Tous les mois, on vous dévoile les enjeux de cybersécurité actuels et à venir.
Alors que le mois de juillet tire à sa fin et que beaucoup d’entre vous profitent de vacances bien méritées, nous tenons à vous souhaiter de merveilleux moments de détente et de repos.
Dans cette édition, nous vous informons des dernières actualités en cybersécurité, des activités internes de notre équipe et des événements à venir.
Nous avons dû faire un certain tri de tout ce qui a pu se passer, car, malgré l’été, vous verrez qu’il y a eu pas mal d’action! Bonne lecture!
L'actualité en cybersécurité
CrowdStrike : une panne information paralyse la planète
Le 19 juillet 2024, une mise à jour de CrowdStrike Falcon a causé un problème sur les systèmes d’exploitation Windows, provoquant des pannes sur des centaines de milliers d’ordinateurs (sinon plus) et occasionnant des perturbations à l’échelle mondiale.
La solution, théoriquement simple à exécuter, nécessitait de redémarrer l’ordinateur en mode sans échec avec des droits d’administrateur, ce qui peut être compliqué à réaliser en entreprise lorsque les utilisateurs sont en télétravail.
Nos pensées vont vers tous les administrateurs réseau et techniciens en informatique qui ont dû travailler d’arrache-pied pendant des heures, voire des jours, pour rétablir la situation.
Il semble que la cause principale de cet incident soit un manque de tests avant le déploiement de la mise à jour de CrowdStrike Falcon. Espérons que CrowdStrike, dont la capitalisation boursière a temporairement perdu plus de 20 milliards de dollars US, en aura tiré une leçon.
Attention cependant, car des pirates ont rapidement sorti de fausses mises à jour à installer visant à infecter les ordinateurs affectés. Sachez que Falcon se mettra à jour de lui- même dès que la procédure de recouvrement sera exécutée.
En savoir plus :
Nissan : vous pourriez bénéficier d’une indemnisation pour un vol probable de données
Si vous avez loué ou emprunté un véhicule de Nissan Canada entre décembre 2016 et janvier 2017, vous pourriez recevoir une indemnisation de 35 $ à 2 500 $ pour un vol de données potentiel. Soumettez votre réclamation avant le 21 octobre 2024.
En décembre 2017, un pirate a menacé Nissan de divulguer des données volées et a exigé une rançon en échange de son mutisme. Nissan a alors informé plus de 900 000 clients, dont 300 000 au Québec, et leur a offert un service de surveillance de crédit gratuit.
Deux recours collectifs, déposés au Québec et en Ontario, ont conduit à un accord de règlement devant les cours supérieures des deux provinces.
En savoir plus :
Cyberattaque chez Pharmascience : des données d’employés volées
La société pharmaceutique montréalaise Pharmascience a récemment été la cible d’une cyberattaque. Selon La Presse, plusieurs employés de l’entreprise se sont fait dérober des renseignements personnels, financiers et médicaux. La Commission d’accès à l’information du Québec (CAI) a confirmé avoir été mise au courant « d’un incident de confidentialité » de la part de Pharmascience le 6 juin dernier. Bien que l’histoire ne confirme pas si d’autres renseignements ont pu être volés (tels que liés à la propriété intellectuelle) il est fort à parier que les pirates ont dû également faire des tentatives d’accès à ce type d’information.
Du point de vue de la sécurité, cela n’est pas sans rappeler qu’il est préférable de resserrer le plus possible l’accès aux renseignements personnels des employés de l’entreprise. Par exemple, ne laissez pas traîner leurs dates de fête, leurs renseignements bancaires et leurs numéros d’assurance sociale directement sur le réseau d’entreprise; généralement, le seul endroit où il est nécessaire de conserver ces renseignements, c’est dans le système de paye.
En savoir plus : https://www.lapresse.ca/affaires/entreprises/2024-07-08/cyberattaque-contre-pharmascience/les-pirates-ont-vole-des-informations-d-employes.php
5 plugins WordPress compromis : des millions de sites Web en danger
Des millions de sites WordPress sont menacés après une faille de sécurité critique impliquant plusieurs plugins populaires. Des chercheurs ont découvert du code malveillant injecté dans ces plugins, permettant aux hackers de créer des comptes administrateurs non autorisés qui mènent à des vols de données et à des prises de contrôle de sites.
Plus spécifiquement, cela concerne les plugin suivants :
- Social Warfare (versions 4.4.6.4 – 4.4.7.1)
- Blaze Widget (versions 2.2.5 – 2.5.2)
- Wrapper Link Element (versions 1.0.2 – 1.0.3)
- Contact Form 7 Multi-Step Addon (versions 1.0.4 – 1.0.5)
- Simply Show Hooks (version 1.2.1)
Vu que la plupart des plugins ont reçu des mises à jour, nous vous encourageons à les installer. Cependant, le plugin Simply Show Hooks entraîne un problème plus préoccupant puisque, selon la documentation, aucune mise à jour n’a été effectuée depuis plus de 8 ans!
Vous ne savez pas comment vérifier si votre site WordPress présente des vulnérabilités? N’hésitez pas à demander à notre équipe de réaliser un test d’intrusion pour vous.
Cyberattaque chez Agropur : données d’employés et de partenaires exposées
Le géant québécois de l’agroalimentaire Agropur a été la cible d’une cyberattaque sophistiquée. Des informations critiques d’employés et de partenaires d’affaires, au Canada et aux États-Unis, ont été compromises. Cette attaque, qui a touché une partie des répertoires en ligne de l’entreprise, a poussé Agropur à contacter d’urgence les personnes affectées et à lancer une enquête approfondie impliquant des experts externes en cybersécurité.
En savoir plus :
Piratage chez OpenAI : des données sensibles d’IA volées
Un pirate informatique a infiltré les systèmes d’OpenAI, créateur de ChatGPT, et a volé des informations sur la conception de ses technologies d’intelligence artificielle (IA). Bien que ce piratage soit survenu au début de 2023, il n’a été révélé que récemment.
C’est un ex-employé d’OpenAI, Leopold Ascenbrenner, qui a abordé cette situation dans certains podcasts. Cet ex-employé a tout de même une certaine crédibilité, car il s’agit notamment de l’auteur d’un essai de plus de 160 pages qui a fait plusieurs vagues le mois passé. Même si elle a par la suite été minimisée par certains acteurs, cette brèche soulève de sérieuses inquiétudes quant à la sécurité nationale et aux vulnérabilités internes d’OpenAI. Malgré les déclarations de l’entreprise minimisant l’accès aux données, les implications de cette attaque restent alarmantes.
En savoir plus :
Incident affectant plus de 119 000 personnes de l’Hôpital Charles-Le Moyne révélé
Un fournisseur externe du Centre intégré de santé et de services sociaux de la Montérégie-Centre (CISSSMC), Unicause/Unimarketing, a été victime d’un incident de cybersécurité récemment dévoilé. Cette brèche affecte les usagers ayant reçu des soins à l’Hôpital Charles-Le Moyne entre janvier 2021 et mai 2023. Leurs informations personnelles ont été compromises lors d’une sollicitation de dons pour la Fondation de l’hôpital. Plus de 119 000 usagers sont concernés par cet incident.
Avez-vous pensé à faire évaluer la sécurité de vos fournisseurs? Cela peut souvent prendre la forme d’un test d’intrusion ou d’une évaluation sur papier de type « audit ». Pour en savoir plus sur la manière de procéder en ce sens, ça se passe ici.
En savoir plus : https://www.lareleve.qc.ca/2024/07/10/incident-de-cybersecurite-chez-un-fournisseur-de-lhopital-charles-le-moyne/
Dépôt de la nouvelle Stratégie gouvernementale de cybersécurité et du numérique 2024-2028
Le gouvernement a adopté la Stratégie de cybersécurité et du numérique 2024-2028, présentée par le ministre Éric Caire. Cette initiative vise à renforcer et à poursuivre les efforts de transformation numérique et de cybersécurité entamés entre 2019 et 2023.
En tout, 2 des 3 axes concernent plus directement la cybersécurité. Espérons que le tout ira dans le bon sens!
En savoir plus :
- https://www.quebec.ca/nouvelles/actualites/details/depot-de-la-nouvelle-strategie-gouvernementale-de-cybersecurite-et-du-numerique-2024-2028-57107
- https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/cybersecurite_numerique/Publications/Strategie_cybersecurite_numerique_2024-2028/Strategie_cybersecurite_numerique_2024-2028.pdf
- https://www.newswire.ca/fr/news-releases/cybersecurite-et-transformation-numerique-le-gouvernement-du-quebec-se-dote-d-une-nouvelle-strategie-862006395.html
Événements
Ce mois-ci, SWAT TEAM s’est dirigée au Mont-Tremblant afin de combiner travail et plaisir en discutant des avancées de Cyberswat et du plan d’action de l’entreprise pour la prochaine année, et ce, tout en s’adonnant à l’escalade en plein air avec l’équipe de La Liberté Nord-Sud.
Un grand merci pour son accueil et son accompagnement exceptionnels. Jean-Philippe, notre président, était particulièrement heureux de partager sa passion pour l’alpinisme avec toute l’équipe lors de ce séjour des plus agréables!
De beaux moments de rires, de défis, de camaraderie et de bonne bouffe!
Astuce du mois
Selon plusieurs experts et chercheurs, le réseau social TikTok, célèbre pour le partage de courtes vidéos, collecte une quantité « excessive » de données confidentielles provenant de ses utilisateurs.
En plus des données relatives à l’activité de ses utilisateurs sur la plateforme, TikTok a accès à diverses informations concernant leurs appareils : contacts, microphone et caméra, photos, localisation, adresse courriel et/ou numéro de téléphone, date de naissance, adresse IP, frappes sur le clavier, etc.
Bien qu’il puisse y avoir des raisons ou des fonctions légitimes pour que l’application recueille ces renseignements, une partie du problème réside dans le fait que TikTok appartient à ByteDance, une entreprise chinoise, et que le gouvernement chinois pourrait à tout moment demander l’accès à ceux-ci.
C’est dans ce contexte que le gouvernement américain a voté une loi visant à bannir ce réseau social s’il ne passe pas sous contrôle américain d’ici la fin de l’année 2024. De plus, l’application a été retirée des téléphones des gouvernements américain, canadien et européen ainsi que des téléphones des élus de notre gouvernement provincial.
Que faire en tant qu’entreprise? Au minimum, sensibilisez vos employés aux enjeux relatifs à la sécurisation des téléphones intelligents et des applications mobiles. Nous avons d’ailleurs une section dédiée à ce sujet dans nos ateliers de sensibilisation. 🙂
Pour en savoir plus sur nos ateliers de sensibilisation, c’est ici.
Sources : Radio-Canada, CBC, Washington Post, BBC et The Guardian
Événements à venir
Le 10 octobre prochain, Régis Desmeules aura le plaisir d’animer le panel « Cybersécurité et startups en technologie médicale » à l’occasion du Colloque Cybersécurité et protection des données personnelles au Centre des congrès de Québec.
Marie-Lou Gagnon, CEO chez Braver, Catherine Mondor, CEO chez Médyx, et Francis Robichaud, CEO chez Lime Santé, discuteront brièvement de leurs enjeux, défis et positionnements en lien avec la protection des renseignements personnels et de la cybersécurité dans l’innovation sur différentes thématiques d’actualité.
Vous avez jusqu’au 30 août pour vous procurer des billets en prévente pour la soirée des Fidéides de la Chambre de commerce et d’industrie de Québec, qui aura lieu le 7 novembre au Manège militaire Voltigeurs de Québec. > https://fideides.ca/
Nous y serons présents en tant que finalistes dans la catégorie « RH – Meilleures pratiques »!
Meme du mois
Sur nos réseaux, nous vous partageons toutes les semaines un meme de cybersécurité pour aider à sensibiliser le maximum de personnes… avec humour. 🙂