.png)
Voici les nouvelles et la revue de produits de Cyberday pour le mois de mars. Notre prochain webinaire d'administration en direct aura lieu en mai 2024. Vous pouvez vous y inscrire sur notre page Webinars à l'approche de la date.
Traficom et Huoltovarmuuskeskus ont organisé le séminaire Tietoturva 24 à Helsinki le 13.3.2024. Lors de ce séminaire, le prix annuel "infosec frontrunner" est décerné en reconnaissance d'une coopération et d'une innovation exceptionnelles dans le domaine de la cybersécurité. Cette année, le prix a été décerné à des organisations qui ont collaboré à l'élaboration et à la mise en œuvre de mesures visant à empêcher les appels et les messages usurpés à l'échelle internationale.
Une partie importante de la mise en œuvre est le filtrage technique, où les appels finlandais sont autorisés, mais où le reste du trafic est bloqué. En outre, la réglementation Traficom, qui oblige tous les opérateurs à mettre en œuvre le même filtrage, a joué un rôle essentiel dans l'obtention d'une mise en œuvre cohérente, sans échappatoire pour les cybercriminels.
Entre 2020 et 2021, les Finlandais ont perdu 7,1 millions d'euros en raison d'appels frauduleux au support technique. Les méthodes de prévention lancées en 2022 ont permis de réduire considérablement le nombre d'appels frauduleux, et le bénéfice criminel est tombé à 600 euros. Au départ, 200 000 tentatives d'appels frauduleux ont été bloquées chaque jour. Le problème des appels et des messages frauduleux est mondial, et les résultats obtenus par la Finlande présentent donc un intérêt au niveau international.
Grâce à la coopération entre les opérateurs de télécommunications et les autorités, les appels frauduleux utilisant de faux numéros finlandais ont pratiquement cessé.
Attribué à : DNA Oyj, Elisa Oyj, KRP, Traficom, Länsilinkki Oy, Setera Communications Oy, Suomen Numerot NUMPAC Oy, Telia Finland Oyj ja Ålands Telekommunikation Ab
Le rapport annuel de l'Internet Crime Complaint Center (IC3) du FBI a été publié, et il montre que les pertes liées à la cybercriminalité ont augmenté à un taux record de 22 % en 2023. Les chiffres du rapport n'incluent que les incidents signalés à l'IC3, et il est donc possible que le chiffre soit en réalité plus élevé.
Toutes les personnes intéressées sont invitées à lire le rapport !
En mars 2024, la brasserie belge Duvel est victime d'une attaque par ransomware. Le service informatique de Duvel a détecté l'escroquerie et a arrêté les lignes de production et les serveurs de l'entreprise. En conséquence, la production a été interrompue et bloquée pendant plusieurs jours dans les usines en Belgique et aux États-Unis. Toutefois, Duvel a assuré à ses clients qu'il n'y aurait pas de problème de disponibilité, grâce au stock existant.
Le jeudi 7 mars, Duvel a été répertorié sur le site de fuite du gang de ransomware Stormous. Le site de Stormous affirme que 88 Go de données ont été volés à Duvel, y compris des informations sur les commandes, des coordonnées et des adresses. L'entreprise avait jusqu'au 25 mars pour payer.
Stormous a annoncé ces derniers mois qu'elle avait rejoint une alliance comprenant ThreatSec, GhostSec, Blackforums et SiegedSec. Les membres de l'alliance travaillent ensemble sur les attaques et développent leurs propres offres (par exemple, des services RaaS pour les cybercriminels moins qualifiés (Ransomware-as-a-Service)).
L'Union européenne a élaboré la première loi globale au monde sur l'IA, EU AI Act, qui vise à fixer des exigences pour le développement et le déploiement de systèmes d'IA à différents niveaux de risque. Cette loi vise à protéger les droits de l'homme tout en encourageant l'innovation.
Le mercredi 13 mars 2024, le Parlement européen a voté en faveur du projet de loi sur l'IA de l'UE et le texte est désormais disponible et prêt. L'Acte sur l'IA devrait être publié dès que possible, une fois que les dernières vérifications procédurales et linguistiques auront été effectuées.
L'IAPP (International association of privacy professionals) a publié un résumé facile à lire du contenu de la loi sur l'IA. L'essence de la loi est une approche basée sur le risque qui consiste en quatre niveaux de risque :
La plupart des dispositions de la loi sur l'IA deviendront applicables deux ans après la publication de son texte final. C'est donc le bon moment pour savoir si vous utilisez ou fournissez l'un de ces systèmes d'IA dans le cadre de vos activités.
Le NIST (National Institute of Standards and Technology) a publié une nouvelle version 2.0 de son cadre. Le CSF original du NIST a été publié en 2014, avec une mise à jour v1.1 du CSF publiée plus tard en 2018.
Le CSF du NIST était à l'origine destiné aux organisations d'infrastructures critiques pour gérer et atténuer les risques de cybersécurité sur la base des normes, des lignes directrices et des pratiques existantes. Même à l'état de projet, la nouvelle version du CSF a fait l'objet de nombreux commentaires, qui ont permis d'étendre et de développer le modèle actuel dans la version 2.0.
Le nouveau CSF 2.0 est conçu pour servir un public plus large, quel que soit le niveau de sécurité, des petites écoles et organisations aux plus grandes entreprises. Le NIST CSF 2.0 met à jour les principales lignes directrices et développe une série d'outils pour aider les organisations à atteindre leurs objectifs en matière de sécurité, en mettant l'accent sur les aspects liés à la gouvernance et à la chaîne d'approvisionnement. Le cadre d'exigences fournit également plus de matériel de soutien pour les travaux de sécurité numérique.
En février-mars 2024, la France a été victime d'une violation massive des données des agences pour l'emploi, avec la fuite des données de 43 millions de travailleurs français. Les données comprenaient notamment des noms, des identifiants et des coordonnées. Cette fuite massive de données pourrait avoir touché des demandeurs d'emploi des 20 dernières années et environ deux tiers de la population française. La fuite de données a touché deux agences françaises pour l'emploi, France Travail et Cap Emploi.
La violation de données n'a été découverte qu'après l'incident, lorsque des personnes ont signalé l'activité suspecte à la Commission nationale de l'informatique et des libertés (CNIL). L'agence pour l'emploi elle-même n'a signalé la violation qu'environ un mois après le début de celle-ci.
À la suite de cette violation de données, l'une des agences pour l'emploi, France Travail, a été fortement critiquée pour ses lacunes en matière de sécurité, ses ralentissements et la conservation des données de ses clients. France Travail a également été contactée par une agence externe de piratage éthique au sujet des mesures de sécurité inadéquates. La CNIL a lancé une enquête GDPR pour évaluer si l'entreprise respecte les mesures de sécurité requises. La CNIL conseille également aux victimes potentielles d'une violation de données de rester vigilantes face aux escroqueries et au phishing.
Voyez comment les différents objets documentés sont reliés entre eux ! Nous avons développé une vue visuelle des différentes cartes de documentation qui vous permet de mieux voir les liens entre les différents objets.
Sur la carte de documentation, la vue visuelle est facilement accessible à l'aide du bouton "diapositive" situé en haut de la carte. Les modifications apportées à la documentation seront toujours effectuées à partir de la vue actuelle de la carte.
Nous avons apporté des améliorations au tableau de bord de gestion des risques de sécurité et au flux de travail interne de Cyberday. Un concept plus clair pour l'utilisation du tableau des risques de sécurité a été développé.
Dans le même temps, une utilisation possible de l'identification des risques spécifiques aux actifs a été introduite. Cela permet à l'organisation de demander aux propriétaires d'actifs importants (par exemple, un système d'information, un entrepôt de données, un fournisseur, une succursale) d'effectuer une évaluation des risques qui passe en revue les menaces associées les plus pertinentes.
Cyberday s'apprête à recevoir deux nouveaux cadres : Cybersecurity Capability Maturity Model (C2M2) et Katakri 2020. Vous pouvez activer et modifier les cadres dans Cyberday, à partir du tableau de bord de l'organisation.
Par ailleurs, le Cyberday sera bientôt lancé : La loi sur la résilience opérationnelle numérique (DORA),
En état de recherche : ISO 9001
Consultez les cadres disponibles et à venir dans l'application Cyberday ou sur la page des cadres.
En réponse aux demandes de nos clients, nous ajoutons une page sur les mesures de sécurité au Cyberday afin de fournir une vue d'ensemble plus visuelle du processus. Des informations sur le processus et d'autres développements de Cyberday seront ajoutées à notre site web de développement.
N'hésitez pas à contacter notre équipe si nous n'avons pas répondu à vos questions ici. Vous pouvez utiliser la boîte de dialogue ou contactercyberday.
.png)
