Voici un aperçu de certaines des actualités, articles, interviews et vidéos les plus intéressants de la semaine dernière :
Black Basta cible les organisations avec une nouvelle campagne d’ingénierie sociale
Black Basta, l’un des opérateurs de ransomware-as-a-service les plus prolifiques, teste une combinaison de DDoS par courrier électronique et de vishing pour inciter les employés à télécharger des outils d’accès à distance.
Comment un consultant GRC a réussi l’examen CISSP en six semaines
Demandez à n’importe quel professionnel de la sécurité informatique quelle certification il considérerait comme la « référence » en termes de prestige, de crédibilité ou de difficulté, et il répondra presque invariablement : le CISSP.
BLint : outil open-source pour vérifier les propriétés de sécurité de vos exécutables
BLint est un Binary Linter conçu pour évaluer les propriétés et capacités de sécurité de vos exécutables, en utilisant LIEF pour ses opérations. À partir de la version 2, BLint peut également produire des nomenclatures logicielles (SBOM) pour les binaires compatibles.
Emplois en cybersécurité disponibles dès maintenant : 15 mai 2024
Nous avons parcouru le marché pour vous proposer une sélection de postes couvrant différents niveaux de compétences dans le domaine de la cybersécurité. Découvrez cette sélection hebdomadaire d’emplois en cybersécurité disponibles dès maintenant.
OWASP dep-scan : outil open source d’audit de sécurité et de risque
OWASP dep-scan est un outil open source de sécurité et d’évaluation des risques qui exploite les informations sur les vulnérabilités, les avis et les restrictions de licence pour les dépendances du projet.
Mesures de sécurité de base pour renforcer les programmes de confidentialité et de protection des données
À mesure que les lois sur la protection de la vie privée évoluent à l’échelle mondiale, les organisations sont confrontées à une complexité croissante pour adapter leurs stratégies de protection des données afin de rester conformes. Dans cette interview de Help Net Security, Kabir Barday, PDG de OneTrust, souligne que l’adoption de la confidentialité dès la conception permet aux organisations de relever les défis de conformité.
Adapter l’IA responsable : définir des lignes directrices éthiques pour une utilisation spécifique à l’industrie
Dans cette interview Help Net Security, Chris Peake, RSSI et vice-président senior chez Smartsheet, explique comment l’IA responsable doit être définie par chaque organisation pour guider son développement et son utilisation.
Établir une base de référence en matière de sécurité pour les projets open source
Dans cette interview Help Net Security, Dana Wang, architecte en chef chez OpenSSF, discute des obstacles les plus importants à l’amélioration de la sécurité des logiciels open source (sécurité OSS) et des opportunités pour surmonter ces défis.
Une vulnérabilité critique de Git permet le RCE lors du clonage de référentiels avec des sous-modules (CVE-2024-32002)
De nouvelles versions de Git sont sorties, avec des correctifs pour cinq vulnérabilités, dont la plus critique (CVE-2024-32002) peut être utilisée par des attaquants pour exécuter du code à distance lors d’une opération de « clonage ».
Google corrige le troisième jour zéro de Chrome exploité en une semaine (CVE-2024-4947)
Pour la troisième fois au cours des sept derniers jours, Google a corrigé une vulnérabilité Zero Day de Chrome (CVE-2024-4947) pour laquelle un exploit existe dans la nature.
Comment les attaquants diffusent des logiciels malveillants aux utilisateurs de Foxit PDF Reader
Les auteurs de la menace profitent de la conception défectueuse des alertes de Foxit PDF Reader pour diffuser des logiciels malveillants via des documents PDF piégés, ont averti les chercheurs de Check Point.
Patch Tuesday de mai 2024 : Microsoft corrige les failles Zero Day exploitées (CVE-2024-30051, CVE-2024-30040)
Pour le Patch Tuesday de mai 2024, Microsoft a publié des correctifs pour 59 vulnérabilités numérotées CVE, dont deux zero-day (CVE-2024-30051, CVE-2024-30040) activement exploitées par les attaquants.
Apple rétroporte le correctif iOS Zero Day et ajoute une alerte de suivi Bluetooth
Apple a rétroporté le correctif pour CVE-2024-23296 vers la branche iOS 16 et a corrigé un bug (CVE-2024-27852) dans MarketplaceKit qui peut permettre à des pages Web conçues de manière malveillante de distribuer un script qui suit les utilisateurs iOS sur d’autres pages Web.
Les États-Unis dévoilent un système permettant aux informaticiens nord-coréens de contourner les sanctions
Le ministère américain de la Justice a dévoilé des accusations contre une Américaine et un Ukrainien qui, ainsi que trois ressortissants étrangers non identifiés, auraient aidé des informaticiens nord-coréens à travailler à distance pour des entreprises américaines sous des identités américaines usurpées et ainsi à échapper aux sanctions.
L’importance des contrôles d’accès dans la réponse aux incidents
Le pire moment pour découvrir que votre entreprise ne dispose pas de contrôles d’accès adéquats est lorsque tout est en feu. La pire chose qui puisse arriver lors d’un incident est que vos équipes de développement et d’exploitation ne puissent pas résoudre le problème.
Les organisations peinent à se défendre contre les ransomwares
Dans cette vidéo Help Net Security, Jeremy Nichols, directeur du Global Threat Intelligence Center chez NTT Security Holdings, discute de la récente augmentation des incidents de ransomware.
Une vulnérabilité de l’IA open source est-elle la prochaine ?
L’IA suscite un grand intérêt et offre de nombreux avantages. Cependant, ses progrès rapides et son adoption généralisée suscitent des inquiétudes, en particulier pour ceux d’entre nous qui travaillent dans le domaine de la cybersécurité.
Les vulnérabilités critiques prennent en moyenne 4,5 mois pour être corrigées
Plus d’un tiers des organisations présentaient au moins une vulnérabilité connue en 2023, près d’un quart d’entre elles en étaient confrontées à cinq ou plus, et 60 % des vulnérabilités sont restées non corrigées au-delà des délais fixés par CISA, selon Bitsight.
Une vulnérabilité de l’IA open source est-elle la prochaine ?
L’IA suscite un grand intérêt et offre de nombreux avantages. Cependant, ses progrès rapides et son adoption généralisée suscitent des inquiétudes, en particulier pour ceux d’entre nous qui travaillent dans le domaine de la cybersécurité.
Le rôle essentiel du personnel informatique dans le renforcement de la cybersécurité
Dans cette vidéo Help Net Security, Phani Dasari, RSSI chez HGS Digital, discute de l’état du secteur informatique, de la demande croissante de professionnels de la cybersécurité et des stratégies permettant de tirer parti des opportunités à venir.
Des statistiques sur les ransomwares qui révèlent un taux alarmant de cyber-extorsion
Dans cet article, vous trouverez des extraits de divers rapports offrant des statistiques et des informations sur le paysage actuel des ransomwares.
Red teaming : l’ingrédient clé d’une IA responsable
Développer une IA responsable n’est pas une proposition simple. D’un côté, les organisations s’efforcent de rester à la pointe des avancées technologiques. D’autre part, ils doivent veiller au strict respect des normes éthiques et des exigences réglementaires.
Questions clés à poser lors de l’adaptation des stacks défensifs
Dans cette vidéo Help Net Security, Scott Small, directeur de la cybermenace Intelligence chez Tidal Cyber, décrit les questions que vous devez poser à votre équipe de sécurité lors de l’adaptation d’une pile de défense contre votre paysage actuel de menaces.
Log4Shell ne montre aucun signe de décoloration, repéré dans 30 % des exploits CVE
Selon une enquête de Cato Networks, les organisations continuent d’utiliser des protocoles non sécurisés sur leurs réseaux à large accès (WAN), ce qui facilite la déplacement des cybercriminels entre les réseaux.
Répondez-vous à vos exigences en matière de cyberassurance ?
Dans cette vidéo Help Net Security, Jacob Berry, RSSI de terrain chez Clumio, aborde un problème courant dans le secteur : les exigences en matière de politique de cyberassurance sont une cible mouvante, et même avec une politique d’assurance solide au dossier, les organisations ne peuvent pas garantir que tous les incidents sera entièrement couvert.
La croissance rapide de l’IA pousse les RSSI à s’adapter aux nouveaux risques de sécurité
L’utilisation accrue de l’IA complique encore davantage le rôle du RSSI à mesure que les industries commencent à réaliser tout le potentiel de GenAI et son impact sur la cybersécurité, selon Trellix.
Comment l’IA affecte la gestion des vulnérabilités dans les logiciels open source
Dans cette vidéo Help Net Security, Itamar Sher, PDG de Seal Security, explique comment l’IA affecte les risques et les aspects opérationnels de la gestion des vulnérabilités des logiciels open source.
Vitrine de produits : bloquez les publicités, les pop-ups de cookies, les trackers avec CleanWeb
CleanWeb ne consiste pas seulement à bloquer les publicités. Il s’agit de reprendre le contrôle. En éliminant les publicités intrusives, les trackers et les notifications de cookies, CleanWeb garantit une expérience de navigation plus fluide, plus rapide et plus agréable qui ne se fait plus au détriment de la vie privée.
Télécharger : Le guide ultime du CISSP
Le guide ultime du CISSP couvre tout ce dont vous avez besoin sur la première certification mondiale en leadership en cybersécurité. Découvrez comment CISSP et ISC2 vous aideront à naviguer dans votre parcours de formation, à réussir votre certification et à faire progresser votre carrière afin que vous soyez prêt à devenir un leader en cybersécurité.
Nouveaux produits infosec de la semaine : 17 mai 2024
Voici un aperçu des produits les plus intéressants de la semaine dernière, avec les versions de Calix, FireMon, ManageEngine et OWASP Foundation.