News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

Newa - Archives août 2016

Bitcoin > Et blockchain, la technologie liée au bitcoin
Fonctionnement d'une transaction bitcoin. (29.8.2016)

Ransomware > La sécurité endpoint peut-elle stopper les attaques ransomware?
Explications. (29.8.2016)

Protection des données > Windows 10 : Microsoft en a vraiment après vos données
"Après la CNIL, c’est un expert en sécurité qui découvre des transferts de données chiffrées, entre Windows 10 et les serveurs de Microsoft, qu’il est impossible d’identifier ou de désactiver."  
Autre article à ce sujet. (29.8.2016)

Gestion des risques > Trois simples moyens pour communiquer sur les risques
Créer un programme de formation aux risques qui, entre autres, traite des cas pratiques, etc. (29.8.2016)

Applications Web > Guide pour développeurs des projets OWASP
Comment sécuriser vos applications web contre les plus communes vulnérabilités web. (29.8.2016)

Cyberattaques > La NSA a pu déchiffrer les données secrètes d'entreprises pendant des années
"La récente fuite de données de l’agence de renseignement américaine a permis de détecter une attaque ciblant les réseaux privés virtuels Cisco PIX utilisés par les entreprises pour échanger des informations confidentielles." (29.8.2016)

Rapport > Bulletin d'actualité CERTFR-2016-ACT-034
Ra-Guard. (29.8.2016)

Technologie > Les dix principales technologies émergentes en 2016
Du WEF. (22.8.2016)

Cyberespionnage > Des outils d’espionnage de l’unité d’élite de la NSA publiés par des pirates
"L’affaire, au parfum de guerre froide, intrigue les spécialistes des services de renseignement et de sécurité informatique depuis trois jours." (22.8.2016)

Cybersécurité > Dossier cybersécurité : quels outils pour contrer les nouvelles menaces
"Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l’affaire des « Panama Papers » prouvent une fois de plus la vulnérabilité des systèmes d’information." (22.8.2016)

CMM > Construire la capability avec CMMI
Le modèle CMMI. (22.8.2016)

Cybersécurité > La fusion de la cybersécurité avec la technologie opérationnelle
Document téléchargeable de l'ISACA. (22.8.2016)

Cyberattaques > Comment les hackers planifient les attaques et cachent leurs traces
Comment fonctionne une attaque. (22.8.2016)

Cloud computing > Faites-vous confiance à votre prestataire cloud?
Propositions de questions à lui poser. (17.8.2016)

DLP > Les sons émis par votre disque dur peuvent être utilisés pour voler des données du PC
Résultats d'une recherche. (17.8.2016)

Hacking > La plupart des serrures connectées peuvent être hackées
"Il est facile de déverrouiller ces dispositifs en interceptant leurs communications Bluetooth avec les smartphones des utilisateurs." (17.8.2016)

Protection des données > Le règlement européen sur la protection des données en dataviz
"Pour faciliter l’analyse et la compréhension fine du texte du règlement européen, la CNIL propose une navigation visuelle dans le texte du règlement à partir des liens ou interactions entre ses articles et ses considérants." (17.8.2016)

Logiciel espion > ProjectSauron, le logiciel-espion d’Etat dissimulé depuis cinq ans
"C’est un logiciel malveillant très sophistiqué qu’ont détecté deux entreprises de sécurité informatique."
Autre article à ce sujet. (17.8.2016)

ICS / SCADA > Programme d'évaluation de la sécurité
Appréciation de la sécurité des infrastructures critiques. (17.8.2016)

Ransomware > Utiliser l'entropie du fichier pour identifier les fichiers infectés par du ransomware
Du SANS. (17.8.2016)

Rapports > Bulletin d'actualité CERTFR-2016-ACT-032
Et Bulletin d'actualité CERTFR-2016-ACT-033. (17.8.2016)

Mots de passe > Le changement fréquent des mots de passe est l'ennemie de la technologie
Selon la CTO de la FTC.
FIDO Alliance a-t-elle trouvé une solution à ce problème? (12.8.2016)

Internet des objets > Deux hackers ont créé le premier ransomware qui prend les thermostats connectés en otage
"La vague des ransomwares n'en finit plus, mais elle s'était limitée jusqu'ici aux systèmes informatiques classiques : postes de travail et serveurs. Deux chercheurs viennent de l'étendre à l'Internet des objets au travers d'une preuve de concept qui paralyse un thermostat tournant sous Linux. Un rappel que l'IoT comporte de graves lacunes en matière de sécurité." (12.8.2016)

Smart City > Votre train a été "volé" par un hacker
Les systèmes de transport sont vulnérables aux cyberattaques. (12.8.2016)

BCM / DRP > Plan de reprise des activités suite à une panne majeure
Structures, phases et activités d'un plan de reprise. (12.8.2016)

Protection des données > Comment les entreprises doivent-elles se préparer au nouveau règlement européen de cybersécurité
Lesquelles devront rapporter les pertes / vols de données subies. (12.8.2016)

Protection des données > Quoi, pourquoi et comment transférer des données aux USA
Le UE-US Privacy Shield qui remplace le Safe Harbor.
Autre article à ce sujet. (12.8.2016)

Blockchain > Une des dix principales technologies émergentes en 2016
Qui pourrait, selon l'article, changer complètement la manière de travailler des marchés et des gouvernements. (12.8.2016)

Gestion des risques > Six moyens pour augmenter la qualité de la gestion des risques
D'abord définir une stratégie (endossée par la Direction). (12.8.2016)

Surveillance > Une base de données pour percer les secrets de l’industrie de la surveillance
"Privacy International et Transparency Toolkit, des organisations de défense des droits de l’homme et de lutte contre les dispositifs de pistage des individus, viennent de lancer une base de données recensant un maximum d’informations précises sur 520 sociétés du secteur de la surveillance." (8.8.2016)

Protection des données > Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield (bouclier de protection des données UE-États-Unis)
"Le 12 juillet 2016, la Commission européenne a adopté la décision d'adéquation sur le Privacy Shield. Le G29 salue les améliorations apportées par le Privacy Shield par rapport au Safe Harbour. Dans son avis WP238 du 13 avril 2016 relatif à la décision d'adéquation du Privacy Shield, le G29 a exprimé des inquiétudes et a demandé diverses clarifications."   (8.8.2016)

Accès privilégiés > Installer le contrôle de sécurité critique : Utilisation contrôlée des privilèges administratifs
Publication du SANS. (8.8.2016)

Normes > Nouvelles publications du NIST
SP 800-183 Réseau des objets (IoT).
SP 800-46 et 800-114 BYOD. (8.8.2016)

Authentification > L'authentification du futur pourra remplacer les mots de passe
Et se basera sur des standards ouverts.
Article à ce sujet. (8.8.2016)

DevOps > L'évolution de DevOps
DevOps et les pratiques de codification sécurisée. (8.8.2016)

Internet des objets > Evolution des tests d'intrusion dans le domaine de l'IoT
Nouveau domaine = nouveaux défis. (8.8.2016)

Vote électronique > L'infrastructure électronique US de vote électronique est-elle vulnérable aux cyberattaques?
Vulnérabilités du système US de vote et mesures de mitigation.
Autre article à ce sujet. (8.8.2016)

Rapports > Bulletin d'actualité CERTFR-2016-ACT-031
Bulletin d'actualité CERTFR-2016-ACT-030.
Bulletin d'actualité CERTFR-2016-ACT-029. (8.8.2016)

Infrastructures critiques > Cyberattaques contre des infrastructures critiques
Peut-on sécuriser le "Grid"? (8.8.2016)

Publications > Journal of Accountancy Juillet 2016
Et août 2016. (4.8.2016)

Véhicules connectés > Gestion du trafic dans le cadre du VACS
VACS : "Vehicle Automation and Communication Systems". (4.8.2016)

Internet des objets > Le public doit réagir afin de se protéger lors de l'utilisation d'équipements IoT
Les mesures à considérer. (4.8.2016)

Juridique > Groupe de travail "Article 29" de la CE
Commentaires sur le Privacy Shield. (4.8.2016)

Protection des données > Fin du passage gratuit à Windows 10 – position du PFPDT
"Selon l‘annonce de la société Microsoft, la mise à niveau vers le système d'exploitation Windows 10 reste encore gratuite jusqu'à fin juillet 2016. Dans ce contexte, le PFPDT tient à rappeler que ce produit offre différentes fonctionnalités requérant l'envoi de données utilisateurs vers un service de cloud ou à Microsoft." (4.8.2016)

Protection des données > Windows 10 : la CNIL met publiquement en demeure MICROSOFT CORPORATION de se conformer, dans un délai de trois mois, à la loi Informatique et Libertés
"La Présidente de la CNIL met en demeure MICROSOFT CORPORATION de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. Elle lui demande aussi d’assurer de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs." (4.8.2016)

Applications > Cinq menaces de sécurité d'application
Par exemple, une smartwatch peut présenter une menace de sécurité d'application. (4.8.2016)

Wi-Fi > Les coûts dangereux du Wi-Fi "gratuit"
Les risques et les mesures contre ces risques. (4.8.2016)

Infrastructures critiques > Les infrastructures critiques européennes exposées aux hackers
Résultats d'une enquête. (4.8.2016)

Véhicules connectés > Bonnes pratiques de cybersécurité
Publiées par AUTO-ISAC. (1.8.2016)

Infrastructures critiques > Le blackout ukrainien
Et les mesures prises par la suite. (1.8.2016)

Rapport > Les logiciels de paiement hors ligne ciblés par des pirates : des entreprises suisses touchées
"Ces derniers jours, MELANI a observé plusieurs cas dans lesquels le maliciel Dridex est dirigé contre des logiciels de paiement hors ligne. Ce type de logiciel est utilisé par les entreprises, afin de transmettre un grand nombre d’ordre de paiements à une ou plusieurs banques. Si la machine sur laquelle un tel logiciel est installé est compromise, les dommages potentiels sont très importants. MELANI recommande fortement de protéger les ordinateurs utilisés pour le trafic de paiement en conséquence." (1.8.2016)

Impression 3 D > Attaque d'une imprimante 3 D
Comment une imprimante 3 D peut devenir vulnérable à l'espionnage industriel. (1.8.2016)

Résilience > Guide de cyber résilience pour les infrastructures des marchés financiers
Publié par la BIS. (1.8.2016)

Industrie 4.0 > Plan de survie de Bosch
La fabrique intelligente. (1.8.2016)

Protection des données > Rapport d’activités 2015/2016 du PFPDT
"Le Préposé fédéral à la protection des données et à la transparence (PFPDT) présente aujourd’hui au public son 23e rapport d’activités." (1.8.2016)

Dark Net > Ce qu'il faut savoir
Les hackers sont (actuellement) les gagnants. (1.8.2016)

--------------------------------------------------------------------------------
Copyright © 2016 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
US-CERT
SANS
MELANI

CERT-FR

Séminaire

Formation Conseiller à la protection des données en entreprise / Data protection officer
Dates : 6-7 et 20-22 mars, 4 avril 2017
Lieu : CVCI Lausanne