Après une année 2022 caractérisée par des techniques et des technologies de plus en plus avancées et sophistiquées, 2023 sera également une année challengeante et pleine de défis pour les entreprises en matière de sécurité informatique.
Pour 2023, les prévisions ne semblent pas de bon augure. Les experts en cybersécurité s’accordent sur une augmentation générale des
cyberattaques dans le monde, due à la perturbation de l’équilibre géopolitique liée au conflit en Ukraine et à la crise financière et énergétique, avec des pirates qui pourraient cibler les gouvernements, les entreprises et les infrastructures critiques. Les données de 2022 montrent cependant que des cibles possibles se préparent pour prévenir et éviter les menaces numériques. L’Union européenne, par exemple, a adopté une directive actualisée sur la cybersécurité, la Nis 2. La France, avec les autres pays de l’UE (ainsi que les États-Unis, le Japon, l’Inde, l’Australie et le Royaume-Uni) a rejoint l’Initiative internationale contre les rançongiciels. L’objectif des différents partenaires est de développer des réponses communes aux cyberattaques janvier 2023 par des mesures conjointes, le partage d’informations et de nouvelles plateformes pour contrer les incursions sur le réseau.
Pour toutes ces raisons, il est recommandé aux entreprises de toutes tailles d’investir dans la cybersécurité, notamment dans des plateformes automatisées de surveillance des menaces et de contre-attaques proposant un service de sauvegarde externalisée et sécurisée. Les entreprises doivent privilégier les solutions qui exploitent l’intelligence artificielle pour détecter les schémas d’attaque et stopper les menaces dès que possible.
Les cyberattaques de décembre 2022
Décembre peut être le meilleur ou le pire moment pour subir une violation de données. D’une part, les gens ont commencé à se calmer jusqu’à la fin de l’année, toute l’attention est tournée vers les vacances et une violation de données est plus susceptible de passer sous le radar.
Mais pour les mêmes raisons, une violation de données en décembre peut être le pire scénario possible. Votre équipe a soudainement une montagne de travail à faire pour atténuer les dégâts. Pendant ce temps, les plans de réponse aux incidents peuvent être gravement perturbés si les personnes chargées de gérer certaines tâches sont déjà en congé.
Aussi tentant soit-il de tourner le dos à 2022 et d’attendre avec impatience la nouvelle année, prenons un moment pour considérer les incidents de sécurité qui se sont produits à la fin de l’année dernière.
Qui est affecté? Quelles entreprises ont été touchées par des cyberattaques ? Ce qui suit est un aperçu des cas connus de décembre 2022 à ce jour dans le monde.
Focus sur les cyberattaques de décembre 2022
La Normandie durement touchée par une cyberattaque
TYPE D’ATTAQUE
activité inhabituelle sur les serveurs et système de sécurité
CONSEQUENCES
site internet fermé & service d’accueil indisponible
Une nouvelle attaque contre une communauté ? Après le département de la Seine-Maritime, c’est au tour de la région Normandie d’être victime d’un incident informatique majeur. Dans la nuit du jeudi 8 décembre au vendredi 9 décembre, une activité inhabituelle a été détectée sur les serveurs et les systèmes de sécurité ont été activés.
Tous les responsables ont été interrogés sur la fermeture de leur poste en raison d’un incident informatique principal et d’une potentielle cyberattaque.
Les serveurs ont été coupés. Les sites internet des services de la région sont actuellement indisponibles (Atouts Normandie, NECI, Get Ready for Gold, …) . Le service de car Nomad a annoncé que ses services d’accueil sont indisponibles.
Si la cyberattaque se confirmait, la région Normandie viendrait s’ajouter à la liste sans cesse croissante des collectivités et services victimes de pirates. C’est le cas du département de la Seine-Maritime, de la ville de Caen ou encore de l’hôpital Mignot à Versailles. Aucune rançon n’a encore été exigée de la région.
L’enseignement supérieur dans le viseur des cyberpirates
Mi-septembre 2022, Toulouse INP a démarré l’année scolaire sur une cyberattaque avec un rançongiciel. Début décembre, Grenoble INP faisait part d’une intrusion sur ses serveurs, mais sans parler d’attaque informatique. Dans le même temps, l’IUT Paris – Rives de Seine avait été ouvertement victime d’une cyberattaque.
Les universités communiquent généralement très ouvertement lorsqu’elles sont touchées par une cyberattaque, en partie parce qu’un grand nombre d’étudiants sont généralement touchés. Par conséquent, le nombre de cas non signalés est susceptible d’être faible, du moins pour les cyberattaques de grande envergure.
TYPE D’ATTAQUE
rançonlogiciel
CONSEQUENCES ET SOLUTIONS
mise en place d’un PCA
Rackspace victime d’une cyberattaque après des pannes d’Exchange
TYPE D’ATTAQUE
attaque de ransomwares
CONSEQUENCES ET SOLUTIONS
perturbations commerciales et arrêt du système informatique, embauche d’une entrepise de cyberdéfense
Un incident de ransomware chez Rackspace Technology découvert le 2 décembre a provoqué des interruptions de service pour les clients de son activité Hosted Exchange et pourrait entraîner une perte de revenus, a annoncé mardi la société.
Rackspace a pris des mesures immédiates pour contenir le ransomware dans son environnement Hosted Exchange et a embauché une entreprise de cyberdéfense de premier plan pour enquêter sur l’incident, a déclaré la société.
L’entreprise basée à San Antonio conçoit, construit et exploite des environnements cloud pour les entreprises sur plusieurs plates-formes et propose des solutions de digital workspace. L’environnement Hosted Exchange génère environ 30 millions de dollars de revenus annuels dans le segment Apps & Cross Platform de la société.
Rackspace a averti qu’il pourrait avoir des coûts supplémentaires liés à sa réponse à l’incident. Sur sa page de mise à jour de statut, Rackspace a déclaré qu’il mettait des ressources à la disposition des clients afin qu’ils puissent migrer leurs utilisateurs et leurs domaines vers Microsoft 365.
Le lundi 5 décembre, un porte-parole de la société a déclaré par e-mail que Rackspace avait rétabli le service de messagerie électronique pour des milliers de clients sur Office 365 cloud, ajoutant que les clients pouvaient désormais mettre en œuvre un transfert temporaire. Rackspace contacte les clients Hosted Exchange par téléphone et prévoit également de les contacter via des adresses e-mail alternatives.
La société pense que l’incident a été isolé de son activité Hosted Exchange. D’autres produits et services sont pleinement opérationnels et il n’y a eu aucun impact sur sa gamme de produits et sa plate-forme de messagerie.
Fuite de données pour Social Blade
Le service d’analyse des médias sociaux Social Blade a confirmé qu’il enquêtait sur une faille de sécurité après qu’un pirate a proposé sa base de données d’utilisateurs à la vente sur un site Web criminel clandestin.
Dans une notification envoyée aux utilisateurs de Social Blade, la société a déclaré avoir confirmé que sa base de données était proposée à la vente sur un forum de piratage après avoir été informée d’une violation potentielle le 14 décembre.
Selon Bleeping Computer, les données de Social Blade ont été mises en vente pour la première fois sur le forum underground le 12 décembre 2022.
Le hacker, quant à lui, affirme avoir dérobé la base de données de 5,6 millions d’enregistrements en septembre.
TYPE D’ATTAQUE
des données volées mise en vente
CONSEQUENCES ET SOLUTIONS
fermeture de la faille de sécurité et audit de sécurité
Social Blade, qui surveille les comptes de médias sociaux de dizaines de millions d’utilisateurs, a assuré qu’aucune information de carte de crédit n’avait été divulguée, mais a déclaré que les données divulguées comprenaient des adresses e-mail, des adresses IP, des hachages de mots de passe, des identifiants client et des jetons pour les utilisateurs d’API d’entreprise, les jetons d’authentification pour les comptes connectés et de nombreux autres éléments de données non personnelles et internes.
Social Blade a poursuivi en disant que bien que des hachages de mots de passe aient été divulgués, il ne pensait pas qu’ils étaient en danger car l’algorithme de cryptage fort bcrypt avait été utilisé. Néanmoins, il serait judicieux que les utilisateurs de Social Blade concernés modifient leurs mots de passe, en s’assurant que les nouveaux mots de passe sont difficiles à déchiffrer ou à deviner et qu’ils sont uniques.
Les jetons Business API ont entre-temps été réinitialisés pour empêcher leur exploitation par des tiers non autorisés.
Social Blade pense que l’individu qui a volé ses données y a accédé en exploitant une vulnérabilité du site Web. Il dit qu’il a fermé la faille de sécurité et procède à des examens supplémentaires de ses systèmes pour s’assurer que la sécurité est encore renforcée.
Les hôpitaux : cibles des cyberpirates pour 2022
TYPE D’ATTAQUE
ransomware
CONSEQUENCES ET SOLUTIONS
fuite de données sensibles, incapacité à travailler, décès …
Ces derniers mois, les cyberattaques contre les hôpitaux du monde entier ont augmenté de façon exponentielle, au point de rendre les entités plus touchées par les ransomwares. A la base de cette escalade, des vulnérabilités trop souvent ignorées ainsi que le fait que les données de santé sont désormais des denrées précieuses.
L’un des exemples les plus frappants en ce sens concerne un impact cinétique grave, en particulier la mort d’une fille nouveau-née causée par des complications dues à l’interruption de l’apport d’oxygène au cerveau, en raison d’ une attaque de ransomware qui a frappé le Springhill Medical Center, en Alabama.
Le secteur de la santé est depuis longtemps la victime de prédilection des cybercriminels. Ceux qui sont mal intentionnés ont exploité la nature sensible des données de santé et des flux de travail opérationnels pour extorquer les prestataires de services à des fins financières. Il y a eu de nombreuses cyberattaques contre les hôpitaux au cours des dernières années (André-Mignot, CHU Nice, …), qui ont laissé le secteur de la santé battu et meurtri.
Un mode d’attaque de plus en plus courant est l’utilisation de logiciels malveillants, et plus particulièrement de rançongiciels, soit pour extraire des données personnellement identifiables, soit pour perturber les opérations. Ces attaques sont souvent de nature sophistiquée, les utilisateurs recevant des fichiers ou des liens apparemment inoffensifs par e-mail, qui installent ensuite des logiciels malveillants permettant aux pirates de prendre le contrôle de certaines parties du système informatique. Les pirates feront ensuite chanter l’hôpital ou le fournisseur de soins de santé, affirmant qu’ils désactiveront les systèmes de soutien vitaux s’ils ne reçoivent pas de paiement. Comme ces établissements de soins ont littéralement la vie des patients entre leurs mains, il est souvent difficile de refuser le paiement.
Le conseil cybersécurité du mois
Focus : les réseaux sociaux sur votre ordinateur pro
L'utilisation des applications de réseaux sociaux par les employés représente une menace pour la cybersécurité de l'entreprise. Avec la bonne approche, il existe des moyens sûrs d'utilisation, sans s'exposer eux-mêmes ou leurs employeurs à des risques inutiles. Cependant, vous devez rester vigilant et avoir une bonne dose de méfiance. N'hésitez pas à contacter votre Département IT pour appliquer leur conseil.
Notre lecture sécurité
Notre solution sécurité : le pentest
Pen test
Mesurer le risque associé à votre SI-
Une cartographie des vulnérabilités SI
-
Mise en conformité aux normes RGPD
-
Priorisation des correctifs de sécurité
-
Réduction des risques financiers liés aux cyberattaques
L'alerte du mois
Zoom sur : les incidents cyber évitables
Depuis le début de la pandémie, le nombre de cybercrimes signalés a augmenté de 300 %, il est donc plus crucial que jamais d’apprendre des erreurs du passé.
Récemment, il y a eu plusieurs cyberattaques, notamment Uber confronté à une attaque informatique, la banque Revolut cible d’un piratage, etc, qui ont fait la une des journaux en raison des lourdes pertes financières et des conséquences considérables qu’elles ont causées. Bien que certaines soient des attaques complexes, elles auraient toutes pu être évitées, ou du moins affaiblies, grâce à des renseignements sur les menaces basés sur des données et à des précautions de sécurité appropriées.
Il existe des moyens efficaces et abordables de réduire l’exposition de votre organisation aux types de cyberattaques les plus courants sur les systèmes exposés à Internet :
- pare-feux de délimitation et passerelles Internet : établissent des défenses de périmètre de réseau, en particulier un proxy Web, un filtrage Web, une vérification du contenu et des politiques de pare feu entreprise pour détecter et bloquer les téléchargements exécutables, bloquer l'accès aux domaines malveillants connus et empêcher les ordinateurs des utilisateurs de communiquer directement avec Internet
- formation des utilisateurs, éducation et sensibilisation : le personnel doit comprendre son rôle dans la sécurité de votre organisation et signaler toute activité inhabituelle
- configuration sécurisée : limiter les fonctionnalités de chaque appareil, système d'exploitation et application au minimum nécessaire au bon fonctionnement de l'entreprise
- politique de mot de passe : s’assurer qu'une politique de mot de passe appropriée est en place et suivie
Si votre organisation est susceptible d’être ciblée par un attaquant plus doué techniquement, donnez-vous plus de confiance en mettant en place ces contrôles supplémentaires :
- audit sécurité informatique : pour identifier toute activité inattendue ou suspecte
- protection contre les logiciels malveillants : établir et maintenir des défenses contre les logiciels malveillants.
- gestion des incidents de sécurité : mettre en place des plans pour faire face à une attaque car une réponse efficace réduira l'impact sur votre entreprise
