News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information
News - Archives octobre 2011
Conformité > Deux banques amendées dû à des faiblesses de systèmes
Et de contrôles. (30.10.2011)
Rapport > Transparency Report de Google
Par exemple, demandes de retrait de contenu et de divulgation d'informations sur des internautes émanant d'agences gouvernementales et de tribunaux du monde entier.
(30.10.2011)
SSL > Des pirates créent un outil DDOS capable de contourner le protocole
"Des pirates ont créé un outil dédié aux attaques en déni de service capable de contourner le protocole SSL (Secure Sockets Layer) des serveurs. Il suffit d'un ordinateur portable et une connexion DSL standard." (30.10.2011)
Cybersécurité > Les 4 contrôles clefs
Parmi 35.
L'Application Whitelisting expliquée par le SANS. (30.10.2011)
Audit > L'assurance raisonnable
Explication d'un terme important du domaine de l'audit, mais pas toujours facile à comprendre.
(30.10.2011)
Gestion des risques > Risques du SI! Quels risques?
Choisir une approche 20/80, par exemple celle proposée par la norme ISO 27005. (30.10.2011)
Stratégie > Les 10 technologies stratégiques 2012
Identifiées par Gartner.
(30.10.2011)
SSL > Autorités de certification compromises
Comment se protéger en cas de compromission d'une autorité de certification.
Quel est le niveau actuel de sécurité de HTTPS et TLS/SSL?
(30.10.2011)
Menaces internes / externes > Vol de données d'équipements output
Copieurs, fax, imprimantes et scanners. (30.10.2011)
Wi-Fi > Les utilisateurs ne comprennent pas entièrement les risques des réseaux Wi-Fi publiques
Mais ils en sont plus ou moins conscients.
(30.10.2011)
Cloud computing > Comment apprécier les fonctions de sécurité du prestataire cloud
Quelques conseils utiles.
Des chercheurs découvrent des vulnérabilités dans les systèmes cloud d'Amazon and d'Eucalyptus.
5 caractéristiques essentielles du cloud computing
. (26.10.2011)
Gestion des biens > 4 bonnes pratiques de gestion des biens / actifs
Définir le périmètre, tenir compte de la virtualisation, etc.
(26.10.2011)
Réseaux sociaux > Les autorités allemandes lancent un ultimatum à Facebook
"Outre-Rhin, les autorités s'en prennent à l’application de reconnaissance faciale de Facebook. Elles lui reprochent de stocker des données biométriques sans l'accord préalable des membres concernés. Le réseau a jusqu'au 7 novembre pour modifier son fonctionnement."
"L'autorité irlandaise de protection des données ouvre une enquête sur le réseau social, qui agrégerait des informations sur des internautes non inscrits et ne supprimerait pas de ses serveurs les données effacées par ses membres." (26.10.2011)
Wi-Fi > Conseils pour utiliser sûrement Wi-Fi
Premièrement activer WPA2. (26.10.2011)
Fraude > Alerte précoce de fraude
10 signes à prendre au sérieux.
(26.10.2011)
Smartphones > Les défis pour les entreprises de l'iPhone 4S et de l'iOS5
Par exemple, 3 nouvelles fonctions de sécurité iOS5.
Les trois plus fréquentes attaques d'équipements mobiles.
Guide pour sécuriser les équipements mobiles.
(26.10.2011)
Normes > Nouvelle norme ISO/IEC 27035:2011
"La nouvelle norme ISO/CEI 27035 fournit des conseils sûrs et éprouvés sur les processus et les méthodes à déployer pour assurer une gestion efficace des incidents de sécurité de l'information." (26.10.2011)
Rapports > Bulletin d'actualité 2011-41 du CERTA
Et bulletin 2011-42. (24.10.2011)
DSI > Des opportunités pour améliorer le rôle du DSI
Le moment est opportun pour revoir le rôle du SI. (24.10.2011)
Open source > Guides pour sécuriser le software open source
Audit de sécurité de l'open source. (24.10.2011)
Espionnage économique > Vos murs ont des e-oreilles
Les espions économiques utilisent de plus en plus du malware ou des réseaux sociaux pour voler des données sensibles ou de la propriété intellectuelle. (24.10.2011)
Gestion des changements > 4 nouveaux principes de gestion des changements
Les impacts du cloud computing.
(24.10.2011)
Publication > Publication du domaine IT de l'EPFL
Flash informatique no 8 du 18.10.2011.
(24.10.2011)
Contrôles > Contrôle critique no 8 : Utilisation contrôlée des privilèges ADMIN
Contrôle critique no 15 : DLP. (24.10.2011)
Enquêtes > Les entreprises investissent dans des technologies de sécurité
Mais pas assez dans les processus de gestion centralisée de la sécurité de l'information.
Autre enquête : 2011 Threat Management Survey de Symantec. (24.10.2011)
Malware > En général, l'utilisateur est lui-même responsable si son PC est infecté
Ce sont souvent des vulnérabilités pour lesquelles des correctifs existent ou qui ont été corrigées dans les dernières versions des logiciels. (24.10.2011)
Infrastructures critiques > Le Public-Private Partnerships (PPPs)
Publié par l'ENISA.
(20.10.2011)
Windows > Microsoft déconseille le passage de XP à Windows 8, sans passer par Windows 7
"Microsoft déconseille aux entreprises dont les ordinateurs tournent toujours sous Windows XP d'attendre la sortie de Windows 8 pour opérer leur migration. Une tentation « dangereuse » selon la firme de Redmond, alors que le lancement de la nouvelle génération de l'OS de Microsoft est prévu à l'automne 2012. " (20.10.2011)
Santé > L’ASIP Santé est chargée par les pouvoirs publics d’élaborer et de mettre en œuvre une politique générale de sécurité des systèmes d'information de santé
"La dématérialisation croissante de la gestion des données personnelles de santé impose en effet de définir des mesures de sécurité adaptées aux risques encourus pour assurer aux patients et aux professionnels de santé la confiance nécessaire. Cette nouvelle politique pourra s’accompagner d’une adaptation du cadre juridique." (20.10.2011)
Surveillance des personnes > Le mouchard du gouvernement allemand disséqué par des hackers
Autre article à ce sujet. (20.10.2011)
Virtualisation > 65% des entreprises perdent régulièrement des données d'environnements virtuels
Résultats d'une étude.
(20.10.2011)
Cybercriminalité > Selon les agents fédéraux les cybercrimes sont plus faciles à commettre
Peu de coûts et peu de risques.
(20.10.2011)
Cloud computing > Le CSA publie le "Trusted Cloud Initiative"
Guide intitulé “Trusted Cloud Initiative Quick Guide to the Reference Architecture”.
Les principales menaces de sécurité du cloud.
La sécurité du cloud de l'appréhension à l'intégration
(20.10.2011)
DLP > Un hôpital perd une clef USB contenant des données de 800 patients
Faut-il alors bannir les clefs USB?
Un prestataire remet à une personne non autorisée un tableau contenant des données de patients. (20.10.2011)
Smartphones > 5 risques des mobiles sur les réseaux
Erreurs de sécurité dans le logiciel. jailbreaking du smartphone, etc.
Quel smartphone est le plus sûr? (13.10.2011)
Bases de données > 5 mauvaises pratiques de chiffrement des bases de données
Conserver les clefs à un mauvais endroit, ne pas centraliser la gestion des clefs, etc.
(13.10.2011)
Smartphone > Géolocalisation : l’iPhone bavarde pendant votre sommeil…
"Les experts de la CNIL ont analysé les communications d'un l'iPhone contenant des informations de géolocalisation. Contrairement à d'autres solutions choisies par des concurrents, lorsqu'un utilisateur demande à être géolocalisé, c'est le téléphone lui-même qui calcule sa propre position à l'aide des informations fournies par Apple. Mais surprise : l'iPhone bavarde aussi avec Apple pendant votre sommeil…" (13.10.2011)
Protection des données > Droit à l'oubli sur internet : injonction de cesser le traitement et amende de 10 000 euros pour LEXEEK
"Le 12 juillet 2011, la formation contentieuse de la CNIL a prononcé une injonction de cesser le traitement à l'encontre de l'association LEXEEK. Elle l'a également sanctionnée d'une amende de 10.000 euros." (13.10.2011)
Protection des données > Innovation et Prospective, des priorités stratégiques pour la CNIL
"La CNIL publie le premier numéro de la lettre trimestrielle IP, Innovation & Prospective, destinée à nourrir la réflexion et les débats sur les enjeux en matière de protection des données personnelles et de la vie privée." (13.10.2011)
Wi-Fi > Les utilisateurs estiment que leur réseau WI-Fi est bien sécurisé
Mais l'est-il vraiment? Résultats d'un sondage. (13.10.2011)
Sécurité > La "security by obscurity" pas si mal que ça
Résultats d'un travail de recherche.
(13.10.2011)
POSI > 4 contrôles critiques du SANS
No 3.
No 4
No 5
No 6. (11.10.2011)
Rapport > Bulletin d'actualité 2011-39 du CERTA
Attaques récentes sur SSLv3.0/TLSv1.0, etc. (11.10.2011)
Gestion de projets > 5 conseils pour gérer les risques de très grands projets
D'abord : implication total et support total de la Direction.
(11.10.2011)
Formation > Campagne de sensibilisation « Safer Internet, Safer Sex »
"La nouvelle campagne de sensibilisation de l’initiative BEE SECURE ayant débuté le 24 septembre lors du festival “On Stéitsch” du SNJ durera jusqu’à la fin de l'année prochaine." (11.10.2011)
POSI > 10 points essentiels
Nommer un RSI, rapporter sur la sécurité, développer la gouvernance, etc.
(11.10.2011)
Code malveillant > Nettoyer le site web suite à une attaque XSS n'est peut être pas suffisant
Selon un expert le site pourrait être infecté indéfiniment. (11.10.2011)
Audit > Les conséquences d'un rapport d'audit négatif
Moins mauvaises qu'on pourrait le penser. (11.10.2011)
TCP/IP > Protocole Internet version 6 / IPv6
Explications, éléments clefs de sécurité, documentation disponible.
(11.10.2011)
Protection des donnés > 50 questions sur la loi informatique et libertés et les collectivités locales
"Une nouvelle édition des "50 questions" publiée dans le numéro d'octobre 2011 du Courrier des Maires rappelle, sous la forme de questions-réponses thématiques, l'ensemble des obligations qui incombent aux collectivités locales." (11.10.2011)
Firewall > Gérer le firewall Windows avec GPO
Facilite la gestion centralisée. (6.10.2011)
Sécurité Internet > Connections non sécurisées
Sécuriser les bases : messagerie électronique, FTP, etc.
(6.10.2011)
Surveillance > Surveillance en continu de la sécurité de l'information
Nouvelle publication du NIST.
(6.10.2011)
Données > Big Data : les progrès de l’analyse des données
"Nous voici entré dans l'ère des Big Data des ensembles de données tellement gigantesques qu'ils nécessitent de nouveaux outils techniques et scientifiques pour les comprendre et en tirer du sens. Un déluge de données qui pose des questions profondes sur leur collecte, leur interprétation, leur analyse..." (6.10.2011)
Publications > Journal of Accountancy d'octobre 2011
iPad : ses forces et faiblesses
Risk management RIMS, dont l'évolution et l'impact de la cybercriminalité.
SC Magazine US. (6.10.2011)
Smartphones > Les smartphones et la sécurité de l'entreprise
Autre article : Risques des mobiles dans l'entreprise et mesures organisationnelles.
(6.10.2011)
Réseaux sociaux > Facebook corrige une erreur liée aux cookies
Permettait de traquer les utilisateurs après avoir quitté le site. (6.10.2011)
Normes > Standard de bonnes pratiques pour les professionnels de la sécurité de l'information
Publication de l'Information Security Forum (ISF).
(6.10.2011)
Coûts IT > 10 actions permettant de réduire de plus de 25% les coûts de l'infrastructure et des opérations
Du Gartner.
(6.10.2011)
Identification/Authentification > 10 métriques importantes de gestion des identités
Par exemple, nombre de mots de passe changés mensuellement, nombre de comptes génériques, etc.
(3.10.2011)
BCM / BCP > Concept national DRP
Guide du FEMA. (3.10.2011)
Gouvernance du SI > DSI et directions métiers peinent toujours à se comprendre
"Si DSI et directions métiers semblent s’accorder sur la contribution de l’IT à l’entreprise, une analyse plus fine met en exergue de profondes divergences sur les questions de la qualité de service, de la compréhension des besoins métiers et même les priorités de l’informatique." (3.10.2011)
Rapport > Bulletin d'actualité 2011-38 du CERTA
Du 23 septembre 2011.
(3.10.2011)
Bases de données > Une saine sécurité des bases de données débute par la segmentation
Segmenter le réseau et séparer les données. (3.10.2011)
Protection des données > Le service "plaintes en ligne" conforme au référentiel général de sécurité (RGS)
"Le téléservice de plaintes en ligne de la CNIL a été mis en conformité avec le référentiel général de sécurité (RGS). La Commission s'engage ainsi dans une démarche d'amélioration continue de la sécurité des services offerts aux usagers, basée sur une véritable gestion des risques." (3.10.2011)
Protection des données > Professionnels de santé : un guide pour mieux comprendre les enjeux de la protection des données
"Les acteurs de la santé sont amenés à mettre en place ou à utiliser un nombre croissant de fichiers informatisés. Parce qu'elles relèvent de l'intimité et de la vie privée des patients, les informations contenues dans ces fichiers doivent faire l'objet d'une protection renforcée. Le guide des professionnels de santé fait le point sur les droits et les obligations prévues par la loi informatique et libertés." (3.10.2011)
Protection des données > Carton rouge pour les Pages Jaunes
"En mars 2010, la société Pages jaunes a étoffé son site internet www.pagesblanches.fr, en ajoutant aux résultats classiques de l’annuaire, un ensemble de données issues de celles figurant sur six réseaux sociaux. En quelques semaines, la société avait ainsi aspiré environ 34 millions de profils. La formation contentieuse de la CNIL a considéré que l’aspiration de ces informations sur les sites des réseaux, à l’insu des personnes concernées, était déloyale et donc contraire à la loi "Informatique et Libertés". En conséquence elle a décidé de prononcer un avertissement public à l’encontre de cette société." (3.10.2011)
Criminalité > Prévention Suisse de la Criminalité > autoportrait
"La Conférence des Chefs des Départements cantonaux de Justice et Police (CCDJP) est promotrice de la Prévention Suisse de la Criminalité (PSC). Celle-ci est composée d’une commission de direction, d’un service spécialisé dont le siège est à Neuchâtel, d’une commission spécialisée et d’une commission des campagnes." (3.10.2011)
--------------------------------------------------------------------------------
Copyright © 2011 Aud-IT Sàrl Geneva. All rights reserved