News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives janvier 2014

Logiciels > Les risques d'utilisation des logiciels plus supportés
Recommandations de l'ENISA. (30.1.2014)

Infrastructure critiques > La cybersécurité est cruciale pour protéger les infrastructures intelligentes
Rapport de l'ENISA. (30.1.2014)

ISC / SCADA > L’Agence de cybersécurité de l’UE (ENISA) estime que les Systèmes de contrôle industriels d’énergie, d’eau et de transport désuets et, dépourvus de contrôles de cybersécurité adéquats, doivent faire l’objet de tests de capacité coordonnés à l’échelle européenne
"L’Agence de cybersécurité de l’UE (ENISA) a publié aujourd’hui un nouveau rapport proposant quelques recommandations sur les prochaines étapes envers la coordination de tests de capacités des Systèmes de contrôles industriels (ICS), souvent désuets, des industries européennes. Parmi les principales recommandations, l’évaluation des ICS figure comme l’une des préoccupations majeures des Etats Membres de l’UE. Elle pourrait être donc abordée à l’échelle européenne selon l’ENISA." (30.1.2014)

Protection des données > Journée européenne de la protection des données
Article de l'ENISA. (30.1.2014)

Internet des choses > Les problèmes physiques devront être réglés
Par exemple, l'autonomie de la batterie. (30.1.2014)

Sauvegarde / Restauration > Les dernières tendances dans le domaine de la restauration des données
SSD et Flash, disques durs, etc. (30.1.2014)

Surveillance > La surveillance massive doit stopper car illégale
Rapport du "Privacy Ovetsight Board". (30.1.2014)

Internet des choses > Les frigidaires passent à l'attaque
Vraiment? (30.1.2014)

Gestion des incidents > Apprendre des incidents qui sont arrivés à d'autres
L'erreur est une source d'intelligence. (30.1.2014)

Gestion des accès > Guide ABAC (Attribute Based Access Control)
Définitions et considérations. Publication SP 800-162 du NIST. (30.1.2014)

Publications > Recommandations de sécurisation d’une architecture de téléphonie sur IP
"La téléphonie sur IP (ou ToIP) est une évolution majeure récente dans le monde des télécommunications. Cette technologie consiste à utiliser le protocole de transfert de données IP pour acheminer des communications téléphoniques numérisées sur des réseaux privés ou publics. La mise en place de ce type de technologie au sein d’une entreprise ou d’une administration implique des modifications profondes du système d’information (remplacement des PABX, installation de serveurs applicatifs, changement des postes téléphoniques, câblage, etc.), et doit à ce titre être conduite comme un projet à part entière." (24.1.2014)

Publications > L’ANSSI publie des mesures visant à renforcer la cybersécurité des systèmes industriels
"Depuis février 2013, les acteurs industriels (utilisateurs, équipementiers, intégrateurs, associations et groupements d’industriels, etc.) et étatiques ont constitué un groupe de travail piloté par l’ANSSI pour apporter des réponses concrètes et pragmatiques à la sécurisation des infrastructures industrielles." (24.1.2014)

Cyberattaques > Pourquoi l'approche Avant / Pendant / Après fournit une meilleure protection contre les menaces
De Cisco. (24.1.2014)

Protection des données > Les cinq raisons qui font que nous sommes en train de perdre la guerre contre la sphère privée en ligne
Pour reprendre Churchill ou De Gaulle, perdu une bataille ou la guerre? (24.1.2014)

Cyberespionnage > Cyberespionnage économique: la Russie entre dans la danse
"Pour la première fois, des experts en sécurité ont pu mettre en évidence un lien entre des activités d’espionnage et le gouvernement russe. Principale cible : le secteur énergétique." (24.1.2014)

BYOD / CYOD > Choose your own device
Comment choisir les équipements pour vos utilisateurs. (24.1.2014)

CSO / CISO > CSO 2.0
CSO : le passage du programme de sécurité du niveau 1.0 au niveau 2.0. (24.1.2014)

Protection des données > Google : l'Union européenne déçue des sanctions des CNIL
"Interrogée, Viviane Reding, vice-présidente de la Commission européenne, s'est dite déçue des sanctions émises envers Google par les CNIL espagnole et française. Selon elle, cela ne représente que de l'« argent de poche » pour Google. Elle travaille pour permettre de sanctionner les entreprises jusqu'à 2 % du chiffre d'annuel. De quoi calmer Google." (24.1.2014)

Cartes de crédit > Suite aux récentes attaques (Target) le standard PCI est-il fiable?
Pas vraiment selon cet article. (24.1.2014)

Smartphones > Quelles précautions prendre avant de céder mon smartphone ?
"Si vous comptez vous séparer de votre mobile pour le revendre d'occasion ou pour l'offrir à votre petit neveu, pensez à le nettoyer au sens propre et au sens figuré." (24.1.2014)

Mots de passe > Les pires mots de passe 2013
Probablement les résultats différent selon la langue parlée. (24.1.2014)

Surveillance > Votre patron espionne-t-il vos flux SSL ? Faites le test !
"De plus en plus d’entreprises disposent de « proxy web» capable de déchiffrer n’importe quel flux chiffré en SSL. Voici un guide pour savoir si tel est le cas chez votre employeur." (21.1.2014)

Rapport > Bulletin d'actualité CERTA-2014-ACT-003
Détournement du protocole NTP permettant des dénis de service par amplification, mise en œuvre des mécanismes de sécurité du noyau Linux dans Android, etc. (21.1.2014)

BYOD > Pour réussir, le BYOD doit intégrer le respect des données personnelles
" Afin que le BYOD soit un succès en entreprise, il faut que la direction et les employés accordent leur violon sur certaines règles et quelques principes. Et le respect de la vie privée est fondamental." (21.1.2014)

Rapport > Rapport global 2014 des risques
Du WEF. (21.1.2014)

Gestion des incidents > Comment avertir les clients suite à un vol / une fuite de données
Ce qu'il ne faut pas faire, à l'exemple de l'attaque de Target. (21.1.2014)

Internet des choses > Quelle place pour les objets connectés en entreprise ?
"Lunettes connectées, casques 3D, bracelets, badges sociométriques... Une étude de Forrester dévoile ce que les entreprises ont à gagner avec ces technologies, exemples concrets à l'appui." (21.1.2014)

Rapport > Rapport annuel 2014 de sécurité de Cisco
Article à ce sujet.
Blog de Cisco. (21.1.2014)

Cloud computing > De la transparence à la confiance dans le nuage: ENISA, l’Agence européenne de cyber-sécurité, propose ses conseils pour rapporter les incidents dans le cadre de l’informatique dématérialisée
"L’ENISA souligne l’importance des rapports d’incidents dans l’informatique dématérialisée, en particulier dans les secteurs les plus critiques, afin de mieux comprendre la sécurité et de cultiver la confiance. ENISA présente une approche pratique qui apporte des avantages à la fois pour les usagers et pour les prestataires." (21.1.2014)

Windows > Microsoft continuera la mise à jour de son anti-virus pour XP
"Si Microsoft a décidé de stopper le support de Windows XP en date du 8 avril 2014, toutefois les mises à jour de ses anti-virus se poursuivront jusqu’en 2015."
Autre article contenant un lien vers MS. (17.1.2014)

Cybercriminalité > La cybercriminalité, main dans la main avec le crime organisé
"Les cybermalfrats s’internationalisent et nouent de plus en plus de contacts avec les réseaux mafieux classiques, d’après le dernier rapport annuel du Clusif." (17.1.2014)

Risques > Baromètre 2014 des risques
De l'assureur Allianz. (17.1.2014)

Mobilité > Des politiques de sécurité à géométrie variable sur la mobilité
"La conférence du club de la presse informatique BtoB s'est penchée sur la problématique de la sécurité et de la mobilité. Un élément essentiel dans les entreprises aujourd'hui, mais où les réponses à apporter divergent." (17.1.2014)

DLP > Le vol de données de Target a utilisé du malware disponible en ligne
Détails de l'attaque. (17.1.2014)

Surveillance > La NSA récupère des milliards de SMS dans le monde
"L'Agence de sécurité nationale américaine, la NSA, a récupéré près de 200 millions de SMS par jour dans le monde, de façon non ciblée, pour en extraire des renseignements depuis 2011, rapporte jeudi 16 janvier le quotidien britannique The Guardian." (17.1.2014)

Surveillance > La NSA peut attaquer des PC déconnectés
La technique d'attaque "Quantum". (17.1.2014)

Protection des données > Comment ne pas opter pour l'intégration Gmail avec Google Plus
En trois étapes. (17.1.2014)

Firewall > Utilisation d'un firewall IPv6?
Voir commentaires. (17.1.2014)

Internet des choses > La sécurité de l'Internet des choses
Les différents équipements à la maison pouvant contenir des adresses IP et les risques. (17.1.2014)

Malware > Comment sauver un PC d'un malware demandant une rançon
Les différentes variétés de "ransomware", comment les enlever et comment les éviter. (17.1.2014)

Cloud computing > Chiffrer les fichiers avant de les stocker sur Dropbox
Doit (encore) se faire par l'utilisateur. (15.1.2014)

Surveillance > La NSA surveille même les ordinateurs non connectés
"Grâce aux ondes radios, l’agence de sécurité américaine peut inspecter et même modifier les données d’ordinateurs non connectés à Internet. Elle aurait infiltré de cette manière plus de 100 000 machines depuis 2008." (15.1.2014)

Protection des données > Le rachat de Nest par Google inquiète les défenseurs de la vie privée
"Les objets connectés de la startup américaine permettent d’avoir une vision intime des habitudes dans un foyer. Des informations qui seraient d’une grande valeur pour le ciblage publicitaire de Google." (15.1.2014)

Tracking > Quels secrets sur votre personne relèvent votre smartphone
" A company could, for example, track people's visits to specialist doctors or hospitals and sell that data to marketers." (15.1.2014)

Cyberattaques > Modèle pour prédire le moment du prochain Stuxnet
Utilisation d'un modèle mathématique. (15.1.2014)

Cyberattaques > Terminaux PoS infectés par du malware
L'attaque de Target.
Comment les détecter. (15.1.2014)

Cloud computing > Mise en place d'une solution DRP du cloud
Stratégie et points à considérer. (15.1.2014)

Protection des données > Transferts de données personnelles dans l'espace francophone : les autorités adoptent les règles contraignantes d’entreprise (RCE)
"Lors de sa 7ème conférence des 21 et 22 novembre 2013 à Marrakech, l’Association francophone des autorités de protection des données personnelles (AFAPDP) a adopté un protocole de coopération et une résolution pour encadrer et faciliter les transferts de données personnelles de l'espace francophone." (13.1.2014)

Protection des données > La formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 € à l’encontre de la société GOOGLE Inc.
"Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la société GOOGLE Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi « informatique et libertés ». Elle enjoint à Google de procéder à la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr, sous huit jours à compter de la notification de la décision." (13.1.2014)

Surveillance > Comment la NSA a presque tué Internet
"Google, Facebook, Microsoft, and the other tech titans have had to fight for their lives against their own government. An exclusive look inside their year from hell—and why the Internet will never be the same."

BYOD > Règlement d'utilisation du BYOD en entreprise
Qui tient compte des exigences de protection des données.
Article à ce sujet. (13.1.2014)

Internet des choses > Les cinq principales menaces des équipements IoT
Wi-Fi dans la voiture, etc. (13.1.2014)

BYOD > Le BYOD reste "l'exception" en Europe, selon Forrester
"Selon le cabinet d'études, seulement 15% des responsables mobilité européens sont allés au-delà de la phase de pilotage. L'approche du COPE qui consiste à proposer aux salariés un catalogue de terminaux validés par la DSI serait bien plus utilisée." (13.1.2014)

Publication > Newsletter du PFPDT
Edition 2013. (13.1.2014)

Surveillance > Conférence RSA
Ceux qui ont collaboré avec la NSA risquent de payer un lourd tribut. (9.1.2014)

Infrastructure critique > Appréciation de la fiabilité à long terme et hivernale de l'alimentation électrique (USA)
Publication du NERC. (9.1.2014)

Internet des choses > L'Internet des choses est peu sécurisé et souvent non "patchable"
L'Internet des choses utilise des ordinateurs embarqués pleins de vulnérabilités et difficiles à patcher. (9.1.2014)

Réseaux sociaux > Quelles mesures de sécurité dois-je prendre pour me protéger sur les réseaux sociaux?
"La Prévention Suisse de la Criminalité (PSC) élabore depuis 2005 des brochures pour informer sur les risques et les mesures de protection sur le Web. La nouvelle brochure «My little safebook» est consacrée au thème de la compétence médiatique sur Internet." (9.1.2014)

Cloud computing > Cloud computing dans le secteur public
Un défi pour l'Europe. (9.1.2014)

Equipements mobiles > Sept erreurs de sécurité à éviter
Diaporama. (9.1.2014)

Publication > Journal of Accountancy
Edition de janvier 2014. (9.1.2014)

Surveillance > Monitoring des réseaux Windows à l'aide de Syslog
De l'ISC. (9.1.2014)

Sécurité de l'information > Adapter sa stratégie de sécurité pour répondre aux nouveaux défis
Cinq recommandations de RSA. (9.1.2014)

BYOD > Après les fêtes, les collaborateurs reviennent au travail avec leur nouveau smartphone
Quelle stratégie adopter? (9.1.2014)

Rapports > Bulletin d'actualité CERTA-2013-ACT-052
Et bulletin d'actualité CERTA-2014-ACT-001. (9.1.2014)

Phishing > Document sur le Spear Phishing
Comprendre les risques. (9.1.2014)

Cryptographie > La NSA cherche à casser tous les cryptages avec un ordinateur quantique
"L'agence d'espionnage américaine finance un projet d'ordinateur quantique capable de casser tous les systèmes de chiffrement, selon le Washington Post."
Autre article à ce sujet. (6.1.2014)

Applications > Quatre éléments clefs de protection proactives des applications
Ils s'appuient sur le scan de test de sécurité statique et le scan de test de sécurité dynamique. (6.1.2014)

Protection des données > Facebook intercepte vos messages
Et partage ces informations avec des entreprises de publicité. (6.1.2014)

Juridique > Etats-Unis : la douane a le droit de fouiller dans vos terminaux mobiles
"Une décision d'un tribunal confirme la possibilité pour un douanier d'examiner le contenu d'appareils mobiles sans aucune justification." (6.1.2014)

Surveillance > Verizon va publier des rapports des demandes de surveillance de la NSA
Est-ce que d'autres compagnies de télécom suivront? (6.1.2014)

POS > Malware visent les systèmes POS
Alerte de l'US-CERT. (6.1.2014)

Cyberattaques > Pour se protéger contre les cyberattaques, l'armée renforce les contrôles de ses réseaux
Pour cela, elle va limiter le nombre de points d'entrée dans les réseaux. (6.1.2014)

Surveillance > La NSA a développé un logiciel pour accéder aux iPhones via une porte dérobée
Autre article à ce sujet, plus celui-ci.
La boîte à outils de la NSA. (6.1.2014)

Cybersanté > Dossier médical partagé : un coût excessif pour un succès mitigé
"Selon des informations du Parisien publiées samedi 4 janvier, la mise en place du dossier médical personnel (DMP) a coûté 500 millions d'euros pour seulement 418 011 ouvertures sur les cinq millions prévus." (6.1.2014)

Protection des données > Cinq choses simples à faire pour protéger sa sphère privée
Couvrir l'objectif de la caméra des équipements connectés à Internet, etc. (6.1.2014)

--------------------------------------------------------------------------------
Copyright © 2014 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
CERT
SANS
MELANI