Le FIC décalé à avril 2021

Compte tenu de la situation sanitaire, l’organisation de la grand messe française de la cybersécurité opte pour la prudence. Le FIC, qui devait se tenir fin janvier à Lille est décalé à avril. 

En début d’année 2020, le Forum International de la Cybersécurité de Lille était l’un des derniers évènements tech à se tenir en France avant que la situation sanitaire ne se dégrade et que salons et conventions ne soient annulés les uns après les autres. La 20ème édition du FIC était la première à se tenir sur trois jours, et non sur deux, et avait réuni 12 500 visiteurs venus de 110 pays. 

Difficile avec le coronavirus d’organiser pareil événement, considérant les jauges actuelles. Mais l’organisateur, le CEIS, était resté droit dans ses bottes : le FIC 2021 devait se tenir fin janvier, les inscriptions avaient d’ailleurs été ouvertes le 19 octobre. Du moins jusqu’à ce qu’arrive le second confinement. 

Lille en avril

On apprend désormais que la 21ème édition du FIC est repoussée, malgré les efforts de CEIS, de la Gendarmerie nationale et de la Région Hauts-de-France. “L'évolution récente de la crise sanitaire ne permettra pas d'accueillir exposants et visiteurs dans des conditions optimales au mois de janvier” écrit l’organisation. L’événement se tiendra donc les 6, 7 et 8 avril prochain. 

Un protocole sanitaire est d’ores et déjà en place, quand bien même il est susceptible de modifications d’ici à avril en fonction du contexte sanitaire. Ainsi, en guise de goodies, un kit sanitaire sera offert aux visiteurs avec un masque lavable et réutilisable, cinq masques à usage unique et un flacon de solution hydroalcoolique. Les tests PCR ne seront pas obligatoires. Notons qu’au FIC se tiendra la première édition de l'EC2 (European Cyber Cup), compétition européenne d’eSport entièrement dédiée au hacking éthique.   

La FTC épargne une amende à Zoom, sous conditions

L’outil de vidéo-conférence se voyait reprocher non seulement de négliger la sécurité de ses utilisateurs, mais aussi de mentir sur le niveau de protection qu’il offrait. Pour autant, Zoom échappe à la sanction, s’engageant auprès de la FTC à changer ses pratiques et à renforcer sa sécurité. 

Lors du premier confinement, alors qu’il connaissait un boom sans précédent, Zoom était dans le viseur des chercheurs en sécurité informatique. Pas une semaine ne se passait sans qu’une faille ne soit découverte et il faut encore y ajouter les mensonges de l’entreprise quant à la sécurité de son outil de vidéo-conférence. Si Zoom a depuis changé son fusil d’épaule et sa politique, déployant moult correctifs et renforçant son chiffrement, la Federal Trade Commission s'était auto-saisie et a mené l’enquête. 

Elle en livre désormais les conclusions et force est de constater que Zoom s’y fait étriller. La FTC estime ainsi que depuis au moins 2016, Zoom a induit les utilisateurs en erreur en assurant qu’il fournissait un chiffrement robuste de bout en bout, ce qui n’était absolument pas le cas : l’outil ne supporte le chiffrement AES-256 de bout en bout que depuis fin octobre. De même, Zoom prétendait que les enregistrements des réunions étaient immédiatement chiffrés et sécurisés... sauf qu’ils restaient en réalité sur les serveurs de l’entreprise, en clair, pendant au moins 60 jours avant d’être transférés vers son stockage cloud sécurisé.

Le cas du programme ZoomOpener sur Mac a également marqué la FTC : ce logiciel se comportait comme un véritable malware, contournant les mécanismes de sécurité de Safari et de macOS pour installer, sans interaction utilisateur, le client Zoom. Et dans les notes de sa mise à jour de juin 2018, Zoom ne précisait pas que l’update installerait automatiquement ZoomOpener sur le terminal de l’utilisateur, et que ce programme ne serait pas supprimé quand bien même Zoom était désinstallé. 

Zoom s’engage

Ce ne sont là que quelques-uns des méfaits qui ont pu être reprochés à l’outil de vidéo-conférence. Pour Andrew Smith, le directeur du Bureau de la protection des consommateurs de la FTC, "les pratiques de sécurité de Zoom ne correspondaient pas à ses promesses”. A l’époque, plusieurs organismes publics avaient, du fait de ces problèmes, abandonné Zoom. La ville de New York l’avait ainsi interdit dans les écoles tandis que l’Utah, le Nevada ou encore l’Etat de Washington déconseillaient son utilisation.

Mais, depuis, Zoom a multiplié les efforts pour renforcer la sécurité de son outil. La FTC a pris acte de cette nouvelle trajectoire et évite à l’entreprise une amende salée, en contrepartie de quoi Zoom a dû prendre plusieurs engagements. Il doit ainsi mettre en œuvre un programme de gestion de la vulnérabilité, instituer des contrôles de suppression des données; empêcher l'utilisation d'identifiants d'utilisateurs compromis connus et faire réaliser des audits biennaux qui seront évalués par la FTC. 

Surtout, “il est également interdit à Zoom de faire de fausses déclarations sur ses pratiques en matière de confidentialité et de sécurité, y compris sur la façon dont il recueille, utilise, conserve ou divulgue des renseignements personnels; ses caractéristiques de sécurité; et la mesure dans laquelle les utilisateurs peuvent contrôler la confidentialité ou la sécurité de leurs informations personnelles”.

Les données de millions de clients d’Hotels.com, d’Expedia et de Booking exposées en ligne

Un bucket S3 mal configuré a laissé en libre accès en ligne les données, y compris bancaires, de millions de clients d'hôtels ayant réservé via Booking, Expedia ou encore Hotels.com. Un prestataire de ces plateformes est en cause.  Le secteur de l'hôtellerie est souvent la cible des cybercriminels mais, cette fois-ci, c’est une erreur qui a exposé 24,4 Go de données de clients d’hôtels. Website Planet a déniché ce bucket S3 librement accessible sur Internet. Sont concernés Amadeus, Booking.com, Hotels.com, Expedia et d’autres plateformes de réservations en ligne.  Mais ces derniers ne sont pas directement responsables de l’exposition de ces données : est mise en cause la société espagnole Prestige, un intermédiaire dont la principale solution permet de connecter les sites de réservation et les logiciels utilisés par les hôtels pour gérer les chambres. Et comme souvent, il s’agit d’une erreur de configuration d’un bucket S3 d’AWS qui a exposé ces données. 
24,4 Go de données, dont des informations bancaires
Parmi elles, des noms, numéros de carte d’identité, numéros de téléphones et adresses emails, mais aussi des informations de cartes bancaires, les détails des paiements et les informations relatives aux réservations, le tout sur une période s’étendant de 2013 à au moins août 2020. 10 millions de fichiers étaient ainsi librement accessibles en ligne Website Planet explique ne pas savoir si des personnes malintentionnées ont eu accès aux données, et depuis combien de temps elles étaient ainsi exposées. De même, il est difficile d’estimer le nombre de personnes concernées. AWS a fermé l’accès au bucket dans les 24h après que Website Planet ait signalé le problème. Prestige n’a pas pour l’heure réagi. 

Pour l'ANSSI, Sopra-Steria a tenu en échec ses attaquants

Victime fin octobre d'un ransomware, une nouvelle souche de Ryuk, l'ESN s'est montrée aux dires de Guillaume Poupard, le patron de l'ANSSI, particulièrement résiliente, avec pour résultat l'échec de cette attaque. Une preuve de la maturité en la matière de Sopra-Steria, dont les activités reviendront à la normale dans les prochaines semaines.

Depuis le 20 octobre, Sopra-Steria est la cible d'une cyberattaque. L'ESN confirmait une semaine plus tard que certains de ses systèmes avaient été infectés par une version encore inédite du ransomware Ryuk, signalant avoir détecté l'attaque quelques jours seulement après son lancement et pris des mesures qui ont “permis de contenir la propagation du virus à une partie limitée des installations du Groupe et de préserver ses clients et ses partenaires”. Une réponse efficace, selon Guillaume Poupard. L'entreprise "a su réagir vite et mettre en place une organisation de gestion de crise pour traiter l'incident ".

Aux yeux du patron de l'ANSSI, cité par l'AFP, "ce n'est pas une attaque réussie, c'est au contraire une attaque qui a été déjouée par un acteur suffisamment mature qui a su très bien réagir". Car l'ESN a pris "toutes les mesures de confinement, au sens numérique du terme" qui s'imposaient, circonscrivant l'infection à "quelques dizaines de machines" nous apprend Guillaume Poupard. Lors de la publication de ses résultats financiers fin octobre, l'entreprise assurait que, "après des recherches approfondies", elle n'avait pas constaté "de fuites de données ou de dommages causés aux systèmes d’information de ses clients".

Gestion de crise et reprise d'activité

Force est toutefois de constater que l'attaque a eu un impact indéniable sur les activités du groupe puisque, "par mesure de précaution, pendant quelques jours, ils ont coupé énormément de serveurs et cela a eu un impact sur leurs clients" rapporte le directeur général de l'ANSSI.

L'ESN a annoncé avoir engagé le 26 octobre le "redémarrage progressif et sécurisé du système d’information et des opérations" dans le cadre de son plan de remédiation. Elle prévoit un retour à la normale dans les semaines à venir mais ne communique pas pour l'heure sur l'impact financier de l'attaque, indiquant que celui-ci "reste à estimer" et rappelant disposer de contrats d’assurance contre le risque cyber. Pour sa part, l'ANSSI a dévoilé à l'occasion des Assises de la sécurité à Monaco mi-octobre un guide dédié à la gestion de crise cyber, portant notamment sur l'organisation d'exercices dont un exemple, baptisé RANSOM20, est développé tout au long de l'ouvrage."

Outscale qualifie une seconde région SecNumCloud

Un peu moins d’un an après avoir obtenu la qualification de sa région Secteur Public par l’ANSSI, Outscale ouvre une seconde région qualifiée SecNumCloud, anticipant une forte croissance de la demande des administrations et collectivités. 

En décembre dernier, Outscale obtenait la qualification SecNumCloud. Deuxième fournisseur de cloud à être qualifié après Oodrive, la filiale de Dassault Systems avait passé près de 18 mois à être audité, examiné et testé sous toutes ses coutures. La qualification, nous expliquait en janvier dernier Servane Augier, “comporte des enjeux organisationnels lourds”, d’où la décision d’Outscale de ne faire qualifier qu’une seule région, dite Secteur public, également destinée aux OIV, “pour éviter de faire porter l’impact sur l’ensemble de nos régions”. 

Pour celle qui était alors directrice du développement d’Outscale, SecNumCloud venait “conforter le positionnement qu’Outscale a depuis sa création : celui d’un cloud d’hyper-confiance”. Peut-on désormais parler de méga-confiance ? ou d’hyper-hyper-confiance ? Le fournisseur annonce en effet dans un communiqué qu’il vient de faire qualifier SecNumCloud une deuxième région. 

Deux régions

Là encore, il s’agit d’une région secteur public et OIV, semblable en tous points à la première si ce n’est que les deux infrastructures sont totalement indépendantes et imperméables. Il s’agit pour Outscale d’anticiper la demande de ses clients pour ce type d’offres. “Ainsi, la qualification SecNumCloud associée aux autres certifications détenues par 3DS Outscale (ISO 27001:2013 – ISO 27017 – ISO 27018 – HDS.) garantit aux organisations publiques, parapubliques, et les entreprises stratégiques comme les Opérateurs d’Importance Vitale (OIV) d’évoluer dans un environnement Cloud respectueux des données personnelles et présentant le plus haut niveau de sécurité” se félicite l’entreprise.

Le visa SecNumCloud est un gage de confiance qui permet à 3DS OUTSCALE de prouver concrètement qu’il est conforme au plus haut niveau de sécurité et qu’il adopte les bonnes pratiques requises en matière de sécurisation des données. C’est avec beaucoup de fierté et la profonde conviction de répondre aux enjeux essentiels de sécurité et de souveraineté pour nos clients, que nous inaugurons ce jour notre deuxième région qualifiée SecNumCloud. Cela confirme le savoir-faire de 3DS OUTSCALE et c’est avec beaucoup d’enthousiasme pour nos perspectives de croissance que nous fêtons notre première décennie aujourd’hui” souligne Servane Augier, désormais Directrice Générale Déléguée d’Outscale.

Retrouvez notre article dédié à SecNumCloud dans le premier numéro de L1foCR

Zoom chiffre enfin de bout en bout

L’outil de vidéoconférence, longtemps critiqué pour son manque de sécurité, vient d’annoncer le déploiement du chiffrement de bout en bout, en AES 256 bits, pour tous ses clients desktop et mobile, à l’exception de sa version web. Activable à merci, son utilisation contraint de se passer de certaines fonctionnalités. 

Nous ne sommes peut-être qu’à quelques heures d’un nouveau confinement, mais les utilisateurs de Zoom peuvent déjà se sentir mieux : leurs réunions sont désormais chiffrées de bout en bout. L’éditeur a annoncé hier qu’il supportait désormais le chiffrement end-to-end, avec un chiffrement AES 256bits autrement plus robuste que les clés AES-128 précédemment utilisé par l’outil de visioconférence. 

Le chiffrement est désormais disponible pour les utilisateurs gratuits et payants pour les réunions jusqu'à 200 personnes pour le client de bureau Zoom version 5.4.0 pour Mac et PC, l'application Zoom Android et Zoom Rooms. Sur iOS, la mise à jour de l’application attend encore l’approbation d’Apple. A noter que cette fonctionnalité est pour l’heure au stade de “technical preview”, et ce pendant 30 jours, Zoom cherchant à récolter sur le sujet l’avis de ses utilisateurs. 

Conséquence du rachat de Keybase

En effet, lorsque le chiffrement de bout en bout est activé, il est alors impossible d’utiliser certaines fonctionnalités de l’outil, à l’instar des sondages, des réactions,  de la transcription en direct ou encore de l’enregistrement de la session. Les administrateurs de compte peuvent activer cette fonctionnalité dans leur tableau de bord Web au niveau du compte, du groupe et de l'utilisateur. S'il est activé, l'hôte peut activer et désactiver E2EE pour une réunion donnée en fonction du niveau de sécurité et du niveau de fonctionnalités dont il veut disposer.

Dans un communiqué, Jason Lee, le responsable de la sécurité de Zoom, félicite “notre équipe de chiffrement qui nous a rejoints depuis Keybase en mai et a développé cette fonctionnalité de sécurité impressionnante en seulement six mois”. En effet, en mai dernier Zoom réalisait son premier rachat en mettant la main sur Keybase, une jeune pousse éditrice d’une solution de messagerie chiffrée de bout-en-bout.

Software AG entre rançon et vol de données

L’éditeur allemand est la victime de Clop, un ransomware qui a infecté certaines composantes de son SI le 3 octobre. Les attaquants réclament 23 millions de dollars en échange des clés de déchiffrement mais aussi de la non-divulgation des documents dérobés à Software AG lors de l’attaque.

Le 5 octobre, Software AG annonce être depuis deux jours victime d’un malware. S’il n’en précise pas la nature, l’éditeur d’origine allemande précise avoir été contraint de fermer ses services internes afin d’éviter une propagation, tandis que ses produits à destination de ses clients n’étaient pas affectés par l’attaque. Aujourd’hui encore, certaines parties de son site sont indisponibles, tandis qu’il redirige ses clients vers une adresse mail pour ses services support. 

L'entreprise est en train de restaurer ses systèmes et ses données afin de reprendre un fonctionnement ordonné. Cependant, les services d'assistance et la communication interne de Software AG sont toujours affectés” expliquait Software AG dans sa communication en date du 5 octobre. Il ajoutait ne pas avoir de signe de compromission des données de ses clients.

1 To de données dérobées

Mais trois jours plus tard, le ton est bien différent. “Software AG a obtenu la première preuve que les données ont été téléchargées à partir des serveurs et des ordinateurs portables des employés de Software AG. Rien n'indique que les services aux clients, y compris les services cloud, soient perturbés” dévoile l’entreprise.

En effet, selon les chercheurs de MalwareHunterTeam, les attaquants clament avoir dérobé un téraoctet de documents dans le SI de la société, dont des contrats, des rapports, des échanges par mail, des listes de contacts. Autant d’informations que les hackers menacent de publier en ligne si Software AG ne s’acquitte pas du versement d’une rançon de 23 millions de dollars en bitcoins. Cette somme permettra en outre à l’entreprise d’obtenir le déchiffrement de ses fichiers. 

Toujours selon MalwareHunterTeam, le ransomware Clop est derrière cette attaque. Et le groupe de se demander si l’utilitaire anti-McAfee contenu dans le malware utilisé était spécialement dédié à Software AG, ou si les hackers ont tout simplement eu “la flemme” de l’enlever de leur code.

Une nouvelle co-dirigeante chez Yogosha

Le spécialiste du bug bounty fait monter en grade sa directrice des opérations, Fanny Forgeau. Deux ans et demi après son recrutement, elle est promue directrice générale de l’entreprise, en binôme avec le cofondateur et CEO Yassir Kazar.

Peu après sa levée de fonds de 2017, où il raflait 1,2 million d’euros, Yogosha embauchait Fanny Forgeau en qualité de directrice des opérations en janvier 2019. Ancienne du CNRS en sociologie politique, elle était auparavant passée par Linkfluence puis Allure Systems. Au sein de Yogosha, sa mission consistait à accompagner la croissance de la jeune pousse.  Depuis la société a bien grandi. Elle a notamment diversifié ses opérations de sorte à dépasser les seuls programmes de chasse aux vulnérabilités, un marché sur lequel YesWeHack domine en France, développant une activité d’éditeur de logiciels de cybersécurité, avec notamment une solution SaaS de détection et de gestion des vulnérabilités sur les SI d’entreprises.
Editeur de logiciels
Forte de ce nouveau positionnement, l’entreprise levait en début d’année 2 millions d’euros, auprès de OneRagtime et de la BNPP, qui font leur entrée au capital de la jeune pousse, ainsi que de ses investisseurs historiques, Axeleo Capital, Starquest Capital et ZTP. Désormais, Fanny Forgeau monte en grade : elle est propulsée directrice générale de Yogosha.  A ce poste, elle oeuvrera en binôme avec le cofondateur de la société, Yassir Kazar, qui en reste le CEO. "Au poste de Directrice Générale Fanny Forgeau viendra coordonner l’ensemble des équipes, identifier les nouvelles opportunités de marché et définir les stratégies de développement en France et à l’international" nous apprend le communiqué émis par Yogosha.

Docker : l'Anssi livre ses bonnes pratiques

Les conteneurs et leurs images peuvent contenir du code malveillant : ils sont ainsi exploités par des cryptojackers. L'Anssi livre en ce début octobre un guide des bonnes pratiques de sécurité quant au déploiement et à l'exécution de conteneurs Docker. 

A l'occasion de la Black Hat 2017, deux chercheurs démontraient que les conteneurs Docker pouvaient servir à dissimuler des malwares. Et depuis, de Graboid à Doki, les exemples ne manquent pas quant à l'utilisation des conteneurs et de leurs images à des fins malveillantes. L'Anssi a pris le problème à bras le corps et vient de publier un guide de bonnes pratiques de sécurité à l'attention des développeurs et des DSI relatives au déploiement et à l’exécution de conteneur Docker. 

Le document ne traite pas de Docker daemon et la gestion des images Docker, quand bien même ces derniers sont souvent pointés du doigt comme présentant des vulnérabilités exploitables par des attaquants. 

Sécuriser le conteneur

"Docker Community Edition (CE) présente peu de vulnérabilités connues. La plupart d’entre elles concernent la création de conteneur à partir d’une image malveillante. Cependant, la sécurité de Docker repose principalement sur les mécanismes de sécurité du noyau et sur des composants externes. Des vulnérabilités les affectant peuvent donc être exploitées pour compromettre Docker ou son hôte" précise l'Anssi. 

Le document livre donc ses recommandations, notamment sur le cloisonnement du conteneur et de ses ressources, la restriction des privilèges (écriture de l'espace de stockage, lecture du système de fichiers racine, stockage des données non persisantes, restrictions du répertoire et des fichiers sensibles, namespaces dédiés...) ou encore la journalisation du conteneur. Des recommandations qui suivent le document de référence publié sur le même sujet par le Center for Internet Security (CIS).

 

 

Pour le Trésor américain, payer une rançon est punissable

Si la sempiternelle recommandation des autorités est de ne surtout pas payer de rançons, certaines victimes de ransomwares, parfois conseillées par leurs partenaires, finissent par accéder aux demandes de leurs attaquants. Ce sont ces partenaires qui s’exposent désormais à des sanctions du Trésor américain, qui n’apprécie guère que ces rançons versées servent à des acteurs menaçant la sécurité des États-unis. 

Il ne faut jamais payer les rançons demandées par les opérateurs de ransomware. D’une part car la victime n’est en rien assurée de récupérer ses fichiers, de l’autre parce que céder au chantage conforte les criminels quant à la rentabilité de leur activité. Tels sont les conseils dispensés par l’ANSSI et tant d’autres autorités étatiques sur les ransomwares. Toutefois, les cas de versement d’une rançon ont été plus amplement médiatisés ces dernier mois, au point que le Trésor américain ne décide de mettre les points sur les i. 

Dans une note, l’Office of Foreign Assets Control, ou OFAC, sort les crocs. En effet, en vertu de plusieurs lois, les ressortissants américains ne sont pas autorisés à marchander avec une longue liste de personnes et de pays, soit qu’ils représentent une menace à la sécurité nationale, soit qu’ils font l’objet de sanctions, à l’instar de la Crimée, de la Syrie, de l’Iran ou encore de Cuba. 

Sanctionner le versement de rançons

“L'OFAC peut imposer des sanctions civiles pour les violations de sanctions fondées sur la responsabilité stricte, ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou avait des raisons de savoir qu'elle s'engageait dans une transaction avec une personne interdite” écrit cette branche du Trésor.

Ce qui nous amène aux ransomwares. Voici quelques temps que nous rapportons que telles victimes, conseillées par son prestataire en cybersécurité ou son assureur, a cédé aux demandes des attaquants, s’acquittant du paiement d’une rançon. Or, selon l’OFAC, “les paiements de ransomware profitent aux acteurs illicites et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis”. Et sont donc susceptibles de faire l’objet d’enquêtes quant au contournement desdites sanctions. 

Evidemment, il ne s’agit pas pour le Trésor américain d’inquiéter les entreprises victimes, qui double le coût de rétablissement de leur SI lorsqu’elles paient une rançon. Le texte vise les entreprises “qui s'engagent avec des victimes d'attaques de ransomwares, telles que celles impliquées dans la fourniture de cyberassurance, de criminalistique numérique et de réponse aux incidents, et les services financiers pouvant impliquer le traitement de paiements de rançon”. 

Un géant hospitalier américain paralysé par une cyberattaque

Le groupe hospitalier UHS est la cible d’une attaque informatique qui l’oblige à recourir à des outils hors ligne. Le coupable serait Ryuk, un ransomware désormais bien connu. 

Universal Health Services, UHS pour les intimes, est l’un des plus grands groupes hospitaliers aux États-Unis, avec plus de 400 établissements de santé répartis sur le territoire. Depuis le matin du 27 septembre, ses employés sont revenus au papier et au crayon... ou du moins à des outils hors-ligne prévus en back-up. En cause, un “incident de sécurité informatique” contraignant le groupe à bloquer les accès à ses applications. 

Le communiqué d’UHS est particulièrement lapidaire, se contentant d’indiquer que “cette affaire peut entraîner des perturbations temporaires de certains aspects de nos opérations cliniques et financières” et n’avoir pour l’heure aucune preuve de l’accès aux données de ses patients et employés. Le ton des messages envoyés auxdits employés est tout autre. 

Les machines paralysées

Dans des SMS consultés par Reuters, le groupe recommande à ses salariés de n’accéder en aucun cas au réseau de l’entreprise avec leurs terminaux, professionnels ou personnels. Une attitude révélatrice d’une infection par un malware se propageant sur le réseau de l’entreprise, tandis que plusieurs sources pointent le ransomware Ryuk comme derrière la paralysie du SI d’UHS. 

Sur Reddit plusieurs utilisateurs indiquent que les fichiers des hôpitaux du groupe ont été chiffrés et portent l’extension .ryk, marque de fabrique de Ryuk. Ils signalent en outre que l’attaque aurait débuté dans la nuit de samedi à dimanche et que les ordinateurs ne sont pas les seuls affectés : ECG, appareils de radiologie ou encore ERM seraient eux aussi paralysés. Des informations qui ne sont néanmoins pas vérifiables pour le moment, et donc à prendre avec des pincettes, à l’instar de celle selon laquelle plusieurs patients seraient décédés faute d’une prise en charge adaptée consécutive à cette cyberattaque. 

Le secteur de la santé particulièrement visé

La crise sanitaire a vu une multiplication des attaques dirigées contre les établissements de santé.  L'AP-HP, le Health and Human Services Department américain ou encore l'hôpital de Brno, en République Tchèque, ont tous été victimes ici de DDoS, là de ransomwares ou encore de vol de données. L’Accompagnement Cybersécurité des Structures de Santé avait émis en mars en France plusieurs recommandations suivant celles précédemment formulées par l’OMS. Pour Pierre-Louis Lussan, de Netwrix, "nos récentes recherches sur les cybermenaces indique que ce secteur a subi le plus d'attaque de ransomware depuis le début de la crise sanitaire - avec une organisation de santé sur trois qui admet avoir été visée. Concernant l’attaque d’UHS, nous ne savons pas encore si les données des patients ont été seulement chiffrées, ou si elles ont également quitté le réseau de l’organisation. Plusieurs installations d’UHS sont affectées dans au moins quatre États et dans la ville de Washington, ce qui montre un déplacement latéral rapide du malware".

 

McAfee prêt à retrouver la bourse

Depuis l’été 2019, la rumeur court que le vieux géant chercherait un retour en bourse. C’est désormais officiel : Mc Afee en remplit son formulaire d’introduction près de dix ans après son rachat par Intel et sa sortie des marchés financiers. La cybersécurité est un secteur porteur et ce n’est pas l’entrée tonitruante en bourse de CrowdStrike qui prouvera le contraire. Le vénérable Mc Afee a senti le vent tourné : l’été dernier, on lui prêtait des vues sur le Nasdaq. Racheté en 2011 par Intel, il était sorti de bourse, avant que le fondeur ne revende le vieux géant des antivirus, en 2016, au fonds TPG. Qui donnait une seconde jeunesse à McAfee et lui permettait une opération particulièrement juteuse : le rachat de Skyhigh Networks.  Ce faisant il ajoutait une corde CASB à son arc, dépassant son image d’antivirus monolithique. Fort de ce positionnement, et avec l’entrée du fonds Thomas Bravo à son capital en 2018, McAfee semblait pouvoir, tel le phénix, renaître de ses cendres. Le retour est désormais officiel puisque l’entreprise a rempli son formulaire d’introduction auprès de la SEC américaine. 
Nouveau patron
L’an dernier, son chiffre d’affaires a bondi de 9,4%, à 2,64 milliards de dollars, tandis que l’entreprise réduisait ses pertes de moitié, de 512 millions de dollars en 2018 à 236 millions l’année suivante. En janvier, McAfee choisissait pour CEO un vétéran de la tech en la personne de Peter Leav, ex-patron de BMC Software et de Polycom.