News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives novembre 2011

Spam > Les spammeurs migrent vers les réseaux sociaux
"Les internautes sont actuellement victimes de spams provenant de comptes Facebook compromis. Les spammeurs sont passé en quelques années des réseaux zombie aux médias sociaux. Telle est la tendance qui ressort du rapport de menaces du mois d'octobre 2011, révélé par Cyberoam." (30.11.2011)

PKI > Proposition d'une méthode de renforcement du PKI
Augmenter la sécurité SSL / HTTPS. (30.11.2011)

Mots de passe > Les 25 pires mots de passe en 2011
123456, etc. (30.11.2011)

Gestion des logs > Surveiller le processus de surveillance des logs
S'assurer que le processus de surveillance des logs fonctionne comme désiré. (30.11.2011)

Smartphones > Android et les malwares
Rapport de McAfee. (30.11.2011)

Smartphones > Quand les collaborateurs accèdent aux données de l'entreprise via leur smartphones privés
Risques et mesures contre ces risques.
Un phone Facebook? (30.11.2011)

Cloud computing > Stockage des données dans le cloud
Les avantages et les dangers. (30.11.2011)

Gestion des accès > La gestion des accès des utilisateurs
Cela concerne les nouveaux comptes, la mise à jour de comptes et la désactivation de comptes des collaborateurs et des tiers pouvant accéder au système d'information de l'entreprise. (27.11.2011)

Surveillance > Le marché des outils de surveillance des personnes se portent bien
Le catalogue. (27.11.2011)

Sensibilisation > Clips vidéo pour sensibiliser les utilisateurs à la sécurité de l'information
De l'ENISA. (27.11.2011)

Audit du SI > Guide d’analyse des risques du SI - Support de travail pour les auditeurs de PME
"Le « Guide d'analyse des risques informatiques (PME) » établit par le Comité technique informatique de la Chambre fiduciaire suisse est disponible dès maintenant en français." (27.11.2011)

DLP > Un laptop volé contient plusieurs millions de données de patients
Gérer les risques de fuite d'information.
Résultats d'une analyse des technologies DLP. (27.11.2011)

Malware > Enlever les malwares de votre PC Windows
D'abord travailler en "Safe Mode", effacer les fichiers temporaires, etc. (27.11.2011)

Firewalls > L'efficacité des firewalls applicatifs
Résultats d'une analyse. (22.11.2011)

Cloud computing > Bonnes pratiques de sécurité du cloud
Conseils de Verizon. (22.11.2011)

SOA > Le modèle OSIMM version 2
Le "Open Group Service Integration Maturity Model". (22.11.2011)

Smartphones > Des antivirus gratuits pour Android ne sont vraiment pas efficaces
Résultats de test. (22.11.2011)

Audit > Les standards US d'appréciation des risques
Les objectifs de l'auditeur, ce qui inclut l'auditeur du SI.
Comment mieux surveiller les transactions afin de diminuer les risques de fraude. (22.11.2011)

Gestion des risques > Bonnes pratiques pour développer une entreprise conforme aux lois
Tout s'articule autour du concept ERM (gestion des risques de l'entreprise) dont un des objectifs est la gestion des risques de conformité. (22.11.2011)

Tracking > Le W3C veut développer un outil mettant en garde les internautes contre les cookies de tracking
Cela s'inscrit dans les technologies "Do Not Track". (22.11.2011)

Sécurité des réseaux > 66% des professionnels IT interviewés estiment que leurs réseaux est moins sûrs que l'année passée
Résultats d'un sondage.
Un ver dans mon réseau! Que faire? (20.11.2011)

Wi-Fi > Sécurité Wi-Fi
Diaporama. (20.11.2011)

SSL > 6 mythes de la sécurité SSL VPN
Par exemple, les certificats émis par les autorités de certification sont-ils vraiment sûrs? (20.11.2011)

BCM/BCP > La communication avec le prestataire DRP est essentielle en cas de désastre
Les 4 P. (20.11.2011)

Fureter > Les voyeurs de messages électroniques sont partout
Des e-voyeurs s'adonnent à la lecture des messages électroniques des autres. (20.11.2011)

Rapport > Bulletin d'actualité 2011-45 du CERTA
Outils d'injection SQL automatique, mise à jour Microsoft du mois de novembre et alerte, etc. (20.11.2011).

eSanté > Les données électroniques médicales ne sont pas suffisamment protégées
Par exemple, elles ne sont pas systématiquement chiffrées sur les bases de données. (20.11.2011).

Cloud computing > Informations d'authentification (credencial) facilement volées avec une recherche Google
Résultats d'une recherche qui suggère : "It is not a good idea to put sensitive data out in the cloud right now -- at least not until there are intrusion-detection systems that would let users see these types of searches on their cloud services."
Les avantages et les risques de stocker les documents de l'entreprise sur le Cloud.
Choisir un concept de gouvernance du SI pour gérer les risques du cloud. (20.11.2011).

Infrastructures critiques > SCADA > Les différents guides proposés par le CPNI
Comprendre les risques de l'entreprise, installer une architecture de sécurité, etc. (20.11.2011)

Alimentation électrique > Préparer une stratégie pour répondre à une panne de l'alimentation électrique
D'abord identifier et comprendre le système en place, effectuer une analyse d'impact, etc. (20.11.2011)

Espionnage informatique > EDF lourdement condamné
"Deux anciens responsables de la sécurité et EDF ont été lourdement condamnés par le tribunal correctionnel de Nanterre pour des faits d’espionnage informatique. Un jugement salué par Greenpeace." (20.11.2011)

Sécurité de l'information > Selon PWC, 4 bonnes pratiques améliorent vraiment la sécurité
"Price Waterhouse Cooper déplore la croissance de l'insécurité informatique sans que les bonnes pratiques soient appliquées." (16.11.2011)

Cyberattaques > Paroles de pirate : une attaque MITM décortiquée
"La communauté MOH (Mouvement Offensive Hacker) présente un tutoriel écrit par un de ses membres, Roy'S-Tr@que, expliquant étape par étape une attaque de type Man in The Middle. Il s'agit d'un exemple pour alerter les sociétés et les utilisateurs sur certains risques informatiques." (16.11.2011)

Patch management > Ne pas patcher immédiatement une faille de sécurité
Cela risque de détruire des preuves. (16.11.2011)

Organisation de la sécurité de l'information > Les 7 principales catégories métiers
Acquérir la sécurité, exploitation et maintenance, protection et défense, etc. (16.11.2011)

Hacking > Qui attaque mon frigidaire?
Qui se cachent derrière les différents types d'incident. (16.11.2011)

Publication > Domaine IT de l'EPFL
Flash informatique no 8 du 18.10.11. (16.11.2011)

Smartphone > Comment sécuriser la connexion Internet de son iPhone
Surtout si vous décidez de vous connecter à une borne Wi-Fi publique. (16.11.2011)

Fraude > La majorité des fraudes proviennent de l'intérieur
Résultats d'une étude.
Comment se protéger de la fraude en ligne et du vol d'identité. (16.11.2011)

Tracking > Comment l'Administration fixe le GPS à votre voiture
Démonstration. (16.11.2011)

Surveillance > Les agences fédérales réduisent, grâce à la surveillance en continu, les risques de cybersécurité
La surveillance en continu fournit au RSI un langage basé sur des métriques décrivant la performance de la sécurité. (16.11.2011)

Tablettes > Les entreprises devraient intégrer les tablettes des collaborateurs dans leur stratégie de sécurité
Et non pas les craindre. (16.11.2011)

Normes > Lignes directrices ISO/CEI pour renforcer la confiance dans les contrôles de sécurité de l'information
"ISO/CEI TR 27008:2011, Technologies de l'information – Techniques de sécurité – Lignes directrices pour les auditeurs des contrôles de sécurité de l'information, vise à renforcer la confiance dans les contrôles qui soutiennent les systèmes de management de la sécurité de l'information des organismes. Il propose un processus d'examen applicable à tous les rouages des organismes, notamment les processus opérationnels et l'environnement des systèmes d'information." (14.11.2011)

Protection des données > Un nouveau guide pratique à destination des avocats
"Dans le cadre d'une convention de partenariat conclue avec le Conseil National des Barreaux et en concertation avec ce dernier, la CNIL publie un guide pratique à destination des avocats. Ce guide apporte des réponses concrètes aux questions que les avocats peuvent se poser quant à l'application de la loi Informatique et Libertés, que ce soit en qualité de responsable de traitement ou de conseil auprès de leurs clients." (14.11.2011)

Gestion des incidents > Processus d'analyse des logs pour détecter les incidents
Exigences de base, déterminer ce qui est normal et ce qui ne l'est pas, etc. (14.11.2011)

POSI > Conseils pour faire accepter par la Direction d'une grande entreprise les projets de sécurité
Calculer les RIO, être aligné à la stratégie de l'entreprise, etc. (14.11.2011)

Cloud computing > Le cloud computing permet de gérer des cyber menaces sérieuses
Selon le directeur de la NSA. (14.11.2011)

Juridique > Les mouchards informatiques entrent en scène
"Le décret qui détermine quels sont les services qui peuvent être mandatés par un juge pour réaliser des écoutes informatiques est paru au Journal officiel." (14.11.2011)

Smartphones > Une importante faille de sécurité découverte dans les iPhone
"Un chercheur a réussi à prendre le contrôle d'un iPhone à distance grâce à une application pourtant autorisée par Apple. Cupertino a vu rouge et a supprimé son compte développeur." (14.11.2011)

Accès privilégiés > Gérer les comptes privilégiés
Débuter par inventorier les comptes privilégiés. (14.11.2011)

Menaces de sécurité > Sécurité, les nouvelles menaces à la porte des entreprises
"La multiplication des usages comme les terminaux personnels (smartphones et tablettes), les réseaux sociaux et les services cloud doit alerter les responsables informatiques, mais aussi les dirigeants d'entreprise sur la nécessité d'engager une nouvelle politique de sécurité pour contrer les menaces. Ces dernières se font de plus en plus persistantes et cachées. Derrière ces dangers, les organisations criminelles se professionnalisent et ont comme objectif de rentabiliser financièrement les données volées." (14.11.2011)

Smartphones > Dangers causés par les smartphones et autres mobiles qui se connectent au réseau de l'entreprise
Résultats d'un sondage. (14.11.2011)

Gestion des incidents > 5 compétences critiques
Collaboration, analyse des bases de données, forensic digital, analyse des malwares, comportement humai. (14.11.2011)

Wi-Fi > Comment vérouiller son réseau Wi-Fi
Changer ses mots de passe, changer son SSID, forcer le chiffrement WAP2, etc. (14.11.2011)

Smartphones > 6 conseils pour économiser la batterie de l'iPhone 4S
La cause est une vulnérabilité dans l'IOS 5. (10.11.2011)

Cybercriminalité > 2 pays montrés du doigt
Autre article à ce sujet. (10.11.2011)

Réseaux sociaux > Facebook : des cookies actifs même après la fermeture d'un compte ?
"Selon l'agence de protection de données de Hambourg, les cookies qui sont conservés après la fermeture d'un compte Facebook pourraient service d'outil de profilage."
L'Allemagne fait pression sur Facebook au sujet du traçage. (10.11.2011)

Windows > Conseils pour migrer de WIndows XP vers Windows 7
(10.11.2011)

Tracking > Les outils utilisateurs pour limiter les ad tracking ne sont pas d'une utilisation aisée
Résultats d'une étude d'une université réputée. (10.11.2011)

Navigateurs > Naviguer de manière sécurisée dans l'entreprise
10 bons conseils. (10.11.2011)

Gestion des risques > Comment disposer d'une vraie gestion des risques
Interview d'un responsable de la sécurité de l'information d'une entreprise connue.
Résultats d'une étude sur les risques. (10.11.2011)

Rapports > [UPDATE] Maliciel en circulation qui bloque le PC et exige un payement
Mise en garde de MELANI.
Bulletin d'actualité 2011-44 du CERTA. (10.11.2011)

Infrastructures critiques > Sondage de Symantec sur la protection des infrastructures critiques
Les prestataires sont moins conscients et moins engagés dans le programme gouvernemental. (6.11.2011)

Cloud computing > Les clouds privés ne sont pas plus sûrs que les clouds publics
Selon un expert du NIST.
Projet de guide du NIST de mise en place du cloud. (6.11.2011)

DoS > Détecter et mitiger une attaque DDoS contre le serveur DNS
Explications et mesures préventives. (6.11.2011)

Libération des médias > Plus d'un tiers des grandes entreprises UK utilisent des méthodes IT inadéquates de mise au rebut des PC
Elles n'éliminent pas les données sur les PC mis au rebut. (6.11.2011)

Publications > ISACA volume 22 du 26.11.2011
SC Magazine US de novembre 2011. (6.11.2011)

Protection des données > La CNIL rend publique ses observations sur la proposition de loi relative à l’identité
Piges immobilières : nouvelle amende pour collecte déloyale.
Lancement des premiers labels CNIL : procédures d'audit de traitements et formations. (6.11.2011)

BCM/BCP > Etablir un programme DRP
Dans ce contexte, explication des standards ISO 27031 et ITIL ITSCM. (6.11.2011)

ISMS/GSSI > Les 12 services de base de la sécurité de l'information
Regroupés en 2 domaines : 1) Gouvernance, risques et conformité; 2) Opérationnel. (6.11.2011)

Virtualisation > 10 conseils pour améliorer son environnement virtuel
Mettre à jour les systèmes virtuels hôtes, mettre à jour les micro logiciels, etc. (2.11.2011)

Sécurité de l'information > 6 erreurs importantes
Mauvaise configuration des serveurs SSL, comptes rarement contrôlés ayant des super privilèges, etc. (2.11.2011)

DSI/CIO/CFO > Les 10 principales priorités du CIO
Consolidation / optimisation, contrôle des budgets et des coûts, gouvernance, etc. (2.11.2011)

Publication > Journal of Accountancy de novembre 2011
Dont le fraude-QI. (2.11.2011)

Contrôles de sécurité > Contrôle critique no 17 - Tests de pénétration
Contrôle critique no 18 - Capacités de répondre aux incidents
Contrôle critique no 19 - Capacité de restaurer les données. (2.11.2011)

Rapports > Bulletin d'actualité 2011-43 du CERTA
Autre rapport:
Les entreprises plus que jamais victimes d’opérations de cyberespionnage – treizième rapport semestriel de MELANI
"La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a constaté au premier semestre 2011 une recrudescence sur le plan mondial de l’espionnage informatique au dépens de toutes sortes d’entreprises. Les cyberattaques lancées pour accéder à des données sensibles sont également en augmentation. En Suisse, le nombre de cas de skimming est grimpé en flèche. Ces thèmes et d’autres sont au cœur du rapport semestriel publié aujourd’hui." (2.11.2011)

SSL > Un simple outil DoS peut désactiver un serveur d'encryption
Pose la question de la fiabilité des services SSL. (2.11.2011)

--------------------------------------------------------------------------------
Copyright © 2011 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI