Nous allons arrêter de dire tous les mois que les dernières semaines ont été « riches » en actualité cyber, parce que malheureusement, il semble que ce soit la nouvelle norme.
Oui, les organisations prennent tranquillement conscience de l’importance de protéger leurs systèmes informatiques (si vous lisez ces lignes, vous en faites partie, bravo!). Malheureusement, la grande majorité des entreprises n’ont pas connaissance des risques, ou n’agissent pas pour se protéger. Les cybercriminels ont donc encore de beaux jours devant eux.
Ce mois-ci, nous vous parlons des dernières vulnérabilités critiques, des cyberattaques qui ont secoué l’actualité et nous vous donnons des pistes pour améliorer votre posture en sécurité.
Ce mois-ci est aussi la fin de notre marathon d’événement; nous avons enchaîné plusieurs salons les dernières semaines et avons eu le plaisir de rencontre en 3D plusieurs d’entre vous. Ça a vraiment été le fun de vous voir 😉
L'actualité Cyberswat
On était au Hackfest 2022
Retrouver cet événement phare après 2 années en mode virtuel a été un grand bonheur pour nous. On a eu la chance de revoir en vrai certains d’entre vous, écouter des conférences de grande qualité pour rester à la page et notre Red Team a participé au CTF 😎
Nous avons déjà hâte à l’année prochaine: https://hackfest.ca/
Et l’équipe était aussi présente à Stratégie PME la semaine passée
La cybersécurité est un enjeu majeur pour les PME, car beaucoup d’entreprises ne se sentent pas encore concernées par les risques, ou ne pensent pas avoir les moyens de se protéger. Jean-Philippe a donné une conférence sur le sujet pour aider les organisations à prendre conscience des risques, mais surtout des moyens à leur disposition pour rehausser leur posture en cybersécurité.
Le Meme du mois :
Sur nos réseaux, nous vous partageons toutes les semaines un meme de cybersécurité pour aider à sensibiliser le maximum de personnes, avec humour 😊
L'actualité en cybersécurité
Le cas Sobeys, ou comment rater sa communication
Sobeys a fait les manchettes de la presse ces dernières semaines; en cause : une cyberattaque. C’est moins le rançongiciel dont ils sont victimes qui a fait couler de l’encre, mais le silence de la direction sur le sujet. Malgré les témoignages des employés, preuves à l’appui, que l’entreprise a été victime d’un rançongiciel, la communication officielle reste un « problème informatique » refusant tout commentaire supplémentaire.
Nous ne le répétons jamais assez, la façon de gérer une crise est essentielle pour limiter l’atteinte à notre réputation. Une communication plus transparente n’aurait pas réglé tous les problèmes auxquels fait face Sobeys, mais les critiques auraient sûrement été moins vigoureuses. Avez-vous planifié votre plan de communication pour le jour où ce sera votre tour?
Plus d’information: https://www.journaldequebec.com/2022/11/11/rancon-demandee-pour-les-donnees-piratees-de-sobeys-iga
Fuite de données majeure en Australie
Les données médicales de 10 millions d’Australiens auraient commencé à apparaître sur le ‘’dark web’’ à la suite d’une attaque de grande envergure qui semblerait orchestrée par un groupe de cybercriminels provenant de la Russie.
Nous constatons que beaucoup de personnes ne voient pas la gravité d’un vol de données, mais ce cas-ci montre bien en quoi cela peut être critique. On parle de renseignements très personnels (détails sur des avortements, santé mentale ou addictions). Ces informations hautement confidentielles pourraient être utilisées pour nuire aux personnes concernées.
Apprenez-en plus ici: https://www.theguardian.com/world/2022/nov/11/medical-data-hacked-from-10m-australians-begins-to-appear-on-dark-web
Le rapport de défense informatique de Microsoft maintenant disponible
Le rapport de défense informatique de Microsoft pour l’année en cours est sorti et présente des points importants et utiles pour vous aider à améliorer et renforcer la protection de vos données critiques. Voici quelques conseils de leurs experts en la matière :
- Autorisez et configurez l’authentification multi-facteurs ou à 2 facteurs.
- Utilisez un antivirus à jour de nouvelle génération et surveillez les événements de sécurité qui surviennent afin de réagir rapidement.
- Mettez en place un processus qui permet de mettre à jour régulièrement tout logiciel de l’organisation, d’OS (Windows, MacOS, iOS, ChromeOS, etc.).
- Appliquez les principes du Zero-Trust.
N’hésitez pas à nous contacter si vous avez des questions au sujet de n’importe quel point dans cette liste!
https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022
La cyberattaque à l’INRS a coûté au moins 268,778$
Beaucoup d’organisations refusent d’investir en cybersécurité, car elles considèrent les coûts trop importants. Malheureusement, les coûts en cas de cyberattaque sont bien supérieurs et ne viennent pas remplacer les frais nécessaires pour sécuriser son entreprise. L’INRS a été visé par une cyberattaque cet été, et pour contenir l’incident, protéger ses données et rétablir ses systèmes, ce n’est pas moins de 268,778$ que l’organisation a dû débourser.
Vous pensez que ça vous coûterait beaucoup moins cher, car votre organisation est plus petite? On pense souvent aux coûts de l’équipe de sécurité qui va venir résoudre le problème (ça peut monter vite selon la situation), mais voici une liste non exhaustive des coûts sous-jacents d’un incident de sécurité:
- Coût d’arrêt de votre activité: combien de dollars perdus par minute d’arrêt d’une chaîne de production? Magasin en ligne non accessible, combien de commandes manquées et de clients perdus à la concurrence? Vos employés ne peuvent pas travailler, quel en est le coût?
- Frais pour gérer la communication auprès de vos clients, fournisseurs et des médias
- Impact sur votre réputation, allez-vous perdre des clients?
- Est-ce que vous avez perdu des données définitivement? Votre entreprise peut-elle s’en remettre?
- Amendes potentielles selon les lois en vigueur (voir loi 25)
Donc oui, améliorer sa sécurité a un coût, mais il est nettement inférieur à celui qu’une cyberattaque pourrait engendrer. En plus, avoir une meilleure posture va vous permettre d’être éligible à une assurance en cyberrisques, ce qui pourrait vous aider à payer moins cher en cas d’attaque.
Pour en savoir plus: https://ici.radio-canada.ca/nouvelle/1931029/pirates-informatiques-organismes-publics-rancongiciel
Mises à jour du mois
Microsoft a récemment lancé un nouveau patch Tuesday pour ce mois-ci, avec objectif de corriger 6 vulnérabilités zero day et 68 vulnérabilités connues.
11 des 68 vulnérabilités corrigées dans le dernier correctif sont classifiées comme étant critiques et celles-ci ne comptent pas non plus les deux vulnérabilités OpenSSL qui ont été divulguées aux usagers des produits Microsoft le 2 novembre. (https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/)
Il est intéressant de noter aussi, pour tous ceux qui œuvrent dans l’industrie de l’éducation ou qui suivent des cours en ligne, que Teams (for education) a reçu plusieurs mises à jour importantes afin de régler quelques bogues rencontrés dans la plateforme par de nombreux utilisateurs.
La suite Microsoft Office est également concernée puisque des mises à jour de sécurité pour Excel et d’autres produits de la suite ont fait leur apparition en début de mois (autant pour les versions 2016 que 2013).
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2022-patch-tuesday-fixes-6-exploited-zero-days-68-flaws/
https://techcommunity.microsoft.com/t5/education-blog/what-s-new-in-microsoft-teams-for-education-november-2022/ba-p/3666889
https://support.microsoft.com/en-gb/topic/november-2022-updates-for-microsoft-office-e6b5a7c3-6d58-49fc-abf3-bfee61caba68
Faille majeure chez OpenSSL
OpenSSL a récemment sorti un article répondant à certaines questions de la communauté d’entreprises l’entourant en ce qui concerne les deux vulnérabilités critiques découvertes et qui permettraient à des pirates informatiques d’exécuter du code à distance (remote code execution). Les vulnérabilités en question furent identifiées de la manière suivante : CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows.
Il vous est fortement recommandé de suivre la mise à jour vers la nouvelle version de OpenSSL aussi vite que possible afin de contrer cette menace.
Vous pouvez lire plus à ce sujet ici: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Apple a annoncé une mise à jour majeure pour les dispositifs iPhone14 : la connexion instantanée via satellite pour permettre d’envoyer des messages texte (SMS) aux divers services d’urgence pour obtenir de l’assistance. Ils n’ont pas précisé une date exacte de sortie encore, mais cela devrait se produire d’ici la fin du mois.
https://www.macrumors.com/2022/11/08/what-to-expect-from-apple-before-end-of-2022/
Firefox : la version 106.0.4 du fameux navigateur web est sortie le 3 novembre. Cette nouvelle version corrige quelques problèmes rencontrés dans les versions précédentes, notamment un problème avec le DRM video playback entre autres.
Assurez-vous de bien faire vos mises à jour pour vous mettre à l’abri de vulnérabilités pouvant être exploitées par les pirates informatiques.
https://www.mozilla.org/en-US/firefox/106.0.4/releasenotes/
Quelques mises à jour ont été publiées par Chrome, notamment la beta Chrome OS pour iPhone et Android, ainsi que plusieurs ‘’bug fixes’’ pour la version bureau de leurs produits. Ceci promet d’être un mois bien efficace en avancées pour la compagnie, donc n’oubliez pas de procéder à vos mises à jour dès que vous en avez l’opportunité. Ceci pourrait vous éviter beaucoup de maux de tête.
https://chromereleases.googleblog.com/2022/11/
