.png)
Voici les nouvelles et la revue de produits de Cyberday pour le mois de décembre, ainsi qu'un résumé du dernier webinaire administratif de 2024. Notre prochain webinaire d'administration, au cours duquel nous passerons en direct, aura lieu au début de l'année 2025. Vous pouvez vous inscrire au webinaire sur notre page webinars à l'approche de la date.
La directive NIS2 sera applicable à partir d'octobre 2024, et les lois spécifiques à chaque pays sont finalisées à un rythme soutenu. Les principales différences entre les pays concernent la désignation des secteurs et l'accent mis sur les mesures de sécurité. Dans de nombreux pays, la loi nationale a été mise en œuvre.
Au printemps 2024, nous avons publié l'e-book NIS2 ready with ISO 27001's best practices, dans lequel nous montrons comment les exigences de la norme internationalement reconnue vont de pair avec la directive, facilitant ainsi la conformité. Dans de nombreux pays, la législation nationale fait également référence à la norme ISO 27001 pour garantir une mise en œuvre adéquate.
Nous publions actuellement les lois nationales du NIS2 à l'occasion du Cyberday !
La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) s'applique aux opérateurs financiers et aux fournisseurs de services TIC opérant dans l'UE. Elle fixe des exigences uniformes pour les réseaux et systèmes d'information qui soutiennent les processus opérationnels financiers. Nous avons déjà parlé de la loi sur la résilience opérationnelle numérique plus en détail sur notre blog.
Plusieurs normes techniques réglementaires (RTS) mises à jour du DORA seront publiées au cours de l'année 2024 afin d'aider les institutions financières à adopter les principes du DORA et à en assurer la conformité. Par conséquent, pour opérer conformément à la DORA, il est également nécessaire de se conformer aux endossements des RTS.
Les spécifications abordent des questions telles que la gestion des risques, la classification des incidents, la gestion de la sécurité de la chaîne d'approvisionnement, les tests de pénétration, les rapports d'incidents et la mise en œuvre plus détaillée de la sécurité de l'information pour l'externalisation. Dans le modèle de sécurité numérique, DORA a déjà reçu une mise à jour sur la classification des incidents, et nous introduirons les raffinements RTS au cours de l'année 2025.
La supervision du DORA débutera le 17 janvier 2025.
Le CRA (Cyber Resilience Act) est un règlement de l'UE qui garantit la sécurité de tous les produits et services numériques. Son champ d'application est large, puisqu'il catégorise les logiciels et le matériel (par exemple, l'électronique grand public, l'IdO, les systèmes d'exploitation) comportant des éléments numériques. L'ARC garantit que les produits comportant des éléments numériques sont conçus, développés et entretenus en tenant compte de la sécurité tout au long de leur cycle de vie.
Source : exein.io
La loi européenne sur l'IA est entrée en vigueur en août 2024, et son application sera progressive au cours de l'année 2025. La loi sur l'IA s'applique aux développeurs et aux utilisateurs de systèmes d'IA. Bien que le champ d'application de la loi sur l'IA soit plus restreint, il est bon que les organisations sachent à quoi s'en tenir.
L'objectif principal de la loi sur l'IA est de :
La législation européenne sur l'IA devrait servir de référence mondiale pour la réglementation de l'IA, en conciliant les avancées technologiques et les considérations sociales et éthiques.
Les responsables de la sécurité de l'information des organisations (CISO) ont souvent une énorme responsabilité dans leur travail. Les RSSI sont des acteurs stratégiques et des gestionnaires de risques. Cependant, le rôle du RSSI n'est pas seulement de s'assurer que les données sont protégées, mais aussi de maintenir la confiance de l'organisation. Il est essentiel de prendre en compte la peur que ressentent de nombreux RSSI : vais-je perdre mon emploi en cas de violation de données dans l'organisation ?
Portnox a mené une enquête auprès de 200 professionnels occupant des fonctions de RSSI, en particulier dans les grandes organisations. Les chiffres parlent d'eux-mêmes en ce qui concerne les défis et les craintes liés à l'emploi : 99 % des personnes interrogées s'inquiètent de la survie de leur emploi après une atteinte à la protection des données, dont 77 % sont très inquiètes.
Que peut-on faire pour améliorer la situation ? Les organisations doivent comprendre l'état actuel de la sécurité de l'information et consacrer des ressources à la mise en place et au développement d 'un environnement proactif de sécurité de l'information et d'une responsabilité partagée.
La sécurité de l'information est un travail d'équipe - faisons en sorte qu'elle le devienne.
Article de helpnetsecurity.com
Article de darkreading.com
Voyons maintenant ce que révèle l'enquête de CyberArc sur les pratiques de sécurité du personnel. L'enquête menée auprès de 14 000 employés de divers secteurs montre que les pratiques de sécurité ne se sont guère améliorées. Les chiffres clés de l'enquête sont les suivants :
Les résultats de l'enquête soulignent la nécessité de sensibiliser et de former le personnel à la sécurité. Comment votre organisation maintient-elle les compétences de son personnel en matière de sécurité ?
Article de theregister.com
Des gangs de cybercriminels spécialisés dans les rançongiciels ont récemment frappé le secteur de la santé au Royaume-Uni. Le système national de santé britannique (NHS) a fait couler beaucoup d'encre, car de nombreux systèmes ont été la cible de multiples attaques, qui seraient également le fait de diverses bandes criminelles. Parmi les dernières cibles en date figure le célèbre hôpital pour enfants Alder Hey de Liverpool. L'attaque contre l'hôpital pour enfants a été reconnue par le même groupe de rançongiciels qui a été à l'origine de nombreuses attaques contre des hôpitaux du NHS dans le passé.
Dans de nombreux sites, l'attaque a affecté la disponibilité des systèmes, ce qui a entraîné l'annulation de rendez-vous et contraint le personnel à recourir au papier et au crayon. Malgré la violation de données, les services d'Alder Hey ne sont pas affectés et il n'y a pas d'interruption des rendez-vous ou des procédures prévues. Cependant, des données sensibles ont été dérobées lors de la violation de données. Dans le cas d'Alder Hey, il s'agit d'informations sur les patients et les donateurs, de rapports et de documents. L'hôpital a confirmé qu'il enquêtait sur la violation de données et qu'il travaillait avec la National Crime Agency (NCA) et d'autres partenaires pour évaluer l'impact et sécuriser ses systèmes.
Article de thehackernews.com
En décembre, la Roumanie, sixième plus grand pays d'Europe, a décidé d'annuler les résultats du premier tour de l'élection présidentielle. L'annulation est intervenue après que le service Tik Tok a commencé à diffuser des campagnes de promotion du parti de droite Geogescu, dans lesquelles la Russie était soupçonnée d'être impliquée. L'enquête a révélé, par exemple, d'importants dons non déclarés et 25 000 comptes de médias sociaux activés en peu de temps pour soutenir la campagne électorale de Geogescu, coordonnée par un autre canal de contact. On ne sait pas encore si Geogescu a joué un rôle dans cette campagne.
Les déclarations d'annulation ont mis en évidence le fait que le résultat de l'élection ne correspondait pas aux sondages, un candidat d'extrême droite relativement peu connu étant arrivé en tête. Les candidats qui ont obtenu de bons résultats lors des élections sont naturellement mécontents de cette décision, certains estimant que l'annulation est antidémocratique. Le second tour des élections présidentielles devait avoir lieu en décembre 2024, mais le gouvernement roumain a décidé de reporter les élections présidentielles à une date ultérieure, vraisemblablement au printemps 2025.
Ce cas met notamment en évidence les défis croissants auxquels sont confrontées les démocraties en raison de l'ingérence extérieure par le biais des plateformes numériques, et souligne la nécessité urgente de renforcer les contrôles des médias sociaux et de moderniser les réglementations politiques afin de protéger l'intégrité des élections.
Cette fonction vous permet tout d'abord de classer vos partenaires dans différentes catégories et d'identifier ceux qui ont besoin d'une évaluation de la sécurité. Vous pouvez ensuite envoyer des évaluations basées sur le cadre d'exigences sélectionné. Pour en savoir plus sur cette fonctionnalité , consultez notre Académie.
Nous avons également apporté les premières améliorations aux évaluations de sécurité, y compris l'examen des réponses aux évaluations, la resoumission des demandes et la possibilité de supprimer les évaluations redondantes.
Avec l'aide de notre équipe, le compte peut être lié à une fonctionnalité au niveau du groupe qui permet à différentes organisations au sein d'un grand groupe d'utiliser des comptes Cyberday distincts. Cependant, au niveau de l'entreprise, il peut arriver que des exigences supplémentaires soient nécessaires pour certaines tâches et qu'il faille parfois fournir une implémentation au niveau de l'entreprise pour certaines tâches.
L'un des comptes peut être défini comme " compte principal ", où les utilisateurs principaux peuvent décider de distribuer les descriptions de tâches souhaitées aux sous-comptes. Les sous-comptes reçoivent immédiatement les descriptions distribuées, mais pour le reste, ils doivent gérer leur propre version des tâches de manière normale, y compris en rédigeant leurs propres "spécifications spécifiques au compte" dans la description du processus.
Cette fonction a été spécialement créée pour les consultants qui gèrent plusieurs comptes ou pour les grandes entreprises qui ont plusieurs sociétés/comptes sous leur contrôle et qui ont les mêmes personnes clés. La page "Vos comptes" affiche désormais des informations plus pertinentes. Si vous avez accès à plusieurs comptes Cyberday , vous pouvez y accéder via le bouton "Changer de compte" dans le menu de gauche.
Utilisation de l'API publique : Nous nous efforcerons bientôt de publier de meilleures descriptions des API publiques disponibles sur Cyberday. Celles-ci permettront aux organisations de créer leurs propres intégrations entre d'autres services et Cyberday.
Portail de signalement duCyberday Trust Center: Vous pouvez facilement créer une page web crédible pour les rapports de sécurité. Vous pouvez sélectionner les rapports que vous souhaitez partager (par exemple, la politique de sécurité de l'organisation, les rapports de conformité ou les politiques de sécurité spécifiques à un sous-domaine) et d'autres "informations de contrôle" sont également ajoutées à la page. Les rapports et l'ensemble du portail peuvent être librement accessibles ou faire l'objet d'une authentification légère.
Des recommandations d'amélioration plus claires à partir du Cyberday: Nous testons actuellement une nouvelle vue du bureau qui donnera, par ordre de priorité, jusqu'à 10 recommandations d'amélioration de la valeur de conformité ou de ses preuves. Ces recommandations aideront toujours l'utilisateur à comprendre ce qu'il doit faire ensuite.
En outre, nous explorons actuellement la génération de réponses aux enquêtes de sécurité assistée par l'IA en utilisant le contenu de votre système de gestion. 🔍
Nouveaux cadres: TISAX, NIS2 Législations nationales : Kyberturvallisuuslaki (Finlande), Cyberfondamentaux (Belgique), NSM ICT Security Principles (Norvège)
Cadres à venir : DORA RTS, CIS18, CRA, NIS2 lois nationales
Consultez les cadres disponibles et à venir dans l'application Cyberday ou sur le site web des cadres.
