News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives août 2012

Juridique > Rapport de l'ENISA
"L'agence européenne ENISA révèle les lacunes de l’application de la législation sur la cybersécurité: les incidents ne sont pas détectés, voire non signalés." (31.8.2012)

Menaces de sécurité > Les 9 plus importantes menaces de sécurité
Les syndicats de cybercriminalité, etc. (31.8.2012)

Cybercriminalité > Comment éviter de se faire arnaquer sur internet
"Phishing, e-commerçants crapuleux... Sept conseils pour sortir sa carte bleue en toute sécurité." (31.8.2012)

Tablettes > Distribution d'IPads dans un hôpital
Ceci a nécessité la mise en place d'un guide de gestion et de sécurité. (31.8.2012)

BYOD > Guide BYOD du gouvernement US
Article du Gartner sur les implications du BYOD pour les entreprises. (31.8.2012)

Rapport > Bulletin d'actualité 2012-ACT-034 du CERTA
Compromissions c3284d et publication d'un avis de sécurité Microsoft sur la vulnérabilité MS-CHAPv2. (31.8.2012)

Vulnérabilités > Correctif vulnérabilité Java
La note de l'US CERT.
Article à ce sujet. Autre article. (31.8.2012)

Equipements mobiles > La sécurité des équipements mobiles doit être améliorée
Le rôle du NIST à cet égard.
10 conseils pour protéger les utilisateurs d'équipements mobiles. (29.8.2012)

Cryptographie > Comment gérer un incident lié à une fraude de certificat numérique
Bulletin du NIST expliquant comment se préparer et répondre à une telle attaque. (29.8.2012)

Windows > Défis de la migration vers WIndows 7 / WIndows 8
Les obstacles techniques, les avantages de la virtualisation et les applications web. (29.8.2012)

Windows > Windows 8 : Microsoft implante un mouchard!
"Selon un chercheur en sécurité informatique, Windows 8 utilise un nouveau système, appelé SmartScreen, qui renseigne Microsoft sur tous les logiciels que vous téléchargez et installez." (29.8.2012)

Protection des données > 10 mesures simples pour protéger sa sphère privée
Valables pour les différents types d'équipements. (29.8.2012)

Cyberattaques > Le phishing représente actuellement la plus importante menace
Enquête de RSA.
Article à ce sujet. (29.8.2012)

Sécurité des réseaux > Analyser le trafic réseau sortant
Article du SANS. (29.8.2012)

BCM/DRP > Comment restaurer des environnements hybrides
Les 3 défis, les difficultés de restauration d'environnements hybrides, les mesures à mettre en place. (29.8.2012)

Sécurité de l'information > "Big Security" extension naturel et nécessaire du Big Data
Les tendances qui se dessinent (le Big Data, le cloud computing, l'information accessible depuis partout, etc.) exigent une adaptation de l'approche de sécurité de l'information.
Publication sur le Big Data. (29.8.2012)

Cloud computing > Dans les contrats, décrire les fonctionnalités et d'autres points importants
Ne pas oublier les SLA. S'appuyer sur les exigences de la norme ISO 20000. (27.8.2012)

Mots de passe > Choisir un mot de passe diminuant les risques d'attaque
Protéger son domicile logiquement comme on le protège physiquement, ignorer les messages du type phishing, le changer régulièrement, etc.
Risques des mots de passe sauvegardés dans des navigateurs. (27.8.2012)

Réseaux sociaux > Facebook est une mine d'or pour les hackers et les escrocs
"Facebook attire massivement les pirates et les escrocs de tout poil selon un rapport de l'éditeur Bitdefender." (27.8.2012)

DoS > Un site vivant à tout moment
Guide de l'EFF. (27.8.2012)

DLP > Restauration des données perdues
Explication du processus qui repose sur un fait réel. (27.8.2012)

Protection des données > Les « cyber indiscrétions » se multiplient en entreprise
"On note une recrudescence des accès illégitimes aux informations personnelles des salariés. La sécurité se considère au cas par cas. Ne pas en tenir compte est la plus grande des erreurs." (27.8.2012)

Patch management > 5 systèmes qu'il faut également patcher
Les équipements utilisant Java, les imprimantes, les routeurs, etc. (27.8.2012)

Géolocalisation > Désactiver le GPS du smartphone ou de la tablette
Permet de diminuer les risques de protection des données. (27.8.2012)

Protection des données > IE10 et l'option "Do Not Track"
La position de Microsoft. (22.8.2012)

Normes > Installation de CobiT 5
Premières expériences après 8 mois. (22.8.2012)

Mots de passe > 6 points importants de sécurité des mots de passe pour les développeurs
Hachage du mot de passe, empêcher la récupération du mot de passe, ne pas limiter la longueur, n'exclure aucun caractère spécial, etc. (22.8.2012)

Cloud computing > La meilleure protection dans le cloud c'est de chiffrer les données
Et de ne jamais donner le mot de passe au prestataire. (22.8.2012)

Cloud computing > Processus de certification de la sécurité des prestataires de services cloud
Le CSA travaille avec le BSI pour définir un concept de certification à trois niveaux. Le niveau 2 s'appuiera sur la norme ISO 27001. (22.8.2012)

Tracking > Un logiciel installé dans des laptops d'une agence gouvernementale US traquent les activités des collaborateurs
..... (22.8.2012)

Audit du SI > Résultats d'un audit informatique d'une agence gouvernementale US
Rapport du GAO : "Specifically, the agency did not always (1) enforce strong policies for identifying and authenticating users by, for example, requiring the use of complex (i.e., not easily guessed) passwords; (2) limit users’ access to systems to what was required for them to perform their official duties; (3) ensure that sensitive information, such as passwords for system administration, was encrypted so as not to be easily readable by unauthorized individuals; (4) keep logs of network activity or monitor key parts of its networks for possible security incidents; and (5) control physical access to its systems and information, such as controlling visitor access to computing equipment." (22.8.2012)

Hackers > Les hackers pourraient menacer les systèmes informatiques embarqués des voitures
Et par ce biais, causer des accidents. (22.8.2012)

Rapport > Bulletin d'actualité 2012-ACT-033 du CERTA
Mise à jour mensuelle Microsoft, des requêtes DNS inattendues. (20.8.2012)

Sites internet > Un standard pour mieux sécuriser les sites web
"Le NIST (National Institute of Standards and Technology) a donné de nouvelles orientations en matière de chiffrement pour inciter les sites à adopter le support de certificats étendus." (20.8.2012)

Protection des données > Reconnaissance faciale : une enquête visant Facebook rouverte en Allemagne
"L'autorité de protection de la vie privée du Land de Hambourg, qui avait déjà lancé plusieurs enquêtes contre Facebook, a annoncé avoir rouvert une procédure concernant la fonctionnalité de reconnaissance faciale du réseau social." (20.8.2012)

Big Data > Utiliser le Big Data pour mitiger les cybermenaces
L'analyse contextuelle des données. (20.8.2012)

BYOD > Améliorer les contrôles du Cloud et du BYOD
D'abord améliorer la visibilité (cloud) et utiliser la virtualisation (BYOD).
Un moyen pour gérer le BYOD : le modèle d'Intel.
Résultats d'une enquête sur le BYOD. (20.8.2012)

Smishing > Comment se protéger du smishing
C'est le phishing touchant les téléphones cellulaires via les messages SMS. (20.8.2012)

Risques humains > Dont les faibles mots de passe et le social engineering
Première mesure : mettre en place un programme de sensibilisation et de formation. (20.8.2012)

DLP > Evaluation de la sécurité endpoint de différents outils DLP
Dont ceux de Sophos, Trend Micro, Verdasys et Websense. (20.8.2012)

Cloud computing > Les évènements actuels concernant le cloud ne favorisent pas son adoption
Selon le Gartner.
La sécurité d'iCloud en question. (16.8.2012)

DLP > Des hackers chiffrent des données médicales
Et exigent une rançon pour fournir le mot de passe de chiffrement. (16.8.2012)

Tracking > Un algorithme capable de pister les rumeurs
"Retrouver la source d'une rumeur, remonter à l'origine d'une épidémie, traquer les cerveaux d'un attentat, tels sont parmi les usages potentiels d'un algorithme développé à l'EPFL."
Autre article à ce sujet. (16.8.2012)

Cloud computing > Améliorer la sécurité du cloud public
Sélectionner les bonnes applications, évaluer la sécurité du prestataire, faire auditer le prestataire, etc. (16.8.2012)

Certification > Certification ISO 27001
Désirant diminuer les risques de fraude, une entreprise se fait certifier ISO 27001. (16.8.2012)

Scam > Nouveau scam sur Internet
Mise en garde du FBI. (16.8.2012)

Mots de passe > Les mots de passe deviendront-ils obsolètes?
Les avantages de l'authentification des frappes sur le clavier. (16.8.2012)

Protection des données > Google Now vous observe
Article à ce sujet. (14.8.2012)

Rapport > Bulletin d'actualité 2012-ACT-032 du CERTA
Dangers liés à l'utilisation de MS-CHAPv2 et Flash dans le bac à sable. (14.8.2012)

BCM / DRP > Conseils pour ceux qui débutent un BCM / DRP
Analyse d'impacts, documenter et tenir à jour le BCM/DRP, inclure les principales parties-prenantes, etc. (14.8.2012)

Gestion de projets > 7 règles efficaces de gestion des risques de projet
Intégrer dans le projet la gestion des risques, identifier les risques le plus tôt possible, informer sur les risques, etc. (14.8.2012)

Sécurité de l'information > 9 pratiques populaires de sécurité de l'information qui (selon l'auteur) ne marchent pas
Antivirus, firewall, etc. (14.8.2012)

Antivirus > 12% des entreprises françaises sont équipées d'un antivirus gratuit, selon une étude
"Selon une étude internationale réalisée par le fournisseur de solutions de sécurité informatique Kaspersky, 12% des entreprises françaises utiliseraient les versions gratuites de logiciels antivirus pour assurer leur protection informatique. Une moyenne très élevée comparativement à d'autres pays européens." (14.8.2012)

Cloud computing > Piratage d'iCloud (suite)
Amazone corrige une faille.
Peut-on faire confiance au cloud? (13.8.2012)

Cryptographie > Comment chiffrer des disques avec Montain Lion
Et comment les déchiffrer. Il est essentiel de ne pas perdre le mot de passe de chiffrement. (13.8.2012)

Gestion des risques > Intégrer les risques dans la stratégie de l'entreprise
Considérer l'appétit au risque, ainsi que l'appréciation des risques de la stratégie.
Autre article à ce sujet. (13.8.2012)

DLP > Mettre en place un programme de prévention contre la perte / le vol de données
Proposition de 6 mesures. (13.8.2012)

Publication > Flash informatique du DTI de l'EPFL
Spécial été du 21 août 2012. (13.8.2012)

Cloud computing > Stratégie cloud computing des entreprises
Les meilleures stratégies cloud computing selon Gartner. (13.8.2012)

Libération de médias > Comment éliminer vos données des équipements
Nettoyer les smartphones et effacer définitivement les données des disques durs. (13.8.2012)

Cloud computing > Piratage d'iCloud
La mésaventure de la victime et comment s'y prémunir.
Piratage d'iCloud : Mat Honan détaille sa mésaventure.
Comment minimiser les risques.
Piratage d'iCloud : mesures d'urgence pour Apple et Amazon.
Comment sécuriser ses services cloud.
(9.8.2012)

Dossier patient > Comment garantir le traitement des patients en cas d'une panne informatique prolongée?
Considérer toutes les menaces dont les erreurs humaines. (9.8.2012)

Publication > SC Magazine
Edition d'août 2012. (9.8.2012)

Cartes de crédit > Conformité PCI dans le cloud
Si vous stockez, traitez ou transmettez des données de compte de cartes de crédit, vous devez respecter les standards PCI DSS. (9.8.2012)

Sécurité > 5 tendances de sécurité pour les entreprises
Informatique mobile, réseaux sociaux, Man-in-the-browser attacks (MitB), BYOD, faire converger la sécurité et la prévention contre les fraudes. (9.8.2012)

Hacking > Hacking des voitures
Accès à distance et autres problèmes de sécurité. (9.8.2012)

Cloud computing > Calculer le ROI du cloud à l'attention du CFO
Article à ce sujet. (9.8.2012)

Rapports > Bulletin d'actualité 2012-029 du CERTA
2012-ACT-030 et
2012-ACT-031.
Note d'information du CERTA : les bons réflexes en cas d'intrusion sur un système d'information.
(7.8.2012)

Protection des données > Street View : la CNIL demande à examiner les données conservées par Google
"Au cours de contrôles opérés en 2009 et 2010, la CNIL avait constaté que la société Google collectait, depuis ses véhicules dédiés au service Street View, des données sur les réseaux Wi-Fi. Ces contrôles avaient en effet révélé divers manquements, notamment la captation, à l'insu des personnes concernées, de données dite "de contenu" (identifiants, mots de passe, données de connexion, échanges de courriels)." (7.8.2012)

Protection des données > Avertissement pour la société FNAC DIRECT en raison de manquements dans la conservation des données bancaires des clients du site www.fnac.com
"Les données bancaires communiquées par des clients lors d'un achat sur Internet sont des données sensibles dont la conservation par le commerçant doit répondre à un certain nombre de règles strictes. En particulier, la conservation de ces données après la transaction ne peut se faire qu'avec le consentement préalable des clients, pour une durée limitée et doit présenter un haut niveau de sécurité. C'est ce qu'a rappelé la formation restreinte de la CNIL dans l'avertissement qu'elle a adressé à la société FNAC DIRECT." (7.8.2012)

Protection des données > 10 000 organismes ont désigné un CIL (correspondant informatique et libertés)
"Elément central des nouveaux dispositifs créés par le législateur en 2004 pour garantir l'effectivité de la protection des données, le correspondant Informatique et Libertés (CIL) a pour mission de s'assurer que l'organisme public ou privé qui l'a formellement désigné auprès de la CNIL respecte bien les obligations issues de la loi "Informatique et Libertés"." (7.8.2012)

BYOD > Les défis que doivent relever les entreprises
Les bénéfices et les risques. (7.8.2012)

DLP > Comment protéger les fichiers et les documents sensibles
Résultats d'une étude. (7.8.2012)

Normes > SP 800-147B Guide de protection des serveurs (projet)
Article à ce sujet. (7.8.2012)

Normes > SP 800-94 Rev. 1 Guide IDPS (projet)
Article à ce sujet. (7.8.2012)

Normes > SP 800-83 Rev. 1Guide de prévention et de gestion des malwares pour desktops et laptops (projet).
Article à ce sujet. (7.8.2012)

Publication > Journal of Accountancy
Edition d'août 2012. (6.8.2012)

SDLC > Méthodes de développement Agile
Bonnes pratiques proposées par le GAO. (6.8.2012)

Protection de l'identité > ENISA appelle à un effort commun entre utilisateurs finaux et fournisseurs d’accès internet afin de protéger notre identité en ligne
"Dans le monde virtuel, notre identité se traduit par nos noms d'utilisateurs et nos mots de passe. Pour les utilisateurs, conserver leurs mots de passe en lieu sûr est vital afin d’éviter les incidents de sécurité tels que le vol d'identité. Les fournisseurs d’accès internet (FAI) - qui stockent les noms d'utilisateur et mots de passe - devraient en faire de même. Les problèmes surgissent lorsque la sécurité est compromise à l’une des extrémités de la chaîne." (6.8.2012)

Biométrie > Nouveau programme de reconnaissance faciale du FBI
Le tout lié à une imposante base de données biométriques. (6.8.2012)

Sauvegarde > Moins se focaliser sur la sauvegarde des biens
Mais plutôt sur la continuité des applications critiques. (6.8.2012)

OS > Nouvel outil de MS indique si des programmes mettent en danger Windows
"Attack Surface Analyzer" identifie des classes multiples de faiblesses introduites par des programmes nouvellement installés. (6.8.2012)

Virtualisation > La virtualisation diminue les coûts et augmente la sécurité
Virtualisation du poste client. Article en allemand du BITKOM. (6.8.2012)

Equipements mobiles > 42% des entreprises allemandes non pas de concept de sécurité des équipements mobiles
Article en allemand du BITKOM. (6.8.2012)

OS > Apple OS X 10.8 (Mountain Lion)
Nouvelles fonctionnalités de sécurité. (6.8.2012)

--------------------------------------------------------------------------------
Copyright © 2012 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI