🔔 Dernier décret cyber du gouvernement Biden

Cyber Trust Mark : dernier décret cyber du gouvernement Biden

Le 7 janvier 2025, la Maison-Blanche a annoncé le lancement du "U.S. Cyber Trust Mark", un programme d'étiquetage volontaire destiné aux appareils connectés sans fil. Administré par la Commission fédérale des communications (FCC), ce label vise à aider les consommateurs américains à identifier facilement les produits conformes aux normes de cybersécurité établies des appareils tels que les moniteurs pour bébés, les caméras de sécurité domestiques et les assistants vocaux. Les entreprises pourront soumettre leurs produits pour évaluation afin d'obtenir cette certification.

Pourquoi c’est important ?

Bien que moins précis que son homologue européen, le décret ressemble très fortement au Cyber Resilience Act de l’Union Européenne. Il devrait permettre de transformer les engagements en cybersécurité comme des avantages concurrentiels. Cependant contrairement à son homologue européen, le texte est basé sur le volontariat des entreprises au lieu d’être forcé. De plus les critères ne sont pas communiqués actuellement. Il faudra s’assurer qu’ils sont évolutif à la menace cyber.

Une PME attaque en justice son prestataire informatique

En 2021, une PME bretonne a été victime d'une attaque par rançongiciel qui a paralysé son activité. Estimant que son prestataire informatique avait manqué à ses obligations de sécurité, l'entreprise l'a poursuivi en justice. Le tribunal a reconnu la responsabilité du prestataire, soulignant son manquement à l'obligation de conseil et de mise en place de mesures de protection adéquates. Cette décision rappelle l'importance pour les prestataires informatiques de garantir la sécurité des systèmes de leurs clients et de les informer des risques potentiels.

Pourquoi c’est important ?

Les TPME et ETI sont souvent dépendantes de leur prestataire pour mettre en place leur IT mais également de le sécurisé. L’échec du prestataire est flagrante, et nous la constatons régulièrement lors de nos audits. Cette condamnation fera justice prudence et forcera les sociétés de service MSP à mettre en oeuvre un minimum de sécurité. Nous vous recommandons vivement de faire un Diag Cyber de la BPI pour évaluer votre maturité cyber. Contactez nous à contact@steef.fr pour en savoir plus.

Projet Quarantine de Python

En décembre 2024, le Python Package Index (PyPI) a introduit une nouvelle fonctionnalité appelée "Project Quarantine". Cette mesure permet aux administrateurs de PyPI de marquer un projet comme potentiellement dangereux, le rendant ainsi non installable par les utilisateurs afin de prévenir d'éventuels dommages. L'objectif est de réduire le temps pendant lequel un projet malveillant reste accessible, diminuant ainsi le risque pour les utilisateurs et décourageant les acteurs malveillants d'utiliser PyPI comme vecteur de distribution.

Pourquoi c’est important ?

Les attaques de supply chain ou d’apporvisionnement commencent par la gestion des bibliothèques externes. En utilisant une bibliothèque, du code étranger est introduit dans le logiciel. Il peut contenir des vulnérabilités ou des portes dérobées. Ces attaques sont très courantes sur les logiciels qui utilisent Python ou Javascript (Node, React, VUE…). La seule solution jusqu’à présent était de faire un scan du code avant de le charger et de vérifier son intégrité au moment du chargement.

En proposant une solution d’identification des paquets malveillants, les équipes de Pypi vont pouvoir réduire la chance d’utilisation d’un paquet malveillant. Il faut que cette initiative soit soutenue et puisse être incluse dans les autres gestionnaires de paquet (python ou d’autres langages).