Le mois passé n’a pas fait exception dans l’actualité de la sécurité informatique dans les nuages. Dans cette édition de mars 2023 de la revue de presse Sécurité, nous vous proposons quelques articles qui ont attiré notre attention, en lien avec la sécurité. Nous vous invitons également à lire RePlay : la revue de presse généraliste du Cloud, publiée en Avril 2023. 

Security is job zero : ChatGPT ne fait pas exception 

Vous le connaissez bien maintenant, c’est la star des médias, un habitué de la revue de presse sécurité : ChatGPT. Dans un article du Monde Informatique, une enquête de l’éditeur de sécurité Cyberhaven met en lumière le fait que les salariés ont tendance à soumettre des requêtes intégrant des données sensibles.

En effet, l’engouement pour ChatGPT (et plus généralement vers des modèles d’Intelligences Artificielles similaires) ne doit pas faire oublier les règles basiques de partage d’informations. Soyons vigilants. 

D’autant plus que ces modèles d’IA se multiplient chez les providers : 

• Au tour d’Alibaba d’annoncer l’intégration prochaine d’un équivalent de ChatGPT ; 
• Google annonce la disponibilité prochaine de Bard, sa réponse à ChatGPT
• Et Baidu lève (un peu) le voile sur Ernie Bot, qui s’inspire de ChatGPT et sera intégré à ses produits.

Affaires à suivre…

« Path to a trusted cloud » 

Chez Revolve, on vous a déjà parlé de la certification SecNumCloud, une qualification de sécurité proposée par l’Anssi à destination des opérateurs Cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service). Un prestataire qualifié SecNumCloud peut donc prouver que son système respecte les bonnes pratiques listées dans le référentiel et que la conformité de son système a été vérifiée par des prestataires d’audit également approuvés par l’Anssi. C’est une qualification très exigeante et complexe : seuls Cloud Temple, Oodrive, Outscale, OVH, Whaller in extenso d’OVH, et Wordline disposent pour l’instant de cette qualification sur certaines de leurs solutions. 

Ainsi, le spécialiste du Cloud Outscale, et filiale de Dassault Systèmes, cherche à faciliter l’obtention du visa de sécurité SecNumCloud par un nouveau programme « Path to a trusted cloud » qui consiste à accompagner les prestataires désireux d’obtenir le Graal. Il repose sur le référentiel élaboré par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Dans la même veine, petit rappel de l’existence du label de l’Anssi SecNumEdu, attribué aux formations initiales en cybersécurité de l’enseignement supérieur. Licence ou master ? IUT ou école d’ingénieurs ? Statut étudiant ou apprenti ? Il y a un peu de tout ça parmi les formations bénéficiant du label SecNumEdu. 

En parlant de “Trusted Cloud”

Le Monde Informatique nous propose une liste non exhaustive de ce qu’il ne faut pas faire en matière de stratégie Cloud – car la moindre erreur peut être fatale. Planification défaillante, enthousiasme débridé pour le modèle, mauvaise anticipation des coûts…top 10 des erreurs à éviter.

Security Labs de Datadog : Bypassing CloudTrail 

Datadog a trouvé un moyen de contourner CloudTrail dans Service Catalog ainsi que des logs manquants pour les actions qui se produisent dans Control Tower. Cette vulnérabilité, désormais corrigée, est remarquable car il s’agit du premier contournement de CloudTrail connu du public qui pourrait permettre à un pirate de modifier un environnement AWS. 

Kubernetes Community Days 

Cette année, Devoteam Revolve était présent au KCD, l’occasion pour mon collègue Reyan de jouer un talk sur le service open source Cilium et ses apports dans EKS. Le replay de la conférence de 15min est disponible sur Youtube. 

Volet juridique numérique 

• Un RGPD chinois pour rationaliser la gouvernance des données

Après l’Europe, la Californie, l’Australie et le Brésil, la Chine compte mettre en place une réglementation et un organisme de régulation chargé de rationaliser les règles de gouvernance des données : un RGPD chinois. Cet organisme regroupera toutes les questions liées aux données au sein d’une seule entité, ce qui devrait permettre de rationaliser et de clarifier les réglementations en matière de données pour les entreprises multinationales.  

• Cyberattaques : la plainte pénale obligatoire dès avril 2023

L’article 5 de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur qui crée l’article L 12-10-1 du code des assurances précise que « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. ». 

L’article prévoit qu’il sera applicable trois mois après la promulgation de la loi, c’est-à-dire qu’à compter du 25 avril 2023 aucun assuré ne sera indemnisé des préjudices et pertes causés par une attaque informatique s’il n’a pas déposé plainte dans les 72h. Une décision contestable et contestée ! Pour certains avocats, le remboursement d’une cyber rançon par l’assurance n’est tout simplement pas possible, cela irait à l’encontre du droit civil. Plus de détails très prochainement dans l’interview sécurité.

Bref, affaire à suivre également.

• JO de Paris : pourquoi les caméras dopées aux algorithmes cristallisent les tensions

Le projet de loi des JO de Paris autorise l’expérimentation de “caméras intelligentes” qui inquiètent les associations de défense des droits civils, soucieuses de voir ce dispositif, jugé disproportionné et injustifié, être généralisé.

Publications

Le rapport 2023 Cloud-Native Security & Usage Report de Sysdig.

Voici leurs conclusions : 

• Malgré une approche Zéro trust, les processus de sécurité dans le Cloud restent en retard par rapport au rythme rapide d’adoption du Cloud. 
• Plusieurs domaines de pratiques de sécurité doivent être améliorés pour réduire les risques :
  • La gestion des identités et des accès ;
  • La gestion des vulnérabilités ; 
  • La détection et la réponse. 

***

Ressources 

Le big data.fr

• Ce Data Center créé par l’UE va prouver les crimes de guerre en Ukraine, par Le big data.fr, publié le 3 mars 2023 

• Les salariés partagent trop de données sensibles avec ChatGPT, par Jacques Cheminat, publié le 08 Mars 2023

• 3.1% of workers have pasted confidential company data into ChatGPT, par Cameron Coles, publié le 28 février 2023 

L’Usine Digitale

• D’ailleurs, Au tour d’Alibaba d’annoncer l’intégration prochaine d’un équivalent de ChatGPT, par Mélicia Poitiers, publié le 09 Février 2023
• Google annonce la disponibilité prochaine de Bard, sa réponse à ChatGPT, par Julien Bergounhoux, publié le 07 Février 2023
• Baidu lève (un peu) le voile sur Ernie Bot, qui s’inspire de ChatGPT et sera intégré à ses produits, par Louis de Briant, publié le 23 Février 2023
• Outscale veut faciliter l’accès des éditeurs SaaS à la qualification SecNumCloud, par  Louis de Briant, publié le 06 Février 2023

Le monde informatique 

• Un RGPD chinois pour rationaliser la gouvernance des données, par Anirban Ghoshal, IDG NS (Adapté par Serge Leblal), publié le 10 Mars 2023
• Cloud : 10 erreurs à éviter pour ne pas couler votre entreprise, par John Edwards, IDG NS (adapté par Reynald Fléchaux), publié le 27 Mars 2023

Alliancy 

• Cyberattaques : la plainte pénale obligatoire dès avril 2023. Comment réagir en 6 étapes ?, par Eric Barbry, publié le 8 mars 2023

Qui dit journée de la femme, dit…

• Métiers de la cyber : de l’école primaire au lycée, des actions urgentes à mener pour attirer les jeunes femmes, par Dorian Marcellin, publié le 8 mars 2023

01 net

• JO de Paris : pourquoi les caméras dopées aux algorithmes cristallisent les tensions, par 01net, publié le 6 mars 2023

Sysdig

• The sixth annual Sysdig 2023 Cloud-Native Security and Usage Report

Silicon 

• SecNumEdu : les 39 formations labellisées, par Clément Bohic, publié le 29 mars 2023

Datadog

• Bypassing CloudTrail in AWS Service Catalog, and Other Logging Research, par Datadog, publié le 20 mars, 2023