News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information
News - Archives mars 2012
BCM/DRP > Les plans de continuité des affaires devraient intégrer la sécurité
Par exemple, tester les mesures de sécurité, former les collaborateurs et tester les plans. (30.3.2012)
Sécurité des réseaux > Contrôler son réseau avec NAC
Network Access Control est essentiellement un mécanisme qui ne permet qu'aux équipements, qui sont compatibles avec une politique de sécurité spécifique, d'accéder aux ressources du réseau. (30.3.2012)
Réseaux sociaux > Aux Etats-Unis, des employeurs demandent à des candidats leur mot de passe Facebook
"Deux sénateurs américains ont demandé au gouvernement de déterminer si le fait qu'on demande aux employés leurs mots de passe à des réseaux sociaux enfreignait les lois fédérales." (30.3.2012)
NFC > Risques de fraudes des cartes de crédit et autres
Des smartphones dotés de la technologie NFC peuvent accéder aux informations sensibles qui se trouvent sur les cartes.
(30.3.2012)
Cryptographie > Qui détient les clefs de chiffrement?
La gestion des clefs doit se faire par des professionnels.
(30.3.2012)
Botnets > Code de conduite anti-botnet pour les ISP
Initiative sous les hospices de la FCC.
(30.3.2012)
Norme > Réserver votre copie CobiT 5
Sortie prévue mi-avril 2012.
(30.3.2012)
Rapport > Bulletin d'actualité 2012-12 du CERTA
Vulnérabilités Microsoft RDP, rappel des avis émis et actions suggérées. (30.3.2012)
Vulnérabilité des SI > Et si la sécurité baissait les bras ?
"J'ai assisté mercredi à la matinée CNIS Mag, événement annuel réunissant RSSI, vendeurs, juristes et experts autour de la problématique de la vulnérabilité des SI. Cet événement fort intéressant et réussi m'a toutefois laissé un goût amer." (30.3.2012)
Piratage > Une majorité de webmasters ignorent comment leur site a été piraté
"Selon un rapport publié par StopBadware et Commtouch, la plupart des propriétaires de sites web ayant subi des attaques ne savent pas comment ceux-ci ont été piratés. Et seulement 6 % d'entre eux parviennent à détecter eux-mêmes une activité malveillante." (28.3.2012)
Menaces internes/externes > 3 moyens pour combattre les menaces internes
D'abord il faut rédiger un programme des menaces internes.
(28.3.2012)
Big Data > Big Data et les solutions analytiques
Solutions proposées par IBM. (28.3.2012)
Rapports > Rapport d'investigation DLP 2012
De Verizon Business.
Vol de données : plus d’hacktivistes que d’escrocs.
IBM X-Force : Des applications plus sécurisées, mais les pirates s'adaptent. (28.3.2012)
Juridique > Terrorisme et Internet : la mesure de Nicolas Sarkozy bancale juridiquement
"Transposer le principe du droit existant en matière de lutte contre la pédopornographie à la lutte contre le terrorisme, c’est la proposition du président candidat. Mais en quête de suffrages, Nicolas Sarkozy privilégie la communication politique et néglige les questions de faisabilité juridique, voire d’efficacité."
Article de l'EFF à ce sujet.
Le CNNum a envoyé une lettre ouverte au Président afin de l’alerter sur les risques d’une loi pénalisant la consultation de sites « terroristes ». (28.3.2012)
Juridique > Le Conseil constitutionnel censure le « fichier des honnêtes gens »
"Les opposants au fichier biométrique centralisé respirent. Dans un avis publié aujourd’hui, les Sages ont déclaré anticonstitutionnels plusieurs articles de la loi relative à la protection de l'identité." (28.3.2012)
DLP > Principale raison du vol / de la perte de données
Les employés négligents. (28.3.2012)
Sécurité de l'information > Intégrer la sécurité physique et la sécurité logique
Souvent ce sont des entités séparées qui ne se causent pas. (26.3.2012)
Protection des données > Débuter par sécuriser la porte d'entrée
Les méthodes d'attaques communes ne sont pas forcément compliquées. (26.3.2012)
Virtualisation > Sauvegardes dans des environnements virtualisés
5 bons conseils.
(26.3.2012)
Publications > Revue des risques 2012
Publiée par PwC.
Magazine (IN)SECURE de mars 2012.
Flash informatique no 3 du domaine informatique de l'EPFL. (26.3.2012)
Virus > Un Trojan utilise un certificat valide avec une clé privée de chiffrement volée
"La semaine dernière, Kaspersky Lab a découvert qu'un Trojan du nom de Mediyes, en circulation actuellement, était signé par un certificat numérique valide appartenant à la société suisse Conpavi AG et émis par Symantec. Au cœur du problème, le vol de la clé privée de chiffrement." (26.3.2012)
Cloud computing > Considérer les risques lors de l'acquisition de services cloud
6 bons conseils.
Le service IT doit adapter son approche aux services cloud et intégrer les métiers dans cette approche. (26.3.2012)
Cloud computing > En cas d'action légale, vos données dans le cloud pourraient être saisies
Par exemple, elles se trouvent sur le même serveur que les données de l'entreprise concernée par la plainte et qui sera saisi (le serveur) par la justice.
(26.3.2012)
Cyberguerre > Les US accélèrent la recherche de cyberarmes
Détruire les réseaux militaires des ennemis, même si ceux-ci ne sont pas connectés à Internet. (26.3.2012)
Cryptographie > Sécurité de la clef privée
Rappel des meilleures pratiques pour sécuriser la clef privée.
(26.3.2012)
Protection des données > Votre poste TV vous surveille-t-il?
De nouvelles fonctionnalités le permettraient. (26.3.2012)
Rapport > Bulletin d'actualité 2012-11 du CERTA
Mises à jour de sécurité MS, mise à jour Cisco, etc.
(22.3.2012)
Protection des données > Partager votre soirée… ou pas. A vous de faire les bons choix !
"Depuis plusieurs années, la CNIL mène des actions à destination des jeunes, des enseignants et des familles pour les sensibiliser aux bonnes pratiques sur les réseaux sociaux. A l'occasion de la Fête de l'internet, la CNIL innove et lance une campagne web de sensibilisation à destination des jeunes pour leur faire prendre conscience de l'impact que peuvent avoir leurs publications sur les réseaux sociaux." (22.3.2012)
Protection des données > Nouvelles règles de confidentialité de GOOGLE : la CNIL adresse un questionnaire détaillé
"Comme elle l’avait annoncé le 28 février, la CNIL a envoyé à Google un questionnaire détaillé sur ses nouvelles règles de confidentialité." (22.3.2012)
Libération des équipements > Ne pas oublier d'effacer définitivement les données
Par exemple, avant de les vendre ou de les donner à des associations caritatives.
(22.3.2012)
Sécurité de l'information > Inventaire des sources de sécurité de l'information
Questionnaire proposé par l'ENISA. (22.3.2012)
Normes > SAS 70
Et SSAE 16.
(22.3.2012)
MDM > Mobile Device Management
Ne pas confondre avec MDM : Master Data Management. (22.3.2012)
Big Data > Les métiers liés au Big Data
Data mining, virtualisation des données, etc.
10 mythes sur Hadoop.
(22.3.2012)
Tablettes électroniques > Nouvel iPad > Conseils et trucs
Ça risque de chauffer.
(22.3.2012)
Protection des données > Applications indiscrètes : plaintes en série aux Etats-Unis
"Plusieurs mobinautes américains ont lancé une procédure contre plusieurs éditeurs (dont ceux de Facebook et Twitter) accusés d'utiliser sans autorisation le carnet d'adresses." (21.3.2012)
CSO/CISO > A qui doit rapporter le CISO?
Pour répondre à cette difficile question, l'auteur propose 3 types de CISO : TISO, BISO, SISO.
(21.3.2012)
Smartphones > Les apps de gestion des mots de passe sont-elles efficaces?
Résultats d'une analyse de 17 apps populaires.
(21.3.2012)
Hacker > Plus de 25'000 personnes ont déchargé un OS d'Anonymous
Qui est rempli de virus.
(21.3.2012)
Juridique > 40% des sites Internet gouvernementaux US ne respectent pas un règlement de sécurité
Ce règlement les oblige de déployer une couche supplémentaire d'authentification sur leur sites Web pour empêcher les pirates de détourner le trafic Internet et de le rediriger vers des sites factices. (21.3.2012)
BYOD > Smartphones persos en entreprise : le point sur le BYOD, une tendance de fond
"Analyse - L'arrivée des smartphones personnels dans les entreprises remet en cause les politiques de gestion et de sécurité. Quelles sont les tendance du phénomène BYOD (bring your own device), comment accompagner ces transformations ? Orange publie avec BearingPoint un livre blanc et étoffe ses solutions." (21.3.2012)
Droit à l'oubli > Droit à l’oubli, un combat perdu d’avance?
"Pouvoir disparaître totalement ou partiellement du Net, effacer des données gênantes ou compromettantes. Pouvoir s'offrir une deuxième vie en ligne. Est-ce possible ? Peut-être, mais ce n'est pas facile." (21.3.2012)
Cybercriminalité > Des cartes SIM frauduleuses à l'assaut des banques en ligne
"Une société spécialisée dans les solutions de sécurité pointe du doigt les méthodes de certains cybercriminels pour obtenir des cartes SIM d'abonnés et réaliser ainsi des transactions frauduleuses en contournant les protections des banques en ligne." (19.3.2012)
Sécurité des données > 5 importantes erreurs de sécurité commises
Assumer que le processus de patching est sous contrôle, ignorer les applications qui s'exécutent, ne pas déceler / analyser les anomalies, etc. (19.3.2012)
DLP > Services DLP dans le cloud
Avantages et risques, par exemple que c'est le prestataire qui analyse les données du client.
(19.3.2012)
Normes > CobiT 5 arrive en avril 2012
Réserver vos copies personnelles.
(19.3.2012)
Réseaux sociaux > Les photos géolocalisées sur Facebook mettent la vie des militaires en péril
Il convient d'informer les militaires sur ces risques qui peuvent également toucher des membres de leur famille.
(19.3.2012)
Cyberguerre > Les cyber capacités d'une puissance internationale pourraient mettre en danger les forces militaires d'une autre puissance internationale
Rapport du Congrès US.
(19.3.2012)
Green IT > Efficience énergétique du réseau
Surveiller et analyser sa consommation énergétique, les coûts de la redondance, les avantages du cloud, etc.
(19.3.2012)
Publication > Le magazine «Eisbrecher» de l'OFIT
Edition no 45 de mars 2012.
(19.3.2012)
Cyberattaques > Les hackers apprécient LinkedIn
Attaques du type "spear phishing". (19.3.2012)
Identification / authentification > Mise en place d'une authentification multi facteurs
Authentification forte : points à considérer lors de la mise en place. (19.3.2012)
Tracking > "Collusion" : add-on de Firefox
Découvrez qui vous traquent en ligne. (19.3.2012)
Virus > Conflcker constitue toujours une menace pour les entreprises
Rapport de MS. (16.3.2012)
Cloud computing > Le cloud personnel va remplacer l'ordinateur personnel
Les 5 mégas tendances selon Gartner.
(16.3.2012)
Cloud computing > Cloud computing efficace
Guide publié par l'ISACA.
L'impact possible du cloud sur les fonctions liées à la sécurité informatique.
(16.3.2012)
Cloud computing > 5 signes indiquant que vous avez perdu le contrôle de vos applications cloud
5 signes que votre solution IAM ne fonctionne pas avec l'augmentation du nombre d'applications cloud. (16.3.2012)
Rapport > Bulletin d'actualité 2012-10 du CERTA
Prolongation des serveurs de remplacement « DNSChanger », Compromission du site Web GitHub, etc. (16.3.2012)
Gestion des biens > Demande accrue pour le SAM (Software asset management)
"Software asset management is about better planning and control of a company's software assets to handle technological or organizational changes and the ensuing risks that could be brought about by using these tools." (16.3.2012)
Cyberattaques > La non publication de cyberattaques n'est pas seulement due aux risques de réputation / image
C'est en partie dû au fait que les entreprises ne disposent pas de politiques en cas de cyberattaques et/ou ne savent pas comment les gérer.
Les directions devraient admettre qu'elles ont été attaquées.
(16.3.2012)
DLP > Les PME sont plus vulnérables à la perte / vol de données
Principale raison : la négligence des collaborateurs. (16.3.2012)
Smartphones > Protéger son téléphone
"Vous n’avez jamais oublié votre téléphone portable dans une soirée, dans les transports en commun ? Vous avez de la chance. Si jamais cela vous arrive, voici les bons réflexes à avoir pour éviter les mauvaises surprises au cas où votre précieux compagnon tomberait entre de mauvaises mains." (16.3.2012)
Téléphones cellulaires > Les brouilleurs de téléphones cellulaires sont illégaux
Selon la FCC.
(14.3.2012)
Cyberattaques > Les 6 plus dangereuses attaques de sécurité de l'information
Liées à DNS, SSL, etc. (14.3.2012)
Smartphones > Nouvel outil d'Apple pour configurer et gérer les iPhones et les iPads
"Apple Configurator". (14.3.2012)
Big Data > Applications pratiques du Big Data
Explications, utilisations pratiques, Hadoop, etc. et un nouveau métier " le scientifique des données". (14.3.2012)
Virtualisation > 3 problèmes importants de sécurité de la virtualisation
Manque de visibilité du trafic réseau, etc.
(14.3.2012)
Juridique > Contestée, la carte d'identité biométrique a été définitivement adoptée
"Le texte, adopté par les députés le 6 mars 2012, crée une nouvelle carte d'identité électronique et un fichier central réunissant les données biométriques de l'ensemble des détenteurs de la carte mais aussi du passeport."
Mise en garde de l'EFF.
(14.3.2012)
Juridique > Le Parlement crée un mégafichier pour lutter contre l'usurpation d'identité
"Le Parlement a adopté définitivement, mardi 6 mars, par un vote de l'Assemblée, la proposition de loi visant à lutter contre les usurpations d'identité, en instaurant un mégafichier des données biométriques de tous les Français." (14.3.2012)
Rapport > Note d'information 2012-INF-002 du CERTA
Les défigurations de sites Web. (14.3.2012)
Protection des données > Téléphonie fixe ou mobile : un guide pour faire respecter vos droits sur toute la ligne !
"Vous avez souscrit un abonnement de téléphonie fixe ou mobile auprès d'un opérateur de téléphonie ou d'un fournisseur d'accès à Internet (FAI). A cette occasion, vous communiquez des informations à votre opérateur, qui les exploite pour gérer votre abonnement ou vous proposer des services." (14.3.2012)
ITIL > Rôles conflictuels
Et ceux créant des synergies. (14.3.2012)
Malware > Un outil DDOS trafiqué pour piéger les fans d'Anonymous
"Selon Symantec, des cybercriminels ont ciblé les partisans du groupe d'hacktivistes Anonymous en diffusant un outil de déni de service modifié dans lequel ils ont intégré le malware Zeus." (14.3.2012)
Big Data > Big Data = Big Market et Big Business
Les principaux vendeurs.
Big Data, la virtualisation et le cloud privé.
Le Big Data permettra-t-il d'améliorer la sécurité?
Autre article à ce sujet. (12.3.2012)
Equipements mobiles > Conseils pour développer une stratégie de gestion des équipements mobiles
Doit être simple et facile à respecter.
(12.3.2012)
Cloud computing > L'informatique hybride va transformer le rôle de l'informatique
Rapport du Gartner. (12.3.2012)
Smartphones > Vous avez perdu votre smartphones?
50% de chance de le retrouver et presque 100% de chance que celui qui le trouve analyse vos fichiers et vos applications. (12.3.2012)
IAM > Moins de 30% des grandes entreprises vont bloquer les réseaux sociaux en 2014
3 impacts significatifs des réseaux sociaux sur l'IAM.
(12.3.2012)
Mots de passe > Si votre de passe c'est "Motdepasse1" changez le immédiatement
"La sécurité commence par un bon mot de passe." (12.3.2012)
Protection des données > Publication du nouveau numéro de la Lettre IP Innovation et Prospective
"Le n°2 de la lettre IP Innovation et Prospective vient de paraître. Il a pour thème principal les smartphones, objet de paradoxe : à la fois concentrateur et producteur de données personnelles, le smartphone reste malheureusement une boîte noire pour son possesseur et ce, alors même qu'un fort besoin de protection de ses données se fait sentir." (12.3.2012)
Skimming > Comment combattre la fraude de cartes bancaires
Conseils pour mitiger les risques.
« Stop skimming » – une campagne de sensibilisation contre les fraudes à la carte bancaire. (12.3.2012)
Sauvegarde / restauration > 6 outils de restauration des données USB et autres équipements mobiles
Outils testés et résultats des tests.
(9.3.2012)
Cloud computing > Choisir une solution de sauvegarde et de DRP du cloud
Quels fichiers à stocker dans le cloud? Sauvegarde manuelle, planifié ou en temps réel? Etc.
Les services de cloud personnel vont fortement se développer.
Tests fonctionnels d'un service cloud. (9.3.2012)
SDLC > Les défis de la sécurité des applications
Les craintes des entreprises et 3 approches à considérer.
(9.3.2012)
Cyberattaques > Des hackers contrôlaient totalement les ordinateurs de la NASA
Résultats d'un audit.
(9.3.2012)
Tracking > Fournir à l'utilisateur des informations sur ceux qui le traquent
Nouvel outil (add-on) proposé par Mozilla.
(9.3.2012)
BYOD > Les DSI acceptent le BYOD
Ce qui peut causer des failles de sécurité.
BYOD et le cloud : le dilemme de l'IT. (9.3.2012)
Protection des données > La nouvelle politique de protection des données de Google
Le profilage du consommateur.
Le politique de protection des données de Google est illégale. (9.3.2012)
Cybersurveillance > Les meilleures techniques informatiques des services secrets français
"En marge de leurs investigations sur le patron de la DCRI, les auteurs de L’Espion du président décrivent les capacités de surveillance des hommes de l’ombre. Voici les meilleurs passages." (9.3.2012)
Smartphones > RSA 2012 : des Trojans pour espionner les smartphones
"Des experts ont montré sur la RSA Conférence 2012 comment prendre à distance le contrôle d'un smartphone pour espionner les conversations téléphoniques, les messages ou vidéos et localiser l'utilisateur du terminal." (6.3.2012)
Windows 8 > Microsoft aurait-il fait un cadeau aux hackers ?
"Microsoft a reconnu avoir intégré à Windows 8 une fonction qui lui permet de désinstaller des applications à distance sur les PC de ses utilisateurs. Pour certains, cette fonction est une porte ouverte pour les hackers. Vraiment ?".
La check-list avant d'installer Windows 8. (6.3.2012)
Sécurité des réseaux > Moyens de défense contre les attaques pernicieuses
Déceler les comportements bizarres des utilisateurs, détecter les mouvements latéraux à l'intérieur du réseau, etc.
(6.3.2012)
Smartphones > Sécurité des terminaux mobiles, nouveau casse-tête pour les entreprises
"La généralisation des smartphones et, dans une moindre mesure, des tablettes grand public dans les entreprises obligent ces dernières à repenser leur politique de gestion et de sécurité." (6.3.2012)
TCP/IP > Sécurité IPv6 : Difficile mais réalisable
ISACA : Programme d'audit de la sécurité IPv6. (6.3.2012)
Sécurité de l'information > Les départements informatiques risquent de perdre la responsabilité de la sécurité de l'information
Les grandes entreprises vont transférer cette responsabilité au département conformité et risques.
(6.3.2012)
Smartphones > Faille iOS : des applications pourraient récupérer les photos et vidéos d’un utilisateur
"C’est ce qu’a découvert le New York Times après avoir effectué un test avec une application iOS ayant accès aux données géolocalisées contenues dans les photos et vidéo." (6.3.2012)
BCM/DRP > Le BCM et les réseaux sociaux
Selon Gartner, 75% des entreprises ayant des programmes BCM disposeront de services de réseaux sociaux dans leurs stratégies de communications de crise d'ici à 2015.
(6.3.2012)
SDLC > Mesurer et analyser la sécurité du logiciel
Outils et méthodes proposés par le CERT.
(6.3.2012)
Infrastructures critiques > Les défis pour sécuriser les systèmes gérant les infrastructures intelligentes (smart grids)
Du GAO.
(6.3.2012)
SSL > HTTPS Everywhere
Chiffrez vos communications lorsque vous surfez. (4.3.2012)
Big Data > Risques de sécurité et avantages des big data
La collection de masse d'informations peut impacter leur qualité, ainsi que leur sécurité.
(4.3.2012)
NFC > La technologie de paiements via mobile se développe rapidement
Mais est-ce que les utilisateurs l'adopteront facilement?
(4.3.2012)
Publication > Journal of Accountancy
Edition de mars 2012.
Approche stratégique de budgétisation du SI.
(4.3.2012)
Cyberattaques > Anatomie d’une attaque informatique des Anonymous
"Des chercheurs en sécurité d’Imperva ont décortiqué une attaque échelonnée sur 25 jours lancée en 2011 par les Anonymous. Il ressort que les Anonymous se composent de hackers confirmés, en petit nombre, utilisant des outils conventionnels et de membres techniquement novices pour la phase de DDoS." (4.3.2012)
Identification / authentification > Le mot de passe n'est pas / plus suffisant
Mettre en place une authentification forte.
(4.3.2012)
Métiers du SI > Compétences cloud computing dès 2012
Architecte cloud de l'entreprise, spécialiste sécurité du cloud, spécialiste administration du cloud. (4.3.2012)
Cloud computing > Conférence RSA 2012
Développer des systèmes cloud sûrs.
Dernières initiatives du CSA (Cloud Security Alliance) pour sécuriser les équipements mobiles. (4.3.2012)
Rapports > Un nouveau maliciel en circulation qui bloque le PC et exige un payement
"La Centrale d’analyse et de prévention MELANI a été informée du fait qu’un maliciel est en circulation. Ledit bloque toute fonction de l’ordinateur."
Bulletin d'actualité 2012-09 du CERTA. (4.3.2012)
Gestion des enregistrements > Améliorer la gestion des enregistrements
Les problèmes et les conseils pour les régler. (4.3.2012)
--------------------------------------------------------------------------------
Copyright © 2012 Aud-IT Sàrl Geneva. All rights reserved