Accueil de l'Académie
Blogs
Retards du NIS2, violations des soins de santé et amélioration du Trust Center : Résumé des produits et des nouvelles du Cyberday 5/2025 🛡️
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Retards du NIS2, violations des soins de santé et amélioration du Trust Center : Résumé des produits et des nouvelles du Cyberday 5/2025 🛡️

Collection ISO 27001
Retards du NIS2, violations des soins de santé et amélioration du Trust Center : Résumé des produits et des nouvelles du Cyberday 5/2025 🛡️
Collection NIS2
Retards du NIS2, violations des soins de santé et amélioration du Trust Center : Résumé des produits et des nouvelles du Cyberday 5/2025 🛡️
Cyberday blog
Retards du NIS2, violations des soins de santé et amélioration du Trust Center : Résumé des produits et des nouvelles du Cyberday 5/2025 🛡️

Voici les nouvelles et la revue de produits de Cyberday pour le mois de mai, ainsi qu'un résumé du dernier webinaire d'administration. Notre prochain webinaire d'administration, où nous passerons en direct, aura lieu à l'automne 2025. Vous pouvez vous inscrire au webinaire sur notre page webinaires à l'approche de la date.

Participez à nos webinaires hebdomadaires

Ne manquez pas nos sessions hebdomadaires en direct sur les normes ISO 27001 et NIS2. Discussions d'experts et questions-réponses - inscrivez-vous dès maintenant !

Participer à des webinaires

Actualités 5/2025

Les retards du NIS2 ne doivent pas entraîner l'inaction

Article de pinsentmasons.com

La directive européenne NIS2 progresse lentement dans les législations nationales, 19 pays sur 27 n'ayant pas respecté le délai de transposition fixé au 14 mai. Ce retard a une incidence sur les spécificités des règles nationales, mais pas sur les obligations que les entreprises sont censées respecter. La directive elle-même fixe des exigences minimales, et si les versions locales peuvent les compléter, les attentes fondamentales ne changeront pas. La Commission européenne a déjà émis un avertissement formel, appelé "avis motivé", qui donne aux pays deux mois pour réagir sous peine d'amendes. La transposition ne sera probablement pas totalement achevée avant la fin de cette année au plus tôt, mais cela ne signifie pas que les entreprises doivent attendre pour agir.

L'attentisme peut sembler sécurisant, mais il est risqué, tant du point de vue de la conformité que de la cybersécurité. Certes, certains détails sont encore en suspens, mais la direction est claire et les obligations sont réelles. Si elles ne font rien maintenant, les entreprises risquent de se retrouver dans l'embarras lorsque les lois nationales tomberont. Les entreprises devraient plutôt commencer à se préparer : cartographier leur exposition aux risques, former les équipes internes et mettre en place des plans de conformité flexibles. Le NIS2 n'est pas seulement un fardeau réglementaire, c'est aussi l'occasion de rehausser votre niveau de cybersécurité. Et compte tenu du paysage actuel des menaces, il s'agit d'une décision intelligente, quel que soit le calendrier juridique.

Kettering Health victime d'une panne de système après une attaque par ransomware

Article de bleedingcomputer.com

Une récente cyberattaque contre Kettering Healt, dans l'Ohio, a eu un impact considérable sur les 14 hôpitaux et les 120 centres de soins ambulatoires de l'organisation, perturbant les systèmes vitaux, notamment les plates-formes de soins aux patients et le centre d'appels. En conséquence, des procédures non urgentes en hospitalisation et en ambulatoire ont été annulées et des rendez-vous retardés, tandis que les services d'urgence continuent de fonctionner. Pour aggraver la situation, des escrocs ont exploité la situation en se faisant passer pour des membres du personnel de Kettering afin de soutirer des paiements à des patients peu méfiants. L'organisation a interrompu tous les appels de facturation pour des raisons de sécurité et a invité les patients à signaler toute activité suspecte.

Les équipes informatiques collaborent étroitement avec les experts en cybersécurité et les forces de l'ordre pour rétablir les opérations. Bien que Kettering n'ait pas confirmé la nature de l'attaque, la société de cybersécurité PRODAFT attribue la violation à un acteur connu sous le nom de Nefarious Mantis, lié au groupe de ransomware Interlock. Ce groupe a déjà attaqué des organismes de santé et de biotechnologie, utilisant le RAT Interlock et le ransomware pour prendre le contrôle des systèmes et exfiltrer des données sensibles. La situation à Kettering met en évidence la menace croissante que les ransomwares font peser sur les infrastructures de santé, où les temps d'arrêt peuvent avoir des conséquences réelles sur les soins prodigués aux patients. Il s'agit d'un rappel brutal pour toutes les industries, mais surtout pour les soins de santé, que la résilience en matière de cybersécurité doit être traitée comme une priorité de premier plan.

Cet article met en évidence la menace croissante qui pèse sur les infrastructures de soins de santé et la nécessité urgente de renforcer la préparation et la réponse en matière de cybersécurité.

Hameçonnage sophistiqué via NPM et AES

Article de darkreading.com

Une récente attaque de phishing ciblant les utilisateurs de Microsoft 365 a utilisé une approche complexe unique, combinant plusieurs techniques avancées en une seule attaque, ce que les chercheurs n'avaient jamais vu utilisé ensemble auparavant. Selon l'analyse de sécurité, l'email de phishing s'est déguisé en notification DocuSign, contenant de l'AES. À l'ouverture, la pièce jointe se connecte à un CDN bien connu (comme Cloudflare ou Google Cloud) et exécute un paquet npm malveillant. Ce paquetage basé sur JavaScript dirigeait la victime à travers une chaîne de redirections, atterrissant finalement sur une page de connexion Microsoft 365 convaincante, mais fausse, conçue pour voler des informations d'identification.

Ce qui rend cette attaque particulièrement dangereuse, c'est qu'elle a contourné les systèmes de détection traditionnels bien qu'elle n'ait pas utilisé d'obscurcissement évident. Au lieu de cela, l'attaquant s'est appuyé sur le chiffrement, un CDN de confiance et un logiciel open-source empoisonné pour se fondre dans le trafic légitime. C'est un signal clair que les défenseurs doivent faire évoluer leurs stratégies, en surveillant les indicateurs subtils tels que les fichiers cryptés dans les courriels et les tactiques d'hameçonnage de niche à faible volume. Bien que l'infrastructure utilisée dans cette attaque spécifique ait été démantelée depuis, les implications sont vastes : les acteurs de la menace continuent d'innover et les équipes de sécurité doivent faire preuve de la même agilité. Ce cas souligne également l'importance d'une équipe ISMS dédiée et de processus de sécurité internes structurés - ce que Cyberday soutiendra bientôt de manière plus complète.

La satisfaction des utilisateurs de téléphones tombe à son plus bas niveau depuis 10 ans - et l'IA n'est qu'en partie responsable de cette situation

Article de zdnet.com

La satisfaction des utilisateurs de smartphones a atteint son niveau le plus bas depuis dix ans, selon le dernier indice américain de satisfaction de la clientèle, passant de 82 % à 78 %. Il s'agit d'une baisse significative après le record de l'année dernière. Ce recul s'explique en grande partie par la lenteur de l'innovation, l'augmentation des prix et la diminution des raisons impérieuses de mettre à niveau les appareils. Malgré la course des marques pour introduire de nouvelles fonctionnalités, les utilisateurs sont de plus en plus frustrés par le manque d'amélioration des fonctionnalités de base telles que l'autonomie de la batterie, la fiabilité des appels et la facilité d'utilisation.

L'étude souligne également que les améliorations apportées par l'IA n'ont pas réussi à apporter une valeur significative à la plupart des utilisateurs, puisque seuls 8 % d'entre eux déclarent qu'ils paieraient pour des fonctions d'IA. Les consommateurs privilégient clairement l'aspect pratique à la nouveauté. Même les leaders du secteur, comme Apple et Samsung, ont vu leur taux de satisfaction baisser légèrement, tandis que Google a enregistré une baisse plus marquée de 3 %. En ce qui concerne les smartwatches, Samsung arrive en tête avec 83 % de satisfaction, suivi d'Apple et de Fitbit, ce qui confirme une fois de plus que les utilisateurs se soucient avant tout de la durabilité de la conception et de la qualité de l'affichage. Le message est clair : l'innovation doit servir l'essentiel, sinon elle ne fera pas bouger l'aiguille.

Ce constat met en évidence un décalage croissant entre l'innovation en matière de smartphones et les attentes des utilisateurs, dont la satisfaction n'a jamais été aussi faible depuis dix ans. Malgré de nouvelles fonctionnalités tape-à-l'œil comme l'IA, les utilisateurs donnent la priorité aux fonctions essentielles, comme l'autonomie de la batterie, la fiabilité et la facilité d'utilisation, qui continuent de laisser à désirer.

Des milliards sont investis dans des projets informatiques, mais ils échouent - pourquoi ?

Article de tivi.fi

40 % des projets informatiques dépassent leur budget, dont 20 % de plus de 50 % et certains de plus de 200 %. Selon des études récentes, cette tendance inquiétante est due à quelques problèmes récurrents : le manque d'expérience en informatique, l'absence de gestion de projet certifiée et la nature abstraite de nombreux projets numériques, qui les rend difficiles à délimiter et à contrôler. Par rapport à des domaines tels que la construction de ponts, où des plans détaillés sont soigneusement examinés avant le début des travaux, de nombreuses initiatives en matière d'informatique et de conformité souffrent encore de débuts vagues.

L'une des principales recommandations est d'investir plus de temps dans la phase de planification, en particulier pour les projets liés à la conformité et à l'IA, qui manquent souvent de clarté et de structure. Gartner prévoit que les dépenses informatiques mondiales s'élèveront à 5,6 billions de dollars cette année, ce qui souligne l'ampleur - et le gaspillage potentiel - de l'enjeu. L'essentiel à retenir ? Si les personnes qui définissent les priorités et dirigent vos efforts en matière d'IA ne comprennent pas parfaitement le domaine ou l'investissement en temps nécessaire, vous risquez de faire échouer le projet dès le départ. Une planification solide et une compréhension approfondie du projet sont essentielles pour éviter les dépassements de budget et les résultats décevants.

La Russie va imposer la géolocalisation aux étrangers

Article de bleedingcomputer.com

La Russie a introduit une nouvelle loi controversée exigeant que tous les ressortissants étrangers dans la région de Moscou (à l'exception des diplomates et des citoyens biélorusses) installent sur leurs smartphones une application de suivi délivrée par le gouvernement. L'application recueillera des données personnelles détaillées, notamment des empreintes digitales, des images faciales, des informations sur le lieu de résidence et la localisation en temps réel, tout changement de résidence devant être notifié aux autorités dans un délai de trois jours. Tout changement de résidence devra être notifié aux autorités dans les trois jours. Le non-respect de cette obligation entraînera l'inscription dans un registre surveillé et l'expulsion.

Les autorités affirment que cette mesure vise à réduire la criminalité liée à l'immigration en améliorant la surveillance, mais les critiques ont soulevé de sérieuses inquiétudes. Les experts juridiques soutiennent que cette mesure viole les droits constitutionnels à la vie privée, tandis que les dirigeants des communautés de migrants et les défenseurs des droits numériques s'interrogent sur sa faisabilité et avertissent qu'elle pourrait décourager la migration de la main d'œuvre dont on a tant besoin. Le plan est encore en cours d'élaboration, et des questions pratiques telles que la perte d'appareils doivent encore être abordées. Le projet pilote de surveillance se poursuivra jusqu'en septembre 2029, avec la possibilité de l'étendre à l'ensemble du pays.

Que pensez-vous de l'équilibre entre la sécurité nationale et la protection de la vie privée dans des politiques telles que la loi russe sur le suivi des migrants ?

Les thèmes les plus importants du développement de la Cyberday

Amélioration des centres de confiance Cyberday

Nous avons élargi la première mise en œuvre du Cyberday Trust Center pour vous donner plus de contrôle, de clarté et de confiance lorsque vous partagez votre position en matière de sécurité.

Avec les dernières mises à jour, vous pouvez maintenant :

  • Téléchargez vos propres documents, tels que des certifications, des rapports d'audit ou des déclarations de test, dans votre centre de confiance.
  • Suivez et gérez les demandes d'accès directement dans l'application Cyberday , ce qui vous permet de savoir qui demande quoi.
  • Personnalisez l'expérience des visiteurs en remplissant des informations de base pour présenter votre centre de confiance de manière efficace.

Grâce à ces améliorations, il est plus facile d'instaurer la confiance avec les partenaires et les clients, tout en gardant le contrôle de vos documents partagés.

Exportation mensuelle automatisée des données clés du SGSI

Vous pouvez désormais activer une exportation mensuelle automatisée de votre documentation ISMS clé à partir de Cyberday. Cette fonction est particulièrement utile si vous souhaitez conserver des sauvegardes hors ligne ou soutenir la planification de la continuité des activités grâce à des copies régulièrement stockées de vos données critiques.

Configurez-le facilement à partir de la section Paramètres en sélectionnant les listes de documentation et les rapports que vous souhaitez inclure. Une fois l'option activée, vous recevrez chaque mois un courriel contenant un lien qui vous permettra de télécharger votre paquet de données au début du mois - aucune démarche manuelle n'est nécessaire.

Développements à venir

‍Flux de développement récent dans l'application : Nous lançons un nouveau flux Développement récent sous l'onglet Communauté pour vous tenir au courant des dernières mises à jour. C'est l'endroit idéal pour découvrir rapidement les nouvelles fonctionnalités, les améliorations et les progrès réalisés en coulisses, là où vous travaillez.

Partage de rapports pour "toute personne ayant un lien" : Vous pourrez bientôt partager les rapports Cyberday de manière plus souple en autorisant l'accès à "toute personne ayant un lien". Il est ainsi plus facile de diffuser des informations clés à l'extérieur grâce à un lien partageable.

Vue condensée de la déclaration d'applicabilité dans les rapports de conformité : Nous ajoutons une vue condensée de la déclaration d'applicabilité (SoA) aux rapports de conformité, ce qui facilite l'obtention d'une vue d'ensemble rapide et ciblée des statuts de contrôle, idéale pour les audits et les examens par les parties prenantes.

Les autres thèmes à venir sont les mises à jour de l'évaluation des fournisseurs, le renouvellement des pages du cadre unique et les suggestions d'amélioration spécifiques au cadre.

Cadres récemment publiés et à venir

Nous élargissons continuellement notre soutien aux cadres critiques de cybersécurité et de conformité. Ce printemps, nous avons ajouté la couverture de la loi sur la cyber-résilience (CRA) et des législations locales NIS2 qui commencent à entrer en vigueur dans les États membres de l'UE. Pour l'avenir, nous nous préparons à lancer la prise en charge de normes clés telles que HIPAA, ISA/IEC 62443-2-1, et bien d'autres. Restez à l'écoute pour des mises à jour au fur et à mesure que ces cadres seront disponibles dans Cyberday.

Consultez les cadres disponibles et à venir dans l'application Cyberday ou sur le site web des cadres.

Rédigé par
Ronja Isaksson
30.5.2025
@
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Autres contenus similaires de Academy

Blogs

Qu'est-ce qu'un vCISO ? Comprendre le rôle du RSSI virtuel

Qu'est-ce qu'un vCISO, qu'est-ce qu'il fait, et pourquoi le modèle du CISO virtuel se développe rapidement parmi les entreprises et les consultants en cybersécurité.
12.6.2025

Qu'est-ce qu'un cadre modulaire de cybersécurité et pourquoi est-il essentiel pour les consultants ?

Les cadres modulaires de cybersécurité facilitent la gestion de la conformité et aident les consultants à évoluer plus rapidement, à remporter plus de contrats et à générer des revenus récurrents.
12.6.2025

Panne de l'application Cyberday le mardi 10/6/2025 : Explication et suivi

Ce message passe en revue les détails de l'incident récent qui a provoqué des interruptions de service lors du Cyberday du 10.6.2025, ainsi que les mesures d'atténuation précoces qui s'y rapportent.
11.6.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuBulletinLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité