News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information
News - Archives mai 2019
Cybersécurité > Conseils pour passer des cyber-vacances en toute sécurité
De l'US-CERT.
(28.5.2019)
Livre blanc (Projet) > AI / IA - Algorithmes > Application de méthodes combinatoires pour expliquer l'AI et le machine learning
Publication du NIST : "This short paper introduces an approach to producing explanations or justifications of decisions made in some artificial intelligence and machine learning (AI/ML) systems, using methods derived from those for fault location in combinatorial testing" (28.5.2019)
Norme > Chiffrement > Recommandations pour la gestion des clefs > Partie no 2 > Bonnes pratiques d'organisation de la gestion des clefs
"NIST Special Publication (SP) 800-57 provides cryptographic key management guidance. It consists of three parts. Part 1 provides general guidance and best practices for the management of cryptographic keying material. Part 2 provides guidance on policy and security planning requirements. Finally, Part 3 provides guidance when using the cryptographic features of current systems." (28.5.2019)
GDPR / RGPD > Réseaux sociaux > How Silicon Valley gamed the world's toughest privacy rules
"Europe's data protection overhaul was supposed to help citizens. Instead, it’s helped Big Tech." (28.5.2019)
GDPR / RGPD > Que s’est-il passé en un an de RGPD, la loi censée protéger vos données ?
"Le règlement général sur la protection des données (RGPD) était présenté comme une révolution pour les Européens. Est-ce que cela a bien été le cas?" (28.5.2019)
Protection des données > SDLC > Développeurs : la CNIL met en ligne un kit de bonnes pratiques
"Code, SDK, bibliothèques… bien souvent, les développeurs sont en première ligne de la gestion ou du traitement des données personnelles, par la création de programmes ou de solutions. Ce kit est mis à leur disposition pour leur donner les ressources sur les bonnes pratiques à appliquer dès la conception, afin d’améliorer la gestion des données et sécuriser leurs programmes." (28.5.2019)
Protection des données > GDPR / RGPD > Conseil : comment effacer vos données des serveurs Google
"They say every cloud has a silver lining. Big tech companies like Google, Apple and Microsoft are taking user data privacy more seriously in reaction to the never-ending revelations of the ways Facebook does something sleazy and unethical when it comes to the collection and sharing of user data. The GDPR regulations adopted by the EU have also played an important role." (28.5.2019)
Sécurité > Comment une recherche sur Google peut vider votre compte bancaire
"Bien trop souvent encore, les gens se font piéger par des fraudeurs qui réussissent à mettre la main sur leurs données bancaires. Aujourd’hui, il se peut que vous sachiez reconnaître un message d'hameçonnage typique ayant atterri dans votre boîte à courriels. Mais étiez-vous au courant qu'à l’occasion d’une simple recherche sur Google, vous risquez aussi de retrouver votre compte bancaire pillé ?" (21.5.2019)
Protection des données > PFPDT > Helsana+ : Le jugement entre en force
"La décision du 19 mars 2019 du Tribunal administratif fédéral dans l’affaire Helsana+ n’a pas été attaquée pendant le délai de recours. Elle est donc définitive. Le Tribunal administratif fédéral s’est prononcé sur des questions de droit importantes. Le PFPDT suivra leur mise en œuvre par Helsana." (21.5.2019)
Cybersécurité > Menaces > Comment exécuter un programme de chasse aux menaces
"What is threat hunting, how do you do it, and what tools and training do you need to do it right? We answer all that and more about this important cybersecurity practice." (21.5.2019)
Cyberattaques > Spyware > Des attaquants exploitent une faille dans WhatsApp pour auto-installer du spyware
"Facebook is warning users of its WhatsApp messaging app to update immediately to fix a flaw that is being used to remotely install surveillance software. Users of iOS as well as Android devices are at risk, and the flaw can be exploited with no user interaction, security experts warn." (21.5.2019)
Cyberattaques > Ransomware > PME > Severe Ransomware Attacks Against Swiss SMEs
"As we have seen an ever-increasing number of ransomware cases that show a rather sophisticated modus operandi, we are publishing a warning via MELANI Newsletter along with this blog post, documenting technical details about the recent ransomware attacks against Swiss small and medium enterprises (SMEs)." (21.5.2019)
Rapport > Analysis Report (AR19-133A) : Microsoft Office 365 Security Observations
"As the number of organizations migrating email services to Microsoft Office 365 (O365) and other cloud services increases, the use of third-party companies that move organizations to the cloud is also increasing. Organizations and their third-party partners need to be aware of the risks involved in transitioning to O365 and other cloud services." De l'US-CERT. (21.5.2019)
Rapport > Cyberattaques > Verizon Breach Report: Attacks on top executives and cloud-based email services increased in 2018
"Social engineering attacks against C-level executives, hacks of cloud-based email servers, and compromises of payment card web apps were all notably up last year, according to the newly released 2019 Verizon Data Breach Investigations Report (DBIR)." (21.5.2019)
Réseaux sociaux > Incitation > «Dark patterns» : Les astuces des sites Web pour nous manipuler
"Les pratiques des réseaux sociaux pour délibérément inciter les usagers à passer plus de temps sur leurs plateformes aujourd’hui sont bien connues, mais il existe aussi des astuces ergonomiques destinées à carrément duper les utilisateurs." (21.5.2019)
Sécurité > 5 erreurs communes et importantes de sécurité et comment les éviter
De Symantec. (21.5.2019)
Publication > RISK Management Magazine
Edition mai 2019. (21.5.2019)
Malware > 9 types de malware et comment les reconnaître
Les trouver et les enlever. (13.5.2019)
Cloud computing > Cloud AWS : Sécurité proactive et préparation au forensic
Partie 5 : Gestion des incidents. (13.5.2019)
Ransomware > BCM / DRP > Ransomware : la principale leçon de Maersk dans son combat contre NotPetya
"Sécurité : La protection est importante, mais il est tout aussi important de s'assurer que votre processus de récupération est solide, déclare le responsable de la cybersécurité du géant du transport maritime, Maersk."(13.5.2019)
Cybersécurité > Réseau électrique > IoT > Les cyber-risque croissant de vos réseaux électriques - et que faire
"Last month, the social, political and economic crisis in Venezuela rose to new levels as power outages affected more than 70% of the country. While the exact cause of these outages is disputable, the disruption they caused was not. Simply put, few types of infrastructure are as critical to our lives and economies as electricity." Article du WEF. (13.5.2019)
Sécurité et protection des données > Libération des équipements > Disque dur > Ne pas effacer, mais sur-écrire toutes les données
Comment assurer que plus aucune donnée ne se retrouve sur le disque?
Autre méthode radicale : détruire physiquement le disque. (13.5.2019)
Rapport > Numérique > Il faut agir rapidement pour que les individus puissent faire face à l'évolution du monde du travail
"Il ressort d'un nouveau rapport de l'OCDE que les gouvernements doivent repenser leur approche du travail et des emplois afin de réduire les tensions sociales et économiques. Si l'on n'agit pas rapidement, de nombreux individus, notamment les moins qualifiés, resteront en retrait d'un monde du travail en pleine mutation." (13.5.2019)
Réseaux > Ransomware > MELANI > Les rançongiciels menacent de plus en plus les réseaux des entreprises
"Depuis le début de l’année 2019, de nombreuses PME et grandes entreprises en Suisse et à l’étranger ont signalé que leurs données avaient été chiffrées et rendues inaccessibles par des chevaux de Troie appelés rançongiciels. Dans certains cas, les sauvegardes ont également été verrouillées, empêchant la reprise des activités des entreprises concernées." (13.5.2019)
Rapport > Malware > Rapport d'analyse (AR-129A) : MAR-10135536-21 – North Korean Tunneling Tool: ELECTRICFISH
"This Malware Analysis Report (MAR) is the result of analytic efforts between DHS and the Federal Bureau of Investigation (FBI). Working with U.S. Government partners, DHS and FBI identified a malware variant used by the North Korean government." (13.5.2019)
Transformation numérique > Publications > Documents de travail de l'OCDE sur l'économie numérique
"Les technologies de l'information et de la communication sont largement diffusées et utilisées, ce qui renforce leur incidence économique et sociale. L'OCDE conduit des activités pour aider à mieux comprendre la façon dont les TIC contribuent à une croissance économique et un bien-être social durables, ainsi que leur rôle dans l'évolution vers des sociétés fondées sur la connaissance." (9.5.2019)
Publications > Journal of Accountancy
Edition avril / mai 2019. (9.5.2019)
Union Européenne > Fake news > Elections > Code de bonne pratique contre la désinformation
"La Commission européenne se félicite de l'engagement des plateformes en ligne avant les élections européennes" (9.5.2019)
GDPR / RGPD > CNIL > Quelle stratégie de contrôle pour 2019?
"En 2019, la CNIL concentrera son action de contrôle sur trois grandes thématiques, directement issues de l’entrée en application du RGPD : le respect des droits, le traitement des données des mineurs et la répartition des responsabilités entre responsable de traitements et sous-traitants." (9.5.2019)
Risques entreprises > SCI > La conformité et la sécurité siègent de manière permanente à la table de la Direction de l'entreprise
3 arguments pour une approche business axée sur la sécurité. (9.5.2019)
Firewalls / Pare-feux > Points à considérer lors de l'acquisition de pare-feux pour l'entreprise
"Performance, form factors, and automation capabilities are key considerations when choosing a next-generation firewall (NGFW)." (9.5.2019)
Authentification > Mots de passe > Microsoft suggère aux admins IT d'abandonner les pratiques obsolètes de changement périodique des mots de passe
D'autres options de sécurité fonctionnent mieux. (9.5.2019)
Rapports > Cybercriminalité > Sur la trace du crime : le nouveau rapport annuel de fedpol est là
"L'an passé une fois de plus, nous n'avons pu que constater à quel point le crime et Internet sont étroitement liés. Deux histoires, entre autres, en témoignent: celle de ce sympathisant de Daech, dont les contacts sur les réseaux sociaux nous placent devant le défi du big data, ou celle de cet homme malheureux en amour qui tombe dans les filets d'une arnaqueuse en ligne" (9.5.2019)
IoT > Alimentation électrique > Cyberattaques > Une panne de courant due à l’Internet des objets?
"Les appareils connectés peuvent être utilisés à grande échelle pour des cyberattaques. C’est l’un des risques mis en évidence par le 28e rapport semestriel de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), publié le 30 avril 2019." (9.5.2019)
Cloud computing > Banques / Finance > Le secret bancaire dans les nuages
"Qu’en est-il du secret bancaire des clients des banques qui recourent à des prestations de cloud computing? L’Association suisse des banquiers (ASB) publie un guide pour sécuriser l’usage du cloud banking." par Paolo Bernasconi Prof. de droit économique Dr h. c. (9.5.2019)
Publication > Normes > Sécurité des applications > Vérifier la sécurité des applications mobiles
Publication SP 800-163 Révision 1 du NIST. (9.5.2019)
Guide > Sécurité des réseaux > Mise à jour des lignes directrices TLS par le Dutch National Cyber Security Centre (NCSC)
De l'US-CERT. (9.5.2019)
Ordinateurs personnels > USB > Virus > Comment stopper les vieux lecteurs USB d'infecter votre nouveau PC Windows?
"There are at least three things to think about. First, there’s the threat level: how at risk are you? Second, there’s provenance: how much do you know about your devices? Third, how can you mitigate any risks revealed by the answers to the first two questions?" (2.5.2019)
Protection des données > Enceintes connectées > Comment rendre votre enceinte connectée (Amazon Echo ou Google Home) aussi privée que possible
"If you use a smart speaker, you know all of the conveniences and delights that make it more than just a glorified paper weight. But, admit it, you've probably given it some privacy side-eye from time to time. After all, it is a microphone that just sits in your house waiting for a wake word to start recording what you say. Here's how to tighten the reins on what Alexa, Google Assistant, and Siri can hear, when, and how it gets used." (2.5.2019)
Enquête > Risques émergents > 12e enquête annuelle sur les risques émergents
De la société des actuaires SOA.
(2.5.2019)
Rapport > Internet > Protection des enfants > La FTC publie un article sur la protection des enfants en ligne
Conseils pour les parents.
(2.5.2019)
Risques internes / externes > Guide pour mitiger les menaces internes
Du réputé "Software Engineering Institute". (2.5.2019)
Confiance numérique > Cyberspace > ANSSI > Rapport annuel 2018 : construisons ensemble la confiance numérique de demain
"Plus prospectif que les éditions précédentes et fruit d’un travail collectif, le rapport annuel de l’ANSSI se veut être un véritable outil de réflexion sur les enjeux de la cybersécurité." (2.5.2019)
Rapport > Cyberactivité malicieuse d'une nation
Et recommandations de l'US-CERT.
(2.5.2019)
Assurances > Cyberattaques > De grandes entreprises admettaient que leur assurance couvrait les risques d'une cyberattaque
Pas sûr. (2.5.2019)
Reconnaissance faciale > Création d'une "machine" de reconnaissance faciale incroyable mais légale (aux USA)
"We Built an ‘Unbelievable’ (but Legal) Facial Recognition Machine. What we found shows the technology’s promise — and perils." (2.5.2019)
Cloud computing > Sécurité > Moteur de recherche > 8 bonnes pratiques de sécurité Google
Visibilité, hiérarchie des ressources, etc. (2.5.2019)
Espionnage > Internet > Une nation espionne les câbles sous-marins d'Internet
Selon l'auteur réputé de cet article :
"As I have repeatedly said, we need to decide if we are going to build our future Internet systems for security or surveillance. Either everyone gets to spy, or no one gets to spy. And I believe we must choose security over surveillance, and implement a defense-dominant strategy." (2.5.2019)
--------------------------------------------------------------------------------
Copyright © 2019 Aud-IT Sàrl Geneva. All rights reserved