News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives septembre 2012

Cloud computing > 5 problèmes supplémentaires de sécurité du cloud
Les clouds privés ne sont pas intrinsèquement sécurisés, les entreprises manquent de visibilité de leur sécurité et de prise de conscience des risques, etc. (29.9.2012)

Equipements mobiles > 5 conseils de sécurité des équipements mobiles proposés par le département de la défense US
Se focaliser sur le logiciel, encourager d'interopérabilité, etc. (29.9.2012)

Rapport > Bulletin d'actualité CERTA-2012-ACT-039
Une porte dérobée dans le code source de phpMyAdmin, correctifs de sécurité et poupées russes, etc. (29.9.2012)

Protection des données > Télévision connectée : quels enjeux pour la protection de la vie privée ?
"La télévision connectée offre de nouveaux services aux téléspectateurs, comme la vidéo à la demande (VOD), la télévision de rattrapage, ou encore l'accès, depuis un téléviseur, à des plateformes de vidéos en ligne. Elle permet également d’interagir en direct avec les réseaux sociaux. On parle alors de "télévision sociale". Mais la télévision connectée offre également de nouvelles possibilités de collecter des informations précises sur le comportement et les habitudes des téléspectateurs. Elle constitue à ce titre un enjeu pour la vie privée." (29.9.2012)

SDLC > 8 principes de tests unitaires plus efficaces
Connaître ce que l'on va tester, les tests doivent être consistants, etc. (29.9.2012)

Smartphones > Protéger ses données sur iOS6
D'abord utiliser un mot de passe fort. (29.9.2012)

DLP > La majorité des pertes ou vols de données sont dues aux collaborateurs
Résultats d'une enquête. (29.9.2012)

Se protéger sur le net > Etes-vous une proie facile pour les hackers?
Conseils pour se protéger facilement. (29.9.2012)

Green IT > Datacenter : jusqu'à 90% de l'énergie développée est gaspillée
"Une enquête du New York Times dénonce les pratiques anti-écologiques des datacenters. Selon le journal, les fermes de serveurs, qui consomment l'équivalent de la puissance de 30 centrales nucléaires, gaspilleraient près de 90% de l'énergie développée." (29.9.2012)

Protection des données > Faille sur Facebook : la CNIL enquête
"La presse s'est fait l'écho lundi 24 septembre d'un dysfonctionnement ayant entraîné la diffusion de messages antérieurs à 2009 sur les comptes Facebook des utilisateurs français. La CNIL recevra dès aujourd'hui les responsables de Facebook France afin de clarifier les conditions et la portée de cette mise en ligne." (27.9.2012)

Protection des données > La CNIL poursuit ses investigations sur Facebook
"La CNIL a reçu dès aujourd'hui longuement les responsables de Facebook France afin de clarifier les conditions de diffusion de messages antérieurs à 2009 sur les comptes Facebook des utilisateurs français, et la portée de cette mise en ligne. Des contacts avec des représentants de Facebook à l'étranger ont aussi été entrepris."
(27.9.2012)

Réseaux sociaux > Facebook suit et enregistre toutes vos activités
Egalement l'historique de vos recherches. La première chose à faire consiste à configurer les contrôles de sécurité de Facebook.
Facebook suscite des craintes avec un suivi des bandeaux publicitaires. (27.9.2012)

Windows > MS prend un grand risque avec Windows 8
Selon Gartner. (27.9.2012)

Cybercriminalité > Augmentation des menaces de cybercriminalité financière
Selon le département fédéral US de justice. (27.9.2012)

NFC > NFC : une app Android utilise une faille pour utiliser gratuitement les transports urbains américains
"Selon les chercheurs qui ont développé l'application pour Android, les systèmes de validation par cartes sans contact des transports locaux de plusieurs villes américaines pourraient être piratés." (27.9.2012)

Cyberattaques > "IBM X-Force® 2012 Mid Year Trend and Risk Report"
Rapport indiquant une augmentation des failles de sécurité en 2012. (27.9.2012)

Cloud computing > Les applications sur le cloud seraient-elles plus sécurisées qu'en interne?
Les résultats d'une étude sembleraient l'indiquer. (27.9.2012)

BYOD > Les risques du BYOD
Et les mesures de contrôle. (23.9.2012)

iOS 6 > Les tests de la rédaction du journal Le Soir
Le remplacement critiqué de Google Maps.
Les nouvelles fonctionnalités de gestion des équipements mobiles.
Les raisons de passer immédiatement à la version iOS 6. (23.9.2012)

Risques humains > Gestion holistique des risques des collaborateurs
Est-ce que les entreprises prennent au sérieux les risques provenant de leurs collaborateurs? (23.9.2012)

Equipements mobiles > La 10 plus importants problèmes de sécurité des équipements mobiles
Et comment les contrôler : propositions du GAO. (23.9.2012)

Cloud computing > Le cloud va-t-il remplacer le SAN?
Pas pour l'instant, mais le cloud hybride permettrait de bénéficier des avantages du cloud et du SAN. (23.9.2012)

Réseaux sociaux > Les réseaux sociaux menacent la sécurité de l'entreprise
Pour mitiger les risques, les entreprises doivent d'abord apprendre à leurs collaborateurs la manière d'agir des cybercriminels. (23.9.2012)

Sécurité des réseaux > Séparer les données par niveau de classification
Le concept COI (Community of interest). (23.9.2012)

Normes du NIST > IR 7874 Métriques d'évaluation des systèmes de contrôles d'accès
NIST SP 800-30 R1, guide d'appréciation des risques. (23.9.2012)

Rapport > Bulletin d'actualité CERTA-2012-ACT-038
Vulnérabilité critique dans Internet Explorer, navigateurs Internet : prévention des attaques 0day, etc. (23.9.2012)

Cloud computing > Création du chapitre suisse du Cloud Security Alliance (CSA)
Le chapitre suisse du CSA est en phase de création et compte aujourd'hui plus de 20 personnes. Les personnes de langue française sont les bienvenus.
Le CSA poursuit les objectifs suivants : "To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing." (23.9.2012)

Smartphones > Bientôt les smartphones seront massivement attaqués
Pourquoi ne le sont-ils pas encore? (20.9.2012)

Big Data > Hadoop, le cloud et le Big Data
Explications d'Hadoop, ses avantages, Hadoop dans le cloud, etc. (20.9.2012)

Datacenter > Le cloud, les ordinateurs mobiles et la virtualisation augmentent la complexité des datacentres
Enquête de Symantec.
L'identité est le nouveau périmètre de sécurité du data centre fragmenté. (20.9.2012)

Sécurité des équipements mobiles > Etude du GAO sur la situation aux US
Et recommandations. (20.9.2012)

BYOD > Les apps mobiles gratuites mettent en danger la stratégie BYOD
Ces apps peuvent présenter des risques de sécurité et/ou de protection des données. (20.9.2012)

Cyberattaques > Les attaques opportunistes
Publication de Verizon. (20.9.2012)

Rapport > Bulletin d'actualité CERTA-2012-ACT-037
Windows 8, Internet Explorer 10 et Adobe Flash Player, applications sur ordiphones et données personnelles, etc. (20.9.2012)

Cybersécurité > Cybersécurité dans l'aviation civile
Rapport du CPNI (Centre nationale de protection de l'infrastructure critique UK). (20.9.2012)

BCM / DRP > Les métriques de qualité du BCM / DRP
Leurs objectifs et exemples de tableaux de bord. (20.9.2012)

Cloud computing > Ce que le cloud privé n'est pas
Selon Gartner. (20.9.2012)

Bases de données > 10 erreurs faites par les développeurs augmentant les risques des bases de données
Validation insuffisante des données inputs, etc. (18.9.2012)

Evaluation des risques > 5 facteurs d'appréciation des risques souvent omis
Risques inhérents vs risques résiduels, etc. (18.9.2012)

Malware > Des malware installés dans la chaîne de production de PC
Résultats d'une étude. (18.9.2012)

BCM/DRP > Le plan de continuité se décide au niveau du Conseil d'administration
Pour certains domaines, la disponibilité des informations est vitale, par exemple pour le domaine de la santé. (18.9.2012)

MDM > Selon un expert, le Mobile device management (MDM) n'est pas lié à la sécurité
Et propose 10 exigences pour une sécurité efficace des équipements mobiles / BYOD. (18.9.2012)

Cloud computing > Les risques du cloud computing évoluent constamment
Les 10 principes et le concept d'appréciation des risques proposés par l'ISACA. (18.9.2012)

Protection des données > Des réseaux sociaux plus protecteurs de la vie privée…
"Les réseaux sociaux peuvent être de formidables outils de communication à disposition des internautes. Toutefois, ils présentent également des risques d'atteinte à la vie privée si les données publiées ne sont pas maîtrisées ou si leurs éditeurs ne mettent pas en œuvre toutes les mesures nécessaires pour protéger les données de leurs membres. Plusieurs réseaux sociaux ont mis en place des dispositifs plus protecteurs de la vie privée de leurs membres. La CNIL invite l'ensemble des acteurs à s'inspirer de ces bonnes pratiques et propose de les accompagner vers une meilleure conformité." (18.9.2012)

Juridique > Une étude révèle la surveillance massive des réseaux BitTorrent
"Une étude menée par des chercheurs de l'université de Birmingham révèle le fort taux de surveillance des réseaux BitTorrent. Entre dissuasion, collecte de données mais aussi observation du marché, la surveillance des pirates se révèlent prolifique pour plus d'une entreprise..." (18.9.2012)

Biométrie > Le FBI investit 1 milliard de dollars dans un projet de reconnaissance faciale
"Dans le cadre d'une mise à jour de la base de données nationale d'empreintes digitales, le FBI a commencé à déployer la technologie de reconnaissance faciale pour identifier les criminels. Le programme d'identification de nouvelle génération du FBI comprendra une base de données nationale des visages des criminels ainsi que leurs données biométriques. Une nouvelle qui inquiète les défenseurs de la vie privée." (18.9.2012)

Cloud computing > Les sept défis importants pour installer le cloud (à l'administration fédérale US)
Répondre aux exigences de sécurité de l'administration, obtenir un guide expliquant la démarche à suivre, etc. (12.9.2012)

Protection des données > EURODAC: l’érosion progressive des droits fondamentaux se poursuit
"Aujourd'hui, le Contrôleur européen de la protection des données (CEPD) a adopté son avis sur la proposition modifiée de la Commission d’un règlement du Parlement européen et du Conseil relatif à la création du système 'EURODAC' pour la comparaison des empreintes digitale des demandeurs d'asile." (12.9.2012)

Cloud > Rôle essentiel du CISO pour transiter vers un environnement cloud
Pour être efficace, le CISO doit faire partie du business. (12.9.2012)

Publication > Département IT de l'EPFL > Flash informatique
FI No 6 du 14 septembre 2012. (12.9.2012)

Réseaux sociaux > Sécuriser les réseaux sociaux
Ne faites jamais confiance à un étranger. Les différents moyens pour obtenir les mots de passe. (12.9.2012)

BCM/DRP > 7 étapes pour restaurer les applications
Apprécier les impacts sur les clients et les opérations, informer immédiatement les clients et les autres utilisateurs concernés, constituer un "Tiger Team", etc. (12.9.2012)

BYOD > Mitiger les risques du BYOD à l'aide de la gestion des applications mobiles
Les points à considérer au départ et les avantages du MAM (Mobile applications management) comparés au MDM (Mobile device management) pour mitiger les risques du BYOD. (12.9.2012)

Libération des médias > Projet de publication SP 800-88 R1 du NIST
Guide de recyclage sécurisé des médias. (12.9.2012)

Rapport > Bulletin d'actualité 2012-ACT-036 du CERTA
Gestion des mises à jour des smartphones et tablettes numériques et désactivation des greffons inutiles dans les navigateurs. (10.9.2012)

Cloud computing > Comment sélectionner un prestataire sûr de services cloud
Le niveau de sécurité et le type de contrôles dépendront des niveaux de criticité / sensibilité des services transférés sur le cloud.
Autre article à ce sujet contenant un lien vers les contrôles de sécurité proposés par le NSTAC. (10.9.2012)

Smartphones > Pourquoi les smartphones doivent être plus protégés que les autres équipements mobiles
Résultats d'une étude. (10.9.2012)

Normes > CobiT 5 simplifie la gouvernance et la gestion de l'informatique de l'entreprise
Les documents CobiT disponibles et prévus. (10.9.2012)

Cloud computing > Répondre aux exigences PCI DSS lorsqu'on utilise un prestataire de services cloud
L'avènement des équipements mobiles nécessite le renforcement, voire de nouveaux contrôles pour répondre à ces exigences. (10.9.2012)

Wi-Fi > Plus du quart des réseaux Wi-Fi de Londres sont mal sécurisés
Résultats d'un test. (10.9.2012)

Antivirus > Présentation de 4 outils de sécurité protégeant tous les équipements
McAfee, Symantec, Trend Micro et Webroot. (10.9.2012)

Apps > La FTC publie un guide de développement d'apps pour les équipements mobiles
Parmi les principales recommandations : publicité non mensongère, protéger la sphère privée des enfants, consentement nécessaire pour récolter des données sensibles. (7.9.2012)

Cybersécurité > Guide de cybersécurité pour les entreprise, du gouvernement UK
Article à ce sujet.
Article critique à ce sujet. (7.9.2012)

Equipements mobiles > Gestion et protection des données sur les équipements mobiles
Plus de la moitié des utilisateurs d'équipements mobiles désinstallent ou ne déchargent pas des apps présentant des risques de protection de leurs informations.
Article à ce sujet. (7.9.2012)

Vulnérabilités > La sécurité des sites Internet du gouvernement est à revoir
"Plusieurs sites du gouvernement viennent de colmater une énorme faille de sécurité, pourtant connue depuis… avril 2010." (7.9.2012)

POSI > Comment l'intégration de la sécurité physique avec la sécurité de l'information mitigent les risques
Selon une étude, 10% pour incidents de données impliquaient également une faille de sécurité physique. (7.9.2012)

BYOD > Installer BYOD de manière sûre
10 conseils. (7.9.2012)

Libération de médias > Comment effacer de manière sécurisée le disque dur
Outils disponibles et bonnes pratiques. (7.9.2012)

Rapports > Rapport de McAfee sur les menaces (2e trimestre 2012)
Rapport 2012 de Symantec sur le cybercrime.
Article 1 et article 2 à ce sujet. (7.9.2012)

IDS / IPS > Démontrer la valeur du programme et des analystes IDS
Comment démontrer au management la valeur ajoutée des investissements? Il n'y a pas seulement les métriques. (5.9.2012)

Big Data > Processus en 4 étapes pour analyser les données
Outils, méthodologie, compétences, présentation compréhensible des résultats. (5.9.2012)

Bluetooth > Sécurité des systèmes et des équipements Bluetooth
Norme SP 800-121 r1 revue du NIST. (5.9.2012)

Dossier patient > Encore des critiques sur le dossier médical personnel
"Un rapport en cours de la Cour des Comptes sert à attaquer le dossier médical personnel. L'ASIP Santé s'insurge." (5.9.2012)

Vol d'identité > Facteurs pouvant indiquer le vol d'identité
Erreurs dans le relevé bancaire ou de carte de crédit, courriel informant une erreur dans le compte bancaire, impossibilité d'accéder au compte de messagerie, etc. (5.9.2012)

Gestion des changements > Un objectif très important du processus de gestion des changements :
"Minimiser le risque et les interruptions causés par la gestion des changements qui est un processus. Lequel se divise en deux sous-processus : la gestion des changements planifiés et la gestion des changements urgents." (5.9.2012)

Stratégie de sécurité de l'information > Définir la stratégie idéale de sécurité
Valider les processus de sécurité existants, identifier et créer les processus manquants, identifier la technologie adéquate et ne pas oublier de former et sensibiliser. (5.9.2012)

Cyberattaques > L'évolution des mesures de contrôle de votre architecture
Le whitelisting applicatif et la gestion des signatures. (5.9.2012)

IAM > Les risques de réaliser l'IAM par une approche favorisant la technique au détriment de la gouvernance
Trop souvent l'on pense que la technique va tout régler.
Comment mettre en place une saine gouvernance. (5.9.2012)

Publication > @ISACA volume 18
Conseils pour mitiger les risques d'attaques intentionnelles, etc. (3.9.2012)

Big Data > Le CSA, Fujitsu, Ebay et Verizon créent un groupe de travail de sécurité et de protection des données Big Data
Parmi les 6 thèmes à traiter : chiffrement, infrastructure cloud, politique et gouvernance, etc. (3.9.2012)

DLP > 10 mesures DLP
Auditer les accès aux données, inventorier les permissions d'accès aux données, etc. (3.9.2012)

BYOD > 5 conseils pour sécuriser la place de travail BYOD
Protéger les équipements par mot de passe, ne jamais stocker localement les informations de l'entreprise, etc. (3.9.2012)

DoS > Comment les cybercriminels utilisent des outils DDoS pour attaquer
Et comment se protéger. (3.9.2012)

Vol d'identité > Comment les hautes écoles peuvent se protéger contre les cybermenaces
Et comment les étudiants peuvent protéger leurs ID. (3.9.2012)

Vulnérabilités Java > Bulletin d'actualité CERTA-2012-ACT-035
Vulnérabilités critiques dans Java corrigées par Oracle.
Article de Forbes et CNET à ce sujet.
Information du SANS. (3.9.2012)

--------------------------------------------------------------------------------
Copyright © 2012 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI