News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives mars 2013

Protection des données > Un guide pratique de la protection des données dans le cloud
"Le Cigref, l'IFACI et l'AFAI se sont réunis pour créer un guide pratique sur la protection des données dans le cloud. Mais ce guide est surtout destiné à sensibiliser les DG et les métiers." (27.3.2013)

BYOD > Mettre en place une stratégie de mobilité
Permettant de gérer la sécurité, la gouvernance, etc.
Surveillance du BYOD. (27.3.2013)

Cyberguerre > La guerre dans l'ère de l'information
Les défis de l'interopérabilité. (27.3.2013)

Rapport > Bulletin d'actualité CERTA-2013-ACT-012
Rootkit SSHD, compromission massive d'équipements connectés à Internet, etc. (27.3.2013)

Formation InfoSec > Certification de sécurité CompTIA Security +
Sécurité des réseaux, conformité et sécurité opérationnelle, menaces et vulnérabilités, etc. (27.3.2013)

Botnets > Un hacker crée un botnet pour faire un «recensement de l’Internet»
"Avec des identifiants aussi bêtes que root/root ou admin/admin, un hacker s’est constitué un réseau zombies planétaire pour scanner toutes les adresses IPv4. Résultat : une jolie carte du monde de l’Internet." (27.3.2013)

Cloud computing > 6 problèmes de sécurité à régler avant de chiffrer les données dans le cloud
Gestion des pertes / vols de données, gestion des données stockées, protection des données qui circulent, etc. (27.3.2013)

Malware > "Le Ransomware"
Et comment se protéger contre. (25.3.2013)

Cloud computing > Résoudre les besoins de sécurité de cloud computing des PME
Selon une étude, 64% des PME européennes utilisent au moins 1 service cloud. (25.3.2013)

Firewalls > La prochaine génération de pare-feux s'améliore
Résultats de tests effectués par NSS. (25.3.2013)

BYOD > Comment parer au Big Data généré par la mobilité?
"La mobilité est sur le point de provoquer de grands changements dans l'environnement de travail. Elle engendre une croissance importante de l'information pour l'entreprise. Comment exercer un contrôle de ces données sans freiner la volonté de consumérisation des collaborateurs?" (25.3.2013)

eCommerce > Quels risques sont spécifiques aux ventes de voitures ou de motos sur Internet?
Escroquerie à la commission, aux chèques, etc. (25.3.2013)

Protection des données > Cybersurveillance : la Cnil s'alarme des logiciels-espions de claviers
"Les "keyloggers" enregistrant les frappes sur un clavier, ne doivent pas être utilisés notamment au travail, sauf impératifs forts de sécurité, selon la Cnil."
Article de la CNIL. (25.3.2013)

DLP > Minimiser les risques de pertes financières et d'image
La virtualisation diminue-t-elle les risques de perte de données? (25.3.2013)

Cloud computing > Tableau de bord global du cloud computing
Du BSA. (22.3.2013)

Protection des données > Protection des personnes vulnérables et coopération internationale : deux axes majeurs au programme des contrôles 2013
"La CNIL a adopté le 28 février son programme des contrôles pour l'année 2013. Il prévoit la réalisation d'un nombre important de contrôles s'inscrivant dans le cadre de l'instruction des plaintes reçues par la CNIL. Ces contrôles porteront aussi en priorité sur les traitements concernant des personnes fragiles ou vulnérables. L'accent est mis également sur la coopération internationale entre les autorités de protection européennes." (22.3.2013)

Cyberguerre > L’OTAN publie un guide de la cyberguerre
"Définir la cyberguerre n’est pas simple. Sous la demande de l’OTAN, une vingtaine d’experts ont déterminé une série de règles et de définitions pour y voir plus clair. Selon eux, Stuxnet ne constitue pas clairement un acte de guerre." (22.3.2013)

BCM / DRP > Enquête - questionnaire sur la BCM
De la BoJ. (22.3.2013)

Menaces de sécurité > 10 menaces Internet pouvant porter atteinte à votre entreprise
Attaques DDoS, navigateurs obsolètes, etc. (22.3.2013)

Sécurité des réseaux > Les appareils photo connectés sont de vraies passoires
"Pas de chiffrement, parfois même pas d’authentification,… la sécurité réseaux des appareils photo est déplorable. De simples attaques permettent d’intercepter les clichés, voire même de prendre des photos à distance." (22.3.2013)

Sauvegarde / restauration > Ne pas confondre la sauvegarde des données de la conservation des données
Comment améliorer et mesurer les performances des procédures de sauvegarde. (22.3.2013)

Réseaux sociaux > 7 logiciels gratuits protégeant votre sphère privée sur Facebook
Par exemple, Norton Safe Web et Secure.me. (22.3.2013)

Datacenter > L'erreur humaine cause importante des pannes des centres de calcul
Résultats d'une étude. (20.3.2013)

BYOD > Le MCC pour sécuriser le BYOD
Le Mobile Cloud Computing. Le stockage et le traitement des données se font en dehors de l'équipement mobile. (20.3.2013)

Protection des données > Vie privée : les CNIL européennes avertissent les développeurs d'apps
"Les autorités de protection des données personnelles de l'UE (rassemblées dans le groupe de travail Article 29) communiquent des recommandations aux développeurs d'applications pour smartphones et tablettes. Ils doivent demander le consentement avisé des utilisateurs avant d'accéder à leurs données. Les opérateurs de boutiques en ligne sont concernés." (20.3.2013)

Cyberattaques > Une action urgente est nécessaire pour lutter contre les tendances émergentes de cyber-attaques
"L'Agence Européenne chargée de la sécurité des réseaux et de l'information, l’ENISA, a émis aujourd'hui une note d’information urgente : « Les cyber-attaques, une nouvelle vie pour de vieilles armes » qui analyse et suit les récentes cyber-attaques. Les dernières cyber-attaques ciblées contre les organisations gouvernementales et les entreprises de grande envergure montrent la nécessité d'une plus grande prise de conscience et d’un savoir-faire dans le domaine de la sécurité du réseau et de l'information, affirme l'Agence Européenne chargée de la sécurité des réseaux et de l'information, l’ENISA." (20.3.2013)

Cloud computing > Surveiller les applications dans le cloud
5 conseils proposés. (20.3.2013)

Cybersécurité > Risques de faille des sites web visités
Par exemple, vol d'informations liées aux mots de passe. (20.3.2013)

Apps > Vérifier la sécurité de vos applications mobiles
Considérer les risques et les mesures de sécurité dès le début du développement. (20.3.2013)

Biométrie > Des médecins utilisent de "faux doigts" pour pointer sous le nom de collègues
En utilisant des doigts en silicone. (18.3.2013)

MDM > Les outils MDM sont visés par des spyphones
Résultats d'une recherche. (18.3.2013)

BYOD > Les principaux défis du BYOD
Gouvernance et conformité, MDM et sécurité. (18.3.2013)

Juridique > Votre patron peut inspecter votre matériel personnel utilisé à titre professionnel
"Au travail, les outils informatiques personnels et professionnels se mélangent de plus en plus, créant un flou sur les droits et les devoirs de chacun. Un arrêt de la Cour de cassation apporte désormais des précisions." (18.3.2013)

Social engineering > Une recherche montre comme il est facile de devenir une victime du social engineering
Même des professionnels de la sécurité de l'information peuvent se faire piéger. (18.3.2013)

Big Data > Les impacts et les bénéfices
Publication de l'ISACA. (18.3.2013)

Contrôles de sécurité > Les quatre contrôles de sécurité à mettre en place
Inventaire des équipements autorisés et non autorisés, inventaire des logiciels autorisés et non autorisés, etc. (18.3.2013)

Publication > Flash informatique FI 2 du 19 mars 2013
Du département DTI de l'EPFL. (18.3.2013)

Juridique > Le fisc peut saisir tout document informatique où qu'il soit stocké
"Le Cour de cassation autorise le fisc à saisir tout document stocké, dès lors que ces agents y ont eu accès par le réseau, depuis le lieu de leur perquisition." (18.3.2013)

Rapports > Bulletin d'actualité CERTA-2013-ACT-10
Et bulletin d'actualité CERTA-2013-ACT-011. (18.3.2013)

Rapports > E-Banking: des programmes malveillants ciblant les téléphones portables sont en circulation
"La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI met en garde contre une nouvelle vague d’attaques visant les sessions d’E-Banking avec signature des transactions par SMS." (18.3.2013)

Gestion des risques > Une gestion des risques moins standardisée selon l'AMRAE
"L'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) vient de publier son cinquième panorama des systèmes d'information de gestion des risques. Les solutions très standards laissent la place à des solutions paramétrables. " (14.3.2013)

Gestion des logs > Que pensent les professionnels IT du SIEM
Résultats d'une enquête peu optimiste. (14.3.2013)

IAM > Les futurs défis et les opportunités dans le domaine IAM
Visions du Gartner. (14.3.2013)

BYOD > Sécurité BYOD
Le MDM est-il vraiment nécessaire? (14.3.2013)

Cyberdéfense > Un rapport relève les faiblesses de la cyberdéfense du Pentagon
(14.3.2013)

Cloud computing > Risques communs d'utilisation des applications métiers dans le cloud
Risques et mesures contre ces risques. (14.3.2013)

Technologie > Principales tendances technologiques impactant l'infrastructure informationnelle en 2013
Du Gartner. (14.3.2013)

BYOD > Un manque de règlements augmente les risques de perte de données
Des entreprises UK n'ont pas encore fourni des règlements d'utilisation des équipements personnels au travail.
Résultats de l'enquête de l'ICO. (14.3.2013)

Cybersécurité > Définition et mise en place d'une stratégie nationale (US) de cybersécurité
Recommandations du GAO. (14.3.2013)

Cartes de crédit > Guides du cloud computing
Du PCI-DSS. (14.3.2013)

Cyberattaques > Comment protéger votre PME contre une cyberattaque
Chiffrer vos données, sécuriser votre hardware, etc. (12.3.2013)

Réseaux sociaux > Données personnelles : comment les utilisateurs de Facebook se font avoir
"Selon une étude scientifique, les membres du réseau social cherchent de plus en plus à protéger leurs données personnelles face aux inconnus. Mais ils n’y arrivent pas vraiment, en raison de conditions d’utilisation changeantes et d’un manque de sensibilisation." (12.3.2013)

Risques humains > 5 conseils de sécurité
D'abord instaurer une culture de sécurité. (12.3.2013)

Cyberattaques > La Russie, principale source de cyberattaques dans le monde
"Une carte des attaques informatiques en temps réel place la Russie loin devant les autres pays en tant que source de cyberattaques. La Chine n’arrive, finalement, qu’en 12e position." (12.3.2013)

BYOD > Mettre en place une politique BYOD
Tenir compte des mobiles acquis. (12.3.2013)

Smartphones > Débuter par protéger votre smartphone par mot de passe
Ensuite, installer les autres mesures proposées dans la check-list. (12.3.2013)

Protection des données > Google Glass : « la fin de la vie privée »
"La possibilité d’enregistrer des vidéos et du son grâce à des lunettes, et ce de manière simple, voire automatique : la perspective inquiète un sénateur australien, Cory Bernardi, qui voit dans les Google Glass la fin de la vie privée."
Article à ce sujet. (12.3.2013)

Protection des données > Open Data : la CNIL souhaite accompagner les acteurs publics et privés
"Afin d'établir si une réflexion est nécessaire sur l'Open Data au regard de son champ de compétence, la CNIL lance une consultation des acteurs publics et privés concernés." (12.3.2013)

Protection des données > La CNIL autorise les transferts de données entre le H3C et le PCAOB dans le cadre de la surveillance des contrôleurs légaux des comptes en France et aux Etats-Unis
"Le 31 janvier 2013, le Haut Conseil du Commissariat aux Comptes (H3C) a signé un protocole d'accord avec son homologue américain, le Public Company Accounting Oversight Board (PCAOB), aux fins d'encadrer les échanges d'informations entre eux. Cet accord intervient après l'autorisation accordée par la CNIL pour les transferts de données personnelles induits par ces échanges." (12.3.2013)

Audit > Le contrôle des accès
Les quatre contrôles d'accès qui intéressent l'auditeur. (12.3.2013)

Formation InfoSec > Etude globale sur les professions dans la sécurité de l'information
D' (ISC)2. (8.3.2013)

Cyberguerre > Les attaqués contre-attaquent
Mais pour commencer, ils doivent s'y entrainer sur un environnement dédié. (8.3.2013)

Cookies > Nouvelle politique de Firefox de gestion des cookies
Un plus pour un renforcement de la sphère privée. (8.3.2013)

Données > Gouvernance des données : comment mieux organiser son stockage
"Face à l'explosion des données, surtout celles qualifiées de « non structurées », la gestion du stockage s'est complexifiée." (8.3.2013)

Rapport > Bulletin d'actualité CERTA-2013-ACT-009
Vulnérabilités dans le noyau Linux, vulnérabilité Lucky1,exploitation de vulnérabilités visant le lecteur Flash d'Adobe. (8.3.2013)

BYOD > Equipements Windows 8
Comment vont-ils affectés votre stratégie BYOD? (8.3.2013)

CSO/CISO > Les RSSI désarmés face aux nouvelles menaces ?
"L'éditeur LogRhythm a mené une étude auprès de RSSI. Ceux-ci estiment majoritairement ne pas être en mesure de répondre aux nouvelles cyber-menaces." (8.3.2013)

Bonnes pratiques > 10 bonnes pratiques de sécurité pour les consomateurs
Et 10 bonnes pratiques de sécurité pour les entreprises. (8.3.2013)

Protection des données > Séminaire gouvernemental sur le numérique : vers une protection renforcée des droits des citoyens et du rôle de la CNIL
"Les mesures annoncées par le Premier ministre à l'issue du séminaire gouvernemental sur le numérique constituent une étape importante vers le renforcement des droits numériques de nos concitoyens. Elles confortent également le rôle de la CNIL pour établir un environnement de confiance, élément indispensable pour accompagner le développement d'une innovation durable." (8.3.2013)

Protection des données > Photo, tag et reconnaissance faciale au sommaire de la 4e lettre IP
"La CNIL publie la 4e lettre IP Innovation et Prospective. Ce numéro est consacré à l’analyse des usages de publication et de partage des photos sur internet ainsi que des pratiques d’identification et de reconnaissance faciale. Il prolonge ainsi une des réflexions amorcée dans le cahier IP " vie privée à l’horizon 2020 " sur la biométrie, perçue par nombre d’experts comme une tendance lourde pour les dix prochaines années." (8.3.2013)

Protection des données > Généralisation de la pré-plainte en ligne auprès des services de Police et de Gendarmerie
"A l'issue d'une phase d'expérimentation, le ministère de l'intérieur généralise à l'ensemble du territoire un service de pré-plaintes en ligne, permettant aux victimes d'atteintes aux biens venant d'un auteur inconnu, d'enregistrer leur demande en ligne via un site internet dédié. La CNIL s'est prononcée sur les modalités de sa mise en œuvre." (6.3.2013)

Cloud computing > Clouds privés, pas si sûr selon Forrester
"Les clouds privés actuels n'en sont pas selon Forrester Research. Pourtant les administrateurs de ces systèmes parlent de cloud privé. Pourquoi? Parce qu'ils ont peur du vrai cloud et de voir disparaître leur position dans l'entreprise, selon Forrester qui leur propose une autre voie pour progresser vers le cloud computing." (6.3.2013)

Protection des données > Les CNIL européennes préparent leur offensive contre Google
"Le groupe des 29 régulateurs européens sur la protection des données personnelles hausse le ton contre Google. Après la médiation, ils envisagent des actions répressives avant l'été."
Règles de confidentialité de Google : le G29 s'engage dans une action répressive et coordonnée. (6.3.2013)

Publication > Journal of Accountancy
Edition de mars 2013. (6.3.2013)

BYOD > 4 clefs du succès du BYOD
Les 4 points à considérer.
BYOD : Dr. Jekyll ou Mr. Hyde? (6.3.2013)

Cloud computing > Comment survivre aux inévitables pannes du cloud
Les différentes options en fonction des différents services offerts. (6.3.2013)

Télétravail > Fin du télétravail chez Yahoo, Marissa Meyer s'explique
"Les abus réguliers des employés de Yahoo auraient conduit Marissa Meyer à réduire certains privilèges et notamment interdire le télétravail. La vérification a été très simple, il a suffi de consulter les logs de connexions VPN..."
Article à ce sujet. (6.3.2013)

Internet des choses > Les hackers vont-ils attaquer les équipements doter d'une adresse IP?
Par exemple, l'air conditionné. (6.3.2013)

Smartphones > Les utilisateurs de smartphones trop légers avec la sécurité ?
"Les possesseurs de smartphones refusent certains usages pour des raisons de sécurité. Mais ils sont inconscients des risques pris avec certains autres." (4.3.2013)

Antivirus > Pourquoi des programmes antivirus ne découvrent pas d'anciens virus?
Résultats des tests du NSS Labs. (4.3.2013)

Big Data > Le concept Big Data Security
Utilisation du Big Data pour archiver et analyser les évènements liés à la sécurité. Qu'en pensent les CISO? (4.3.2013)

Consommateurs > Les 10 catégories de plaintes 2012
De la FTC. (4.3.2013)

Sécurité de l'information > Les applications métiers plus dangereuses que les réseaux sociaux
"Les applications professionnelles véhiculent plus de menaces pour le système d'information que les applications personnelles des utilisateurs, dont les réseaux sociaux, selon une étude menée par Palo Alto Networks." (4.3.2013)

BYOD > Le problème du paiement sans contact
"Le BYOD a bien des qualités, mais il ne faut pas non plus sous-estimer les nombreux risques inhérents à cette pratique." (4.3.2013)

Forensic > Analyse des données d'un iPhone par les autorités
Article de l'ACLU. (4.3.2013)

Réseaux > 10 raisons de surveiller le réseau
Savoir ce qui se passe, plan de mises à jour ou de changements, etc. (4.3.2013)

Cloud computing > Menaces les plus importantes en 2013
Résultats d'une enquête du CSA.
Article à ce sujet. (4.3.2013)

BYOD > Le marché MDM
Fonctionnalités actuelles et fonctionnalités futures.
Mais un des plus importants éléments de sécurité BYOD (si pas le plus important), c'est l'utilisateur. (4.3.2013)

Cyberattaques > Efficacité de la gestion des incidents
L'importance du processus d'escalade. (4.3.2013)

DDoS > En 2013, des attaques DDoS seront basées sur les applications
Selon Gartner. (4.3.2013)

--------------------------------------------------------------------------------
Copyright © 2013 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI