News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives mai 2013

Cybersanté > Le dossier électronique du patient permettra d'améliorer la qualité et la sécurité des traitements médicaux
"Berne, 29.05.2013 - Un projet de loi prévoit que tout un chacun en Suisse puisse mettre ses données médicales à disposition des professionnels de la santé par le biais d'un dossier électronique. Ces données seront accessibles à tout moment et en tout lieu. Les patients bénéficieront ainsi de soins de meilleure qualité, plus sûrs et plus efficaces. Aujourd'hui, le Conseil fédéral a approuvé et soumis ce projet de loi au Parlement." (31.5.2013)

Protection des données > Construire ensemble un droit à l'oubli numérique
"Le projet de règlement européen devrait consacrer le principe d'un " droit à l'oubli " numérique nous permettant de mieux maîtriser notre vie en ligne. Ce nouveau droit devra s'exercer dans le respect de la liberté d'expression, du droit de la presse et du devoir de mémoire. Dans ce contexte, la CNIL lance une consultation auprès des internautes sur ce droit, souvent invoqué mais dont les contours restent encore à préciser. En parallèle, elle consulte également les professionnels concernés." (31.5.2013)

Phishing et APT > Phishing et Spear phishing
91% des attaques APT impliquent le spear phishing. (31.5.2013)

Mots de passe > Améliorer la qualité du mot de passe
Cinq règles à respecter. (31.5.2013)

Protection des données > La protection des données et Google Glass
Implications importantes sur la sphère privée. (31.5.2013)

Smartphones et tablettes > Demande d'information pour un système unifié de gestion des smartphones et des tablettes
MDM et MAS. (31.5.2013)

Sauvegarde / Restauration > Renforcement de la sécurité des données sauvegardées dans le cloud
Cinq points à considérer. (31.5.2013)

Navigateur > Sécuriser Firefox
Proposition de cinq mesures. (31.5.2013)

Authentification forte > Comment permettre l'authentification forte avec Twitter
Et avec d'autres logiciels. (31.5.2013)

Cyberattaques > La sécurité par couches ne produit pas les effets attendus
Résultats d'une étude. (31.5.2013)

MDM > Gestion des équipements mobiles
Analyse des principales entreprises du marché MDM. (29.5.2013)

Protection des données > Xbox One est-il un équipement de surveillance secret?
Probablement, selon le Préposé allemand à la protection des données. (29.5.2013)

Mots de passe > Anatomie d'une attaque
Comment découvrir les mots de passe, même complexes. (29.5.2013)

Cyberespionnage > Des hackers d'un certain pays accèderaient à des dessins d'armes US
Quelles peuvent être les conséquences? (29.5.2013)

Sécurité de l'information > LaFoSec : Sécurité et langages fonctionnels
"Un certain nombre d’idées reçues circulent sur l’apport relatif des différents langages de programmation en matière de sécurité, mais les études techniques détaillées sur le sujet sont relativement peu nombreuses. Après l’étude JavaSec consacrée au langage Java, l’ANSSI a souhaité lancer l’étude LaFoSec sur les langages fonctionnels et notamment le langage OCaml (caml.inria.fr, ocaml.org)." (29.5.2013)

Rapport > Bulletin d'actualité CERTA-2013-ACT-021
Recommandation de sécurité relatives aux ordiphones, campagne de phishing transmise par des serveurs légitimes, mot de passe du compte administrateur local sous Windows. (29.5.2013)

Cloud computing > Sécurité cloud pour les PME décidant d'utiliser des services cloud
D'abord décider quelles données transférer dans le cloud. (29.5.2013)

Equipements mobiles > 5 mesures pour implémenter une politique de sécurité des données mobiles
Relever le défi : comment appliquer la stratégie (de sécurité) de l'entreprise aux équipements appartenant aux collaborateurs? (29.5.2013)

Cyberespionnage > Vol de propriété intellectuelle (suite)
"La commission antipiratage américaine prône l’utilisation de malwares" (29.5.2013)

Cyberespionnage > Vol de propriété intellectuelle (IP)
Rapport de la Commission IP.
Autre article à ce sujet. (27.5.2013)

Cloud computing > Risques des services de cloud public
Par exemple, des services de stockage. (27.5.2013)

Malware > Comment se protéger des malwares signés dans OS X
Augmenter la sécurité de GateKeeper. (27.5.2013)

Smartphones et tablettes > Guide de sécurité
Architecture de référence de la sécurité des mobiles. Publié par l'OMB. (27.5.2013)

Cloud computing > Avec le cloud computing, les utilisateurs deviennent responsables des règles de sécurité des données
Analyse du guide de sécurité PCI-DSS relatif au cloud computing et aux responsabilités applicables. (27.5.2013)

Phishing > Une campagne de phishing très sophistiquée a touché 14 entreprises en France
"Des cybercriminels cherchent à dérober des données bancaires dans les entreprises, au travers d’e-mails et d’appels téléphoniques ciblés. Une petite prouesse d’ingénierie sociale." (27.5.2013)

Cybersanté > 92 % des médecins français utilisent un dossier médical électronique
"Pour éviter les erreurs médicales, pour orienter un patient vers le bon spécialiste, pour se tenir informé... Les médecins plébiscitent de plus en plus les outils numérique." (27.5.2013)

Technologie > Les 7 technologies numériques qui vont changer le monde
"Le cabinet d’étude McKinsey a identifié les technologies qui vont avoir le plus grand impact sur notre vie personnelle et professionnelle. La plupart d’entre elles sont numériques."
Autre article à ce sujet. (27.5.2013)

DLP > Les huit principales causes de perte / vol de données
Mots de passe faibles, portes dérobées, injections SQL, etc. (27.5.2013)

Gestion des risques > Gartner : Sommet 2013 sur la sécurité
Aperçu. (27.5.2013)

Smartphones > Recommandations de sécurité relatives aux smartphones (ordiphones)
De l'ANSSI. (23.5.2013)

Réseaux > Réseaux de télécommunications : adresser les risques potentiels de sécurité des équipements fabriqués à l'étranger
Rapport du GAO. (23.5.2013)

Gestion des logs > Pour améliorer la sécurité de leur information, même les PME devraient s'intéresser à la gestion des logs
Et analyser les activités suspectes. Mais disposent-elles des ressources suffisantes pour le faire? (23.5.2013)

Infrastructures critiques > Les compagnies électriques US sont la cible de fréquentes cyberattaques
Rapport du Congrès US.
Autre article à ce sujet. (23.5.2013)

Protection des données > La surveillance et l'Internet des choses
Tout chose pourra être connectée, donc pourra être surveillée. (23.5.2013)

Applications > Les réelles raisons des failles de sécurité des logiciels et les mesures de mitigation
Par exemple, les développeurs doivent anticiper les possibles attaques, les possibles menaces. (23.5.2013)

SSL > Une autre raison de ne pas ignorer IPv6
Du SANS. (23.5.2013)

Cybercriminalité > Les rapports sur la cybercriminalité ne sont qu'une partie de la réalité
Selon un chef d'une agence UK. (23.5.2013)

Rapports > Bulletin d'actualité CERTA-2013-ACT-020
Recommandation pour la sécurisation des sites Web, vulnérabilité dans le noyau Linux, etc.
Rapport annuel FBI - Crime Internet 2012. (23.5.2013)

Big Data > Comment le Big Data a permis d'arrêter des criminels
Mais des données agrégées peuvent constituer des risques de protection des données. (21.5.2013)

Cybersécurité > Les TIC, mais en toute sécurité: Swiss Cyber Storm cherche les «cyber-talents» de demain
«Cyber» – ce terme est actuellement partout. L’association «Swiss Cyber Storm» s’est donnée comme mission de trouver chaque année les «cyber-talents» les plus brillants de Suisse et de les mettre en contact avec des décideurs du domaine privé et public. Le 13 juin 2013, au KKL de Lucerne, cette mission se concrétisera dans le cadre du «Swiss Cyber Storm 4». (21.5.2013)

Configuration > Durcir la configuration de sécurité
Contrôle critique no 3 du SANS. (21.5.2013)

Protection des données > Google Glass et données personnelles : des politiques américains s’inquiètent
"Plusieurs membres du Congrès américain souhaitent que Google précise les dispositions qui seront prises en matière de protection de la vie au sujet des Google Glass, et notamment comment seront gérées les données des non-utilisateurs collectées sans consentement."
L'EPIC aussi. (21.5.2013)

Protection des données > Vote électronique : la CNIL prononce un avertissement pour défauts de sécurité lors d'élections professionnelles
"La CNIL prononce un avertissement à l'encontre de la société TOTAL RAFFINAGE MARKETING en raison de défauts de sécurité constatés lors d'élections professionnelles réalisées par vote électronique. La société avait eu recours à la solution de vote " Election central " commercialisée par le prestataire ELECTION-EUROPE." (21.5.2013)

Enquête > Menace no 1 : les vulnérabilités des applications
Publication d'ISC(2). (21.5.2013)

Protection des données > Une nouvelle preuve que Microsoft lit les conversations sur Skype ?
"Nouvelle polémique autour du logiciel de vidéoconférence. Des blogueurs allemands estiment que sous couvert de lutter contre les liens malicieux, Microsoft espionne les conversations." (21.5.2013)

Réseaux sociaux > 6 choses à éviter absolument sur les réseaux sociaux
Ne pas répondre à chacun, ni à des trolls, etc. (21.5.2013)

Cyber-risques > Le Conseil fédéral adopte le plan de mise en œuvre de la stratégie visant à protéger la Suisse contre les cyberrisques
"Berne, 15.05.2013 - Lors de sa séance d'aujourd'hui, le Conseil fédéral a adopté le plan de mise en œuvre de la stratégie nationale de protection contre les cyberrisques (SNPC). Les mesures décidées ont pour but de renforcer la prévention ainsi que la gestion de la continuité et des crises. Elles impliquent donc également une augmentation du nombre des spécialistes en matière de cybersécurité au sein de l'administration fédérale. Le Conseil fédéral a mis en place un comité interdépartemental de pilotage de la SNPC afin de coordonner les travaux requis." (21.5.2013)

Normes > COSO 2013
Contrôle interne : Nouveau concept COSO 2013. (17.5.2013)

Formation InfoSec > Formation doctorale à la cybersécurité
Deux nouveaux centres UK. (17.5.2013)

Cyberattaques > Répondre au cyberattaques ciblés
Publication de l'ISACA. (17.5.2013)

DDoS > Mesures de prévention contre les attaques DNS amplifiées
Alerte du site REN-ISAC. (17.5.2013)

Tablettes > Suites Office pour iPads
Tests de quelques suites. (17.5.2013)

SDLC > Développement de logiciels sûrs
Modules de formation en ligne.
Standard ISO de développement de logiciels sûrs. (17.5.2013)

Cybersanté > Mon dossier médical : Connecté à ma santé!
"MonDossierMedical.ch est un système sécurisé de dossier médical partagé en ligne à disposition de tous les patients et prestataires de soins du canton de Genève." (17.5.2013)

Protection des données > Une manière de rendre les enregistrements téléphoniques difficiles à traquer
Le service "Silent Circle". (17.5.2013)

Protection des données > La communication de renseignements sur les administrés
"La loi permet à des autorités publiques de se faire communiquer, dans le cadre de leurs missions et sous certaines conditions, des informations issues de fichiers." (17.5.2013)

BYOD > Protéger le périmètre
Mais également (et surtout) les données. L'IAM peut-il apporter une réponse? (17.5.2013)

BYOD > Baisse du niveau de confiance de la sécurité des données des mobiles utilisés à l'extérieur
Comment augmenter la confiance? (17.5.2013)

Windows > Se préparer maintenant à la fin du support Windows XP et Office 2003
D'abord comprendre les risques que cela signifie.
Autre article à ce sujet. (17.5.2013)

Rapport > Rapport Lescure : Hadopi atomisée et taxe sur les smartphones
"Le rapport de Pierre Lescure a été remis au Président de la République. Ses propositions visent certes au développement du numérique mais avec un encadrement renouvelé. Elles prévoient notamment une taxe sur les smartphones et la fin de Hadopi."
Autre article à ce sujet. (15.5.2013)

Mots de passe > L'impact de métriques de mot de passe sur la sélection des mots de passe
Résultats d'une recherche. (15.5.2013)

Cybersécurité > 10 menaces émergentes que vous ne connaissez peut-être pas
Les systèmes embarqués, BYOD / mobile, etc. (15.5.2013)

IAM > IAM adaptatif : Sur la ligne de front de la cybersécurité
Article à ce sujet. (15.5.2013)

Gestion des incidents > 3 erreurs importantes à ne pas commettre de réponse aux incidents
Croire que c'est une APT, ne pas surveiller le trafic, se focaliser uniquement sur le malware. (15.5.2013)

Sites Internet > Recommandations pour la sécurisation des sites web
"Les sites web sont par nature des éléments très exposés du système d’information. Leur sécurisation revêt une grande importance, et ce à plusieurs titres." (15.5.2013)

Mobilité > Programme de mobilité de la NSA
"Mobility Capability Package" 2.1. (15.5.2013)

Windows > Retrouver un menu "Démarrer"
"Cette astuce est dédiée à ceux qui ont encore du mal avec Windows 8 et qui regrettent fortement le menu démarrer... La suite vous permettra de réinstaller un menu démarrer!" . (15.5.2013)

Navigateurs > Sécurité des navigateurs
Conseils du site "The Onion". (15.5.2013)

Cyberespionnage > La NSA publie son manuel du parfait cyber-espion
"La NSA, l'agence de renseignement américaine, vient de rendre public un guide à destination de ses cyber-agents, intimée par la justice de déclassifier ce document sur le fondement du Freedom of Information Act. "
Article à ce sujet. (15.5.2013)

Enquête > Sécurité et conformité des comptes privilégiés
La grande majorité des entreprises ne sont pas conscientes des risques de leurs comptes privilégiés. (13.5.2013)

Rapport > Attaques phishing
Mise en garde d'IC3. (13.5.2013)

Malware > Extraire des signatures digitales de malware signé
Du SANS. (13.5.2013)

Social engineering > L'être humain, le risque majeur de cybersécurité
En particulier, les collaborateurs internes. (13.5.2013)

Imprimantes > La Californie pourrait défendre les pistolets imprimés en 3D
Les risques de la technologie d'impression 3D. (13.5.2013)

Cybersécurité > "Honeywords" peut duper les voleurs de mot de passe
Résultats d'une recherche. (13.5.2013)

Catastrophe > Quel est le niveau de préparation des entreprises en cas de catastrophes naturelles?
Résultats d'une enquête de la Zurich Assurances. (13.5.2013)

Cyberespionnage > Le Pentagone accuse la Chine de cyber-espionnage
"Dans un rapport rendu public, le Pentagone a accusé le gouvernement chinois d'avoir mené des cyberattaques pour collecter des informations sur le programme de défense américain. La Chine a fermement démenti." (13.5.2013)

Enquête > 2013 Cisco Global IT Impact Survey
Communiqué de presse. (13.5.2013)

Cyberattaques > L'injection SQL fonctionne encore
Les 10 raisons. (13.5.2013)

Protection des données > Etude DNA permet de re-identifier les volontaires anonymes
Le "Personal Genome Project". (10.5.2013)

Hackers > Des hackers détournent 45 millions de dollars sur des comptes bancaires
"Des pirates informatiques ont dérobé en deux opérations près de 45 millions de dollars dans 26 pays, participant, selon la justice américaine, "à un énorme braquage de banques" d'un genre nouveau. L'affaire a été révélée jeudi 9 mai par le bureau de la procureure de New York, qui a inculpé huit personnes soupçonnées d'appartenir à une cellule de pirates établie à New York. Le réseau s'étendrait au total sur 26 pays et aurait agi lors de deux opérations distinctes, le 22 décembre 2012 et les 19/20 février 2013, selon le même mode opératoire." (10.5.2013)

DDoS > L'attaque DDoS contre Spamhaus
Explication de cette attaque de grande envergure et que faire contre. (10.5.2013)

Menaces internes > Contrôler l'utilisation malicieuse des médias USB
Du CERT. (10.5.2013)

Gestion des logs > Logging de sécurité dans une entreprise
Blog de Cisco. (10.5.2013)

Cyberattaques > Les attaques du type "Watering Hole"
Détails techniques. (10.5.2013)

Protection des données > Journée d'audit en ligne à la CNIL : les 250 principaux sites informent-ils suffisamment les internautes ?
"Les principales autorités mondiales compétentes en matière de protection des données rassemblées au sein du GPEN (Global Privacy Enforcement Network), mènent une première action commune. Une vingtaine d'autorités vont, simultanément, analyser les mentions d'information présentes sur les principaux sites web à l'occasion de l'Internet Sweep Day. Le 6 mai, la CNIL participe à cette opération et examinera 250 sites internet. " .
Article à ce sujet. (10.5.2013)

DLP > Se protéger contre le vol de téléphones, ordinateurs et tablettes portables
"Le vol d’appareils portables a drastiquement progressé au cours des dernières années. Une hausse qui est très certainement liée au fait que, dans le même temps, ce type d’objets a connu un développement extraordinaire. Seules les statistiques n’en font pas encore état du phénomène." (10.5.2013)

BYOD > Projet BYOD du Gouvernement US
Les défis à relever, les possibles cas de figure, la sécurité, etc. (10.5.2013)

Cloud computing > Comment assurer la géolocalisation sûre des données dans le cloud
Concept proposé par le NIST utilisant la technologie "Intel Trusted Execution Technology (Intel TXT)". (10.5.2013)

Publication > Journal of Accountancy
Edition de mai 2013. (10.5.2013)

Sécurité des données > Sauver, stocker et protéger les données : comment faire ?
"La production, la sauvegarde et la préservation des données de l'entreprise sont des enjeux essentiels pour les DSI. De la création des données à leur destruction, comment gérer efficacement le cycle de vie des données ?" (7.5.2013)

Trading à haute fréquence > Les traders exploitent une faille
Explications. (7.5.2013)

Technologie > Google Glass
Description et règles d'usage.
Autre article à ce sujet. (7.5.2013)

Rapport > Bulletin d'actualité CERTA-2013-ACT-018
Attaques par relais SMB, vulnérabilités des greffons des gestionnaires de contenu, etc. (7.5.2013)

Smartphones > Comment les utilisateurs protègent-ils leur smartphone
Résultats d'une enquête. (7.5.2013)

Cloud computing > Les questions que doit se poser le Conseil d'administration
Publication de l'ISACA. (7.5.2013)

Gestion des incidents > Les coûts du nettoyage suite à une infection
Coûts de nettoyage vs coûts de désinfection des PC. (7.5.2013)

Sécurité des réseaux > Risques des systèmes en réseau
Commentaires sur une publication. (7.5.2013)

Contrôles de sécurité > Focalisation sur les systèmes, plutôt que sur les menaces
La norme révisée SP 800-53 du NIST. (7.5.2013)

Internet des choses > Comment les hackers peuvent transformer en une arme l'Internet des choses (ou des objets)
Les attaques SNMP. (6.5.2013)

DLP > Mesures contre les risques de perte - vol de laptops
Chiffrer, effacer les données à distance, etc. (6.5.2013)

BYOD > Les avantages du BYOD surpassent les risques
Pour autant qu'on prenne préalablement les mesures nécessaires. (6.5.2013)

Antivirus > Les apps mobiles antivirus échouent à détecter du malware déguisé
Résultats de tests effectués par des chercheurs. (6.5.2013)

Cybersécurité > La cybersécurité au cœur du nouveau Livre blanc sur la défense et la sécurité nationale
"Le Livre blanc sur la défense et la sécurité nationale place la sécurité et la défense des systèmes d’information au cœur des priorités stratégiques de la Nation." (6.5.2013)

Audit du SI > Méthode d'audit de firewalls
Conformité PCI DSS. Document du SANS du 18.4.2013. (6.5.2013)

Protection des données > Projet de règlement européen: un enjeu majeur pour la France
"La protection de la vie privée et des données personnelles représente un enjeu majeur de politique publique en France et partout en Europe. L'essor du numérique et le contexte de globalisation rendent nécessaire la révision du cadre juridique européen existant. La directive européenne de 1995 est ainsi appelée à être remplacée par un règlement européen d’application directe dans l’ensemble des États membres de l’Union européenne. Il devrait notamment permettre une meilleure harmonisation et renforcer l’effectivité des règles de protection des données personnelles. Le texte définitif devrait être adopté fin 2013 et entrer en vigueur deux ans plus tard. Ce moment est historique et il faut en prendre la pleine mesure car il dessinera le nouveau paysage de la protection des données du XXIème siècle en Europe." (6.5.2013)

Firewalls > Une semaine d'analyse du trafic de certains firewalls
Analyses et commentaires de 3 graphes. (6.5.2013)

Sauvegarde / restauration > Restauration suite à une attaque Twitter (phishing)
Quatre mesures proposées.
Autre article au sujet de cette attaque. (6.5.2013)

Gestion des accès > La méthode ABAC
Le concept ABAC : contrôle des accès basé sur les attributs. Projet de guide du NIST SP 800-162. (6.5.2013)

--------------------------------------------------------------------------------
Copyright © 2013 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI