En suite à plusieurs conversations fort intéressantes avec les collègues des différents sites du groupe, lors de la récente délicieuse journée des cadres dans un château varois, je fais ici une synthèse afin que tout le monde ait le même niveau d'information.
A cause des détails nécessaires, ce mail risque d'être un peu long : chacun piochera ce qui l'intéresse.
On commence par l'actualité toute fraiche : récentes attaques cyber dans les aéroports
Puisqu'il est la source de nombreuses sollicitations, je me dois de préciser ici que le présent site est un site dit "personnel" (pas commercial) qui n'a d'objectif autre que sensibiliser sur la sécurité informatique, gracieusement, sans affiliation ni publicité. Ainsi, je rends un peu de ce que j'ai reçu. Si cela vous apporte quelque chose, tant mieux !... Servez-vous, c'est gratuit ;-)
Et, clairement, je ne cherche pas de boulot, merci. Mais...
Pour assurer la sécurité de leurs informations sensibles, les entreprises peuvent s’appuyer sur la famille de normes ISO/IEC 27000, dont la plus connue est ISO/IEC 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI).
Dimanche dernier, on a reçu un email de (soi-disant) MONDIAL RELAY pour reprogrammer une livraison. Une livraison le dimanche ? Bien sûr ! C'est AMAZON ? Notre système de messagerie détecte automatiquement les spams et nous le signale. Mais, on va
analyser le mail en question car, d'une part, cela pourra vous aider à
identifier facilement les spams et, d'autre part, comme c'est une arnaque
avec un faux site assez bien fait, on va regarder ensemble. C'est seulement à titre didactique : ne le reproduisez pas ;-)
En cybersécurité, l’analyse forensique est une discipline
essentielle pour répondre efficacement aux incidents, renforcer la
sécurité et assurer la conformité légale. Elle requiert des compétences
techniques approfondies, une méthodologie rigoureuse et une connaissance
des aspects légaux liés à la gestion des preuves numériques.
Chez nous, même les brouteurs (tentatives d'arnaques aux RIB etc.) n'ont aucune chance : nos dossiers de plaintes sont tellement bien documentés que la Justice n'a pas besoin d'investigations supplémentaires ;-)
Récemment, j'ai été étonné qu'une "secrétaire médicale" arbore fièrement un sourire niais en prétendant ne pas savoir ce qu'est le RGPD. Peut-être vit-elle dans une grotte, sans internet, sans télé, sans radio ? Et dans son entourage, personne ne l'aurait informée, pas même son employeur ? Tant pis pour lui !
Cette année, le pentest est fait par un nouveau prestataire, Mohamed, un ingénieur spécialiste en hacking informatique aussi performant que sympathique, qui travaille du matin au soir... et du soir au matin, le week-end, car il participe à des compétitions mondiales "cyber" (challenge) avec son équipe de hackers éthiques.
