Les violations de données sont en augmentation depuis un certain nombre d’années et, malheureusement, en 2022, les cyberattaques ne connaissent aucune limite.
Pour le mois de juillet, on dénombre 200 attaques de ransomwares dans le monde, puis 190 pour le mois d’août, entraînant plus de 90 millions de dossiers compromis. La CNIL constate souvent lors de ses contrôles des mesures de sécurité mal planifiées, test d’intrusion et audit sécurité informatique non effectués de manière régulière, pra informatique non mis en place, …
Ce qui suit est un aperçu des cyberattaques qui ont marqué 2022.
Les cyberattaques d’août 2022
Alors que la saison des vacances d’été ne fait que commencer, des hackers malveillants vont travailler pendant que nous profitons pleinement de nos vacances. Il serait toujours judicieux de rester vigilant en matière de sécurité informatique en raison des risques accrus de cybersécurité tant pour les individus que les grandes entreprises.
Une intrusion chez Entrust
Le géant de la sécurité numérique Entrust, l’un des plus grands fournisseurs de solutions de protection de l’identité numérique et de paiement sécurisé, a subi pendant l’été une cyberattaque, au cours de laquelle des acteurs malveillants ont piraté leur réseau et volé des données de systèmes internes. Cela pourrait avoir un impact sur certains clients d’Entrust, y compris les agences gouvernementales américaines telles que les départements de l’énergie, de la sécurité intérieure, du Trésor et autres.
Les clients d’Entrust, qui comprennent des gouvernements et des entreprises, ont été informés plus tôt ce mois-ci. On ne sait pas si seules les données d’entreprise d’Entrust ont été volées ou si les données des clients étaient également impliquées. Le service de presse cite un dirigeant de l’industrie de la sécurité disant qu’un gang de rançongiciels est entré dans le système d’Entrust en achetant et en utilisant les identifiants de connexion compromis des employés d’Entrust.
Une intrusion mais pas d’attaque chez Cisco
Le géant de l’équipement réseau Cisco a confirmé avoir été victime d’une cyberattaque plus tôt cette année, qui a été orchestrée par un acteur menaçant associé au gang de rançongiciels Yanluowang. Ce dernier ayant tenté de les extorquer sous la menace de divulguer des fichiers volés en ligne.
Cisco a pris connaissance de l’incident le 24 mai 2022 et a immédiatement activé l’équipe de réponse aux incidents de sécurité Cisco (CSIRT) et Cisco Talos pour enquêter sur la situation.
L’entreprise a appris que les informations d’identification d’un employé avaient été compromises après que l’auteur de la menace avait pris le contrôle d’un compte Google personnel dans lequel les informations d’identification étaient enregistrées dans le navigateur de la victime via la synchronisation.
Une fois que l’auteur de la menace a eu accès, il a mené diverses activités pour maintenir l’accès, minimiser les artefacts médico-légaux et augmenter son niveau d’accès aux systèmes de l’environnement.
Cisco Talos affirme avoir réussi à supprimer l’attaquant de l’environnement, bien qu’il ait tenté à plusieurs reprises de retrouver l’accès pendant des semaines après la compromission initiale.
La société a révélé que les attaquants ne pouvaient récolter et voler que des données non sensibles à partir d’un dossier Box lié au compte d’un employé compromis.
Un ransomware cause un redressement judicaire chez Clestra Hauserman
Le fabricant de cloisons de bureaux et de salles blanches, Clestra Hauserman, basé à Illkirch, dans le Bas-Rhin, a demandé son placement en redressement judiciaire pour trois mois. L’entreprise se dit fragilisée notamment par une cyberattaque et la pression foncière.
Selon la CGT, majoritaire dans l’entreprise, ce délai de redressement a été fixé à six mois, alors que l’entreprise avait demandé à être placée en redressement pour trois mois.
Acteur majeur de son secteur, Clestra emploie quelque 700 personnes dans le monde, mais cette décision de reprise ne concerne que ses 400 salariés français, dont 300 travaillent à Illkirch-Graffenstaden, dans la banlieue de Strasbourg, a précisé la CGT.
Malgré un carnet de commandes bien rempli jusqu’à la fin de l’année, Clestra a besoin de financement, notamment après la cyberattaque massive subie par l’entreprise en avril qui lui a coûté entre 2 et 3 millions de dollars et a longtemps perturbé son activité.
Clestra est également en procès avec le bailleur de ses locaux d’Illkirch, qui compte quasiment doubler le loyer annuel, actuellement de 1,3 million d’euros.
Clestra a également souffert de la crise du coronavirus ainsi que des conséquences de la guerre en Ukraine, notamment l’augmentation du coût des matières premières, des transports et de l’énergie, ainsi que la perte de contrats, a souligné dans un communiqué la CGT.
Ce qui fait qu’au total, l’entreprise aurait besoin de 10 à 15 millions d’euros.
La cyberattaque du centre hospitalier de Corbeil-Essonnes
Dans la nuit du 20 au 21 août, le CHSF (Centre hospitalier Sud Francilien) de Corbeil-Essonnes est victime d’une cyberattaque, obligeant le transfert de patients et l’arrêt de quasiment toutes ses activités. En effet, les logiciels métiers de l’hôpital, les systèmes de stockage ainsi que le système d’information sur les patients de l’hôpital ont été inaccessible pour l’entièreté du personnel soignant. Face à cela, le centre hospitalier déclenche un plan d’urgence : le plan blanc, pour maintenir la continuité des soins. Le personnel se voit dans l’obligation de repasser à l’usage des dossiers papiers, à annuler quasiment toutes les opérations et à transférer des patients vers d’autres hôpitaux publics d’Île-de-France.
Les cyberhackers ont demandé une rançon de 10 millions de dollars, formulée en anglais mais, les hôpitaux publics français ne peuvent pas payer de rançon, de par leurs statuts. Ainsi, cette cyberattaque n’est que pure perte pour les hackers qui n’obtiendront pas la rançon souhaitée, et ce quels que soient les dégâts provoqués.
La lutte contre les cybermenaces continue
La cybercriminalité continue d’être un problème majeur à l’échelle mondiale, les organisations perdant des millions au profit des cybercriminels, soit à cause de données volées, soit en payant des rançongiciels. Ainsi, à Black Hat USA 2022, 18 entreprises se sont réunies pour former un effort open source visant à briser les silos de données qui entravent les équipes de sécurité. Le projet Open Cybersecurity Schema Framework (OCSF) prévoit de mettre un terme à la cybercriminalité.
L’OCSF est un effort open source visant à fournir une taxonomie simplifiée et indépendante des fournisseurs pour aider toutes les équipes de sécurité à réaliser une ingestion et une analyse des données meilleures et plus rapides sans les tâches de normalisation initiales chronophages. En effet, l’un des plus gros problèmes de la sécurité informatique entreprise aujourd’hui est que la normalisation des données provenant de plusieurs sources nécessite beaucoup de temps et de ressources.
Conçu et lancé par AWS et Splunk, l’OCSF s’appuie sur le travail de schéma ICD effectué par Symantec de Broadcom. L’OCSF comprend les contributions de 15 membres initiaux supplémentaires, dont Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro et Zscaler.
Norme ouverte, OCSF peut être adoptée dans n’importe quel environnement, application ou fournisseur de solutions et s’adapte aux normes et processus de sécurité existants. À mesure que les fournisseurs de solutions de cybersécurité intègrent les normes OCSF dans leurs produits, la normalisation des données de sécurité deviendra plus simple et moins contraignante pour les équipes de sécurité. L’adoption d’OCSF permettra aux équipes de sécurité de se concentrer davantage sur l’analyse des données, l’identification des menaces et la défense de leurs organisations contre les cyberattaques.
