Actualités, news sur la sécurité de l'information, sécurité informatique, risques de l'information, risques informatiques

News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives mars 2019

Réseaux sociaux > Risques > Protéger l'organisation contre les risques de sécurité des réseaux sociaux
Définir une politique d'accès, utiliser une authentification forte, etc. (31.3.2019)

IoT > Télécommunications > 5G > Rapport de l'AIOTI sur les relations et les impacts de l'IoT sur la 5G
"AIOTI’s Working Group on IoT Standardisation published a report on IoT relation and Impact on 5G. This report highlights several IoT vertical domain use cases collected by AIOTI (Alliance for IoT Innovation) and determines the specific requirements they impose on the underlying network infrastructure." (31.3.2019)

SDCL > Sécurité des applications > DevOps > DevSecOps > Comment concevoir la sécurité dans les apps
"We define DevSecOps, how it relates to DevOps, and how security can be built into the development process with minimal disruption." (31.3.2019)

Rapports > Bulletin d’actualité CERTFR-2019-ACT-004
Et bulletin d’actualité CERTFR-2019-ACT-005. (31.3.2019)

e-Santé > Contrôles internes > Guide pour les prestataires de services de santé
Publication du COSO. (31.3.2019)

Sécurité > Malware > Explication du cryptojacking
Nouveau type de menace dans laquelle un hacker utilise un logiciel malicieux pour prendre le contrôle des ressources de votre système. (31.3.2019)

Gestion des risques > Crypto-monnaie > Déclaration sur la crypto-monnaie
De la BIS / BRI. (31.3.2019)

Protection des données > GDPR / RGPD > RGPD : peut-on bloquer l’accès à un site pour refus de cookies ?
"La Cnil néerlandaise estime que bloquer l’accès à un site web pour qui ne consent pas à être suivi n’est pas conforme au RGPD. L’IAB désapprouve"
Autre article à ce sujet. (31.3.2019)

Authentification > Le Web se dote d’un standard pour éliminer les mots de passe
"La spécification WebAuthn a été désignée comme standard officiel par le W3C. Partie intégrante de la technologie FIDO2, elle permettra aux internautes de se connecter aux services Web sans mots de passe."
Introduction au projet FIDO2.
L’authentification forte de Facebook affaiblit la protection des données personnelles. (31.3.2019)

Gestion de la sécurité > Identification des 7 plus importants défis de sécurité et de gestion des risques 2019
Selon Gartner. (31.3.2019)

Espionnage > Examiner un acteur d'espionnage
Recherche sur les menaces d'un acteur lié à une grande nation. (31.3.2019)

IoT > Equipements connectés > Considérer les satellites comme de gros et vulnérables équipements IoT
Selon un scientifique. (31.3.2019)

IoT > Equipements connectés > C'est quoi le "Shadow IoT" > Comment diminuer les risques
"When someone in your organization starts using internet-connected devices without IT’s knowledge, that’s shadow IoT. Here's what you need to know about its growing risk." (31.3.2019)

Cyberattaques > Vidéo > Les 5 plus dangereuses nouvelles techniques d'attaque et comment les contenir
Conférence RSA avec des orateurs réputés du SANS. (23.3.2019)

Sécurité > Gartner : Les SOC évoluent vers la détection des menaces et la réaction
"Les centres d’opérations de sécurité font évoluer leur activité en réponse aux alertes nombreuses et complexes d’aujourd’hui." (23.3.2019)

Cybercriminalité > Les cybercrimes les plus importants en 2019
Article du WEF. (23.3.2019)

Protection des données > Messagerie > Comment envoyer des emails en protégeant son identité
Stratégie pour envoyer des courriels qui ne sont pas connectés à votre identité usuelle. (23.3.2019)

Sécurité informatique > RSSI > Les différentes vies du RSSI, un éternel retour vers le futur
"Dans un contexte de cyber-menace et de RGPD, les missions du RSSI (Responsable de la sécurité des systèmes d’information) ont beaucoup évolué." (23.3.2019)

Violation de données > Les services financiers UK rapportent une forte augmentation des violation des données
Les banques restent une cible lucrative pour les hackers. (23.3.2019)

Protection des données > PFPDT > La loi sur la protection des données Schengen (LPDS)
"Le Parlement (suisse) ayant scindé la révision de la loi sur la protection des données, le premier volet, à savoir la loi sur la protection des données Schengen (LPDS), est entré en vigueur le 1er mars 2019." (23.3.2019)

Protection des données > RGPD > Sous-traitants > «Sweep 2018» : premières tendances sur la responsabilisation des sous-traitants informatiques à l’heure du RGPD
"L’édition 2018 du « Sweep » s’est concentrée sur la responsabilisation des acteurs en matière de protection des données. En pratique, la CNIL s’est intéressée au secteur des prestataires de services en informatique. Les résultats des vérifications menées montrent qu’une dynamique est enclenchée et pointent des marges de progression." (23.3.2019)

Protection des données > Electronic Frontier Foundation (EFF) > 9 mesures que les entreprises doivent prendre pour vous protéger
"Today we are announcing Fix It Already, a new way to show companies we're serious about the big security and privacy issues they need to fix. We are demanding fixes for different issues from nine tech companies and platforms, targeting social media companies, operating systems, and enterprise platforms on issues ranging from encryption design to retention policies." (23.3.2019)

Cloud computing > Sécurité > Le maillon faible du cloud n'est pas celui que vous croyez
Quelques bons conseils. (23.3.2019)

Protection des données > OS > Comment protéger sa sphère privée le mieux possible sur un iPad / iPhone
Comment utiliser les outils fournis par Apple pour protéger sa sphère privée sur un équipement iOS. (23.3.2019)

Ordinateurs portables > Sécurité > Comment utiliser votre Mac en toute sécurité dans un endroit public
Prendre des mesures de protection contre le vol, la perte et le hacking. (23.3.2019)

DSI > Les 11 problèmes les plus importants auxquels doit faire face l'informatique aujourd'hui
" From securing IoT to retraining IT talent to finding new revenue streams, CIOs have more than their share of concerns keeping them up at night." (23.3.2019)

Gestion des accès > Cloud computing > Les défis d'installer la nouvelle génération IAM
La gestion des identités et des accès est plus compliquée, si l'entreprise s'appuie sur une infrastructure cloud. (23.3.2019)

Gestion des incidents > Détecter des brèches internes : les employés peuvent aider
2 récents incidents fournissent des informations intéressantes. (15.3.2019)

Rapport > Risques > Cyberattaques > Quelles entreprises sont confrontées aux plus importants risques financiers dus à des cyberattaques?
"Four business sectors - hospitals, banks, securities firms and market infrastructure providers - potentially face the most significant financial impact from cyberattacks that could lead to a weakened credit profile, according to a new report from Moody's Investors Service." (15.3.2019)

Surveillance > Bienvenue dans l'ère du capitalisme de surveillance
"Shoshana Zuboff développe, dans son dernier ouvrage, l'idée d'un capitalisme de surveillance, qui aurait remplacé le capitalisme industriel, et dont l'originalité serait d'orienter et d'exploiter nos préférences personnelles à son profit."
Autre article à ce sujet.
Interview de Shoshana Zuboff. (15.3.2019)

Cyberattaques > Rapport IBM X-Force 2018
"Ransomware Doesn't Pay in 2018 as Cybercriminals Turn to Cryptojacking for Profit" (15.3.2019)

Lettre d'information > MELANI > Les Suisses victimes de sextorsion: les autorités lancent le site «stop-sextortion.ch»
" Dans un courriel, des escrocs prétendent avoir pris le contrôle de l'ordinateur et de la webcam du destinataire et menacent de publier des images et des vidéos à caractère sexuel de celui-ci s'il ne verse pas une rançon. Dans cette arnaque, qui appartient au phénomène de la sextorsion, un paiement en bitcoins est généralement exigé." (15.3.2019)

Auditeurs > Que fait l'auditeur interne?
Que devrait-il faire?
Les tâches de l'auditeur informatique qui joue un rôle important dans l'appréciation des risques informatiques. (15.3.2019)

Risques internes > Guide de mitigation des risques internes
Recommandations du CERT pour mitiger les risques internes. (15.3.2019)

Mots de passe > Sécurité des gestionnaires de mot de passe
Nouvelle étude sur la sécurité des gestionnaires de mot de passe, en particulier : 1Password, Dashlane, KeePass, and Lastpass. (15.3.2019)

Norme > Messagerie digne de confiance
NIST SP 800-177. (15.3.2019)

Droit > Outsourcing > Banques / Finance > Les 10 changements les plus importants dans le guide révisé d'outsourcing de l'EBA
Site de l'EBA : "The European Banking Authority (EBA) published today its revised Guidelines on outsourcing arrangements setting out specific provisions for the governance frameworks of all financial institutions within the scope of the EBA's mandate with regard to their outsourcing arrangements and related supervisory expectations and processes." (15.3.2019)

Blockchain > Industrie 4.0 > Le Blockchain fournit la sécurité et la traçabilité pour la fabrication intelligente
Article du NIST. (15.3.2019)

AI / IA - Algorithmes > Pourquoi l'IA est une menace pour la démocratie - et que peut-on faire contre
Catastrophe imminente de l'IA, mais on pourrait l'éviter.
Guide universel pour l'IA. (15.3.2019)

Gestion des risques > ERM > Comment impliquer la Direction de l'entreprise pour qu'elle agisse sur les risques
Les responsables ERM doivent faciliter aux managers la compréhension des informations sur les risques, afin de leur faciliter les prises de décisions.
Gestion efficace des risques par le management. (15.3.2019)

Sécurité des réseaux > VPN > Chiffrement > Utiliser IPsec pour protéger les données
Guide pour les entreprises désirant déployer ou acquérir le chiffrement réseau, utilisant IPsec. (10.3.2019)

Sécurité des réseaux > DoS / DDoS > L'évolution des attaques DDoS
Les attaques DDoS qui existent depuis 20 ans, deviennent plus fréquentes et plus puissantes. (10.3.2019)

Rapport > AI / IA - Algorithmes > Vers une sécurité AI / IA > Aspirations globales pour un futur plus résistant
“Artificial intelligence may be the most important global issue of the 21st century, and how we navigate the security implications of AI could dramatically shape the future,” Cussins Newman wrote in an introduction to the report. “This report uses the lens of global AI security to investigate the robustness and resiliency of AI systems, as well as the social, political, and economic systems with which AI interacts.” (10.3.2019)

Cyberattaques > Politique de défense > Jusqu'où les entreprises doivent être en mesure d'aller pour se défendre contre des cyberattaques
Adopter une politique de défense passive ou proactive? (10.3.2019)

Guide > Gestion des accès > Guide to Attribute Based Access Control (ABAC) : Définition and Considérations
Publication SP 800-162 du NIST. (10.3.2019)

IoT > Risques informatiques > Pourquoi les appareils IoT posent problème : le tristement célèbre cas de l'aquarium connecté
"Technologie : Les appareils connectés à l'Internet des Objets de manière non sécurisée constituent une passerelle facile pour ceux qui cherchent à pénétrer illégalement dans un réseau. Et ces objets connectés peuvent prendre de nombreuses formes, comme celle d'un aquarium." (10.3.2019)

Domotique > Equipements connectés > Le micro caché de Google
"Google reconnaît avoir oublié d’indiquer la présence d’un micro dans un appareil de la gamme Nest" (10.3.2019)

Cloud computing > Sauvegarde / Restauration > La sauvegarde à l'heure du cloud hybride
"Le basculement en faveur des architectures cloud est une tendance forte, mais n'est pas synonyme de simplification. Il faut gérer la transformation et l'hybridation des systèmes d'information." (10.3.2019)

Infrastructure d'information critique > Politiques de protection d'infrastructure d'information critique (CIIP)
Rapport de l'OECD. (10.3.2019)

AI / IA - Algorithmes > Apprentissage automatique > Avantage ou danger pour la protection des données
"Understanding AI and its underlying algorithmic processes presents new challenges for privacy officers and others responsible for data governance in companies ranging from retailers to cloud service providers. In the absence of targeted legal or regulatory obligations, AI poses new ethical and practical challenges for companies that strive to maximize consumer benefits while preventing potential harms." (10.3.2019)

Rapports > Cybersécurité > Rapport des menaces Internet 2019 de Symantec
Article un et article deux à ce sujet. (10.3.2019)

Publication > Journal of Accountancy
Edition de mars 2019. (10.3.2019)

Stratégie informatique > Les 11 problèmes actuels de la DSI
Nouvelles menaces de sécurité, protection des données, etc. (10.3.2019)

Cyberattaques > Hacking politique > Les hackers du grand chef mettent moins de 20 minutes pour infester un réseau
"Le temps que mettent les pirates pour se répandre dans une infrastructure est très variable. Selon Crowdstrike, cela peut aller de quelques dizaines de minutes à plusieurs heures."
Autre article à ce sujet. (10.3.2019)

Véhicules autonomes > AI / IA - Algorithmes > Risques > La voiture autonome doit-elle sacrifier le bébé ou la grand-mère?
Cela dépend de votre culture. (3.3.2019)

Protection des données > Internet > Selon le chef auditeur des USA, le pays a besoin d'une loi de protection des données
Une loi du type GDPR / RGPD. (3.3.2019)

GDPR / RGPD > Conformité RGPD : comment recueillir le consentement des personnes ?
"Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque"
Explications de l'ICO à ce sujet. (3.3.2019)

IoT > Smart Home > Cyberattaques > Risques d'un arroseur intelligent
Méthodologie pour explorer la surface d'attaque potentielle de l'équipement. (3.3.2019)

e-Voting > La Poste met les hackers au défi pour son système de e-voting
"La Poste met les hackers au défi: pendant quatre semaines, son futur système de vote électronique pourra être attaqué. Ceux qui trouveront des failles seront récompensés. L'opération est chapeautée par la Confédération et les cantons." (3.3.2019)

Réseaux sociaux > Fake News > Scandale Cambridge Analytica : les députés britanniques étrillent Facebook
"La commission parlementaire britannique sur la désinformation et les fausses informations a rendu son rapport final, très sévère contre le réseau social." (3.3.2019)

Smart City > La Suisse n’est pas près d’avoir sa «smart city»
"Les projets de villes intelligentes restent atomisés en Suisse. La possible interconnexion des données inquiète" (3.3.2019)

IoT > DLP > Comment cette ampoule intelligente divulguait votre mot de passe Wi-Fi (entre autre)
"Technologie : Les ampoules intelligentes LIFX contenaient des vulnérabilités qui pouvaient être exploitées avec un peu d'ingéniosité. Et d'une scie à métaux." (3.3.2019)

Cybersécurité > Menaces > Identification / Authentification > Le défi de la gestion des identités et des accès
Et la solution. (3.3.2019)

Sécurité des réseaux > VPN > Votre VPN est-il sûr?
"About a quarter of internet users use virtual private networks, a software setup that creates a secure, encrypted data connection between their own computer and another one elsewhere on the internet." (3.3.2019)

Rapport > Infrastructures critiques > Apprécier la dépendance énergétique à l'ère des menaces hybrides
"Many nations including The European Centre of Excellence for Countering Hybrid Threats (Hybrid CoE) member nations face significant challenges from hybrid threats involving the energy sector." (3.3.2019)

Rapport > Bulletin d’actualité CERTFR-2019-ACT-003
"Le 21 février 2019, l’autorité de régulation d’Internet (ICANN) a souligné les risques d’utilisation à des fins malveillantes qui pesaient sur le protocole DNS" (3.3.2019)