Revolve Job Zero : la revue de presse sécurité – Avril 2023

Temps de lecture : 6 minutes

Le mois passé n’a pas fait exception dans l’actualité de la sécurité informatique dans les nuages. Dans cette édition de mars 2023 de la revue de presse Sécurité, nous vous proposons quelques articles qui ont attiré notre attention, en lien avec la sécurité. Nous vous invitons également à lire RePlay : la revue de presse généraliste du Cloud, publiée en Avril 2023

Security is job zero : ChatGPT ne fait pas exception 

Vous le connaissez bien maintenant, c’est la star des médias, un habitué de la revue de presse sécurité : ChatGPT. Dans un article du Monde Informatique, une enquête de l’éditeur de sécurité Cyberhaven met en lumière le fait que les salariés ont tendance à soumettre des requêtes intégrant des données sensibles.

En effet, l’engouement pour ChatGPT (et plus généralement vers des modèles d’Intelligences Artificielles similaires) ne doit pas faire oublier les règles basiques de partage d’informations. Soyons vigilants. 

D’autant plus que ces modèles d’IA se multiplient chez les providers : 

  • Au tour d’Alibaba d’annoncer l’intégration prochaine d’un équivalent de ChatGPT ; 
  • Google annonce la disponibilité prochaine de Bard, sa réponse à ChatGPT
  • Et Baidu lève (un peu) le voile sur Ernie Bot, qui s’inspire de ChatGPT et sera intégré à ses produits.

Affaires à suivre…

« Path to a trusted cloud » 

Chez Revolve, on vous a déjà parlé de la certification SecNumCloud, une qualification de sécurité proposée par l’Anssi à destination des opérateurs Cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service). Un prestataire qualifié SecNumCloud peut donc prouver que son système respecte les bonnes pratiques listées dans le référentiel et que la conformité de son système a été vérifiée par des prestataires d’audit également approuvés par l’Anssi. C’est une qualification très exigeante et complexe : seuls Cloud Temple, Oodrive, Outscale, OVH, Whaller in extenso d’OVH, et Wordline disposent pour l’instant de cette qualification sur certaines de leurs solutions. 

Ainsi, le spécialiste du Cloud Outscale, et filiale de Dassault Systèmes, cherche à faciliter l’obtention du visa de sécurité SecNumCloud par un nouveau programme « Path to a trusted cloud » qui consiste à accompagner les prestataires désireux d’obtenir le Graal. Il repose sur le référentiel élaboré par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Dans la même veine, petit rappel de l’existence du label de l’Anssi SecNumEdu, attribué aux formations initiales en cybersécurité de l’enseignement supérieur. Licence ou master ? IUT ou école d’ingénieurs ? Statut étudiant ou apprenti ? Il y a un peu de tout ça parmi les formations bénéficiant du label SecNumEdu. 

En parlant de “Trusted Cloud”

Le Monde Informatique nous propose une liste non exhaustive de ce qu’il ne faut pas faire en matière de stratégie Cloud – car la moindre erreur peut être fatale. Planification défaillante, enthousiasme débridé pour le modèle, mauvaise anticipation des coûts…top 10 des erreurs à éviter.

Security Labs de Datadog : Bypassing CloudTrail 

Datadog a trouvé un moyen de contourner CloudTrail dans Service Catalog ainsi que des logs manquants pour les actions qui se produisent dans Control Tower. Cette vulnérabilité, désormais corrigée, est remarquable car il s’agit du premier contournement de CloudTrail connu du public qui pourrait permettre à un pirate de modifier un environnement AWS. 

Kubernetes Community Days 

Cette année, Devoteam Revolve était présent au KCD, l’occasion pour mon collègue Reyan de jouer un talk sur le service open source Cilium et ses apports dans EKS. Le replay de la conférence de 15min est disponible sur Youtube. 

Volet juridique numérique 

  • Un RGPD chinois pour rationaliser la gouvernance des données

Après l’Europe, la Californie, l’Australie et le Brésil, la Chine compte mettre en place une réglementation et un organisme de régulation chargé de rationaliser les règles de gouvernance des données : un RGPD chinois. Cet organisme regroupera toutes les questions liées aux données au sein d’une seule entité, ce qui devrait permettre de rationaliser et de clarifier les réglementations en matière de données pour les entreprises multinationales.  

  • Cyberattaques : la plainte pénale obligatoire dès avril 2023

L’article 5 de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur qui crée l’article L 12-10-1 du code des assurances précise que « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. ». 

L’article prévoit qu’il sera applicable trois mois après la promulgation de la loi, c’est-à-dire qu’à compter du 25 avril 2023 aucun assuré ne sera indemnisé des préjudices et pertes causés par une attaque informatique s’il n’a pas déposé plainte dans les 72h. Une décision contestable et contestée ! Pour certains avocats, le remboursement d’une cyber rançon par l’assurance n’est tout simplement pas possible, cela irait à l’encontre du droit civil. Plus de détails très prochainement dans l’interview sécurité.

Bref, affaire à suivre également.

  • JO de Paris : pourquoi les caméras dopées aux algorithmes cristallisent les tensions

Le projet de loi des JO de Paris autorise l’expérimentation de “caméras intelligentes” qui inquiètent les associations de défense des droits civils, soucieuses de voir ce dispositif, jugé disproportionné et injustifié, être généralisé.

Publications

Le rapport 2023 Cloud-Native Security & Usage Report de Sysdig.

Voici leurs conclusions : 

  • Malgré une approche Zéro trust, les processus de sécurité dans le Cloud restent en retard par rapport au rythme rapide d’adoption du Cloud. 
  • Plusieurs domaines de pratiques de sécurité doivent être améliorés pour réduire les risques :
    • La gestion des identités et des accès ;
    • La gestion des vulnérabilités ; 
    • La détection et la réponse. 

***

Ressources 

Le big data.fr

L’Usine Digitale

Le monde informatique 

Alliancy 

Qui dit journée de la femme, dit…

01 net

Sysdig

Silicon 

Datadog

Commentaires :

A lire également sur le sujet :