News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives novembre 2012

Rapport > Symantec dévoile ses prévisions sécurité 2013
"Comme tous les ans, l'éditeur Symantec publie ses prévisions sur les principales menaces en sécurité informatique pour 2013." (30.11.2012)

Phishing > Analyse de l'impact d'un message phishing non bloqué
Autre article : plus de 90% des attaques ciblées proviennent de messages du type "spear phishing". (30.11.2012)

Gestion des risques > Les 7 priorités de gestion des risques 2013
Mesurer les performances de gestion des risques, utiliser GRC (Governance, risk management and compliance) pour améliorer les processus métiers et IT, etc. (30.11.2012)

Cybersécurité > La cybersécurité a besoin d'une entreprise sans frontière
Dans ce cas, le périmètre traditionnel de sécurité n'existe plus. Les environnements IT seront dispersés et virtualisés. (30.11.2012)

Cyberpornographie > La lutte contre la cyber-pédopornographie s’organise en Europe
"La Commission européenne met en place une « coalition financière européenne contre l'exploitation sexuelle des enfants sur le Web » qui réunit la police, des organismes bancaires, des associations et les géants de la high-tech." (30.11.2012)

Rapport > 5 principales tendances techniques 2013 pour les entreprises
Cloud, machines connectées, mobilité, etc. (30.11.2012)

Phishing > Comment se protéger contre le phishing et l’ingénierie sociale
"Le terme phishing ou hameçonnage (une contraction de l’anglais fishing = pêcher et phreaking = manipuler des réseaux téléphoniques) désigne une forme de piratage de données personnelles, voire de codes d’accès confidentiels pour utiliser." (30.11.2012)

DoS > Les nouvelles attaques DDoS forcent les entreprises à adapter leurs mesures de sécurité
En particulier, à être plus agiles. (28.11.2012)

Protection des données > CNIL > Quantified Self : comment mieux se connaitre grâce à ses données
"Mesurer le nombre exact de pas parcourus dans la journée, calculer les calories consommées en fonction de ses repas, analyser la qualité de son sommeil, etc. La multiplication des applications et des capteurs en tout genre amène les adeptes du "Quantified Self " à tout mesurer de leur vie et de leurs habitudes. Cette tendance, à la croisée des problématiques posées par les applications mobiles et les capteurs connectés, entraîne de nouvelles formes de partage des données personnelles." (28.11.2012)

Libération des équipements > Libérer les équipements de manière sécurisée
La nécessité de protéger vos informations. (28.11.2012)

Cloud computing > Créer une "forteresse" dans le cloud pour protéger vos données critiques
Les prestataires de service cloud ont-ils les mesures de sécurité qu'ils proposent seulement sur papier ou également installées? (28.11.2012)

Cloud computing > Ce qu'il ne faut mettre dans le cloud
Autre article : 5 points à considérer avant de migrer vers le cloud. (28.11.2012)

IDS / IPS > Installer un IPS de manière sécurisée
10 conseils, respectivement points à régler. (28.11.2012)

Gestion des évènements > Les risques de mise en place des nouvelles releases
Objectifs de contrôle : Compréhension générale de l'installation prévue, vision claire et coordonnée des différentes plans, etc. (28.11.2012)

Cryptographie > Les entreprises doivent installer des systèmes adéquats de gestion des clefs de chiffrement
L'utilisation d'outils automatiques permet de mettre en place des bonnes pratiques. (28.11.2012)

Rapport > e-banking: appels téléphoniques d’escrocs à l’affût de données d’ouverture de session
Lettre d'information de MELANI. (28.11.2012)

Cartes de crédit > Guide de gestion des risques PCI DSS
Commentaires (positifs) du SANS. (26.11.2012)

Gestion des changements > Processus efficace de gestion des changements
Planifier chaque changement, désigner le propriétaire du changement, etc. (26.11.2012)

Rapport > Bulletin d'actualité CERTA-2012-ACT-047
Compromission de serveurs de FreeBSD, rootkit noyau injecteur d'iframes, le cloisonnement se démocratise sous Linux. (26.11.2012)

Rapport > Les entreprises stockent près de 46% de leurs données commerciales à l'extérieur
"Dans son premier Digital Information Index, Symantec révèle que la moitié des informations des entreprises se trouvent à l'extérieur de leur pare-feu. Cette situation trouve son explication dans l'utilisation croissante du cloud computing et des terminaux mobiles dans les entreprises." (26.11.2012)

Cyberattaques > La Cyber sécurité selon Winnie l'ourson: le nouveau rapport de l'Agence européenne ENISA sur les « pièges pot de miel numériques (Honeypot) » pour détecter les cyber attaques crée le buzz
"L'agence de cyber-sécurité de l’Union Européenne, ENISA, lance une étude en profondeur sur 30 différents pièges numériques « pot de miel » ou « honeypot » qui peuvent être utilisés par les équipes de sécurité et d’urgences informatiques privées et gouvernementales pour détecter proactivement les cyber-attaques." (26.11.2012)

Protection des données > Nouveau rapport de l'Agence européenne ENISA, sur les aspects techniques du «droit à l'oubli»
"«Le droit à l'oubli» est l'un des éléments de la nouvelle proposition de règlement (Janvier 2012) sur la protection des données de la Commission européenne. Ce droit permet aux utilisateurs de demander que des renseignements personnels enregistrés numériquement puissent être supprimés. Le règlement doit encore être adopté par le Parlement européen. Par conséquent, l’agence de «cyber-sécurité» de l’Union Européenne, ENISA, lance son nouveau rapport sur les aspects techniques de "l'oubli", étant donné que les systèmes technologiques et les systèmes d'information jouent un rôle crucial dans l'application de ce droit." (26.11.2012)

SSL > Le HTTP Strict Transport Security (HSTS) devient une norme Internet officielle
"Destinée à empêcher certains types d'attaques contre des connexions HTTPS, la technologie HSTS est maintenant au point. Mais son adoption reste faible, car elle n'était pas une norme Internet officielle. C'est désormais chose faite sous la référence RFC 6797." (26.11.2012)

Publication > Guide sur la Sécurité des technologies sans-contact pour le contrôle des accès physiques
De l'ANSSI. (26.11.2012)

Protection des données > Code de pratique de gestion des risques liés à l'anonymisation
Publié par l'ICO. (23.11.2012)

Outils de sécurité > Outils pour auditer la sécurité des PC
Qualys BrowserCheck, Secunia Personal Software Inspector (PSI), Password Security Scanner, ShieldsUp, Belarc Advisor. (23.11.2012)

Achats en ligne > Achats de Noël en ligne > Attention dangers
Phishing, malware et autres menaces.
Mise en garde de l'IC3. (23.11.2012)

Cartes de crédit > Guide d'évaluation des risques des réseaux de traitement des cartes
Conseils du DG du "Payment Card Industry Security Standards Councile"". (23.11.2012)

Protection des données > CEPD: la responsabilité dans le cloud ne doit pas s'évaporer dans les airs
"Le Contrôleur européen de la protection des données (CEPD) a adopté aujourd'hui son avis sur la communication de la Commission européenne intitulée "Exploiter le potentiel de l'informatique en nuage en Europe", dans laquelle la Commission propose des actions clés et des mesures visant à accélérer l'utilisation de services de cloud computing en Europe." (23.11.2012)

Cyberattaques > Les armes des cyberattaques pullulent sur internet
"Les outils capables de mettre en panne les sites web évoluent. Ils servent principalement au racket des boutiques en ligne." (23.11.2012)

Achats en ligne > Achats de Noël en ligne: les escrocs s’invitent!
Articles de RSA à ce sujet et de Verisign. (21.11.2012)

Cloud computing > Migrer ou pas vers le cloud?
Blog de l'ISACA. (21.11.2012)

DLP > Assurer la fiabilité et la sécurité du processus de sauvegarde des données
Résultats d'une enquête. (21.11.2012)

Spam > Comment se protéger contre les spams sur équipements mobiles
Résultats d'une enquête concernant le Royaume-Uni. (21.11.2012)

Sauvegarde / restauration > Configurer "Time Machine" dans Montain Lion
D'abord sélectionner un support externe. (21.11.2012)

Résilience > Les 3 R pour les PME
RTO, RPO et ROI. (21.11.2012)

Rapports > Bulletin d'actualité CERTA-2012-ACT-046
Note d'information du CERTA : Les systèmes et logiciels obsolètes. (21.11.2012)

Big Data > Le "data scientist"
La nouvelle fonction liée au Big Data. (21.11.2012)

Protection des données > Les gouvernements multiplient les demandes d'accès aux données des utilisateurs de Google
"Les rapports, publiés tous les six mois, et depuis trois ans, par Google montrent que le nombre de demandes formulées par les gouvernements pour accéder aux données utilisateur augmente. La France arrive 4ème avec 1546 requêtes à Google." (21.11.2012)

Audit / surveillance en continue > Guides du NIST
Développer et installer une stratégie de surveillance en continue (SP 800-137), spécifications techniques (IR 7799) et gestion des biens, des configurations et des vulnérabilités dans le cadre de l'architecture de surveillance en continue (IR 7800). (21.11.2012)

Cartes de crédit > Guide d'évaluation des risques des réseaux de traitement des cartes
Du PCI-DSS. (19.11.2012)

Cyberattaques > Le prestataire de service n'a pas détecté le hacker
Lequel a volé 4.5 mio d'enregistrements de contribuables. (19.11.2012)

DLP > Rapport d'analyse des attaques de données
De Verizon. (19.11.2012)

Cyber-risques > Rapport 2013 des cyber-risques émergeants
De l'université de Georgia.
Article à ce sujet. (19.11.2012)

Bases de données > Prévention contre les risques d'injection SQL
Validation des inputs. (19.11.2012)

Quiz > Sécurité 2.0
1ère question : une attaque DDoS c'est .... (19.11.2012)

Messagerie > Sécuriser vos messages
Mesures générales cinq étoiles
Autre article à ce sujet. (19.11.2012)

BYOD > Risques et récompenses
Résultats d'une enquête. (19.11.2012)

Equipements mobiles > Comment les PME peuvent augmenter la sécurité des équipements mobiles
D'abord développer une directive.
Sécuriser les équipements mobiles en utilisant CobiT 5. (19.11.2012)

Protection des données > Le Conseil National des Barreaux et la CNIL poursuivent leur collaboration
"Isabelle FALQUE-PIERROTIN et Christian CHARRIERE-BOURNAZEL, Président du Conseil National des Barreaux ont signé une nouvelle convention de partenariat. Cette collaboration, initiée il y a deux ans, permet de poursuivre et développer les actions de formation à la loi informatique et libertés et promouvoir la fonction de CIL auprès des avocats." (15.11.2012)

Protection des données > Les guides de gestion des risques sur la vie privée sont disponibles en anglais
"La CNIL a publié en juillet 2012 deux nouveaux guides sécurité « avancés » composés d’une méthode et d’un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l'intégration de la protection de la vie privée dans les traitements à l'aide d'une approche pragmatique, rationnelle et systématique. Pour répondre au besoin des sociétés internationales et des organismes étrangers, la CNIL propose aujourd’hui une version anglaise de ces deux guides." (15.11.2012)

Cloud computing > Avec le cloud les technologies traditionnelles de sécurité sont dépassées
De nouvelles technologies doivent être développées. (15.11.2012)

Vidéosurveillance > Aider les institutions et organes de l'UE à mettre les recommandations en pratique
"Le Contrôleur européen de la protection des données (CEPD) a adopté aujourd’hui un rapport présentant les résultats de certaines inspections sur place effectuées entre le 15 juin et le 18 juillet 2012 dans les bâtiments de 13 institutions et organes de l'UE à Bruxelles." (15.11.2012)

Tracking > Aspects de protection des données lors du tracking comportemental en ligne
Rapport de l'ENISA. (15.11.2012)

BCM/DRP > Comment auditer un BCP
12 questions à poser, respectivement contrôles à apprécier. (15.11.2012)

Cloud computing > Contrôles de sécurité à indiquer dans les contrats de cloud computing
Par exemple, l'audit du prestataire suite à la demande du client. (15.11.2012)

Gestion des accès > La gestion des accès est-elle votre talon d'Achilles?
Standardiser les profils (accès basés sur les rôles) et limiter au maximum les exceptions. (15.11.2012)

Droit à l'oubli > Comment disparaître d'Internet à jamais
Est-ce vraiment possible? (15.11.2012)

Cloud computing > Où se trouvent mes données sauvegardées dans le cloud
70% des prestataires ne l'indiquent pas à leurs clients. (15.11.2012)

Cloud computing > Reprendre le contrôle des données dans le cloud
Le chiffrement et la gestion des accès pour prévenir le chaos. (15.11.2012)

Cloud computing > Migration vers le Cloud: au-delà des mythes
"Pourquoi tout le monde parle de Cloud Computing? Tout simplement, parce qu'il donne accès à un réservoir de ressources informatiques (serveurs, stockage, applications, etc.) consommables à la demande et virtuellement infinies. Il y a encore peu, ajouter un nouveau serveur à son infrastructure prenait des semaines, entre la décision d'achat et le moment où le serveur répondait à sa première requête. Aujourd'hui, grâce au Cloud, on peut bénéficier de nouvelles ressources en quelques secondes." (15.11.2012)

Protection des données > Quand des employés de la SEC se baladent avec des données confidentielles non chiffrées dans une conférence de hackers
"Quand on transporte des données confidentielles, voire hautement sensibles comme les informations concernant les marchés financiers, on sécurise son ordinateur. C'est ce que viennent d'apprendre des employés de la SEC à leur insu." (13.11.2012)

Cloud computing > Megaupload : vos données dans le cloud ne vous appartiennent plus
"L’affaire Megaupload aura eu plusieurs mérites, malgré tout. Non seulement elle aura mis en avant certaines méthodes américaines sur le terrain mais également les limites de ce qu’on appelle le cloud." (13.11.2012)

Cloud computing > Visions de clouds sûrs
Visions et propositions de Symantec. (13.11.2012)

Big Data > Les 10 principaux défis de sécurité et de protection des données du Big Data
Du CSA. (13.11.2012)

Informatique mobile > Guide de sécurité des domaines critiques de l'informatique mobile
Du CSA. Inclut des domaines comme le BYOD et le MDM (Mobile Device Management). (13.11.2012)

Tracking > Comment surfer anonymement
Conseils et outils pour cacher son adresse IP et surfer anonymement. (13.11.2012)

Big Data > La majorité des installations Big Data ne sont protégées que par des mots de passe
Surtout qu'elles contiennent des données sensibles. (13.11.2012)

DSI / CIO > Le futur de l'IT
Selon Gartner. (13.11.2012)

PC > Outils et mesures importantes de sécurité du PC
Antivirus, firewalls, etc. (13.11.2012)

BYOD > BYOD – Une approche des risques IT
Ou de l’importance de l’Onboarding. (11.11.2012)

Formation > L'évolution du cybertraining
De la défense / du contrôle des menaces à la sécurité basée sur les risques métiers. (11.11.2012)

Cyberattaques > Le rôle de l'analyste dans la détection d'attaques avancées
La valeur de l'outil se mesure à la valeur de l'analyste. (11.11.2012)

BCM/DRP > Bonnes pratiques pour créer un BCP efficace
Les trois éléments clefs : les personnes, l'infrastructure et les processus. (11.11.2012)

Tracking > Comment cacher ses traces en ligne
Contrôler les Cookies, etc. (11.11.2012)

Cyberguerre > Après Stuxnet : Les nouvelles règles de cyberware
Sommes-nous menacés d'un "cyber Pearl Harbor"? (11.11.2012)

Protection des données > Des compteurs intelligents émettent des signaux indiquant si vous êtes à la maison
Résultats d'une recherche.
Recommandation de la Commission du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de mesure. (11.11.2012)

Rapports > Bulletin d'actualité CERTA-2012-ACT-044
Multiples vulnérabilités dans Opera.
Bulletin d'actualité CERTA-2012-ACT-045. (11.11.2012)

Big Data > Le big data créera 4,4 millions d'emplois IT dans le monde d'ici 2015
"Gartner estime que plus de 4 millions de jobs IT liés au big data seront créés dans le monde d'ici trois ans, mais que les compétences dans ce domaine ne seront pas suffisantes pour répondre à la demande, faute d'un système éducatif inadapté." (7.11.2012)

Big Data > Les 4 phases du Big Data
Eduquer, explorer, engager, exécuter. (7.11.2012)

BYOD > Une utilisation « sauvage »
"La Direction des Systèmes d’Informations doit faire face, en France, à une infrastructure vieillissante et elle subit également la pression des technologies grand public. Les utilisateurs hyper connectés ajoutent une contrainte supplémentaire au Système d’informations."
Autre article à ce sujet : "Byod, un vrai problème à gérer d'urgence dans les entreprises" (7.11.2012)

BYOD > Se préparer aux menaces inattendues ou involontaires
Par exemple, la perte ou le vol d'un smartphone. (7.11.2012)

Apps > 26% des apps Android posent des problèmes de sécurité
Résultats d'une recherche. (7.11.2012)

Cyberspace > Le routage, enjeu de cyberstratégie
"Le Professeur Kavé Salamatian nous introduit à mille lieux sous les liens hypertextes, dans un monde invisible où de grands acteurs se disputent le contrôle des réseaux." (7.11.2012)

Publications > SC Magazine de novembre 2012
Flash informatique du 13.11.2012 du DIT de l'EPFL. (7.11.2012)

Sites Internet > Sécurité des sites Web
Document d'information technique du CERT. (7.11.2012)

Equipements mobiles > Guide SP800 - 164 Sécurité des équipements mobiles
Projet du NIST. Concerne les équipements mobiles appartenant à l'entreprise, ainsi que le BYOD. (7.11.2012)

BCM/DRP > Ouragan Sandy > Des générateurs de secours ne fonctionnent pas
Comment éviter les problèmes avec les générateurs.
Autres conseils à suivre. (5.11.2012)

Stratégie > R2I : la Révolution Industrielle Informatique
Cinquième partie : DSI (Direction des Systèmes d’Information). (5.11.2012)

Cloud computing > Mythes et réalités des services de gestion des applications cloud
Mythe 1 : la gestion des applications ne sert qu'à diminuer les coûts.
Autre article sur l'importance du cloud pour votre entreprise. (5.11.2012)

Sensibilisation à la cybersécurité > Les 35 contrôles de mitigation du département australien de la défense
"In fact DSD states that by implementing just the top 4 strategies at least 85% of the intrusions would have been prevented." (5.11.2012)

Audit du SI > Audit eCommerce et PKI
Publication de l'ISACA. (5.11.2012)

Rapport > L'utilisation d'Internet pour des buts terroristes
Rapport de l'UNODC. (5.11.2012)

Enquête > Selon 88% des CIO les attaques externes augmentent
Enquête d'Ernst & Young. (5.11.2012)

Protection des données > Usages des drones et protection des données personnelles
"Les drones, aéronefs sans pilote développés initialement à des fins militaires, investissent désormais le domaine civil et apparaissent dans le ciel français : projets gouvernementaux pour la sécurité intérieure, drones de loisir, etc. Or les technologies dont ils peuvent être équipés offrent un potentiel considérable en termes d'observation, d'acquisition et de transmission de données, ainsi que de géolocalisation. C'est pourquoi la CNIL a entamé une réflexion prospective afin que les innovations puissent se faire dans un cadre juridique et éthique clair et rassurant pour tous, l'utilisateur du drone… comme ses voisins!" (1.11.2012)

Publication > Journal of Accountancy de novembre 2012
Par exemple : Windows 8, y aller ou attendre? (1.11.2012)

ERM > Nouvelle réflexion sur l'évaluation des risques
Publication du COSO du 26.10.2012. (1.11.2012)

Smartphones > Comment un jeune hacker a piraté 17 000 smartphones
"Un hacker français a détourné 500 000 euros en insérant un logiciel malveillant dans des applis Android." (1.11.2012)

Sécurité de l'information > Vision nouvelle de sécurité IT
Ne plus sécuriser les équipements, mais sécuriser les données. (1.11.2012)

Cartes de crédit > Sécuriser les données web tout en respectant le PCI
10 points à considérer. (1.11.2012)

Audit / surveillance en continue > La surveillance proactive en continue pour contrecarrer la cybercriminalité
Cet article fournit également des points à considérer lors de l'évaluation de produits de surveillance en continue. (1.11.2012)

--------------------------------------------------------------------------------
Copyright © 2012 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI