Bulletin d’information CYBER de votre CSIRT du 20/03/2024

Cellule de réponses aux incidents de sécurité

Dans ce bulletin, nous aborderons les récentes cyberattaques visant notamment l’État français, révélant des vulnérabilités et l’urgence d’une cybersécurité accrue. Des sites gouvernementaux aux données sensibles de France Travail exposées, ces incidents soulignent les risques croissants dans notre environnement numérique. Face à ces menaces, l’Union Européenne renforce sa législation avec des mesures telles que la directive NIS2, mettant en avant la nécessité d’une vigilance et d’une adaptation continues aux cybermenaces.

En bref…

Attaques visant L’Etat français: de nombreux sites gouvernementaux ciblés.

Une cyberattaque majeure, orchestrée par des hackers pro-russes et revendiquée par Anonymous Sudan, a visé des ministères français, perturbant leurs activités. L’offensive a débuté dimanche 10 mars, utilisant du DDoS, une méthode simulant des milliers de connexions pour saturer le réseau de la victime. Cette attaque a été remarquable par son intensité, avec plusieurs centaines de sites internet du gouvernement dans leur ligne de mire. Le but de ce type d’attaque est principalement d’atteindre la disponibilité du service et l’image de la victime, bien qu’il n’y ait pas d’exfiltration ou de compromission de données. Les services français ont rapidement réagi, atténuant les effets de l’attaque. Cette offensive semble motivée par les positions de la France sur des questions géopolitiques, notamment l’Ukraine. Les autorités continuent d’évaluer l’impact et de renforcer la sécurité informatique.
Sources :
https://siecledigital.fr/2024/03/12/plusieurs-ministeres-perturbes-par-une-cyberattaque-menee-par-des-hackers-pro-russes/
https://www.zdnet.fr/actualites/pourquoi-la-cyberattaque-massive-d-anonymous-sudan-a-des-airs-de-gros-souffle-mediatique-39964882.htm

France travail victime d’un piratage: Des millions de données piratés

Dans la ligné des cyber-menaces visant la France et les service de l’Etat. France Travail, successeur de Pôle Emploi, a subi une cyberattaque, exposant les données personnelles de 43 millions d’utilisateurs, incluant demandeurs d’emploi et candidats depuis 20 ans. Bien que la fuite ne concernerait, à première vue, que 3% des utilisateurs. Les données compromises comprennent identifiants, contacts et numéros de sécurité sociale, à l’exception des mots de passe et informations bancaires. Il est conseillé au victimes d’être vigilantes face au phishing. La CNIL ouvre une enquête pour évaluer la conformité des mesures de sécurité avec le RGPD, soulignant l’importance d’une protection préventive des systèmes.
le parquet de Paris a ouvert une enquête, les personnes souhaitant faire un dépôt de plainte sont invitées à le faire par l’intermédiaire de cybermalveillance.gouv.fr. Trois individus suspectés d’avoir joué un rôle majeur ont été appréhendés le 17 mars.
Source :
https://www.undernews.fr/alertes-securite/cyberattaque-contre-france-travail-43-millions-de-comptes-compromis.html
https://www.zataz.com/trois-pirates-arretes-dans-laffaire-du-piratage-de-france-travail/

Un exercice de phishing : la gendarmerie nous montre l’importance de la vigilance

La gendarmerie a réalisé un exercice grandeur nature visant les gendarmes de la région Île-de-France. Un envoi de 9000 courriels a abouti à l’ouverture de 5000 d’entre eux, mais ouvrir un courriel seul ne permet pas à un attaquant d’atteindre sa cible. Cependant, 500 gendarmes ont cliqué sur le lien, ce qui devient dangereux dans le cadre d’une vraie campagne de phishing. Il ne faut pas forcément se fier aux titres dans les médias grand public et bien lire le contenu. Les résultats de cet exercice ne sont pas parfaits, mais relativisons, il est connu que plus d’une personne sur trois ouvre les pièces jointes ou clique sur les liens de phishing. Nous en sommes à peine a plus d’une personne sur dix seulement dans cet exercice. Il est important d’en tirer des conclusions constructives. Rappelez vous que le phishing est l’une des attaques les plus utilisées actuellement. Notez également que même les personnes qualifiées et régulièrement sensibilisées aux risques ne sont pas infaillibles. La vigilance reste le meilleur moyen de se protéger contre les menaces cyber actuelles.
Source :
https://www.20minutes.fr/high-tech/4081936-20240318-jo-2024-mail-frauduleux-envoye-gendarmes-exercice-cybersecurite

Plus généralement


Face à une cybermenaces grandissante : L’Europe impose de nouvelles directives

Dans le contexte d’une augmentation des attaques cybernétiques, la sécurité des systèmes d’information est devenue une préoccupation majeure à l’échelle mondiale, entraînant l’adoption de nouveaux règlements européens pour renforcer la cybersécurité. Parmi eux, la directive NIS2, le règlement DORA et le CRA se distinguent par leur impact significatif sur le paysage de la cybersécurité européenne. La Directive NIS2 cherche à harmoniser et à renforcer la sécurité des systèmes d’information à travers l’Europe, ciblant notamment les nouvelles technologies comme les plateformes en ligne et les fournisseurs de services cloud, en imposant des exigences de sécurité plus strictes et en favorisant la coopération entre les États membres. Parallèlement, le règlement DORA vise à augmenter la résilience opérationnelle du secteur financier face aux menaces cybernétiques, en exigeant des standards élevés de sécurité et de gestion des risques. Enfin, le CRA, qui entrera en vigueur en 2024, impose aux acteurs de l’industrie des produits connectés de se conformer à de nouvelles exigences de sécurité. Ensemble, ces textes visent à améliorer la confiance dans les technologies numériques, tout en renforçant la supervision et en prévoyant des sanctions pour encourager la conformité. Ces initiatives représentent des étapes cruciales dans l’effort de l’Union européenne pour protéger ses infrastructures critiques et les données sensibles contre les cyberattaques, soulignant l’importance d’une vigilance et d’une conformité accrues parmi tous les acteurs concernés.
Source :
https://incyber.org/article/nis2-dora-cra-mutations-cyber/
https://itsocial.fr/tribunes/renforcer-la-cybersecurite-un-imperatif-sous-la-directive-nis2/

Un contexte alarmant: Les entreprises françaises sous-estime l’urgence

En 2023, l’Europe s’est retrouvée au cœur de la tourmente cybernétique, devenant le continent le plus touché par les cyberattaques. Cette vulnérabilité a poussé l’Union Européenne à agir en renforçant sa législation avec le passage de la directive NIS 1 à NIS 2, comme évoqué précédemment. Cependant, l’urgence de la situation est contrastée par la préparation des entreprises françaises, avec seulement 7% d’entre elles prêtes à accueillir cette nouvelle directive. Cette réticence survient malgré une hausse alarmante des cyberattaques en Europe, exacerbée par la pandémie de Covid-19 et le conflit en Ukraine, mettant en évidence la nécessité d’une protection accrue. La directive NIS 2 propose une approche holistique basée sur cinq piliers, incluant la coopération entre États, la gestion des risques, et le partage d’informations, pour une cybersécurité européenne plus robuste et coordonnée. Toutefois, le manque de préparation et de ressources allouées à la cybersécurité parmi les entreprises françaises, notamment les TPE et PME, souligne un défi majeur. L’ANSSI recommande d’allouer 5% du budget annuel à la cybersécurité, une cible loin d’être atteinte par la majorité.
Sources :
https://www.portail-ie.fr/univers/risques-et-gouvernance-cyber/2024/renforcement-laborieux-du-bouclier-cybernetique-europeen-avec-nis-2/

Prolifération cloud et cybersécurité: Un équilibre critique pour la survie des entreprises

Dans un monde où le numérique et le cloud sont devenus la norme, de nombreuses entreprises optent pour la facilité et la flexibilité qu’offrent ces technologies, souvent sans saisir pleinement l’importance cruciale de la sécurité. Le phénomène du Cloud Sprawl, résultant d’une prolifération incontrôlée des ressources cloud, expose ces entreprises à des menaces de cybersécurité croissantes. Cet excès de ressources, couplé à des configurations mal ajustées et à un manque de surveillance des systèmes à distance, augmente la vulnérabilité aux cyberattaques. Malheureusement, cette négligence en matière de sécurité peut avoir des conséquences dramatiques, allant jusqu’à la fermeture de l’entreprise en cas de violation majeure de données. La migration vers le cloud, bien que bénéfique pour l’efficacité opérationnelle, exige donc une stratégie de cybersécurité rigoureuse et une gestion attentive pour éviter de mettre en péril l’existence même de l’entreprise.
Source :
https://incyber.org/article/le-cloud-sprawl-rend-les-entreprises-plus-vulnerables-aux-cyberattaques/

Pour aller plus loin :

Des mises à jour importante : Microsoft publie des correctifs, incitant à une action rapide

La récente mise à jour de sécurité de Microsoft a introduit 59 CVE, avec une attention particulière sur Windows et une mise en évidence de deux vulnérabilités critiques dans Windows Hyper-V. Malgré l’absence de divulgation publique ou d’exploitation active de ces vulnérabilités, l’entreprise met en garde contre six vulnérabilités importantes susceptibles d’être exploitées prochainement. La mise à jour souligne aussi la collaboration entre Microsoft et Chrome pour renforcer la sécurité du navigateur Edge, en traitant des vulnérabilités partagées. Des préoccupations particulières entourent CVE-2024-26185, une vulnérabilité liée aux fichiers compressés sous Windows, et CVE-2024-21334 dans l’Open Management Infrastructure (OMI), signalant des risques élevés mais une faible probabilité d’exploitation immédiate. Les utilisateurs du SDK Azure sont incités à vérifier leurs mises à jour pour éviter l’exposition à des vulnérabilités spécifiques. Cette mise à jour illustre l’effort continu de Microsoft pour couvrir un large éventail de produits contre les cybermenaces, encourageant une mise en application rapide des correctifs pour assurer la sécurité des systèmes.
Source :
https://news.sophos.com/en-us/2024/03/12/59-cves-primed-for-microsofts-march-patch-tuesday/

Au-delà du champ de bataille: L’impact des conflits géopolitiques sur la cybersécurité des entreprises

L’escalade des tensions au Moyen-Orient, notamment l’implication d’Israël dans des conflits, met en lumière les risques accrus pour les entreprises occidentales, allant des cyberattaques directes aux perturbations des chaînes d’approvisionnement technologiques. L’enrôlement de travailleurs dans les forces armées et les actions de cyber-espionnage par des Etats-nation et hacktivistes accentuent ces risques, rappelant la nécessité d’une sécurité renforcée. Au-delà des zones de guerre, les zones de tensions économiques et sociales représentent également une menace pour la stabilité des opérations commerciales internationales. Le rôle central d’Israël dans le secteur technologique mondial, avec la présence d’acteurs majeurs comme Intel et Apple, souligne la vulnérabilité des chaînes d’approvisionnement aux conflits et aux cyberattaques. Face à ces défis, il est crucial pour les entreprises d’intégrer une analyse approfondie des risques liés à l’instabilité géopolitique et de sécuriser leurs opérations et chaînes logistiques dans un environnement de plus en plus incertain et interconnecté.
Source :
https://siecledigital.fr/2024/03/14/les-rssi-ont-besoin-dune-vision-claire-des-nouveaux-risques-de-la-chaine-logistique/

Vers une cybersécurité intégrée : Le défi de la sécurisation des API

Les cyberattaques visant le web ciblent principalement les API, exploitant des vulnérabilités souvent ignorées, ce qui met en lumière les limites des mesures de sécurité traditionnelles dans le contexte actuel de menaces avancées. Les API, essentielles dans notre vie numérique quotidienne, de la commande de café à nos loisirs, deviennent ainsi des cibles privilégiées. L’essor de l’IA générative complexifie encore la cybersécurité, nécessitant une approche de défense plus adaptative. Face à ces défis, les entreprises peinent à sécuriser leurs API, manquant souvent de visibilité sur les risques associés. Cette situation souligne l’importance cruciale de l’identification dans les stratégies de cybersécurité, car protéger l’inconnu s’avère difficile. Les solutions actuelles, centrées sur des aspects spécifiques, sont insuffisantes pour une protection complète des API. Pour l’avenir, une approche intégrée, exploitant l’IA et couvrant de la conception au déploiement dans des environnements multicloud, est essentielle pour une cybersécurité efficace des API. Cette vision permettra une navigation sécurisée dans un écosystème numérique complexe, garantissant la sécurité de chaque application et API.
source :
https://www.silicon.fr/avis-expert/urgence-proteger-les-api

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *