de divulguer des informations confidentielles.
Selon les données de Microsoft, le nombre d’attaques BEC (Business Email Compromise) a augmenté de 250 % en 2022 par rapport à l’année précédente. De plus, les attaquants ont développé des méthodes de tromperie de plus en plus complexes et sophistiquées. Par exemple, ils peuvent usurper des domaines ou des adresses e-mail pour donner l’illusion que leurs messages sont légitimes. Ils peuvent également compromettre de véritables comptes et envoyer des e-mails de phishing au nom des victimes.
Les petites et moyennes entreprises sont particulièrement ciblées par les attaques BEC, car elles ont souvent des mesures de cybersécurité moins avancées et un personnel moins formé. Microsoft estime que les dommages moyens causés par une attaque BEC réussie s’élèvent à environ 75 000 $.
Afin de se protéger contre les attaques BEC, Microsoft recommande aux entreprises d’utiliser des mesures telles que l’authentification multifacteur, le chiffrement des e-mails, la sensibilisation des employés à l’hygiène de la cybersécurité et l’authentification de domaine. Ces précautions peuvent contribuer à renforcer la sécurité des systèmes de messagerie professionnelle et à réduire les risques d’attaques BEC.
Dans un monde de plus en plus connecté où les données personnelles sont omniprésentes, la protection de la vie privée est devenue un enjeu primordial. En réponse à cette préoccupation, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD) en 2018. En France et dans toute l’Europe, cette réglementation a introduit de nouvelles normes et devoirs pour les entreprises et les organisations en matière de collecte, de stockage et d’utilisation des données personnelles. Cet article explorera les aspects clés de la protection des données et du RGPD, en mettant en avant des exemples, des références et des sources en France et en Europe.
Le RGPD : Une Révolution pour la Protection des Données
Le RGPD a introduit un cadre juridique unifié pour la protection des données personnelles dans tous les États membres de l’Union européenne. Il donne aux individus un plus grand contrôle sur leurs données personnelles et impose des obligations strictes aux entreprises qui les traitent. Par exemple, les entreprises doivent obtenir un consentement explicite et spécifique des individus avant de collecter leurs données, et elles doivent également fournir des informations claires sur la manière dont ces données seront utilisées. Des entreprises de plus en plus amenées à faire appel à un cabinet de conseil rgpd afin de pouvoir répondre à toutes les attentes et obligations.
Exemples de Protection des Données en France
En France, le RGPD a eu un impact significatif sur la manière dont les entreprises et les organismes traitent les données personnelles. Des exemples concrets illustrent les avancées réalisées en matière de protection des données. Par exemple, les banques françaises ont dû adapter leurs pratiques pour se conformer au RGPD. Elles ont renforcé la sécurité des données des clients, mis en place des protocoles de notification en cas de violation de données et offert des options plus transparentes en matière de consentement.
Impacts du RGPD dans l’Union européenne
Le RGPD a également eu un impact considérable au-delà des frontières françaises. Dans toute l’Union européenne, il a incité les entreprises à repenser leur approche de la protection des données et à mettre en place des mesures plus rigoureuses. Des géants technologiques tels que Google et Facebook ont dû apporter des modifications à leurs politiques de confidentialité pour se conformer aux nouvelles réglementations. De plus, les autorités de protection des données dans toute l’Europe ont été renforcées, disposant désormais de pouvoirs accrus pour enquêter sur les violations et infliger des amendes dissuasives en cas de non-conformité.
Les Avantages du RGPD pour les Individus
Le RGPD accorde aux individus un certain nombre de droits essentiels pour protéger leurs données personnelles. Ces droits incluent le droit d’accéder à leurs données, le droit de les rectifier en cas d’inexactitude, le droit à l’effacement (ou droit à l’oubli), et le droit à la portabilité des données. Ces droits donnent aux individus une plus grande autonomie et transparence dans le contrôle de leurs informations personnelles.
Les Défis et les Perspectives Futures
Bien que le RGPD ait apporté des améliorations significatives en matière de protection des Données en France et en Europe, il reste des défis à relever et des perspectives futures à envisager. L’un des défis majeurs réside dans la mise en conformité des petites et moyennes entreprises (PME) qui peuvent rencontrer des difficultés en raison des ressources limitées. Il est essentiel de fournir un soutien et des ressources adéquates pour aider ces entreprises à se conformer aux exigences du RGPD.
Par ailleurs, avec l’évolution rapide des technologies et des pratiques de collecte de données, de nouveaux enjeux émergent. Par exemple, les questions liées à l’intelligence artificielle et à l’utilisation de données massives (big data) soulèvent des préoccupations quant à la protection de la vie privée. Les autorités de protection des données devront rester à l’avant-garde de ces développements technologiques pour garantir une protection adéquate des données personnelles. La NIS 2, mise à jour de la directive européenne NIS a été votée en janvier 2023. Elle affiche de nouvelles motivations sécuritaires. La directive NIS2 (Network and Information Systems) a pour objectif principal de renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle cherche à protéger les infrastructures critiques, telles que les réseaux électriques, les services de santé, les transports et les services financiers, contre les cyberattaques. NIS2 vise également à garantir la résilience des services numériques et à promouvoir une culture de la cybersécurité.
Dans une perspective future, il est essentiel de renforcer la coopération internationale en matière de protection des données. Les échanges de données transfrontaliers nécessitent une harmonisation des réglementations et des mécanismes de coopération entre les autorités de protection des données de différents pays. De plus, il convient de promouvoir l’éducation et la sensibilisation du public sur les enjeux liés à la protection des données et à la vie privée, afin que les individus soient mieux informés de leurs droits et des mesures de sécurité à prendre. C’est pour cela que la NIS 2 impose des obligations de notification des incidents de sécurité, obligeant les entreprises à signaler toute violation de sécurité significative aux autorités compétentes. Ce qu’elle devait, normalement, déjà faire avec le RGPD. Elle prévoit également des exigences en matière de gestion des risques, de tests de pénétration et de plans de continuité d’activité, afin de garantir une préparation adéquate face aux cybermenaces.
Le RGPD a été une avancée majeure dans le domaine de la protection des données en France et en Europe. Il a renforcé les droits des individus et imposé des obligations claires aux entreprises et aux organisations. Des exemples concrets en France et dans toute l’Union européenne démontrent l’impact positif du RGPD sur la confidentialité des données personnelles. Cependant, les défis subsistent et les perspectives futures nécessitent une vigilance continue. La protection des données et la garantie de la vie privée restent des priorités essentielles dans notre société numérique. En soutenant les PME, en anticipant les nouveaux défis technologiques et en renforçant la coopération internationale, nous pourrons assurer une protection des données adéquate et durable pour tous.
Références
Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Commission nationale de l’informatique et des libertés (CNIL) – www.cnil.fr
European Data Protection Board (EDPB) – edpb.europa.eu
Les changements induits par le RGPD dans le domaine de la cybersécurité en Europe par l’Agence européenne pour la cybersécurité (ENISA)
Rapport sur les premières années de mise en œuvre du RGPD en Europe par l’EDPB
Article sur les droits des individus selon le RGPD en France publié par le site Legifrance.
Les ransomwares se sont avérés être une source lucrative pour les cybercriminels, avec des sauvegardes souvent insuffisamment protégées pour éviter les dommages ou le versement d’une rançon. De plus, le paiement ne garantit pas toujours une récupération réussie des données.
D’après une enquête menée par Veeam et présentée dans le Ransomware Trends Report, 40% des entreprises mondiales adoptent une politique de non-paiement en cas d’attaque de ransomware. Cependant, plus de 80% finissent par payer la rançon demandée par les pirates informatiques suite à une attaque. L’étude a interrogé environ 1 200 organisations et analysé 3 000 cyberattaques survenues l’année dernière.
L’enquête a révélé des informations précieuses sur la récupération après une attaque de ransomware. Dans 59% des cas, l’entreprise concernée a pu récupérer ses données après avoir payé la rançon. Dans 4% des cas, aucune rançon n’a été exigée. Par ailleurs, 16% des entreprises ont réussi à récupérer leurs données cryptées sans payer de rançon.
Cependant, 21% des organisations qui ont payé une rançon n’ont pas réussi à récupérer leurs données. Selon Veeam, cela inclut des situations où la clé de déchiffrement n’a pas été fournie ou ne fonctionnait pas.
Une attaque paralyse également les applications
Il est important de noter que la récupération des données ou l’empêchement de leur propagation ne résout pas l’intégralité du problème. Souvent, une attaque paralyse également les applications et les services numériques, nécessitant des réparations approfondies et une meilleure mise en place de la sécurité après l’attaque.
Par exemple, après l’attaque par ransomware de décembre dernier, la ville d’Anvers n’a pu restaurer ses principaux services numériques qu’un mois et demi plus tard, et six mois après l’attaque, tout n’était toujours pas rétabli. L’administration communale a admis cette semaine à Data News que de nombreux processus étaient complexes et nécessitaient une révision pour prévenir de futures attaques.
Veeam a également souligné que dans 93% des attaques, les cybercriminels tentent également de compromettre les sauvegardes, rendant la récupération des données plus difficile sans payer de rançon. Dans 75% des cas, les criminels ont réussi à entraver la récupération des données. L’entreprise recommande donc d’utiliser des sauvegardes inaltérables et d’intégrer des ‘air gaps’ (trous d’air) pour séparer la sauvegarde d’Internet et la protéger contre les attaques de ransomware.
Assurance en cybersécurité
L’impact du succès des ransomwares se fait également sentir dans le secteur de l’assurance en cybersécurité. 21% des répondants à l’enquête ont indiqué que leur assurance n’incluait pas le risque de ransomware. Trois quarts des participants ont constaté une augmentation de leur prime d’assurance l’année dernière, 43% ont fait état d’exigences accrues de la part de l’assureur, tandis que 10% ont déclaré être moins couverts qu’auparavant.
Cette tendance souligne l’importance de mettre en place des mesures de sécurité robustes pour protéger les données et les systèmes d’information contre les attaques de ransomware. Les entreprises doivent également se préparer à faire face à des augmentations de primes d’assurance en cybersécurité et à des exigences plus strictes de la part des assureurs, car le risque de cyberattaques continue de croître.
En conclusion, bien que le paiement d’une rançon puisse parfois permettre de récupérer des données, les entreprises doivent prendre conscience que cela ne garantit pas une récupération complète et peut également encourager davantage d’activités criminelles. Par conséquent, des mesures préventives, telles que l’amélioration de la sécurité des sauvegardes et le renforcement de la protection contre les ransomwares, doivent être prioritaires pour les organisations.
Des chercheurs de l’Université du Zhejiang et de Tencent Labs ont découvert un nouveau vecteur d’attaque baptisé BrutePrint. Il exploite la faiblesse des mécanismes de sécurité des empreintes digitales sur les smartphones Android.
Cette vulnérabilité permet à un attaquant de mener des tentatives d’authentification par force brute afin de prendre le contrôle d’un appareil mobile. En exploitant les vulnérabilités Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL), les chercheurs ont pu contourner les limites de tentatives d’authentification infructueuses imposées par les smartphones Android modernes.
Les détails techniques de BrutePrint ont été publiés sur la plateforme Arxiv par les auteurs de l’étude. Ils ont identifié des lacunes dans la sécurité des données biométriques au niveau de l’interface périphérique série (Serial Peripheral Interface, SPI) des capteurs d’empreintes digitales. Cette vulnérabilité permet une attaque de l’homme du milieu et l’accès aux images d’empreintes digitales. Les chercheurs ont testé leur vecteur sur dix modèles de smartphones populaires et ont pu mener un nombre illimité de tentatives d’authentification sur Android OS et HarmonyOS (Huawei). Dans le cas d’iOS, ils ont réussi à éliminer seulement dix tentatives supplémentaires.
Il est important de souligner que l’exécution de BrutePrint nécessite un accès physique à l’appareil ciblé. De plus, l’attaquant doit avoir accès à une base de données d’empreintes digitales, ce qui peut être obtenu pour un coût modeste d’environ 15 $.
Les résultats des tests ont révélé que tous les smartphones expérimentés étaient vulnérables à au moins l’un des bugs décrits. Les appareils Android permettaient un nombre illimité de tentatives de sélection d’empreintes digitales, tandis que les appareils Apple étaient légèrement plus fiables dans leur limitation des tentatives.
Cette découverte met en évidence la nécessité de renforcer la sécurité des données biométriques et des mécanismes d’authentification sur les smartphones Android. Les fabricants et les développeurs doivent prendre des mesures pour corriger ces vulnérabilités et améliorer la protection des empreintes digitales, qui sont de plus en plus utilisées comme moyen d’authentification. Les utilisateurs doivent également être conscients de ces risques potentiels et prendre des mesures pour protéger leurs données en utilisant des méthodes d’authentification supplémentaires, comme les codes PIN ou les mots de passe, en plus des empreintes digitales. (Arxviv)
La loi LOPMI, promulguée en janvier 2023, impose désormais une obligation légale aux victimes de cyberattaques de déposer plainte dans un délai de 72 heures si elles souhaitent être indemnisées par leur assurance. Cette nouvelle disposition, entrée en vigueur le lundi 24 avril, a des conséquences significatives et nécessite d’adopter les bons réflexes en cas de sinistre.
La loi LOPMI constitue une avancée majeure dans la lutte contre la cybercriminalité en France en permettant aux autorités d’avoir une meilleure visibilité sur les attaques subies par les professionnels et les entreprises. Elle apporte également des éclaircissements sur les conditions de prise en charge des risques liés à la cybersécurité, offrant ainsi un cadre législatif plus clair aux assureurs. Cependant, cette loi introduit également de nouvelles contraintes, notamment l’obligation de dépôt de plainte, qu’il est essentiel de comprendre afin d’agir de manière sereine et efficace en cas de cyberattaque.
Les changements apportés par la loi LOPMI sont les suivants : depuis le 24 avril 2023, tout professionnel ou entreprise victime d’une attaque doit déposer plainte dans un délai maximum de 72 heures à partir du moment où il a connaissance de l’incident. Ce dépôt de plainte est obligatoire pour pouvoir prétendre à une éventuelle indemnisation dans le cadre d’un contrat d’assurance Cyber en vigueur. Si la plainte n’est pas déposée dans ce délai, le professionnel ou l’entreprise ne pourra pas être indemnisé par son assureur. Cette disposition, d’ordre public, s’applique à tous les contrats d’assurance en cours, même si cette obligation n’est pas spécifiée dans les contrats.
Actions, réactions et garanties d’assistance
Il est important de noter que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises, ainsi que pour proposer des solutions initiales visant à limiter les conséquences de l’attaque et à constituer un dossier de recours. Toutefois, le dépôt de plainte reste obligatoire dans un délai de 72 heures.
Cette obligation concerne toutes les personnes morales (entreprises, associations, administrations publiques) et toutes les personnes physiques (professions libérales, travailleurs indépendants, etc.) qui subissent une cyberattaque dans le cadre de leurs activités professionnelles. Il est nécessaire que le professionnel ou l’entreprise soit immatriculé en France et soit assuré par un contrat d’assurance français. Les particuliers victimes d’une attaque à titre personnel ne sont donc pas concernés par cette obligation. Toutefois, il est recommandé de déposer plainte afin de faciliter l’identification des suspects et de favoriser la reconnaissance du préjudice subi par la victime.
Toutes les formes de cyberattaques sont concernées par cette loi, notamment les attaques par logiciels malveillants tels que les ransomwares, les vols de données, les attaques par déni de service (DoS/DDoS), le phishing, la modification non sollicitée d’un site Internet, les interceptions de communication, l’exploitation de vulnérabilités logicielles, etc.
En cas de cyberattaque, il est essentiel de savoir comment réagir afin de réagir de manière efficace et de protéger au mieux son entreprise. Voici les consignes à suivre : éteindre les équipements et les accès réseau, déconnecter les sauvegardes ; informer les collaborateurs des consignes à suivre ; contacter immédiatement son assureur pour limiter au plus vite les conséquences de l’incident ; alerter les forces de l’ordre sans attendre ; il est important de noter que cette alerte ne dispense pas du dépôt de plainte, qui reste obligatoire ; déposer plainte dans un délai maximum de 72 heures à partir de la prise de connaissance de l’incident ; en cas de violation de données à caractère personnel, conformément à l’article 33 du RGPD, il convient de notifier l’incident à la CNIL dans un délai de 72 heures via le site dédié de la CNIL ; mettre en place le plan de gestion de crise, y compris les mesures de continuité d’activité prévues dans le Plan de continuité d’activité (PCA) ; déclarer le sinistre à l’assureur par courrier ; faire appel au service de veille ZATAZ pour effectuer des recherches dans le darkweb et le darknet afin de détecter toute fuite d’informations susceptible d’être entre les mains de groupes de pirates.
Déposer plainte, toujours !
Pour déposer plainte, il est nécessaire de préparer sa plainte en documentant tous les éléments utiles à l’enquête : conserver toutes les traces visibles de l’attaque (photos, captures d’écran, etc.) ; dresser une liste chronologique des actions entreprises après l’attaque ; fournir ou mettre à disposition le plus de preuves possible (fichiers, photos, images, vidéos, clés USB, CD/DVD, disque dur, etc.). Ensuite, la victime doit porter plainte dans une brigade de gendarmerie ou un commissariat dans un délai de 72 heures à partir de la prise de connaissance de l’incident. Si l’entreprise est victime d’une cyberattaque à l’étranger, deux options s’offrent à elle : déposer plainte en France dans les 72 heures ou déposer plainte dans le pays où l’attaque s’est produite, également dans les 72 heures. Il est important de souligner que l’obligation de dépôt de plainte doit être respectée, à condition que l’attaque cybernétique constitue également une infraction dans ce pays.
Il est crucial de garder à l’esprit que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises.
En conclusion, avec l’obligation de dépôt de plainte sous 72 heures, la loi LOPMI renforce la protection des victimes de cyberattaques et contribue à une meilleure lutte contre la cybercriminalité. Il est primordial de bien comprendre cette obligation et de suivre les procédures recommandées en cas d’incident afin de maximiser les chances de récupérer les dommages subis et de garantir une indemnisation adéquate de la part de l’assureur. En adoptant une approche proactive et en restant vigilant face aux cybermenaces, les entreprises peuvent renforcer leur résilience et leur capacité à faire face aux attaques.
Il est également important de souligner que la prévention reste la meilleure stratégie contre les cyberattaques. Les entreprises doivent mettre en place des mesures de sécurité solides, telles que des pare-feu, des antivirus et des programmes de sensibilisation à la cybersécurité pour former leur personnel à reconnaître les menaces potentielles et à adopter des pratiques sécuritaires en ligne.
En définitive, la nouvelle obligation de dépôt de plainte sous 72 heures introduite par la loi LOPMI constitue une avancée significative dans la protection des victimes de cyberattaques et renforce la responsabilité des entreprises dans la sécurisation de leurs systèmes informatiques. En agissant rapidement et en suivant les procédures recommandées, les entreprises peuvent minimiser les dommages causés par les attaques et assurer une meilleure collaboration avec les autorités et les assureurs pour faire face à ces situations complexes.
Le 12 avril 2023, un tournant significatif a eu lieu en France en matière de gestion des déchets électroniques. Un décret a été adopté fixant les objectifs et les modalités de réutilisation des équipements informatiques réformés par l’État et les collectivités territoriales. Cette nouvelle réglementation a des implications considérables, à la fois pour les organisations privées et les autorités publiques du pays.
L’une des principales préoccupations liées à la réutilisation des équipements informatiques est la nécessité de garantir l’effacement sécurisé des données. Par exemple, si une entreprise publique met hors service un serveur contenant des informations sensibles sur les citoyens, il est crucial de s’assurer que ces données ne peuvent pas être récupérées après la réutilisation de cet équipement. Dans ce contexte, des entreprises spécialisées proposent des solutions. Assurez-vous qu’elles soient à la norme NIST 800-88.
Cette réglementation intervient à un moment où la conscience environnementale atteint un niveau sans précédent, notamment en ce qui concerne la gestion des déchets électroniques. Selon l’ONU et l’APCE, les déchets électroniques sont la catégorie de déchets connaissant la croissance la plus rapide à l’échelle mondiale, avec une valeur estimée à plus de 62,5 milliards de dollars par an. Des initiatives comme celle du gouvernement français sont donc de plus en plus importantes pour réduire l’impact environnemental de ces déchets.
Il est aussi à noter que la suppression sécurisée des données est un élément crucial de la protection contre les cyberattaques. En effet, si les données sensibles ne sont pas correctement effacées avant la réforme ou la réutilisation d’un équipement informatique, elles peuvent être récupérées par des acteurs malveillants, posant un risque significatif de violation de la sécurité. Par exemple, si un vieux disque dur contenant des informations sensibles n’est pas correctement effacé avant d’être vendu ou réutilisé, ces données pourraient tomber entre de mauvaises mains.
En résumé, la nouvelle réglementation française sur la réutilisation des équipements informatiques réformés souligne la nécessité de garantir une suppression sécurisée et responsable des données, tout en minimisant l’impact environnemental des déchets électroniques. Des entreprises offrent une solution unique pour répondre à ces exigences, permettant aux organisations et aux autorités publiques de bénéficier d’une gestion des actifs informatiques complète et fiable. Ces efforts contribuent à la protection contre les cybermenaces, garantissant une meilleure sécurité pour les données et l’environnement.
C’est un grand pas en avant dans la gestion responsable des déchets électroniques. En effet, la réutilisation des équipements informatiques réformés présente des avantages significatifs, non seulement pour l’environnement mais aussi pour l’économie. En prolongeant la durée de vie utile des équipements informatiques, les organisations peuvent réduire les coûts associés à l’achat de nouveau matériel. De plus, la réutilisation des équipements informatiques peut créer des opportunités économiques, par exemple en fournissant du matériel informatique réformé à des prix réduits pour les écoles, les organismes à but non lucratif, ou les petites entreprises.
Il est clair que la mise en œuvre effective de cette réglementation nécessitera une coopération étroite entre le gouvernement, les entreprises privées, et les organisations à but non lucratif. Il est essentiel de développer des programmes de formation pour aider les organisations à comprendre et à respecter les nouvelles exigences en matière de suppression de données sécurisée. De plus, des efforts sont nécessaires pour sensibiliser le public à l’importance de la gestion responsable des déchets électroniques.
En conclusion, le décret du 12 avril 2023 marque une avancée significative dans la gestion responsable des équipements informatiques en France. Non seulement il souligne l’importance de la suppression sécurisée des données, mais il met également en évidence l’importance de la réutilisation des équipements informatiques dans la lutte contre la pollution électronique. Les organisations et les autorités publiques ont maintenant un rôle clé à jouer pour garantir le respect de ces nouvelles normes et pour promouvoir une économie plus durable et plus sécurisée.
Le nombre de cyberattaques explose : en 2021, le FBI indique une augmentation de 64 % des pertes potentielles liées à la cybercriminalité en 3 ans. La société de cybersécurité israélienne Checkpoint dénombre une augmentation de 38% des violations de données dans le monde rien qu’en 2022.
Ces chiffres devraient progresser avec l’utilisation de ChatGPT. Ses performances en programmation et en rédaction permettent aux assaillants de produire facilement une quantité impressionnante d’attaques. Bien que le chatbot soit conçu pour empêcher les actions malveillantes, les hackers arrivent à aisément contourner les filtres.
Découvrez dans cet article, les techniques utilisées par les hackers pour compromettre votre organisation à l’aide de ChatGPT. Nous vous présenterons, de même, les solutions pour vous protéger de ces attaques. Suite à cet article, vous pourrez prendre des mesures concrètes visant à sécuriser votre infrastructure.
Les cyberattaques générées par l’IA
Le phishing
Les dangers du phishing créé par l’IA
ChatGPT est particulièrement redoutable pour le phishing. Bien que l’assistant évite de répondre à des requêtes ayant un objectif malveillant. Il existe une pléthore d’exemples sur le web affichant les failles du système. Via une succession de prompts, un hacker peut détourner l’usage de ChatGPT pour créer des mails d’hameçonnage convaincants et personnalisés.
Une action malveillante empêchée par ChatGPT
Rédaction d’un mail pouvant servir de fraude à la facture fournisseur
Comme vous pouvez le constater sur cet exemple, nous pouvons de manière détournée, rédiger très facilement un email convaincant avec un prompt de seulement 2 lignes. Nous pouvons, dès lors, imaginer une forte augmentation des fraudes à la facture fournisseur.
C’est peut-être actuellement, le meilleur logiciel pour la rédaction de phishing, car il rédige rapidement, de manière naturelle, sans faute d’orthographe, de grammaire ou de conjugaison. De ce fait, il devient presque impossible pour un humain de détecter une attaque d’hameçonnage.
D’autant plus que ChatGPT peut couramment parler plusieurs langues, permettant ainsi aux pirates d’attaquer plusieurs entreprises sur plusieurs pays. Ils profitent de sa rapidité d’écriture pour automatiser leur workflow afin d’attaquer une quantité phénoménale d’organisation.
Une action malveillante empêchée par ChatGPT.
Comment s’en protéger ?
Pour se protéger du phishing généré par l’IA, tous les employés de votre organisation doivent être sensibilisés à cette problématique. Absolument, tous les contacts demandant une autorisation ou un accès à une ou plusieurs données doivent être authentifiés. Le critère de la qualité du message est aujourd’hui obsolète pour se protéger de l’hameçonnage.
Actuellement, la solution entreprise par les organisations est la suivante : l’intégration d’outil de détection de l’IA au sein des messageries à usage professionnel. Les outils de détection sont plutôt performants, mais il existe des méthodes permettant aux pirates de modifier rapidement leurs textes pour être indétectables (notamment le spinning). De plus, comme l’intelligence artificielle évolue rapidement, les détecteurs peuvent temporairement être impuissants.
D’autant plus que dans un avenir proche, les mails du quotidien (sans objectif malveillant) pourraient, eux aussi, être générés par l’IA. Une des solutions à privilégier est donc le système de signature électronique pour identifier l’émetteur.
Par ailleurs, il ne faut pas oublier le phishing via les messages vocaux. Une IA peut imiter la voix d’un responsable pour obtenir des données confidentielles à ses employés. Désormais, aucun enregistrement vocal ne doit être considéré comme fiable.
Les malwares
Les dangers des malwares créent par l’IA
Le 29 décembre 2022, la société CheckPoint a découvert sur un forum de hacking de renom, qu’un pirate aurait testé le chatbot pour recréer des souches de logiciels malveillants. Il est admis que d’autres codes malveillants autogénérés circulent dans le darknet comme des stealers ou des ransomwares. Nous savons aussi que l’assistant peut créer des malwares polymorphiques (logiciels se transformant pour éviter d’être détectés).
Même si ChatGPT arriverait à empêcher les acteurs malveillants de générer du code à des fins criminelles. Il est possible que des IA génératives spécialisées dans la cyberattaque voient le jour. Par IA générative, nous parlons d’une intelligence artificielle entraînée par des milliers de textes et de codes malveillants ayant fait leurs preuves.
Comment s’en protéger ?
À l’heure actuelle, il existe peu de moyen de s’en protéger. Bien qu’il existe des outils de détection de code généré par l’IA, les pirates peuvent rendre leurs créations indétectables. Une option pour contrecarrer ces attaques est la montée en compétence de vos équipes de cybersécurité.
En réalité, rien ne change, les malwares étaient aussi dangereux avant l’arrivée de ChatGPT. Cependant, le nombre de virus va grandement augmenter. Pour répondre à cette menace, il est nécessaire de recruter et de renforcer vos équipes de sécurité informatique.
L’utilisation de ChatGPT peut aussi aider les hackers éthiques dans leurs missions de détection des vulnérabilités et de réponse aux incidents. Du fait que la vitesse de raisonnement et d’analyse de l’IA est bien supérieure à celle d’un être humain.
Cependant, pour pouvoir utiliser l’intelligence artificielle pour sécuriser son infrastructure, de fortes compétences en cybersécurité sont nécessaires afin de diriger correctement l’outil.
Le hacking des IA
Un point qui est souvent ignoré par les organisations. Le hacking des IA. Que ce soit pour ChatGPT ou pour de prochains générateurs, il est possible de modifier ces outils à des fins personnelles. Cela est possible, car les IA sont entraînées par les utilisateurs qui “améliorent les résultats” en donnant leur feedback.
On peut donc imaginer des attaques massives d’apprentissage visant à influencer les résultats obtenus par ces technologies.
Le détournement des modèles d’apprentissage peut avoir de graves conséquences comme l’apparition de fausses informations, le retrait des filtres ou encore le partage des données personnelles.
Comment s’en protéger ?
Former toutes les parties prenantes de votre entreprise à ne divulguer aucune donnée personnelle aux IA comme ChatGPT ou ayant un fonctionnement similaire en termes de protection des données.
Prendre conscience aux utilisateurs des limites de l’outil. Par exemple, il est important de savoir que ChatGPT ne connaît pas le concept de vérité.
La réglementation risque d’évoluer fréquemment, il est crucial de suivre ces changements.
Pour rester à la page et sensibiliser votre personnel aux dernières pratiques de sécurité, la formation de vos hackers éthiques est indispensable. En effet, son rôle ne consiste pas uniquement à identifier les attaques, mais également à enseigner les bonnes pratiques de protection des données à chacun de vos collaborateurs.
Rédaction d’un mail pouvant servir de fraude à la facture fournisseur
La formation OSCP pour protéger votre entreprise des attaques cybercriminelles générées par l’IA
Comme énoncé précédemment, ChatGPT ne révolutionne pas le hacking (les logiciels polymorphiques, les stealers, le phishing existent depuis le début du web). Cependant, les IA vont permettre une fulgurante mise à l’échelle de ces offensives.
Pour affronter ces menaces, nous pouvons vous conseiller la certification OSCP créée par l’organisme OffSec. OSCP est une certification populaire et mondialement reconnue prouvant les compétences de vos collaborateurs en pentesting.
Dans son programme, la plupart des attaques sont présentes comme les exploits, les injections SQL, les attaques de mot de passe, le tunneling ou encore les élévations de privilège.
Son approche pratique la différencie de ses concurrents (CEH, CISSP ou Comptia+ proposent un simple QCM pour leur examen). En effet, durant le test, les candidats devront hacker plusieurs machines durant 23 heures et 45 minutes pour ensuite envoyer un rapport de pentesting.
Cette certification permet donc aux professionnels de démontrer leurs aptitudes en condition réelle. Il s’agit d’une certification de haut niveau demandant une forte implication personnelle, une expérience préalable en cybersécurité et 2 mois de préparation intensive au minimum.
Notre partenaire Ambient IT propose une formation de préparation à OSCP avec un formateur dédié de 28 heures en français. Vous trouverez dans ce cours :
28 heures de coaching collectif espacées sur 8 semaines pour pouvoir assimiler tous les concepts
Un coaching réalisé par un enseignant certifié OSCP et Offsec
1 passage à l’examen
Le contenu officiel d’OffSec :
Plusieurs heures de formations vidéo
Un livre de formation au format PDF
Un accès au forum des apprenants
Un accès au lab pendant 90 jours pour progresser à son rythme
Sachez que cette formation est disponible sur moncompteformation. Nous proposons une réduction de 400€ pour toute inscription via cette url pour une session en 2023. Il suffira de mentionner « Datasecuritybreach » lorsque nous vous appellerons. Offre soumise à condition d’achat et non cumulable avec d’autres promotions ou réductions en cours.
Vers une attaque massive contre les PME ?
Bien que les fondamentaux de la cybersécurité restent inchangés, nous assisterons à une multiplication des attaques malveillantes. Ainsi, le piratage deviendrait un enjeu essentiel pour les petites et moyennes entreprises.
Afin de protéger votre entreprise. La certification OSCP est l’une des meilleures distinctions pour évaluer les compétences en cybersécurité. Il s’agit d’une des certifications les plus difficiles et des plus reconnues dans le monde de l’informatique. Comme l’examen est entièrement pratique, les certifiés prouvent leurs aptitudes en situation réelle.
Dans un monde numérique en constante évolution, les infrastructures cloud sont devenues la clé de voûte des entreprises qui cherchent à optimiser leurs opérations, à sécuriser leurs données et à maintenir leur agilité. Cependant, la gestion et l’évolution de ces infrastructures nécessitent un certain niveau d’expertise, d’où l’importance de faire appel à des experts. Les plateformes de services sur-mesure offrent une réponse personnalisée aux besoins d’efficacité, de sécurité et d’agilité des entreprises.
Expertise : un atout majeur pour l’exploitation du cloud
La complexité inhérente à la gestion du cloud peut s’avérer déroutante, même pour les entreprises technologiquement averties. L’exploitation efficace du cloud nécessite une compréhension approfondie des diverses architectures, des protocoles de sécurité, des réglementations et des meilleures pratiques du secteur. C’est ici qu’intervient l’expertise. Les experts en cloud peuvent aider les entreprises à naviguer dans ce labyrinthe complexe et à maximiser la valeur de leurs investissements dans le cloud.
Sécurité : une priorité dans le cloud
La sécurité est une préoccupation majeure pour toutes les entreprises, et le cloud n’y échappe pas. Les menaces de sécurité évoluent constamment, ce qui rend la protection des données et la sécurité des infrastructures cloud un défi permanent. Les experts en sécurité du cloud comprennent ces menaces et sont équipés pour les contrer, assurant ainsi la sécurité des précieuses données de l’entreprise. De plus, les plateformes de services sur-mesure peuvent offrir des solutions de sécurité adaptées à l’entreprise, renforçant ainsi sa posture de sécurité. L’expérience, la certification ISO 27001 sont des élèments à prendre en compte pour le choix de votre expert du cloud sur-mesure.
Agilité : un avantage concurrentiel
Dans le paysage commercial d’aujourd’hui, l’agilité est devenue un avantage concurrentiel clé. Les entreprises doivent être capables de s’adapter rapidement aux changements du marché et aux nouvelles opportunités. Grâce à l’expertise en cloud, les entreprises peuvent tirer pleinement parti de l’agilité offerte par le cloud. Les experts peuvent aider à concevoir et à mettre en œuvre des infrastructures cloud qui favorisent l’innovation rapide, l’évolutivité et la flexibilité. Avec le soutien d’experts, les entreprises peuvent profiter pleinement de l’agilité offerte par le cloud. Que ce soit pour le déploiement rapide de nouvelles fonctionnalités, l’adaptation à la demande fluctuante, ou l’expansion dans de nouveaux marchés, l’expertise en cloud peut aider les entreprises à rester compétitives dans le paysage commercial en constante évolution.
Plateformes de services sur-mesure : la réponse aux besoins d’efficacité, de sécurité et d’agilité
Les plateformes de services sur-mesure offrent une solution idéale pour les entreprises cherchant à exploiter au mieux le cloud. Ces plateformes fournissent une gamme de services personnalisés qui répondent aux besoins spécifiques de chaque entreprise. Que ce soit pour améliorer l’efficacité opérationnelle, renforcer la sécurité ou augmenter l’agilité, une plateforme de services sur-mesure peut fournir les outils et l’expertise nécessaires. L’expertise en cloud permet aux entreprises de naviguer avec confiance dans le paysage complexe du cloud, d’assurer la sécurité de leurs données et de rester agiles face à l’évolution rapide du marché. Les plateformes de services sur-mesure, en particulier, offrent une solution unique qui répond aux besoins spécifiques de chaque entreprise, garantissant ainsi l’efficacité, la sécurité et l’agilité. Avec l’évolution constante des applications modernes et des outils collaboratifs, l’adoption d’une infrastructure cloud fiable et performante est devenue une nécessité impérieuse pour les entreprises de toutes tailles, des PME aux grandes organisations. Les aspects tels que la sécurisation et la résilience des infrastructures, l’authentification renforcée et les droits d’accès, ainsi que la minimisation de la surface d’exposition, sont des facteurs clés dans ce processus.
Un accompagnement personnalisé pour des performances optimisées
L’accompagnement d’experts dans le déploiement et la gestion des infrastructures cloud permet d’adapter les ressources aux besoins précis des entreprises. Ainsi, les coûts sont optimisés, évitant le gaspillage de ressources inutilisées. De plus, les experts peuvent aider à identifier les opportunités d’amélioration, contribuant ainsi à une meilleure efficacité opérationnelle.
La tranquillité d’esprit grâce à la sécurité renforcée
Les plateformes de services sur-mesure offrent des solutions de sécurité personnalisées, qui peuvent être adaptées en fonction des exigences spécifiques de chaque entreprise. Cela signifie que les entreprises peuvent se concentrer sur leur cœur de métier, en sachant que leurs données et infrastructures sont protégées par des experts en sécurité du cloud.
En somme, l’expertise en cloud est une ressource précieuse pour toute entreprise cherchant à exploiter au mieux le potentiel du cloud. Les plateformes de services sur-mesure, avec leur offre personnalisée, fournissent l’expertise, les outils et les solutions nécessaires pour répondre aux besoins d’efficacité, de sécurité et d’agilité des entreprises. En faisant appel à des experts, les entreprises peuvent non seulement optimiser leur utilisation du cloud, mais aussi renforcer leur position dans le marché numérique d’aujourd’hui.
Petites entreprises, grandes menaces : restez informés, restez protégés
