News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives mai 2012

Normes > Norme ISO 22031 pour assurer la continuité d'activité
"Afin de pouvoir assurer une continuité des opérations en cas de sinistre majeur, l'Organisation Internationale de Normalisation (International Organization for Standardization) a lancé l'ISO 22301. Il s'agit de la première norme au monde pour le management de la continuité de l'activité. Elle offre un ensemble d'exigences pour améliorer le système de management de crise."
Site de l'ISO. (30.5.2012)

TCP/IP > Se préparer au passage à IPv6
Autre article à ce sujet. (30.5.2012)

Cloud computing > Les entreprises devraient vérifier que les prestataires de services cloud protègent leurs données critiques
Par exemple, elles devraient s'assurer que ces prestataires sont certifiés ISO 27001 ou autres certifications reconnues. (30.5.2012)

Protection des données > Eliminer les données confidentielles plus nécessaires
Plus il y en a, plus les risques de vol augmentent. (30.5.2012)

Equipements mobiles > Les défis à relever par la DSI
3 conseils pour sécuriser vos équipements mobiles dans l'entreprise. (30.5.2012)

Cloud computing > Les services cloud fournis seront décrits dans des SLAs
Comme ils le sont déjà pour les services d'outsourcing. (30.5.2012)

Wi-FI > Wi-Fi public : risques et sécurité
"Alors que le nombre d'appareils connectés via Wi-Fi devrait dépasser celui d'êtres humains vivant sur Terre, la société Veracode propose une analyse pessimiste de la situation où connexion Wi-Fi rime avec RISQUES." (30.5.2012)

Tracking > Nouveaux moyens pour vous traquer via vos équipements mobiles
Grâce à l'Indoor Positioning System (IPS). (30.5.2012)

Infrastructures critiques > Processus de gestion des risques
Autre article : 2 rapports sur les risques de faibles probabilités, mais d'impacts critiques. (30.5.2012)

Technologie > Evolution des technologies de sécurité
Celles qui vont se développer et celles qui vont décliner. (30.5.2012)

Données > 5 conseils pour nettoyer vos données
Ce sont les données incomplètes, erronées ou caduques. (30.5.2012)

Rapport > Forte augmentation des malwares
Rapport de McAfee. (25.5.2012)

BYOD > IBM bannit l’usage d’iCloud, Siri et Dropbox sur les smartphones de ses employés
"Si Big Blue autorise ses salariés à utiliser leur terminal mobile personnel pour accéder à son réseau, ils sont auparavant contrôlés et paramétrés pour retirer toute application susceptible de causer une fuite d’informations sensibles."
Des règlements BYOD sont essentiels. (25.5.2012)

Gestion des enregistrements > Conseils pour une approche unifiée de gestion des enregistrements
Définir une politique, la publier et l'installer. Le cycle de vie de l'information et la conformité légale sont prioritaires. (25.5.2012)

TCP/IP > Les défis de sécurité d'IPv6
"Il ne fait aucun doute que le lancement mondial imminent du protocole IPv6 le 6 juin 2012 annonce la prochaine ère de l'infrastructure Internet dans le monde entier, à la fois en termes d'évolution et d'adoption généralisée. Il pose néanmoins quelques questions sur le plan de la sécurité." (25.5.2012)

Botnets > Mesures proactives des PSI contre les botnets
Document publié par l'Organisation de Coopération et de Développement Économiques (OCDE/OECD). (25.5.2012)

TCP/IP > nmap version 6
Nouvelle version qui supporte IPv6. (25.5.2012)

Protection des données > La CNIL adresse un questionnaire complémentaire à Google suite à ses réponses insuffisantes sur ses nouvelles règles de confidentialité
"La CNIL a été désignée par le groupe des CNIL européennes pour mener l'analyse des nouvelles règles de confidentialité de Google. Dans ce cadre, la CNIL a adressé à Google, le 16 mars dernier, un questionnaire sur ces nouvelles règles. Google a fourni des réponses à l'ensemble des questions le 20 avril." (25.5.2012)

Protection des données > Le service "Google Takeout"
Ce qu'il inclut, n'inclut pas. Comment effacer des données personnelles? (25.5.2012)

Identification / authentification > Les mots de passe sont-ils encore des moyens d'authentification efficaces?
Ne serait-il pas plus efficace d'identifier le comportement de l'utilisateur?
Des risques de l'authentification forte. (25.5.2012)

Réseaux sociaux > Evaluation des risques des réseaux sociaux
Document du SANS du 16 mai 2012. (25.5.2012)

BYOD > Politique de sécurité des équipements mobiles se connectant au cloud
Proposition de 3 mesures. (23.5.2012)

Equipements mobiles > Conseils pour sécuriser les équipements mobiles
Dans le domaine de la santé. (23.5.2012)

CSO/CISO > Séparer les responsabilités du CISO
Le CSO (Chief security officer) et le CISTO (chief information security technology officer).
Discussions autour d'une table ronde composée de 15 CISO. (23.5.2012)

Firewall > Les firewalls sont-ils utiles?
Article du SANS avec des commentaires intéressants. (23.5.2012)

Mots de passe > La politique de création des mots de passe est l'ennemi des passphrases
Les utilisateurs ont du mal à se mémoriser les mots de passe complexes et doivent alors trouver une option "simple" pour ne pas les oublier. (23.5.2012)

Mac > Les utilisateurs Mac sont-ils conscients que des virus peuvent attaquer leur ordinateur?
Pas vraiment selon cet article.
Conseils pour sécuriser votre Mac. (23.5.2012)

Cloud computing > Concept de certification du cloud proposé par le CSA
Quelques questions intéressantes liées à la sécurité du cloud. (23.5.2012)

Smartphones > La sécurité des smartphones est dangereusement menacée
Ceci est en particulier dû aux standards de chiffrement dépassés et aux vulnérabilités inhérentes du processeur de base. (23.5.2012)

Risques informatiques > 43% des entreprises ont "peu de visibilité" sur les risques informatiques qu'elles courent
"Selon une étude réalisée par Hewlett-Packard, les stratégies des professionnels de la sécurité informatique en Europe seraient encore insuffisantes, bien que ces derniers estiment être sur la bonne voie. Les « erreurs accidentelles » des collaborateurs sont citées comme étant la principale menace pour la sécurité des informations des organisations."
(23.5.2012)

Gestion des risques > Le secteur financier gère mieux les cybermenaces que le secteur énergétique et le secteur public
Résultats d'une enquête. (21.5.2012)

Sauvegarde / Restauration > Sauvegarde iCloud
Et comment la police peut accéder à ces données. (21.5.2012)

Rapport > IC3 2011 Internet Crime Report
Publié par l'Internet Crime Complaint Center (IC3). L'annexe 1 contient des mesures de prévention contre la cybercriminalité. (21.5.2012)

Gestion des risques > 4 moyens d'identifier les menaces réelles de votre entreprise
Automatiser l'analyse des logs, échanger des données sur les menaces, etc. (21.5.2012)

Cloud computing > Les applications critiques ne devaient pas (encore) migrer sur le cloud public
Des défis techniques et non techniques doivent d'abord être réglés. (21.5.2012)

ERM > Les raisons des échecs de l'ERM
Manque de leadership de la Direction, prendre des risques imprudemment, etc. (21.5.2012)

Piratage > Près de 40% des logiciels installés en France sont piratés
"La proportion de logiciels installés (illégalement) sans licence a atteint 37% en France en 2011, selon la Business Software Alliance (BSA) qui publie, mardi 15 mai, son étude mondiale 2011 sur le piratage de logiciels. La valeur commerciale de ce piratage est estimée à 1,98 milliard d'euros. Au total, 40% des utilisateurs d'ordinateurs en France ont déjà récupéré des logiciels piratés."
L'enquête du BSA. (21.5.2012)

Tests d'intrusion > Tests d'intrusion internes
Article du SANS du 11.5.2012. (21.5.2012)

Rapports > Bulletin d'actualité 2012-19 du CERTA
Et bulletin d'actualité 2012-20. (21.5.2012)

Protection des données > Mesurer pour progresser vers l'égalité des chances : la CNIL et le Défenseur des Droits publient un guide méthodologique à l'usage des acteurs de l'emploi
"La lutte contre les discriminations est au centre des politiques publiques menées par notre pays depuis plusieurs années, et la CNIL et le Défenseur des droits sont pleinement mobilisés, chacun dans leur domaine de compétence, dans la poursuite de cet objectif." (21.5.2012)

BYOD > Votre politique BYOD est-elle à jour?
Avec le développement des outils de consumérisation, il conviendrait de la revoir annuellement, voire trimestriellement. (21.5.2012)

NFC > Sécurité des cartes bancaires sans contact : expertise en cours
"Suite à plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact, la CNIL mène actuellement des investigations techniques. Celles-ci permettront d'identifier les éventuels problèmes de sécurité liés à ces cartes et d'analyser leurs conséquences en termes de vie privée."
Article à ce sujet. (14.5.2012)

Big Data > Scruter les Big Data pour lutter contre les malwares
"La capacité de disposer de bons renseignements est depuis longtemps un facteur décisif dans la bataille contre les logiciels malveillants. Mais avec la recrudescence exponentielle des menaces, l'analyse de l'information peut devenir tout aussi importante que la collecte." (14.5.2012)

Cloud computing > La CSA propose un concept de certification du cloud
L'Open Certification Framework. (14.5.2012)

Enquête > Le cloud computing c'est dur et dure plus longtemps que prévu
Résultats d'une enquête de Cisco. (14.5.2012)

Wi-Fi > Nouvelle tapisserie empêche vos signaux de sortir
Et aux hackers d'entrer. (14.5.2012)

Outsourcing > 5 tendances d'outsourcing à analyser
Contrats moins volumineux, nouveaux modèles de prix, plus forte focalisation sur la sécurité, etc. (14.5.2012)

Juridique > Acta, un prérapport accablant du Parlement européen
"La Commission libertés publiques, justice et affaires intérieures met en garde contre les risques que pourrait engendrer l'adoption du traité anticontrefaçon sans consultation citoyenne ni respect des fondations européennes." (14.5.2012)

Virtualisation > La virtualisation exige de nouveaux modèles de sécurité
Les modèles actuels freinent les performances des environnements virtuels. (14.5.2012)

Rapport > Installation de malware sur les laptops lors de la connexion à Internet depuis la chambre d'hôtel
Mise en garde du FBI. (14.5.2012)

MDM > Le MDM (Mobile Device Management) est essentiel pour le succès de l'IT
Le MDM permet de gérer le non BYOD et le BYOD. (14.5.2012)

Cybersécurité > L'ENISA critique le manque de cohésion internationale sur la cybersécurité
Il manque une définition harmonisée de la stratégie de cybersécurité. (14.5.2012)

BYOD > Ces équipements devenant intéressants pour les entreprise, il faut les sécuriser
Surtout s'ils utilisent des services cloud.
Meilleures pratiques BYOD.
Résultats d'une enquête sur BYOD.
(11.5.2012)

Enquête > Les utilisateurs font-ils confiance à la technologie mobile?
Résultats d'une enquête de Juniper Networks. (11.5.2012)

Géolocalisation > Les apps qui permettent de localiser leurs utilisateurs
Les internautes devraient avoir la possibilité de désactiver cette fonctionnalité. (11.5.2012)

Formation > L'éducation et les professionnels de la sécurité
Edition spéciale de SC Magazine. (11.5.2012)

Formation > Le site Cyber Security Challenge
"Cyber Security Challenge runs national online competitions and raises awareness of cyber learning opportunities and careers. It is designed to excite, inspire and help talented people, of any age, to follow a career in cyber security."
Les fonctions dans la cybersécurité. (11.5.2012)

Cloud computing > Gartner dessine les contours du cloud personnel
"Une étude de Gartner prédit que d'ici 2014 le cloud personnel aura supplanté l'ordinateur comme hub des données numériques des utilisateurs."
L'article du Gartner.
Vision : Dans peu de temps, nous aurons tous un smartphone et/ou une tablette électronique et nos données (protégées) sur le cloud accessibles en tout temps et depuis n'importe où. (11.5.2012)

Conformité > Les pièges des check-lists
Les entreprises s'occupent plus de ce que disent les auditeurs et moins de ce que font les attaquants. (11.5.2012)

Sécurité Internet > Stratégie de sécurité IT pour mitiger les risques Internet
Proposition de mesures pour mieux protéger les données et les réseaux. (11.5.2012)

Cloud computing > Exigences de sécurité d'un centre informatique dans le cloud
Par exemple, un serveur peut être fourni depuis un endroit non digne de confiance.
Les prestataires de chiffrement des données dans le cloud offrent différentes solutions de chiffrement. (11.5.2012)

Messagerie > Répondre correctement à un message désagréable
Tout d'abord, ne pas y répondre tout de suite ou ne pas y répondre du tout. (9.05.2012)

Juridique > Google : une curiosité qui peut coûter dix millions de dollars
"EN BREF. En février, Google s'est fait pincer pour avoir surveillé les utilisateurs de Safari sans leur accord. La FTC pourrait lui infliger une amende conséquente." (9.05.2012)

Centre de support > Que doit faire le Help Desk et ne pas faire?
Ces questions doivent être abordées avec le Help Desk. (9.05.2012)

Applications Web > Les 10 principaux vecteurs d'attaque logique métier
Flags d'authentification et escalade des privilèges, manipulation des paramètres critiques et accès à des informations non autorisées, etc. (9.05.2012)

Rapport > Bulletin d'actualité 2012-018 du CERTA
Programme tiers et confiance : des écueils, les noms de domaine internationalisés, etc. (9.05.2012)

BYOD > CLUSIF : Consumérisation de l’IT et Sécurité de l’Information, les RSSI vont devoir mettre de l’eau dans leur vin…
"Comprendre le périmètre du BYOD et ses enjeux." (9.05.2012)

CSO/CISO > Le rôle du CISO évolue
Etude d'IBM. (9.05.2012)

Formation > Les 10 commandements pour une formation efficace à la sécurité
Fournir des informations compréhensibles, considérer la formation comme une approche continue, etc. (9.05.2012)

Gestion des logs > Enquête 2012 du SANS de gestion des logs
Analyse des résultats. (9.05.2012)

DLP > Des services de santé US vulnérables aux menaces internes
Par exemple, la perte de 315'000 dossiers médicaux. Souvent ce sont des erreurs non intentionnelles. (9.05.2012)

Rapport > Rapport annuel des menaces de sécurité Internet de Symantec
Augmentation de 81% des attaques malicieuses. (7.05.2012)

Applications web > 84% des applications web analysées ne respectent pas les standards OWASP
Résultats d'une étude. (7.05.2012)

Cloud computing > Les prestataires de services cloud doivent améliorer la sécurité des données
Et former leurs clients aux meilleures pratiques de sécurité. (7.05.2012)

Juridique > CISPA : la loi de lutte contre les cybermenaces est votée par la Chambre des représentants
"La chambre des représentants a voté cette nuit à 248 voix contre 168 l’adoption de CISPA. Le projet vise à lutter contre la cybercriminalité en facilitant le partage d’informations entre les entreprises privées et le gouvernement. Les associations redoutent un espionnage massif des internautes." (7.05.2012)

Cybercriminalité > Comment la R. est devenue une superpuissance de la cybercriminalité
"Les criminels r. ont capté 4,5 milliards de dollars du marché de la cybercriminalité dans le monde selon un cabinet d'études russe spécialisé dans la sécurité." (7.05.2012)

Smartphones > Améliorer la sécurité des équipements mobiles
Car elle est actuellement insuffisante. (7.05.2012)

Cloud computing > Le stockage des photos de mes enfants dans le cloud est-il sûr?
Oui, selon cet article. (7.05.2012)

Sécurité de l'information > Les cabinets d’avocats européens négligent de vérifier si leurs informations sont bien protégées
"Selon la nouvelle étude menée par Iron Mountain et PwC, les informations sensibles et confidentielles détenues par les cabinets d’avocats risquent d’être révélées, parce que nombre d’entre eux ne vérifie pas si leurs salariés respectent les mesures de sécurité des informations." (7.05.2012)

Rapport > Quatorzième rapport semestriel MELANI: hameçonnage, fraude et ransomware en plein essor
"Durant le deuxième semestre de 2011, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a observé un nombre croissant d'attaques par hameçonnage (phishing) et par logiciels malveillants utilisant le chantage (ransomware). Ces informations, entre autres, figurent dans le rapport semestriel publié aujourd'hui." (7.05.2012)

Rapport > Publication rapport technique - Attaques visant des prestataires de services de certification et conséquences
"La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI publiera occasionnellement des rapports liés à la thématique de la sécurité de l'information. Les rapports traiteront de façon approfondie de thèmes actuels en se référant à des cas pratiques et des événements dans le domaine des technologies de l'information et de la communication (TIC), en analysant les détails des différentes problématiques et en les insérant dans un contexte plus large. La deuxième publication porte sur les attaques visant des prestataires de services de certification." (7.05.2012)

Malware > Environ 50% des malwares tentent de communiquer vers l'extérieur dans la première minute
Il s'agit donc de surveiller les communications. (1.05.2012)

BYOD > BYOD ne permet pas d'économiser de l'argent
Mais il apporte certains bénéfices. (1.05.2012)

Libération des médias > 1 disque dur d'occasion sur 10 contenait des données personnelles
Résultats d'une étude de l'office UK de protection des données. (1.05.2012)

TCP/IP > Swiss IPv6 Council : Member Event à Lausanne
"Cette conférence organisée par le Swiss IPv6 Council, donne l’occasion aux responsables ICT d’entreprises de mieux connaître l’évolution de ce nouveau protocole." (1.05.2012)

Cloud computing > Sérieuses failles de sécurité de données traitées par cloud computing
Résultats d'une étude impliquant quatre prestataires de service cloud. (1.05.2012)

Gestion des risques > Un hôpital utilise CobiT pour gérer ses risques
Etude de cas. (1.05.2012)

Internet des choses > L'Internet des choses est mal contrôlé
Le design des systèmes M2M ne considère pas suffisamment les aspects de sécurité. (1.05.2012)

Malware > 1 Mac sur 5 infecté par des malwares Windows
Résultats d'une étude. (1.05.2012)

Cybermenaces > Les menaces impactent les US
Etude du GAO. Conclusions : "In summary, the cyber-threats facing the nation are evolving and growing, with a wide array of potential threat actors having access to increasingly sophisticated techniques for exploiting system vulnerabilities. The danger posed by these threats is heightened by the weaknesses that continue to exist in federal information systems and systems supporting critical infrastructures. Ensuring the security of these systems is critical to avoiding potentially devastating impacts, including loss, disclosure, or modification of personal or sensitive information; disruption or destruction of critical infrastructure; and damage to our national and economic security."
Article à ce sujet. (1.05.2012)

Réseaux sociaux > La sécurité des apps de Facebook
Nouvel outil qui indique les apps qui protègent les données des internautes et celles qui ne les protègent pas. (1.05.2012)

--------------------------------------------------------------------------------
Copyright © 2012 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI