🇺🇸⚡️🇨🇳 Washington s'alarme d'une cyber-intrusion durable de la Chine

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

🇺🇸🇨🇳 Washington s'alarme d'une cyber-intrusion durable liée à la Chine,

Décode l’actu :

⚔️ X, ex. Twitter, attaque en justice une ONG,

🇫🇷 Les établissements de santé français se mobilisent en matière de gestion de crise cyber,

🇺🇸 Face à la pénurie mondiale de main d’oeuvre dans le domaine de la cybersécurité, les USA misent sur l’éducation,

🖨 Risque de fuite de données Wi-Fi sur les imprimantes Canon,

On t’explique tout ça plus bas.

Retrouve le mag :

💼 L'IA générative au service des organisations,

💸 Malgré l'envolée des coûts liés aux violations, près de la moitié des organisations touchées ne prévoient pas de dépenser plus en matière de sécurité,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

〰️ La reco du barman 〰️

🇺🇸🇨🇳 Washington s'alarme d'une cyber-intrusion durable de la Chine

Les cyberattaques chinoises pourraient être le prélude à des perturbations militaires et des attaques destructrices plus vastes contre les citoyens et les entreprises américaines.

L'armée américaine a été confrontée à deux problèmes majeurs de cybersécurité le week-end dernier : une campagne de grande envergure nommée Volt Typhoon, lancée par la Chine et ciblant des bases militaires, et une intrusion d'initiés touchant les communications de l'armée de l'air et du FBI.

Une menace plus importante qu’initialement estimée

Les responsables de l'administration Biden ont confirmé que la campagne malveillante nommée Volt Typhoon, révélée en mai 2023, était beaucoup plus répandue que prévu. C’est ce qu’on indiqué au New York Times des responsables de l'armée et des renseignements américains.

En effet, elle touche de nombreux réseaux sensibles contrôlant les communications, l'électricité et l'eau des bases militaires américaines aux USA et à l’étranger. Cette cyber intrusion toucherait même le secteur privé et des particuliers. L’empreinte totale de l’infestation reste toutefois difficile à évaluer selon les enquêteurs.

En parallèle, une autre compromission des communications a été découverte au Pentagone, touchant 17 installations de l'armée de l'air et potentiellement le FBI. Le suspect est un ingénieur de l'armée de l'air, âgé de 48 ans, qui travaillait à la base aérienne d'Arnold dans le Tennessee. Lors d'une perquisition à son domicile, les autorités ont découvert qu'il avait un "accès administrateur non autorisé" à la technologie de communication radio utilisée par le Commandement de l'éducation et de la formation aériennes (AETC).

Les logiciels malveillants chinois représentent une "bombe à retardement"

Les logiciels malveillants chinois représentent une "bombe à retardement" dans les infrastructures critiques des États-Unis selon une source parlementaire interrogée par le New York Times.

Les États-Unis craignent que l'APT chinois derrière Volt Typhoon, également connue sous le nom de "Vanguard Panda", soit activé en cas de conflit armé, par exemple autour de Taïwan. Il viserait ainsi à perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique en cas de crises futures.

Cette cyber intrusion pourrait potentiellement entraver la réponse militaire et les chaînes d'approvisionnement en cas de conflit cyber entre les deux pays.

Une théorie évoquée par d’autres sources au New York Times suggère que les Chinois cibleraient les infrastructures américaines dans le but de détourner l'attention des citoyens des États-Unis d'un éventuel conflit extérieur (Taiwan).

〰️ En image 〰️

💼 L'IA générative au service des organisations

Le Future of Privacy Forum (FPF), une ONG, a publié une checklist pour aider les organisations à réguler l'utilisation de l'IA générative. Cette liste de contrôle est un outil essentiel pour aider les organisations à réviser leurs politiques et procédures internes concernant l'utilisation de l'IA générative par les collaborateurs. Divisée en 4 piliers, cette checklist vise à atténuer les risques liés à la sécurité, à la confidentialité des données, et au respect des droits de propriété intellectuelle, tout en préservant la confiance des consommateurs face à la prolifération de ces outils.

〰️ Vos shots 〰️

⚔️ X, ex. Twitter, attaque une ONG

Anciennement Twitter, X, la plateforme de médias sociaux d'Elon Musk, a engagé une action en justice contre le “Center for Countering Digital Hate (CCDH)”. Le CCDH est une organisation à but non lucratif, basée aux États-Unis et au Royaume-Uni qui se consacre à la surveillance et à la lutte contre les discours haineux, l'extrémisme et les comportements nuisibles sur les plateformes de médias sociaux telles que X, TikTok et Facebook. Le centre publie régulièrement des rapports critiquant le rôle de ces entreprises dans la propagation de contenus problématiques.

Elon Musk accuse le CCDH d’avoir enfreint les conditions d'utilisation de sa plateforme en collectant illégalement d'importantes quantités de données pour ses analyses, causant la perte de millions de dollars de recettes publicitaires. X accuse également le centre d'avoir obtenu un accès non autorisé à des données internes de Twitter en utilisant des identifiants de connexion fournis par un employé d'une autre société entretenant des relations commerciales avec X. De plus, la plainte suggère que le CCDH recevrait des financements de gouvernements étrangers et d'organisations liées à des “organisations médiatiques traditionnelles" qui pourraient considérer X comme un concurrent.

En réponse à cette plainte, Imran Ahmed, fondateur et directeur général du CCDH, a vivement défendu son organisation et a rejeté les allégations de X en accusant Elon Musk d'utiliser le procès pour faire taire les critiques sur son propre leadership, ainsi que les recherches du CCDH sur le rôle de X dans la diffusion de fausses informations et de discours haineux.

🇺🇸 Face à la pénurie mondiale de main d’oeuvre dans le domaine de la cybersécurité, les USA misent sur l’éducation

Le président Biden a annoncé la nouvelle stratégie nationale en matière d'éducation et de main-d'œuvre dans le domaine de la cybersécurité pour faire face au déficit mondial de 3,4 millions de professionnels en cybersécurité. Cette initiative, appelée NCWES (National Cyber Workforce and Education Strategy), a pour objectif de combler les postes vacants en cybersécurité en se concentrant sur 4 piliers fondamentaux :

1. Doter tous les citoyens américains des compétences essentielles pour participer efficacement à l'écosystème numérique.

2. Transformer l'enseignement pour répondre aux besoins actuels et préparer les étudiants à l'environnement technologique en évolution.

3. Développer la main-d'œuvre en cybersécurité en collaborant avec divers acteurs et en favorisant l'accès équitable aux emplois, y compris pour les groupes sociaux mal desservis.

4. Renforcer la présence du personnel fédéral en cybersécurité en promouvant les carrières dans le service public et en éliminant les obstacles de recrutement et d'intégration.

La NCWES fait suite à la publication de la stratégie nationale de cybersécurité en mars 2023 qui vise à développer un environnement numérique résilient, aligné sur les valeurs des États-Unis, et capable de faire face aux menaces complexes qui pèsent sur la cybersécurité actuellement.

🇫🇷 Les établissements de santé français se mobilisent en matière de gestion de crise cyber

Le 27 juillet dernier, l'Agence du numérique en santé s’est félicitée que plus de 500 établissements de santé se sont engagés dans la lutte contre les cyberattaques en réalisant des exercices de gestion de crise en cybersécurité. Selon l'ANS, ces exercices visent à préparer les professionnels à faire face aux attaques et à rétablir rapidement le système d'information.

Le ministère de la Santé et de la Prévention a fixé un objectif ambitieux : d'ici décembre 2023, 50 % des établissements doivent avoir accompli leur premier exercice, bénéficiant pour cela de financements spécifiques et de kits de scénarios d'exercices.

Ces initiatives, devenues obligatoires pour les établissements de santé, témoignent d'une forte mobilisation du secteur. En mai dernier, un jalon important a été franchi avec la réalisation du 500ème exercice. En parallèle, des exercices de crise régionaux sont également en cours de déploiement sur tout le territoire, notamment dans les régions qui accueilleront les jeux olympiques de 2024, afin de tester la capacité de réponse face à des cyberattaques d'envergure.

Toutes ces actions s'inscrivent dans le cadre du programme "Cyber accélération et résilience des établissements" (CaRE), dores et déjà financé à hauteur de 175 millions d’euros et prévu dans la feuille de route du numérique en santé 2023-2027.

🖨 Risque de fuite de données Wi-Fi sur les imprimantes Canon

Ce lundi 31 juillet, Canon a alerté ses utilisateurs contre la possibilité que des données sensibles liées aux paramètres de connexion Wi-Fi, présentes dans la mémoire de ses imprimantes à jet d'encre domestiques et professionnelles, ne soient pas effacées lors de l'initialisation. Cela peut potentiellement exposer des informations sensibles lorsque l'imprimante est confiée à un tiers, par exemple lors d'une réparation, d'un prêt, d'une vente ou d'une mise au rebut.

Selon le modèle d'imprimante Canon concerné, les informations stockées peuvent inclure le SSID du réseau, le mot de passe, le type de réseau (WPA3, WEP, etc.), l'adresse MAC et l'adresse IP. Un individu malveillant ayant accès à ces informations sensibles pourrait alors infiltrer le réseau hébergeant l'imprimante et mener diverses activités malveillantes. Canon a publié la liste complète des imprimantes à jet d'encre et des imprimantes professionnelles concernées.

Pour pallier à ce problème, Canon recommande à ses utilisateurs de réinitialiser l’imprimante avant de la confier à un tiers. Et de façon générale, les experts en sécurité préconisent également de segmenter le réseau en isolant l'imprimante sur un segment de réseau distinct et exclusif. Cette mesure permet de la tenir à l'écart des systèmes et des données sensibles, réduisant ainsi les conséquences d'une éventuelle compromission.

〰️ Dégustation 〰️

💸 Malgré l'envolée des coûts liés aux violations, près de la moitié des organisations touchées ne prévoient pas de dépenser plus en matière de sécurité

Pour cette 18ème édition annuelle de son étude “Cost of a Data Breach Report 2023”, IBM Security a analysé 553 organisations touchées par des violations de données survenues entre mars 2022 et mars 2023.

À retenir :

1. Le coût moyen mondial d'une violation de données a atteint un niveau record de 4,45 millions de dollars en 2023. Soit une augmentation de 15,3 % sur ces 3 dernières années. Ce qui ne semble pas si important au regard des 3 années.

2. L'étude a révélé que si 95 % des organisations étudiées ont subi plus d'une violation, les organisations victimes de violations sont plus susceptibles de répercuter les coûts des incidents sur les consommateurs (57 %) que d'augmenter les investissements en matière de sécurité (51 %).

3. Les entreprises qui ont eu recours à l'IA et de l'automatisation de la sécurité ont pu réduire en moyenne de 108 jours le délai d’identification et d’endiguement d’une violation, et d’1,76 millions de dollars les coûts liés aux violations de données.

4. Seul un tiers des entreprises ont découvert la violation de données par leurs propres équipes de sécurité. 67 % des violations ont été signalées par un tiers ou par les attaquants eux-mêmes. Ce qui relativise l’efficacité des dispositifs internes de détection.

5. Les entreprises qui n’ont pas fait appel aux autorités ou à la loi lors d’une attaque par ransomware ont supporté un coût supplémentaire de 470 000 dollars et ont expérimenté un cycle de vie de la violation plus long de 33 jours. Il serait donc économiquement intéressant de faire appel aux autorités.

6. Depuis 2020, les coûts liés aux violations de données dans le secteur de la santé ont augmenté de 53,3 %. Ce secteur prend cher (voir notre article).

7. Les entreprises ayant intégré des tests de sécurité dans le processus logiciel (DevSecOps) ont économisé en moyenne 1,68 million de dollars par rapport à celles qui ne l’ont pas fait. Ce qui tent à montrer que l’approche “security by design” paie.

8. Les organisations ayant un niveau élevé de planification et de test de réponse aux incidents ont économisé 1,49 millions de dollars par an par rapport aux organisations dont le niveau de planification et de test est faible. La préparation de la résilience apporterait ses fruits.

9. Les violations de données dont l’identification et l’endiguement est supérieur à 200 jours coûtent en moyenne 23% plus cher (4,95 millions de dollars) que celles inférieures à 200 jours (3,93 millions de dollars). Il y aurait donc un couperet net à 200 jours.

〰️ Cul sec - La question 〰️

📣 Que demande la SEC (Securities and Exchange Commission) aux entreprises américaines par rapport à la cybersécurité ?

Propositions de réponses :

A - Déclarer tout incident de cybersécurité important et son impact financier aux actionnaires

B - Décrire les procédures d'évaluation, d'identification et de gestion des risques importants liés aux menaces de cybersécurité

C - Mettre en œuvre un programme de formation obligatoire pour tous les employés sur la sensibilisation à la cybersécurité.

D - Décrire la surveillance par le conseil d'administration des risques liés aux menaces de cybersécurité.

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

📱 ChatGPT - Depuis le 31 juillet, les restrictions concernant l'installation de ChatGPT sur Android en France ont été levées. L'application mobile est désormais disponible pour les smartphones situés dans l'Hexagone, sous réserve que ces appareils aient au moins Android 6.

⚠️ Attention - À partir du 1er décembre 2023, les comptes Google inactifs, c’est à dire inutilisés ou non connectés depuis deux ans, seront supprimés. Les utilisateurs seront avertis par email avant toute suppression. Restez vigilant pour conserver votre compte actif !

🚨 Fausse alerte - La semaine dernière, un “hacker” revendiquait le piratage de l’intégralité de la base de données Parcoursup, la plateforme qui gère les voeux d'affectation des futurs étudiants français. Le ministère de l'Enseignement supérieur a tenu à calmer les esprits en affirmant que seuls quelques candidats liés à l’académie de Rennes étaient concernés. Les analyses effectuées n’ont démontré aucune intrusion et faille dans le système d’information de Parcoursup. En réalité, c'est un établissement breton qui a été victime d'une cyberattaque dévoilant ainsi une base de noms d'utilisateurs et de mots de passe utilisés pour se connecter à la plateforme.

💵 Amendes - Après près de deux ans et demi de procédures judiciaires en Australie, deux filiales de Meta (Facebook Israel et Onavo) ont été condamnées à payer 14 millions de dollars en raison d'une collecte de données non divulguée. L’application VPN Onavo Protect fournie aux utilisateurs australiens s’avérait être en réalité un “un outil de renseignement commercial”.

🤖 IA - Face à l’intégration rapide de l’intelligence artificielle dans notre société, les quatre géants de cette industrie, que sont Microsoft, Google, Open AI et Anthropic, ont décidé de lancer le 26 juillet dernier le Frontier Model Forum, un organisme professionnel (ou lobby ?) dont l’objectif est de promouvoir le développement sûr et responsable de l’intelligence artificielle.

🏆 Récompenses - L'Electronic Frontier Foundation (EFF), ONG pionnière de la défense des libertés numériques, remettra le 14 septembre prochain ses prix annuels à la neuro-scientifique Alexandra Elbakyan (fondatrice de Sci-Hub, qui vise à donner à tous l’accès aux articles scientifiques), au Library Freedom Project et à la Signal Foundation.

👮 EncroChat - 3 ans après le démantèlement du réseau mondial de communications cryptées EncroChat, l’agence européenne de police criminelle Europol tire le bilan : Entre autres, jusqu’à 123 pays concernés, plus de 6 500 personnes arrêtées, 7 134 années de peine de prison prononcées, près de 900 millions d'euros d'avoirs criminels saisis ou gelés.

〰️ Cul sec - Réponse 〰️

Les réponses A, B et D sont justes.

Le 26 juillet dernier, la Securities and Exchange Commission (SEC) a adopté de nouvelles règles pour les entreprises américaines publiques en matière de cybersécurité.

Selon ces règles, les entreprises doivent désormais informer leurs actionnaires de tout incident de cybersécurité jugé "important" dans un délai de quatre jours ouvrables après avoir établi ce niveau d'importance.

De plus, les entreprises réglementées doivent inclure dans leurs formulaires annuels une description détaillée des processus utilisés pour évaluer, identifier et gérer les risques significatifs liés aux menaces de cybersécurité, ainsi que des informations sur l'expertise et la surveillance exercées par leur conseil d'administration concernant ces risques.

〰️ Digestif 〰️

🧲 LK-99 : un troll, une tendance Internet ou une révolution ?

Le mois dernier, une équipe de chercheurs sud-coréens a annoncé avoir développé un matériau supraconducteur à température et pression ambiante, le LK-99.

Si cette découverte est confirmée, cela révolutionnerait les choses sur le point de l’efficience des systèmes électriques et électroniques. À ce jour, un matériau comme le cuivre provoque une perte de l’ordre de 20%. Un matériau supraconducteur comme le LK-99 permettrait quant à lui, de stocker et transporter l’électricité sans aucune pertes. Les applications sont énormes.

Affaire à suivre …

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”