La guerre numérique est lancée : préparez-vous ou disparaissez dans l'ombre !

​🤖​ Chers internautes et les amis Cyber-défenseur,

L’assaut des cybercriminels est lancé. Nous devons défendre nos systèmes avec des stratégies de cybersécurité dignes de la meilleure des armées.

La douleur, c'est dans la tête, mais les fuites de données ne se limitent pas à des informations volées. Elles peuvent coûter des millions, affecter la réputation et compromettre des systèmes entiers. Savez-vous que les informations d’identification de grands fournisseurs de sécurité ont été repérées sur le dark web pour à peine 10 dollars ? Pendant ce temps, des groupes de ransomware en profitent pour redoubler d’ingéniosité, exploitant des outils comme Microsoft Teams pour infiltrer des réseaux critiques.

La cybersécurité, c'est une attitude. Se conformer à la réglementation DORA, c'est reconnaître que la protection de l'intégrité numérique de l'entreprise est plus importante que les défis immédiats. Chaque sacrifice pour la conformité protège le tout. Heureusement, des solutions innovantes se profilent à l'horizon : Cisco mise sur l'intelligence artificielle défensive, tandis que des startups disruptives comme Zynap révolutionnent le secteur avec des approches audacieuses.

Vous savez quoi… chaque fois qu'une solution comme Cisco AI Defense fait ses preuves, on a l'espoir que l'univers de la cybersécurité devienne un peu plus sûr !

Les grandes lignes :

👉 "Les identifiants des géants de la cybersécurité exposés sur le dark web ! 🔓"

👉 "Les hackers se déguisent en support IT pour infiltrer Microsoft Teams 💻"

👉 "La nouvelle réglementation européenne met les talents en cybersécurité 👨‍💻  sous pression”

👉 "Cisco AI Defense : Une première mondiale pour sécuriser l’IA 🤖"

👉 "Zynap lève 5,7 millions pour révolutionner la threat intelligence 🚀"

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

⌛ Pour ceux qui on 15 minutes devant eux . . .

1️⃣ Les identifiants des géants de la cybersécurité exposés sur le dark web ! 🔓

Résumé : En janvier 2025, une enquête de Cyble a révélé que des identifiants appartenant à 14 fournisseurs majeurs de cybersécurité étaient disponibles sur le dark web. Les données qui ont fuité proviennent probablement de logiciels malveillants, dont les journaux info-stealers, et sont vendues en gros sur des marchés de la cybercriminalité pour seulement 10 dollars.

Les points clés :

1. Origine des fuites : Selon l’enquête de Cyble, les identifiants des géants de la cybersécurité exposés sur le dark web proviennent d’infostealers et ont été vendus sur des plateformes criminelles en janvier 2025. 

2. Services affectés :  Cette fuite a touché principalement des systèmes internes potentiellement critiques comme les gestionnaires de mots de passe et les systèmes d’authentification. Par ailleurs, les services internet courants comme Okta, AWS, Microsoft Online, GitHub, Salesforce, Box, WordPress, SolarWinds ou encore Oracle et Zoom ont été aussi affectés.

3. Impact client :  De telles fuites sont potentiellement dangereuses pour les clients. En fait, elles exposent les données de leurs comptes internes ainsi que leurs données d’accès client dans les milieux cloud et Web. C’est ce qui nous fait penser que les clients et le personnel des fournisseurs de sécurité ont été touchés. 

4. Manque de validation : Selon l’analyse des chercheurs de Cyble, les risques restent élevés même s’ils n’ont pas pu confirmer que les identifiants étaient valides. Par contre, nous pouvons affirmer que la plupart de ces identifiants étaient joints à des interfaces de console Web que l’on peut accéder facilement via des connexions à authentification unique (SSO) ou encore à d’autres points d’accès à des comptes Web.

Que faut-il en retenir ?

Ces fuites massives d’identifiants montrent que personne n’est à l’abri des cybermenaces si les géants de la cybersécurité ont été touchés par les info-stockers. Elles soulignent à quel point il est urgent pour toutes les organisations, grandes ou petites, de mettre en place des stratégies robustes de surveillance du dark web et d’améliorer continuellement leur posture de sécurité. Ce type d’événement rappelle également qu’il est toujours important d’utiliser les outils de sécurité comme la double authentification pour limiter les accès non autorisés.

2️⃣ Les hackers se déguisent en support IT pour infiltrer Microsoft Teams 💻

Résumé : Les gangs de ransomware comme Black Basta innovent dans leurs attaques. Ces derniers se font passer pour des membres de l’équipe IT en utilisant Microsoft Teams pour infiltrer les réseaux des entreprises. Pour cibler leur victime, ils utilisent dans un premier temps des campagnes de spam massives sur une courte durée. Ensuite, ils appellent les cibles via une instance Office 365 contrôlée par l’adversaire et prétendent proposer un support informatique. Une fois la confiance établie, ils déploient des malwares sophistiqués pour exécuter des attaques dévastatrices. Cette nouvelle tactique a été observée à la fin de l’année dernière dans des intrusions attribuées au ransomware Black Basta. Par contre, les chercheurs de Sophos ont constaté une méthode identique utilisée par des acteurs rattachés au groupe FIN7.

Les points clés : 

1. Tactiques d’attaque : Pour attaquer ses cibles, les gangs de ransomware utilisent l’outil Microsoft Teams. Après l’envoi de spams, ils contactent les employés en se faisant passer pour un support IT. Selon Sophos, les vagues d’emails atteignent jusqu’à 3 000 messages en 45 minutes.

2. Spam massif : L’attaque a déposé un fichier d'archive Java (JAR) (MailQueue-Handler.jar) et des scripts Python (porte dérobée RPivot) hébergés sur un lien SharePoint externe. 

3. Méthode d’infiltration : Le fichier JAR quant à lui a déployé des commandes PowerShell téléchargeant le ProtonVPN légitime. Ce dernier a ensuite chargé latéralement une DLL malveillante. Puis, c’est cette DLL qui a exécuté un canal de communication de commande et de contrôle avec des IP externes, permettant aux attaquants d’accéder à distance à l’ordinateur compromis.  

4. Contre-mesures : Les cybercriminels visent principalement le vol de données sensibles, suivi par le déploiement de ransomwares tels que Black Basta. Pour contrer ces menaces, il est essentiel de désactiver les contacts externes sur Microsoft Teams et de limiter les privilèges d'accès afin de réduire les risques de vulnérabilités.

Que faut-il en retenir ?

Ces attaques nous révèlent à quel point l’utilisation des configurations dans les outils de collaboration par défaut peut être risquée. Mais comment réduire les risques d’accès non autorisé ? Vous devez limiter les contacts externes, renforcer la formation de vos employés et revoir vos politiques de gestion des identités. En restreignant les contacts externes et en renforçant la formation de vos employés, vous pouvez considérablement réduire leur exposition.

3️⃣ La nouvelle réglementation européenne qui met les talents en cybersécurité sous pression 👨‍💻

Résumé : Entrée en vigueur en 2025, le Digital Operational Resilience Act (DORA) impose des normes strictes en matière de résilience numérique pour les institutions financières européennes. Certes, cette loi sur la résilience opérationnelle numérique de l’UE est essentielle pour renforcer la sécurité des systèmes critiques, mais elle exacerbe la pénurie de talents en cybersécurité. Les plus petites entreprises, en particulier, peinent à allouer les ressources nécessaires pour répondre aux exigences croissantes. Cependant, DORA promet à long terme une amélioration de la résilience opérationnelle et une meilleure gestion des risques pour le secteur financier.

Les points clés :

1. Objectifs principaux : Le Digital Operational Resilience Act (DORA) vise principalement à mettre en place des cadres robustes et tester la résilience opérationnelle des institutions financières de l’UE comme les sociétés d’investissement, les banques et les compagnies d’assurance. 

2. Pénurie de talents : Pour se conformer à cette loi, les entreprises doivent mettre en œuvre certaines mesures. En effet, elle demande des expertises dans des secteurs comme la gestion des risques informatiques ou encore les tests de résilience. Par contre, ces compétences particulièrement spécialisées sont déjà très rares en Europe et au-delà. De plus, les PME pourraient avoir du mal à embaucher un personnel assez qualifié. Ainsi, ils doivent se contenter de collaborer avec des prestataires de services externes pour les tests. 

3. Impact financier : Outre ces contraintes, la mise en conformité de la réglementation DORA engage des coûts initiaux élevés. Les institutions doivent consacrer des dépenses aux infrastructures et au personnel de cybersécurité pour établir et maintenir le cadre obligatoire de gestion des risques liés aux TIC. Pour la stratégie, la conception, la planification, etc, une organisation doit prévoir entre 5 à 15 millions d’euros. En plus, il y aura aussi le coût de la mise en œuvre qui peut être cinq fois plus élevé. 

4. Solutions alternatives : Malgré ces difficultés, les organisations peuvent allier l’externalisation et la formation des employés pour combler les lacunes en compétences mais aussi maintenir la conformité avec DORA. Les organisations peuvent aussi se tourner vers l’IA pour libérer les équipes de certaines tâches répétitives. 

5. Risques de non-conformité : Même avec ces contraintes, les organisations doivent se conformer à cette nouvelle loi pour éviter des sanctions financières importantes. Cela peut même entraîner la perte de confiance du marché en cas de retard ou d’échec.

Que faut-il en retenir ?

DORA est un pas en avant pour renforcer la résilience numérique en Europe. Cependant, son succès dépendra de la capacité des entreprises à surmonter les défis liés aux talents et aux ressources. Une approche proactive et des investissements stratégiques dans la formation et l’automatisation seront essentiels pour assurer la conformité tout en restant compétitifs.

4️⃣ Cisco AI Defense : Une première mondiale pour sécuriser l’intelligence artificielle 🤖

Résumé : En mars 2025, Cisco lancera officiellement AI Defense, une solution révolutionnaire pour sécuriser les modèles d’intelligence artificielle (IA) contre les vulnérabilités. Cette solution répond avant tout aux préoccupations croissantes liées aux failles des modèles IA, grâce à des outils de validation continue et en automatisant les tests de sécurité. Basée sur l’acquisition de Robust Intelligence, AI Defense promet de détecter et de corriger les failles en quelques secondes, aidant les entreprises à protéger leurs données tout en adoptant les innovations de l’IA. Avec cette nouvelle technologie, Cisco étend sa plateforme de sécurité cloud. D’ailleurs, une version en accès anticipé de cette offre a été lancée le 15 janvier. Elle permet d’empêcher les fuites des données des employés utilisant les services IA comme ChatGPT, Anthropic et Copilot.

Les points clés :

1. Technologie intégrée : AI Defense s’appuie sur Robust Intelligence, une plateforme qui fournit une solution de red teaming algorithmique de grands modèles linguistiques pour rechercher les vulnérabilités et automatiser les tests de sécurité des modèles IA. Elle utilise aussi un mécanisme créé par Robust Intelligence baptisé Tree of Attacks with Pruning. 

2. Temps de réponse : Cette solution révolutionnaire utilise des modèles de détection du fournisseur de plateforme d’IA générative (GenAI) Scale AI ainsi que la télémétrie de renseignement sur les menaces de Talos de Cisco et de Splunk. Cette technologie lui permet de valider en continu les modèles et de recommander des garde-fous. Cela permet ainsi de proposer un modèle en seulement 30 secondes. 

3. Risques ciblés : Cette solution développée pour lutter contre les vulnérabilités des modèles d’IA permet de se protéger contre des attaques comme le LLMjacking, les injections de prompts et le data poisoning.

4. Plateforme unifiée : En plus d’exploiter le Robust Intelligence, cette solution est aussi intégrée à Cisco Secure Access, facilitant la gestion centralisée de la sécurité.

5. Impact sur le marché : Selon les analystes, Cisco est le tout premier acteur majeur ayant réussi à lancer une technologie capable de répondre à la vérification automatisée des modèles à cette échelle. AI Defense pourra ainsi ouvrir la voie à d’autres innovations.

Que faut-il en retenir ?

Cisco AI Defense marque un tournant dans la sécurité des modèles IA, un domaine critique à l’heure où l’adoption de l’intelligence artificielle explose. Avec des menaces de plus en plus sophistiquées, cette solution représente une avancée majeure, rendant les modèles IA plus sûrs tout en accélérant leur mise en production. Cette innovation pourrait bien redéfinir les standards de sécurité dans le secteur technologique.

5️⃣ Zynap : Une startup espagnole lève 5,7 millions pour révolutionner la threat intelligence 🚀

Résumé : Fondée en 2024, Zynap est une startup espagnole qui utilise l’IA générative pour transformer la threat intelligence. En simulant des tactiques d’attaques pour anticiper les menaces, elle offre des outils innovants aux grandes entreprises et aux MSSPs. Récemment, la startup a levé 5,7 millions d’euros pour accélérer son expansion et perfectionner sa technologie. Avec une approche pratique et des résultats mesurables, Zynap veut se positionner comme un acteur clé dans un domaine en constante évolution. Actuellement, l’équipe de Zynap développe une version d’essai du produit, mais la sortie est envisagée dans les prochains mois.

Les points clés :

1. Technologie innovante : Zynap utilise l’IA comme Gen-AI pour lutter contre la cybercriminalité grâce à la simulation des tactiques cybercriminelles. La technique est principalement tournée vers la prévention des attaques.

2. Marché cible : Le principal objectif de Zynap est de redéfinir la Threat Intelligence avec une technologie fournissant des informations opérationnelles exploitables et difficiles d’accès. Les grandes entreprises et les MSSPs (Managed Security Service Providers) pourront ainsi anticiper les menaces numériques grâce à des outils personnalisables et facilement intégrables.

3. Levée de fonds : La startup vient d’annoncer la clôture de son financement. Pour alimenter ses plans d'expansion, elle a réussi à récolter 5,7 millions d’euros avec la collaboration de Kibo Ventures et Kfund, qui sont aussi des acteurs majeurs dans le secteur. 

4. Avantage concurrentiel : Ces solutions assurent l’intégration avec les outils et les cadres existants et offrent par la même occasion une personnalisation répondant aux besoins de chaque client et chaque secteur. De plus, la startup propose des résultats précis et mesurables que les clients peuvent prendre des décisions éclairées et se protéger contre les menaces cybercriminelles avant même qu’elles ne se manifestent.

5. Vision à long terme : Une fois cette solution déployée et adoptée, Zynap compte révolutionner la threat intelligence en combinant technologies avancées et expertise en cybersécurité.

Que faut-il en retenir ?

Zynap incarne la nouvelle génération de solutions en cybersécurité, où l’IA est utilisée non seulement pour réagir, mais pour anticiper les attaques. Son approche innovante et son financement solide la positionnent comme un acteur à suivre de près. Cette startup montre comment la technologie et l’agilité peuvent transformer un secteur où les menaces évoluent chaque jour.​

LIEUTENANT, AU RAPPORT !

Zynap : L’avenir de la threat intelligence proactive

Zynap : L’avenir de la threat intelligence proactive

Zynap, une startup basée à Barcelone, se distingue par son approche avant-gardiste de la cybersécurité, avec un focus particulier sur la threat intelligence. Fondée en 2024 par Daniel Solís, ancien PDG de Blueliv, Zynap utilise l'IA générative pour simuler des scénarios d'attaque et anticiper les menaces avant qu'elles ne se produisent.
Avec une levée de fonds récente de 5,7 millions d’euros, la startup a pour objectif de redéfinir les méthodes de défense utilisées par les grandes entreprises et les MSSPs. Sa solution agile, à la fois personnalisable et mesurable, s'intègre parfaitement aux infrastructures existantes, offrant ainsi une sécurité pro-active, permettant de détecter et neutraliser les cybermenaces bien avant qu'elles ne frappent.

L’approche novatrice de Zynap, qui combine technologie avancée et expertise cybersécurité, positionne la startup comme un acteur clé dans l’industrie, prêt à transformer la manière dont les entreprises se protègent des attaques sophistiquées.

En phase de développement d'une version d'essai, Zynap est en bonne voie pour changer la donne dans la cyberdéfense. Cette startup est définitivement à suivre de près !

CYBERTRIVIA - LE SAVIEZ-VOUS ?

Stuxnet, la première cyberarme de l’histoire

En 2010, un malware extrêmement sophistiqué, baptisé Stuxnet, a été découvert. Il s’agit du premier ver informatique connu à cibler spécifiquement des infrastructures industrielles critiques, marquant l’histoire comme la première véritable cyberarme.

Stuxnet a été conçu pour attaquer les systèmes SCADA (Supervisory Control and Data Acquisition) de Siemens, utilisés pour contrôler les centrifugeuses dans les installations nucléaires iraniennes. Ce malware aurait été développé par les gouvernements des États-Unis et d’Israël pour perturber le programme nucléaire de l’Iran.

Sa particularité ? Stuxnet exploitait quatre failles "zero-day", des vulnérabilités inconnues jusqu’alors, une prouesse rare en cybersécurité. Une fois introduit via une clé USB infectée, le malware modifie le fonctionnement des centrifugeuses, les faisant tourner à des vitesses qui les rendaient inopérantes, tout en affichant des données normales aux opérateurs.

Cette attaque ciblée a permis de ralentir significativement les progrès du programme nucléaire iranien, sans avoir recours à des frappes militaires. Cependant, Stuxnet a également soulevé des questions éthiques et stratégiques sur l’utilisation d’armes numériques. Après sa découverte, son code s’est propagé dans le monde entier, alimentant des discussions sur les risques des cyberarmes qui pourraient être utilisées ou modifiées par des acteurs malveillants.

Stuxnet reste un cas d’école en cybersécurité, illustrant la montée en puissance des cyberattaques étatiques et leurs implications sur la sécurité mondiale. Il a ouvert la voie à de nombreuses autres menaces ciblant les infrastructures critiques.

Note : La réponse sera dévoilée dans la prochaine newsletter !