News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives novembre 2018

Applications > Risques > Comment contrôler les risques de sécurité des API (interfaces de programmation applicative)
Régler les vulnérabilités et utiliser des produits de sécurité pour API. (29.11.2018)

Cloud computing > Mauvaise configuration > Les menaces de sécurité sont souvent négligées
Résultats d'une enquête et propositions de mesures de mitigation des risques. (29.11.2018)

Cloud computing > Sécurité > La check-list essentielle
Service d'annuaire, gestion des identités et des accès (IAM), etc. (29.11.2018)

Risques IT > Technologie > Identifier le niveau de risque sur chaque site pour en ajuster la sécurité
"En fonction de l’activité d’un site, des métiers présents et de leurs usages, les risques informatiques diffèrent. Dès lors, les stratégies de sécurité doivent s’adapter pour offrir le meilleur compromis entre risques, coûts et performances." (29.11.2018)

Protection des données > RGPD > « Le jour où il y aura des backdoors dans les logiciels, il n’y aura plus de vie privée »
"Responsable cybersécurité au sein de l’Electronic Frontier Foundation, Eva Galperin nous explique pourquoi il faut craindre les lois sur les backdoors. Et pourquoi Protonmail n’est pas la panacée pour communiquer en toute sécurité." (29.11.2018)

Espionnage > Cyberattaques > Espionnage, sabotage, intox… Comment les hackers de l’armée sèment le chaos
"Connus sous les noms de code APT28, Sednit ou Fancy Bear, ce groupe de hackers tient le cyberspace en haleine depuis des années, au profit et pour la gloire de leur patron." (29.11.2018)

Sécurité des réseaux > Pendant plus de deux ans, un opérateur a détourné une partie du trafic Internet
"En diffusant de fausses informations de routage, cette opérateur arrive, de par sa taille, à accaparer des flux qui ne devraient pas passer par son réseau." (29.11.2018)

Protection des données > Géolocalisation > La CNIL épingle une société qui géolocalise des dizaines de millions de personnes
"Spécialisée dans le ciblage publicitaire, Vectaury intègre des modules de géolocalisation dans des applications mobiles de la grande distribution pour établir le profil consommateur des clients. Mais l’information et le recueil du consentement de cette collecte de données étaient défaillants." (29.11.2018)

Authentification > Achats en ligne : l’Union européenne remet en cause la validation par SMS
"La nouvelle directive DSP2 exige un système d’authentification plus fort que celui à base d’envoi de SMS pour les achats par cartes bancaires sur Internet." (29.11.2018)

Risques humains > Rapport 2018 du SANS sur la sensibilisation à la sécurité
Bon à savoir. (29.11.2018)

Gestion des risques > Concept de sécurité des données
Eléments auxquels il faut tenir compte et considérant les risques internes et externes. (29.11.2018)

Publication > Un bloc à la fois > Aider à développer les connaissances du Blockchain
Du NIST. (23.11.2018)

IoT > Livres blancs > Architectures de sécurité
"Enterprise IoT Security Architecture and Policy"
et
"IoT Security Home Architecture and Policy". (23.11.2018)

eSanté > eHealth + mobile = mHealth
"La notion de «mHealth» correspond à un aspect particulier de la numérisation du système de santé : elle décrit les conditions techniques nécessaires à l’utilisation des données de santé tirées de dispositifs médicaux portables et autres «wearables» (par exemple bracelets de fitness) pour le dossier électronique du patient (DEP)." (23.11.2018)

Audit > Principaux risques 2019 d'audit interne
Du Gartner. (23.11.2018)

Cybersécurité > [Appel de Paris] Emmanuel Macron appelle la communauté internationale à plus de collaboration dans la cybersécurité
" A l’occasion de la réunion du Forum de gouvernance de l'Internet, Emmanuel Macron a lancé l’"Appel de Paris pour la confiance et la sécurité dans le cyberespace", qui vise à augmenter la collaboration des Etats et entreprises privées en matière de cybersécurité."
Autre article à ce sujet. (23.11.2018)

Publication > Réutiliser un mot de passe aide les cybercriminels
"Le 27e rapport semestriel de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), publié le 8 novembre 2018, porte sur les principaux cyberincidents survenus en Suisse et à l’étranger durant le premier semestre de cette année." (23.11.2018)

Rapport > Analysis Report (AR18-312A) > JexBoss – JBoss Verify and EXploitation Tool
Rapport de l'US-CERT. (23.11.2018)

Cyberattaques > Résilience > Réseaux et systèmes résistants
Ligne directrice du NCSC : " The organisation builds resilience against cyber attack into the design, implementation, operation and management of systems that support the delivery of essential services." (23.11.2018)

Gestion des incidents > Répondre à un incident et plan de restauration
Ligne directrice du NCSC. (23.11.2018)

BCM / DRP > 5 conseils pour inclure la continuité des affaires dans l'organisation de l'entreprise
Utiliser une approche collaborative, assurer l'implication de la Direction générale, etc. (23.11.2018)

Protection des données > Enquête sur l'utilisation du data analytics à des fins politiques
Rapport de l'ICO.
"When the purpose for using these techniques is related to the democratic process, the case for a high standard of transparency is very strong." (23.11.2018)

Smart City > Pully, une petite ville très intelligente
"La commune vaudoise se distingue à l’échelle suisse comme un modèle de «smart city». Elle a réalisé divers projets exploitant le numérique pour améliorer la vie de ses 18 000 habitants" (14.11.2018)

Rapport > IoT > Développer des métriques pour mesurer l'effet de l'IoT dans différents domaines
Rapport de l'OCDE. (14.11.2018)

Libération des équipements > Libération correcte des équipements
Conseils de l'US-CERT. (14.11.2018)

Infrastructures critiques > Novembre, mois de la sécurité et de résistance de l'infrastructure critique du pays
Information de l'US-CERT. (14.11.2018)

Protection des données > Réseaux sociaux > Condamnation d'une entreprise à une amende élevée pour manque de protection des informations personnelles des utilisateurs
"The ICO’s investigation found that between 2007 and 2014, FaBk processed the personal information of users unfairly by allowing application developers access to their information without sufficiently clear and informed consent, and allowing access even if users had not downloaded the app, but were simply ‘friends’ with people who had." (14.11.2018)

Protection des données > Vidéosurveillance excessive : mise en demeure de l’école 42
"Le 8 octobre, la Présidente de la CNIL a mis l’association « 42 » en demeure de mettre en conformité avec la loi Informatique et Libertés son système de vidéosurveillance." (14.11.2018)

IoT > Des Gouvernements définissent un code de bonnes pratiques IoT, de manière à intégrer la sécurité dès les phases de développement
Le code définit 13 lignes directrices à installer pour les fabricants, les fournisseurs de service, les développeurs et les détaillants, afin d'assurer que l'utilisation des produits IoT est sûr. (14.11.2018)

Infrastructures critiques > Publication > Modèle de maturité d'infrastructures critiques
"The model provides a framework for understanding the current extent of smart grid deployment and capability within an electric utility, a context for establishing strategic objectives and implementation plans in support of grid modernization, and a means to evaluate progress over time toward those objectives." (14.11.2018)

Espionnage > Comment les espions utilisent les déguisements
Explications par une ancienne cheffe de la CIA. (14.11.2018)

Normes > ISO 22326:2018 : Sécurité et résilience -- Gestion des urgences
"Lignes directrices pour la surveillance des installations à risques identifiés" (4.11.2018)

Cloud computing > SaaS > Microsoft > Sécurité Office 365
"Many cloud apps – including Office 365 – operate under a shared responsibility model. Here’s what that means for your company." (4.11.2018)

Cloud computing > Lignes directrices pour une gestion efficace du CSSM (Cloud Security Services Management)
Du Cloud Security Alliance CSA. (4.11.2018)

Publications > Journal of Accountancy
Editions d'octobre et de novembre 2018. (4.11.2018)

Sécurité des réseaux > 6 menaces importantes de sécurité des réseaux
"The modern, globally connected digital world demands that business applications, data and services be constantly available from any location, which means networks must span multiple hosting environments, fixed and mobile devices and other forms of IT infrastructure." (4.11.2018)

Gestion des accès > Gérer la sécurité des accès privilégiés
Les accès privilégiés présentent d'importantes menaces de sécurité ce qui les rend vulnérables à des attaques, par exemple des cyberattaques. (4.11.2018)

Infrastructures critiques > Cyberattaques > Sécuriser les infrastructures critiques contre les nouvelles vulnérabilités et les cybermenaces
Identification de 16 secteurs d'infrastructure critique. (4.11.2018)

AI / IA - Algorithmes > Guide AI / IA et apprentissage automatique (ML)
"FPF announces the release of The Privacy Expert’s Guide to AI and Machine Learning. This guide explains the technological basics of AI and ML systems at a level of understanding useful for non-programmers, and addresses certain privacy challenges associated with the implementation of new and existing ML-based products and services." (4.11.2018)

Protection des données > RGPD > L'urgence pour une nouvelle loi ePrivacy
Directive «vie privée et communications électroniques».
Message de l'EDPS. (4.11.2018)

--------------------------------------------------------------------------------
Copyright © 2018 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
US-CERT
SANS
MELANI

CERT-FR

Séminaires