News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives mai 2015

Réseaux sociaux > Des associations entrent en guerre contre le projet Internet.org de Facebook
"Une lettre ouverte adressée à Mark Zuckerberg dénonce l’emprise du réseau social sur les populations en voie de développement qui ne disposent que d’Internet.org pour se connecter. Une menace pour la liberté d'expression et la neutralité du net." (28.5.2015)

Industrie 4.0 > Explications et que doivent-faire les DSI
Du Gartner. (28.5.2015)

Cloud > Standard ISO 27018:2014
Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PI.
Une entreprise qui a adopté ce standard. (28.5.2015)

Rapports > Bulletin d'actualité CERTFR-2015-ACT-020
Et bulletin d'actualité CERTFR-2015-ACT-021. (28.5.2015)

Juridique > Les lois devraient-elles permettre aux entreprises à contre-attaquer les hackers?
Prise de position dans le WSJ. (28.5.2015)

Cyberattaques > Stopper les hackers
La chaîne "Cyber Kill". (28.5.2015)

Internet des objets > Sécuriser l'environnement des équipements IoT
Protéger vos investissements IoT.
Concept de confiance pour gérer les risques IoT. (28.5.2015)

Authentification > Vue d'ensemble des spécifications FiDo Alliance
Les expériences utilisateurs.
Programme de test de certification pour les spécifications 1.0. (28.5.2015)

Internet des objets > Rapport de la FTC sur l'IoT
Elle recommande aux entreprises d'adopter les bonnes pratiques pour gérer les risques de sécurité et de protection des données des consommateurs. (28.5.2015)

Protection des données > Le 13 mai, la Commission vie privée belge a adopté une première recommandation de principe relative à Facebook
"La Commission vie privée a établi que Facebook « traitait » les données à caractère personnel tant de ses membres, utilisateurs, que de tout internaute qui entre en contact avec des produits et des services de Facebook. Facebook traite les données en secret : aucun consentement n’est demandé pour le traçage et l’utilisation de "cookies. Aucun renseignement ciblé n'est fourni. Les informations disponibles sont vagues et autorisent en fait presque tout."
Article à ce sujet. (28.5.2015)

Cyberattaques > Celui qui développe des outils de cyberattaques de destruction des réseaux
Mise en garde du gouvernement US. (22.05.2015).

Sécurité > La pyramide SOC des analystes en sécurité
Du SANS. (22.05.2015).

Cloud computing > Guide de conformité dans le cloud
Le contrôle des accès est vital. (22.05.2015).

Protection des données > Internet Sweep day : les sites pour enfants sont-ils respectueux de la vie privée ?
"Le 12 mai 2015, la CNIL et 28 autorités dans le monde mèneront, une opération conjointe d’audit en ligne pour examiner si les sites web destinés aux enfants respectent la vie privée." (22.05.2015).

Cyberattaques > Graphique de l'attaque DBIR
De Verizon. (22.05.2015).

Fichiers > Comment traiter efficacement les fichiers inconnus
Mesures proposées. (22.05.2015).

Social engineering > Se défendre contre le social engineering en réduisant les élément humains
Défenses stratégiques et techniques. (22.05.2015).

Cyberattaques > Se préparer à répondre aux cyberattaques
Guide du Département de la Justice US. (22.05.2015).

Protection des données > Statistiques ethniques : quel cadre légal ?
"Le fait de constituer des fichiers faisant apparaître, directement ou indirectement, l’appartenance religieuse ou l’origine "ethnique ou raciale" vraie ou supposée des personnes est en principe interdit par la loi." (22.05.2015).

Internet des objets > L'identité est vitale pour relever les défis de sécurité de l'IoT
L'IoT ne va pas nécessairement introduire de nouveaux cyber-risques, mais augmenter les risques actuels.
L'industrie IoT doit faire plus pour sécuriser les données.
Les défis de la révolution IoT. (22.05.2015).

Sécurité de l'information > Au risque de devenir parano
"Black hat contre white hat … Contre les démons du cyberespace, des anges sont là pour nous défendre.  Nous ne plongeons pas dans un roman de Dan Brown mais dans un article de Serge Abiteboul et Marie Jung. Ils ont rencontré, à la Pépinière 27, Erwan Keraudy, PDG de Cybelangel, une startup dans le domaine de la sécurité informatique." (15.5.2015)

Alerte > Cheval de Troie bancaire „Dyre“: propagation massive
"La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a déjà publié une alerte concernant le cheval de Troie bancaire „Dyre" en février 2015. Au cours des dernières semaines, ce sont quotidiennement des centaines de nouvelles infections qui sont constatées. Ce ne sont désormais plus uniquement les PME qui sont ciblées, mais de plus en plus également aussi les utilisateurs individuels." (15.5.2015)

Effacement des données > 5 applications pour effacer des données de façon sécurisée
"Avant d'envoyer un PC obsolète ou un vieux disque dur au recyclage, mieux vaut s'assurer que les données qui ont été stockées dessus sont vraiment et correctement effacées. Voici cinq logiciels spécialisés dans l'effacement définitif." (15.5.2015)

DLP > La valeur et le futur des outils DLP
Débat d'experts. (15.5.2015)

Cartes de crédit > Facile d'acheter en ligne des numéros de cartes de crédit volées
Article de McAfee. (15.5.2015)

Internet des objets > L'IoT pourrait causer plus de dommages de sécurité que le BYOD
Les politiques de sécurité devraient être adaptées aux risques IoT, par exemple en incluant les spécifications de sécurité IoT publiées par l'OWASP. (15.5.2015)

Cryptographie > Les laboratoires de l’ANSSI publient une nouvelle cryptanalyse du format de messages OpenPGP
"Des précautions sont nécessaires lorsque des bibliothèques cryptographiques basées sur ce format sont employées." (15.5.2015)

ERP / PGI > Trois moyens permettant à des attaquants de prendre possession de votre SAP
"The first is using pivoting between SAP systems to steal customer information, including credit card information. The second is customer and supplier portal attacks, where the attackers create backdoor users in the SAP J2EE User Management engine. And the third is direct attacks through SAP proprietary protocols" (15.5.2015)

eSanté > Sémantique et métadonnées
"La « sémantique », ou « étude de la signification », analyse la signification des signes. La communication en continu entre des systèmes hétérogènes n'est possible que si la signification d'une information est claire." (15.5.2015)

Rapports > Bulletin d'actualité CERTFR-2015-ACT-018
et bulletin d'actualité CERTFR-2015-ACT-019. (15.5.2015)

Protection des données > Données concernant des particuliers traitées par Moneyhouse – Le PFPDT porte le cas devant le Tribunal administratif fédéral
"Le PFPDT a conclu son troisième examen de l’agence de renseignement Moneyhouse par une recommandation dans laquelle il demande notamment des améliorations portant sur le traitement des profils de personnalité, l’information des personnes concernées et l’exactitude des données." (15.5.2015)

Sécurité end-to-end > Sécuriser les communications end-to-end
Alerte de l'US-CERT. (15.5.2015)

Infrastructure > 5 applications pour faciliter l'inventaire d'un parc de PC
"Tout répertorier afin de pouvoir mieux gérer, voilà ce que les techniciens et responsables informatiques qui gèrent un parc de PC aimeraient pouvoir faire facilement. Les 5 applications présentées ici seront une aide précieuse pour la collecte des informations." (15.5.2015)

Professionnels en sécurité IT > Big Data et le manque d'experts en sécurité IT
Très difficile à trouver un analyse en sécurité ayant des expériences de recherche de données pour combattre les menaces actuelles. (10.5.2015)

Cyberattaques > L'attaque de Tesla a débuté par un appel téléphonique
Explications. (10.5.2015)

Analytics > Le Cloud analytics qui se concentre sur la sécurité va favoriser la croissance local de l'intelligence sur les menaces
Splunk. (10.5.2015)

POSI > Les entreprises qui considèrent la sécurité comme prioritaire
Sont celles qui réussissent. (10.5.2015)

Rapport > Dans son 20e rapport semestriel, MELANI passe en revue ses dix premières années et les menaces actuelles du cyberespace
"La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) fête son dixième anniversaire. A cette occasion, le 20e rapport semestriel ne se concentre pas uniquement sur les principaux événements du deuxième semestre 2014, qui a été marqué en particulier par des chantages et des attaques contre des systèmes mal protégés. Paru aujourd’hui, le rapport examine également l’évolution de la cybercriminalité ces dix dernières années." (10.5.2015)

Protection des données > Explications relatives aux contrôles de sécurité (employés du secteur privé)
"Les entreprises ont intérêt à ce qu’aucun de leurs employés ne représente un danger pour la sécurité." (10.5.2015)

Tiers > Prendre conscience des risques des tiers / des partenaires
Proposition de contrôles à installer. (10.5.2015)

Malware > Document Word malicieux à l'intérieur d'un document PDF
Article du SANS. (10.5.2015)

Internet des objets > Sécurité essentielle pour l'IoT et les équipements médicaux connectés
Rapport de McAfee. (10.5.2015)

Sécurité de l'information > Quel est votre niveau de maturité de sécurité de l'information?
Entre réactif (j'attends!) et proactif (je me prépare!). (10.5.2015)

Forensic > Responsabilités dans le processus de forensic digital
Trois conseils pour les entreprises. (10.5.2015)

Formation > Conférence IPv6 2015
Zurich, jeudi 18 Juin 2015, 9 h à 17 h. (10.5.2015)

Protection des données > Savez-vous où vos données se trouvent?
En cas de perte, arriverez-vous à les récupérer? (10.5.2015)

Métriques > OMB publie des tableaux de bord de métriques
Pour améliorer les performances et la sécurité des systèmes d'information des administrations US. (3.5.2015)

DLP > Ne pas s'appuyer sur les personnes pour prévenir le vol / perte de données
La meilleure défense contre le vol / perte de données comprend trois couches de protection. (3.5.2015)

Internet des objets > Comment l'IoT remodèle le futur de la sécurité
TOUT (et n'importe quoi?) sera connecté! Propositions de mesures de sécurité.
A la fin, je me pose la question si l'impact de l'IoT ne va pas obliger les entreprises à revoir entièrement leur stratégie IT, surtout les PME, pour gérer cela. (3.5.2015)

BCM / DRP > Résilience en tant que Mindset BCM
Approche stratégique de la continuité de l'entreprise. (3.5.2015)

Cloud computing > (ISC)2 and CSA annoncent une nouvelle certification de sécurité du cloud
Article à ce sujet. (3.5.2015)

Cybersécurité > Principaux défis relevés par le GAO
Mettre en place des programmes de cybersécurité basés sur les risques, etc. (3.5.2015)

Juridique > La réforme de l'UE de protection des données et le Big Data
"The EU data protection reform promises to be an enabler for Big Data services in Europe by providing a single, strong, and comprehensive set of data protection rules for the EU that will boost growth and innovation by enhancing legal certainty and strengthening trust from consumers."   (3.5.2015)

DLP > Le pire cauchemar des RSSI
Une fuite ou perte de données. (3.5.2015)

Cyberattaques > Connaître son ennemi
Pourquoi est-ce important de penser comme un cyber attaquant. (3.5.2015)

Internet des objets > Les faiblesses de sécurité de l'IoT
Les surfaces d'attaque des équipements IoT. (3.5.2015)

Malware > Le malware basé sur des macros
Comment les prévenir. (3.5.2015)

Cloud computing > Programme de certification STAR (Security, Trust & Assurance Registry)
Du CSA (Cloud Security Alliance) qui propose aussi un guide de sécurité de l'IoT. (3.5.2015)

--------------------------------------------------------------------------------
Copyright © 2015 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
US-CERT
SANS
MELANI

CERT-FR

Annonce d'un séminaire