The post Cybersécurité : les formations 2023 sont prêtes chez HS2 appeared first on Sécurité.

Harry Sintonen, un consultant et un chercheur en sécurité chez WithSecure, anciennement connu sous le nom de F-Secure Business, a découvert en janvier 2022  une faille dans Microsoft Office 365 Message Encryption (OME), permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Microsoft n’ayant, depuis, publié aucun correctif, l’éditeur spécialiste en cybersécurité conseille d’éviter son utilisation…

WithSecure vient de publier cet avis de sécurité sur le sujet. « OME permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l’implémentation Electronic Codebook (ECB) – un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages« , explique-t-il.

En collectant suffisamment d’e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l’emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d’autres e-mails et fichiers OME. « Les hackers qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le hacker dispose d’un nombre important d’e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération en mettant la main sur des archives d’e-mails volés lors de violations de données, en s’introduisant sur un compte ou un serveur de messagerie, ou encore en accédant aux sauvegardes », précise Harry Sintonen.

Les hackers peuvent mener une analyse tout en étant hors ligne, et donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n’ont aucun moyen d’empêcher un hacker en possession des e-mails d’en compromettre le contenu en utilisant cette méthode. Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l’analyse. Et l’utilisation d’un système BYOK (Bring Your Own Key) ne résout pas le problème, selon le chercheur.

Le risque d’accès à des e-mails existants demeure

L’absence de correctif publié par Microsoft et de mode de fonctionnement plus sécurisé  pour les administrateurs de messagerie ou les utilisateurs pousse ainsi WithSecure à recommander de pas utiliser OME pour assurer la confidentialité des e-mails. Cependant le risque que des hackers accèdent à des e-mails existants déjà chiffrés avec OME demeure, détaille le chercheur.
« Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations », a s’inquiète Harry Sintonen.  

The post WithSecure recommande d’éviter d’utiliser Microsoft Office 365 Message Encryption (OME) pour assurer la confidentialité des e-mails appeared first on Sécurité.

SPIE ICS, la filiale française de services IT du groupe SPIE, annonce en octobre la création de son Security Operation Center (SOC). Ce centre de surveillance des opérations cyber utilise le logiciel XDR de Tehtris pour détecter et neutraliser les cyberattaques.

L’offre de SOC de SPIE ICS est conçue pour les ETI. Elle commercialise des services allant du maintien en conditions de sécurité jusqu’à la réponse à incident, en passant par un service de cybersurveillance 100 % français.

Fournie en ligne et en mode SaaS, cette solution est déployée à distance par des experts cybersécurité de SPIE ICS basés en France. Son architecture simple permet la mise en place d’un service de cybersurveillance en quelques semaines. Les organisations abonnées ont un accès direct à la console de supervision de SPIE ICS et peuvent suivre, en temps réel, les traitements mis en place.

« Le lancement de cette offre de SOC dynamique est une nouvelle étape dans le développement de notre expertise en cybersécurité », précise Xavier Daubignard, directeur général de SPIE ICS. « Le choix de Tehtris, qui a adopté le statut de société à mission en avril dernier, en qualité de partenaire technologique démontre notre engagement sur les sujets de souveraineté et de confiance numérique ».

Labellisée ExpertCyber en 2021, SPIE ICS figure parmi les prestataires terrains référencés sur la plateforme « cybermalveillance.gouv.fr » et participe activement au déploiement du plan France Relance. Le Centre de Services Managés (CSM) de SPIE ICS a été certifié ISO 27001 en juin 2022.

Via son NOC (Network Operation Center) basé en France, SPIE ICS administre, exploite et maintient aussi en conditions de sécurité les infrastructures IT de quelques 150 entreprises. L’intégrateur a également développé une offre de conseil et d’assistance pour vendre des services de sécurité défensive, offensive et de gestion de risques et de la conformité.

The post SPIE lance son Security Operation Center (SOC) appeared first on Sécurité.

Plus de la moitié des Français interrogés dans une étude de Cisco déclarent ne pas être en mesure de protéger efficacement leurs données personnelles. La principale raison évoquée est l’impossibilité de savoir ce que les entreprises en font.

55 % des Français déclarent ne pas être en mesure de protéger efficacement leurs données personnelles. Les raisons évoquées sont, pour 83 % d’entre eux l’impossibilité de savoir ce que les entreprises font de leurs données tandis que 45 % se sentent contraints d’accepter la manière dont les données sont utilisées s’ils veulent disposer du service proposé par l’entreprise en question. Plus préoccupant, 43 % ont le sentiment que leurs données personnelles sont, de toutes façons, déjà accessibles. 

38 % des Français estiment que le gouvernement doit endosser le rôle de protecteur des données tandis que 21 % pensent que la garantie de la confidentialité incombe aux entreprises. Environ 1 Français sur 2 pense que les lois en matière de protection des données personnelles ont un impact positif. D’ailleurs, les consommateurs français ont une meilleure connaissance des lois relatives à la protection de la vie privée (52 %) que leurs voisins allemands (46 %), italiens (33 %) et espagnols (28 %). Mais seuls 18 % ont déjà exercé leur droit d’accès qui consiste à demander à une entreprise de récupérer les données qu’elle détient sur eux… 

Intelligence artificielle et confidentialité des données, une relation ambivalente

L’arrivée constante de nouvelles technologies a tendance à rendre les Français plus sceptiques à l’idée de confier leurs données aux entreprises. Si les Français sont plutôt optimistes quant à ses bénéfices, et prêts, pour la moitié, à partager ses données personnelles anonymisées pour améliorer les produits basés sur l’IA, 52 % se disent cependant inquiets par l’utilisation qui en sera faite et doivent encore être rassurés. Pour se laisser convaincre, les Français souhaitent que des principes d’éthique de l’IA soient fixés (58 %), qu’au moins un humain soit impliqué dans le processus de prise de décision de l’IA (69 %) et que ce processus soit clairement expliqué (66 %). Enfin, 68 % souhaitent tout simplement avoir la liberté d’accepter ou non toute utilisation de l’IA.

The post Données personnelles détenues par une entreprise : 55 % des Français déclarent ne pas être en mesure de les protéger efficacement appeared first on Sécurité.

Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

Certes les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, mais en pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. La Cnil a donc dédié de remettre à jour ses bonnes pratiques de base les concernant, en prenant en compte l’évolution des connaissances et des pratiques.

« Cette recommandation n’est pas une norme mais correspond à l’état de l’art auquel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles », indique la CNIL. « Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité au moins équivalent », précise-t-elle.

The post Mots de passe : la CNIL met à jour sa recommandation, qui date de 2017 appeared first on Sécurité.

INTERVIEW PARTENAIRE – Ce fournisseur de pare-feux et de solutions Sase investit dans son réseau de vente indirecte en France. Palo Alto Networks y renforce ses liens avec les grands intégrateurs IT et les SSII, afin de remonter grâce à eux plus en amont dans le cycle de vente de ses produits. Il récompensera mieux les ventes croisées sur l’ensemble de son portefolio enrichi à coup d’acquisitions, ainsi que la vente de services managés sur ses plateformes.

Palo Alto Networks investit en 2022 dans son réseau de vente indirecte en France et en EMEA pour améliorer le suivi et le support pour ses revendeurs, comme le confirme Patricia Murphy (en photo), sa vice-présidente Channel pour les régions EMEA & LATAM (Amérique centrale et du sud) « j’embauche actuellement 50 personnes dans mon équipe en Europe et Latam ». Ludovic Kornacker, son directeur du channel pour la France, indique également « avoir largement étendu mes équipes channel dès 2022 ».

Leurs équipes channel respectives investissent davantage actuellement pour recruter et maintenir le contact avec de grands intégrateurs de systèmes IT et des SSII, « car ces partenaires de type « tier 1 » sont au coeur de la transformation numérique et Cloud », selon Patricia Murphy : « Par le passé, Palo Alto s’est davantage focalisé sur la distribution 2nd tier et les VAR, lesquels génèrent 65 % de notre chiffre d’affaires en 2022, contre 35 % pour les intégrateurs de systèmes IT (SI et GSI) et les fournisseurs de services cloud (CSP) ».

Récompenser les partenaires qui aident Palo Alto à remonter plus en amont dans le cycle de vente…

La vice-présidente Channel pour EMEA souhaite que ceux-ci aident Palo Alto à remonter plus en amont dans la genèse des projets et le cycle de vente des produits. Et d’ajouter, « cette démarche est logique pour Palo Alto car le groupe a beaucoup élargi son portefolio réseau et cloud suite à des acquisitions, ce qui a modifié notre discours commercial et les relations que nous entretenons avec nos clients ». En clair, Palo Alto ne veut plus être considéré simplement comme l’un des leaders mondiaux des pare-feux.

Depuis peu, le fournisseur américain incite donc financièrement ses revendeurs à réaliser des ventes croisées sur l’ensemble de son portefolio. « Nous leur demandons désormais de créer des solutions et des services autour de nos trois offres-phares : Prisma (sa suite de sécurité en Saas), Cortex (son offre XDR endpoint et automatisation du SOC) et notre solution Secure Access Service Edge (Sase) », indique Ludovic Kornacker. Et fait nouveau, Palo Alto vient d’ailleurs de créer des formations pour les aider à vendre chacune de ses trois briques, et de préférence en mode « cross selling » sur tout son portfolio à court terme.

… et qui vendent des services IT managés sur ses produits

En parallèle, Palo Alto Networks encourage, via son nouveau programme partenaires, ses revendeurs à investir avec lui pour vendre des services IT managés sur ses produits. « Je constate qu’au moins 25 % de nos clients français se tournent vers les services IT managés, c’est même davantage que sur la régie actuellement, en raison de la pénurie en cyber compétences notamment. C’est une bonne nouvelle pour nos partenaires car nos produits sont construits « by design » pour porter des services managés et les verticaliser par solutions (Sase, Edge, cloud) », explique Ludovic Kornacker.

Il précise que les sociétés de services IT qui joueront le jeu, via la déclaration de leurs affaires en ligne notamment, bénéficieront d’engagements fixes avec des remises avant plus attractives. Elles seront indexées sur la fourniture de services de support de niveaux 1 ou 2 par exemple. Palo Alto prépare actuellement un contrat de type Memorandum of Understanding (MOU) où le partenaire s’engage avec lui sur l’atteinte d’un objectif, au moins financier, lequel conditionnera l’obtention des remises convoitées. Dès 2023, le programme de Palo Alto intégrera mieux les offres destinées aux fournisseurs de services de cybersécurité managés (MSSP) dans ses quatre niveaux de certification.

Développer le channel est toujours une priorité pour Palo Alto Networks

Surtout depuis que Nikesh Arora (ex-Google), son nouveau PDG depuis 2022, a déclaré en début d’année que son groupe ne pourra pas passer rapidement de 6 à 10 Md$ de chiffre d’affaires sans l’aide de ses revendeurs. Et pour cause, le fournisseur commercialise ses produits quasiment à 100 % via un réseau de distribution indirect en 2022.

Pour l’instant, tous les revendeurs français de Palo Alto passent par ses trois grossistes locaux : Exclusive Network, Miel et Westcon. Patricia Murphy précise que le fournisseur n’a pas encore prévu de traiter en direct les SI et les MSSP pour l’instant. Mais pour combien de temps encore s’il continue à étoffer aussi largement ses équipes channel en France ?

The post Palo Alto veut remonter plus en amont dans le cycle de vente grâce à ses revendeurs appeared first on Sécurité.

A l’occasion des Assises de la Cybersécurité, la filiale spécialisée en cybersécurité du groupe Hub One a annoncé la mise en place de son CERT (Computer Emergency Response Team).

Le nouveau centre d’alerte et de réaction aux cyberattaques, ou CERT, accrédité par le TF CSIRT (réseau international des CERT), couvre l’intégralité du cycle de la menace informatique, depuis la préparation d’une cyberattaque à l’encontre d’une organisation, en passant par la détection de l’incident jusqu’à la mise à jour des infrastructures informatiques. 

Il repose sur 4 services. Avec d’abord le Cyber-renseignement. Opérationnel (connaissance des cyberattaques, événements et campagnes en cours) ou stratégique (panorama complet des menaces et risques d’une organisation),il permet aux analystes de SysDream de produire des rapports et des flux d’observables pertinents permettant aux entreprises de connaître l’état de la menace, de les sensibiliser et de prendre des contre-mesures conservatrices.  

Ensuite, la surveillance continue du cyberenvironnement d’une organisation permet à SysDream d’identifier la préparation d’un acte de malveillance à l’encontre de ses clients (vulnérabilités, fuites d’informations, tentatives de phishing, usurpation des marques…).   

Le CERT prend le relais du SOC (Security Operation Center) lorsque celui-ci lui signale un incident de niveau 3, c’est-à-dire un incident significatif – nécessitant une analyse poussée et hors processus du traitement des incidents – ou de la gestion de crise. Les équipes du CERT accompagnent l’entreprise (cellules de crise, judiciarisation des preuves…) jusqu’à la clôture de l’incident. 

Enfin, les équipes du CERT réalisent une investigation numérique allant jusqu’à l’accompagnement dans la judiciarisation des preuves et apportent les recommandations nécessaires. 

The post Sysdream vient de lancer son CERT appeared first on Sécurité.

Selon George Kurtz, le PDG de CrowdStrike, les offres de sécurité de Microsoft sont un « canot de sauvetage qui prend l’eau« . Ce spécialiste américain reconnu des outils de réponse numérique aux cyberattaques attribue la majorité de certaines d’entre elles aux logiciels de l’éditeur, dont Active Directory (AD). Attention, Le chiffre d’affaires de l’activité sécurité de Microsoft a dépassé les 15 milliards de dollars.

« Si obtenir un canot de sauvetage gratuit qui fuit est quelque chose que les gens veulent offrir à leur client, ou que le client veut avoir. Peut-être qu’il fuit. Peut-être qu’il ne fuit pas. Mais si vous voulez le meilleur résultat en matière de sécurité, il existe d’autres solutions », a déclaré George Kurtz, le PDG de l’éditeur californien CrowdStrike, dans une interview accordée début octobre à The Channel Company (CRN), lors de sa conférence XChange Best of Breed aux Etats-Unis.

George Kurtz critique depuis longtemps la sécurité des logiciels de Microsoft

Ce n’est pas la première fois que George Kurtz critique la sécurité d’Active Directory (AD) et d’autres logiciels de Microsoft. On pourrait se dire que cet éditeur de logiciels anti-virus, EDR et XDR ne fait que critiquer l’un de ses concurrents les plus imposants dans la cybersécurité. Mais son avis d’expert compte dans cette communauté. En outre, son entreprise créée en 2011 réalise déjà presque 1,5 milliard de dollars en vendant des outils de réponse numérique aux cyberattaques.

Et s’il reconnaît les efforts de Microsoft pour développer de bons logiciels, le PDG de CrowdStrike estime au final que « l’environnement Microsoft est le seul que je connaisse où vous pouvez prendre un mot de passe et le réutiliser. Pas vrai ? Et c’est un énorme problème d’architecture. C’était déjà le cas en 1999. Vous pouvez le faire encore aujourd’hui. Et c’est encore pire maintenant parce qu’il y a un fatras de synchronisation. C’est un vrai désordre ».

Active Directory (AD), l’une des principales failles de sécurité sur les plateformes de Microsoft

George Kurtz enfonce le clou sur Active Directory (AD), que tous les experts en cybersécurité considèrent comme l’une des principales failles de sécurité sur les plateformes de Microsoft : « L’ensemble du secteur s’est concentré sur l’élimination des logiciels malveillants, mais aujourd’hui, dans l’environnement actuel, 71 % des problèmes ne sont pas liés aux logiciels malveillants. 80 % des violations sur lesquelles nous enquêtons ou que nous traitons sont liées à l’identité. Quel est le système numéro 1 dans ce domaine ? C’est Active Directory. L’identifiant le plus volé est un identifiant Microsoft qui sera utilisé soit en interne, soit dans le cloud ».

Le chiffre d’affaires de l’activité sécurité de Microsoft a dépassé les 15 milliards de dollars

Interrogés sur ses déclarations, plusieurs intégrateurs français certifiés par Microsoft sur ses solutions de cybersécurité ont refusé de répondre à nos questions. Et pour cause, peuvent-ils se permettre de ne pas être d’accord avec le nouveau géant américain de la cybersécurité. Le chiffre d’affaires de l’activité sécurité de Microsoft a dépassé les 15 milliards de dollars au cours des 12 derniers mois, comme l’a révélé en janvier 2022 Satya Nadella, son PDG. Il s’agit d’une hausse de 45 % par rapport à l’année précédente. Et ce chiffre n’a fait qu’augmenter depuis avec les investissements et les acquisitions réalisées par son groupe cette année.

Et son portfolio est très large. Les services de sécurité de Microsoft intègrent plus de 50 catégories dans les domaines de la sécurité, de la conformité, de l’identité, de la gestion des périphériques et de la confidentialité. En 2022, Microsoft a aussi lancé des capacités pour aider les clients à découvrir, gérer et gouverner les autorisations des utilisateurs et des charges de travail sur Amazon Web Services, Google Cloud Platform et Microsoft Azure.

The post Les offres de sécurité de Microsoft sont-elles un « canot de sauvetage qui prend l’eau » ? appeared first on Sécurité.

Début octobre, une vulnérabilité critique sur plusieurs produits Fortinet a fait l’objet d’une cyberattaque ciblée. Le CERT-FR anticipe une exploitation de masse de cette vulnérabilité, au regard de l’exposition sur Internet des nombreuses interfaces d’administration des produits Fortinet. 

« Cette faille de sécurité CVE-2022-40684 permet à un attaquant non authentifié de déclencher l’exécution de code arbitraire à distance et de contourner la politique de sécurité« , explique l’éditeur ITrust. Une fois exploitée, cette vulnérabilité permet le dépôt d’une porte dérobée qui permettra au hacker de se connecter ultérieurement au système d’information.

Bien que Fortinet ait publié un bulletin de sécurité pour l’obtention des correctifs, leur application seule n’est pas suffisante, précise ITrust. En effet, dans le cas où la faille est exploitée avant l’application des correctifs, l’attaquant peut déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système d’information.
Il convient donc de se référer à la publication du CERT-FR portant sur “Les bons réflexes en cas d’intrusion sur un système d’informations”. 

La liste des systèmes affectés

The post Vulnérabilité critique CVE-2022-40684 sur plusieurs produits Fortinet – Le CERT-FR anticipe une exploitation de masse appeared first on Sécurité.

Tehtris, l’éditeur français d’une plateforme de détection et de réponses aux cybermenaces (eXtended Detection and Response) a réussi à la rentrée sa deuxième levée de fonds, d’un montant de de 44 millions d’euros cette fois-ci, dont 36 millions d’investissement en capital.

Fondée en 2010 par Éléna Poincet et Laurent Oudot, Tehtris emploie 260 collaborateurs en Europe. L’éditeur français d’une plateforme de détection et de réponses aux cybermenaces (eXtended Detection and Response) avait déjà levé 20 M€ en novembre 2020. Il avait utilisé cette somme pour ouvrir des filiales en Allemagne, en Espagne, au Japon et au Canada et afin d’améliorer son support commercial et technique 24h/7.

La plateforme XDR (eXtended Detection and Response) de Tehtris détecte et neutralise les cybermenaces en temps réel et sans action humaine dans les entreprises et les administrations publiques.

Les fonds levés en capital développement sont destinés à accélérer le développement de l’entreprise en poursuivant les recrutements massifs (300 emplois en cours de création), l’innovation constante dans le développement des solutions, ainsi que le développement de ses forces commerciales, au service de ses clients et partenaires.

« Il n’y a jamais eu autant de cyber-attaques et d’intrusions réussies sur la planète. Cette contribution au capital de croissance soutient notre stratégie de recherche et développement et d’innovation constante dans la course aux armements en cours. La rapidité des défenseurs sera l’un des facteurs clés de la résilience des infrastructures numériques », explique Laurent Oudot, directeur technique et confondateur de Tehtris.

Ce deuxième tour de table a été mené par Jolt Capital, un spécialiste de l’investissement en capital, accompagné des fonds historiques de série A, Tikehau Ace Capital, un spécialiste de l’investissement en capital spécialisé dans la sécurité numérique, Open CNP, le fonds de capital-risque de CNP Assurances, et Co-Investissement Nouvelle-Aquitaine (NACO).

The post Tehtris lève cette fois 44 millions d’euros appeared first on Sécurité.

Selon une étude* de PrestaShop, une plateforme d’e-commerce, 4 marchands sur 10 ont été victimes d’une cyberattaque depuis le début de leur activité. Mais ils savent réagir vite.

Les e-commerçants français sont légèrement moins touchés puisqu’ils sont 41 % à indiquer avoir été victimes d’une cyberattaque depuis le lancement de leur site. Les attaques sont diverses mais viennent principalement de bots malveillants (43 %), d’attaques DDoS (33 %) et d’injections SQL (30 %). Rares sont les marchands français qui ont été victimes de plusieurs attaques, ils ne sont que 14 % à en déplorer plus de 3 depuis le début de leur activité.

Ces attaques ne sont pas sans impact sur l’activité, notamment en termes d’indisponibilité des services, première conséquence pour 60 % des sondés français. A l’inverse, l’étude révèle que, tous pays confondus cette fois, peu de marchands ont subi des vols de données (14 %) ou des détournements de clientèle (10 %).

90 % des attaques sont résolues en moins d’une journée

Si les services sont indisponibles, ils ne le restent pas longtemps grâce à la réactivité et à la proactivité des e-commerçants. En France, 90 % des attaques sont résolues en moins d’une journée, dont 27 % dans l’heure suivante. L’intervention d’un prestataire externe a été la solution de plus d’un e-commerçant français sur deux (53 %).

Cette résolution rapide peut expliquer le faible impact sur l’activité des marchands. Seulement 3 % ont dû faire face à un impact financier important. Il est à noter qu’aucun n’a risqué la faillite suite à une cyberattaque.

* Cette enquête a été réalisée par le biais d’un questionnaire auto-administré en ligne entre le 12 et le 20 septembre 2022 auprès de 115 commerçants du Club Million PrestaShop en France, Espagne, Italie, Pologne et Amérique latine. Les marchands du PrestaShop Million Club sont ceux gérant leur activité e-commerce sous PrestaShop et qui génèrent plus d’un million de GMV (gross merchandise value) par an.

The post 40 % des e-commerçants français ont déjà été victimes d’une cyberattaque (étude) appeared first on Sécurité.

Cybermalveillance.gouv.fr, en collaboration avec le groupe AFNOR, le Campus régional de Cybersécurité et de Confiance numérique Nouvelle-Aquitaine (C3NA) ainsi que le Centre de formation de l’ANSSI (CFSSI) annonce la création d’un référentiel de compétences pour les prestataires en cybersécurité.

C’est à l’occasion de la 22ᵉ édition des Assises de la Sécurité que Cybermalveillance.gouv.fr et ses partenaires ont annoncé ce référentiel de compétences en cybersécurité en libre accès. Il est destiné aux TPE-PME ainsi qu’aux petites collectivités et collectivités de taille intermédiaire, au travers des organismes de formation, pour accompagner les prestataires de services informatiques dans le développement de leur expertise dans ce domaine.

Un premier niveau de réponse à la pénurie de compétences

Ce premier référentiel vise à clarifier les compétences à acquérir pour l’obtention de ce label. Il intègre tous les aspects essentiels du métier de prestataires cyber de premier niveau autour des domaines de la sécurisation, du maintien en conditions opérationnelles et de sécurité et de la remédiation. Il sera mis gracieusement à la disposition du plus grand nombre dès le 1er trimestre 2023, afin que chaque organisme de formation puisse s’en inspirer pour créer des formations adaptées avec un socle commun de connaissances.

« Le label ExpertCyber a été initialement créé pour identifier les prestataires possédant une expertise de premier niveau en termes d’assistance et d’accompagnement des entreprises sur les questions de cybersécurité. Le référentiel vise à clarifier les compétences à acquérir pour l’obtention de ce label : il permettra ainsi aux entreprises d’identifier les thématiques sur lesquelles elles doivent encore progresser ! Plus largement, ce référentiel permettra aux organismes de formation qui le souhaitent de créer des modules – voire des parcours – de formations adaptés aux différentes compétences identifiées, afin de répondre aux besoins des prestataires et in fine de leurs clients », a indiqué Aurélie Bauer, Cheffe du CFSSI, le centre de Formation à la Sécurité des Systèmes d’Information de l’Agence Nationale de la Sécurité des Systèmes d’Information.

The post Cybermalveillance.gouv.fr va mettre à disposition en libre accès un référentiel en compétences cyber appeared first on Sécurité.

A travers cette collaboration, Thales propose une offre conjointe de services renforcés de détection et de réponse aux menaces cyber au sein des environnements cloud avec Microsoft en s’appuyant sur les solutions natives Microsoft Sentinel et Microsoft Defender.

Les services de détection et de réponse de Thales combinent l’expertise et les processus des Security Operations Centers (SOC) du groupe avec les technologies de sécurité Microsoft pour « fournir des services à haute valeur ajoutée aux équipes de sécurité et aux RSSI des administrations, des opérateurs d’importance vitale mais également de toutes les entreprises du secteur privé« , indique Thales dans un communiqué.

Cette nouvelle offre de service SOC est disponible sur la plateforme App Source de Microsoft.

The post Thales développe avec Microsoft une offre commune de solution de cybersécurité dédiée aux environnements cloud Microsoft Sentinel et Microsoft Defender appeared first on Sécurité.

Pour ses dernières Assises en tant que DG de l’ANSSI, Guillaume Poupard a fait un discours d’ouverture du salon sous forme de bilan et de recommandations pour son successeur. Il préconise de passer à une échelle plus grande sur les sujets les plus importants : la souveraineté et la coopération européenne, ainsi que les territoires.

Le rendez-vous annuel des professionnels de la cybersécurité s’est ouvert le 12 octobre à Monaco, après deux années éprouvantes pour les équipes de sécurité, qui ont eu néanmoins comme effet positif une prise de conscience généralisée de l’importance du triptyque à la base du fonctionnement des entreprises modernes : le numérique, de préférence dans le Cloud et dûment sécurisé.

Chaque édition du salon est l’occasion de faire le point sur les évolutions de l’année écoulée et sur les perspectives d’avenir. Sur ce dernier point, le directeur de l’ANSSI, Guillaume Poupard, a délivré un discours d’ouverture qui peut s’apparenter à une feuille de route pour son successeur. Il a ainsi souligné la nécessité d’une collaboration à tous les niveaux, nationaux et européens, pour passer à l’échelle sur un certain nombre de sujets « dans un contexte particulièrement difficile et qui met au défi notre manière de voir la cybersécurité et nos méthodes ». En clair, il demande à toutes les parties prenantes, gouvernements, entreprises, éditeurs, organismes de régulation et associations de professionnels, de globaliser et d’unir leurs efforts, car « l’enjeu est stratégique ». « L’élévation de notre niveau de cybersécurité passera également par le renforcement de la coopération européenne et avec l’OTAN ».

La cybersécurité ne passe pas par un seul domaine d’excellence

Le DG de l’ANSSI entérine par cette proposition le constat que le domaine est un empilement complexe de plusieurs technologies, de compétences diverses et variées, de réglementation et de formation : « La cybersécurité ne passe pas par un seul domaine d’excellence, mais plutôt par la capacité à traiter toute une mosaïque hypercomplexe de sujets ». Le changement d’échelle préconisé par Guillaume Poupard est ainsi une véritable « montée en collaboration » aussi bien à l’échelle intérieure de la France qu’au niveau des entreprises et de l’Europe.

« La cybersécurité ne passe pas par un seul domaine d’excellence, mais plutôt
par la capacité à traiter toute une mosaïque hypercomplexe
de sujets »

Il estime nécessaire d’agir simultanément à plusieurs niveaux afin d’aligner les prérequis à un numérique européen souverain et sécurisé. Le premier activé est la réglementation, qui permet la création d’un espace commun efficacement défendu contre les convoitises. « bien utilisée, la réglementation est efficace », a-t-il indiqué, en évoquant les négociations actuelles autour de la directive NIS 2. De ce point de vue, l’Europe est en bonne voie. Les transpositions de la directive dans les réglementations nationales vont permettre de constituer une avancée incontestable vers une sécurité numérique européenne.  

Permettre à chacun de prendre en main sa prévention

La prévention est le second levier selon Guillaume Poupard, qui constate qu’il y a « encore de très gros efforts à faire, pour permettre à chacun de prendre en main sa prévention ». En effet, si certains groupes et entreprises contraintes (OIV, OSE…) ont fait de notables avancées sur le sujet, les organismes publics, les PME et les ETI doivent s’approprier le sujet. Pour les y aider, l’ANSSI va publier un guide pour les acteurs publics et les collectivités locales. Ce vade-mecum pratique permettra de mieux appréhender le déploiement d’outils et de technologies de sécurité cyber.
« Nous allons continuer à développer des référentiels de sécurité et de qualification et les services de sécurité (PAMS, PACS…) ». Il a ainsi rappelé le succès des qualifications comme le PASSI (Prestataires d’audit de la sécurité des systèmes d’information), le PDIS (Prestataires de détection d’incidents de sécurité) ainsi que les référentiels qui permettent de délimiter les périmètres applicatifs en fonction des prestataires vers qui les entreprises vont se tourner pour des solutions sécurisées.

La souveraineté, entre gaulois réfractaires et mondialistes défaitistes

Le DG de l’ANSSI a ensuite abordé la problématique du Cloud de confiance et de son corollaire, la souveraineté numérique. « J’ai hésité à en parler, a-t-il avoué, parce que nous sommes dans un système où il y a une espèce d’injonction de choisir son camps entre les gaulois réfractaires qui veulent être certains que chaque transistor et chaque bit a bien été conçu en France, par de bons Français, et ceux qui considèrent que tout est mondialisé et que toute approche souveraine est vouée à l’échec. Cette injonction est parfaitement insupportable, il y a un juste milieu ». Il préconise pour cela une approche pragmatique et ambitieuse, pousser les startups, les chercheurs et les industriels à être compétitifs. « Je reste convaincu que l’obsession de souveraineté européenne doit rester une obsession », a-t-il conclu.

« Cette injonction est parfaitement insupportable,
il y a un juste milieu »

Enfin, sur la question des effort vers les territoires, Guillaume Poupard a exprimé un mea culpa pour avoir concentré les efforts de l’ANSSI sur les acteurs critiques pour la sécurité nationale. « La question territoriale est essentielle, a-t-il affirmé, mais comment passer à l’échelle ? En reprenant les idées qui ont fonctionné au niveau national et les porter à un niveau territorial plus proche ». Il a évoqué les CSIRT régionaux financés grâce au Plan de relance et dont la dynamique a permis à 12 régions sur 13 d’en bénéficier.

Mourad Krim

The post Assises de la Cybersécurité 2022 – « Il faut passer à l’échelle », affirme le DG de l’ANSSI, soulignant la nécessité d’une collaboration à tous les échelons appeared first on Sécurité.

The post XDR : la plateforme Singularity de SentinelOne s’enrichit de nouvelles intégrations pour la messagerie, la conformité et le Cloud appeared first on Sécurité.

(AFP) – Le Sénat a voté mercredi en première lecture l’article du projet de loi « Lopmi » encadrant les conditions de remboursement par les assurances des rançons de cyberattaques, mais au prix de vifs débats.

Le projet de loi d’orientation et de programmation du ministère de l’Intérieur comporte un très important volet numérique et cyber, notamment pour faire face à la forte augmentation de la cybercriminalité. Entre autres mesures, il conditionne le remboursement des cyber-rançons par les assureurs au dépôt de plainte, rapide, de la victime.

Le ministre de l’Intérieur Gérald Darmanin, soutenu par le rapporteur Marc-Philippe Daubresse (LR), a dû beaucoup argumenter pour s’opposer à une série d’amendements visant à supprimer cette disposition, pointant « un contre-sens » de leurs auteurs. François Bonhomme (LR) a déclaré que cet article venait « affaiblir la position déterminée et constante des pouvoirs publics (…) qui ont toujours recommandé aux entreprises et administrations de ne jamais payer une rançon« . « Le vote de ce simple article met potentiellement en danger nos compatriotes qui vivent à l’étranger par le signal qui sera compris de tous, y compris des groupes terroristes, que le paiement de rançon n’est pour la France qu’une question de modalité et non une question de principe », a renchéri Olivier Cadic (centriste). « Les assureurs pourraient en cas de remboursement être complices de
financement d’actes de terrorisme« , a ajouté Nathalie Goulet (centriste).

« L’état du droit aujourd’hui c’est qu’il existe des assurances qui assurent le paiement des rançons« , a expliqué le ministre. « Nous on dit on ne peut permettre aux assurances d’assurer les rançons que s’il y a dépôt de plainte« , pour que la puissance publique puisse avoir connaissance des faits. « Si on supprime cet article, il y aura toujours des assurances qui assurent des rançons, sans que personne le sache« , a-t-il ajouté.
Le Sénat a en outre voté un amendement du socialiste Rémi Cardon ramenant de 48 à 24 heures le délai dans lequel l’assuré doit prévenir les autorités après une cyber-attaque.

Les sénateurs vont poursuivre ce jeudi l’examen de la Lopmi qui prévoit sur cinq ans un effort financier de 15 milliards d’euros pour le ministère de l’Intérieur, dont 8 milliards dédiés au cyber et au numérique.

The post Lopmi : l’indemnisation des rançons de cyberattaques fait débat au Sénat appeared first on Sécurité.

Les utilisateurs de la solution de signature électronique de DocuSign peuvent s’identifier rapidement avec FranceConnect (fédération d’identités permettant d’utiliser un compte existant pour garantir son identité : Impots.gouv.fr, Ameli.fr, etc…). 

Le signataire reçoit une enveloppe DocuSign et est notifié qu’il doit procéder à une vérification d’identité avant de pouvoir signer. Il est ensuite redirigé vers l’ID Verification de DocuSign, où il peut choisir le pays de délivrance de son document d’identité, et s’identifier en sélectionnant une des options disponibles qui inclut FranceConnect. En sélectionnant FranceConnect, il est alors redirigé vers la plateforme FranceConnect pour se connecter à celle-ci avec son compte existant. DocuSign vérifie que le nom, le prénom et le nom d’usage correspondent à ceux de l’enveloppe de signature électronique, puis valide l’identification de l’utilisateur qui peut ensuite signer ses documents. 

L’intégration avec FranceConnect est disponible pour les niveaux de signatures simples et avancées (AES). Plus de 38 millions de personnes disposent d’un compte France Connect en France.

The post DocuSign ajoute l’identification avec FranceConnect à sa solution eSignature appeared first on Sécurité.

Pour les lecteurs de Solution Numériques, voici l’analyse de L’analyse de Chris Goettl, Vice President of Product Management chez Ivanti.
Le Patch Tuesday d’octobre concerne principalement les produits Microsoft, mais il inclut une mise à jour pour Adobe Acrobat and Reader (APSB22-46) et sert de prélude à la mise à jour CPU trimestrielle Oracle, qui sortira le mardi 18 octobre. Cette CPU Oracle contiendra sans doute une mise à jour pour Java, qui va déclencher la publication d’une série d’alternatives Java supplémentaires. Ainsi, quelle que soit la version de Java que vous utilisez, attendez-vous à en recevoir des mises à jour dans les quelques semaines à venir. 

Octobre est le Cybersecurity Awareness Month (mois de sensibilisation à la cybersécurité).
C’est le mois idéal pour informer les gens sur les sujets liés à la sécurité, dans l’espoir que le monde change et devienne un peu plus cybersécurisé. Dans cet objectif, vous trouverez des conseils de cybersécurité dans cet avis d’expert.

Publications Microsoft

Microsoft résout un total de 89 vulnérabilités uniques (CVE) dans sa mise à jour du Patch Tuesday d’octobre. Les CVE du mois incluent une vulnérabilité « Zero Day » et 2 divulgations publiques. On compte 13 CVE de type Critique et 76 de type Important. Cinq de ces CVE, qui affectent Exchange Server, sont des republications des mises à jour d’août, visant à résoudre un problème connu.

La mise à jour Exchange Server ne contient PAS de correctif pour les vulnérabilités Zero Day signalées le 29 septembre 2022 (CVE-2022-41040 et CVE-2022-41082). Microsoft annonce qu’il publiera les correctifs Exchange supplémentaires dès qu’ils seront prêts. En attendant, il explique dans un billet de blog comment atténuer le problème.

Vulnérabilité Zero Day

Microsoft résout une vulnérabilité du service Système d’événement COM+ Windows, susceptible de permettre l’élévation des privilèges (CVE-2022-41033). Cette vulnérabilité a été signalée à Microsoft par une source anonyme et on a confirmé son exploitation, ce qui accentue l’urgence de sa remédiation. Cette vulnérabilité affecte toutes les versions de l’OS Windows, y compris Windows 7 et Server 2008/2008 R2. Microsoft classe cette vulnérabilité au niveau Important, mais ce classement ne rend pas correctement compte du fait qu’il existe une exploitation confirmée sur le terrain.

Conseil de cybersécurité : une approche de la priorisation de type RBVM (Gestion des vulnérabilités sur la base des risques) tient compte du score CVSS et du niveau de gravité attribué par le fournisseur, mais elle inclut aussi des indicateurs de risque : divulgation publique, exploitation connue, liens avec des malwares et ransomwares, et le fait que la vulnérabilité soit en vogue (figure souvent dans les attaques).

Vulnérabilités divulguées publiquement

Microsoft republie le correctif d’une vulnérabilité Microsoft Exchange susceptible d’entraîner la divulgation d’informations (CVE-2022-30134). C’est l’une des cinq CVE initialement publiées en août. La protection contre ces CVE nécessite des opérations supplémentaires. Il faut activer la Protection étendue Windows, et c’est là que le problème connu intervient. La mise à jour Exchange Server d’août a généré un problème : les sondes Outlook cessaient de fonctionner correctement lorsque la protection étendue était activée et que l’on appliquait la mise à jour d’août. Cette republication résout ce problème connu.

Microsoft résout une vulnérabilité de Microsoft Office pour Mac, susceptible de permettre la divulgation d’informations. Cette vulnérabilité a été classée Important. On parle d’une vulnérabilité divulguée publiquement lorsque des informations sont communiquées au public et pourraient donner aux pirates un avantage pour exploiter cette vulnérabilité avant que le fournisseur ne publie un correctif. Dans le cas présent, la maturité du code d’exploitation de la CVE est Unproven (Non prouvé). L’exposition n’est donc peut-être pas trop grave.

Publication Adobe Acrobat and Reader

Adobe publie une mise à jour pour Adobe Acrobat and Reader (APSB22-46), qui résout six vulnérabilités uniques, dont deux CVE critiques pouvant permettre l’exécution de code arbitraire.

Autre remarque importante concernant Adobe ce mois-ci : la fin de la prise en charge d’Adobe Acrobat 2017 Classic et Acrobat Reader 2017 Classic. Adobe ne fournira plus de support technique, ni de mises à jour des produits ou de la sécurité pour ces versions d’Acrobat and Reader.

Conseil de cybersécurité : les logiciels en fin de vie présentent des risques pour la sécurité de votre environnement. Plus un logiciel ayant atteint sa fin de vie reste dans votre environnement, plus cela augmente les risques et les coûts potentiels. Un logiciel en fin de vie peut poser des problèmes de support. En cas de défaillance de ce logiciel, le fournisseur n’a aucune obligation d’assurer son support ou de corriger le problème. Du point de vue des risques, les logiciels en fin de vie constituent des cibles. Les réglementations en vigueur stipulent que les logiciels utilisés doivent être pris en charge. Si elle ne s’assure pas que ses logiciels sont pris en charge, une entreprise s’expose soit à des amendes en cas d’échec à un audit, soit à des failles de sécurité.

Mise à jour CPU trimestrielle Oracle

Oracle publie des mises à jour tous les trimestres, le premier mois du trimestre et le mardi le plus proche du 17. En octobre, c’est le mardi 18. Comme nous l’avons dit plus haut, la mise à jour Oracle Java provoque un effet domino. Plusieurs solutions Java alternatives sont mises à jour juste après qu’Oracle publie les dernières mises à jour Java. Azul Platform Core, RedHat OpenJDK, Amazon Corretto, et AdoptOpenJDK se mettent tous à jour dans les semaines qui suivent, pour résoudre un grand nombre des vulnérabilités qu’Oracle traitera dans sa prochaine mise à jour Java. Google Chrome est un autre exemple, car de nombreux navigateurs sont basés sur Chrome Frame, notamment Microsoft Edge (Chromium).

Conseil de cybersécurité : la plupart des éditeurs de logiciels ont un cycle de publication en continu. Cela signifie qu’ils publient le logiciel dès qu’il est disponible. Même si le rythme du Microsoft Patch Tuesday est devenu un point de repère connu de la plupart des entreprises pour lancer la maintenance des mises à jour, il est important de conserver un cycle continu d’évaluation et de priorisation des vulnérabilités. La cadence recommandée pour la mise à jour des systèmes des utilisateurs finaux est toutes les deux semaines ou toutes les semaines, afin de tenir le rythme du cycle de mise à jour en continu de la sécurité des logiciels tiers, en particulier pour les cibles de choix comme les navigateurs.

The post Nouveau Patch Tuesday – Exchange Server : pas de correctif pour les vulnérabilités Zero Day de septembre appeared first on Sécurité.

La cybersécurité est aussi une industrie et des services avec des centaines d’acteurs. Pour permettre aux entreprises de comprendre cette « jungle » , son vocabulaire, ses technologies, et de choisir ses solutions, ses fournisseurs, il fallait un guide. Ce « livre de la jungle » existe, c’est le Guide de la cybersécurité.

La toute nouvelle édition de la « Bible » de la cybersécurité est disponible. Cette 6e édition, présente sur 240 pages un panorama précis du secteur de la cybersécurité.

Consultez le sommaire pour lire les articles disponibles en ligne.

Cette édition 2022-2023 débute comme les éditions précédentes par la publication des tribunes des personnalités institutionnelles du secteur, à savoir les dirigeants ou porte-parole de l’Anssi, de Numéum, du Cigref, du Clusif, du Cesin, d’Hexatrust, de l’Afdcp. Et en primeur ,vous lirez une tribune du président de Campus-Cyber, avec les chiffres clés de ce site évènement.

Une grande interview de Thierry Auger, DSI et RSSi du groupe Lagardère ouvre le dossier Tendances. Ce dossier  synthétise 5 des grandes problématiques actuelles: la protection du endpoint, la pénurie des talents dans les équipes cyber, les attaques supply-chain, le basculement de la cybersécurité dans le cloud et enfin la convergence IT/OT du secteur industriel.

Un dossier Comprendre décode les concepts de la cybersécurité, il présente un état de l’art qui résume pour les dirigeants d’entreprise, et peut-être aussi les DSI, les mots clé de la technologie.

Le point fort du Guide de la Cybersécurité est son panorama des acteurs du marché. Plus de 700 entreprises sont référencées. Les éditeurs et les prestataires de services spécialisés sont présentés dans des tableaux comparatifs.

Un cahier spécial présente environ 70 acteurs  clé. Leaders ou challenger, ils se présentent de façon détaillée sur 1 à 2 pages, permettant aux RSSi, aux DSI, aux décideurs en général, de mieux connaître les offreurs de cybersécurité.

Guide Cybersécurité 6e édition 2022-2023 (solutions-numeriques.com)

The post Le tout-nouveau GUIDE CYBERSECURITE est paru! appeared first on Sécurité.

La pandémie de COVID-19 a entraîné une augmentation exponentielle de la demande pour l’Internet des Objets Médicaux (IoMT), ainsi que des cyber risques associés dans tous les compartiments de la télémédecine. Fabien Pereira Vaz, responsable des ventes techniques en France de Paessler, nous explique les grandes tendances en cours.

La forte croissance des objets médicaux connectés a fondamentalement transformé le secteur de la santé. Qu’il s’agisse d’objets connectés à usage personnel – une montre connectée enregistrant le rythme cardiaque par exemple – ou à usage médical pour améliorer la prise en charge, le traitement ou la réactivité en cas de donnée anormale, tous ces équipements qui recueillent et transmettent des données sur la santé des patients sont regroupés sous le terme générique « Internet des Objets Médicaux » ou IoMT.

L’IoMT constitue une partie de l’internet des objets (IoT) axée sur les soins de santé et englobe tout un système de dispositifs médicaux, de logiciels et de systèmes et services de soins de santé interconnectés qui échangent des données en temps réel au moyen de technologies de mise en réseau. Leur mise en œuvre massive dans le secteur de la santé suppose de relever un certain nombre de défis.

Un phénomène massif

Petit coup d’œil dans le rétro : En 2017, le cabinet Frost & Sullivan prévoyait que le marché de l’Internet des objets médicaux augmenterait de 26% par an pour atteindre 72 milliards de dollars d’ici 2021. C’était sans compter sur la pandémie de COVID-19 qui a entraîné une augmentation exponentielle de l’IoMT, les ordres de quarantaine et de confinement accélérant considérablement les tendances de la télémédecine et de la télésanté. La hausse des coûts des soins de santé est également un facteur important, surtout s’il on considère les économies que l’IoMT permettrait de faire en réduisant les visites à l’hôpital, en détectant plus rapidement les maladies et donc en réduisant les dépenses de traitement.

5 enjeux techniques majeurs pour optimiser l’utilisation de l’IoMT

La mise en œuvre de l’IoMT s’accompagne d’un certain nombre de défis à relever afin de pouvoir tirer pleinement profit de ce que ces nouveaux équipements peuvent offrir dans le domaine de la santé. Au premier rang de ces enjeux, la sécurité des données.

– Menaces sur la sécurité des données de santé
Les attaques contre les hôpitaux et établissements de santé ont connu une forte augmentation en 2021, avec 730 incidents recensés selon les experts de l’ANS. L’AP-HP a été touché, les hôpitaux d’Arles, de Dax, de Villefranche-sur-Saône, ou bien encore récemment un hôpital Corse dont les services de radiologie ont été paralysés. En Allemagne, une personne est même décédée suite à la paralysie du système informatique. Que ce soit pour des motivations politiques ou financières, les hackers profitent des moindres failles. Et la prolifération des capteurs et des appareils connectés élargit considérablement la surface d’attaque sur un réseau. Et les dispositifs IoMT étant conçus avec différents niveaux de sécurité, leur connectivité Internet les rend vulnérables aux cyberattaques. Ils sont souvent le maillon faible de la cyber-sécurité, nécessitant une réflexion et une stratégie sécuritaire adaptée.

– Fournir un processus simple et automatisé pour l’intégration de l’IoT
Les grands systèmes IoT peuvent contenir des milliers d’équipements et de capteurs, et leur gestion manuelle est complexe et sujette à des erreurs. L’intégration automatisée permet à l’infrastructure de réseau de reconnaître dynamiquement les appareils et les affecter à des endroits appropriés dans le réseau sécurisé.

– Faciliter l’interopérabilité entre les différents systèmes
L’interopérabilité est la capacité des systèmes de santé à échanger et à interpréter des données de manière cohérente. Les médecins, les administrateurs et les patients peuvent utiliser différents types de dispositifs médicaux et de solutions logicielles qui ne se « comprennent » pas entre eux. Ce manque d’interopérabilité conduit à des silos de données et entrave l’accès aux informations. Face aux normes internationales liées à la donnée médicale vieillissantes – et inadaptées au Big Data – les entrepôts neutres de données s’appuient sur l’interopérabilité en utilisant quelques normes simplifiées, comme HL7 FHIR, qui est ouverte, adaptée au web et accessible, XDS, pour la connexion avec le DMP notamment, ou WADO, l’extension de la norme DICOM pour l’imagerie médicale.

– Conformité réglementaire
Les solutions IoMT doivent respecter les lois relatives à la confidentialité des données et à la sécurité des patients. Comme le paysage réglementaire tend à changer de temps à autre, la conformité peut devenir un obstacle important à la construction et à la mise à niveau des dispositifs médicaux et des logiciels qui les accompagnent.

– Superviser l’ensemble
A chacun de ces défis s’ajoute la capacité de superviser l’ensemble de l’infrastructure, afin de pouvoir pallier au plus vite à tout point potentiel de défaillance, voire dans la mesure du possible de l’anticiper. Naturellement, il n’est certainement pas pertinent de surveiller tous les équipements. Mais les équipes en charge des infrastructures hospitalières doivent parvenir à superviser à la fois les différents équipements IoMT (sachant qu’ils requièrent souvent des fonctionnalités de supervision spécifiques), les communications entre systèmes médicaux (et donc disposer de solutions permettant de comprendre les protocoles spécifiques tels que DICOM et HL7) tout en continuant à superviser l’IT traditionnelle car la moindre panne ou interruption du réseau sera tout aussi catastrophique qu’une panne critique d’un appareil médical.

Comment fonctionnent les systèmes de l’IoMT ?

Comme pour l’IoT, l’architecture de l’Internet des objets médicaux fait intervenir les quatre principaux composants ou couches :

– La couche perception ou capteur : elle se compose d’un certain nombre de dispositifs médicaux et de capteurs qui recueillent des données utiles liées à la santé du patient.

– La couche réseau ou communication transmet à la couche middleware les données ainsi collectées. Pour cela, elle s’appuie sur différentes technologies de réseau (WiFi, Bluetooth, LAN, etc.). Une fois collectées, les données sont envoyées vers le cloud, en s’appuyant sur différents protocoles. Parmi les plus courants, on retrouve le protocole MQTT (Message Queue Telemetry Transport), un protocole de réseau léger qui prend en charge la messagerie de publication et d’abonnement entre les dispositifs, et le protocole AMQP (Advanced Message Queuing Protocol), un protocole d’application standard ouvert permettant aux systèmes d’envoyer et de recevoir des messages.

– La couche middleware agit comme un environnement de stockage, de traitement et de gestion des données ; Ces données, du fait de leur caractère sensible, doivent être hébergées et traitées au sein d’infrastructures tiers certifiées HDS (Hébergeur de Données de Santé).

– Enfin, la couche d’application comprend une variété d’outils logiciels pour analyser les données médicales reçues.

The post Objets médicaux connectés : les défis au-delà de la cybersécurité appeared first on Sécurité.

Le département de la Seine-Maritime est touché à son tour par une « attaque informatique d’ampleur » et a dû provisoirement couper « complètement » ses réseaux,  a-t-il annoncé lundi.

Les services publics départementaux fonctionnent « selon un mode fortement dégradé » : il est désormais impossible de déposer des dossiers individuels « pour l’ensemble des dispositifs jeunesse, sport, bio éthanol et Zones à Faibles Emissions (ZFE) » ainsi qu’auprès de la Maison départementale des personnes handicapées, selon un communiqué.
Les lignes téléphoniques fixes du département sont épargnées, et les démarches restent possibles en format papier pour l’allocation personnalisée d’autonomie, les prestations de compensation de handicap et les centres médico-sociaux – ces derniers continuant d’honorer les rendez-vous prévus.

#CD76 ⚠️ Le Département de la Seine-Maritime touché par une cyber attaque

Le Département subit actuellement une attaque informatique d’ampleur. Il a été décidé de couper complétement les réseaux pour isoler, sécuriser et sanctuariser la collectivité. pic.twitter.com/SKUfHU0BAH

— Seine-Maritime (@seinemaritime) October 10, 2022

Les espaces informatiques des collèges ainsi que les directions des routes, de l’environnement et les sites et musées départementaux, qui se trouvent sur un autre réseau, fonctionnent normalement, selon la même source.

Le département dit avoir déposé plainte et émis « une pré-déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) » et indique avoir mis en oeuvre « toutes les mesures (…) pour évaluer le préjudice, protéger les données des usagers, et rétablir (sa) capacité d’agir. »

Cette attaque informatique est la troisième subie ces dernières semaines par des collectivités locales, après l’hôpital de Corbeil-Essonnes en août et la ville de Caen fin septembre, également située en région Normandie.

La Rédaction avec AFP

The post  Le département de la Seine-Maritime touché par une cyberattaque « d’ampleur » appeared first on Sécurité.

Alors que le chef de l’agence de cybersécurité allemande (BSI), Arne Schönbohm, va être révoqué après des informations de médias faisant état de liens avec une association présumée proche des services secrets russes, cette dernière, le Cyber-Sicherheitsrat Deutschland, vient de rejeter ces accusations dans un communiqué.

L’association « Cyber-Sicherheitsrat Deutschland » qui est soupçonnée d’avoir des contacts avec les milieux du renseignement russe, via un de ses membres, Protelion, vient d’indiquer exclure ce dernier, « avec effet immédiat ».
Elle indique avoir lancé cette procédure d’excusion le 30 septembre dernier après avoir « pris connaissance des allégations d’influence des services de renseignement russes sur Protelion GmbH par le biais d’une enquête des médias. »

« Les actions de Protelion GmbH constituent une violation des objectifs du Cyber-Sicherheitsrat Deutschland », explique le président de l’association Hans-Wilhelm Dünn.
« Les accusations contre le Cyber-Sicherheitsrat Deutschland d’être influencé par les autorités russes sont absurdes. Il s’agit d’allégations contre un seul membre du Cyber-Sicherheitsrat Deutschland. Protelion GmbH et son prédécesseur Infotecs GmbH (ndlr, ancien nom de Protelion, une filiale de la société russe de cybersécurité O.A.O.Infotecs, fondée par un ancien employé du service de renseignement russe KGB, selon les informations du réseau de recherche Policy Network Analytic) ont rejoint l’association en juin 2020. Depuis lors, il n’y a pas eu de discussions ou de projets communs avec des représentants de l’entreprise. En conséquence, aucune influence ne pourrait avoir lieu sur la plateforme de l’association et dans l’environnement du Cyber-Sicherheitsrat Deutschland. »

« Je condamne fermement la guerre d’agression de la Russie contre l’Ukraine en violation du droit international et des activités des services de renseignement russes à cet égard. Comme le BSI, nous n’étions pas au courant des connexions de Protelion aux services russes. Nous prenons les allégations au sérieux et soutenons les efforts des autorités de l’État pour clarifier le rôle de Protelion afin de pouvoir évaluer dans quelle mesure il y a réellement une tentative d’influence. »

L’association, cofondée en 2012 par M. Schönbohm et basée à Berlin, conseille les entreprises, agences gouvernementales et responsables politiques sur les question de cybersécurité. Elle se dit politiquement neutre et a pour but de conseiller les entreprises, les autorités et les décideurs politiques dans le domaine de la cybersécurité et de les renforcer dans la lutte contre la cybercriminalité. Les membres de l’association comprennent de grandes et moyennes entreprises, des opérateurs d’infrastructures critiques, de nombreux États fédéraux, des municipalités ainsi que des experts et des décideurs politiques liés à la cybersécurité. Par l’intermédiaire de ses membres, l’association indique représenter plus de trois millions d’employés de l’économie.

The post Le Cyber-Sicherheitsrat Deutschland rejette les accusations d’influence russe appeared first on Sécurité.

INTERVIEW – Advens, une société française de conseil et de support en cybersécurité, ambitionne de devenir rapidement le leader européen indépendant de la cybersécurité. David Buhan, son directeur général, nous explique comment son groupe, avec l’aide du fonds Capza notamment, va se développer en Europe, tant en croissance organique que via des acquisitions. Et sans sacrifier ses valeurs sur le plan sociétal et environnemental.

Olivier Bellin, journaliste à Solutions Numériques et Channel : Quel est le principal objectif d’Advens pour 2023 ?

David Buhan, le directeur général d’Advens, une importante société française de conseil et de support en cybersécurité :

Je veux développer Advens pour que le groupe devienne rapidement le « pure player » européen de référence dans la cybersécurité, car il n’y en a pas assez en Europe. Et pas forcément en termes de chiffre d’affaires. Il me semble plus important qu’Advens soit considéré comme un vrai leader, l’acteur à suivre qui change la donne, et dont la qualité de service soit toujours appréciée par ses clients.

N’existe-t-il pas déjà des leaders français de la cybersécurité ?

C’est vrai, mais si vous pensez à de grands acteurs tels qu’Orange Cyberdefense ou Atos par exemple, ils ne sont pas toujours indépendants, ni de « pure players » de la cybersécurité le plus souvent. Quant au cabinet Wavestone, la cybersécurité ne représente pour l’instant qu’environ 10 % de son chiffre d’affaires total.

Quelles mesures prenez-vous pour qu’Advens devienne ce « pure player européen de référence de la cybersécurité en Europe » ?

Nous investissons beaucoup dans notre capital humain. Advens comptera presque 400 collaborateurs au début 2023 et nous en recruterons une centaine de plus tous les ans. Le groupe enregistre également une forte croissance organique du fait d’un niveau élevé de satisfaction de s collaborateurs et clients. Nous faisons le maximum pour répondre à leurs attentes car il devient compliqué de recruter les bons talents et de les conserver. Et cela fonctionne. Notre taux de départs est trois moins élevé que dans le secteur IT en général. Enfin, Advens a investi récemment 3 M€ dans sa R&D et des logiciels tiers afin d’améliorer encore ses services.

Advens peut-il devenir un leader européen de la cybersécurité sans ouvrir des filiales à l’étranger, sachant que vous ne réaliserez « que » 70 M€ de CA d’ici 2024, et qu’en France pour l’instant ?

Non, c’est même la prochaine étape de notre plan stratégique. Advens prévoit d’ouvrir dès 2023 ses premiers bureaux en Europe continentale, tant en croissance organique que grâce à des acquisitions. Mon ambition n’est pas de créer juste une bureau dans un autre pays, mais bien un « Advens Bis », structure où le groupe dupliquera ses meilleurs processus et expertises, tout en préservant ses valeurs. Je vais annoncer en novembre 2022 le montage d’une première équipe, de taille déjà significative, dans un pays européen non francophone.

Quels pays européens ciblez-vous en priorité pour ces implantations?

L’Espagne, l’Italie, le Benelux et l’Allemagne. Je précise qu’Advens est déjà actif au Benelux même si les affaires locales sont traitées depuis la France.

Pas d’acquisitions en vue pour accélérer l’implantation d’Advens en Europe dès 2023 ?

Effectivement, une acquisition permet souvent de s’implanter plus rapidement dans un pays. Advens étudie d’ailleurs déjà quelques cibles avec l’aide de Capza, fonds qui est entré mi-2021 dans notre capital à un niveau minoritaire. Le groupe a aussi refusé des dossiers, souvent parce que les sociétés qui acceptent de se vendre ne sont pas forcément les plus rentables… ou compatibles avec nos valeurs.

Comment Advens finance-t-il sa croissance et ses futures acquisitions ?

Alexandre Fayeulle, le fondateur d’Advens en 2000, a fait entrer des fonds, dont Capza, afin de nous aider à réaliser des acquisitions, mais il souhaite conserver la maîtrise de l’essentiel de son capital. En outre, le groupe dispose d’une bonne trésorerie grâce à sa croissance soutenue (+40% en 2021), ce qui lui permet d’auto-financer ses investissements, voire de s’endetter si nécessaire.

Quelle est la demande réelle des entreprises pour investir dans un SOC-as-a-Service, l’un des produits-phares d’Advens, ou dans une « Sécurité-as-a-Service » ?

Elle est majeure. Cette offre représentera bientôt plus des 2 tiers de l’activité d’Advens, contre près de 50 % en 2022. En effet, comme il est difficile et coûteux de monter un Centre de Services en Cybersécurité (SOC) en interne, mais aussi de trouver les cyber compétences nécessaires pour le faire tourner 24/7, beaucoup de sociétés renoncent à en créer un. Advens leur propose donc un SOC industrialisé et mutualisé abordable. Le groupe a investi très tôt dans les bons outils et le machine learning. Cela nous a permis de réduire les seuils de détection des menaces et la taille de l’entrée de l’entonnoir qui alimente en alertes les analystes pour ne pas les surcharger inutilement. Je précise également que nous avons verticalisé cette offre « SOC-as-a-Service », afin d’en faciliter l’accès à des acteurs du secteur médical par exemple.

Cette offre fait-elle pas d’Advens un fournisseur de services de cybersécurité infogérés (MSSP) ?

Advens n’est pas un fournisseur de services de cybersécurité infogérés au sens littéral du terme, car nous opérons surtout des processus de détection et de réponse aux cyber incidents (MDR) pour nos clients, et non pas une technologie en particulier.

Pourquoi avoir enrichi cette année les services proposés par votre équipe de réponse à incidents (Cert – Computer Emergency Response Team) ?

Advens veut être capable de proposer à ses clients tous les services en cybersécurité, y compris au niveau de la réponse à incidents (Cisrt). Créée en 2020, notre cellule de crise Cert dispose depuis 2022 de nouveaux outils et processus lui permettant de mieux détecter et de fournir du renseignement sur les cybermenaces.

Advens va-t-il créer sa propre Ecole de formation à la cybersécurité et à quelles fins ?

Il existe une vraie pénurie de compétences en cybersécurité, ainsi que des problèmes d’inclusivité et de diversité dans notre secteur. Ainsi, notre association Linked Out aide les personnes précaires à retrouver un emploi. Certaines d’entre elles pourront aussi être formées dans l’école en Cybersécurité qu’Advens lancera en 2023 avec l’aide de la société de formation Simplon. Pour l’instant, nous sommes partenaires de Microsoft qui a ouvert cette année, avec Simplon également, l’Ecole Cyber Microsoft by Simplon dont l’ambition est de former avec nous 100 demandeurs d’emploi dès la première année.

Pourquoi avoir lancé le fonds de dotation Advens For People and Planet ?

Quand j’ai rejoint Alexandre Fayeulle il y a 5 ans, j’ai découvert grâce à lui l’entreprise que j’aurai souhaité créer car il l’a doté d’un projet sociétal et environnemental, sans négliger ses ambitions pour autant. Nous partageons une vraie conviction profonde face à l’urgence de répondre aux enjeux sociétaux et écologiques. Nous avons décidé que 50 % de la valeur financière du groupe, soit environ 3 fois notre chiffre d’affaires annuel, financera désormais l’Advens for People and Planet, un fonds de dotation non lucratif.

The post Advens veut devenir l’acteur européen de référence de la cybersécurité appeared first on Sécurité.

 (AFP) – Le chef de l’agence de cybersécurité allemande (BSI), Arne Schönbohm, va être révoqué après des informations de médias faisant état de liens avec une association présumée proche des services secrets russes, a-t-on appris auprès de sources gouvernementales lundi.

« Un changement au poste de président du BSI va intervenir rapidement« , ont précisé ces sources. Le ministère de l’Intérieur a déclaré de son côté « prendre au sérieux » les
allégations contre Arne Schönbohm, et « enquêter de manière exhaustive » à ce sujet. « Le ministère étudie toute les options sur la façon de gérer cette situation« , a-t-il ajouté sans préciser davantage.

Arne Schönbohm est mis en cause en raison de ses contacts présumés avec une association baptisée « Cyber-Sicherheitsrat Deutschland » (Conseil allemand de cybersécurité), elle même soupçonnée d’avoir des contacts avec les milieux du renseignement russe. Ces liens ont fait l’objet d’investigations récemment présentées dans
l’émission de la chaîne de télévision publique « ZDF Magazin Royale ».

L’association, cofondée par M. Schönbohm et basée à Berlin, conseille les entreprises, agences gouvernementales et responsables politiques sur les question de cybersécurité.
Lundi, elle a qualifié les accusations selon lesquelles elle serait sous influence russe « d’absurdes« .
Selon le quotidien des affaires Handelsblatt, M. Schönbohm fait l’objet d’un « grand mécontentement » au sein du gouvernement. La présentation du rapport annuel du BSI par M. Schönbohm et la ministre de l’Intérieur Nancy Faeser jeudi a été annulé, affirme plusieurs médias.

Ce limogeage de facto interviendrait alors que l’Allemagne a subi samedi un sabotage ferroviaire de grande ampleur, pour lequel certains ont évoqué la piste russe dans le contexte de la guerre en Ukraine. Un sectionnement de câbles de communication stratégiques pour les trains avait paralysé le trafic pendant trois heures dans le nord du pays.

Moscou a été accusé à plusieurs reprises de cyber-espionnage contre Berlin, avant même le début de l’invasion russe en Ukraine. La Russie est notamment rendue responsable d’un piratage informatique à grande échelle qui a visé en 2015 les ordinateurs du Bundestag et les services de la chancelière d’alors Angela Merkel, ainsi que l’Otan et la chaîne de télévision francophone TV5 Monde.

The post  Allemagne : le chef de l’agence de cybersécurité va être révoqué appeared first on Sécurité.

50 % des responsables de la sécurité interrogés en France dans une étude de Gigamon, un spécialiste de l’observabilité avancée, pensent que le marché de la cyberassurance exacerbe la crise des ransomwares.

Selon l’étude « L’état des ransomwares en 2022 et au-delà »*, la prolifération des ransomwares force les entreprises à déployer de nouveaux outils de détection, de lutte, de sauvegarde et récupération des données. Les cyberassurances sont également citées comme une autre solution vers laquelle les professionnels de la sécurité se tournent face aux attaques.

63 % des DSI et RSSI confirment que la cyberassurance est un des composants de la stratégie de cybersécurité de leur entreprise (voir graphique). Mais 50 % déclarent néanmoins que les cyberassurances exacerbent très probablement la crise des ransomwares. Ils sont encore nombreux à considérer que le paiement des rançons est contre-productif, alimentant à leurs yeux la cybercriminalité. Par ailleurs, il déresponsabiliserait les entreprises qui seraient moins enclines à s’équiper d’outils ou de solutions de détection et de protection adaptés.

Pour aller plus loin, lire notre dossier Assurance des risques cyber – Entre incitation et durcissement (solutions-numeriques.com)

*Vitreous World a analysé, pour le compte de Gigamon, les témoignages de 1 020 décideurs IT et sécurité sur six marchés mondiaux clés : les États-Unis, le Royaume-Uni, la France (200), l’Allemagne, l’Australie et Singapour en juin 2022.

Pour les résultats complets de l’étude, cliquez ici

The post La cyberassurance est-elle un facteur d’amplification des attaques ? 50 % des DSI et RSSI français le pensent appeared first on Sécurité.

Selon l’étude de KPMG « CEO Outlook 2022« *, le contexte économique contraint les dirigeants à revoir leurs stratégies tech et digitale.

Si, en raison de la récession anticipée par les dirigeants, 78 % d’entre eux à l’international et 70 % des français ont ainsi pris ou vont prendre dans les 6 prochains mois des mesures pour mettre en pause ou circonscrire leur transformation digitale, le risque cyber reste un enjeu stratégique majeur pour les entreprises. En France, 87 % (et 77 % à l’international) estiment que la sécurité de l’information est une fonction stratégique et une source potentielle d’avantage concurrentiel pour leur entreprise.

Le contexte géopolitique constitue particulièrement une source de préoccupation : 79 % des dirigeants français (72 % à l’international) affirment que l’incertitude géopolitique suscite des inquiétudes quant au risque de cyberattaques pour les entreprises.

Face à ces menaces, les dirigeants se déclarent confiants et préparés : en France, 75 % d’entre eux déclarent avoir un plan pour faire face aux attaques par rançongiciel (72 % chez les dirigeants internationaux).

*Cette 8^e édition de l’étude internationale CEO Outlook 2022 de KPMG a été menée entre juillet et août 2022 auprès de 1 325 dirigeants internationaux. Tous les répondants ont un chiffre d’affaires annuel supérieur à 500 millions de dollars US et un tiers des entreprises interrogées ont un chiffre d’affaires annuel supérieur à 10 milliards de dollars US.

The post Transformation numérique, cybersécurité : des enjeux majeurs impactés par un contexte conjoncturel incertain (étude) appeared first on Sécurité.

Joe Biden a signé le 7 octobre 2022 un décret pour renforcer les garanties que mettront en œuvre les États-Unis afin de mieux protéger les données personnelles, des Européens notamment. Ce texte pourrait faciliter l’implémentation de la nouvelle version du système de protection des données (FDP) entre l’Union européenne et les États-Unis. Ce « Privacy Shield 2.0 » pourra-t-il passer enfin le test de la Cour de justice européenne ? Max Schrems, le président de Noyb, en doute.

« Les flux de données transatlantiques sont essentiels à la relation économique entre l’UE et les États-Unis, qui représente 7 100 milliards de dollars. Le FPD UE-États-Unis rétablira une base juridique importante pour les flux de données transatlantiques en répondant aux préoccupations que la Cour de justice de l’Union européenne a soulevées en invalidant l’ancien cadre du bouclier de protection de la vie privée UE-États-Unis en tant que mécanisme de transfert de données valide en vertu du droit communautaire » explique le 7 octobre 2022 la Maison Blanche.

Selon son locataire, ce décret renforce un ensemble « déjà rigoureux » de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement des États-Unis. Il fait référence indirectement à l’application de lois américaines, telles que le Cloud Act, qui permettent à ses agences de renseignement de s’emparer et de consulter les données traitées ou hébergées par toutes les sociétés américaines, dont les célèbres Gamma (ex-Gafam) qui sont souvent dans le collimateur de l’administration américaine.

L’administration américaine explique qu’elle va créer, sans en préciser la date, un « mécanisme indépendant et contraignant permettant aux personnes des États et des organisations d’intégration économique régionale remplissant les conditions requises, tels que désignés par le décret, de demander réparation si elles estiment que leurs données personnelles ont été collectées par les services de renseignement américains d’une manière qui viole la législation américaine applicable ».

Le décret américain sera-t-il validé par l’EDPB et la CJEU ?

Ce décret américain va dans le bon sens. Mais sera-t-il validé par l’Union européenne et le Conseil européen de la protection des données (EDPB), l’organisme européen qui supervise toutes les agences européennes de protection des données, dont la Cnil ? Ce dernier se félicitait en avril 2022 d’un accord politique sur un futur Privacy Shield 2.0. Toutefois, il demandait déjà à l’époque des éclaircissements sur les propositions concrètes de la Commission européenne et des Etats-Unis pour s’engager.

Max Schrems, le président de Noyb qui est à l’origine notamment de l’arrêt « Schrems II », ne voyait d’ailleurs pas à l’époque comment ce texte pourrait passer le test de la Cour de justice européenne (CJEU). Les accords précédents ayant échoué deux fois à cet égard.

Quant à Paul-Olivier Gibert, le président de l’association des DPO (AFCDP), en doute même s’il affiche un optimisme raisonnable : « Le texte signé par Joe Biden qui encadre l’accès aux données par les services de renseignement est nécessaire, mais il est en lui-même insuffisant pour rétablir la sécurité juridique des échanges de données transatlantiques : les prochaines étapes nécessiteront la vigilance des acteurs ».

Sinon, on a également appris la semaine dernière que la Grande-Bretagne remplacera le RGPD européenne par son propre système, qui devrait être nettement moins lourd et contraignant.

La Maison Blanche donne des précisions sur son décret

Le décret exige tout d’abord que ces activités de renseignement des États-Unis ne soient menées que dans la « poursuite d’objectifs de sécurité nationale définis, qu’elles prennent en considération la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence, et qu’elles ne soient menées que lorsque cela est nécessaire pour faire progresser une priorité validée en matière de renseignement et uniquement dans la mesure et d’une manière proportionnées à cette priorité ». Certes, mais où commence la liberté des uns et où se terminent celle des autres ? Et qu’entend l’administration américaine quand elle dit en gros que ce décret ne s’applique pas quand il s’agit de « faire progresser une priorité validée en matière de renseignement », selon qui et au bénéfice de qui ?

Le décret rend obligatoire le traitement des informations personnelles collectées… par un nouveau mécanisme à plusieurs niveaux

Ensuite, le décret rend obligatoire le traitement des informations personnelles collectées par le biais d’activités de renseignement, sans en préciser de quelle façon. Il étend aussi les responsabilités des responsables juridiques, de la surveillance et de la conformité « afin de garantir que des mesures appropriées sont prises pour remédier aux incidents de non-conformité ». Si oui, lesquelles concrètement ? La Maison Blanche précise juste qu’elle « exige que les éléments de la communauté du renseignement des États-Unis mettent à jour leurs politiques et procédures afin de refléter les nouvelles mesures de protection de la vie privée et des libertés civiles contenues dans le décret ».

Cela dit, l’administration américaine précise qu’elle va créer un « mécanisme à plusieurs niveaux pour les personnes des États et des organisations d’intégration économique régionale admissibles, tels que désignés conformément par les services de renseignement, afin d’obtenir un examen et une réparation indépendants et contraignants des plaintes selon lesquelles leurs informations personnelles collectées par le renseignement américain ont été collectées ou traitées par les États-Unis en violation du droit américain applicable, y compris les garanties renforcées du texte ».

Indépendants, les juges de la CLPO pourront déterminer les mesures correctives appropriées si besoin

Dans le cadre du premier niveau, l’officier de protection des libertés civiles du bureau du directeur du renseignement national (CLPO) mènera une enquête initiale sur les plaintes admissibles reçues, afin de déterminer si les garanties renforcées par le décret ou d’autres lois américaines applicables ont été violées et, le cas échéant, de déterminer les mesures correctives appropriées. « Le décret renforce les fonctions statutaires existantes de la CLPO en établissant que sa décision sera contraignante pour la communauté du renseignement, sous réserve du deuxième niveau de contrôle, et fournit des protections pour garantir l’indépendance des enquêtes et des décisions de la CLPO ».

En tant que deuxième niveau de contrôle, le décret autorise et charge l’Avocat Général d’établir une Cour de révision de la protection des données (« DPRC ») – l’équivalent du Conseil européen de la protection des données (EDPB) ? –, afin d’assurer un contrôle indépendant et contraignant des décisions de la CLPO, sur demande de la personne concernée ou d’un élément de la communauté du renseignement. « Les juges de la DPRC seront nommés en dehors du Gouvernement américain et ils auront une expérience pertinente dans les domaines de la confidentialité des données et de la sécurité nationale, examineront les cas de manière indépendante et bénéficieront de protections contre la révocation ».

Les décisions de la Cour de Révision de la Protection des Données seront contraignantes

Les décisions du DPRC concernant l’existence d’une violation du droit américain applicable et, le cas échéant, les mesures correctives à mettre en œuvre, seront contraignantes. Pour améliorer encore l’examen du DPRC, le décret prévoit que ce dernier pourra choisir un avocat spécial dans chaque cas qui défendra les intérêts du plaignant dans l’affaire. Il s’assurera que le DPRC est bien informé des questions et de la loi concernant l’affaire. Le procureur général a publié aujourd’hui un règlement d’accompagnement sur l’établissement de la CRDP.

Enfin le décret demande au Conseil de surveillance de la vie privée et des libertés civiles « d’examiner les politiques et les procédures de la Communauté du renseignement pour s’assurer qu’elles sont conformes au décret et de procéder à un examen annuel de la procédure de recours, notamment pour vérifier si la Communauté du renseignement s’est pleinement conformée ».

The post Un décret américain pourrait faciliter l’implémentation de la nouvelle version du Privacy Shield 2.0 appeared first on Sécurité.

Vendredi 7 octobre, les chercheurs de Bitdefender ont alerté sur une campagne de cryptojacking ciblant les utilisateurs Microsoft OneDrive en vue d’installer des logiciels malveillants de crypto mining.

Entre le 1^er mai et le 1^er juillet 2022, Bitdefender indique avoir détecté plus de 700 cas de crypotjacking OneDrive.Pour mener à bien leur attaque, les cybercriminels exploitent les vulnérabilités connues de type DLL side-loading, leur permettant de passer sous les radars de détection. « Bien que l’objectif de cette campagne soit le cryptojacking, cette technique pourrait tout à fait être utilisée pour déposer des ransomwares, des spywares et autres malwares sur le système de la victime » selon l’éditeur.

  « Nous appelons les utilisateurs de OneDrive à rester en alerte, de s’assurer que leur antivirus et que leur système d’exploitation sont à jour et d’appliquer les indicateurs de compromission à leurs outils de prévention, détection et réponse aux attaques au niveau de leur endpoints (EDR) », recommande Bogdan Botezatu, Directeur Threat Research and reporting de Bitdefender.

Le spécialiste ajoute : « Il est à noter que Microsoft a évidemment conscience de ce type d’attaque et recommande aux utilisateurs d’installer OneDrive en mode « per-machine » (ndlr, par machine et non par utilisateur), car cela empêche tout accès non autorisé au dossier de l’application ».  

The post Une campagne de cryptojacking cible les utilisateurs de Microsoft OneDrive appeared first on Sécurité.

Après avoir détecté une activité inhabituelle sur son réseau la semaine dernière, Lloyd’s of London a réinitialisé ses systèmes informatiques.

« Lloyd’s a détecté une activité inhabituelle sur son réseau et nous enquêtons sur le problème », a déclaré un porte-parole aux medias. « Par mesure de précaution, nous réinitialisons le réseau et les systèmes de Lloyd’s. Toute la connectivité externe a été désactivée, y compris les plateformes d’autorité déléguée de Lloyd’s. »

S’agit-il d’une cyberattaque ? Lloyd’s of London étudie cette possibilité, sans en dire davantage. Rappelons que l’organisation a condamné l’invasion de l’Ukraine par la Russie et soutenu les sanctions contre Moscou.

The post Lloyd’s of London visé par une cyberattaque ? appeared first on Sécurité.

(AFP) – Le militant pour le respect de la vie privée Max Schrems a jugé vendredi « très probable » une action en justice contre le nouveau cadre fixé pour le transfert des données personnelles de l’Union européenne vers les Etats-Unis.

« Nous allons vraisemblablement attaquer (le texte) en justice », a-t-il dit à l’AFP, évoquant une probabilité de « 90%« . « Nous devons d’abord l’analyser en détail, ce qui va nous prendre quelques jours. De prime abord, il semble que les questions centrales ne sont pas
résolues et le dossier sera de retour devant la justice tôt ou tard », a-t-il également réagi dans un communiqué.

Le président américain Joe Biden a signé vendredi un décret, quelques mois après avoir trouvé un accord de principe avec Bruxelles. Le texte vise à garantir la confidentialité et la protection des libertés civiles dans les programmes de surveillance américains visant les données recueillies en Europe et transférées ou hébergées outre-Atlantique.

« A la fin, l’opinion de la CJUE l’emportera »

L’Autrichien Max Schrems, fondateur de l’ONG Noyb (« None Of Your Business »), est à l’origine de l’invalidation des deux premiers accords. « Safe Harbor » en 2015, puis son successeur « Privacy Shield » en 2020, ont tous deux été retoqués par la Cour de justice de l’UE (CJUE).
Dans son dernier arrêt, la plus haute juridiction européenne avait estimé que le « Privacy Shield », utilisé par 5 000 entreprises américaines, dont les géants comme Google ou Amazon, ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données sont transférées ».
« La surveillance de masse va continuer (…) A la fin, l’opinion de la CJUE l’emportera – et tuera une nouvelle fois cet accord », a prédit M. Schrems. « La Commission européenne ferme les yeux sur la loi américaine, permettant la poursuite de l’espionnage des Européens », a-t-il fustigé.
Le militant est également sceptique envers la création d’un mécanisme indépendant et contraignant permettant aux individus des États éligibles de demander réparation s’ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains. « Il est clair que ce soi-disant tribunal n’est pas un vrai tribunal », a-t-il commenté.

The post Données UE-USA : Max Schrems juge « très probable » une nouvelle action en justice appeared first on Sécurité.

Depuis que le recours au télétravail s’est accentué, les actifs ont davantage de difficultés à délimiter la vie au bureau et à la maison. Malheureusement, le niveau de sécurité est plus faible en dehors des murs de l’entreprise où les réseaux sont souvent sécurisés, mettant en exergue le manque de connaissances des bonnes pratiques de sécurité hors du cadre professionnel, selon une étude* de Cisco.

Ainsi, l’authentification multifactorielle, qui permet de limiter le piratage des mots de passe, n’est utilisée que par 50 % des interrogés. 23 % ne savent même pas ce qu’est l’authentification multifactorielle. En revanche, les Français sont plus nombreux à utiliser cette méthode de connexion sur leurs appareils personnels que sur leurs appareils professionnels. Les Français sont-ils davantage préoccupés par la protection de leurs données partagées dans leur vie personnelle, telles que les informations bancaires, que par la confidentialité des données sensibles propres à leur entreprise ? 92 % des Français ont d’ailleurs déjà passé un appel professionnel depuis leur appareil personnel et 63 % s’en servent pour envoyer fréquemment des mails professionnels. Dans ce cas, le tort est partagé avec les entreprises puisque ces dernières se doivent de mettre à disposition les outils adéquats pour travailler en toute sécurité.

Le Wifi pour le streaming vidéo

39 % des Français utilisent régulièrement les réseaux publics à des fins personnelles ou professionnelles. Grands consommateurs de streaming vidéo, encore plus depuis le premier confinement, les Français délaissent volontairement la 4G au profit d’un réseau Wifi plus puissant pour accéder aux différentes plateformes à tout moment. Néanmoins, ce désir doit s’accompagner d’un recours accru à des solutions de sécurisation telles qu’un VPN ou du moins, adopter un comportement plus responsable sur internet. Selon Martin Lee, responsable EMEA chez Talos, l’organisation de recherche et de renseignement sur les menaces de Cisco. « L’utilisation de la fonction hotspot du téléphone accompagné d’un mot de passe robuste sera toujours plus sûre que l’utilisation d’un réseau public. De la même manière, l’utilisation d’un VPN ajoute une couche de sécurité supplémentaire. »

* Un échantillon représentatif de la population française de 1 047 personnes a été interrogé pendant le mois d’août 2022.

The post Utilisation du Wifi public ou d’un smartphone perso pour le travail… les Français mauvais élèves de la cyber appeared first on Sécurité.

(AFP) – Binance, la plus grande plateforme de cryptomonnaies au monde en termes de volume, a affirmé vendredi avoir été victime d’un piratage, évaluant l’ampleur du vol à environ 100 millions de dollars.

Selon Binance, les hackers sont parvenus à retirer un total de 2 millions de BNB, la cryptomonnaie émise par Binance, soit environ 580 millions de dollars au cours de vendredi. Is n’ont toutefois pu en exploiter qu’une fraction, la majorité du montant ayant été immédiatement bloquée.
Grâce à la réaction rapide des personnes chargées de valider les transactions, « la majorité des fonds sont restés sur l’adresse des hackers », a indiqué à l’AFP un porte-parole de Binance, affirmant que « ces fonds n’ont pas pu être transférés ». Environ 100 millions de dollars ont en revanche été dérobés et n’ont pour l’heure pas pu être récupérés.
Plus tôt dans la journée, le patron de Binance, Changpeng Zhao, plus connu
sous le pseudonyme « CZ », avait tenté de rassurer sa communauté d’utilisateurs
en assurant sur Twitter, où il compte 7 millions d’abonnés: « Le problème est
désormais maîtrisé ». « Vos fonds sont en sécurité. Nous présentons nos excuses pour la gêne occasionnée et fournirons d’autres mises à jour en conséquence », avait ajouté
« CZ ».
Dans une publication sur le site Reddit, Binance a par ailleurs précisé que sur l’ensemble de la somme effectivement dérobée, environ 7 millions de dollars avaient été gelés.

Les pirates ont pris pour cible le pont inter-chaînes BSC Token Hub. Un pont est un service qui permet à un utilisateur de transférer des jetons cryptographiques d’une blockchain vers une autre. La blockchain Binance Smart Chain (BSC) à laquelle est reliée le pont visé
par les hackers a elle été suspendue après le piratage avant d’être rétablie quelques heures plus tard.

Les attaques informatiques contre des ponts inter-chaînes se multiplient

Les attaques informatiques contre des ponts inter-chaînes se sont multipliées au cours des derniers mois. En août, des hackers ont ainsi volé l’équivalent de 190 millions de dollars
en exploitant une faille du pont Nomad. Selon Chainanalysis, 2 milliards de dollars ont été dérobés via 13 piratages de ponts inter-chaînes entre janvier et août. Ces attaques représentent 69 % des vols de cryptomonnaies en 2022, indique Chainanalysis.
Elliptic, un autre cabinet d’analyses en cryptomonnaies, a noté dans son rapport trimestriel sur les piratages publié cette semaine que les ponts « ont tendance à accumuler de grandes quantités d’actifs verrouillés sur de nombreuses blockchains, dont beaucoup n’ont peut-être pas de culture de sécurité ou d’audit avancée en raison de leur relative obscurité ». Cela fait des ponts « une cible attrayante pour les cybercriminels  », ajoute Elliptic.
Les experts estiment que les ponts sont particulièrement ciblés par des hackers liés à des groupes terroristes ou des régimes dictatoriaux, notamment la Corée du Nord.

The post Cryptomonnaies : 100 millions de dollars volés sur Binance après un piratage appeared first on Sécurité.

Le récent sabotage des gazoducs Nord Stream en Mer du Nord a rappelé la vulnérabilité des infrastructures stratégiques nécessaires au fonctionnement de nos économies. Que se passerait-il si les câbles internet sous-marins étaient visés alors qu’ils représentent 95 % du trafic Internet ? Le lundi 3 octobre, le président de la République Emmanuel Macron a d’ailleurs demandé une inspection des câbles sous-marins du réseau français.

Solutions-Numériques a demandé à Cloudfare, dont le réseau de distribution de contenus est le plus vaste du monde et qui protège 20 % du trafic internet mondial, de répondre à nos questions sur le sujet. David Belson, Head of Data Insight chez Cloudflare, s’est attelé à la tâche.

Solutions Numériques : Combien de kilomètres représentent les câbles internet sous-marins ? Quel pourcentage de liaisons internet passent par des câbles sous-marins ?

David Belson : Une récente FAQ de Telegeography (un expert dans ce domaine) indique qu’il y a plus de 1,3 million de kilomètres de câbles sous-marins en service dans le monde en 2021. S’il s’agit d’un chiffre intéressant, il n’est pas très significatif. Additionner la longueur de toutes les routes du monde ne dit rien de vraiment utile sur les transports. Dans un rapport publié en 2021 par le Conseil de l’Atlantique, on estime à plus de 95 % le trafic internet intercontinental acheminé par ces câbles. C’est assez logique puisque les câbles sous-marins ne sont pas nouveaux. Ils ont d’abord été utilisés pour transporter le trafic télégraphique intercontinental, puis le trafic vocal, aux XIXe et XXe siècles.

Quels territoires français (continent et outre-mer) seraient concernés par un sabotage ? Et par ricochet le reste de l’Europe/monde ?

Avant-propos : Liste des connections existantes pour les territoires d’outre-mer français (Source : Submarine Cable Map)

• Guyane Française : Americas-II, Deep Blue One (2024), Kanawa
• Guadeloupe : ECFS, GCN, GCIS, Southern Caribbean FIber
• Martinique : Americas-II, ECFS, Kanawa, Southern Caribbean Fiber
• Mayotte : Avassa, FLY-LION3, LION2
• Réunion : LION, METISS, SAFE
• Polynésie Française : Honotau, Manatua, Natitua, Natitua Sud (2023)
• Saint-Barthélemy : GCN, SSCS, Southern Caribbean Fiber
• Saint-Martin : GCN, SMPR-1, Southern Caribbean Fiber
• Saint-Pierre et Miquelon : St. Pierre and Miquelon Cable
• Wallis et Futuna : Tui-Samoa

Il n’existe pas de données concernant Clipperton et les Terres australes et antarctiques françaises.

La plupart des territoires d’outre-mer français sont connectés à plusieurs câbles. Mais il faut savoir qu’il y a en général un câble « principal », puis des « embranchements » qui se connectent aux points d’atterrissage dans les pays situés le long du parcours. L’impact d’un sabotage pourrait donc dépendre de l’endroit où la coupure se produit sur le câble. Par ailleurs, en raison de l’éloignement de certains de ces territoires, ces systèmes de câbles ne sont pas nécessairement reliés au « continent », mais plutôt à un autre pays/territoire qui peut lui-même dépendre largement des câbles sous-marins pour se connecter à Internet. Le sabotage de l’un de ces câbles « amont » pourrait avoir un impact sur la connectivité Internet d’un territoire français sans que ses câbles directement connectés soient endommagés.

L’impact sur l’Europe et le reste du monde dépendrait du ou des câbles endommagés et de l’endroit où ils se trouvent. En d’autres termes, l’endommagement de l’embranchement guyanais du câble Americas-II aurait un impact sur ce territoire, mais il est peu probable qu’il ait un impact plus important sur l’Europe ou le reste du monde.
En revanche, l’endommagement des principaux segments d’un ou de plusieurs systèmes de câbles reliant l’Europe aux États-Unis, ou à l’Asie via l’Afrique, pourrait avoir un impact notable sur la connectivité Internet européenne. Par exemple, les dommages subis par les câbles AAE-1 et SMW-5 lors de leur passage en Égypte ont eu un impact sur la connectivité de plusieurs pays.

Est-il facile d’endommager ces câbles ? 

Il existe de nombreux exemples de câbles sous-marins endommagés par des tremblements de terre ou des catastrophes naturelles, ainsi que par des ancres de navires errants. La facilité des dommages potentiels dépend aussi de l’endroit où ils sont situés, de la manière dont ils sont installés (enterrés ou suspendus) et de l’épaisseur du câble – un câble de 1 cm serait beaucoup plus facile à endommager qu’un câble de 20 cm d’épaisseur. Mais quoi qu’il en soit, un adversaire déterminé trouvera toujours un moyen.

Quelles conséquences ? A-t-on des exemples similaires passés ?

En fonction de l’étendue des dommages et de la disponibilité de connexions redondantes, les conséquences peuvent aller de l’isolement complet des télécommunications à l’augmentation de la latence et de la congestion sur les connexions disponibles (qui se manifesterait par un ralentissement des performances perçues ou des expériences audio/vidéo de moindre qualité).

Il existe de nombreux exemples de l’impact provoqué par des câbles sous-marins endommagés. Sur l’année 2022 on peut citer l’éruption volcanique aux Îles Tonga qui a endommagé leur principale liaison sous-marine, les problèmes sur les câbles AAE-1 et SMW-5 qui ont impacté plusieurs pays du Moyen-Orient et d’Afrique ou encore la coupure de deux des trois câbles reliant la Tasmanie au continent.

Quel temps faudrait-il pour réparer des câbles endommagés ? 

Le temps nécessaire à la réparation des câbles endommagés peut aller de quelques semaines à plusieurs mois. Cela dépend de plusieurs facteurs tels que la précision de l’emplacement identifié du dommage, l’accessibilité du câble endommagé, les conditions météorologiques locales (tempêtes ou glace, par exemple), la disponibilité des navires câbliers ainsi que leur emplacement par rapport au câble endommagé.

Après l’éruption volcanique de Tonga, il a fallu 38 jours pour effectuer les premières réparations du câble. En juin 2022, un câble sous-marin endommagé au Groenland n’a pas pu été réparé avant le mois d’août suivant en raison des conditions météorologiques. Mais dans ce cas, une fois le navire arrivé sur place, les réparations ont été effectuées en un peu plus d’une semaine.

A-t-on des moyens de substitution ? 

La connectivité alternative dépend d’un certain nombre de facteurs. Comme indiqué précédemment, un pays/territoire est souvent connecté à plusieurs câbles. Si l’un d’entre eux tombe en panne, le trafic peut potentiellement basculer sur un autre. La connectivité terrestre peut également fournir une redondance, mais elle est plus pertinente pour les sites continentaux. Par exemple, si la France devait perdre toute sa connectivité par câble sous-marin en même temps (un scénario extrêmement improbable), le trafic pourrait potentiellement basculer vers des connexions à des réseaux en Espagne, en Allemagne, en Italie et dans d’autres pays voisins, en tirant parti de leur connectivité internationale pour atteindre le reste de l’Internet mondial. Les liaisons par satellite peuvent également constituer une alternative temporaire, bien que leur capacité soit bien inférieure à celle des câbles à fibres optiques et qu’elles soient souvent très coûteuses.

Cependant, il ne faut pas oublier l’aspect commercial de ces alternatives technologiques. Les réseaux et/ou les gouvernements des endroits touchés doivent avoir des accords contractuels en place pour pouvoir utiliser ces alternatives et disposer d’une capacité suffisante.

Outre des sabotages, que se passerait-il un cas de pannes de courant ?

Les pannes de courant peuvent se produire pour de multiples raisons et constituent une menace constante pour Internet. Nous devons envisager les choses du point de vue de l’infrastructure et du point de vue du consommateur.

L’infrastructure comprend les datacenters, les points d’échange Internet, les « têtes de réseau » locales, les antennes de téléphonie mobile, etc. Souvent, ces installations disposent d’une alimentation de secours (batteries ou générateurs) et ont des relations/contrats avec les fournisseurs de carburant locaux pour une livraison prioritaire en cas de panne généralisée. L’infrastructure Internet doit donc pouvoir rester disponible/en ligne, même en cas de panne de courant.

C’est généralement pour les consommateurs que l’on constate le plus grand impact sur la connectivité Internet en cas de panne de courant. Les équipements de connexion tels que les modems ou les routeurs, ainsi que les appareils connectés à Internet ont besoin d’énergie pour fonctionner. En cas de panne de courant, si l’endroit où se trouve l’utilisateur ne dispose pas d’une alimentation de secours, les modems et routeurs cessent de fonctionner, ce qui met effectivement l’utilisateur hors ligne. Dans certains cas, la connexion par le biais d’un téléphone mobile peut être une alternative, mais elle sera limitée par l’autonomie de la batterie du téléphone…

Quel rôle à jouer pour Cloudflare ?

Cloudflare ne fournit pas d’accès direct à Internet aux consommateurs ou aux entreprises, et nous ne possédons pas d’infrastructure de câbles sous-marins. Cependant, notre réseau distribué à l’échelle mondiale peut aider à maintenir le contenu et les applications les plus locales pour les utilisateurs finaux, en réduisant la dépendance à l’égard des infrastructures Internet internationales comme les câbles sous-marins. Cloudflare dispose de datacenters dans 275 villes de plus de 100 pays, connectés à 11 000 fournisseurs de réseau. Nous sommes ainsi capables d’atténuer les attaques et les menaces au plus près de leur origine. Grâce à notre plateforme Workers et les technologies qui la supportent, nos clients peuvent exécuter des applications aux limites d’Internet, au plus près des utilisateurs finaux, en minimisant le besoin de contacter les serveurs d’origine hébergés de l’autre côté de l’océan ou à l’autre bout du monde. En outre, pour les demandes qui doivent être renvoyées à un serveur d’origine à partir de notre réseau, nous pouvons exploiter les technologies d’optimisation des routes pour identifier le meilleur chemin à prendre, en évitant les routes sur des infrastructures endommagées.

Propos recueillis par Juliette Paoli

The post Après les fuites de Nord Stream, les câbles internet sous-marins sont-ils à risques ? appeared first on Sécurité.

Le grossiste Arrow Electronics va distribuer les logiciels de Tehtris afin d’adresser les fournisseurs de services de sécurité infogérés (MSSP) en France.

L’éditeur Tehtris, un spécialiste de la neutralisation des cyber attaques, a choisi cet automne le grossiste Arrow Electronics pour accompagner son développement en France. Il commercialise un logiciel XDR, dont les huit modules facilitent la neutralisation automatique et sans action humaine des cybermenaces, qui devrait intéresser les fournisseurs de services de sécurité infogérés (MSSP).

Comme le confirme Cyril Serina, responsable Channel de Tehtris : « Le partenariat avec Arrow-ECS va nous permettre de poursuivre la dynamique de recrutement de nouveaux acteurs MSSP souhaitant proposer à leurs clients une approche 360 degrés de la cybersécurité. C’est également un atout supplémentaire pour nos partenaires existants qui pourront bénéficier de la proximité des équipes d’Arrow ECS France au travers de leurs agences en région et de leur vaste gamme de services à valeur ajoutée autour de nos solutions. »

The post Arrow Electronics référence Tehtris en France appeared first on Sécurité.

SysDream a élargi son horizon pour proposer aujourd’hui aux organisations un parcours cyber exhaustif avec des activités d’audit-conseil et formation, de SOC, de CERT ainsi que de fourniture et d’intégration de solutions.

SysDream est l’une des trois entités de Hub One, filiale à 100 % du groupe ADP. Consacrée à la cybersécurité, elle est bien connue des experts du domaine, notamment à travers son événement annuel Hack In Paris et ses activités de formation et de cyber-entraînement, son périmètre historique.

5 activités et des partenaires triés sur le volet

Dorénavant, l’entreprise aux nombreuses qualifications et certifications – elle est en particulier qualifiée PASSI (Prestataires d’Audit de la Sécurité des SI) par l’ANSSI – articule son offre autour de 3 piliers : la conception et l’évaluation de la sécurité du SI, sa sécurisation, sa surveillance et sa remédiation.

« Nous avons cinq activités principales », explique Gregory Mauguin, directeur général de SysDream à la tête de cette entité depuis février 2022. Le dirigeant cite d’abord la partie audit, conseil et formation – certifiée Qualiopi – avec du cyber-entraînement. Puis, l’édition. En juin, à l’occasion du Forum International de la Cybersécurité de Lille, l’entreprise a d’ailleurs présenté la dernière version d’Ovéliane, une solution logicielle pour la gestion de la conformité des endpoints, interopérable avec les différents SIEM.

Gregory Mauguin évoque ensuite « les activités d‘intégration et de déploiement de solutions partenaires sur les SI des clients ». Il s’agit par exemple de gérer la sécurité applicative, les accès à privilèges, etc. Le nombre de partenaires est « extrêmement restreint, trié sur le volet », ce qui est une volonté de l’entreprise afin de garantir un niveau élevé d’expertise sur les technologies sélectionnées et de se positionner très haut sur la chaîne de valeur.

A ces trois domaines s’ajoutent un SOC (Security Operational Center) qui est en cours de qualification PDIS (référentiel d’exigences de l’ANSSI applicable aux prestataires de détection des incidents de sécurité) et un CERT (Computer Emergency Response Team) pour la réponse aux incidents de sécurité.

« Avec ce périmètre très large, nous sommes en mesure de proposer un parcours client exhaustif sur tous les sujets cyber », se félicite le dirigeant qui dit viser « l’excellence » – qualifications à l’appui – s’adressant tout à la fois aux OIV et OSE, aux ministères, aux structures dans le domaine de l’armement, mais aussi aux PME, en particulier pour les activités de fourniture et d’intégration de solutions. « D’une façon générale, notre complémentarité d’offres permet, sur des sujets spécifiques, d’adresser toutes les organisations sur le marché », souligne-t-il.

« Avec ce périmètre très large, nous sommes en mesure de proposer un parcours client exhaustif sur tous les sujets cyber. »

Une entreprise agile

SysDream regroupe aujourd’hui plus de 80 collaborateurs, avec notamment une quinzaine d’experts sur la partie SOC et une équipe de consultants pentesters très importante : plus de 30 auditeurs, qui sont également formateurs et interviennent sur des activités de recherche. Chez SysDream, les ponts s’opèrent ainsi entre les différentes activités et enrichissent la proposition de valeur, qu’il s’agisse, par exemple, de concevoir la surveillance des environnements, liée à la GRC (Gouvernance, Risque et Conformité), ou d’opérer la détection des incidents de sécurité qui se coordonne avec l’intégration des solutions partenaires. Un tout « agile », à la fois dans « des process extrêmement structurés », « sans activités silotées », et dans une structure de taille intermédiaire.

25M€ à l’horizon 2025

La filiale de Hub One affiche ainsi ses ambitions : à l’échéance 2025, elle table sur 25 millions d’euros de chiffre d’affaires, contre 10 millions environ prévus en fin d’année, ce qui représente déjà une croissance de 60 % par rapport à l’an dernier.

Son affiliation à Hub One lui donne une forte capacité d’investissement « pour mieux servir les enjeux client de demain » dans les domaines de la détection, de la protection et de la réaction. En 2025, SysDream devrait compter pas moins de 120 consultants et experts cyber, sans compter les fonctions support (RH, commerce, finance…).

SysDream sait détecter  « le sens du vent »  et dispose des moyens humains, techniques, et financiers pour avancer vite, et loin.

The post Cybersécurité – SysDream, un parcours client cyber exhaustif  appeared first on Sécurité.

AVIS D’EXPERT – Jason Steer, Global CISO de Recorded Future, un spécialiste du renseignement sur les menaces, éclaire les lecteurs de Solutions-Numériques sur les moyens de riposter efficacement au détournement de session et au contournement de MFA. 

En cybersécurité, on ne voit souvent que la pointe émergée de l’iceberg. Dans les faits, de nombreuses attaques sont réalisées en plusieurs étapes, de la « reconnaissance initiale » au « déplacement latéral » pour aboutir à la « mission accomplie ». Même si les bonnes pratiques maintiennent généralement que la MFA (authentification multifacteur) et les gestionnaires de mots de passe sont suffisants pour limiter les risques de détournement de comptes, les cybercriminels s’adaptent très vite. Comment les organisations peuvent-elles immédiatement riposter en reconfigurant leurs outils de détection des intrusions et en améliorant leur renseignement sur les menaces ?

Le marché de l’accès initial en pleine croissance

Même si la MFA est une bonne pratique recommandée pour la sécurité des entreprises, de nombreux comptes ne sont encore protégés que par une simple combinaison nom d’utilisateur/mot de passe. C’est exactement ce que cherchent les cybercriminels pour obtenir ou améliorer leur accès à un système ciblé. Ils peuvent y parvenir via un simple hameçonnage réalisé à l’aide d’outils d’enregistrement de saisie tels que les keyloggers, ou les logiciels de vol d’identifiants comme RedLine ou Raccoon. Un acteur malveillant peut utiliser ces outils lui-même ou simplement acheter des identifiants exfiltrés à un autre cybercriminel qui les a déjà volés. Il peut aussi utiliser l’historique Bash, les fichiers de clé de chiffrement, les registres, les notes, les fichiers et les identifiants d’administrateur système codés en dur dans les scripts ou les applications. 

Les acteurs malveillants comme les groupes de ransomware sont en train de devenir des spécialistes de l’obtention des accès, connus sous le nom de courtiers d’accès initial (IAB). Cela peut être un dispositif VPN, un système de gestion du contenu, une passerelle Citrix ou d’autres systèmes d’entreprise critiques. Selon un rapport récent de Recorded Future, le marché des IAB est en pleine croissance car les cybercriminels cherchent à externaliser davantage leur travail. Une fois l’accès initial obtenu, les acteurs malveillants déposent souvent un web shell dans l’environnement de leur victime afin d’obtenir un accès continu et d’installer de nouveaux outils ou d’obtenir des informations supplémentaires sur le système. Ils peuvent utiliser des élévations de privilèges ou la collecte d’identifiants pour accéder à d’autres machines sur le même réseau et obtenir un déplacement latéral.

Comment organiser sa défense ?

Le renseignement sur les menaces est un outil de sécurité essentiel pour minimiser les risques cyber, y répondre rapidement et rendre les systèmes plus résilients. Le type d’informations qui s’avère le plus utile est le type d’accès que les IAB vendent actuellement et comment ils ciblent généralement des organisations similaires. Les équipes de sécurité doivent adopter une approche basée sur les risques par rapport aux vulnérabilités qui sont exploitées lors des attaques perpétrées sur leurs pairs, par exemple. Elles doivent aussi être informées des identifiants d’entreprise qui circulent sur le dark web. En agissant rapidement, il est possible de réinitialiser les mots de passe avant qu’ils ne soient vendus à d’éventuels acteurs malveillants.

Le renseignement sur les menaces fournit des informations sur les produits de la chaîne d’approvisionnement et les points faibles éventuels, et permet de surveiller en continu les nouveaux enregistrements de domaine qui visent à imiter les domaines d’entreprises légitimes. Ce type de renseignement exige d’examiner de nombreuses sources, des terminaux d’entreprise aux sites sur le dark web. Il est permet de scanner la présence d’éventuels vols d’identifiants, de web shell ou d’autres outils malveillants. La clé est de mettre la lumière sur ceux qui préféreraient rester dans l’obscurité et de multiplier les défenses pour avoir plus de chance de les piéger. 

Emergence du détournement de session et du contournement de MFA

Le détournement de session via un logiciel malveillant de type infostealer et le vol de cookies est un moyen de plus en plus populaire de contourner le MFA. Au cours des 12 derniers mois, Recorded Future a observé 14 905 références à des messages clandestins relatifs au cybercrime incluant les mots clés « cookies », « cookies de session » et
« détournement de session ». Pourquoi est-ce si populaire ? Parce que les cookies HTTP sont utilisés pour gérer les sessions des utilisateurs, stocker les préférences de personnalisation des utilisateurs et analyser leur comportement. Si un acteur malveillant parvient à voler le « cookie magique » utilisé pour authentifier un utilisateur à une application interne ou de tiers, il pourra détourner les sessions d’utilisateur en restant totalement anonyme, en se faisant passer pour l’utilisateur légitime.

Une fois les cookies volés, une technique post-exploitation relativement directe appelée
« pass the cookie » permet à l’acteur malveillant de détourner la session d’utilisateur. Plutôt que de voler des mots de passe, cette méthode lui permet de contourner des points de contrôle de la MFA. Bien souvent, les sessions expirent après 7 jours ou plus, ce qui offre une belle opportunité d’accéder à des applications et services web sensibles, de voler des données, de déployer des ransomwares et bien d’autres.

Le sens du commerce des cybercriminels

Les cybercriminels savent reconnaître une opportunité. C’est pourquoi les cookies sont souvent inclus dans des packages faciles d’utilisation, tels que les « bots » ou les « logs » vendus sur les plateformes du darknet. En plus des cookies de session, ces packages contiennent des identifiants de compte, des adresses IP et des empreintes digitales d’appareil. Ces données peuvent être importées dans une extension de navigateur appelée Genesis Security, permettant aux acteurs malveillants de se faire passer pour la victime des attaques de piratage de compte et de détournement de session.

Les courtiers d’accès initial (IAB) vendent également des cookies avec des identifiants volés, si l’accès au réseau exige une MFA. L’exploitation des identités grâce aux logiciels infostealer et au détournement de session est une tactique clé du « célèbre » groupe Lapsus$, qui prétend avoir volé les données de nombreuses grandes entreprises de technologie, telles que Samsung, Microsoft et Nvidia.

Alors que la MFA se popularise de plus en plus, les efforts pour la contourner aussi. La MFA et les gestionnaires de mots de passe doivent toujours être de facto. Les équipes de sécurité devraient explorer les solutions qui imposent la MFA de manière plus fréquente. C’est à elles d’en déterminer la fréquence, le niveau de friction pour ses utilisateurs, les applications à renforcer. Surveiller les identités compromises de son organisation, réduit la fenêtre d’attaque pour voler les informations relatives à l’identité et les revendre à un autre criminel. Aujourd’hui, pour aller plus loin, il est possible de connecter directement ce renseignement sur les identités à un fournisseur d’IAM (Identity & Access Management), afin d’automatiser les identités à l’aide d’une réinitialisation et d’une révision automatiques de mot de passe pour accélérer le repérage de cette menace.

The post Cyberprotection : bloquer le contournement de l’authentification multifacteur appeared first on Sécurité.

(AFP) – Le site d’information Reflets, poursuivi par le groupe Altice pour avoir publié des articles basés sur des documents volés par des pirates informatiques, peut les laisser en ligne mais n’a pas le droit d’en faire paraître d’autres, a estimé jeudi le tribunal de commerce de Nanterre.

« Nous ordonnons à la société Rebuild.sh (éditrice de Reflets, ndlr) de ne pas publier sur le site de son journal en ligne reflets.info de nouvelles informations » basées sur ces données piratées, conclut le tribunal dans une ordonnance rendue jeudi, dont l’AFP a eu connaissance. Pour autant, le tribunal souligne que Reflets « n’est pas l’auteur du piratage informatique subi par les sociétés du groupe Altice« . L’auteur en était le groupe de hackers Hive, qui avait piraté des documents internes d’Altice avant de les mettre en ligne en août sur le darkweb.
Dans ses articles, Reflets s’est donc basé sur des informations « déjà en ligne, même si elles ne sont accessibles qu’à un public restreint en raison du nécessaire recours à un logiciel spécifique« , a estimé le tribunal. Par conséquent, le retrait des articles déjà parus demandé par Altice n’est donc pas justifié, juge le tribunal.

Altice, le groupe du milliardaire Patrick Drahi, avait saisi le tribunal de commerce de Nanterre en urgence (référé) et l’audience avait eu lieu le 27 septembre. Le groupe demandait le retrait de quatre articles publiés par Reflets en septembre. Ces articles, qui ne divulguent pas de détails sur les sociétés d’Altice, évoquent le train de vie de Patrick Drahi, notamment ses déplacements en jet privé.

The post Données piratées : le site d’info poursuivi par Altice ne peut publier d’autres articles appeared first on Sécurité.

(AFP) – L’ancien responsable de la sécurité informatique d’Uber, Joseph Sullivan, a été jugé coupable mercredi d’avoir dissimulé, en 2016, une attaque informatique qui avait permis à des pirates de mettre la main sur des données personnelles d’environ 57 millions d’utilisateurs de la plateforme.

D’après la presse américaine qui rapporte le verdict, M. Sullivan risque plusieurs années de prison pour ne pas avoir signalé la cyberattaque aux autorités fédérales à l’époque. Le procès a été suivi de près dans le milieu de la cybersécurité, car il est considéré comme un test sur la vision qu’a la justice américaine des responsabilités et des obligations des responsables de ce domaine au sein des entreprises.

Le verdict « constitue un précédent significatif, qui crée une onde de choc dans notre communauté« , a commenté Casey Ellis, le fondateur de Bugcrowd, une société californienne spécialisée dans la cybersécurité. « Cela montre la responsabilité personnelle que prennent les responsables de la sécurité informatique« , a-t-il ajouté.
L’entrepreneur préfèrerait que les Etats-Unis définissent mieux les règles autour de la protection de la confidentialité des données, plutôt que de réagir a posteriori.

Le versement d’une rançon de 100 000 dollars

Selon l’acte d’accusation, Joe Sullivan, licencié en novembre 2017, avait également organisé le versement d’une rançon de 100 000 dollars aux pirates à l’origine de l’attaque.
Les données volées comprenaient des noms, des adresses email et des numéros de téléphone de millions de passagers, ainsi que les noms et permis de conduire de quelques 600 000 chauffeurs, selon Uber.
L’affaire n’avait été révélée qu’un an plus tard, le groupe basé à San Franicsco passant alors un accord amiable avec les procureurs de 50 Etats américains, intégrant 148 millions de dollars d’indemnités, au total, pour avoir tardé à dévoiler l’attaque au régulateur ainsi qu’au grand public.
Identifiés par les autorités américaines, les deux pirates à l’origine de la cyberattaque ont été interpellés et ont plaidé coupable d’extorsion devant un juge fédéral de Californie en 2019.

En 2018, la France a condamné Uber à une amende de 400 000 euros pour avoir caché ce piratage. Les Pays-Bas et le Royaume-Uni ont également sanctionné l’entreprise avec des amendes.
Uber n’a pas répondu mercredi à une sollicitation de l’AFP.

The post L’ancien chef de la sécurité informatique d’Uber jugé coupable d’avoir caché la cyberattaque de 2016 (presse) appeared first on Sécurité.

La cybersécurité couplée à l’accès intelligent via le Web sont les enjeux du bâtiment de demain pour les entreprises. Telle est la principale conclusion du nouveau rapport de 2N, un spécialiste des systèmes de contrôle d’accès IP.

Intitulé « Evolution des systèmes de contrôle d’accès : un guide pour les projets Smart Office », ce rapport de 2N apporte plusieurs rensignements intéressants à l’heure où les entreprises tentent d’aménager des espaces de travail hybride.
On y apprend que l’utilisation de lecteurs avec contrôleurs d’accès intégrés devrait augmenter de plus de 50 % d’ici à 2024. En matière de contrôle d’accès intelligent pour les bâtiments, la tendance sera la migration des cartes RFID existantes vers des systèmes d’accès Bluetooth de nouvelle génération et la demande sera croissante en solutions IP de contrôle d’accès avec des systèmes distincts de sécurité physique et de caméras de surveillance.

Notez que le rapport présente différents cas d’usage autour du contrôle d’accès intelligent pour les bureaux, les commerces et le monde de l’éducation à l’échelle mondiale. 

The post Contrôle d’accès intelligent et cybersécurité : des enjeux majeurs pour le bâtiment appeared first on Sécurité.

Pradeo, un éditeur spécialisé dans la sécurité des flottes et des applications mobiles basé à Montpellier (34), va racheter Yagaan, un éditeur rennais de logiciel de sécurité applicative.

Grâce à l’acquisition de Yagaan, éditeur créé en 2017 à Cesson-Sévigné qui a développé le code mining, une technologie d’audit du code source des applications, Pradeo Security Systems (5 M€) consolide son développement en France et à l’international.

L’éditeur montpelliérain créé par Clément Saad peut désormais maîtriser toute la chaîne de valeur de la sécurité mobile, de la conception des applications mobiles et des services web associés (security by design) à la détection et réponse aux menaces ciblant les terminaux mobiles.

Pradeo souhaitait étoffer sa technologie avec une brique stratégique dédiée à l’audit du code source. En effet, l’éditeur veut devenir l’interlocuteur unique des RSSI, développeurs d’applications et autres acteurs de la cybersécurité pour la protection des applications mobiles et services web associés, smartphones et tablettes.

« Nous partageons avec Pradeo la même exigence d’excellence technologique et la nécessité de consolider l’offre européenne de solutions cyber. En intégrant l’expertise et la technologie stratégique d’audit de code source de Yagaan, Pradeo couvre la totalité de la chaîne de valeur de la sécurité mobile et ajoute la sécurité des applications web à son portfolio. En nous forgeant un destin commun, cette opération consolide un leadership européen et nous place au premier plan sur le marché global de la cybersécurité. » ajoute Hervé le Goff, directeur général de Yagaan.

The post Pradeo acquiert l’éditeur rennais Yagaan appeared first on Sécurité.

Thales annonce début octobre avoir finalisé l’acquisition de OneWelcome, un éditeur battave spécialiste de la gestion d’identités et d’accès clients (Ciam).

A l’heure où des questions se posent sur l’éventuel rachat de l’activité cyber d’Atos, son concurrent Thales annonce début octobre avoirfinalisé l’acquisition de OneWelcome. Basé aux Pays-Bas, cet éditeurcommercialise un logiciel de gestion des identités et des accès clients (Customer Identity and Access Management – ou CIAM), une expertise demandée sur le marché de la cybersécurité.

La plateforme de gestion d’identités d’utilisateurs externes de OneWelcome complète l’offre de Thales dédiée à la gestion d’identités et d’accès de personnels d’entreprises. Il prévoit d’étendre à l’international cette expertise régionale. Cette acquisition est une nouvelle étape dans la stratégie de ce fournisseur et intégrateur français, qui ambitionnede devenir un leader mondial en cybersécurité.

OneWelcome connaît une croissance annuelle d’environ 30 %. Ses employés rejoindront les équipes des activités d’Identité et de Sécurité Numériques de Thales (DIS). A ​ noter que Gartner prévoit que d’ici 20232, 72 % des organisations déploieront une initiative CIAM, contre 40 % en 2020.

The post OneWelcome racheté par Thales appeared first on Sécurité.

L’école dédiée au management de la cybersécurité a été inaugurée officiellement ce 4 octobre. Le nouvel établissement a accueilli ses premiers étudiants dans un espace de 2 400m², situé à quelques minutes de la gare de Lyon Part-Dieu.

La CSB.School, fondée et dirigée par Patrice Chelim, ex-RSSI de Solvay, entend former à travers deux cycles (Bac+3 à Bac+5) chacune de ses promos au domaine de la cybersécurité informatique et industrielle. Elle ne propose aucun cours magistraux, les formations reposant à 70 % sur la mise en application, le test et l’entraînement. L’école est à cette fin équipée d’une plateforme simulant le SI d’une véritable entreprise afin de reproduire des environnements de production complexes et tester la mise en œuvre des différentes solutions de sécurité du marché depuis un SOC (Security Operations Center).

Les formations se veulent sur-mesure, adaptées aux savoir-faire de l’apprenant et définies après bilan des acquis, afin de supprimer les « cours inutiles ».

L’intégralité des frais de scolarité sont pris en charge via des contrats d’alternance proposés grâce aux partenariats que CSB.School a noué avec Schneider Electric, PwC France, Devoteam, AugmentedCISO et d’autres…

The post La Cybersecurity Business School, dédiée au management de la cybersécurité, a accueilli sa première promo appeared first on Sécurité.

Thierry Auger, président de la prochaine édition des Assises de la Cybersécurité, répond aux questions de Solutions-Numériques. A la fois DSI Corporate du Groupe Lagardère et directeur de la cybersécurité pour l’ensemble de la sécurité du groupe, il évoque les priorités des entreprises en matière de sécurité ainsi que ses grands chantiers pour les mois à venir.

Solutions-Numériques : Thierry Auger, vous allez présider les Assises de la Cybersécurité 2022. Quel sera votre mot d’ordre pour cette édition marquée par l’ère post-Covid, mais aussi la guerre en Ukraine ?

Thierry Auger : L’édition 2022 des Assises de la Cybersécurité sera placée sous le signe de l’accélération. Les entreprises doivent améliorer leur résilience et le niveau de protection, mais aussi accompagner l’accélération de l’action des équipes de sécurité qui ont beaucoup de projets à traiter en parallèle. Le socle sanitaire doit encore être consolidé face aux nouvelles menaces et la liste des projets à traiter par les RSSI reste longue, ce qui implique de prioriser ces chantiers. Pour que cette accélération se traduise dans les faits, il faut se fixer des priorités : il est impossible de tout traiter en même temps, et il faut absolument replacer la donnée et la résilience au cœur de la problématique. 

Vous êtes DSI Corporate et directeur cybersécurité du groupe Lagardère. Pouvez-vous nous résumer ce que représente la cybersécurité dans un groupe aussi internationalisé et diversifié ?

T. A. : Le groupe Lagardère a une organisation distribuée, avec globalement plus de 40 grands systèmes d’information indépendants. Il s’agit de SI locaux car l’activité de chacune de nos filiales est très diversifiée : chacune a besoin d’équipes locales adaptées à son activité : pour un média, la disponibilité H24 de la diffusion est essentielle, pour la production de concerts et de spectacles, c’est la disponibilité du système de billetterie, etc.
Pour environ 130 millions d’euros de budget SI annuel, dont un peu moins de 5 % dédiés à la cybersécurité. C’est un chiffre relativement approximatif car s’il est simple à consolider pour le volet technologique, on sait ce que l’on achète, pour le volet RH c’est plus flou, avec des prestations qui incluent des volets cyber. Une augmentation de la part cybersécurité est actée pour 2022/2023.
La cellule Corporate compte une vingtaine de personnes avec ses prestataires et cela varie au sein de nos DSI locales, pour un groupe de 300 structures qui compte un total de 31 000 personnes.

Quelle est votre rôle dans une organisation aussi décentralisée ?

T. A. : Ma mission est de structurer la gouvernance de la sécurité au niveau du groupe, générer les analyses de risques et assurer la cohérence de l’action des DSI du groupe. Cette synergie entre DSI et RSSI est vitale pour un grand groupe et je dirais même que cette action doit encore être élargie dans les entreprises : compliance, direction des risques, audit, RSE, direction financière pour le volet assurantiel doivent de plus en plus être associés à la sécurité de l’entreprise. Créer cette osmose est le réel secret de l’efficacité. Lorsque ces profils ne partagent pas entre eux, il devient très compliqué d’afficher de la cohérence.

Vous assumez à la fois la fonction de DSI et de directeur cybersécurité au niveau groupe. Ce cumul est-il un atout ?

T. A. : Ce cumul de fonctions pose bien évidemment le problème d’être à la fois juge et partie, mais c’est un problème que nous pallions par une augmentation des audits de sécurité. C’est un moyen de ne pas fonctionner dans un écosystème fermé et de garder du recul sur notre posture de sécurité. Avoir ces deux casquettes apporte beaucoup d’efficacité au quotidien, cela permet d’avoir totalement la main sur le système d’information et sa sécurité et pouvoir très rapidement déployer une solution si un besoin urgent survient. Etre DSI et RSSI, c’est bien évidemment plus de soucis et de difficultés à résoudre au quotidien, mais cela permet aussi d’être très proche du terrain puisque vous opérez vous-même ces moyens de détection et de protection.

Endosser cette double casquette permet d’avoir totalement la main sur le système d’information et sa sécurité, et pouvoir très rapidement déployer une solution si un besoin urgent survient.

Il y a un domaine où les RSSI doivent souvent améliorer les pratiques de leur entreprise, c’est dans celui de la surveillance, ce que l’on appelle la Threat Intelligence. Accélérer, cela veut aussi dire accroître les moyens de surveillance car améliorer les capacités de détection est un moyen de pallier les protections qui manquent encore à un système d’information. L’objectif est de détecter le plus en amont possible une attaque potentielle pour prendre les mesures de protection nécessaire avant que celle-ci ne survienne. 

Vous évoquez la nécessité d’accélération des entreprises dans la cyber. Comment y parvenir lorsqu’on est un RSSI dont les moyens sont, par nature, limités ?

T. A. : Les RSSI n’ont pas les moyens aujourd’hui de mener tous les projets en parallèle, c’est vrai. C’est la raison pour laquelle il est impératif de hausser le niveau de surveillance sur la surface visible du système d’information, que sur le Dark Web, le Deep Web, le Shadow IT, les objets connectés, la vie des DNS. Il est, par exemple, difficile de détecter des ressources déployées par des utilisateurs eux-mêmes si le nom de domaine n’a pas de lien direct avec l’entreprise. Une solution comme CybelAngel peut retrouver ce type de ressources à partir de mots-clés en effectuant une analyse des contenus et remonter une alerte auprès de l’équipe cyber.

Un autre point important porte sur la transformation de l’analyse de risques. Il est vital de passer d’un modèle statique issu du passé à une analyse beaucoup plus dynamique. L’analyse de risques a longtemps reposé sur des questionnaires envoyés aux filiales, questionnaires qui étaient ensuite longuement analysés, puis faisaient l’objet de recommandations. Il faut sortir d’un tel modèle et se tourner là encore vers des solutions technologiques beaucoup plus adaptées à une approche dynamique. La solution d’analyse de risques de Citalid nous apporte une approche qui, en complément du contrôle au sens de la norme, va enrichir son analyse de la maturité défensive en s’appuyant sur les scorecards de sécurité mis à disposition par les constructeurs et les éditeurs afin de les injecter dans les algorithmes d’analyse de risques. Le Security Scorecard de Microsoft 365 par exemple est très pertinent car il tient directement compte des choix de paramétrage réalisés par l’entreprise.

Citalid injecte notamment le contexte géopolitique de chaque pays, si bien que quand le CERT Orange nous a signalé une campagne de destruction de données menée en parallèle à la guerre russo-ukrainienne, l’analyse de risques tient directement compte de cet élément. Ce sont des informations extrêmement précieuses et qui nous font gagner énormément de temps de réaction. Il faut enfin faire un lien entre la gestion du risque et le monde de l’assurance et instaurer une dynamique entre les actions qui vont être réalisées et le réajustement annuel de la couverture et des franchises et primes afférentes. 

Quels seront vos grands chantiers pour les mois à venir ?

T. A. : Sur la thématique de la gestion de risques, nous travaillons avec Citalid afin d’adapter le plus possible leur offre aux attentes de nos DSI et RSSI. Sur le volet protection, notre volonté est de changer d’approche, et passer d’une protection de nos données au niveau stockage et transport à une protection liée aux usages. Nous devons nous assurer que les utilisateurs peuvent exploiter des ressources dans le Cloud public là où ils le souhaitent tout en nous assurant de la protection de ces données. Nous allons animer sur les Assises un atelier avec Microsoft, Google, Amazon Web Services et OVH consacré au Confidential Computing. Ce besoin de protection de bout en bout est un sujet qui intéresse, aujourd’hui, particulièrement les responsables de la sécurité.

On parle beaucoup du besoin d’offres souveraines, quelle est votre position sur cette question ?

T. A. : La souveraineté est importante à partir du moment où j’ai un devoir de conformité à assurer dans tel ou tel pays ou bien une réglementation propre au domaine du métier et il nous faut dans ce cas des réponses. Cela dit, le groupe Lagardère est fortement internationalisé et nous devons prendre en compte les contraintes fixées par chaque pays. Disposer d’offres souveraines nous permet d’assurer la souveraineté des données sur certains pays ou certaines plaques, mais c’est, d’une certaine façon, une remise en cause du travail de centralisation des services menée au niveau mondial ces dernières années afin d’optimiser les coûts et la charge pour les équipes. Et un vrai challenge pour demain ! 

Propos recueillis par Alain Clapaud et Jean Kaminsky

The post « La synergie entre DSI et RSSI est vitale pour un grand groupe », Thierry Auger, Groupe Lagardère appeared first on Sécurité.

Solutions Numériques et Channel vous dévoilent encore une belle série de nominations et de promotions de dirigeants dans le secteur de la cybersécurité IT BtoB annoncés en septembre 2022 par les grands fournisseurs et revendeurs IT.

Cette liste est non exhaustive. Envoyez-nous les vôtres pour publication. olivier@solutions-numeriques.com

Anssi – Eric Hazane (en haut à gauche)

Après avoir passé 10 ans à l’Agence nationale de la sécurité des systèmes d’information, Eric Hazane est devenu en septembre 2022 son délégué régional à la sécurité numérique pour la Normandie. Auparavant, il était chargé de mission stratégie des territoires depuis début 2019, et il a été aussi délégué régional à la sécurité numérique pour la Bretagne à l’Anssi. Après avoir passé 10 ans dans l’armée de l’air en tant que spécialiste IT dès 1990, Eric Hazane a réalisé ensuite l’essentiel de sa carrière dans la cybersécurité. Il a travaillé pour des sociétés comme XP Conseil, Esec Sogeti, Apsys (Cassidian).

Gendarmerie dans le cyberespace – Christophe Husson (en haut à droite)

Le colonel Christophe Husson a quitté cet été le commandement du groupement de gendarmerie du département du Nord, poste qu’il occupait depuis fin 2018, pour prendre en août le commandement en second de la Gendarmerie dans le Cyberespace. Christophe Husson a démarré sa carrière en 1999 en tant que commandant de peloton de la gendarmerie mobile à Reims, avant d’être promu en 2002 à la sous-direction des télécoms et de l’informatique, puis de commandant de la gendarmerie de Reims en 2009, et de responsable du services des télécoms et des SI de la sécurité intérieure en 2013.

Proofpoint – Frédéric Lacroix (en bas à gauche)

Frédéric Lacroix est devenu cet été spécialiste des ventes en sécurité de Proofpoint après avoir passé presque un an dans un poste similaire chez Dynatrace. Il a démarré sa carrière comme ingénieur d’affaires chez Bull en 1984 avant de devenir responsable de comptes chez Getronics, 3Com et Nortel jusqu’en 2003. Frédéric Lacroix a réalisé l’essentiel de sa carrière aux ventes dans le secteur des réseaux (F5 et Cisco), puis de la cybersécurité. Chez Cisco, il a démarré aux ventes en 2007 en tant que responsable de comptes avant de gérer le réseau indirect pour la sécurité de sa filiale française, puis de diriger en 2012 les mêmes ventes en sécurité pour les ETI et les grands comptes. Enfin, Frédéric Lacroix est devenu responsable des ventes en cybersécurité de Cisco France en 2017. Ensuite, il a enchaîné des postes de responsable grands comptes ou stratégiques chez Zsacler, Crowstrike, Dynatrace avant de rejoindre Proofpoint en 2022.

Suez – Eric Fichot (en bas à droite)

Eric Fichot a été promu cet été responsable adjoint de la Sécurité des Systèmes d’Information (Ciso) du groupe Suez, société dont il était le responsable de la cybersécurité (RSSI) et le directeur technique de ses infrastructures IT. Eric Fichot a démarré sa carrière en 1999 en tant qu’ingénieur Système & Réseau avant d’entrer chez Intrinsec comme consultant Sécurité en 2004, puis comme chef de projet infogérance en 2009 et enfin comme directeur de projet associé en Infogérance de cet intégrateur francilien dès 2012. Eric Fichot a ensuite intégré le groupe Bel en 2016 comme responsable de la Sécurité des Systèmes d’Information (RSSI/Ciso). Avant de rejoindre Suez, il était associé de l’intégrateur Constellation en 2016 et 2019.

The post Les nominations dans la cybersécurité de l’Anssi, Gendarmerie dans le cyberespace, Proofpoint et Suez appeared first on Sécurité.

Stoïk, qui associe couverture d’assurance et logiciel de protection contre les cyberattaques, va reverser 10% de ses revenus de fin d’année pour cofinancer la formation de futurs ingénieurs en cybersécurité au sein de l’école Oteria Cyber School.

L’insurtech lance « Objectif Cyber », un partenariat visant à participer au financement de la formation Tremplin, un bootcamp de 4 semaines intensives en informatique et réseaux au sein de l’école Oteria Cyber School.  Ce bootcamp a été créé afin de permettre l’accès à la formation Expert Technique de la cyber à des profils issus de formation scientifique au sens large. Cette formation payante sera cofinancée grâce à Stoïk. Les étudiants qui bénéficieront de cette bourse seront sélectionnés sur critères sociaux.

De ce lundi 3 octobre 2022 et jusqu’au 31 décembre, 10% des revenus générés par la startup seront dédiés directement au financement de cette formation.

The post L’insurtech Stoïck va reverser 10 % de ses revenus pour former des étudiants en cyber appeared first on Sécurité.

A l’occasion de sa conférence mondiale XPAND à Las Vegas, Trellix, un spécialiste de la détection et de la réponse étendues (XDR), a dévoilé l’expansion de sa plateforme XDR.

Prévue pour le quatrième trimestre de cette année, la plateforme XDR de l’éditeur (Trellix XDR) permet aux équipes chargées des opérations de sécurité, grâce à l’intégration des actifs McAfee et FireEye et le lancement de Trellix Event Fabric, de réduire les temps moyen de détection et de réponse. « Trellix Event Fabric relie les données de sécurité disparates provenant de n’importe quel fournisseur de Cloud et permet aux analystes sécurité d’accéder et de corréler les données depuis n’importe où », précise l’éditeur.

Disponible début 2023, XConsole deviendra le centre de contrôle de Trellix XDR. Elle simplifie l’expérience utilisateur en fournissant une interface unique à l’ensemble des membres d’une équipe chargée des opérations de sécurité.

Autre nouveauté, Trellix Endpoint rassemble les technologies McAfee et FireEye à travers la protection, la détection et la réponse des terminaux, ainsi que la recherche de preuves pour fournir la meilleure défense par couches des terminaux de sa catégorie.
Enfin, Detections et reponse du réseau Trellix (NDR) se positionne comme une solution holistique permettant de détecter, d’enquêter et de répondre aux menaces tout au long de la chaîne de destruction.

« Nous disposons de la plateforme XDR la plus complète du secteur », a déclaré Bryan Palma, PDG de Trellix. « Les technologies traditionnelles de gestion des informations et des événements de sécurité (SIEM) n’ont pas réussi à moderniser les opérations de sécurité. Nous sommes convaincus que Trellix XDR comble cette lacune critique. »

Notez que parallèlement, Trellix a annoncé la création de son nouveau centre de recherche avancé (Trellix Advanced Research Center) conçu pour anticiper les nouvelles tendances en matière de cybersécurité et identifier le plus en amont possible les acteurs malveillants émergents.

The post Détection et réponse aux cybermenaces : Trellix complète sa plateforme XDR appeared first on Sécurité.

Forrester vient de publier son rapport  » European Cybersecurity Threats, 2022  » qui analyse les principales menaces de cybersécurité en Europe en 2022, les industries ciblées  et l’impact de la guerre en Ukraine.

Quelques conclusions notables ci-dessous.

• Le cyber-impact de l’Ukraine dépasse désormais la zone de conflit. Les pirates russes ciblent les organisations européennes. Ils utilisent des APT et l’infiltration de données sensibles pour prendre l’avantage. 25% environ des attaques d’intrusion étudiées sont identifiées comme réussies , avec environ un quart du total des attaques d’intrusion étudiées identifiées comme réussies.

 Note de la rédaction : il faut être prudent avec ce chiffre car on peut penser qu’il y a moins d’études des attaques non-réussies. On ne peut donc pas en conclure, pensons-nous que 25% des attaques serraient réussies.

• Le phishing est la première cause d’attaques externes en Europe. Le phishing est à l’origine de 34 % des attaques externes contre les entreprises européennes. Il est suivi par les violations de données de la chaîne d’approvisionnement/de tiers, les exploitations de vulnérabilités logicielles et les exploitations d’applications Web.
• En 2022, les entreprises industrielles européennes sont le secteur le plus ciblé par les acteurs de la menace. Cela s’explique notamment par la taille du prix. Les revenus combinés de l’Allemagne et de la France provenant de l’industrie manufacturière s’élèvent à plus de 4 000 milliards de dollars en 2022.
• Les capacités et la motivation des acteurs de la menace en Europe diffèrent des normes mondiales. Les organisations européennes sont principalement victimes d’acteurs de la menace motivés par des raisons financières et situés en Russie, en Iran et en Corée du Nord. Le gain financier n’est toutefois pas le principal facteur de différenciation entre les régions. Les assaillants parrainés par des États et leurs motivations d’ordre géopolitique sont des facteurs clés dont les professionnels de la sécurité doivent se méfier.
• L’activité économique criminelle organisée augmente. Les ransomwares se généralisent et les bandes criminelles organisées forment des collectifs qui leur permettent de partager et d’apprendre de nouvelles techniques de piratage ou d’échanger des données volées.

Pour en savoir plus (rapport payant):

https://www.forrester.com/report/european-cybersecurity-threats-2022/RES178002

The post Les industries européennes visées – L’impact de la guerre en Ukraine s’affirme (Rapport Forrester) appeared first on Sécurité.

L’éditeur Trellix confirme son engagement en faveur de ses revendeurs. Il renforce aussi sa Security Innovation Alliance qui valorise son écosystème basé sur sa plateforme XDR.

Trellix, un éditeur spécialiste des logiciels de détection et de réponse étendues (XDR), lancera au début 2023 Xtend, un nouveau programme de partenariat conçu pour augmenter la rentabilité de ses revendeurs.

Trellix leur propose un programme de formation qui les accompagne de la première vente à la première installation de sa plateforme XDR. L’éditeur leur fournira également des guides de vente différenciés pour renforcer l’engagement des clients, remporter davantage de contrats et développer un pipeline de ventes. Ces guides permettent aussi aux partenaires de créer des services IT gérés et des offres de réponse aux incidents, en mettant à profit l’activité de veille du Centre de recherche avancée de Trellix. L’éditeur s’engage également à apporter à ses revendeurs une assistance et des ressources 24h/24 et 7j/7, permettant d’établir des relations de conseil de confiance avec les clients utilisateurs de Trellix XDR.

De nouveaux fournisseurs rejoignent aussi sa Security Innovation Alliance

Trellix annonce aussi l’ajout de dix partenaires technologiques à sa plateforme, dont Tenable, dont le logiciel permet d’obtenir une vue complète basée sur les risques de toute la surface d’attaque d’un client. Le score de risque Trellix XDR d’un actif est automatiquement mis à jour lorsque des vulnérabilités sont partagées à partir de Tenable.io. Cela permet aux analystes de sécurité de déterminer rapidement si une menace correspond à un actif à haut risque et leur permet de réagir plus rapidement en s’appuyant sur les playbooks et procédures approuvés.

Trellix accueille également les logiciels et services de Lineaje, Arista Networks, Keysight Ixia, Elevate Security, Sumo Logic, SecureX.ai, Okta, GreyNoise et CPacketNetworks au sein de la Trellix Security Innovation Alliance (SIA). Ces nouveaux membres portent l’écosystème à plus de 800 partenaires intégrés à Trellix XDR.

The post Trellix lancera un nouveau programme de partenariat en 2023 appeared first on Sécurité.

Plusieurs multinationales européennes ont crée une société d’assurance mutuelle, dénommée Miris, dont la mission principale sera de leur fournir une assurance cyber.

Des grandes entreprises allemandes, françaises et belges – Airbus, Michelin, BASF Veolia, Adeo, Sonepar et Solvay – ont créé leur assurance mutuelle, dénommée Miris insurance, pour les systèmes d’information. Cette mutuelle d’assurance constituée en Belgique, « détenue par les membres et opérant pour les membres » n’assure que les cyber-risques. Les membres potentiels doivent passer par un processus de sélection à la fois pour leur solidité financière et leur capacité de gestion des cyberrisques.

Cette création intervient sur un marché de l’assurance cyber qui voit à court terme, frileuse face à l’explosion des risques et des entreprises touchées en plus grand nombre par les ransomwares. Bercy a d’ailleurs publié récemment un rapport sur la cyberassurance et préconisé des pistes pour améliorer le dispositif français. 

Au cours des deux premières années de fonctionnement, Miris insurance allouera jusqu’à 25 millions d’euros de capacité à chaque membre, indique-t-elle. L’assureur précise aussi envisager la possibilité de monter la capacité à 30 M€ dès la troisième année.

Seuls des membres de l’UE et de l’EEE peuvent être assurés

L’assureur européen ne peut accepter que des membres de l’UE et de l’EEE. Sa demande de licence concerne l’assurance directe, mais son domicile en Belgique signifie qu’elle peut également accepter la réassurance entrante si nécessaire. Il peut couvrir les activités de ses membres dans le monde entier, mais par le biais de politiques émises en Europe.

Miris insurance précise aussi que les RSSI des membres ont formé un groupe avec deux objectifs. « Le premier est la sélection de nouveaux membres, puisque la performance du Miris dépend du maintien d’un profil de risque global meilleur que celui du marché ; le second consiste à partager les meilleures pratiques en matière de gestion des risques entre les membres afin d’assurer la qualité continue et élevée de la gestion des risques des membres. »

The post Des grandes entreprises européennes créent leur mutuelle de cyberassurance appeared first on Sécurité.