News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information
News - Archives septembre 2011
Sécurité Internet > 15 astuces pour ne plus se faire piéger sur le Net
"La plupart des internautes savent que surfer sur le Net n'est pas sans risques. Espionnage, arnaque, spam, publicité intempestive, vol de données : les délits du Net sont nombreux et aujourd'hui massivement répandus." (30.9.2011)
Rapports > Etudes de Check Point du 21.9.2011
Environ 50% des entreprises sont victimes du social engineering.
Rapport de Symantec de septembre 2011.
Rapport de conformité PCI de Verizon. (30.9.2011)
Mobiles > Gérer les équipements mobiles
10 leçons apprises.
Géolocalisation > Stingrays permet de localiser un téléphone mobile
Cela soulève des questions juridiques aux USA.
Eviter les risques de géolocalisation des téléphones mobiles. Article de l'ISACA à ce sujet. (30.9.2011)
Réseaux sociaux > Avec Timeline, Facebook propose de tenir le journal de votre vie
"Lors de la conférence f8, Mark Zuckerberg a présenté Timeline, « journal » en français, qui rénove en profondeur le profil des utilisateurs… Et incite à partager davantage d'informations."
"Timeline de Facebook : Une aubaine pour les pirates."
"Facebook exploite-t-il des cookies indiscrets pour collecter des données ?"
Autre article à ce sujet. (30.9.2011)
Windows > Migrer de Windows XP sur Windows 8?
Selon Gartner il est préférable de migrer sur Windows 7. (30.9.2011)
SSL > Piratée, l'autorité de certification DigiNotar est en faillite
Détails sur l'attaque DigiNotar et comment chacun peut se protéger.
(28.9.2011)
Publication > ISACA Volume 19
Du 14.9.2011.
(28.9.2011)
Virus > Se prémunir contre le déchargement de codes malveillants et d'adware
D'abord utiliser les OS les plus récents et à jour. (28.9.2011)
Réseaux sociaux > Définir une politique d'utilisation des réseaux sociaux
Indiquant ce qui est acceptable et ce qui est non acceptable de la part de l'employeur et de l'employé. (28.9.2011)
Gestion de projets > Evaluer les risques des projets
Ou comment assurer le succès du projet.
(28.9.2011)
SSL > Les sites sécurisés sous la menace d'une faille informatique
"Deux chercheurs ont exploité une faille du protocole TLS 1.0, utilisé pour sécuriser les échanges de données sur le Web. Un pirate pourrait s'en servir pour accéder à vos informations personnelles sans que vous le sachiez... y compris sur un site réputé « sûr »." (28.9.2011)
Cyberattaques > Survivre à une attaque zéro day
Leçon apprise suite à une attaque. (28.9.2011)
Smartphones > Comment se protéger des risques de votre sphère privée
Les risques de téléphoner via Skype avec un iPhone. (28.9.2011)
Sécurité de l'information > Mesures particulières de sécurité de l'information
Par exemple, imprimer des messages invisibles.
(23.9.2011)
DLP > Comment annoncer des pertes / vols de données
D'abord mettre en place une stratégie que tous les collaborateurs devront connaître. (23.9.2011)
Protection des données > Transposition du Paquet télécom : renforcement des droits des internautes et signalement des failles de sécurité à la CNIL
Autre article : "Géolocalisation et vie privée : la CNIL s’adresse aux enseignants et aux collégiens." (23.9.2011)
Cookies > Les super cookies peuvent mettre en danger la protection des données
Ils sont difficiles à éliminer et peuvent traquer l'historique de navigation des internautes. (23.9.2011)
CSO/CISO > Créer une équipe de sécurité efficace
D'abord adopter une approche ERM.
Les CISO / RSSI doivent se focaliser sur les risques et les objectifs commerciaux lorsqu'ils discutent avec les directions métiers.
(23.9.2011)
Virus > Un nouveau virus infecte les cartes mères
Il est difficile à détecter et à éradiquer.
(23.9.2011)
Sécurité des réseaux > Comment améliorer la sécurité du réseau de l'entreprise
Article publié par l'ISACA.
(23.9.2011)
Rapports > Bulletin 2011-37 du CERTA
Et une mise en garde de MELANI : "Appels d’escrocs se faisant passer pour le Service support de Microsoft." (23.9.2011)
Identification/authentification > Guide pratique d'authentification
Mettre en place une stratégie d'authentification efficace et efficiente. (23.9.2011)
Gestion des risques > Appétit et tolérance aux risques
Guide publié par l'Institut de gestion des risques.
(21.9.2011)
Infrastructures critiques > La cybersécurité et l'infrastructure critique UK
Rapport. (21.9.2011)
Sécurité de l'information > La sécurité de l'information - une question de comportement - CASES au PaperJam Business Club
"Devant une vingtaine de responsables informatiques et des ressources humaines, des experts du Ministère de l'Economie et du Commerce extérieur ont eu l'occasion de présenter un workshop sur l'impact du comportement des utilisateurs sur la sécurité des systèmes d'information, lors du PaperJam Business Club du 6 septembre à l'abbaye Neumünster." (21.9.2011)
Menaces > Les bourses sont menacées bien qu'ayant des sécurités efficaces
Leur fonction les rend vulnérables. (21.9.2011)
Formation > Dans le futur, les compétences en sécurité de l'information devient un must pour les professionnels IT
Résultats d'un sondage. (21.9.2011)
Cloud computing > Le gouvernement hollandais veut interdire les prestataires US de services cloud de lui soumettre des offres
Car il craint que le gouvernement US oblige ces prestataires à lui remettre des données sensibles de leurs clients.
Autre article : Architecture cloud de référence proposée par le NIST. (21.9.2011)
Contrôles de sécurité > Les top 20 du SANS
Comment mettre en place les top 20 avec un petit budget. (19.9.2011)
Normes > L’ISO publie la méthodologie Six Sigma pour l’amélioration de la performance
"Six Sigma (© Motorola), une méthode statistique guidée par les données, conçue pour améliorer la performance de l’entreprise et la qualité de son offre, a été publiée sous la forme d’une norme ISO en deux parties." (19.9.2011)
Smartphones > La sécurisation des équipements mobiles constitue un défi pour les professionnels de la sécurité de l'information
Car les hackers commencent à s'y intéresser.
Les utilisateurs doivent être sensibilisés aux différents risques qu'ils présentent. (19.9.2011)
Sauvegarde > Comment sélectionner un système de backup
Les 5 fonctionnalités nécessaires, les considérations relatives au HW, etc.
(19.9.2011)
Wi-Fi > Mesurer les impacts d'attaques DoS sur des réseaux Wi-Fi
Résultats d'un travail de recherche.
(19.9.2011)
Botnets > Une armée d'ordinateurs infectés sont assemblés
Et attendent les ordres.
(19.9.2011)
Outsourcing > 10 étapes clefs pour une stratégie d'outsourcing efficace
Selon Gartner.
(19.9.2011)
Réseaux sociaux > 5 importants réglages Facebook de protection des données
Astuces pour les retrouver et comment les régler.
(19.9.2011)
Informatique mobile > Les administrateurs IT doivent revoir leurs rôles pour fournir le support aux collaborateurs mobiles
D'abord s'y préparer mentalement.
(15.9.2011)
Réseaux sociaux > Politique des réseaux sociaux : évaluer les risques
Recommandations importantes, dont la formation qui est très importante.
(15.9.2011)
Smartphone > La sécurité des app-stores
Cinq ‘lignes de défense’ – Nouveau rapport de l’Agence européenne pour la cyber-sécurité ENISA. (15.9.2011)
Sécurité physique > Le safe de votre chambre d'hôtel est-il sûr?
Pas sûr. (15.9.2011)
Rapport > Bulletin d'actualité 2011-36 du CERTA
Compromissions furtives de sites Web et mise à jour des autorités de certification. (15.9.2011)
Patch management > Les 4 phases du processus
D'abord identifier les biens HW et SW critiques. (15.9.2011)
DLP > Les failles sont souvent découvertes après plusieurs semaines ou mois
Et souvent annoncées par des tiers aux victimes.
(15.9.2011)
Internet > Le W3C annonce la création du "web-tracking privacy protection" groupe
La publication des standards est prévue pour mi-2012.
(15.9.2011)
SSL > L'impact de Diginotar sur les autorités de certification et la confiance
D'abord comprendre un peu mieux le PKI et les rôles des autorités de certification.
(15.9.2011)
Forensic > Un outil de forensic révèle l'historique des activités en ligne
OWADE - "Offline Windows Analysis and Data Extraction". (15.9.2011)
Bases de données > Les Data Warehouse facilitent l'accès à des volumes importants de données
Ce qui augmente les risques. (12.9.2011)
Géolocalisation > Windows Phone : Microsoft retire AVG du MarketPlace, accusé d'espionner les utilisateurs
"L'antivirus gratuit est pointé du doigt par un ancien collaborateur de l'éditeur qui a décidé d'ouvrir une enquête." (12.9.2011)
Cloud computing > Conseils pour mitiger les risques d'outsourcing
Discuter avec le prestataire et fixer les arrangements dans des contrats / SLAs.
(12.9.2011)
Chaîne logistique > 8 bonnes pratiques d'outsourcing de la chaîne logistique
Aligner la stratégie d'outsourcing avec la stratégie de l'entreprise et la stratégie de la chaîne logistique, etc.
(12.9.2011)
Alimentation électrique > Utilisation sûre d'un générateur en cas de panne électrique
Proposition d'un guide.
(12.9.2011)
Smartphones > Lors d'un achat d'un smartphone la sécurité n'est pas (encore) une priorité
Surtout qu'ils sont de plus en plus utilisés pour accéder à des données sensibles.
Autre article à ce sujet.
(12.9.2011)
DLP > Risques de perte de données
Les risques ne sont pas seulement internes. (12.9.2011)
Protection des données > Un étudiant perd des données des patients d'un hôpital
L'hôpital croyait que l'étudiant avait suivi une formation à la protection des données.
(9.9.2011)
SSL > DigiNotar > GlobalSign ne livre plus de certificats de sécurité
Suite à l'annonce faite par un hacker informant qu'il a accès aux serveurs de l'entreprise.
(9.9.2011)
Infrastructures critiques > Quels effets (aux US) auraient une attaque du type Stuxnet
Et chez nous?
(9.9.2011)
Smartphones > Les voitures ont leur propre smartphone
Ce qui permettrait à des hackers d'attaquer les voitures.
Article à ce sujet.
(9.9.2011)
Rapport > Weekly Intelligence Summary 2011-09-02
De Verizon.
(9.9.2011)
Webcam > Détecter des webcams cachées
Outils de détection.
(9.9.2011)
Normes > Des normes du W3C pour les services Web sont approuvées en tant que Normes internationales ISO/CEI
"Le World Wide Web Consortium (W3C) et le Comité technique mixte ISO/IEC JTC 1, Technologies de l’information, de l’Organisation internationale de normalisation (ISO) et de la Commission électrotechnique internationale (CEI) ont annoncé aujourd’hui l’approbation officielle en tant que Normes internationales ISO/CEI d’un ensemble de technologies de services Web du W3C." (9.9.2011)
Applications > La gestion du portefeuille des applications permet aux entreprises de mieux gérer leurs ressources
Mais cette étude indique que certaines entreprises peinent à gérer leur portefeuille des applications. (9.9.2011)
Cloud computing > Des criminels utilisent le cloud computing pour leurs méfaits
Le développeur du botnet TDSS loue l'accès à des ordinateurs infectés pour des activités Internet anonymes. (9.9.2011)
Risques humains > Un ancien collaborateur attaque le système d'information d'un fournisseur de l'armée
Puis efface des données de clients. (9.9.2011)
SSL > DigiNotar > Certificats SSL frauduleux et piratage d’autorités de certification : décryptage
"Pourquoi pirater une autorité de certification ? Comment les navigateurs Web contrôlent-ils la validité d’un certificat SSL d’un serveur ? Quelles actions permettent des certificats frauduleux ? Décryptage du piratage de DigiNotar avec Luis Delabarre, directeur technique de Trend Micro."
Rapport d'audit intermédiaire de DigiNotar. (7.9.2011)
Tests d'intrusion > Trois outils pour des tests d'intrusion physique
Bien entendu, l'entreprise peut utiliser de tels outils pour tester elle-même ses mesures de sécurité et ne pas attendre qu'un gentil ou qu'un méchant le fasse à sa place. (7.9.2011)
Réseaux sociaux > Avec l'adoption des risques sociaux, les risques de social engineering augmentent
En particulier, avec l'adoption d'outils tels Facebook, Twitter and LinkedIn. (7.9.2011)
Publications > Journal of Accountancy de septembre 2011
Et Flash informatique du domaine IT de l'EPFL du 16.9.2011. (7.9.2011)
Contrôles de sécurité > Mettre en place les 20 contrôles de sécurité du SANS
Pour les PME n'ayant pas de budget. (7.9.2011)
Métriques > 7 métriques importantes de gestion des identité et des accès IAM
Par exemple, les durées moyennes pour l'activation et pour la désactivation des accès. (7.9.2011)
Géolocalisation > Collecte de données géolocalisées : Microsoft poursuivi à son tour
"Microsoft fait l’objet d’une plainte en recours collectif à propos de l’application photo de Windows Phone 7 qui collecte les données géolocalisées et ce même si l’utilisateur a refusé cette option."
Autre article à ce sujet.
(7.9.2011)
Protection des données > Webinbox.info : la CNIL vous informe
"Le site webinbox.info diffuse la liste des habitants des communes françaises à leur insu et se prévaut d'une déclaration effectuée auprès de la CNIL. Des démarches sont en cours auprès du responsable du site pour qu'il se conforme à la loi." (7.9.2011)
Hijacking > Détournement de sites web importants
Des hackers détournent des visiteurs de sites tels Vodafone, the Daily Telegraph, UPS. (5.09.2011)
Cloud computing > L'ISO adopte 2 nouveaux standards
ISO/IEC 13187:2011 “Information Technology – Server Management Command Line Protocol (SM CLP) Specification” et ISO/IEC 17203:2011 “Open Virtualization Format”. (5.09.2011)
Enquête > Résultats d'une enquête de Symantec
1ère constatation : la cybersécurité est importante pour les entreprises.
(5.09.2011)
Smartphones > Retrouver son iPhone perdu
Application "Find My iPhone".
10 mesures pour sécuriser son smartphone. (5.09.2011)
Stockage > La centralisation du stockage
Points à considérer : les limites physiques, les limites techniques et les coûts plus élevés. (5.09.2011)
BCM/BCP > Conseils pour se préparer en cas de catastrophe
D'abord valider le plan de sauvegarde des données.
(5.09.2011)
Rapport > Bulletin d'actualité 2011-35 du CERTA
Dont un article sur le ver Morto.
Autre article à ce sujet. (5.09.2011)
--------------------------------------------------------------------------------
Copyright © 2011 Aud-IT Sàrl Geneva. All rights reserved