Résultats de recherche

Opportunité qui nous parait utile à vous communiquer en ces temps où chaque euro compte 😊.   Nous pouvons vous proposer l’accès à une subvention de la Région Sud sur les projets Cyber. Leur objectif est de sensibiliser les TPE/PME/ETI et faire monter en maturité la protection des environnements IT.     Dans les grandes lignes, elle couvre jusqu’à 50% de l’achat et est comprise entre 2k€ et 5k€. Il faut bien sur que le siège (ou l’établissement concerné) soit en PACA. Elle cible les entités privées ou les associations. Elle concerne les investissements comptablement amortissables (CAPEX). Vous restez libre du choix de la solution technique achetée.     Il y a tout de même un préalable par la réalisation d’un diagnostic cyber. Il en existe plusieurs agréés par la Région. Sur les 2 que nous préconisons l’un est gratuit et assez sommaire (un questionnaire sur 1h30), l’autre assez peu coûteux (900€) mais il est un peu plus consistant. Ils sont donc facilement accessibles et surtout non contraignants pour vous. (Je précise que nous ne réalisons pas nous ces diagnostics, ils sont en lien avec l’ANSSI)     Alors pourquoi ne pas alléger le coût de vos projets cybersécurité ? On coordonne pour vous le cadrage, le dossier et la mise en œuvre.   Revenez vers nous s’il y a un projet Cyber à évoquer ou pour plus de précisions.

Deux séries majeures du constructeur arrivent en fin de vie  prochainement : ·         La série SG est supportée jusqu’au 30 Juin 2026 ·         La série XG arrivera en fin de maintenance le 31 Mars 2025   Si cela n’est pas déjà fait, il est important d’anticiper ces fins de vie. Tout particulièrement sur la série SG qui prend plus de temps à être mise à niveau. De plus, le passage à la dernière série, permet également la mise à dispositions des derniers algorithmes cryptographiques. Ces derniers sont nécessaires pour renforcer la sécurité des tunnels VPN.         Sophos a annoncé sur Q3 2024, rentrer dans un processus d’ acquisition de l’Editeur Secureworks . C’est désormais finalisé : «  Avec cette acquisition, Sophos devient le premier fournisseur spécialisé en cybersécurité pour les services de détection et de réponse managées (Managed Detection and Response -MDR), avec un engagement continu pour contrer les cyberattaques auprès des organisations ayant des besoins de sécurité et des environnements informatiques variés.  »   Secureworks faisait partie de nos partenaires. Ce rapprochement est donc plutôt une bonne chose de notre point de vue. On réduit les interlocuteurs pour une couverture fonctionnelle plus importante.        A l’automne est sortie la SFOS v21 . Nous commençons à avoir un recul significatif sur la version. Les améliorations sont les suivantes : ·         Active Threat Response s’améliore ·         Améliorations HA et VPN ·         Prise en charge des certificats Let's Encrypt ·         Possibilité de transition vers les modèles XGS

Arcserve c’est 40 ans de présence, sur 150 pays.    Il y a quelques semaines UDP10 est sortie . On a noté des évolutions dans les fonctionnalités maintenant présentes : ·         Recherche de logiciels malveillants dans les données sauvegardées et répliquées ·         Avec Virtual Standby vous pouvez restaurer sur GCP, Vsphere, HyperV, EC2, Azure, AHV ·         Avec One-to-Many, vous répliquez simultanément vers plusieurs cibles   De nouvelles fonctionnalités apparaissent sur la console cloud : ·         Journal d’audit ·         Protection et restauration Oracle RMAN ·         Dedup Datastore sur Azure Blob Storage ·         Protection des VMs Nutanix AHV   De nouvelles plateformes Linux sont prises en charge : ·         Red Hat Enterprise Linux ·         Oracle Linux ·         Rocky Linux ·         AlmaLinux (8.9, 8.10, 9.3, 9.4) ·         Ubuntu (24.04) ·         Debian (11.6, 11.10, 12.x)   Et tout récemment c’est au tour de Windows Server 2025   Le mode de licence reste au choix, par abonnement ou possibilité de rester sur un mode de licences perpétuelles.

Dans l’esprit du Campus, basé sur le partage et la collaboration… Dans l’esprit Aixagon, basé sur le pragmatisme et le concret… …nous vous proposons d’intégrer un groupe de travail qui aura pour but d’élaborer un test technique pour les recrutements de profils Cyber opérationnels. Nous nous concentrerons sur les hard skills (savoir-faire). Nous n’aborderons pas les soft skills (savoir-être).   La finalité sera de sortir 10/50/100 questions à soumettre à un candidat pour en évaluer ses compétences techniques avant embauche.   Nous vous proposons de faire ceci dans le cadre du Campus : ·         Début en Juin 2025 ·         3 sessions de travail ·         Groupe de travail limité à 5-7 personnes ·         Participation en distanciel possible

Toujours investis dans les actions opérationnelles du Campus Cyber Région Sud, nous vous invitons à nous rejoindre. Dans ce cadre, et sous certaines conditions, nous pouvons vous proposer un bundle Audit (par exemple Wifi ou AD ou FW) + Adhésion

Dans les grandes lignes, cela consiste à participer à une simulation de gestion de crise. Elle se déroule sur une journée, sur site ou dans vos locaux. Par exemple sur Marseille, ça sera 80 joueurs répartis sur 8 cellules de crise.   En avance de phase, et bien que les modalités de cette édition ne soient pas encore complétement connues, nous vous poussons l’information et nous vous proposons de nous faire passer vos souhaits de participation à l’édition nationale 2025, le 18 septembre prochain. A priori, les entités éligibles seront sélectionnées par l’ANSSI après dossier de candidature. Mais si cela à un intérêt pour vous, faites-le nous savoir.   La communication officielle n’est pas encore publiée, on nous en a parlé et un article est paru récemment : Article   La dernière édition remonte à 2022. Pour vous donner une idée, plus d’information ici : RETEX ANSSI La session 2025 recevra probablement des aménagements par rapport à celle-ci.

Basé sur le principe du « ne faites confiance à rien, ni personne, vérifiez tout », le ZTNA tend à remplacer les accès distants VPN .   On s’appuie sur la MFA et l’intégrité de l’appareil pour contrôler les accès. On n’ouvre l'accès qu’à un nombre restreint de serveurs applicatifs plutôt que de donner un accès global. Cette micro segmentation des applications réseau vous permet d’autoriser uniquement des utilisateurs identifiés à accéder aux ressources dont ils ont besoin. Si un appareil utilisateur est compromis mais qu’une menace n’est pas détectée, l’accès est bloqué.   Autrement dit on monte un tunnel temporaire entre l’utilisateur et l’applicatif cible, au lieu de lui donner un accès plus large.

Olfeo poursuit l’évolution fonctionnelle de son offre SaaS .   Dans un contexte de télétravail ou de petits sites distants sans infrastructure, comment êtes-vous sûr que vos collaborateurs ne contournent pas vos règles de filtrage web ? Quelles applications SaaS sont réellement utilisées ?   Ces dernières semaines un focus a été fait sur le module DNS SaaS qui a vocation à y répondre. C’est aussi une alternative à Cisco Umbrella, souvent utilisé dans les environnements scolaires.

WithSecure découpe son offre en 3 briques principales : ·         Extended Detection and Response (Endpoints, identités, M365, …) ·         Co-Security Services (Les services de réponses à incidents) ·         Exposure Management   Focus sur la partie Exposure Management Dans un contexte de cybermenaces évolutives, de télétravail, d’assets vulnérables, … c’est une solution proactive et continue qui prédit et empêche la violation des actifs. Elle offre une visibilité sur votre surface d'attaque et permet la correction des expositions les plus problématiques grâce à une vue centralisée, à un score d’exposition et aux recommandations basées sur l'IA. ·         Identification du périmètre et des actifs essentiels ·         Priorisation des vulnérabilités et recommandations exploitables ·         Remédiation avec mesures correctives hiérarchisées pour réduire le niveau de risque ·         Lutter contre les risques liés à l'identité   C’est le cran au-dessus de Vulnerability Management, l’outil de gestion des vulnérabilités.

Ci-après, retour sur l’Incident de l’été. Difficile de le résumer en quelques mots et l’objectif n’est surtout pas d’incriminer tel ou tel Éditeur, mais plutôt d’en comprendre le cheminement et d’en tirer chacun un enseignement.     Résumé de l’incident : Le vendredi 19 juillet, l’éditeur de produit d’EDR (entre autres) Crowdstrike, a envoyé une mise à jour de contenu à tous les agents Windows. Ceci à l’échelle mondiale. Le contenu était l’ajout de nouvelles règles de détection de menaces.   En soit, ce type de mise à jour de contenu est très fréquent. Malheureusement le nouveau contenu était déficient, il a immédiatement causé le crash de Windows sur lequel l’agent était installé puisque comme n’importe quel produit EDR, il est déclaré comme logiciel essentiel. Conséquence, s’il plante, il emporte l’intégralité de l’OS avec lui et Windows refuse de démarrer normalement si ce logiciel n’est pas en cours d’exécution. Autrement dit toutes les machines Windows protégées par Crowdstrike ne pouvaient plus être utilisées.   Seul moyen fiable de récupérer la main sur la machine, se connecter physiquement en local, en mode « sans échec », puis supprimer le contenu rajouté par cette mise à jour. Au regard de votre parc vs votre staff, vous pouvez ainsi imaginer le temps nécessaire à la réalisation de ces tâches manuelles. Et comme malus vous rajoutez la période estivale pour notre hémisphère, du multisite, et éventuellement des process de sécurité d’accès.     « Leader du marché » : Crowdstrike fait partie des leaders mondiaux. Le Gartner ou le Forrester, par exemple, positionnent très bien l’Editeur dans la catégorie Endpoint.   Et c’est là qu’une première leçon peut être tirée. Même si la notion de part de Marché et de pertinence technique restent des bons indicateurs de fiabilité, il faut nuancer avec la capacité qu’à l’Éditeur à assurer « le service après-vente », en fonction de ses ressources, de sa propre expérience et de ses choix de priorités.     Problème de qualité : Les erreurs sont humaines et aucun système (ni Éditeur) n’est infaillible. Raison de plus pour disposer d’un contrôle qualité adapté. Encore plus en Cyber.   Ceci est à mettre au conditionnel mais ici ce qui est reproché à l’Éditeur américain, ce n’est pas une, mais deux erreurs majeures : ·         Le contenu des mises à jour n’était pas testé suffisamment : o   L’usage d’outils de vérifications automatique est souvent utilisé, dans ce cas, il semblerait que les configurations de ces outils n’étaient pas complètes. o   L’usage de serveurs de tests qui permettent de tester si le logiciel fonctionne correctement suite aux mises à jour… ce n’était pas le cas ici. o   L’usage d’un déploiement progressif qui permet d’identifier le problème suffisamment tôt avant que la mise à jour soit déployée complètement. Crowdstrike a admis ne pas fonctionner ainsi. ·         Le process qui lit ce contenu n’était pas en capacité de gérer si le contenu était invalide : o   L’usage de revue par les pairs est aussi généralisé, le concept est qu’un développeur plus expérimenté relis le code effectué par d’autres développeurs avant qu’il ne soit validé. Pas d’éléments à ce sujet, donc difficile à dire si le processus n’a pas été mis en place ou si la revue a été mal faite. o   L’usage de test unitaire est très courant. L’idée est de tester que chaque partie du code fonctionne comme attendue. CrowdStrike admet dans son rapport que deux parties de code censées prévenir de ce type de problématique n’ont pas été testées.   Ces pratiques sont le standard chez de nombreux Éditeurs, quel que soit leur taille.     Les leçons : Ces dernières années ont montré que ça n’arrive pas qu’aux autres. Ainsi plusieurs pistes peuvent être suivies : ·         Prévoir des postes et serveurs non protégés par des agents. Ces derniers doivent être isolés (voire éteint). ·         Eviter un parc serveur avec un OS largement majoritaire, Windows ou sur une même distribution Linux. ·         Pour les plus grandes entités, éviter un parc utilisateur avec un OS largement majoritaire. L’un de nos clients a fait le choix d’intégrer des Chromebook en parallèle des postes Windows, par exemple. ·         Effectuer et tester régulièrement les sauvegardes des serveurs. ·         Disposer de Plan de Reprise d’Activité complet.     Des responsabilités partagées : L’objectif n’est pas de simplement regarder la partie Crowdstrike, bien qu’ils soient ici responsables d’une grande partie de l’incident. Il ne faut pas oublier que l’ampleur de ce dernier a aussi été permis par d’autres acteurs : ·         Microsoft Pour de multiples raisons, Windows ne permet pas de récupérer toutes les informations requises par les logiciels EDR sans qu’ils ne se mettent en logiciel essentiel (comprendre logiciel qui s’exécute à la couche noyau de l’OS au même titre qu’un pilote matériel, au lieu de la couche utilisateur). Si cela était possible (comme ce qui est proposé sur MacOS par exemple) cet incident n’aurait jamais pu causer ce niveau de paralysie. ·         Certains clients Certaines organisations majeures ont particulièrement été impactés, d’une part, lié à un manque de diversité d’usage de l’OS en interne, d’autre part, causé par une absence de PRA adapté.

Au printemps dernier les gammes SN-L-Series et SN-XL-Series sont venues compléter le portfolio de l’Editeur. Elles sont orientées hautes performances.   Sur cette rentrée c’est au tour des SN-XS-Series-170 et SNi10 . Elles sont orientées succursales et sites distants pour l’une, et OT pour l’autre. Communications officielles par l’Editeur, prévues autour du 30 septembre.     Stormshield Log Supervisor V2.0  est également disponible : ·         Amélioration de la gestion des incidents et fonctionnalités de remédiation ·         Collecte les logs sur l’ensemble de l’infrastructure depuis un point central ·         Corrélation des événements avec ceux des autres éléments du SI ·         Préparation des scénarios de réponse en amont ·         Playbooks intégrés couvrant les actions de remédiation les plus courantes ·         Nouvelle interface plus moderne et intuitive ·         Nouveaux tableaux de bord SOC

Il y a quelques mois, Sophos mis à disposition « Sophos DNS Protection ». Il s’agit d’un outil de filtrage de requêtes DNS externe, disponible sur la console cloud Sophos Central. Cela rajoute une couche de protection supplémentaire en parallèle du filtrage web.   Toutes organisations disposant d’une licence « Sophos Firewall Xstream » peuvent l’utiliser sans coût supplémentaire.       Pour rappel, avec Sophos XDR/MDR il est possible de faire remonter les alertes et les détections de firewalls tiers. Vous donnez ainsi plus d’informations aux analystes SOC. Plusieurs connecteurs sont disponibles , notamment avec les Éditeurs : Fortinet, Palo Alto, Check Point, Forcepoint, WatchGuard, Cisco, SonicWall, F5, Barracuda, …   Il faut noter qu’un accès est requis, un firewall géré par un tiers n’ouvre en général pas à cette possibilité.