Actualités sur la sécurité et les risques de l'information, des systèmes d'information, informatiques
Nouvelle association CREST définit des standards de sécurité des tests de pénétration
Les testeurs pourront se faire certifier CREST ce qui permettra aux
entreprises de faire appel à des spécialistes travaillant
selon des standards de sécurité reconnus.
(30.4.2008)
Conformité et gestion des logs
Des nouvelles lois et d'autres exigences vont obliger les entreprises
à gérer leurs logs.
(30.4.2008)
Les nouvelles technologies amènent de nouveaux risques
Par exemple, les réseaux sociaux, la virtualisation,
l'outsourcing offshore.
(30.4.2008)
Magazine (IN)SECURE
Edition du 16.4.2008.
(30.4.2008)
L'infrastructure critique n'est pas
à l'abri de menaces
de sécurité IT
Par exemple, les systèmes de transport et les réseaux de
transactions financières.
(30.4.2008)
Méthode modulaire de construction des centres de calcul
L'utilisation de conteneurs, ce qui est surtout valable pour de très
larges centres.
(30.4.2008)
Résultats d'une étude sur la gestion des risques
75% des collaborateurs ne sont pas conscients du plan de
continuité ou ne savent pas si leur entreprise en ont un.
(30.4.2008)
Journal of Accountancy
Edition d'avril 2008. Article sur la gestion des risques
(30.4.2008)
Assurer la sécurité du
développement outsourcé
de logiciels
Bonnes pratiques que l'entreprise mandataire doit
considérer.
(30.4.2008)
Informer les utilisateurs sur les meilleurs moyens de stocker leurs données
Moyens que l'organisme doit leur mettre à disposition.
(24.4.2008)
Des utilisateurs Wi-Fi pourraient être surveillés
Selon cet article.
(24.4.2008)
Les clients désirent des SLAs flexibles
Il s'agit de fournir des plus-values au business et pas seulement de
gérer les coûts.
(24.4.2008)
Comment définir les menaces du cyber
terrorisme
Est-ce un mythe? Dans tous les cas, les réponses à ces
menaces ne peuvent pas seulement être fournies au niveau
national, mais exigent des approches internationales
coordonnées.
(24.4.2008)
RFID, Pacemakers, GPS, GSM, etc.
Les hackers s'intéressent à toutes les technologies.
(24.4.2008)
Diminuer les coûts
énergétiques de l'IT
Les entreprises désirent mieux contrôler leur consommation
électrique dans le domaine IT.
(24.4.2008)
MS Vista vu par son patron
Qui parle également de Windows 7 et d'XP.
(24.4.2008)
Risques de la virtualisation
Les points à considérer lors de la mise en place d'un environnement virtuel sécurisé.
(22.4.2008)
Réponse du Comité de Bâle pour renforcer la résistance du système
bancaire aux chocs
Révision de Bâle II.
(22.4.2008)
Le CAPTCHA
Analyse de 3 applications
CAPTCHA.
(22.4.2008)
Sécuriser son site Internet
Permet également de sécuriser sa réputation.
(22.4.2008)
ITAF™: A Professional Practices Framework for IT Assurance
Publié par l'ISACA.
(22.4.2008)
Les fondements de la gestion des identités et des accès
La stratégie IAM (Identity and Access Management) et le
rôle des auditeurs.
(22.4.2008)
Les moteurs de recherche menacent la
sphère privée
Selon un rapport de l'Union Européenne.
(22.4.2008)
Repenser la sécurité de
l'information
L'approche actuelle de sécurité n'a pas de futur.
(22.4.2008)
Des expertes suggèrent de tout
chiffrer
En plus, cela simplifierait la gestion des réseaux.
(22.4.2008)
Augmentation du nombre de personnes
téléphonant
via Internet
Points à considérer.
(22.4.2008)
Université de Genève - HEC
Formations diplômantes en sécurité des
systèmes d'information.
(22.4.2008)
Risque de mettre en danger un réseau électrique
Selon cet article le risque existe, mais ce n'est peut être pas
applicable à tous les réseaux.
(17.4.2008)
Mise en place du réseau social de l'organisme, en considérant les risques de protection des
données
7 principes à mettre en place et à faire respecter.
(17.4.2008)
L'approche 20/80 dans la
sécurité de l'information
En général, on comprend qu'il faut utiliser 20% des
ressources pour couvrir 80% des risques et pas le contraire. Mais
celle indiquée dans l'article s'applique également
: 20% c'est la technique et 80% ce sont les personnes.
(17.4.2008)
La conformité constitue un élément important de toute politique de
sécurité de l'information
Mais ce n'est qu'un élément parmi d'autres pour assurer
la sécurité de l'information.
(17.4.2008)
Bank Technology News
Edition d'avril 2008.
(17.4.2008)
Lettre d'avril 2008 du Guide Informatique
Autre mensuel : Publication du domaine IT de l'EPFL du 22.4.2008.
(17.4.2008)
1/3 des sites Internet contiennent du code malicieux
Etude faite par le SANS, incluant des bonnes pratiques pour
réduire les risques.
(17.4.2008)
A des fins de marketing, les ISP s'intéressent à chaque clic que nous faisons
Dans le même registre : ce que Google
ne sait pas (encore) sur nous.
(17.4.2008)
2007 Internet Crime Report
Le nombre de plaintes diminue mais leur valeur chiffrée
augmente. Les deux plus importantes fraudes : Vente aux
enchères et non livraison de marchandise. Autre article
à ce sujet.
(14.4.2008)
Articles sur la conférence RSA 2008
Les organismes qui ne peuvent pas classifier
leurs données ne peuvent pas les contrôler.
(14.4.2008)
Logiciels malicieux sur des clefs USB
La tendance est en augmentation.
(14.4.2008)
Les collaborateurs gèrent leurs
propres PCs
Réalité ou fiction?
(14.4.2008)
Prévention contre la perte de
données
Explications de DLP (Data Loss
Prevention).
(14.4.2008)
Référentiel de
sécurité des applications Web
"Le Référentiel a pour but de présenter des grands
principes de sécurité permettant de fournir une base de travail pour la conception et la mise
en ligne d’applications web plus sûres. Le Référentiel peut être
utilisé par tous"
(14.4.2008)
Rapport d'audit IT de l'IRS (Internal
Revenue Service)
Risques importants au niveau des routers et de switches. Autre article
à ce sujet.
(14.4.2008)
Logiciels antivirus gratuits
Tests et comparatifs de certains logiciels antivirus gratuits.
(14.4.2008)
Magazine TechNet
Edition d'avril 2008 surtout consacré à SQL Serveur 2008.
(10.4.2008)
L'ITGI développe un nouveau concept de gestion
des risques
Cette méthode devrait couvrir la gestion des risques dans le
cadre de la gouvernance IT. Liste des méthodes les plus connuesactuellement.
(10.4.2008)
CDSE - Le club des directeurs de
sécurité des entreprises
(10.4.2008)
Divers articles sur le domaine du plan de
continuité
BCM / BCP
Normes ISO/PAS 22399:2007 : Guide de préparation aux incidents
et de gestion de la continuité opérationnelle.
Les entreprises ne tiennent pas suffisamment compte des risques non physiques, par exemple la fuite de
données et l'échange d'information avec leurs
parties-prenantes.
Les avantages
de la virtualisation en cas de désastre en considérant les risques liés à cette technologie.
La possible certification
du plan de continuité de l'organisme et une liste des différentes normes applicables.
Éviter de créer une usine à
gaz lors de la mise en place d'un BCM / BCP.
(10.4.2008)
Outils détectant des vulnérabilités
Goolag et Capture-HPC du projet HONEYNET pour la détection d'attaques.
(4.4.2008)
Inventaire des biens
Garder les traces des équipements IT dont ceux (mais pas
seulement) qui se trouvent sur le réseau.
(4.4.2008)
Gestion centralisée vs gestion décentralisée
des systèmes
La tendance vers la gestion centralisée.
(4.4.2008)
Avantages financiers de la virtualisation
Non seulement considérer le HW, mais également les logiciels, par exemple les logiciels de sauvegarde.
(4.4.2008)
Vulnérabilités
de la messagerie augmentent
Les malfrats deviennent toujours plus astucieux.
(4.4.2008)
Déploiement du NAC en 4 phases
Les 4 phases du NAC
: Déploiement pilote, déploiement progressif en
mode "surveillance", formation des utilisateurs et revue, passer un
mode "compliance".
(4.4.2008)