SSI ORG RSSI et DSI transigent avec la sécurité, et ce n’est pas du goût de tout le monde

« Une nouvelle étude suggère que 90 % des DSI français font des compromis avec la sécurité informatique, notamment pour éviter d’affecter l’activité de l’entreprise. Pour Michel Juvin, membre du Cesin, le RSSI doit prendre ses responsabilités jusqu’au bout.

DSI et RSSI seraient-ils négligents ? Pas nécessaire, mais une étude de Censuswide pour Tanium, pointe des comportements qui interpellent. Selon celle-ci, il n’est ainsi pas rare que ces responsables fassent des « compromis » avec la sécurité ; ils sont même 9 sur 10 à le reconnaître parmi les sondés français. C’est un peu moins que pour l’ensemble de l’échantillon : en tout, 94 % des sondés indiquent faire des compromis avec la sécurité pour éviter d’affecter l’activité de l’entreprise.

Mais de quels compromis parle-t-on ? De renoncement à l’application de correctifs, par exemple : 81 % des sondés indiquent ainsi s’être déjà abstenus de déployer une mise à jour « importante », et 52 % de l’avoir fait à plusieurs reprises.

La première raison invoquée est la pression pour ne pas affecter le fonctionnement de l’entreprise et éviter des indisponibilités. Mais ce n’est pas tout : un peu plus d’un quart des sondés évoque des contraintes liées aux systèmes patrimoniaux, et 23 %… les jeux politiques internes.

Pour Tanium, DSI et RSSI apparaissent tenaillés entre des priorités internes multiples et variées. Près de la moitié des sondés indiquent ainsi peiner à se faire entendre des métiers parce que ceux-ci ne comprennent pas l’importance de la résilience IT. Et 40 % des sondés déplorent que les métiers fassent passer leur travail lié aux clients avant les protocoles de sécurité.

Ces résultats ne surprendront probablement pas grand monde. Le rôle, la place et les moyens du RSSI sont l’objet de débats récurrents, comme pouvait notamment l’illustrer l’édition 2016 des Assises de la Sécurité. Lors d’une table ronde organisée lors de l’événement, Jamal Dhamane, RSSI groupe d’Essilor estimait ainsi que le RSSI doit « parler avec les métiers de leurs problèmes ; prendre de la hauteur ; changer de langage, de vocabulaire ». Concrètement, il suggérait de « parler de perte de chiffre d’affaires, de déficit d’image. Là, vous aurez leur oreille ».

Dans un commentaire publié sur LinkedIn, Michel Juvin, RSSI et membre du Club des experts de la sécurité informatique et du numérique (Cesin), n’apparaît pas goûter l’idée véhiculée par les résultats de l’étude commandée par Tanium. Pour lui, « le RSSI doit présenter une analyse de risques au métier qui prend la décision. Si le RSSI estime que le risque n’est pas acceptable et met en danger l’entreprise […], il y a un vrai problème de gouvernance dans le système de management de l’entreprise ».

Pour Michel Juvin, dans un tel contexte, il revient au RSSI de « prendre une décision courageuse qui pourra être de rompre son contrat de travail ». Avant peut-être qu’une brèche ne lui coûte son poste et ne vienne ternir sa propre image personnelle, comme c’est parfois le cas. Fédéric Gouth, consultant en cybersécurité, s’inscrit sur une ligne comparable : « non, les RSSI ne transigent pas avec la sécurité. Mais tant qu’ils seront rattachés aux DSI, ils seront pieds et mains liés par celui-ci. C’est pour cela que beaucoup démissionnent et n’acceptent plus que des postes rattachés à la direction ».

Au total, pour son étude, Censuswide a interrogé 504 DSI et RSSI d’entreprises de plus de 1000 collaborateurs en Allemagne, aux Etats-Unis, en France, au Japon et au Royaume-Uni, durant le quatrième trimestre 2018. Le nombre exact de sondés dans l’Hexagone n’est pas précisé. »

https://www.lemagit.fr/actualites/252461586/RSSI-et-DSI-transigent-avec-la-securite-et-ce-nest-pas-du-gout-de-tout-le-monde?utm_medium=social&utm_source=linkedin

SSI DCP – Piratage Toyota / Lexus – impacte 3,1 millions de données clients

ZATAZ

Damien Bancal

2 minutes

« Le constructeur automobile japonais, Toyota, vient de vivre sa troisième attaque informatique en quelques semaines. Dans la dernière violation, plus de 3 millions de clients. Les deux premières attaques avaient visé Toyota Australie et la filiale Vietnamienne. Les pirates se nommeraient APT32 ou encore OceanLotus. »

https://www.zataz.com/toyota-lexus-des-pirates-volent-31-millions-de-donnees-clients/amp/

SSI RH – FB Le business des « Groupes » cybercriminels

Les groupes de cybercriminalité continuent de prospérer sur Facebook – TechCrunch

« La majorité de ces groupes utilisent des noms de groupe assez évidents, y compris » Spam Professional « , » Spammer & Hacker Professional « , » Acheter Cvv dans cette boutique, paiement par BTC 💰💵 « et » Facebook pirater (hameçonnage) « .

Si ces noms sont évidents, certains de ces groupes ont réussi à rester sur Facebook pendant huit ans et ont ainsi acquis des dizaines de milliers de membres.  »
Au-delà de la vente des identifiants volés, Talos a documenté des utilisateurs vendant des comptes fictifs pour des gouvernements et des organisations, valorisant leur expertise dans le transfert de grosses sommes d’argent et proposant de créer de faux passeports et autres documents d’identité. »

http://www.mgm-mag.info/amazon/les-groupes-de-cybercriminalite-continuent-de-prosperer-sur-facebook-techcrunch/amp/

SSI EXP – Un malware capable de tromper les scanners

Un malware développé en Israël à des fins de démonstration est capable de tromper les scanners

« Le logiciel monté par des experts du centre de recherche en cybersécurité de l’université Ben Gourion a permis de dévoiler complètement les faiblesses informatiques des outils utilisés par les hôpitaux pour établir un diagnostic et des réseaux utilisés par les hôpitaux.

Les chercheurs ont mené l’enquête en demandant à des radiologistes d’établir des diagnostics à partir de radios, certaines truquées, d’autres non. 99% du temps, ils croyaient à un cancer si l’image l’indiquait et 94% du temps que le patient était sain. Même en sachant que les images étaient trafiquées, le ratio n’a pas beaucoup bougé. Si un logiciel était établi pour le diagnostic, il se faisait avoir 100% du temps ! »

https://www.presse-citron.net/des-radiologistes-pieges-par-un-malware/

SSI EXP – Apache Web Server et accès root aux serveurs partagés

CVE-2019-0211

« La vulnérabilité, immatriculée CVE-2019-0211, affecte les versions de serveur Web Apache pour les systèmes Unix uniquement, de la version 2.4.17 à 2.4.38. Elle a été corrigée cette semaine avec la publication de la version 2.4.39.

Selon l’équipe Apache, les processus enfants Apache disposant de privilèges moindres(tels que les scripts CGI) peuvent exécuter du code malveillant avec les privilèges du processus parent.

Apache httpd étant sur la plupart des systèmes Unix exécuté sous l’utilisateur root, tout acteur malveillant qui a créé un script CGI malveillant sur un serveur Apache peut utiliser CVE-2019-0211 pour reprendre le système sous-jacent exécutant le processus Apache httpd et prendre le contrôle du serveur. »

CVE-2019-0211 est un gros problème pour les entreprises d’hébergement mutualisé

« les attaquants doivent soit enregistrer des comptes auprès de fournisseurs d’hébergement partagé, soit compromettre des comptes existants.

Une fois que cela se produit, l’attaquant peut se contenter de télécharger un script CGI malveillant via le panneau de contrôle de son serveur loué ou compromis pour prendre le contrôle du serveur du fournisseur d’hébergement. Cet accès peut être utilisé afin d’installer des programmes malveillants ou de voler des données à d’autres clients disposant de données stockées sur le même ordinateur. »

https://www.zdnet.fr/amp/actualites/un-bug-sur-apache-web-server-permet-un-acces-root-aux-serveurs-partages-39882939.htm

RGPD DCP – API Facebook S2/Ex

Ne collectez pas de données personnelles inutiles (ou vous aurez les mêmes ennuis que Facebook) – Tech

Par Perrine Signoret – 04 avril 2019 – Tech
4-5 minutes

« Des chercheurs en cybersécurité ont découvert des fichiers contenant les données personnelles d’utilisateurs de Facebook, non protégées, sur les serveurs d’Amazon.

Des chercheurs de l’entreprise spécialisée dans la cybersécurité UpGuard ont mis la main sur des fichiers non protégés. Ces fichiers contenaient les données personnelles d’utilisateurs de Facebook, récoltées par des entreprises tierces qui y ont eu accès, probablement avant l’affaire Cambridge Analytica. Ces révélations montrent que les vannes ouvertes avec la gestion des API (liens entre Facebook et les services) telle qu’elle était faite il y a quelques années ont toujours des conséquences aujourd’hui.
Des données collectées par des tiers

C’est sur des serveurs d’Amazon que les chercheurs ont trouvé les données personnelles. Les fichiers contiennent des centaines de millions d’informations sur des utilisateurs. On trouve notamment leurs noms, mots de passe (probablement pas ceux de Facebook, mais ceux des applications concernées), commentaires, centres d’intérêt et likes effectués sur la plateforme. »

https://www.numerama.com/tech/478227-ne-collectez-pas-de-donnees-personnelles-inutiles-ou-vous-aurez-les-memes-ennuis-que-facebook.html/amp