Plus d’une douzaine d’ infos de la quinzaine qu’il ne fallait pas manquer (semaine du 15 au 29 février 2024)
1.Vol de données
Un ordinateur et des clefs USB contenant les plans de sécurisation des Jeux olympiques pour la mairie de Paris ont été volés dans un train à la gare du Nord.
Le contenu des deux clés USB : il s’agirait, dans la première clé chiffrée, des plans de sécurisation qui touchent à la voirie et notamment à la circulation pendant les Jeux olympiques.
La seconde clé, non chiffrée, ne contient, elle, aucun plan de sécurisation, précise la préfecture de police.
Suite au dépôt de plainte de l’employé de la Mairie (victime du vol de sa sacoche), une enquête a été ouverte auprès de la sûreté régionale des transports (SRT). Les images de vidéoprotection de la gare du Nord sont en cours d’exploitation.
Cependant, la ville de Paris a fait un communiqué de Presse le mercredi 28/02/24 attestant que, les premières vérifications ont permis d’établir que l’agent n’était en possession d’aucune information relative à l’organisation et au déploiement des forces de l’ordre pendant les Jeux olympiques et paralympiques.
Ce matériel informatique contenait des prises de notes à usage interne, relatives à son travail à la mission informatique de la direction de la voirie et des déplacements. L’ensemble des réinitialisations nécessaires a été effectué afin de couper tout accès au système informatique de la Ville.
En adoptant les bonnes pratiques en matière de sécurité des données personnelles, votre entreprise ou votre collectivité montre son engagement envers la protection de la vie privée de ses clients/utilisateurs et vous renforcez votre crédibilité sur le marché. Nos consultants DPO certifiés et nos consultants Cybersécurité certifiés sont à votre écoute.
2.L'ANSSI publie le Panorama de la cybermenace 2023
Vincent Strubel, directeur général de l’ANSSI, a presenté le Panorama de la cybermenace 2023 lors d’une conférence de presse au Campus Cyber.
Cette troisième édition du Panorama de la cybermenace décrit les principales tendances constatées en 2023 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce document se concentre sur les intentions des attaquants, leurs capacités et les opportunités exploitées pour compromettre des systèmes d’information (SI), en fournissant des exemples concrets d’incidents traités par l’ANSSI durant l’année.
Cette année encore, l’espionnage stratégique et industriel est la menace qui a le plus mobilisé les équipes de l’agence.
3.Faille de sécurité critique dans Microsoft Outlook
Une faille de sécurité critique a été corrigée dans le produit Microsoft Outlook de la suite Office pour Windows.
Des cybercriminels pourraient très prochainement exploiter cette vulnérabilité pour conduire des attaques massives contre les systèmes vulnérables.
Microsoft a publié une mise à jour qui corrige cette vulnérabilité et protège de son exploitation.
Risques : Espionnage, vol, destruction de données suite à la prise de contrôle à distance d’ordinateurs concernés.
Il est recommandé aux entreprises, collectivités, associations de mettre à jour leurs systèmes sans tarder !
4.Lancement d’un nouveau service en ligne proposé par la CNIL et l’ANSSI
La CNIL s’associe à l’ANSSI sur MonServiceSécurisé ! qui est accessible aux professionnels travaillant au sein d’une organisation publique ou privée dans la sécurisation de services publics numériques.
C’est un service en ligne 100% gratuit et collaboratif. Concrètement, il s’agit de découvrir comment sécuriser un service. En plus obtenir une évaluation indicative du niveau de sécurisation du service (indice cyber) et homologuer avec un dossier et un projet de décision et d’homologation.
5.La CNIL présente le bilan 2023 de son action répressive
En 2023, l’activité répressive de la CNIL se caractérise par un accroissement du nombre de mesures adoptées.
Les services de la CNIL ont ainsi instruit plus de 16 000 plaintes, procédé à 340 contrôles et, in fine, ce sont 168 mises en demeure et 42 sanctions et 33 rappels à l’ordre qui ont été prononcés. Le montant des sanctions est de 89 179 500 euros.
Remarque : 1 sanction sur 3 comporte un manquement à la sécurité des données.
Retrouvez une analyse de ce bilan proposée par notre cabinet ici.
6.Renouvellement du partenariat entre la CNIL et la Conférence des Grandes Écoles
La CNIL et la Conférence des grandes écoles (CGE) – une association qui regroupe des grandes écoles et des entreprises ont annoncé avoir renouvelé leur partenariat. Il s’agit d’un outil important permettant d’accompagner les directions des grandes écoles pour le respect et les enjeux actuels de la protection des données personnelles. Ce partenariat prévoit notamment des actions de sensibilisation et d’information sur le respect des dispositions protectrices des données à caractère personnel.
Son renouvellement est l’occasion pour la présidente de la CNIL, Marie-Laure Denis, de rappeler que “le secteur de l’Enseignement Supérieur et de la Recherche est concerné depuis plusieurs années par l’explosion des sujets numériques, ils sont nombreux et parfois sensibles”.
7.Mise en arrêt de +20 sites Internet du groupe Lockbit
Après trois ans de surveillance, les autorités de dix pays, dont en France la Gendarmerie nationale, ont annoncé le 19 février avoir saisi les espaces numériques du groupe russophone de hackers LockBit lors d’une opération baptisée “Cronos”.
Ce sont +20 sites Internet du groupe Lockbit qui ont été mis en arrêt. Le groupe de hackers russophones le plus redouté par les RSSI pour leur capacité de nuisances réussies sur les SI (rançonlogiciels), serait responsable de 2000 cyberattaques dans le monde. En France ils sont à l’origine de 27 % des demandes de rançon.
Cependant, le groupe de pirates russophones est déjà réapparu et a même annoncé avoir restauré ses serveurs et disposer de nouveaux domaines Tor.
8.Le Digital Services Act (DSA) entre en application
Le DSA Digital Services Act, le règlement européen sur les services numériques pour les grandes plateformes, hébergeurs, réseaux sociaux, sites internet de chaînes hôtelières, etc. Est entré en application le 17/02/2024.
Toutes les plateformes en ligne dont les utilisateurs se trouvent dans l’UE, à l’exception des petites et microentreprises employant moins de 50 personnes et dont le chiffre d’affaires annuel est inférieur à 10 millions d’euros, doivent mettre en œuvre des mesures visant à
- Lutter contre les contenus, biens et services illicites,
- Protéger les mineurs,
- Donner aux utilisateurs des informations sur les publicités qu’ils voient,
- Fournir à l’utilisateur des conditions générales claires et inclure les principaux paramètres sur la base desquels fonctionnent leurs systèmes de recommandation de contenu.
- Désigner un point de contact pour les autorités, ainsi que pour les utilisateurs.
- Etc.
La législation sur les services numériques s’applique également aux services d’hébergement (par exemple, les services en nuage ou les systèmes de noms de domaine, les services de base qui relient les utilisateurs aux adresses internet demandées), ainsi qu’aux intermédiaires en ligne.
9.Nouvelle initiative de Google pour favoriser l’IA dans la cybersécurité
Google a annoncé une nouvelle initiative visant à favoriser l’utilisation de l’intelligence artificielle (IA) dans la cybersécurité.
« L’IA permet aux professionnels de la sécurité et aux défenseurs d’adapter leur travail à la détection des menaces, à l’analyse des logiciels malveillants, à la détection des vulnérabilités, à la correction des vulnérabilités et à la réponse aux incidents », explique Google.
En outre, Google élargit son programme de séminaires sur la cybersécurité, qui comprend des modules axés sur l’IA, afin d’aider les universités de toute l’Europe à former des experts en cybersécurité issus de communautés mal desservies. La société a également mis en open source Magika, un outil alimenté par l’IA pour la détection des logiciels malveillants grâce à l’identification du type de fichier, qui alimente les protections pour Google Drive, Gmail et la navigation sécurisée, et qui est également utilisé dans VirusTotal.
10.Plus 3000 serveurs mails d’entreprises françaises potentiellement vulnérables à une cyberattaque d’ampleur
Un bon paquet de serveurs tournant sous Exchange, la solution de Microsoft pour la gestion des mails, sont touchés par un bug sévère permettant à des hackers malveillants de s’infiltrer dans une boite mail et même parfois dans le réseau de l’entreprise. 1321 serveurs sont à coup sûr concernés par ce bug et 3381 machines en tout sont « potentiellement vulnérables »
Un correctif pour la vulnérabilité est disponible dans la mise à jour Exchange Server 2019 Cumulative Update 14 (CU14) déployée à la mi-février. Malheureusement, il semblerait que de nombreuses firmes n’aient pas encore installé le nouveau système.
11.Les informations personnelles de plus de 50 000 personnes exposées lors d’une violation de BANK OF AMERICA
Bank of America a reconnu que les informations personnelles de 57 028 de ses clients ont été compromises. Cette violation, attribuée à une défaillance d’Infosys McCamish Systems (IMS), un fournisseur de solutions de processus d’affaires d’assurance engagé par la banque, présente un risque important de vol d’identité pour les personnes concernées.
Les informations consultées comprennent les noms, adresses, adresses e-mail professionnelles, dates de naissance, numéros de sécurité sociale et autres caractéristiques de compte des clients.Ce qui augmente le risque d’usurpation d’identité pour les clients concernés.
IMS a conseillé aux clients de Bank of America de réinitialiser leurs mots de passe et de surveiller avec vigilance leurs comptes pour détecter toute activité inhabituelle ou suspecte.
La prise en compte de ces mesures est très importante. Les clients jouent ainsi un rôle actif dans la protection de leurs informations financières et personnelles.
12.Le Transporteur CGA victime d’une cyberattaque revendiquée sur le site vitrine de RansomHouse
Le secteur du transport et de la logistique est loin d’être épargné par les cyberattaques.
La revendication d’une cyberattaque contre le transporteur GCA (Groupe Charles André) a fait son apparition, ce lundi 26 février 2024, sur le site vitrine de RansomHouse. La revendication ne porte que sur les activités du groupe GCA aux Pays-Bas, mais les noms de nombreux fichiers proposés au téléchargement sont en français.
Ce n’est pas la première fois que GCA est victime d’une cyberattaque. Le groupe en a déjà fait l’amère expérience il y a de cela 3 ans.
13.Participation du Cabinet Alcees à la journée Confiance Numérique et Intelligence Artificielle organisée par la CNCC
La Compagnie Nationale des Commissaires aux Comptes (CNCC) a organisée le mardi 27 février 2024 une journée intitulée : journée Confiance Numérique et Intelligence artificielle : état des lieux et perspectives.
Cette journée était l’occasion pour se tenir informé de l’actualité foisonnante, découvrir et s’approprier les outils qui permettront aux commissaires aux comptes de monter en compétence, et de développer l’offre « confiance numérique » de leurs cabinets.
Notre cabinet a été représenté par notre consultante Data Protection & Privacy by Design, Odilone Kouadio. Cet événement a été l’occasion pour nous de présenter et proposer nos services, notamment dans le cadre de séances de sensibilisation et formation à NIS 2, ainsi que sur les bonnes pratiques cybersécurité.
Retrouvez le programme de la journée ici.
Le Cabinet Alcees vous accompagne dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données(politique de confidentialité, charte informatique…) ;
- La rédaction de politiques de sécurité des systèmes d’information( Plan de reprise d’activités/ Plan de continuité d’activités)
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Économique Européen ;
- Le pilotage de l’Intégration de la Cybersécurité et de la Protection des données dans les Projets Stratégiques ;
- La formation et la sensibilisation de vos collaborateurs conformément à une série de normes en vigueur (NIS 2, DORA, ISO 27001, ISO 42001, …).
- Et bien plus encore, CONTACTEZ NOUS!
Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !
Alcees Confirme sa Participation à La Plage aux Entrepreneurs 2024 et vous y donne rendez-vous
Alcees participe à l’INSUR TOUR MARSEILLE 2024 : L’Évènement Incontournable pour les Professionnels de l’Assurance
Alcees participe au REGTECH DAY 2024 : L’Évènement Incontournable de l’Innovation dans les Fonctions de Contrôle du Secteur Financier
Alcees Confirme sa Participation aux Universités d’Eté de la Cybersécurité & du Cloud de Confiance et vous y donne rendez-vous
5 Informations Clés pour Bien Gérer la Conformité au Règlement Européen sur l’Intelligence Artificielle
Alcees Participe au Kick Off du RISK SUMMIT 2025
Bibliographie:
Partager cette publication à un collègue ou une connaissance
Insights liés
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.
La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.
L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.
Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.
Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.