News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information
News - Archives Mai 2011
Cloud computing > Inclure dans les contrats d'outsourcing une stratégie de sortie
Les risques généraux du cloud computing à apprécier avant de signer les contrats.
Dossier : où sont les standards du cloud computing?
Une architecture cloud résiliente.
Comprendre les SLAs des services de cloud. (31.5.2011)
Mobiles > Les risques des mobiles augmentent
Résultats d'une étude.
(31.5.2011)
Gestion des logs > Démontrer le RIO de la gestion des logs
Respectivement démontrer les risques, dommages, impacts, etc. si on n'avait pas gérer les logs. (31.5.2011)
TCP/IP > Gérer les risques de sécurité particuliers à IPv6
Ces risques pourraient intéresser les hackers.
6 conseils pour sécuriser IPv6.
La journée mondiale IPv6 et article à ce sujet.
La raréfaction des adresses IPv4 gagne l'Europe. (31.5.2011)
Publication > Journal of Accountancy
Edition de juin 2011.
(31.5.2011)
Rapports > Bulletin d'actualité 2011-20 du CERTA
Et bulletin d'actualité 2011-21. (31.5.2011)
Protection des données > Rechercher et sécuriser les données les plus sensibles de l'entreprise
D'abord lister les différentes types de données sensibles existantes : informations personnelles sur les collaborateurs, informations personnelles sur les clients, données sur les détenteurs de cartes, données médicales, etc. (31.5.2011)
NFC > Lancement en Angleterre du premier service permettant aux utilisateurs de payer leurs achats via leur téléphone cellulaire
Grâce à la technologie NFC le portefeuille devient mobile.
Autre article à ce sujet.
"Mais pour décoller, le NFC ne devra pas se contenter du paiement sans contact." (27.5.2011)
Gouvernance > Domaines, pratiques et compétences de la gouvernance du système d'information
Mesurer et démontrer la valeur du système d'information. (27.5.2011)
Piratage > Bruxelles veut s’attaquer « à la source » du piratage
"La Commission européenne dévoile sa stratégie pour lutter contre le téléchargement illicite. Cela passerait notamment par davantage de coopération de la part des fournisseurs d’accès à Internet. Le retour du filtrage?" (27.5.2011)
Juridique > Hadopi : « loi folle », projet « mort-né », « la destruction du Net »
"Il n’y avait pas que des adeptes d’un « Internet civilisé » à l’e-G8. Les détracteurs de ce modèle promu par Nicolas Sarkozy étaient aussi présents. Petit verbatim."
"Un « contre eG8 » dénonce la mise en scène du forum Internet du gouvernement." (27.5.2011)
Mac > Le Cheval de Troie Mac Defender
Guide pour éliminer ce code malveillant.
Article à ce sujet et explications détaillées.
Apple promet un correctif.
Alerte du CERT.
Nouvelle variante du cheval de Troie qui s'installe sans besoin du mot de passe administrateur. (27.5.2011)
Cybercriminalité > 6 menaces en hausse
Les hackers ne restent jamais inactifs.
(25.5.2011)
Mac > Un malware relance le débat sur la sécurité de Mac OS X
3 moyens pour sécuriser les Mac.
Installer un antivirus pour Mac.
10 conseils de sécurité Mac. (25.5.2011)
Fuite de données > Définir, éduquer et prévenir
Première étape : l'entreprise doit admettre qu'elle peut perdre des données critiques ou confidentielles. (25.5.2011)
Infrastructure critique > Guide de gouvernance d'infrastructure d'information critique
Guide NRM (Gestion des risques nationaux) publié par l'ENISA.
(25.5.2011)
Juridique > Baromètre de la Hadopi : une autosatisfaction contestable
"Le 10 mai, sur la base de résultats partiels, Frédéric Mitterrand avait salué le bilan de la Hadopi. L’examen de l’étude complète publiée cette semaine questionne toutefois la portée de ces résultats décrits comme « éclairants et encourageants »." (25.5.2011)
Protection des données > La protection de la vie privée absente de l’e-G8 : oubli ou rejet ?
"A l’heure où s’ouvre à Paris l’e-G8, la CNIL regrette l’absence de tout régulateur des données personnelles et de la vie privée ainsi que des associations de défense des libertés ou des consommateurs alors même que ce thème figurerait au programme." (25.5.2011)
Réseaux sociaux > Il est impossible de savoir qui a consulté votre profil Facebook
Une faille de sécurité repérée sur LinkedIn.
Facebook introduit une nouvelle fonction d'authentification. (25.5.2011)
Cloud computing > Les prestataires de cloud doivent assurer la sécurité des données de leurs clients
Pas seulement en théorie.
4 mesures importantes pour assurer la sécurité des données dans le cloud. (23.5.2011)
Cloud computing > Gartner identifie 5 options pour migrer les applications sur le cloud
Et 9 termes contractuels pour réduire les risques des contrats de cloud. (23.5.2011)
Code malveillant > 1 logiciel sur 14 déchargés contient du code malveillant
Les hackers se servent du social engineering pour leurrer leurs victimes. (23.5.2011)
Protection des données > Les données de géolocalisation sont personnelles et privées
Le lien pour trouver le document. (23.5.2011)
Cybercriminalité > Suite à la fuite massive de données, le CEO ne peut pas garantir que cela ne se reproduira plus
Estimation de l'impact financier : environ $ 1 milliard.
(23.5.2011)
Wi-Fi > 6 choses pouvant bloquer votre Wi-Fi
Les réseaux des voisins, des appareils électroniques domestiques, les équipements bluetooth, etc.
Comment protéger son Android sur un réseau Wi-Fi public? (23.5.2011)
Société de l'information > Société de l'information en Suisse: rapport annuel 2010
"Dans le cadre de la coordination des mesures de mise en œuvre de sa Stratégie pour une société de l'information, le Conseil fédéral a créé le Comité interdépartemental pour la société de l'information (CI SI). Chaque année, celui-ci dresse un rapport qui informe des travaux effectués dans tous les domaines de la stratégie et donne un aperçu de l'évolution de la société de l'information en Suisse, sur la base des indicateurs de l'Office fédéral de la statistique." (23.5.2011)
Cyberspace > La Maison Blanche publie une nouvelle stratégie cyberspace
Signée par le Président. (23.5.2011)
Cybersecurity > Les PME peuvent mettre en place des mesures améliorant la sécurité Internet
D'abord sensibiliser les collaborateurs aux bonnes pratiques de sécurité. Leur permettre d'acquérir les bons réflexes lorsqu'ils surfent, font des achats en lignes, etc. (23.5.2011)
Botnets > Politique anti-botnets
Publication de l'ENISA.
(20.5.2011)
Laptop > Conseils pour protéger les données du laptop contre le vol
Protéger physiquement le laptop, être prudent lorsqu'on l'utilise à l'extérieur, protéger les données, etc. (20.5.2011)
Confiance numérique > Sur Internet ne faire confiance à personne
C'est-à-dire d'abord vérifier, ensuite décider si on peut faire confiance, par exemple à un message non prévu, bizarre, etc. (20.5.2011)
Métriques > Concept de mesure de la sécurité
Par exemple, la norme ISO/IEC 27004:2009 ou le document-ci de l'ISACA. (20.5.2011)
Rapport > Rapport Microsoft sur les données de sécurité
Juillet à décembre 2010. (20.5.2011)
Cookies > Nouvelle mise à jour de Flash Player
Elle corrige des failles de sécurité et permet aux utilisateurs de mieux contrôler s'ils sont traqués sur Internet. (20.5.2011)
Protection des données > Comment concilier la protection de la vie privée et la réutilisation des archives publiques sur internet ?
"La CNIL est souvent confrontée aux difficultés soulevées par l'application combinée de la loi informatique et libertés, de la loi CADA et du code du patrimoine. C’est pourquoi elle a précisé dans une recommandation les cas dans lesquels la réutilisation de données personnelles contenues dans des documents d’archives est à exclure. Elle a également rappelé, pour les cas où cette réutilisation est possible, les précautions à prendre." (20.5.2011)
Protection des données > L’évaluation des salariés : droits et obligations des employeurs
"A l’occasion de l'entretien annuel d’évaluation, des employeurs collectent des informations sur leurs salariés. Qu'ont-ils le droit de conserver ? Comment peuvent-ils utiliser ces informations ? La CNIL fait le point sur les droits et obligations des employeurs en matière d’évaluation de leurs salariés." (20.5.2011)
Menaces internes > Les menaces internes et la sécurité physique
Les contrôles de sécurité physique comme moyens importants de réduction des risques des menaces internes.
Les 3 types de menaces internes.
(20.5.2011)
Libération des médias > 5 moyens pour "détruire" vos données
Broyer, démagnétiser, écraser, etc.
(20.5.2011)
Cyberattaques > Les entreprises sont vulnérables aux attaques DDoS et aux failles DNS
Résultats de deux études mandatées par VeriSign.
(20.5.2011)
Réseaux sociaux > Une faille de Facebook dévoile les données personnelles des membres
Faut-il changer son mot de passe Facebook?
Autre article à ce sujet.
Facebook renforce la procédure de log-in.
Nouvelles fonctionnalités Facebook pour combattre les spams, le clickjacking, etc. (17.5.2011)
Ordinateurs personnels > Meilleures pratiques de sécurité
Du NSA.
(17.5.2011)
Virtualisation > Surveiller des machines virtuelles
Article du SANS et commentaires.
(17.5.2011)
Rapports > Bulletin d'actualité 2011-18 du CERTA
Et bulletin d'actualité 2011-19.
Flash informatique no 5/2011 du domaine IT de l'EPFL.
Publication de l'ISACA du 11.5.2011
(17.5.2011)
Protection des données > Durée de conservation des données par les moteurs de recherche : un pas en arrière
"Les moteurs de recherche sont amenés à traiter une quantité considérable d'informations sur leurs utilisateurs. Les CNIL européennes leur demandent depuis avril 2008 de conserver ces informations pendant 6 mois maximum. Des avancées avaient alors été constatées. Mais, on relève aujourd’hui que les politiques actuelles des moteurs de recherche tendent à augmenter la durée de conservation des données. La CNIL regrette ce recul du respect de la vie privée des internautes." (17.5.2011)
CSO/CISO > Le RSSI vu par un RSSI
"RSSI, c'est un métier de l'ombre, mal perçu". (15.5.2011)
Tablettes électroniques > Le numéro de l'équipement (iPad ou iPhone) peut servir à relever l'identité de l'utilisateur
Renforcer la sécurité de son iPad.
Transférer des fichiers de et sur l'iPad. (15.5.2011)
Identification/Authentification > Nouvelle norme ISO 9564-1:2011 assurant la sécurité du PIN
Services financiers > Gestion et sécurité du numéro personnel d'identification (PIN) > Partie 1: Principes de base et exigences relatifs aux PINs dans les systèmes à carte. (15.5.2011)
Gestion des risques > Appétit et tolérance aux risques
Document de l'Institut de gestion des risques (IRM).
(15.5.2011)
Protection des données > Géolocalisation et collecte d'informations issues des points d'accès wi-fi
"Les règles à respecter pour protéger la vie privée." de la CNIL. (15.5.2011)
Cloud computing > Comment mesurer le ROI du cloud
Résultats d'un sondage.
Autre article à ce sujet.
Publication de nouvelles règles d'identification appropriées au cloud.
Projet de document du NIST : Cloud computing > Synopsis et recommandations.
Article à ce sujet. (15.5.2011)
Cloud computing > Exigences de sécurité des services de cloud
La sécurité constitue un élément important des services de cloud proposés par les prestataires. Pour ces raisons, les exigences de sécurité doivent figurer dans des contrats (SLA, SLA reporting, etc.).
Mais les SLAs ne peuvent pas tout couvrir, par exemple des pannes majeures.
Autre article au sujet d'une panne majeure.
(11.5.2011)
Gestion des réseaux > Les raisons des nuits blanches des administrateurs réseaux
D'abord les risques de sécurité dus aux utilisateurs utilisant les réseaux sociaux. (11.5.2011)
Métiers IT > Responsable du part informatique
Fiche métier.
(11.5.2011)
Internet > Résilience de l'interconnexion des réseaux Internet
Rapport de l'ENISA identifiant les principaux risques.
(11.5.2011)
ISMS/GSSI > (O-ISM3) Le modèle de maturité Open Information Security Management
Publication de l'Open Group.
(11.5.2011)
Protection des données > Protection de l'enfance
La CNIL se prononce sur le traitement et la transmission des informations préoccupantes.
Autre article de la CNIL : Géolocalisation et collecte d'informations issues des points d'accès wi-fi : les règles à respecter pour protéger la vie privée. (11.5.2011)
Gestion de projets > Principales raisons des échecs des projets de développement de logiciel
Manque d'inputs de la part des utilisateurs, exigences incomplètes, etc.
(11.5.2011)
Green IT > 5 moyens d'optimiser un nouveau centre de calcul
Opter pour une infrastructure homogène, cumuler dans l'idéal free cooling et free chilling, etc.
(11.5.2011)
Cyberspace > Des représentants de l'UE évoquent un filtrage Internet de l'Europe
"Le projet de l'Union européenne de « créer un cyberspace sécurisé unique » a été sévèrement critiqué par les groupes de défense des libertés civiles. La plupart d'entre elles s'accordent pour dire que ce « cyberspace unique » montre l'ampleur du travail que doit accomplir l'UE pour comprendre la modernité du monde en ligne."
(11.5.2011)
Firewalls > Création d'une directive firewall pour une grande entreprise
Proposition de bonnes pratiques.
(9.5.2011)
ERP/PGI > Des applications ERP sont vulnérables aux attaques
Les fabricants devraient livrer plus rapidement leurs correctifs.
(9.5.2011)
SCADA > Surveillance et acquisition des données
Guides publiés par le CPNI.
(9.5.2011)
Stratégie > Le secteur public à l’heure de la transformation numérique : quelle création de valeur par l’usage du système d’information ?
Etude réalisée par le CIGREF et Capgemini Consulting. (9.5.2011)
Gestion des incidents > Le CERT Société Générale
"Le CERT Société Générale est une structure en charge de gérer les incidents de sécurité et de cybercriminalité relatifs au Groupe Société Générale." (9.5.2011)
Cybersécurité > Pour se défendre il faut se concentrer sur les attaques
Et moins sur les vulnérabilités. (9.5.2011)
Poste de travail > Guide de protection du BIOS
Publié par le NIST.
Article à ce sujet.
(9.5.2011)
Cartes de crédit > Les effets sur la sécurité du standard PCI-DSS
Résultats d'une enquête.
(9.5.2011)
Smartphones > Les applis iPad gratuites et payantes les plus téléchargées
"L'appli de traitement de texte Pages, développée par d'Apple, est l'appli gratuite la plus téléchargée dans l'App Store américaine et l'appli de lecture électronique iBooks est la plus téléchargée parmi les applications payantes." (9.5.2011)
NFC > Le NFC Forum a publié 4 nouvelles spécifications
Ce qui devrait aider les fabricants à développer des applications / services de porte-monnaies mobiles que les utilisateurs désireront utiliser. (4.5.2011)
Sécurité des réseaux > Les défenses simples sont parfois les meilleures
Se concentrer sur les vulnérabilités exploitées par les attaques courantes. (4.5.2011)
Publication > SC Magazine
De mai 2011. (4.5.2011)
Cloud computing > Les CIO doivent se préparer aux risques du cloud
Pour cela, ils doivent bien comprendre le cycle de vie du cloud sourcing.
Article du Gartner à ce sujet. (4.5.2011)
Sécurité de l'information > Règles minimales de sécurité à adopter
12 règles pour protéger votre PC, votre smartphone, etc. (4.5.2011)
Rapports > Bulletin d'actualité 2011-16 du CERTA
Et bulletin d'actualité 2011-17.
Rapport de Symantec d'avril 2011. (4.5.2011)
Cloud computing > Normes ISO de sécurité du cloud computing
L'ISO et le CSA vont collaborer pour le développement de normes de sécurité et de protection des données du cloud computing.
Outil d'audit du cloud computing édité par l'ISACA.
Pour profiter pleinement des avantages du cloud computing, le CFO et le CIO devront renforcer leur collaboration.
Les prestataires de service cloud s'estiment (actuellement) pas trop concernés par la sécurité.
Bonnes pratiques pour sécuriser les données dans le cloud. (2.5.2011)
Cloud computing > Qu'advient-il de mes données si le prestataire de service cloud disparaît?
Présentation de diverses solutions.
Apprendre de la panne d'Amazon.
Autre article à ce sujet.
Possibles raisons de la panne d'Amazon.
En cas de panne, le prestataire doit en informer rapidement ses clients.
(2.5.2011)
--------------------------------------------------------------------------------
Copyright © 2011 Aud-IT Sàrl Geneva. All rights reserved