Fin février, l’ANSSI a publié sa 3^ème édition du panorama de la cybermenace qui décrit les principales tendances constatées en 2023 en se concentrant sur les intentions des attaquants, leurs capacités et les opportunités exploitées pour compromettre des SI.

Dans un contexte de fortes tensions géopolitique et dans la perspective de la tenue des Jeux Olympiques sur le territoire national, la menace informatique est en constante augmentation et l’ANSSI appelle plus que jamais à une meilleure application des recommandations de première nécessité.

Ce panorama :

• Constate le regain du niveau de la menace cyber, notamment de l’espionnage qui reste à un niveau élevé et qui cible des personnes et des entités non gouvernementales qui créent, hébergent ou transmettent des données sensibles. Les attaques par rançongiciel, dont l’ANSSI a eu connaissance, augmentent de 30 % par rapport à 2022. Enfin, les opérations de déstabilisation visant à promouvoir un discours politique, à entraver l’accès à des contenus en ligne ou à porter atteinte à l’image d’une organisation se multiplient.
• Relève l’amélioration des méthodes des attaquants qui profitent des faiblesses techniques et perfectionnent les leurs afin d’éviter d’être détectés, voire identifiés. Concernant les faiblesses, l’exploitation de vulnérabilités « jour-zéro » (faille présente mais non connue ou identifiée par le fabricant) et « jour-un » (faille connue mais non mise à jour du logiciel induisant une faille persistante) reste une porte d’entrée privilégiée pour les hackers qui profitent ainsi de mauvaises pratiques, de retard dans l’application de correctifs ou dans l’absence de mécanisme de chiffrement.

Face à ces constats, l’ANSSI poursuit ses actions pour élever le niveau de cybersécurité et appelle à une meilleure application des recommandations primordiales que sont le développement des capacités de détection, la mise en place d’une stratégie de sauvegarde des SI, l’élaboration de PCA-PRA.

Par ailleurs, même si l’ANSSI souhaite poursuivre ses actions notamment en collaborant davantage avec des partenaires nationaux et internationaux, son partenaire principal cybermalveillance.gouv.fr corrobore ses dires et renforce ces recommandations.

En effet, le site a également publié son rapport d’activité pour 2023, lequel dresse un court bilan de la fréquentation de son site tant par les particuliers que par les professionnels. Les tendances de consultations et de demandes d’assistances en ligne convergent vers les menaces principales décrites par l’ANSSI :

• L’hameçonnage reste la principale menace générant des consultations par tous les publics (particuliers, professionnels, collectivités territoriales).
• Le piratage de compte vient en seconde place car celui-ci génère aujourd’hui de plus nombreuses conséquences qu’auparavant : usurpation d’identité, impacts financiers, couplage de données …
• Le rançongiciel reste un habitué du podium et dépasse même son propre record depuis 4 ans : 2 782 demandes d’assistance !

À noter que le virus fait son grand retour en atteignant la 4^e place des demandes d’assistance.

Consultez ici l’intégralité des documents : Panorama de la cybermenace 2023 (ANSSI, 23 février 2023) ; Rapport d’activité 2023 (Cybermalveillance.gouv.fr, 5 mars 2024)

En 2018, l’ACPR avait pris l’initiative de mener une première enquête sur l’assurance des risques cyber qui avait ainsi mis en exergue l’existence de couvertures implicites concernant l’assurance de ces risques. Ainsi, ces garanties n’étaient pas systématiques et le flou palpable entre existence et étendue de la couverture faisait peser un risque sur les assureurs et sur leurs assurés.

En 2023, après des recommandations, des rapports, des dossiers d’enquêtes, l’ACPR renouvelle donc l’expérience et par suite d’une nouvelle enquête auprès réalisée auprès d’un échantillon d’organismes d’assurance, elle se voit contrainte d’enjoindre à certains organismes n’ayant toujours pas pris conscience du risque important que représentent les ambiguïtés présentes dans leurs contrats liées aux risques cyber, de les clarifier.

L’Autorité somme donc, de nouveau, les assureurs de poursuivre leurs efforts visant à clarifier la couverture du risque cyber dans les contrats d’assurance !

L’enquête révèle en effet que les assureurs ont progressé dans l’identification et la clarification des garanties implicites couvrant le risque cyber. Cependant, des travaux de long terme sont encore nécessaires, notamment pour modifier les polices d’assurance afin d’expliciter la couverture effective du risque ou son exclusion.

Bien que la plupart des incertitudes concernant ces couvertures semblent être maîtrisées, certains organismes ne sont pas encore en mesure de quantifier exhaustivement le risque lié aux couvertures cyber des contrats qui ne sont pas entièrement dédiés à ce risque.

En conséquence, l’ACPR recommande donc aux assureurs d’identifier toutes les couvertures cyber, de clarifier les clauses contractuelles pour éliminer toute ambiguïté juridique et de s’assurer que le maintien des couvertures implicites représente un risque maîtrisé. De plus, elle encourage une évaluation financière exhaustive des risques portés par l’ensemble des garanties cyber, qu’elles soient implicites ou explicites.Haut du formulaire

→ Dans le contexte actuel de cybermenaces exponentielles, couvrir vos entités du risque cyber devient sinon une priorité, du moins une nécessité. Il convient néanmoins, au regard de cette information de l’ACPR, de vous assurer d’identifier les couvertures cyber effectivement proposées et assurées et le cas échéant, de bien faire clarifier les clauses contractuelles d’inclusions/exclusions de garanties prévues.

Consultez ici l’intégralité du document : Communiqué de presse ACPR du 11 mars 2024

France Travail, anciennement Pôle emploi, est au cœur d’une enquête de la CNIL suite à une cyberattaque ayant potentiellement exposé les données de 43 millions d’utilisateurs. L’attaque, survenue le 8 mars, aurait affecté les personnes inscrites sur la liste des demandeurs d’emploi actuels ou ayant eu un espace candidat sur le site francetravail.fr au cours des 20 dernières années.

Les données personnelles compromises incluent les noms, prénoms, numéros de sécurité sociale, identifiants France Travail, adresses mail et postales, ainsi que les numéros de téléphone. Cependant, la CNIL précise que les mots de passe et les coordonnées bancaires ne semblent pas avoir été touchés.

France Travail s’engage à informer individuellement toutes les personnes potentiellement concernées et met en place une plateforme téléphonique (39 49) pour les accompagner. En parallèle, la CNIL exhorte les utilisateurs à la vigilance et rappelle quelques conseils pour se protéger :

• Soyez vigilants par rapport aux messages : SMS, mails, courriers, appels, … 💬
• Ne communiquez jamais vos mots de passes ou coordonnées bancaires par messagerie ⛔
• Au moindre doute, n’ouvrez pas les pièces jointes ; ne cliquez pas sur les liens contenus 📎
• Vérifiez régulièrement les activités et mouvements sur vos différents comptes 💲
• Assurez-vous d’utiliser des mots de passes très robustes!

Malgré l’absence de données bancaires compromises, la CNIL met en garde contre d’éventuels risques de couplage de ces données avec d’autres informations provenant de fuites antérieures. Dans ce contexte, des investigations sont menées pour évaluer la conformité des mesures de sécurité de France Travail aux exigences du RGPD.

Consultez ici l’intégralité du communiqué de l’autorité :  Enquête sur la fuite de données et donne des conseils pour se protéger

La Commission nationale de l’informatique et des libertés (CNIL) a prononcé une sanction de 310 000 euros à l’encontre de la société FORIOU pour des pratiques de prospection commerciale illégales. Cette décision intervient suite à des constatations faites lors de contrôles, révélant une absence de consentement libre et univoque ainsi qu’une information insuffisante des personnes concernées.

FORIOU, spécialisée dans la promotion de programmes et cartes de fidélité, a été sanctionnée pour avoir utilisé des données fournies par des courtiers en données sans s’assurer que les personnes
concernées avaient valablement consenti à être démarchées. Ces données étaient collectées via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.

La formation restreinte de la CNIL a relevé que l’apparence trompeuse de ces formulaires ne permettait pas de recueillir un consentement valide, conforme aux exigences du règlement général sur la protection des données (RGPD).

En effet, la mise en valeur des boutons incitant à la transmission des données à des fins de prospection commerciale orientait fortement les utilisateurs à accepter, tandis que les liens hypertextes permettant de participer au jeu sans accepter cette transmission étaient moins visibles et tout à fait différents des boutons. La CNIL a également souligné le manque de contrôle effectif des exigences contractuelles imposées par FORIOU à ses fournisseurs de données. De plus, les formulaires de jeux-concours ne mentionnaient pas systématiquement la société FORIOU dans la liste des partenaires susceptibles de démarcher les personnes concernées.

FORIOU avait donc la possibilité d’utiliser la base légale du consentement ou celle de l‘intérêt légitime (à justifier). Dans son cas, elle se fonde sur le consentement des personnes concernées à recevoir son démarchage, consentement recueilli par le courtier de données auprès duquel elle a obtenu les données. Ainsi, si le consentement recueilli par le courtier dans ses formulaires n’est pas valable, alors le traitement de FORIOU qui s’en suit n’est plus licite.

Cette amende, d’un montant représentant environ 1 % du chiffre d’affaires de la société, a été décidée au regard de la gravité du manquement et de la responsabilité endossée par FORIOU.

Cette décision rappelle que la responsabilité de la conformité d’un traitement aux exigences du RGPD pèse bien sur le responsable du traitement, c’était donc à la société FORIOU de s’assurer que le consentement, sur lequel elle se fonde pour démarcher ses prospects, était bien valable au-delà des mesures contractuelles intégrées au contrat avec le courtier de données.

Consultez ici l’intégralité du document : Délibération 2024-003 du 31 janvier 2024

La remédiation (processus de réparation) est un enjeu clé pour les organisations.

En effet, si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. La remédiation constitue donc l’une des dimensions primordiales de la réponse à un incident cyber, avec l’investigation et la gestion de crise.

Elle permet d’appréhender les organisations cibles et les prestataires de cybersécurité, de développer un savoir-faire dans l’endiguement des cyber-attaques, dans la reprise de contrôle du SI compromis et dans le rétablissement d’un état de fonctionnement suffisant.

Dans ce contexte, l’ANSSI, dans son rôle d’élaboration et de diffusion des piliers doctrinaux, publie un corpus de guides s’articulant autour des trois volets suivants :

• Volet stratégique (Guide 2): enjeux de la remédiation en cas d’affection par un incident de sécurité.

Il s’adresse aux décideurs au sein des organisations. Il définit la séquence « E3R » (endiguement, éviction, éradication – reconstruction), précise l’importance du choix de plan de remédiation en fonction de l’incident et de ses coûts et préconise 7 recommandations pour réussir sa remédiation.

• Volet opérationnel (Guide 1): principes du pilotage et de la mise en œuvre du projet de remédiation.

Il est destiné à accompagner le pilotage efficient des opérations de remédiation suite à un incident de sécurité informatique et s’adresse aux RSSI, DSI et aux équipes de pilotage de remédiation. Il précise les conditions de l’élaboration et l’exécution du plan de remédiation, les prestataires et propose des plans types.

• Volet technique (Guide 3): exigences techniques pour une opération spécifique dans un projet de remédiation.

Il s’adresse aux équipes d’exploitation et aux intervenants techniques d’opérations de remédiation et détaille les principaux axes de mise en œuvre à prendre en compte lors de cette opération. Il constitue une base technique d’investigation, d’éviction et de supervision, présentant les piliers d’une opération de reconstruction du cœur de confiance de l’Active Directory. Ce volet a vocation à s’enrichir.

Dans la perspective de la résilience opérationnelle numérique imposée par DORA, ces guides constituent une base non négligeable vous permettant d’atteindre cette résilience grâce à des plans de remédiation adaptés et efficients.

Consultez ici l’intégralité des documents : Guide 1 – Piloter la remédiation ; Guide 2 – Les clés de la décision ; Guide 3 – La remédiation du TIER Active Directory (ANSSI, 16 janv. 2024)

Un an après l’entrée en vigueur du Règlement sur la résilience opérationnelle numérique des entités financières, dit DORA (« Digital Operational Resilience Act ») et un an avant sa mise en application effective, les Autorités européennes de surveillance (AES) ont publié leur premier ensemble de normes réglementaires techniques et d’exécution (RTS/ITS).

Comme développé dans notre étude d’impact parue le 24 janvier 2024 et évolutive, DORA se présente comme un cadre essentiel, allant de l’amélioration des mesures de cybersécurité à la promotion d’une culture de gestion des risques pilotée par les organes de direction des entités financières.

DORA apparaît comme une réglementation emblématique qui, loin de simplement protéger les fondements numériques du secteur financier, le propulse également vers un avenir caractérisé par la résilience et l’adaptabilité.

Dans ce contexte, le Règlement prévoit la publication de RTS/ITS par les AES dont l’objectif est de clarifier, préciser, détailler les principes et exigences ainsi posés.

Ce premier lot concerne les cadres des TIC (Technologies de l’Information et de la Communication) des entités soumises et des tiers fournisseurs de services TIC en matière de gestion des risques et de déclaration des incidents.

Ce premier ensemble comprend :

• Des RTS sur le cadre de gestion des risques TIC et sur le cadre simplifié de gestion des risques informatiques – Pilier I ;
• Des RTS sur les critères de classification des incidents liés aux TIC – Pilier II;
• Des RTS pour préciser la politique en matière de services TIC supportant des fonctions critiques ou importantes fournies par des prestataires tiers de services TIC (PTST) – Pilier IV;
• Des ITS pour établir des modèles pour le registre d’information – Pilier IV.

Un second ensemble de normes est prévu pour le 17 juillet de cette année et viendra encore préciser les modalités d’application et process mis en place dans DORA. Elles vous seront présentées au travers de notre étude d’impact actualisée.

Nous sommes d’ores et déjà dans les « starting blocks » pour vous accompagner dans cette transition et vous permettre d’atteindre votre résilience opérationnelle numérique !

Consultez ici l’intégralité du document : Ensemble de règles dans le cadre de DORA pour la gestion des risques liés aux TIC et aux tiers et la classification des incidents (EIOPA, 17 janv. 2024)