Bulletin d’information CYBER de votre CSIRT du 06/03/2024

Cellule de réponses aux incidents de sécurité

Ces dernières semaines ont été l’occasion pour de nombreux organismes de dresser des bilans sur l’année écoulée afin de se préparer pour 2024. C’est l’opportunité pour nous de vous transmettre un résumé essentiel de l’actualité récente, avec comme sujet principal un retour sur ces constatations. Nous aborderons notamment la question des données personnelles, en particulier dans le secteur de la santé.

En bref…

2023 : L’année des faux conseillers et des rançongiciels

Le rapport de Cybermalveillance.gouv.fr met en lumière l’escalade des arnaques via de faux conseillers bancaires, soulignant ce phénomène comme étant particulièrement marquant en 2023. Cette technique est l’un des vecteurs principaux des arnaques, incluant notamment des demandes de paiement en ligne ou de virement bancaire. Les escrocs manipulent le numéro d’appel des banques pour inciter les victimes à réaliser ces opérations, assurant ainsi une crédibilité suffisante. Parallèlement, les attaques par rançongiciel enregistrent également une hausse, surtout au sein des collectivités, soulignant l’importance de la vigilance, en particulier en évitant de cliquer sur les liens suspects dans les e-mails ou SMS. Ces deux types d’attaques mettent en évidence l’importance des vecteurs humains dans les procédés utilisés par les attaquants pour compromettre un système, soulignant ainsi le besoin de sensibilisation pour tous et une prise de conscience réelle des personnes « les moins concernées ».

Source :
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cybersecurite-un-nouveau-rapport-met-en-garde-contre-les-faux-conseillers-bancaires-le-phenomene-de-2023_6405370.html

Secteur de la santé : vulnérabilité et impact critique

Les cyberattaques contre le secteur de la santé révèlent la vulnérabilité des systèmes d’information dans ce domaine et leur impact souvent critique sur les soins aux patients. En France, le centre hospitalier d’Armentières a subi une attaque informatique affectant environ 300 000 patients. Les données divulguées, bien que se limitant à des informations administratives, ont entraîné la fermeture temporaire des urgences, illustrant l’impact direct des cybermenaces sur l’accès aux soins médicaux. Les cyberattaques visant le secteur de la santé sont un problème d’ordre international. Aux États-Unis, une attaque revendiquée par le gang BlackCat a entraîné de graves retards dans la gestion des demandes de règlement et l’accès aux médicaments. La nature sensible des données détenues par le secteur de la santé en fait une cible privilégiée pour les cybercriminels, accentuant la nécessité de mettre en place des mesures de sécurité toujours plus fortes mais également de se préparer à réagir face à ces attaques. Nous noterons que tous les acteurs, même les plus indirects, peuvent être cibles de ces attaques, avec des entreprises de notre région fournissant des services informatiques à des acteurs du secteur de la santé, impactées par des attaques ciblées.

Sources :
https://www.lemonde.fr/pixels/article/2024/02/28/le-centre-hospitalier-d-armentieres-confirme-un-piratage-de-donnees-concernant-environ-300-000-patients_6219081_4408996.html
https://www.usine-digitale.fr/article/une-cyberattaque-perturbe-fortement-des-pharmacies-et-hopitaux-le-gang-blackcat-pointe-du-doigt.N2209135

L’attaque sur la CAF confirmée : 300 000 comptes compromis.

Toujours proche du secteur de la santé et des données personnelles, la CAF a confirmé une fuite de données affectant des centaines de milliers de comptes, avec notamment des informations personnelles exposées. Cette violation a été exploitée par le groupe de hackers LulzSec. D’abord minimisée, la portée de l’attaque a finalement été confirmée. Pour y faire face, la CAF a amélioré ses mesures de sécurité et recommande aux usagers de changer leurs mots de passe. Cette situation rappelle l’importance cruciale de la cybersécurité et des pratiques sécurisées en ligne pour protéger les informations personnelles et financières. Il est important de prendre en compte que des informations personnelles dérobées durant une attaque peuvent tout à fait servir à effectuer d’autres arnaques en usurpant justement l’identité des personnes ayant été piratées. La vente de ces informations sur les réseaux parallèles est également une pratique très lucrative, ce qui alimente la motivation des attaquants.

Source :
https://www.clubic.com/actualite-520000-la-caf-confirme-la-fuite-des-donnees-de-milliers-de-comptes-comment-faire-si-vous-etes-affecte.html

Plus généralement

RGPD : Bilan économique 5 ans après

Cinq ans après son entrée en vigueur, le RGPD a eu un impact économique notable sur les entreprises, oscillant entre coûts de conformité et bénéfices indirects, comme l’accroissement de la confiance des clients. Les études disponibles montrent une variété d’effets, positifs et négatifs, souvent liés à la taille de l’entreprise et au secteur d’activité. En revanche, les méthodes d’évaluation de ces effets ne sont pas toujours pertinentes. En effet, dans ce type d’analyse, il est plus complexe de mesurer précisément des données indirectes telles que l’impact sur la confiance des consommateurs et les bénéfices réels en découlant. La CNIL appelle à des recherches plus approfondies pour une compréhension complète des bénéfices économiques du RGPD. Elle tire également les leçons de ce bilan et vise à assumer plus encore une « dimension asymétrique » dans l’accomplissement de sa mission de régulation.

Source :
https://cnil.fr/fr/limpact-economique-du-rgpd-5-ans-apres

Fuite de données : la France durement touchée en 2023

En 2023, la France se positionne comme le pays européen le plus affecté par les fuites de données, souligne une étude de Group-IB. Avec une augmentation de 45% des organisations françaises victimes de rançongiciels, atteignant 149 cas, la France dépasse l’Allemagne mais reste derrière le Royaume-Uni (245 cas). La vente d’accès initiaux, comprenez d’identifiants avec leurs mots de passe, permettant l’accès à des bases de données par exemple, a légèrement diminué. Néanmoins, les ventes d’informations personnelles compromises dues à des Infostealers (logiciel malveillant de vol d’informations) restent préoccupantes, avec 25 873 logs français compromis. La France a connu 64 fuites de données majeures, devenant ainsi la cible principale en Europe.

Source :
https://www.zdnet.fr/actualites/fuites-de-donnees-la-france-est-le-pays-le-plus-durement-touche-en-europe-en-2023-39964632.htm

Au-delà de la formation : L’engagement des salariés face aux cybermenaces

Un rapport de Proofpoint, établi sur 15 pays et portant sur plus de 8500 personnes, révèle une situation inquiétante en France. Il indique que 75 % des salariés prennent potentiellement des risques de manière consciente dans le domaine numérique, aggravant ainsi les menaces de sécurité pour les entreprises. Bien que les référents informatiques au sein des entreprises possèdent généralement un bon niveau de connaissance, nous avons observé à plusieurs reprises que les employés non spécialisés, sont conscients des risques, mais ne mettent pas toujours en pratique les recommandations de sécurité. Cela indique que la sensibilisation et la formation constituent une base importante, mais elles doivent être complétées par un engagement actif des collaborateurs pour véritablement transformer les comportements à risque. Ce rapport révèle également une augmentation significative des notifications concernant les pénalités financières et les dommages à la réputation dus à l’hameçonnage en France. Il aborde aussi l’utilisation malveillante de l’IA, des QR codes, et les failles de l’authentification multifactorielle (MFA) exploitée par les cybercriminels, soulignant la sophistication croissante des attaques et la nécessité d’adopter une approche de la cybersécurité plus holistique.

Sources :
https://www.undernews.fr/reseau-securite/etude-proofpoint-75-des-salaries-francais-mettent-sciemment-leur-entreprise-a-risque.html

Pour aller plus loin :

Résilience de LockBit : un retour rapide malgré une opération d’envergure

Après une opération internationale (Cronos) ciblant LockBit, un groupe cybercriminel renommé, ce dernier a rapidement rebondi, exposant de nouvelles victimes sur un site rétabli, y compris une entreprise française. Et, alors même que leur capacité à continuer leurs activités avait été mise en doute à la suite de cette opération, cette résurgence rapide souligne la persistance des cybercriminels malgré les actions de démantèlement. LockBit minimise l’impact des saisies par les forces de l’ordre, arguant d’une négligence personnelle plutôt que d’une faille systémique. Quoi qu’il en soit, le groupe reste actif, soulignant la nécessité d’une vigilance continue et d’une cybersécurité renforcée. Comme le rappelle cet article, LockBit est à l’origine de plus d’un quart des demandes de rançons en France. Rappelons également que parmi les victimes de ce groupe, nous retrouvons tout type de structure, allant des grandes entreprises aux plus petites PME, en passant par des établissements publics.

Source :
https://www.usine-digitale.fr/article/quelques-jours-apres-son-demantelement-le-groupe-de-hackers-lockbit-fait-de-nouvelles-victimes.N2208801

Dealer de soupe : le cyberpirate touchant 1,7 million de comptes

Cet article met en lumière l’activité d’un cyberpirate, surnommé « Dealer de soupe », qui vend des accès illégitimes à des comptes d’utilisateurs sur un cloud public, affectant plus de 1,7 million de personnes. Utilisant des logiciels malveillants pour voler des informations, le pirate collecte des données sensibles, y compris des identifiants de connexion. Les victimes, provenant de services variés, comptent des milliers de Français parmi elles. Au-delà de ce cas spécifique, il est important de souligner que de telles pratiques sont de plus en plus répandues et que le commerce d’informations, qu’elles soient personnelles ou industrielles, génère d’importants profits pour les auteurs de ces attaques. Les méthodes d’infection par ces infostealers varient, mais dans tous les cas, l’utilisation d’un système informatique se doit de respecter les bonnes pratiques, et une vigilance accrue est essentielle.

Source :
https://www.zataz.com/zataz-decouvre-un-nid-de-hackers-avec-plus-de-17-million-de-victimes/

Le secteur manufacturier : une conscience insuffisante de son exposition aux menaces

Netwrix avait déjà révélé en janvier que l’industrie manufacturière est plus exposée aux attaques cybernétiques contre ses infrastructures cloud que d’autres secteurs. Avec 64 % des entreprises manufacturières américaines ayant été victimes d’une cyberattaque, ce secteur se révèle particulièrement vulnérable au phishing, touchant 85 % des organisations. Le Panorama de la menace de l’ANSSI 2023 confirme cette menace en France. La compromission de comptes et le vol de données y sont également courants, tandis que les vulnérabilités dans les composants logiciels tiers et les systèmes d’exploitation en temps réel représentent des risques critiques. Les entreprises, selon ce que nous avons pu évoquer durant ce bulletin, demeurent mal préparées face à la cybermenace, surtout dans les secteurs utilisant le numérique principalement pour des tâches administratives. Il est fréquent, par exemple, de trouver des entreprises ayant migré l’ensemble de leurs données sur le cloud, sans avoir réellement réfléchi au lieu ou aux conditions de stockage, ni même à la sauvegarde de ces données. Les attaques exploitant des vulnérabilités spécifiques, comme celles affectant VMware ESXi et Cisco, soulignent l’urgence d’adopter des pratiques de cybersécurité robustes afin de protéger les données sensibles et de maintenir la continuité économique.

Sources :
https://incyber.org/cloud-talon-achille-cyber-industrie-manufacturiere/
https://www.cert.ssi.gouv.fr/cti/CERTFR-2024-CTI-001/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *