Au sommaire :
- Note Police :escroquerie PME en cours
- Rapport Campus Cyber : Mission PME et Cybersécurité
- Dirigeants : comment piloter votre Cyber Sécurité ?
- Guide : La gestion des mises à jour
- Rennes, une nouvelle capitale de la Cyber
- Légal / Stratégie : EU Cyber Resilience Act
- Astuces et Outils
Escroquerie PME en cours
La police nationale prévient dans une note d’alerte du 11/12/2023 de la recrudescence d’escroqueries à la livraison à l’encontre des PME.
N’hésitez pas à informer vos clients qui pourraient être concernés.
Comme souvent, le bon sens est de mise : avant d’accepter une commande, et de livrer la marchandise, il convient de faire quelques vérifications.
Rapport Campus Cyber : Mission PME et Cybersécurité
Michel Van Den Berghe, Président du Campus Cyber a remis le 31 octobre 2023 (dernier jour du cybermoi/s), le rapport de la mission pour une plus grande cybersécurisation des TPE/PME/ETI à Monsieur le Ministre Jean-Noël Barrot.
« Le constat majeur est le besoin de rendre la cybersécurité accessible aux plus petites entreprises et ainsi éviter : un vocabulaire trop complexe, une multitude de diagnostics existants, une asymétrie d’informations sur les outils et services à mettre en place… et permettre ainsi une meilleure compréhension des enjeux. »
Le rapport revient sur le contexte de la CyberSécurité et souligne l’augmentation des risques numériques, notamment avec la multiplication des attaques par rançongiciels depuis la pandémie de COVID-19. Il évoque la vulnérabilité des PME, en citant le chiffre de 56% d’entre elles ayant subit au moins un incident cyber en 2021.
Le rapport reconnait un manque de ressources et de connaissances, ainsi que d’un manque de moyens financiers pour se protéger.
Le rapport recommande notamment de rendre plus lisibles les premières étapes pour amorcer, puis renforcer la sécurisation des PME. C’est dans ce cadre notamment que se positionne Mon Aide Cyber dont je vous faisait part dans une précédente actu, et c’est dans ce cadre que je propose mes audits, et mon accompagnement Cyber.
Dirigeants : comment piloter votre Cyber Sécurité ?
10 étapes pour gérer sa cybersécurité :
- Faire un état des lieux
- Prendre conscience du risque
- Evaluer son niveau de protection
- Définir un plan d’action
- Se faire accompagner
- Sensibiliser ses collaborateurs
- Se préparer au pire
- S’impliquer
- Contrôler
- Itérer
Consultez le guide (en 2 pages) sur cybermalveillance.gouv.fr
On y trouve les détails de chaque point, par exemple pour « définir un plan d’action », on peut lire : « 80 % des cyberattaques pourraient être évitées par l’application de mesures simples et à faible coût telles qu’une bonne gestion des mots de passe, des sauvegardes, des mises à jour de sécurité ou des droits d’accès. Priorisez les actions à entreprendre en fonction du rapport criticité/coût/efficacité. »
Ca tombe plutôt bien, ce sont les 3 premiers articles du guide « 18 mois pour sécuriser votre SI », voir ci-dessous.
Guide : la gestion des mises à jour
Après avoir abordé les sujets de la sauvegarde puis de la gestion des identités et de l’authentification, j’aborde ce mois-ci le sujet de la gestion des mises à jour :
- Quels sont les risques si on ne met pas jour ses systèmes ?
- Que doit-on mettre à jour ?
- Comment traiter les vulnérabilités ?
- Quelles responsabilités pour les sous-traitants et comment les contrôler ?
- Quels indicateurs et quelles vérifications doit-on réaliser ?
Rennes, une nouvelle capitale de la Cyber
En effet, l’ANSSI a annoncé implanter sa nouvelle antenne à Rennes. Ce sont 200 collaborateurs qui sont attendus dans ces bureaux d’ici à 2025.
Ses équipes seront donc voisines d’autres organisations dédiées aux métiers cyber telles que Orange CyberDefense, le centre d’analyse en lutte informatique défensive (CALID), le centre d’audits de la sécurité des systèmes d’information (CASSI) et le centre d’homologation principal interarmées (CHPI) ou encore le COMCYBER.
Enfin, la ville accueillait en Novembre dernier le forum « European Cyber Week« , dont la fréquentation est passée de 4800 visiteurs en 2022 à 6000 cette année.
La prochaine édition se déroulera du 19 au 21 novembre 2024, « save the date » !
Article complet : CyberSécurité Solutions
Cyber Resilience Act : CRA
Le CRA est un règlement Européen, annoncé en 2022 et accepté début décembre 2023. La décision de mise en application sera logiquement rapidement officialisée pour une mise en œuvre à partir de 2027.
Le document souligne que, bien que certains produits numériques soient couverts par la législation existante de l’UE, la cybersécurité de la plupart des produits matériels et logiciels n’est actuellement couverte par aucune législation de l’Union.
Cela a conduit à des vulnérabilités et à des coûts sociétaux et économiques considérables.
Pour y remédier, la proposition vise à établir des conditions pour développer des produits numériques sécurisés et permettre aux utilisateurs de prendre en compte la cybersécurité lors du choix et de l’utilisation de ces produits.
Ce qui va changer :
- Renforcement des exigences de sécurité pour les fabricants de matériels et logiciels
- Améliorer la transparence pour les consommateurs : un marquage CE
- Une obligation de communiquer avec l’ENISA sur les vulnérabilités
- Plus de contrôles et d’évaluations de sécurité
- Des sanctions significatives en cas de manquement :
- « amende administrative pouvant aller jusqu’à 15 000 000 EUR ou,
- si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent,
- le montant le plus élevé étant retenu »
Outils
Patch A Palooza
Puisque l’on évoque les mises à jour ce mois ci, voici l’adresse d’un site qui récapitule le contenu des correctifs de sécurité des patchs Microsoft.
MXToolBox
Pour vérifier qu’un nom de domaine est paramétré correctement pour envoyer des emails.
Evaluation gestion de crise Cyber
Un outil, mis à disposition par l’ANSSI pour évaluer votre préparation à une crise cyber.
Restez Connecté – Abonnez-vous à Notre Newsletter
Une newsletter mensuelle, pour tout ceux qui ont à traiter de près ou de loin les aspects du numérique et de sa sécurité. Directions générales, administratives, informatiques, techniques…
Consulter les précédentes actualités.