Comprendre les Nouveaux Cadres Réglementaires pour les Entreprises

La Directive NIS2 et le Règlement DORA représentent des avancées majeures dans la réglementation de la cybersécurité et de la résilience opérationnelle numérique au sein de l’Union Européenne. Ici nous allons explorer ces deux cadres réglementaires, les opportunités qu’ils offrent pour les entreprises, les bénéfices potentiels, les risques associés, et proposer une feuille de route pour assurer la conformité. L’entrée en vigueur de NIS2 est prévu pour Octobre 2024 et l’application à partir de Janvier 2025, cependant il n’est pas exclu que les sanctions prévues par les textes soient appliquées avant l’été 2025. Ce qui laisse “très” peu de temps à la mise en conformité.

Directive NIS2

La Directive NIS2 (Network and Information Security 2) est une mise à jour de la Directive NIS originale de 2016. Elle vise à renforcer la cybersécurité à travers l’Union Européenne en étendant le champ d’application aux secteurs et services critiques supplémentaires et en imposant des exigences de sécurité plus strictes.

Objectifs de la Directive NIS2

• Amélioration de la cyber-résilience : Renforcer les capacités des États membres en matière de prévention, de détection et de réaction aux incidents de cybersécurité.
• Harmonisation des réglementations : Établir un cadre commun pour la cybersécurité afin de réduire les disparités entre les États membres.
• Renforcement de la coopération : Améliorer la collaboration entre les différents acteurs au niveau national et européen.

Règlement DORA

Le Règlement DORA (Digital Operational Resilience Act) est conçu pour garantir que les entreprises du secteur financier puissent résister, répondre et se remettre des perturbations opérationnelles liées aux TIC (Technologies de l’Information et de la Communication).

Objectifs du Règlement DORA

Sensiblement similaire mais avec quelques nuances

• Résilience numérique : Assurer que les entreprises financières disposent de systèmes robustes pour résister aux cyberattaques et autres interruptions numériques.
• Gestion des risques : Mettre en place des mesures de gestion des risques informatiques, y compris la surveillance, l’identification et la réponse aux incidents.
• Harmonisation et supervision : Fournir un cadre réglementaire uniforme pour la résilience opérationnelle numérique et établir des mécanismes de supervision au niveau européen.

Opportunités pour les Entreprises

Amélioration de la Sécurité et de la Résilience

• Renforcement des systèmes de sécurité : En adoptant les exigences de NIS2 et DORA, les entreprises peuvent améliorer leur posture de cybersécurité et résilience numérique.
• Réduction des risques : Une meilleure gestion des risques informatiques et une préparation aux incidents peuvent réduire les coûts liés aux cyberattaques et aux interruptions.

Avantages Compétitifs

• Confiance accrue : Les entreprises conformes peuvent gagner la confiance des clients, des partenaires et des investisseurs en démontrant leur engagement envers la sécurité et la résilience. Et par conséquent gagner en valeurs
• Accès aux marchés : La conformité peut devenir un prérequis pour opérer dans certains marchés ou pour collaborer avec certaines entreprises.

Risques Associés

Coûts de Mise en Conformité

• Investissements initiaux : Les entreprises devront investir dans des technologies, des processus et des compétences pour répondre aux nouvelles exigences. La suite 365 est une des réponses possibles offrant un bundle de produit permettant de répondre économiquement à ces enjeux.
• Coûts opérationnels : La maintenance continue des mesures de conformité peut entraîner des coûts supplémentaires. Mais cela dépend aussi des sécurités mise en place en termes d’identité, de gestion des données, des serveurs, des data, des réseaux, etc. … et de l’approche ZeroTrust (ZTA) que vous pouvez avoir.

Complexité de la Mise en Œuvre

• Adaptation des processus : Les entreprises doivent adapter leurs processus internes pour se conformer aux nouvelles réglementations, ce qui peut être complexe et chronophage. La mise en place de nouveau processus peut prendre du temps, mais permet également aux utilisateurs d’assurer la sécurité de leur donnée, leur identité, leur appareil aussi
• Formation et sensibilisation : Former le personnel et sensibiliser toutes les parties prenantes aux nouvelles exigences est crucial mais peut être un défi. Effectivement, nous l’avons déjà vu, l’application d’étiquettes de données à la main des utilisateurs est un réel défi, l’application de ces dernières de manière autonome peut nécessité un control des données, mais dans ce cas là, les modèles étant de plus en plus performant, et, entrainer, les controls deviennent moins fréquents. Pensez ici à toujours commencer avec quelques label plutôt que 12… plus simple à comprendre pour les utilisateurs.

Proposition de feuille de route pour la conformité

Concrètement la démarche est connue mais il peut être bon de la rappeler et l’adapter si besoin à votre contexte. Certains produit du marché permettent de vous faciliter la vie, mettant en exergue et corrigeant automatiquement les dérives potentielles des utilisateurs (je pense à des partages sauvages externes – car mal configurés, des règles de redirection de mail également non forcée, etc. …)

Évaluation Initiale

1. Analyse des écarts : Évaluer les différences entre les pratiques actuelles et les exigences de NIS2 et DORA.
2. Évaluation des risques : Identifier les risques actuels et potentiels en matière de cybersécurité et de résilience numérique.

Planification et Mise en Œuvre

3. Développement d’un plan d’action : Élaborer un plan détaillé pour combler les écarts identifiés, avec des étapes claires et des échéances et même des responsables, sponsors moteurs.
4. Mise à jour des politiques et procédures : Adapter les politiques de sécurité et de résilience pour répondre aux nouvelles exigences.

Renforcement des Capacités

5. Investissement en technologies : Acquérir et déployer des technologies de sécurité avancées pour protéger les infrastructures critiques. On peut par exemple parler de SIEM (Microsoft ou non) et de produit tiers.
6. Formation et sensibilisation : Mettre en place des programmes de formation pour le personnel afin de garantir une compréhension et une adhésion complètes aux nouvelles réglementations. Afin de palier pour le cas des étiquettes, au cas de figure de l’utilisateur qui ne va pas savoir si son document est interne ou externe (en grossissant le trait) ou bien si les données contenues sont sensible ou non.

Surveillance et Amélioration Continue

7. Supervision continue : Mettre en place des mécanismes de surveillance pour assurer la conformité continue et détecter rapidement les incidents.
8. Révision et mise à jour régulière : Réviser régulièrement les politiques et les procédures pour s’adapter aux nouvelles menaces et exigences réglementaires.

Et concrètement ?

Dans un environnement Microsoft 365, voici quelques exemples

1. Authentification Multifacteur (MFA)

• Technologie: Utilisation de l’authentification multifacteur via Azure Active Directory (AAD) pour renforcer la sécurité des accès utilisateurs.
• Implémentation:
  • Activez MFA pour tous les utilisateurs.
  • Configurez des options MFA telles que les notifications push, les SMS ou les applications d’authentification comme Microsoft Authenticator.

2. Etiquetage des Données

• Technologie: Utilisation de Microsoft Information Protection pour classifier et protéger les données sensibles.
• Implémentation:
  • Créez des étiquettes de sensibilité pour classer les documents en fonction de leur niveau de confidentialité (Public, Interne, Confidentiel).
  • Appliquez des étiquettes automatiquement en fonction du contenu ou manuellement par les utilisateurs.

3. Gestion des Identités et des Accès (IAM)

• Technologie: Azure Active Directory pour gérer les identités et les accès.
• Implémentation:
  • Utilisez les rôles basés sur les accès (RBAC) pour limiter les permissions aux seules nécessaires pour les utilisateurs.
  • Mettez en place des politiques d’accès conditionnel pour renforcer la sécurité.

4. Protection Contre les Menaces

• Technologie: Microsoft Defender for Office 365 pour protéger contre les menaces telles que les malwares, le phishing et les attaques de ransomwares.
• Implémentation:
  • Configurez les politiques anti-phishing et anti-spam.
  • Activez les fonctionnalités avancées de détection et de réponse aux menaces (ATP).

5. Sauvegarde et Récupération des Données

• Technologie: OneDrive for Business et SharePoint Online pour la sauvegarde et la récupération des données.
• Implémentation:
  • Configurez les stratégies de sauvegarde automatique pour les fichiers critiques.
  • Utilisez la fonctionnalité de restauration des fichiers pour récupérer les données en cas de perte ou de corruption.

6. Gestion des Appareils

• Technologie: Microsoft Intune pour la gestion des appareils mobiles et des points de terminaison.
• Implémentation:
  • Déployez des politiques de conformité pour assurer que tous les appareils accédant aux ressources de l’entreprise répondent aux critères de sécurité.
  • Configurez l’accès conditionnel pour restreindre l’accès aux appareils non conformes.

7. Surveillance et Audit

• Technologie: Microsoft 365 Compliance Center pour la surveillance continue et l’audit des activités.
• Implémentation:
  • Configurez les journaux d’audit pour suivre et enregistrer les activités des utilisateurs et les modifications des fichiers.
  • Utilisez les alertes de conformité pour être informé des activités suspectes ou des violations de politique.

8. Cryptage des Données

• Technologie: Azure Key Vault et BitLocker pour le cryptage des données au repos et en transit.
• Implémentation:
  • Stockez les clés de chiffrement dans Azure Key Vault.
  • Activez BitLocker pour chiffrer les disques sur les appareils Windows.

9. Gestion des Risques

• Technologie: Microsoft Cloud App Security pour la gestion des risques et la surveillance des applications cloud.
• Implémentation:
  • Détectez et évaluez les risques liés à l’utilisation des applications cloud.
  • Appliquez des politiques de sécurité pour contrôler les accès et protéger les données sensibles.

En conclusion

La Directive NIS2 et le Règlement DORA représentent des opportunités d’amélioration significatives pour les entreprises pour leur cybersécurité et leur résilience opérationnelle. En suivant une feuille de route structurée (et avec un bon accompagnement), vous pourrez non seulement assurer votre conformité mais aussi renforcer votre position sur le marché et réduire vos risques opérationnels. Adopter ces nouvelles réglementations est un investissement dans la sécurité et la pérennité de l’entreprise.

Stay tuned !

Il y a quelque temps, j’ai découvert une étude intéressante réalisée par des chercheurs de l’Université du Québec sur la sécurité du code généré par ChatGPT, le modèle de langage développé par OpenAI. Vous vous demandez peut-être ce qu’ils ont trouvé ? Eh bien, accrochez-vous, car les résultats sont surprenants !

Les chercheurs ont demandé à ChatGPT de générer 21 programmes et scripts dans différents langages, et seuls cinq d’entre eux étaient sécurisés dès la première tentative. Après avoir insisté pour que ChatGPT corrige ses propres erreurs, ils ont réussi à obtenir sept codes sécurisés de plus.

Une partie du problème semble provenir du fait que ChatGPT ne prend pas en compte un modèle d’exécution de code de type « adversarial« . En d’autres termes, il ne considère pas que le code qu’il génère pourrait être utilisé à des fins malveillantes. De plus, ChatGPT refuse de créer un code offensif, mais créera volontiers un code vulnérable, ce que les auteurs considèrent comme une incohérence éthique.

Les chercheurs ont également constaté qu’une des « réponses » de ChatGPT comme solution miracle aux préoccupations de sécurité était d’avoir uniquement des entrées valides, ce qui n’est pas vraiment réaliste dans le monde réel. De plus, le modèle ne fournit jamais de conseils utiles pour renforcer la sécurité d’un code, sauf si on lui demande précisemment de remédier aux problèmes. Et pour lui demander ça, il faut savoir quelles demandes lui formuler exactement, ce qui veut dire que vous devez vous-même être familier du langage et des vulnérabilités, par avance.

En conclusion de leur étude, les chercheurs pensent que ChatGPT, sous sa forme actuelle, représente un risque et que l’IA est victime du syndrome de Dunning Krüger. Les étudiants et les développeurs doivent être parfaitement conscients que le code généré avec ce type d’outil peut être non sécurisé. De plus, le comportement du modèle est imprévisible, car il peut générer un code sécurisé dans un langage et un code vulnérable dans un autre.

Bref, si vous utilisez ChatGPT ou un autre outil similaire (Github Copilot…etc) pour générer du code, gardez à l’esprit qu’il ne faut pas prendre pour argent comptant que le code fourni est sécurisé. Soyez vigilant et assurez-vous de vérifier et de tester le code pour détecter les éventuelles vulnérabilités. Et n’oubliez pas, comme dit Gaston Lagaffe : « La sécurité avant tout ! »

Source

Les menaces informatiques qui pèsent sur les petites et moyennes entreprises (PME) ne cessent d’augmenter.

The post Cybersécurité : les PME montrent un excès de confiance face aux menaces appeared first on iTPro.fr.

Un nouveau rapport met en lumière les activités malveillantes sur Discord, notamment autour des abonnements Discord Nitro qui représente une véritable opportunité pour les cybercriminels.

Pour rappel, Discord est un service en ligne très populaire pour échanger par chat ou par audio et il existe de nombreuses communautés sur des thématiques diverses et variées. Même si à ses débuts il était utilisé surtout par les gamers, ce n'est plus du tout le cas depuis plusieurs années. D'ailleurs, il y a le serveur Discord de la communauté IT-Connect ! Discord compte plus de 300 millions d'utilisateurs actifs. Forcément, s'il y autant d'utilisateurs sur cette plateforme, cela va attirer les cybercriminels.

Justement, un chercheur en sécurité de chez CyberArk Labs a fait la découverte d'un nouveau malware nommé Vare qui présente la particularité d'être distribué par l'intermédiaire de Discord. Il est associé à un groupe de pirates nommé Kurdistan 4455 basé au sud de la Turquie.

Discord Nitro, l'élément déclencheur

D'après ce chercheur, c'est depuis qu'il y a l'offre payante Discord Nitro qu'il y a des malwares sur Discord. Pourquoi ? Et bien, parce qu'en échange d'un abonnement payé mensuellement, l'utilisateur accède à des fonctions supplémentaires comme le chargement de fichiers plus lourds ou une qualité plus élevée pour le streaming.

De ce fait, il y a des utilisateurs qui essaient d'obtenir des clés d'activation Discord Nitro de manière gratuite et qui se font piéger. Certains d'entre eux s'essaient aussi au brute force ou au social engineering pour mettre la main sur les avantages Discord Nitro gratuitement. C'est pour cette raison qu'avec un malware, les pirates peuvent piéger les utilisateurs et leur voler des informations, notamment les coordonnées de cartes bancaires dans le but d'acheter des clés Discord Nitro : "Ces clés peuvent être échangées pour obtenir Discord Nitro, et des acteurs malveillants les vendent à des fins lucratives.", précise l'étude CyberArk.

Le malware Vare

Dans le cas présent, le malware Vare utilisé par les pirates informatiques est codé en Python puis converti en exécutable avec pyInstaller. Il agit uniquement sur Discord, que ce soit pour stocker les données exfiltrées ou pour trouver de nouvelles cibles. 

Une fois la machine infectée, le malware Vare va être capable de voler des informations notamment dans Discord : jetons d'authentification, informations de paiement, statut du Nitro, ainsi que le numéro de téléphone associé au compte. Cela ne s'arrête pas là, car il va aussi se servir dans les navigateurs pour voler les mots de passe enregistrés et récupérer des informations sur la machine en elle-même (CPU, RAM, clés WiFi enregistrées, etc.). Ces fonctions correspondent à celles que l'on retrouve dans le malware Empyrean.

Cette recherche est intéressante, car elle montre que ce n'est pas simplement une guerre entre les cybercriminels d'un côté et les utilisateurs de l'autre. En effet, ici le groupe de cybercriminels Kurdistan 4455 va chercher à piéger d'autres personnes malveillantes : ce qui prouve que personne n'est à l'abri et que ce n'est pas qu'une question de positionnement !

Le rapport complet de CyberArk est disponible à cette adresse.

The post Le malware Vare circule sur Discord pour voler vos données bancaires ! first appeared on IT-Connect.

Microsoft a annoncé mardi une beta publique d’une nouvelle solution « Authenticator Lite » pour les applications Outlook Mobile. Elle sera disponible avec tout abonnement Azure AD, les administrateurs du tenant pourront l’activer ou le désactiver en utilisant le portail Entra via la page de configuration Authenticator ou via le Microsoft Graph.

L’objectif de généraliser l’usage de cet outil est qu’il offre une alternative aux méthodes d’authentification secondaires basées sur les SMS (ou un appel vocal). Il utilise des notifications push pour inviter les utilisateurs finaux à s’authentifier réputé bien plus fiable. Les utilisateurs auront également accès à un mot de passe à usage unique basé sur le temps via l’application.

Plus fiable car il existe, on le sait des méthodes « sociales » pour tromper l’utilisateur avec un SMS. On voit actuellement fleurir des attaques dites « MFA fatigue attacks », également connue sous le nom de MFA Bombing ou MFA Spamming – qui est une stratégie d’attaque d’ingénierie sociale où les attaquants envoient à plusieurs reprises des demandes d’authentification à deux facteurs à l’e-mail, au téléphone ou aux appareils enregistrés de la victime cible un attaquant peut envoyer ainsi une multitude de tentatives de connexion dans l’espoir qu’un utilisateur cliquera sur accepter au moins une fois… Un authenticator supprime ainsi ce problème, tout au moins actuellement (il faut être prudent dans ce domaine…).

La fiabilité limité des méthode de MFA traditionnelles n’est pas une surprise, Microsoft avait déjà affirmé dans cette annonce de 2020 que les invites textuelles et vocales utilisées pour le MFA étaient d’anciennes approches de réseau téléphonique public commuté qui étaient ;

« les moins sûres des méthodes de MFA disponibles aujourd’hui . Ces méthodes utilisent des protocoles qui ne permettent pas le cryptage, et donc les signaux peuvent être interceptés par toute personne ayant accès au réseau de commutation ou se trouvant dans la portée radio d’un appareil« .

Microsoft a l’intention d’activer Authenticator Lite pour tous les utilisateurs ayant des tenants utilisant ce paramètre le 26 mai 2023. L’entreprise indique dans sa communication que « s vous souhaitez modifier l’état de cette fonctionnalité, veuillez le faire avant le 26 mai 2023 ».

Hiscox Assurances France, assureur spécialiste des petites entreprises et des indépendants, annonce le lancement de sa toute nouvelle offre d'assurance pour les e-commerçants.

Seagate a été condamné, mercredi 19 avril, par le Département du commerce des Etats-Unis, pour avoir livré des disques durs intégrant des technologies américaines à Huawei, pourtant soumis à des restrictions.

Discord est devenu extrêmement populaire, notamment en raison de son utilisation par les joueurs et les développeurs pour communiquer entre eux. Cependant, cette popularité a également attiré l'attention des cybercriminels qui cherchent à exploiter la plateforme et ses fonctionnalités pour mener des attaques et propager des malwares. Récemment, un nouveau malware appelé "Vare" a été […]

Cet article La menace grandissante du malware Vare sur Discord est apparu en premier sur Tutos-Informatique.

L'entreprise suisse Proton vient de lancer en version bêta son propre gestionnaire de mots de passe : Proton Pass. Il est l'heure de faire le point sur cette nouveauté !

Au fil des années, Proton continue d'étoffer son catalogue de services alors qu'initialement il s'agissait seulement d'un service de messagerie en ligne. Pas n'importe quel service, car il s'agit d'une solution de messagerie basée sur du chiffrement de bout en bout : la sécurité et la confidentialité sont au cœur des préoccupations chez Proton. Au-delà des e-mails, Proton propose un service de gestion de calendriers, de stockage en ligne ou encore de navigation sécurisée avec le service Proton VPN.

Désormais, le gestionnaire de mots de passe Proton Pass vient s'ajouter au catalogue de service de l'entreprise suisse ! Un marché sur lequel la concurrence est forte. On peut citer quelques solutions très connues comme Bitwarden, LastPass, 1Password ou encore KeePass dans un style un peu différent. D'ailleurs, Proton n'hésite pas à évoquer le dernier incident de sécurité qui a touché LastPass.

Pour cette première version, Proton a inclus des fonctions inévitables dans un gestionnaire de mots de passe :

• Remplissage automatique des formulaires de connexion (le nom d'utilisateur et le mot de passe) y compris lorsqu'il y a le MFA
  • Tout dépend du type de second facteur, et cela ne plaira pas forcément à tout le monde, car on met tous ses œufs dans le même panier comme on dit...
• Enregistrement automatique des identifiants dans votre coffre-fort de mots de passe s'il s'agit de nouvelles informations
• Génération de mots de passe à la demande (mots de passe robustes, bien sûr)

Au-delà de stocker le nom d'utilisateur et le mot de passe, Proton Pass intègre une zone de saisie supplémentaire dans chaque entrée pour permettre l'ajout de notes. Fonction utile pour conserver les codes de récupération correspondants à un site spécifique, par exemple.

À l'instar de Proton Mail et des autres services, Proton Pass bénéficie du chiffrement de bout en bout : "Proton Pass ne se contente pas de chiffrer le champ du mot de passe, mais applique un chiffrement de bout en bout à tous les champs, y compris les noms d'utilisateur, les adresses web et toutes les données contenues dans la section des notes chiffrées."

Pour le moment, Proton Pass est accessible en version bêta, que ce soit en mode web (extensions pour Chrome et Brave pour le moment) ou à partir d'applications mobiles pour iOS et Android. Une version gratuite est accessible à tout le monde. Le modèle de sécurité de Proton Pass est décrit sur cette page.

Source

The post Proton lance Proton Pass, son gestionnaire de mots de passe ! first appeared on IT-Connect.

Google a corrigé une nouvelle faille de sécurité zero-day dans son navigateur Google Chrome ! Puisqu'elle serait exploitée par les cybercriminels, il est recommandé d'effectuer la mise à jour vers la nouvelle version dès maintenant !

Il y a quelques jours, Google a mis en ligne Google Chrome 112.0.5615.121 dans le but de corriger plusieurs failles de sécurité dont la faille zero-day CVE-2023-2033, exploitée dans le cadre d'attaques. Sauf que cette version est déjà obsolète puisque l'entreprise américaine a mis en ligne une nouvelle version de Chrome pour corriger une autre faille zero-day : Google Chrome  112.0.5615.137. C'est donc cette version que vous devez utiliser pour être protégé.

La faille de sécurité zero-day faisant l'objet de cette alerte est associée à la référence CVE-2023-2136. Il s'agit d'une vulnérabilité de type "integer overflow" dans la bibliothèque graphique 2D Skia. Il s'agit d'une bibliothèque open source maintenue par Google et écrite en C++ qui joue un rôle clé dans la gestion de l'affichage du navigateur Google Chrome.

Une fois encore, c'est Clément Lecigne de l'équipe Google Threat Analysis qui a découvert cette faille de sécurité ! En exploitant cette vulnérabilité, un attaquant pourrait corrompre la mémoire de la machine et effectuer une exécution de code arbitraire sur le système de la machine ciblée. Comme à son habitude, la firme de Mountain View n'a pas donné de précisions sur les incidents de sécurité observés ou sur l'exploitation technique de cette faille de sécurité.

Google Chrome 112.0.5615.137 est disponible pour tous les utilisateurs sous Windows et macOS, tandis que pour Linux elle devrait être disponible prochainement d'après Google. Au total, cette nouvelle version corrige 8 failles de sécurité dans Chrome !

Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.

À vos mises à jour !

Source

The post Google Chrome – CVE-2023-2136 : une seconde faille zero-day corrigée dans le navigateur ! first appeared on IT-Connect.