Bulletins de sécurité

Bulletin de sécurité n°19

05 nov. 2021

Bulletin de sécurité - Numéro 19

Édito

Cette fin d’année 2021 va nous voir reconduire nos certifications et agréments: ISO 27001, HDS, SOC 1 et SOC 2 et acquérir le standard PCI DSS.

Si les échanges indispensables avec les différents cabinets extérieurs qui nous auditent viennent se greffer sur la charge de travail déjà lourde de certains managers, l’obtention de ces certifications n’est rendue possible que grâce au travail de tous, selon son niveau de responsabilité et son «métier» : hébergement, infra, projets, supports, Data, Cloud Computing, E-Commerce, On Premise, DSi, services techniques, Academy, etc….

Grâce à l’implication de chacun, le niveau de maturité du Groupe s’élève d’années en années, sans être impacté par son développement et sa croissance qui posent pourtant des challenges nombreux en termes sécuritaires.

Des pistes d’améliorations sont identifiées et nous allons poursuivre notre démarche avec pragmatisme et efficacité. Nous allons maintenir en particulier, et renforcer si nécessaire, nos garanties dans la sécurisation des données : Data, Données à caractère personnel, Données de santé, données commerciales. 

L'actualité Cyber pour tous

  • Les données de santé de 1,4 million de personnes volées à l’AP-HP

L'Assistance publique-Hôpitaux de Paris a été victime d'une attaque informatique au cours de l'été. Les pirates ont visé un fichier lié aux tests de dépistage du Covid19, mi-2020, dérobant des données personnelles. Les pirates n'ont pas visé le fichier national des tests de dépistage (SI-DEP) mais «un service sécurisé de partage de fichiers», utilisé «de manière très ponctuelle en septembre 2020» pour transmettre à l'Assurance maladie et aux agences régionales de santé (ARS) des informations «utiles au contact tracing».

Pour en savoir plus, nous vous invitons à lire l’article de Les Echos.

  • Apple a réparé l’une des pires failles de l’histoire des iPhones

Les utilisateurs du logiciel espion Pegasus exploitaient une vulnérabilité inconnue d'iMessage. Apple l'a réparé après la découverte du Citizen Lab, une équipe de recherche à la pointe sur le sujet. Il faut dire que la faille, traquée sous l’identifiant CVE-2021-30860, cochait tous les critères de dangerosité : elle était déjà activement exploitée par des clients de NSO Group au moment de la découverte. Autrement dit, elle permettait de déployer le logiciel espion Pegasus, et ainsi de révéler la quasi-totalité du contenu de l’iPhone de la victime. Zero-day, elle était inconnue de l’éditeur, et n’avait donc aucun correctif.

Zero-click, elle pouvait être lancée sans que l’utilisateur interagisse avec le hacker, ce qui en faisait un outil offensif presque imparable. Invisible pour l’utilisateur, elle ne pouvait pas être détectée sans rentrer dans des registres techniques du smartphone. Elle portait sur iMessage, la messagerie présente nativement sur tous les smartphones d’Apple. Chaque propriétaire d’iPhone était donc vulnérable.

L’article est consultable sur le site de CyberguerreNumerama

  • Cybersécurité : la défense française veut renforcer ses troupes de cybercombattants

Face à la multiplication récente des cyberattaques, ainsi qu’à leur gravité, le Ministère des Armées a revu à la hausse ses objectifs de recrutement dans la Cyberdéfense. Il prévoit d’embaucher «770 cybercombattants en plus des 1100 initialement prévus» d’ici à 2025, a annoncé mercredi 8 septembre Florence Parly. Alors que la France dispose depuis 2017 d’un commandement militaire de cyberdéfense (nommé «Comcyber»), la Loi de Programmation Militaire (LPM) 2019-2025 prévoyait déjà un budget de 1,6 milliard d’euros pour la cyberdéfense et le recrutement de 1 100 cybercombattants supplémentaires pour atteindre un effectif de 4 000 personnes. "D’un nouvel espace de conflictualité, nous en sommes aujourd’hui à nous interroger sur l’existence d’une guerre froide dans le cyberespace”, s’est-elle inquiétée.

D’après un article de Le Monde.

Sécurité Technique

  • Comment DMARC empêche-t-il le phishing ?

DMARC est une norme mondiale pour l'authentification des e-mails. Il permet aux expéditeurs de vérifier que l'e-mail provient bien de qui il prétend provenir. Cela aide à freiner les attaques de spam et de phishing, qui sont parmi les cybercrimes les plus répandus d'aujourd'hui. Si le nom de domaine de votre entreprise est bankofamerica.com, vous ne voulez pas qu'un cyber-attaquant puisse envoyer des e-mails sous ce domaine. Cela met la réputation de votre marque en danger et pourrait potentiellement propager des logiciels malveillants financiers. La norme DMARC empêche cela en vérifiant si les e-mails sont envoyés à partir d'une adresse IP ou d'un domaine attendu. Il spécifie comment les domaines peuvent être contactés en cas de problèmes d'authentification ou de migration et fournit des informations médico-légales afin que les expéditeurs puissent surveiller le trafic des e-mails et mettre en quarantaine les e-mails suspects.

L’article est consultable sur le site de TheHackerNews.

  • Un nouveau bogue Azure AD permet aux pirates informatiques de forcer des mots de passe sans se faire prendre

Des chercheurs en cybersécurité ont révélé une vulnérabilité de sécurité non corrigée dans le protocole utilisé par Microsoft Azure Active Directory, dont des adversaires potentiels pourraient abuser pour organiser des attaques par force brute non détectées. "Cette faille permet aux acteurs de la menace d'effectuer des attaques par force brute à facteur unique contre Azure Active Directory (Azure AD) sans générer d'événements de connexion dans l'organisation ciblée", ont déclaré les chercheurs de l'unité de lutte contre les menaces (Counter Threat Unit, CTU) de Secureworks.

Pour en savoir plus, n’hésitez pas à consulter cet article depuis le site web TheHackerNews.com.

  • Le nouveau service Microsoft Exchange atténue automatiquement les bugs à haut risque

Microsoft a ajouté une nouvelle fonctionnalité Exchange Server qui applique automatiquement des mesures provisoires d'atténuation pour les failles de sécurité à haut risque (et probablement activement exploitées) pour sécuriser les serveurs sur site contre les attaques entrantes et donner aux administrateurs plus de temps pour appliquer les mises à jour de sécurité. Le nouveau composant Exchange Server, bien nommé service Microsoft Exchange Emergency Mitigation (EM), s'appuie sur l' outil Exchange On-premises Mitigation (EOMT) de Microsoft publié en mars pour aider les clients à minimiser la surface d'attaque exposée par les bugs ProxyLogon. Il fonctionne en détectant les serveurs Exchange vulnérables à une ou plusieurs menaces connues et applique des mesures d'atténuation provisoires jusqu'à ce qu'une mise à jour de sécurité soit disponible pour les administrateurs à installer.

L’article est disponible sur Bleepingcomputer.com.

Comprendre et appliquer la protection des données

  • La CNIL propose une autoévaluation de maturité en gestion de la protection des données

La protection des données personnelles repose sur des activités mises en œuvre par chaque organisme (pilotage, gestion du registre, veille juridique, etc.). Toutefois, ces activités ne sont pas systématiquement prises en charge dans toutes les organisations et ne sont pas toujours gérées de manière homogène. La CNIL partage ses premières réflexions sur la réalisation d’un «modèle de maturité» en gestion de la protection des données. Ce projet transpose les niveaux de maturité définis dans les normes internationales à la gestion de la protection des données et vise à décrire l'ensemble des possibles. Le projet de modèle décrit 8 activités types liées à la protection des données en 5 niveaux de maturité.

N’hésitez pas à découvrir le communiqué de la CNIL en entier.

Article suivant

Gérer mes Cookies

Les cookies sont importants pour le bon fonctionnement d'un site. Afin d'améliorer votre expérience et nos services, nous utilisons des cookies pour collecter les statistiques en vue d'optimiser les fonctionnalités de notre site Web.

Vous pouvez choisir de bloquer certains types de cookies. Sélectionnez votre choix concernant chaque catégorie de cookie. Cliquez sur «soumettre les préférences » pour valider vos choix.

Mesure d'audience

Ces cookies servent à mesurer et analyser l’audience de notre site (nombre de visiteurs, pages vues, durée sur le site, etc.) afin d’en améliorer la performance.

Afin de recevoir notre fiche produit,
veuillez saisir votre adresse email

Pour télécharger notre document, veuillez entrer votre adresse mail