News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information
News - Archives juin 2017
Publication > Logiciels malveillants : prudence recommandée, quel que soit votre système d’exploitation
"Les criminels à l’origine de vagues d’e-mails malicieux cherchent de plus en plus à diversifier leurs cibles. Ainsi, ce ne sont pas uniquement les utilisateurs de Windows qui sont visés. Ces dernières semaines, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) a observé différentes vagues cherchant à distribuer des maliciels et ciblant les utilisateurs suisses de macOS, le système d’exploitation développé par Apple. Il est important de rappeler que la prudence s’impose pour tous les utilisateurs, quel que soit le système d’exploitation qu’ils utilisent." (29.6.2017)
Internet des objets > Sûreté et sécurité IoT
La sûreté devrait prévaloir sur la sécurité dans certains cas.
(29.6.2017)
Gestion des risques > Les nouvelles responsabilités du Chief Risk Officer (CRO) selon le modèle 3LoD
Trois lignes de défense.
(29.6.2017)
Cloud computing > Cloud Access Security Broker (CASB)
Passerelles de Sécurité Cloud / Cloud Security Gateways.
Rapport de Gartner. (29.6.2017)
Normes > Protection des données personnelles : un guide AFNOR recense les normes incontournables
"En 2018, la règlementation européenne sur la protection des données personnelles se renforcera. En cas de non-respect, les organisations risqueront une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel. En l’espèce, les normes volontaires sont d’une grande utilité. La preuve avec ce nouveau guide AFNOR." (29.6.2017)
Norme > ISO/IEC 29134:2017 Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'évaluation d'impacts sur la vie privée
Scope selon l'ISO : "This document gives guidelines for a process on privacy impact assessments, and a structure and content of a PIA report. It is applicable to all types and sizes of organizations, including public companies, private companies, government entities and not-for-profit organizations. This document is relevant to those involved in designing or implementing projects, including the parties operating data processing systems and services that process PII." (29.6.2017)
Alertes > Ransomware Petya
De l'US-CERT.
Du SANS.
De Ars Technica.
De Melani. (29.6.2017)
Alerte > Mesures recommandées de protection contre le vol de téléphones portables
De l'US-CERT.
(21.6.2017)
Malware > Cheval de Troie bancaire s'exécute quand la victime passe le cursor sur le lien dans un document PowerPoint
Infection ne nécessitant pas de cliquer sur le lien.
(21.6.2017)
Sécurité > Rapport d’activité 2016 : la sécurité, condition sine qua non d’une transition numérique réussie
"À l’occasion de la parution de son rapport d’activité 2016, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur une année marquée par l’apparition de nouvelles menaces capables de fragiliser nos démocraties mais qui, parallèlement, ont ouvert la voie à une prise de conscience renforcée du risque numérique à tous les niveaux de la société." (21.6.2017)
Rapports > Bulletin d'actualité CERTFR-2017-ACT-023
Bulletin d'actualité CERTFR-2017-ACT-024.
Bulletin d'actualité CERTFR-2017-ACT-025. (21.6.2017)
Messagerie > Protéger les systèmes de messagerie de l'entreprise
De l'US-CERT. (21.6.2017)
Fake news > Peut-on sauver nos démocraties des hackers?
Article de l'OCDE. (21.6.2017)
GDPR / EU-RGPD > Protection des données: les choses sérieuses commencent
"Le nouveau règlement européen en matière de protection des données renforce les droits des consommateurs et donne de nouveaux devoirs aux entreprises. Le nouveau cadre concerne aussi les sociétés suisses. Fini le traitement «à la cool» des données des clients: les entreprises vont devoir transformer leur gouvernance." (21.6.2017)
Tracking / Pistage > [NSA leak] Comment votre imprimante peut vous trahir ?
"En une heure à peine, la NSA a démasqué la « taupe » à l’origine de la publication d’un rapport confidentiel sur les ingérences de la R. lors des élections américaines. Une traque rendue possible grâce à une simple imprimante couleur laser."
Autre article à ce sujet. (21.6.2017)
Protection des données > Débat public sur les algorithmes et l’intelligence artificielle : programme des évènements à venir
"Le débat public coordonné par la CNIL sur les enjeux éthiques soulevés par les algorithmes et l’IA se poursuit avec une dizaine de manifestations en juin-juillet, dans plusieurs villes de France. La CERNA, l’INHESJ ou encore la CFE-CGC sont quelques-uns des 40 partenaires ayant rejoint le processus qui mèneront les prochaines initiatives." (21.6.2017)
Dark Web > Introduction au DDW (Deep & Dark Web) à l'attention de la Direction de l'entreprise
Comment sensibiliser la Direction à investir dans l'intelligence DDW.
(21.6.2017)
Dark Web > Lumière sur le côté obscur du Web
"Activités illicites – vente de drogue, d’armes, de fausses identités… – ou sites d’échange d’informations censurées, le « dark Web » a été analysé pour la première fois. Deux études montrent que ce réseau n’est en fait ni vraiment un Web ni vraiment « dark »." (21.6.2017)
Véhicules connectés> Sécurité des véhicules connectés
Observations et recommandations pour sécuriser l'environnement des véhicules connectés. (21.6.2017)
Formation / Sensibilisation > Rapport 2017 du SANS sur la sensibilisation à la sécurité
L'importance de savoir communiquer. (14.6.2017)
Internet des objets > Security / Privacy by Design > Sécurité absolue?
Vulnérabilités communes identifiées comme facteurs importants lors de la conception de produits IoT.
(14.6.2017)
PME > 7 importantes menaces de cybersécurité et comment se protéger contre
Attaques internes, phishing, etc. (14.6.2017)
Ransomware > Cloud computing > Les sauvegardes peuvent diminuer les risques des ransomware
Mais une petite erreur peut les rendre inefficaces. Analyser les risques des services cloud de sauvegarde. (14.6.2017)
Guerre de l'information > Elections FR > La défaite de la guerre de l'information
Les mesures préventives se sont avérées payantes.
Autre article à ce sujet. (14.6.2017)
eSanté / eHealth > Pirater un pacemaker, ce n'est pas juste de la fiction
"Des experts en sécurité de WhiteScope assurent avoir découvert plus de 8'000 failles dans les programmateurs de pacemakers, dont certaines permettant d'agir sur ce dispositif médical d'importance vitale." (14.6.2017)
Cybercriminalité > DLP > Suite à une attaque, les voleurs tentent d'utiliser les données volées 9 minutes après l'attaque
Résultats d'un test. (14.6.2017)
Cyberguerre > Les principaux acteurs dans le cyberspace
Leurs profils. La liste des acteurs est-elle complète?
Autre article à ce sujet. (14.6.2017)
Rapports > US-CERT > Alert (TA17-163A) CrashOverride Malware
Article à ce sujet.
Autre alerte de l'US-CERT : Alert (TA17-164A) HIDDEN COBRA – North Korea’s DDoS Botnet Infrastructure. (14.6.2017)
Communiqué de presse > Cybercriminalité en Suisse: forte augmentation et nouvelles menaces engendrées par l’intelligence artificielle
"Pour la plupart des entreprises suisses, les cyberattaques sont une réalité, et la prise de conscience des risques a augmenté en conséquence. L’Internet des objets et la progression de l’intelligence artificielle font naître de nouveaux dangers." (10.6.2017)
Publication > Journal of Accountancy
Edition de juin 2017.
(10.6.2017)
Réseaux sociaux > Juridique > Condamné pour un «J'aime» sur Facebook
"Un Zurichois de 45 ans a été condamné à une amende avec sursis pour avoir aimé des commentaires diffamants. Une première en Suisse." (10.6.2017)
Objets connectés > Security / Privacy by Design > ENISA collabore avec l'industrie européenne de semi-conducteurs sur des domaines clefs de cybersécurité
"The EU Agency for Network and Information security – ENISA – together with industry recently reached a common position on cybersecurity, that reflects the concerns of industry and provides a set of suggestions for policy makers. The paper focuses on four main areas actively debated at the EU level: standardisation and certification, security processes and services, security requirements and implementation, and the economic dimensions." (10.6.2017)
GDPR / EU-RGPD > Des entreprises informatiques s'affairent à rendre leurs produits conformes au nouveau règlement européen
Par exemple, Microsoft et IBM.
(10.6.2017)
Protection des données > La CNIL autorise l’expérimentation de dispositifs biométriques de reconnaissance vocale par des établissements bancaires
"Afin de permettre la réalisation d’expérimentations, notamment pour évaluer l’intérêt du public pour ces services, la CNIL a autorisé neuf établissements bancaires à mettre en œuvre, à titre expérimental, un dispositif d’authentification de clients par reconnaissance vocale." (10.6.2017)
Protection des données > Publicité en ligne : la CNIL précise les règles à respecter à l’issue de ses contrôles
"Le 27 juillet 2016, la CNIL annonçait étendre ses contrôles relatifs aux cookies (ou autre traceurs) au-delà des éditeurs de sites, notamment auprès des émetteurs tiers. Il s’agissait d’identifier les responsabilités de chacun des acteurs intervenant dans la chaîne de valeur, complexe, de la publicité en ligne." (10.6.2017)
GDPR / EU-RGPD > Consentement, profilage, notification de violations : synthèse de la consultation sur le règlement européen
"En mars 2017, la CNIL a lancé une consultation en ligne sur de nouveaux thèmes du règlement européen. Elle publie la synthèse des contributions, qui alimenteront les futures lignes directrices du G29 des questions concrètes des acteurs." (10.6.2017)
GDPR / EU-RGPD > Règlement européen : encore un an pour se préparer
"Le règlement européen entrera en application le 25 mai 2018 dans tous les pays de l’Union européenne. Il renforce les droits des citoyens et leur donne plus de maitrise sur leurs données. Il responsabilise les professionnels qui peuvent se préparer dès maintenant grâce à des outils que la CNIL met à leur disposition."
Message de la Préposé UK à ce sujet. (10.6.2017)
eSanté / eHealth > 4 importants risques de cybersanté
Non respect d'exigences légales (conformité), attaques ransomware, etc. (10.6.2017)
Mots de passe > Les 6 meilleurs gestionnaires de mots de passe
Selon l'auteur de cet article. (10.6.2017)
Cyberattaques > Les hackers cachent des cyberattaques dans des messages affichés sur réseaux sociaux
Par exemple, un lien attaché à Twitter. (10.6.2017)
Réseaux sociaux > La vie d'un modérateur de Facebook
"There was literally nothing enjoyable about the job. You’d go into work at 9am every morning, turn on your computer and watch someone have their head cut off. Every day, every minute, that’s what you see. Heads being cut off.” (4.6.2017)
Réseaux sociaux > Facebook se moque de la souveraineté de la Suisse
"Quelles sont les règles pour modérer ou censurer un texte? Ce secret bien gardé par Facebook a été dévoilé la semaine dernière par le Guardian. En découvrant ce règlement interne, le sang de JChS n’a fait qu’un tour. Le conseiller national, qui fait de la réglementation d’Internet un de ses chevaux de bataille, dénonce une dangereuse tentative de privatisation du droit, mais pas seulement." (4.6.2017)
Phishing > Près de quatre cents procédures pour des cas de "phishing" ont été classées
"Le Ministère public de la Confédération (MPC) a classé entre 350 et 400 procédures pour hameçonnage de données, ou "phishing". Malgré les commissions rogatoires, les coupables n'ont pas été retrouvés à l'étranger." (4.6.2017)
Rapports > Bulletin d'actualité CERTFR-2017-ACT-021
Bulletin d'actualité CERTFR-2017-ACT-022. (4.6.2017)
Cyberattaques > Les 20 contrôles CIS
Dont les 5 premiers éliminent la majorité des vulnérabilités dans les entreprises.
(4.6.2017)
Blockchain > Les possibles applications du blockchain dans les administrations publiques
La technologie blockchain et ses impacts potentiels dans les administrations publiques.
(4.6.2017)
Intelligence artificielle > Deep learning > Secret caché au coeur de l'IA
Personne ne sait vraiment ce que font les algorithmes les plus avancés. (4.6.2017)
Gestion de projets > Les 5 principales raisons de l'échec des projets IoT
Durée trop longue, manque d'expertise, etc. (4.6.2017)
Cybersécurité > Installer le concept de cybersécurité du NIST en utilisant CobiT 5
Guide le l'ISACA.
(4.6.2017)
Phishing > Élections législatives : Candidats, assurez votre sécurité numérique !
"L’ANSSI alerte et sensibilise les candidats aux élections législatives contre les risques d’hameçonnage (phishing), technique utilisée par des attaquants pour obtenir des informations confidentielles et usurper l'identité des internautes." (4.6.2017)
Cyberattaques > Internet des objets > L'IoT va augmenter la vulnérabilité aux cyberattaques
Par exemple, aux attaques ransomware.
(4.6.2017)
Protection des données > L'impact du GDPR / EU-RGPD sur les centres d'appel
Sous cette loi, toutes les données personnelles sont protégées, par exemple celles enregistrées par les call centers. (4.6.2017)
Protection des données > Les organisations ne sont pas préparées pour l'entrée en vigueur du GDPR / EU-RGPD le 25 mai 2018
Du Gartner.
Autre article à ce sujet.
Les entreprises devraient débuter par un audit de protection des données. (4.6.2017)
--------------------------------------------------------------------------------
Copyright © 2017 Aud-IT Sàrl Geneva. All rights reserved