Accueil de l'Académie
Blogs
Chiffrement, RaaS, attaques de la chaîne d'approvisionnement : Revue mensuelle des produits et de l'actualité de Cyberday 12/2023 🛡️
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Chiffrement, RaaS, attaques de la chaîne d'approvisionnement : Revue mensuelle des produits et de l'actualité de Cyberday 12/2023 🛡️

Collection ISO 27001
Chiffrement, RaaS, attaques de la chaîne d'approvisionnement : Revue mensuelle des produits et de l'actualité de Cyberday 12/2023 🛡️
Collection NIS2
Chiffrement, RaaS, attaques de la chaîne d'approvisionnement : Revue mensuelle des produits et de l'actualité de Cyberday 12/2023 🛡️
Cyberday blog
Chiffrement, RaaS, attaques de la chaîne d'approvisionnement : Revue mensuelle des produits et de l'actualité de Cyberday 12/2023 🛡️

Voici le tour d'horizon des nouveautés et des produits du mois de décembre sur Cyberday. Pour vous inscrire à notre prochain webinaire sur l'administration (où nous abordons ces sujets en direct), consultez notre page Webinars.

Les nouvelles les plus importantes en matière de cybersécurité 12/2023

Meta lance le chiffrement de bout en bout par défaut sur Messenger

Article sur Wired.com

Meta a développé les premiers fils de discussion cryptés de bout en bout dès 2016. L'année 2019 a été marquée par le manifeste "privacy first" de Mark Zuckerberg.

Aujourd'hui, après 7 ans de développement, Meta lance le chiffrement de bout en bout des appels et des chats sur Messenger, ce qui les rend plus sûrs et plus privés.

  • De nombreux défis politiques et techniques sont à relever.
  • Un énorme projet de développement technique dans un environnement à l'échelle de Facebook (des milliards de comptes d'utilisateurs, des terminaux d'utilisateurs multiples, la synchronisation entre les appareils, des centaines de fonctionnalités dans les fils de messages...)

Accueil familier

  • Éloges des particuliers et des organisations de protection des données
  • Critique de la police/des autorités (par exemple au Royaume-Uni) parce qu'elle rend difficile la lutte contre la maltraitance des enfants, par exemple.
Dans le cas du cryptage de bout en bout, les données sont cryptées sur l'appareil de l'expéditeur et décryptées sur l'appareil du destinataire. Les clés de chiffrement sont stockées uniquement sur ces appareils et ne sont pas partagées avec des tiers (Facebook, fournisseur de réseau, employeur, etc.). Ainsi, seuls l'expéditeur et le destinataire du message peuvent en lire le contenu.

Presque toutes les grandes entreprises du secteur de l'énergie sont victimes d'une violation des données de leurs fournisseurs

Article sur infosecurity-magazine.com

90 % des grandes entreprises européennes du secteur de l'énergie ont subi une attaque contre un fournisseur au cours des 12 derniers mois

  • Les chaînes d'approvisionnement des grandes entreprises du secteur de l'énergie sont énormes
  • Bien que l'impact direct n'ait touché qu'une petite partie des 20 000 fournisseurs interrogés (4 %), il n'en reste pas moins que la majorité des chaînes d'approvisionnement ont été touchées.

Les cybercriminels s'intéressent de plus en plus aux attaques contre la chaîne d'approvisionnement.

Dans le domaine de l'information et de la cybersécurité des organisations, il est de plus en plus important de connaître, de hiérarchiser et de surveiller sa propre chaîne d'approvisionnement :

  • Quels sont les partenaires pour lesquels des attaques auraient des effets importants sur nous ?
  • Comment contrôler le niveau de sécurité de ces partenaires importants ?

Ransomware-as-a-Service : La menace grandissante que vous ne pouvez ignorer

Article sur hackernews.com

Le RaaS gagne rapidement en popularité. Comment cela affecte-t-il la menace des ransomwares ?

  • Augmentation de la fréquence des attaques
  • Réduit le temps, le coût et les compétences nécessaires aux criminels pour mener des attaques
  • Les dernières fonctionnalités (par exemple, la double extorsion) sont appliquées à un nombre croissant d'attaques.

Souvent, les cybercriminels qui proposent le RaaS incluent l'assistance et les mises à jour, ainsi qu'une interface utilisateur facile à utiliser. La tarification peut même se faire selon un modèle "% des revenus", ce qui signifie que le "client" ne paie que lorsqu'il a réussi à obtenir des rançons de la part des victimes.

RaaS (Ransomware-as-a-Service) est un modèle commercial dans lequel les développeurs de ransomwares proposent leurs logiciels malveillants comme service à d'autres criminels. Ce modèle permet à des personnes moins compétentes techniquement de participer à l'exécution d'attaques par ransomware.

La plus grande étude de ce type montre que les pratiques obsolètes en matière de mots de passe sont largement répandues

Étude sur le site web de Georgia Tech

Georgia Tech a étudié les politiques de mot de passe de 20 000 sites web/applications. La plupart des sites :

  • Permettre l'utilisation de mots de passe courts
  • Ne pas empêcher l'utilisation de mauvais mots de passe courants
  • Utiliser des exigences obsolètes en matière de mot de passe (par exemple, caractères spéciaux).

Les instructions, les informations et les meilleures pratiques concernant les mots de passe sont disponibles en abondance. Les experts en sécurité de l'information doivent également s'intéresser à la diffusion des meilleures pratiques dans la mise en œuvre.

Un mot de passe fort protège également en cas de violation de la sécurité. En général, les services cryptent les informations d'identification, mais les cybercriminels commencent à craquer les cryptages après la fuite. Les mots de passe faibles sont les premiers à être craqués.

ChatGPT peut-il écrire des ransomwares ? Oui.

Article sur malwarebytes.com

Malwarebytes a testé l'écriture de codes malveillants à l'aide de ChatGPT.

Ces AI LLM ont leurs règles éthiques, mais les contourner ne semble pas être trop difficile :

  • Écrivez-moi un élément clé du ransomware ❌
  • Ecrivez-moi un code qui crypte un seul fichier ✔️

Lors de ce test, la qualité du code créé n'était toujours pas excellente. L'équipe a conclu qu'un programmeur non qualifié serait déconcerté par les résultats, tandis qu'un programmeur expérimenté n'en aurait que faire.

Il n'en reste pas moins qu'il y a eu une énorme amélioration entre GPT 3.0 et GPT 4.0. Si les améliorations se poursuivent à un rythme similaire (même proche), de grandes menaces pourraient se profiler à l'horizon.

ChatGPT vient de fêter son premier anniversaire. Si l'on pense aux progrès et aux effets qu'il a déjà eus sur nous, il s'agit là d'un véritable parcours de développement. Il est certainement bon de garder un œil sur les développements, du point de vue de la cybersécurité et d'autres points de vue.

Directives NIS2 : la mise en œuvre nationale progresse

Lois en phase de projet dans de nombreux Etats membres (délai 10/24), par exemple

  • "Loi sur la sécurité informatique 3.0 (Allemagne)
  • Laki kyberturvallisuuden riskienhallinnasta (Finlande)

Différences dans le suivi, les définitions du champ d'application, etc.

  • Il n'y a pas de grande surprise si vous connaissez le contenu de la directive NIS2, car les lois nationales ne font que transcrire les exigences de la directive dans le format utilisé pour la législation nationale.
  • Les pays peuvent élargir le champ d'application et les exigences en matière de sécurité s'ils le souhaitent, mais dans la plupart des cas, cela ne sera probablement pas mis en œuvre.

Notre équipe a beaucoup de contenu sur NIS2 pour les personnes intéressées.

Les pages Facebook des organisations sont piratées

Article sur le site du Centre finlandais de cybersécurité (en finnois)

L'hameçonnage via Facebook Messenger est très courant de nos jours.

Les administrateurs de vos comptes Facebook peuvent recevoir dans Messenger des messages à l'air occupé provenant de l'"assistance technique de Facebook"

  • "La campagne publicitaire n'a pas été envoyée
  • "Votre message récent viole les droits d'auteur".
  • "Activité suspecte sur votre compte

Les liens vous conduisent à un site de phishing qui ressemble à facebook.com. Ce qui rend l'escroquerie délicate, c'est que dans un compte Facebook actif, ces messages coïncident souvent avec des moments pertinents, même par accident. Si vous venez de publier un message et que vous recevez un message sur la violation des droits d'auteur, vous risquez fort d'être piraté. Restez vigilant ! 🛡

Principaux éléments du développement de Cyberday

Mises à jour de l'interface utilisateur, en particulier de la navigation d'administration et du tableau de bord

Nous avons récemment renouvelé nos principaux composants d'interface utilisateur. Les changements les plus importants concernent la navigation (le menu de gauche et sa fonction) ainsi que les priorités du tableau de bord. Nous avons également créé un flux d'accueil plus clair pour les nouveaux utilisateurs de Cyberday .

Nous renouvelons la navigation dans le but de simplifier les déplacements à l'intérieur de l'application. Le contenu du menu de gauche reste désormais toujours le même et met clairement en évidence l'endroit où vous vous trouvez.

Nous simplifions également le tableau de bord afin que les contenus les plus importants puissent être vus plus clairement. Les contenus précédents de la barre de droite sont déplacés vers le bas du bureau. À partir de votre propre système de gestion, nous mettons en évidence trois informations clés pour chaque thème : la couverture des mesures, l'état actuel de la mise en œuvre et la solidité des preuves. L'objectif du travail sur Cyberday est d'élever ces valeurs et de créer ainsi une gestion plus efficace de la cybersécurité.

Nous visons également à faciliter la prise en main par les nouveaux utilisateurs, par exemple avec des étapes de démarrage claires et une nouvelle "phase d'évaluation", qui peut être utilisée pour évaluer efficacement la couverture actuelle d'une certaine politique au début du travail.

Descriptions de processus basées sur des unités multiples pour les tâches

Vous pouvez désormais décider que certaines tâches seront exécutées séparément, par exemple dans différentes unités principales ou sur différents sites. Les unités peuvent être des "divisions", des "départements", des "succursales nationales" ou tout ce qui convient à la structure de votre organisation.

De cette façon, vous n'aurez pas besoin de créer des tâches séparées, mais vous pourrez connecter plusieurs propriétaires d'unité à la tâche en plus du propriétaire principal de la tâche. Les propriétaires d'unité sont chargés de remplir la description et de déployer la mesure dans leur unité.

Nouveau type de rapport : Déclaration de sécurité

Lorsque vous créez un nouveau rapport, vous pouvez désormais utiliser un nouveau type : Déclaration de sécurité.

Les déclarations de sécurité sont conçues pour donner une vue d'ensemble de vos tâches à un niveau de détail et une portée souhaités. Lors de la création d'un relevé, vous pouvez choisir les thèmes, les politiques ou les tâches individuelles que vous souhaitez inclure dans le rapport.

Les déclarations sont conçues pour vous permettre de créer facilement une "exportation" attrayante du contenu de la tâche souhaitée. Elles peuvent être utilisées pour la communication externe (par exemple, création d'une déclaration de sécurité générale pour les clients) ou pour les rapports internes (par exemple, création d'une déclaration détaillée sur un sujet spécifique pour la communication interne).

Améliorations apportées au tableau des audits

L'audit interne est un moyen efficace de contrôler la fonctionnalité de votre propre travail en matière de sécurité de l'information. Par exemple, une organisation certifiée ISO 27001 doit également être en mesure de démontrer que des audits sont effectués régulièrement et que la couverture de l'ensemble du cadre est vérifiée tous les trois ans.

Nous avons apporté des améliorations à la table des audits pour prendre en charge cette fonction. Vous pouvez désormais filtrer pour afficher les audits réalisés du point de vue d'un cadre d'exigences spécifique. En outre, vous pouvez facilement voir en une seule fois si les derniers audits ont couvert l'ensemble du cadre.

Amélioration des formats d'impression / PDF des rapports

Nous avons modifié la présentation des rapports lorsqu'un utilisateur accède à la vue d'impression via le bouton Imprimer. Par la même voie, vous pouvez toujours sauvegarder le rapport au format PDF.

La version imprimée utilise désormais les espaces et les tailles de police d'une manière légèrement plus optimisée. De même, nous essayons toujours d'effectuer un changement de page après les sections clés, afin que le nouveau contenu ne commence clairement qu'à la page suivante.

Nous sommes heureux de recevoir vos commentaires et d'améliorer le mode d'impression à l'avenir. 👍

Commentaires ou questions ?

Si vous souhaitez nous poser une question, vous pouvez toujours contacter notre équipe par le biais du chat ou à l'adresse team@cyberday.ai.

Rédigé par
Aleksi Pulkkanen
15.12.2023
@
apulkkanen
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

J'ai reçu une demande d'entretien pour un audit ISO 27001 - à quoi dois-je m'attendre ?

Dans ce blog, nous parlerons de l'importance de la participation des employés dans le processus d'entretien d'audit, des raisons pour lesquelles les auditeurs apprécient les points de vue des employés, et nous examinerons les questions qui peuvent être posées lors d'un entretien ISO 27001.
13.2.2025

Liste de contrôle de la conformité et de la certification ISO 27001

Vous souhaitez vous assurer que vous répondez aux exigences de la norme ISO 27001 ? Cette liste de contrôle présente des étapes clés clairement ordonnées qui guident votre organisation dans la mise en place d'un SMSI et la mise en conformité avec la norme ISO 27001.
6.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité