Un mois de janvier comme un autre au pays de la cyber

Tchap, le canal de communication des RSSI de santé, fait maintenant état de plusieurs attaques en phishing par jour – vous avez bien lu, par jour ! À force de blacklister les adresses mails de Josette au CH de Tartempion-les-Oies, de Michou à La Ferté-sur-Pastis et de Cunégonde à l’Assistance publique des hôpitaux de Mortebouse-en-Brie, on va tous finir blacklistés de partout, vaudra mieux carrément fermer les serveurs de messagerie – en même temps, on aura moins d’em…

RGPD : Espionnage de salariés chez Ikea France. Un ancien PDG condamné en appel à quatre mois de prison avec sursis. Quand on lit le détail de l’affaire, avec espionnage massif de centaines de salariés jusque dans leur plumard, sans même parler de ce que le PDG pouvait bien faire de ces informations, on se dit que le RGPD, en fait, c’est cool, la loi n’est pas aussi sévère qu’on veut bien nous le faire croire, hein ?

Directive NIS : v2 adoptée. Attention, les DG risquent dans certains cas le pénal. Bon, en même temps, ils risquent le pénal tous les jours dans ce pays, une fois de plus ou de moins…

Menaces cyber : apparemment, l’Anssi note une « amélioration » des attaques en 2022, côté hôpitaux et collectivités. Bon, alors là, je suis curieux de voir les sources brutes, car entre le phishing susnommé, les grosses attaques médiatisées (2022 détient le record), les incidents du tout-venant et les explosions des tentatives de fraude au président (ou de ses dérivées), je n’ai pas spécialement l’impression que 2022 a été lisse comme le crâne de Kojak.

Architectures Cloud : ça occupe du monde, de la salive et des visio Zoom, mais les instructions ministérielles pour ne plus utiliser des solutions soumises à des lois extraterritoriales (admirez la litote) engagent pas mal de mouvements de fond chez les éditeurs. Et là, oh ! miracle, on redécouvre que les Sigma, les AZ Network (je ne peux pas tous les citer) – font aussi bien le boulot.

Cochonnerieswares : le vishing est à la mode. Contraction de Voice Phishing, il s’agit d’appels téléphoniques reçus dans l’urgence, de la part d’un prétendu conseiller bancaire qui finit par extorquer des sommes (quelquefois importantes) à la victime qui lui communique le fameux code 3D Secure supposé sécuriser un achat ou un virement interbancaire.

Sécurisation de la supply chain : depuis une des dernières attaques (CH de Versailles), tous les RSSI sont très tendus sur la question des horaires d’ouverture des VPN, et tous les RSSI sont en train de les restreindre, au moins aux heures ouvrables. C’est là que le job est drôle : on voit sortir du chapeau des chefs de projet qui font marner des fournisseurs le soir et le week-end (– Il est surchargé avec ses autres clients le pauuuuuuuvre, tu pourrais lui laisser le VPN ouvert around the clock, s’il te plaît, mon Cédricounet préféré. – Naaan.). Quitte à déjeuner tous les jours à la cafèt’ tout seul et dos au mur, autant que cela serve à quelque chose.

Sécurisation des accès fournisseurs : bis repetita. Les VPN Lan to Lan, va falloir que cela cesse.
Je répète : les VPN Lan to Lan, va falloir vraiment que cela cesse.
Je répète encore une fois ou c’est bon ?

Stockage des mots de passe : CVS sur Keepass, qui vient se rajouter à la liste des containers qui ont eu des vulnérabilités majeures.

C’est l’heure de notre jeu concours, un abonnement à Pif Gadget pour le 100 001^e lecteur qui donnera la solution au quiz suivant :
Vous êtes RSSI et vous surprenez un chef de projet Amoa la main dans l’AD à créer un compte adminsys pour un fournisseur kazakh en VPN depuis la Corée du Nord.

a) Vous lui expliquez calmement que c’est très vilain ;
b) Vous le pendez par les pieds et lui faites des guili-guili pendant deux heures tout en le forçant à écouter l’intégrale de Boby Lapointe ;
c) Vous lui coupez son accès Internet pendant trois semaines ;
d) La réponse D.
(Plusieurs bonnes réponses possibles.)

Et pour finir, la bonne résolution de la semaine : je jette un coup d’œil sur mon Firewall aux flux https sortants et aux protocoles qui tentent de passer par là, en particulier les VPN vers des relais privés. Et je reste bien assis en regardant le résultat.

Ah ! j’allais oublier : sortie sur le site de l’Apssis du guide de cyberrésilience opus 6 dédié aux ficelles du métier de RSSI.
C’est ici [1].

La routine, vraiment la routine.

[1] https://www.apssis.com/nos-actions/publication/ 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.