Le parlement japonais met en place des mesures plus strictes contre le blanchiment d’argent par le biais des cryptomonnaies. Les nouvelles procédures AML (Anti-Money Laundering) entrent en vigueur ce 1er juin 2023.
Selon le média local Kyodo News, ces nouvelles procédures AML permettront à la législation japonaise de rattraper les principales nations mondiales en la matière. Les parlementaires ont commencé à modifier les mesures existantes contre le blanchiment d’argent en décembre dernier. À l’époque, le Groupe d’action financière internationale (FATF) avait déclaré que les procédures en vigueur au Japon étaient insuffisantes.
L’une des principales innovations sera la « règle de transfert« , qui permettra un meilleur suivi des transactions en cryptomonnaies. Tout établissement financier effectuant une transaction d’un montant supérieur à 3 000 dollars devra transmettre des informations sur la transaction au régulateur. La liste des données doit inclure les noms et adresses de l’expéditeur et du destinataire, ainsi que toutes les informations concernant les comptes.
Dans un monde de plus en plus connecté où les données personnelles sont omniprésentes, la protection de la vie privée est devenue un enjeu primordial. En réponse à cette préoccupation, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD) en 2018. En France et dans toute l’Europe, cette réglementation a introduit de nouvelles normes et devoirs pour les entreprises et les organisations en matière de collecte, de stockage et d’utilisation des données personnelles. Cet article explorera les aspects clés de la protection des données et du RGPD, en mettant en avant des exemples, des références et des sources en France et en Europe.
Le RGPD : Une Révolution pour la Protection des Données
Le RGPD a introduit un cadre juridique unifié pour la protection des données personnelles dans tous les États membres de l’Union européenne. Il donne aux individus un plus grand contrôle sur leurs données personnelles et impose des obligations strictes aux entreprises qui les traitent. Par exemple, les entreprises doivent obtenir un consentement explicite et spécifique des individus avant de collecter leurs données, et elles doivent également fournir des informations claires sur la manière dont ces données seront utilisées. Des entreprises de plus en plus amenées à faire appel à un cabinet de conseil rgpd afin de pouvoir répondre à toutes les attentes et obligations.
Exemples de Protection des Données en France
En France, le RGPD a eu un impact significatif sur la manière dont les entreprises et les organismes traitent les données personnelles. Des exemples concrets illustrent les avancées réalisées en matière de protection des données. Par exemple, les banques françaises ont dû adapter leurs pratiques pour se conformer au RGPD. Elles ont renforcé la sécurité des données des clients, mis en place des protocoles de notification en cas de violation de données et offert des options plus transparentes en matière de consentement.
Impacts du RGPD dans l’Union européenne
Le RGPD a également eu un impact considérable au-delà des frontières françaises. Dans toute l’Union européenne, il a incité les entreprises à repenser leur approche de la protection des données et à mettre en place des mesures plus rigoureuses. Des géants technologiques tels que Google et Facebook ont dû apporter des modifications à leurs politiques de confidentialité pour se conformer aux nouvelles réglementations. De plus, les autorités de protection des données dans toute l’Europe ont été renforcées, disposant désormais de pouvoirs accrus pour enquêter sur les violations et infliger des amendes dissuasives en cas de non-conformité.
Les Avantages du RGPD pour les Individus
Le RGPD accorde aux individus un certain nombre de droits essentiels pour protéger leurs données personnelles. Ces droits incluent le droit d’accéder à leurs données, le droit de les rectifier en cas d’inexactitude, le droit à l’effacement (ou droit à l’oubli), et le droit à la portabilité des données. Ces droits donnent aux individus une plus grande autonomie et transparence dans le contrôle de leurs informations personnelles.
Les Défis et les Perspectives Futures
Bien que le RGPD ait apporté des améliorations significatives en matière de protection des Données en France et en Europe, il reste des défis à relever et des perspectives futures à envisager. L’un des défis majeurs réside dans la mise en conformité des petites et moyennes entreprises (PME) qui peuvent rencontrer des difficultés en raison des ressources limitées. Il est essentiel de fournir un soutien et des ressources adéquates pour aider ces entreprises à se conformer aux exigences du RGPD.
Par ailleurs, avec l’évolution rapide des technologies et des pratiques de collecte de données, de nouveaux enjeux émergent. Par exemple, les questions liées à l’intelligence artificielle et à l’utilisation de données massives (big data) soulèvent des préoccupations quant à la protection de la vie privée. Les autorités de protection des données devront rester à l’avant-garde de ces développements technologiques pour garantir une protection adéquate des données personnelles. La NIS 2, mise à jour de la directive européenne NIS a été votée en janvier 2023. Elle affiche de nouvelles motivations sécuritaires. La directive NIS2 (Network and Information Systems) a pour objectif principal de renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle cherche à protéger les infrastructures critiques, telles que les réseaux électriques, les services de santé, les transports et les services financiers, contre les cyberattaques. NIS2 vise également à garantir la résilience des services numériques et à promouvoir une culture de la cybersécurité.
Dans une perspective future, il est essentiel de renforcer la coopération internationale en matière de protection des données. Les échanges de données transfrontaliers nécessitent une harmonisation des réglementations et des mécanismes de coopération entre les autorités de protection des données de différents pays. De plus, il convient de promouvoir l’éducation et la sensibilisation du public sur les enjeux liés à la protection des données et à la vie privée, afin que les individus soient mieux informés de leurs droits et des mesures de sécurité à prendre. C’est pour cela que la NIS 2 impose des obligations de notification des incidents de sécurité, obligeant les entreprises à signaler toute violation de sécurité significative aux autorités compétentes. Ce qu’elle devait, normalement, déjà faire avec le RGPD. Elle prévoit également des exigences en matière de gestion des risques, de tests de pénétration et de plans de continuité d’activité, afin de garantir une préparation adéquate face aux cybermenaces.
Le RGPD a été une avancée majeure dans le domaine de la protection des données en France et en Europe. Il a renforcé les droits des individus et imposé des obligations claires aux entreprises et aux organisations. Des exemples concrets en France et dans toute l’Union européenne démontrent l’impact positif du RGPD sur la confidentialité des données personnelles. Cependant, les défis subsistent et les perspectives futures nécessitent une vigilance continue. La protection des données et la garantie de la vie privée restent des priorités essentielles dans notre société numérique. En soutenant les PME, en anticipant les nouveaux défis technologiques et en renforçant la coopération internationale, nous pourrons assurer une protection des données adéquate et durable pour tous.
Références
Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Commission nationale de l’informatique et des libertés (CNIL) – www.cnil.fr
European Data Protection Board (EDPB) – edpb.europa.eu
Les changements induits par le RGPD dans le domaine de la cybersécurité en Europe par l’Agence européenne pour la cybersécurité (ENISA)
Rapport sur les premières années de mise en œuvre du RGPD en Europe par l’EDPB
Article sur les droits des individus selon le RGPD en France publié par le site Legifrance.
Les ransomwares se sont avérés être une source lucrative pour les cybercriminels, avec des sauvegardes souvent insuffisamment protégées pour éviter les dommages ou le versement d’une rançon. De plus, le paiement ne garantit pas toujours une récupération réussie des données.
D’après une enquête menée par Veeam et présentée dans le Ransomware Trends Report, 40% des entreprises mondiales adoptent une politique de non-paiement en cas d’attaque de ransomware. Cependant, plus de 80% finissent par payer la rançon demandée par les pirates informatiques suite à une attaque. L’étude a interrogé environ 1 200 organisations et analysé 3 000 cyberattaques survenues l’année dernière.
L’enquête a révélé des informations précieuses sur la récupération après une attaque de ransomware. Dans 59% des cas, l’entreprise concernée a pu récupérer ses données après avoir payé la rançon. Dans 4% des cas, aucune rançon n’a été exigée. Par ailleurs, 16% des entreprises ont réussi à récupérer leurs données cryptées sans payer de rançon.
Cependant, 21% des organisations qui ont payé une rançon n’ont pas réussi à récupérer leurs données. Selon Veeam, cela inclut des situations où la clé de déchiffrement n’a pas été fournie ou ne fonctionnait pas.
Une attaque paralyse également les applications
Il est important de noter que la récupération des données ou l’empêchement de leur propagation ne résout pas l’intégralité du problème. Souvent, une attaque paralyse également les applications et les services numériques, nécessitant des réparations approfondies et une meilleure mise en place de la sécurité après l’attaque.
Par exemple, après l’attaque par ransomware de décembre dernier, la ville d’Anvers n’a pu restaurer ses principaux services numériques qu’un mois et demi plus tard, et six mois après l’attaque, tout n’était toujours pas rétabli. L’administration communale a admis cette semaine à Data News que de nombreux processus étaient complexes et nécessitaient une révision pour prévenir de futures attaques.
Veeam a également souligné que dans 93% des attaques, les cybercriminels tentent également de compromettre les sauvegardes, rendant la récupération des données plus difficile sans payer de rançon. Dans 75% des cas, les criminels ont réussi à entraver la récupération des données. L’entreprise recommande donc d’utiliser des sauvegardes inaltérables et d’intégrer des ‘air gaps’ (trous d’air) pour séparer la sauvegarde d’Internet et la protéger contre les attaques de ransomware.
Assurance en cybersécurité
L’impact du succès des ransomwares se fait également sentir dans le secteur de l’assurance en cybersécurité. 21% des répondants à l’enquête ont indiqué que leur assurance n’incluait pas le risque de ransomware. Trois quarts des participants ont constaté une augmentation de leur prime d’assurance l’année dernière, 43% ont fait état d’exigences accrues de la part de l’assureur, tandis que 10% ont déclaré être moins couverts qu’auparavant.
Cette tendance souligne l’importance de mettre en place des mesures de sécurité robustes pour protéger les données et les systèmes d’information contre les attaques de ransomware. Les entreprises doivent également se préparer à faire face à des augmentations de primes d’assurance en cybersécurité et à des exigences plus strictes de la part des assureurs, car le risque de cyberattaques continue de croître.
En conclusion, bien que le paiement d’une rançon puisse parfois permettre de récupérer des données, les entreprises doivent prendre conscience que cela ne garantit pas une récupération complète et peut également encourager davantage d’activités criminelles. Par conséquent, des mesures préventives, telles que l’amélioration de la sécurité des sauvegardes et le renforcement de la protection contre les ransomwares, doivent être prioritaires pour les organisations.
Un nouveau malware potentiellement lié à la Russie serait capable de causer des dommages physiques aux réseaux électriques. En décembre 2021, un utilisateur russe a téléchargé ce logiciel malveillant sur le service d’analyse antivirus de Google, VirusTotal.
Baptisé CosmicEnergy par Mandiant, ce malware présente des similitudes avec Industroyer, utilisé par la Russie pour attaquer l’infrastructure énergétique de l’Ukraine en 2016 et 2022. Les chercheurs ont également découvert un commentaire dans le code du malware le reliant à un projet nommé « Solar Polygon » organisé par Rostelecom, la plus grande entreprise de télécommunications russe, dans le but de former des spécialistes de la cybersécurité.
En septembre 2022, Les autorités Russes avaient annoncé une dépense de 1,9 milliard de roubles (22 millions d’euros) pour la création et le développement en Russie du « National cyber training ground » pour la formation et l’éducation de spécialistes dans le domaine de la sécurité de l’information. Le projet est mis en œuvre par Rostelecom. Dans le cadre du cyberpolygone, des scénarios étaient annoncés pour les secteurs bancaire, pétrolier et énergétique, et il est prévu d’étendre le polygone aux réseaux de raffinage du pétrole et de communication dorsale.
Bien que les chercheurs n’aient pas encore suffisamment de preuves pour déterminer l’origine et les intentions précises de CosmicEnergy, cette découverte est préoccupante, car les pirates pourraient réutiliser ce logiciel malveillant pour cibler les infrastructures critiques existantes.
CosmicEnergy vise un protocole de communication couramment utilisé dans l’industrie de l’énergie électrique en Europe, au Moyen-Orient et en Asie. Ce protocole facilite l’échange de données entre les centres de contrôle et les appareils, y compris les unités terminales distantes (RTU) essentielles à l’exploitation et au contrôle des systèmes de transmission et de distribution électriques.
Le malware dispose de deux outils de perturbation, PieHop (écrit en Python) et LightWork (écrit en C++), utilisés pour mener des attaques. Bien que l’échantillon de PieHop analysé contienne des erreurs, celles-ci pourraient être corrigées facilement par les pirates s’ils décidaient de le déployer.
CosmicEnergy fait partie d’une lignée de malwares industriels tels qu’Industroyer, Triton et Incontroller, qui exploitent des protocoles non sécurisés de l’industrie. Ces logiciels malveillants peuvent être réutilisés et cibler plusieurs victimes, profitant des faiblesses de conception des environnements industriels. De plus, la disponibilité de projets open source implémentant ces protocoles facilite la tâche des pirates.
La découverte de ce malware présente une menace immédiate pour les organisations concernées, car les environnements industriels non sécurisés sont peu susceptibles d’être corrigés rapidement, soulignent les chercheurs. (Mandiant)
Alors que l’on entend surtout parler de ChatGPT dans les outils Microsoft, une autre fonctionnalité plus intéressante apparait dans Windows 11 : l’isolation des applications Win32.
Actuellement en phase de test dans une version d’aperçu, cette nouvelle fonction permettra aux utilisateurs d’exécuter des applications Win32 dans un environnement isolé, offrant ainsi une protection accrue et une sécurité renforcée pour le système d’exploitation. En créant une sorte de bac à sable, les applications Win32 ne pourront pas affecter le reste du système en cas de compromission ou d’attaque. Cette initiative fait partie de la mise à jour majeure de Windows 11, baptisée « Moment 3 », qui apporte également un support natif pour des formats de compression populaires tels que 7-Zip, RAR et GZ. Les utilisateurs des versions de prévisualisation peuvent déjà profiter de cette nouvelle fonctionnalité, qui promet d’améliorer l’expérience de sécurité et de confidentialité sur Windows 11.
Des chercheurs de l’Université du Zhejiang et de Tencent Labs ont découvert un nouveau vecteur d’attaque baptisé BrutePrint. Il exploite la faiblesse des mécanismes de sécurité des empreintes digitales sur les smartphones Android.
Cette vulnérabilité permet à un attaquant de mener des tentatives d’authentification par force brute afin de prendre le contrôle d’un appareil mobile. En exploitant les vulnérabilités Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL), les chercheurs ont pu contourner les limites de tentatives d’authentification infructueuses imposées par les smartphones Android modernes.
Les détails techniques de BrutePrint ont été publiés sur la plateforme Arxiv par les auteurs de l’étude. Ils ont identifié des lacunes dans la sécurité des données biométriques au niveau de l’interface périphérique série (Serial Peripheral Interface, SPI) des capteurs d’empreintes digitales. Cette vulnérabilité permet une attaque de l’homme du milieu et l’accès aux images d’empreintes digitales. Les chercheurs ont testé leur vecteur sur dix modèles de smartphones populaires et ont pu mener un nombre illimité de tentatives d’authentification sur Android OS et HarmonyOS (Huawei). Dans le cas d’iOS, ils ont réussi à éliminer seulement dix tentatives supplémentaires.
Il est important de souligner que l’exécution de BrutePrint nécessite un accès physique à l’appareil ciblé. De plus, l’attaquant doit avoir accès à une base de données d’empreintes digitales, ce qui peut être obtenu pour un coût modeste d’environ 15 $.
Les résultats des tests ont révélé que tous les smartphones expérimentés étaient vulnérables à au moins l’un des bugs décrits. Les appareils Android permettaient un nombre illimité de tentatives de sélection d’empreintes digitales, tandis que les appareils Apple étaient légèrement plus fiables dans leur limitation des tentatives.
Cette découverte met en évidence la nécessité de renforcer la sécurité des données biométriques et des mécanismes d’authentification sur les smartphones Android. Les fabricants et les développeurs doivent prendre des mesures pour corriger ces vulnérabilités et améliorer la protection des empreintes digitales, qui sont de plus en plus utilisées comme moyen d’authentification. Les utilisateurs doivent également être conscients de ces risques potentiels et prendre des mesures pour protéger leurs données en utilisant des méthodes d’authentification supplémentaires, comme les codes PIN ou les mots de passe, en plus des empreintes digitales. (Arxviv)
Le groupe Evasive Panda, opérant dans la sphère sinophone, utilise des mises à jour d’applications légitimes pour diffuser des malwares. Des utilisateurs d’une ONG internationale en Chine continentale ont été visés par ces malwares, distribués via des mises à jour de logiciels développés par des entreprises chinoises. Cette activité a été attribuée avec une quasi-certitude au groupe Evasive Panda, qui utilise la porte dérobée MgBot à des fins de cyberespionnage.
Des chercheurs ont découvert une campagne menée par Evasive Panda, au cours de laquelle des canaux de mise à jour d’applications légitimes chinoises ont été détournés pour distribuer le programme d’installation du malware MgBot, la principale porte dérobée de cyber espionnage utilisée par le groupe. Les utilisateurs chinois des provinces de Gansu, Guangdong et Jiangsu ont été ciblés par cette activité malveillante, qui a débuté en 2020 selon la télémétrie d’ESET. La plupart des victimes sont des membres d’une organisation non gouvernementale internationale.
En janvier 2022, il a été découvert que lors des mises à jour d’une application chinoise légitime, la porte dérobée MgBot d’Evasive Panda était également téléchargée. Des actions malveillantes similaires s’étaient déjà produites en 2020 avec plusieurs autres applications légitimes développées par des entreprises chinoises.
Evasive Panda utilise la porte dérobée personnalisée MgBot, qui a connu peu d’évolutions depuis sa découverte en 2014. À notre connaissance, aucun autre groupe n’a utilisé cette porte dérobée. Par conséquent, nous attribuons avec quasi-certitude cette activité à Evasive Panda. Au cours de notre enquête, nous avons découvert que lors des mises à jour automatiques, plusieurs composants logiciels d’applications légitimes téléchargeaient également les programmes d’installation de la porte dérobée MgBot à partir d’URL et d’adresses IP légitimes.
Lors de l’analyse des méthodes utilisées par les attaquants pour diffuser des malwares via des mises à jour légitimes, les chercheurs d’ESET ont identifié deux scénarios distincts : des compromissions de la chaîne d’approvisionnement et des attaques « adversary-in-the-middle » (AitM).
Étant donné le caractère ciblé des attaques, nous supposons que les pirates ont compromis les serveurs de mise à jour de QQ afin d’introduire un mécanisme permettant d’identifier les utilisateurs ciblés, de diffuser le malware, de filtrer les utilisateurs non ciblés et de leur fournir des mises à jour légitimes. Nous avons en effet enregistré des cas où des mises à jour légitimes ont été téléchargées via ces protocoles détournés. D’autre part, les attaques de type AitM ne seraient possibles que si les attaquants étaient en mesure de compromettre des appareils vulnérables tels que des routeurs ou des passerelles, et d’accéder à l’infrastructure des fournisseurs d’accès Internet.
La conception modulaire de MgBot lui permet d’étendre ses fonctionnalités en recevant et en déployant des modules sur les machines compromises. Cette porte dérobée est capable d’enregistrer les frappes au clavier, de voler des fichiers, des identifiants, ainsi que des contenus provenant des applications de messagerie QQ et WeChat de Tencent. Elle est également capable de capturer des flux audio et de copier le texte du presse-papiers.
Evasive Panda, également connu sous les noms de BRONZE HIGHLAND et Daggerfly, est un groupe de pirates sinophones actif depuis au moins 2012. Les recherches d’ESET ont révélé que ce groupe mène des opérations de cyberespionnage ciblant des individus en Chine continentale, à Hong Kong, à Macao et au Nigéria. Une victime de cette campagne se trouvait au Nigéria et a été infectée via le logiciel chinois Mail Master de NetEase.
La loi LOPMI, promulguée en janvier 2023, impose désormais une obligation légale aux victimes de cyberattaques de déposer plainte dans un délai de 72 heures si elles souhaitent être indemnisées par leur assurance. Cette nouvelle disposition, entrée en vigueur le lundi 24 avril, a des conséquences significatives et nécessite d’adopter les bons réflexes en cas de sinistre.
La loi LOPMI constitue une avancée majeure dans la lutte contre la cybercriminalité en France en permettant aux autorités d’avoir une meilleure visibilité sur les attaques subies par les professionnels et les entreprises. Elle apporte également des éclaircissements sur les conditions de prise en charge des risques liés à la cybersécurité, offrant ainsi un cadre législatif plus clair aux assureurs. Cependant, cette loi introduit également de nouvelles contraintes, notamment l’obligation de dépôt de plainte, qu’il est essentiel de comprendre afin d’agir de manière sereine et efficace en cas de cyberattaque.
Les changements apportés par la loi LOPMI sont les suivants : depuis le 24 avril 2023, tout professionnel ou entreprise victime d’une attaque doit déposer plainte dans un délai maximum de 72 heures à partir du moment où il a connaissance de l’incident. Ce dépôt de plainte est obligatoire pour pouvoir prétendre à une éventuelle indemnisation dans le cadre d’un contrat d’assurance Cyber en vigueur. Si la plainte n’est pas déposée dans ce délai, le professionnel ou l’entreprise ne pourra pas être indemnisé par son assureur. Cette disposition, d’ordre public, s’applique à tous les contrats d’assurance en cours, même si cette obligation n’est pas spécifiée dans les contrats.
Actions, réactions et garanties d’assistance
Il est important de noter que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises, ainsi que pour proposer des solutions initiales visant à limiter les conséquences de l’attaque et à constituer un dossier de recours. Toutefois, le dépôt de plainte reste obligatoire dans un délai de 72 heures.
Cette obligation concerne toutes les personnes morales (entreprises, associations, administrations publiques) et toutes les personnes physiques (professions libérales, travailleurs indépendants, etc.) qui subissent une cyberattaque dans le cadre de leurs activités professionnelles. Il est nécessaire que le professionnel ou l’entreprise soit immatriculé en France et soit assuré par un contrat d’assurance français. Les particuliers victimes d’une attaque à titre personnel ne sont donc pas concernés par cette obligation. Toutefois, il est recommandé de déposer plainte afin de faciliter l’identification des suspects et de favoriser la reconnaissance du préjudice subi par la victime.
Toutes les formes de cyberattaques sont concernées par cette loi, notamment les attaques par logiciels malveillants tels que les ransomwares, les vols de données, les attaques par déni de service (DoS/DDoS), le phishing, la modification non sollicitée d’un site Internet, les interceptions de communication, l’exploitation de vulnérabilités logicielles, etc.
En cas de cyberattaque, il est essentiel de savoir comment réagir afin de réagir de manière efficace et de protéger au mieux son entreprise. Voici les consignes à suivre : éteindre les équipements et les accès réseau, déconnecter les sauvegardes ; informer les collaborateurs des consignes à suivre ; contacter immédiatement son assureur pour limiter au plus vite les conséquences de l’incident ; alerter les forces de l’ordre sans attendre ; il est important de noter que cette alerte ne dispense pas du dépôt de plainte, qui reste obligatoire ; déposer plainte dans un délai maximum de 72 heures à partir de la prise de connaissance de l’incident ; en cas de violation de données à caractère personnel, conformément à l’article 33 du RGPD, il convient de notifier l’incident à la CNIL dans un délai de 72 heures via le site dédié de la CNIL ; mettre en place le plan de gestion de crise, y compris les mesures de continuité d’activité prévues dans le Plan de continuité d’activité (PCA) ; déclarer le sinistre à l’assureur par courrier ; faire appel au service de veille ZATAZ pour effectuer des recherches dans le darkweb et le darknet afin de détecter toute fuite d’informations susceptible d’être entre les mains de groupes de pirates.
Déposer plainte, toujours !
Pour déposer plainte, il est nécessaire de préparer sa plainte en documentant tous les éléments utiles à l’enquête : conserver toutes les traces visibles de l’attaque (photos, captures d’écran, etc.) ; dresser une liste chronologique des actions entreprises après l’attaque ; fournir ou mettre à disposition le plus de preuves possible (fichiers, photos, images, vidéos, clés USB, CD/DVD, disque dur, etc.). Ensuite, la victime doit porter plainte dans une brigade de gendarmerie ou un commissariat dans un délai de 72 heures à partir de la prise de connaissance de l’incident. Si l’entreprise est victime d’une cyberattaque à l’étranger, deux options s’offrent à elle : déposer plainte en France dans les 72 heures ou déposer plainte dans le pays où l’attaque s’est produite, également dans les 72 heures. Il est important de souligner que l’obligation de dépôt de plainte doit être respectée, à condition que l’attaque cybernétique constitue également une infraction dans ce pays.
Il est crucial de garder à l’esprit que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises.
En conclusion, avec l’obligation de dépôt de plainte sous 72 heures, la loi LOPMI renforce la protection des victimes de cyberattaques et contribue à une meilleure lutte contre la cybercriminalité. Il est primordial de bien comprendre cette obligation et de suivre les procédures recommandées en cas d’incident afin de maximiser les chances de récupérer les dommages subis et de garantir une indemnisation adéquate de la part de l’assureur. En adoptant une approche proactive et en restant vigilant face aux cybermenaces, les entreprises peuvent renforcer leur résilience et leur capacité à faire face aux attaques.
Il est également important de souligner que la prévention reste la meilleure stratégie contre les cyberattaques. Les entreprises doivent mettre en place des mesures de sécurité solides, telles que des pare-feu, des antivirus et des programmes de sensibilisation à la cybersécurité pour former leur personnel à reconnaître les menaces potentielles et à adopter des pratiques sécuritaires en ligne.
En définitive, la nouvelle obligation de dépôt de plainte sous 72 heures introduite par la loi LOPMI constitue une avancée significative dans la protection des victimes de cyberattaques et renforce la responsabilité des entreprises dans la sécurisation de leurs systèmes informatiques. En agissant rapidement et en suivant les procédures recommandées, les entreprises peuvent minimiser les dommages causés par les attaques et assurer une meilleure collaboration avec les autorités et les assureurs pour faire face à ces situations complexes.
Le 12 avril 2023, un tournant significatif a eu lieu en France en matière de gestion des déchets électroniques. Un décret a été adopté fixant les objectifs et les modalités de réutilisation des équipements informatiques réformés par l’État et les collectivités territoriales. Cette nouvelle réglementation a des implications considérables, à la fois pour les organisations privées et les autorités publiques du pays.
L’une des principales préoccupations liées à la réutilisation des équipements informatiques est la nécessité de garantir l’effacement sécurisé des données. Par exemple, si une entreprise publique met hors service un serveur contenant des informations sensibles sur les citoyens, il est crucial de s’assurer que ces données ne peuvent pas être récupérées après la réutilisation de cet équipement. Dans ce contexte, des entreprises spécialisées proposent des solutions. Assurez-vous qu’elles soient à la norme NIST 800-88.
Cette réglementation intervient à un moment où la conscience environnementale atteint un niveau sans précédent, notamment en ce qui concerne la gestion des déchets électroniques. Selon l’ONU et l’APCE, les déchets électroniques sont la catégorie de déchets connaissant la croissance la plus rapide à l’échelle mondiale, avec une valeur estimée à plus de 62,5 milliards de dollars par an. Des initiatives comme celle du gouvernement français sont donc de plus en plus importantes pour réduire l’impact environnemental de ces déchets.
Il est aussi à noter que la suppression sécurisée des données est un élément crucial de la protection contre les cyberattaques. En effet, si les données sensibles ne sont pas correctement effacées avant la réforme ou la réutilisation d’un équipement informatique, elles peuvent être récupérées par des acteurs malveillants, posant un risque significatif de violation de la sécurité. Par exemple, si un vieux disque dur contenant des informations sensibles n’est pas correctement effacé avant d’être vendu ou réutilisé, ces données pourraient tomber entre de mauvaises mains.
En résumé, la nouvelle réglementation française sur la réutilisation des équipements informatiques réformés souligne la nécessité de garantir une suppression sécurisée et responsable des données, tout en minimisant l’impact environnemental des déchets électroniques. Des entreprises offrent une solution unique pour répondre à ces exigences, permettant aux organisations et aux autorités publiques de bénéficier d’une gestion des actifs informatiques complète et fiable. Ces efforts contribuent à la protection contre les cybermenaces, garantissant une meilleure sécurité pour les données et l’environnement.
C’est un grand pas en avant dans la gestion responsable des déchets électroniques. En effet, la réutilisation des équipements informatiques réformés présente des avantages significatifs, non seulement pour l’environnement mais aussi pour l’économie. En prolongeant la durée de vie utile des équipements informatiques, les organisations peuvent réduire les coûts associés à l’achat de nouveau matériel. De plus, la réutilisation des équipements informatiques peut créer des opportunités économiques, par exemple en fournissant du matériel informatique réformé à des prix réduits pour les écoles, les organismes à but non lucratif, ou les petites entreprises.
Il est clair que la mise en œuvre effective de cette réglementation nécessitera une coopération étroite entre le gouvernement, les entreprises privées, et les organisations à but non lucratif. Il est essentiel de développer des programmes de formation pour aider les organisations à comprendre et à respecter les nouvelles exigences en matière de suppression de données sécurisée. De plus, des efforts sont nécessaires pour sensibiliser le public à l’importance de la gestion responsable des déchets électroniques.
En conclusion, le décret du 12 avril 2023 marque une avancée significative dans la gestion responsable des équipements informatiques en France. Non seulement il souligne l’importance de la suppression sécurisée des données, mais il met également en évidence l’importance de la réutilisation des équipements informatiques dans la lutte contre la pollution électronique. Les organisations et les autorités publiques ont maintenant un rôle clé à jouer pour garantir le respect de ces nouvelles normes et pour promouvoir une économie plus durable et plus sécurisée.
Le nombre de cyberattaques explose : en 2021, le FBI indique une augmentation de 64 % des pertes potentielles liées à la cybercriminalité en 3 ans. La société de cybersécurité israélienne Checkpoint dénombre une augmentation de 38% des violations de données dans le monde rien qu’en 2022.
Ces chiffres devraient progresser avec l’utilisation de ChatGPT. Ses performances en programmation et en rédaction permettent aux assaillants de produire facilement une quantité impressionnante d’attaques. Bien que le chatbot soit conçu pour empêcher les actions malveillantes, les hackers arrivent à aisément contourner les filtres.
Découvrez dans cet article, les techniques utilisées par les hackers pour compromettre votre organisation à l’aide de ChatGPT. Nous vous présenterons, de même, les solutions pour vous protéger de ces attaques. Suite à cet article, vous pourrez prendre des mesures concrètes visant à sécuriser votre infrastructure.
Les cyberattaques générées par l’IA
Le phishing
Les dangers du phishing créé par l’IA
ChatGPT est particulièrement redoutable pour le phishing. Bien que l’assistant évite de répondre à des requêtes ayant un objectif malveillant. Il existe une pléthore d’exemples sur le web affichant les failles du système. Via une succession de prompts, un hacker peut détourner l’usage de ChatGPT pour créer des mails d’hameçonnage convaincants et personnalisés.
Une action malveillante empêchée par ChatGPT
Rédaction d’un mail pouvant servir de fraude à la facture fournisseur
Comme vous pouvez le constater sur cet exemple, nous pouvons de manière détournée, rédiger très facilement un email convaincant avec un prompt de seulement 2 lignes. Nous pouvons, dès lors, imaginer une forte augmentation des fraudes à la facture fournisseur.
C’est peut-être actuellement, le meilleur logiciel pour la rédaction de phishing, car il rédige rapidement, de manière naturelle, sans faute d’orthographe, de grammaire ou de conjugaison. De ce fait, il devient presque impossible pour un humain de détecter une attaque d’hameçonnage.
D’autant plus que ChatGPT peut couramment parler plusieurs langues, permettant ainsi aux pirates d’attaquer plusieurs entreprises sur plusieurs pays. Ils profitent de sa rapidité d’écriture pour automatiser leur workflow afin d’attaquer une quantité phénoménale d’organisation.
Une action malveillante empêchée par ChatGPT.
Comment s’en protéger ?
Pour se protéger du phishing généré par l’IA, tous les employés de votre organisation doivent être sensibilisés à cette problématique. Absolument, tous les contacts demandant une autorisation ou un accès à une ou plusieurs données doivent être authentifiés. Le critère de la qualité du message est aujourd’hui obsolète pour se protéger de l’hameçonnage.
Actuellement, la solution entreprise par les organisations est la suivante : l’intégration d’outil de détection de l’IA au sein des messageries à usage professionnel. Les outils de détection sont plutôt performants, mais il existe des méthodes permettant aux pirates de modifier rapidement leurs textes pour être indétectables (notamment le spinning). De plus, comme l’intelligence artificielle évolue rapidement, les détecteurs peuvent temporairement être impuissants.
D’autant plus que dans un avenir proche, les mails du quotidien (sans objectif malveillant) pourraient, eux aussi, être générés par l’IA. Une des solutions à privilégier est donc le système de signature électronique pour identifier l’émetteur.
Par ailleurs, il ne faut pas oublier le phishing via les messages vocaux. Une IA peut imiter la voix d’un responsable pour obtenir des données confidentielles à ses employés. Désormais, aucun enregistrement vocal ne doit être considéré comme fiable.
Les malwares
Les dangers des malwares créent par l’IA
Le 29 décembre 2022, la société CheckPoint a découvert sur un forum de hacking de renom, qu’un pirate aurait testé le chatbot pour recréer des souches de logiciels malveillants. Il est admis que d’autres codes malveillants autogénérés circulent dans le darknet comme des stealers ou des ransomwares. Nous savons aussi que l’assistant peut créer des malwares polymorphiques (logiciels se transformant pour éviter d’être détectés).
Même si ChatGPT arriverait à empêcher les acteurs malveillants de générer du code à des fins criminelles. Il est possible que des IA génératives spécialisées dans la cyberattaque voient le jour. Par IA générative, nous parlons d’une intelligence artificielle entraînée par des milliers de textes et de codes malveillants ayant fait leurs preuves.
Comment s’en protéger ?
À l’heure actuelle, il existe peu de moyen de s’en protéger. Bien qu’il existe des outils de détection de code généré par l’IA, les pirates peuvent rendre leurs créations indétectables. Une option pour contrecarrer ces attaques est la montée en compétence de vos équipes de cybersécurité.
En réalité, rien ne change, les malwares étaient aussi dangereux avant l’arrivée de ChatGPT. Cependant, le nombre de virus va grandement augmenter. Pour répondre à cette menace, il est nécessaire de recruter et de renforcer vos équipes de sécurité informatique.
L’utilisation de ChatGPT peut aussi aider les hackers éthiques dans leurs missions de détection des vulnérabilités et de réponse aux incidents. Du fait que la vitesse de raisonnement et d’analyse de l’IA est bien supérieure à celle d’un être humain.
Cependant, pour pouvoir utiliser l’intelligence artificielle pour sécuriser son infrastructure, de fortes compétences en cybersécurité sont nécessaires afin de diriger correctement l’outil.
Le hacking des IA
Un point qui est souvent ignoré par les organisations. Le hacking des IA. Que ce soit pour ChatGPT ou pour de prochains générateurs, il est possible de modifier ces outils à des fins personnelles. Cela est possible, car les IA sont entraînées par les utilisateurs qui “améliorent les résultats” en donnant leur feedback.
On peut donc imaginer des attaques massives d’apprentissage visant à influencer les résultats obtenus par ces technologies.
Le détournement des modèles d’apprentissage peut avoir de graves conséquences comme l’apparition de fausses informations, le retrait des filtres ou encore le partage des données personnelles.
Comment s’en protéger ?
Former toutes les parties prenantes de votre entreprise à ne divulguer aucune donnée personnelle aux IA comme ChatGPT ou ayant un fonctionnement similaire en termes de protection des données.
Prendre conscience aux utilisateurs des limites de l’outil. Par exemple, il est important de savoir que ChatGPT ne connaît pas le concept de vérité.
La réglementation risque d’évoluer fréquemment, il est crucial de suivre ces changements.
Pour rester à la page et sensibiliser votre personnel aux dernières pratiques de sécurité, la formation de vos hackers éthiques est indispensable. En effet, son rôle ne consiste pas uniquement à identifier les attaques, mais également à enseigner les bonnes pratiques de protection des données à chacun de vos collaborateurs.
Rédaction d’un mail pouvant servir de fraude à la facture fournisseur
La formation OSCP pour protéger votre entreprise des attaques cybercriminelles générées par l’IA
Comme énoncé précédemment, ChatGPT ne révolutionne pas le hacking (les logiciels polymorphiques, les stealers, le phishing existent depuis le début du web). Cependant, les IA vont permettre une fulgurante mise à l’échelle de ces offensives.
Pour affronter ces menaces, nous pouvons vous conseiller la certification OSCP créée par l’organisme OffSec. OSCP est une certification populaire et mondialement reconnue prouvant les compétences de vos collaborateurs en pentesting.
Dans son programme, la plupart des attaques sont présentes comme les exploits, les injections SQL, les attaques de mot de passe, le tunneling ou encore les élévations de privilège.
Son approche pratique la différencie de ses concurrents (CEH, CISSP ou Comptia+ proposent un simple QCM pour leur examen). En effet, durant le test, les candidats devront hacker plusieurs machines durant 23 heures et 45 minutes pour ensuite envoyer un rapport de pentesting.
Cette certification permet donc aux professionnels de démontrer leurs aptitudes en condition réelle. Il s’agit d’une certification de haut niveau demandant une forte implication personnelle, une expérience préalable en cybersécurité et 2 mois de préparation intensive au minimum.
Notre partenaire Ambient IT propose une formation de préparation à OSCP avec un formateur dédié de 28 heures en français. Vous trouverez dans ce cours :
28 heures de coaching collectif espacées sur 8 semaines pour pouvoir assimiler tous les concepts
Un coaching réalisé par un enseignant certifié OSCP et Offsec
1 passage à l’examen
Le contenu officiel d’OffSec :
Plusieurs heures de formations vidéo
Un livre de formation au format PDF
Un accès au forum des apprenants
Un accès au lab pendant 90 jours pour progresser à son rythme
Sachez que cette formation est disponible sur moncompteformation. Nous proposons une réduction de 400€ pour toute inscription via cette url pour une session en 2023. Il suffira de mentionner « Datasecuritybreach » lorsque nous vous appellerons. Offre soumise à condition d’achat et non cumulable avec d’autres promotions ou réductions en cours.
Vers une attaque massive contre les PME ?
Bien que les fondamentaux de la cybersécurité restent inchangés, nous assisterons à une multiplication des attaques malveillantes. Ainsi, le piratage deviendrait un enjeu essentiel pour les petites et moyennes entreprises.
Afin de protéger votre entreprise. La certification OSCP est l’une des meilleures distinctions pour évaluer les compétences en cybersécurité. Il s’agit d’une des certifications les plus difficiles et des plus reconnues dans le monde de l’informatique. Comme l’examen est entièrement pratique, les certifiés prouvent leurs aptitudes en situation réelle.
Petites entreprises, grandes menaces : restez informés, restez protégés
