News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News Bonnes vacances

Patch management > Les problèmes avec le patching
"Applying patches may be a basic security principle, but that doesn't mean it's always easy to do in practice." (14.7.2019)

Protection des données > Assistant vocal > L'Assistant Google peut enregistrer «par erreur»
*Google a reconnu que son Assistant peut enregistrer par erreur, quand le logiciel interprète «du bruit ou des mots en arrière-plan» comme étant le mot-clé." (14.7.2019)

Sécurité > Cloud computing > Configuration > Comment configurer "Cloud App Security" de Microsoft
"One way to investigate questionable Office 365 and other cloud sign-in activity is to use Microsoft’s Cloud App Security add on." (14.7.2019)

Gestion des risques > 5 points importants à considérer lorsque vous développez des plans de traitement des risques de sécurité de l'information
De l'ISACA : "Risk treatment plans are an essential component of an organization’s information risk management and security strategy program. It is unrealistic to expect organizations to immediately mitigate or resolve all material information security risk as soon as it is identified." (14.7.2019)

Confidentialité > Webcam > Mac > Zoom for Mac made it too easy for hackers to access webcams. Here’s what to do [Updated]
"Read this before clicking on that Web link in your bathrobe." (14.7.2019)

Norme > ISO/IEC TS 27008:2019
Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour les auditeurs des contrôles de sécurité de l'information. (14.7.2019)

DLP > Outsourcing > Swisscom a effacé par erreur des données appartenant à des centaines de clients
"Une panne de logiciel serait en cause. Des photos et autres documents ont été ainsi perdus. L’opérateur veut dédommager ses clients à hauteur de 50 francs" (14.7.2019)

Sécurité > SDLC > DevOps > DevSecOps : place à la sécurité en livraison continue
"Le DevSecOps reprend l’agilité et l’automatisation propres à la pratique DevOps, en ajoutant la sécurité de la conception au déploiement logiciel détaille dans cette tribune Azzeddine Ramrami, de IBM." (14.7.2019)

Cybercriminalité > Comment éviter les fraudes, les scams, le phishing et autres crimes sur Internet
"Internet fraud takes many forms, from retail websites that don’t deliver, to emails phishing for credit card or bank information, to tech support scams that take over your desktop, and everything in between. They share a common goal, however: extracting money or personal data from an unsuspecting user." (14.7.2019)

Rapport > Sécurité > Gestion des risques > OCDE > Measuring digital security risk management practices in businesses
"This report synthesises an OECD project to develop a framework and a set of statistical indicators that can be used to assess the digital security (cybersecurity) risk management practices of businesses." (14.7.2019)

Publication > Journal of Accountancy
Edition juillet 2019. Le contrôle interne. (13.7.2019)

Cloud computing > Juridique > Que deviendront mes données si mon fournisseur d’accès au Cloud fait faillite?
"Actuellement, le devenir des données d’entreprises ou de particuliers n’est pas réglé en cas de faillite du fournisseur d’accès au Cloud auprès duquel ces données sont stockées." (13.7.2019)

Protection des données > RGPD > Ads > L'ICO met en garde sur l'augmentation de la concentration sur la technologie liée aux Ads
"The UK Information Commissioner’s Office (“ICO”) recently published an updated report on adtech, following a Fact Finding Forum held in March 2019 and consultation with industry players. The report focuses on whether and how organizations in the adtech sector can comply with the EU General Data Protection Regulation (“GDPR”) and the UK’s implementation of the e-Privacy Directive, known as the Privacy and Electronic Communications Regulations (“PECR”)." (13.7.2019)

Protection des données > PFPDT > 26e rapport d’activités 2018/2019: La Suisse doit maintenir son niveau de protection des données
"Le PFPDT attend que le Conseil fédéral et le Parlement garantissent à la population suisse un niveau de protection des données toujours équivalent à celui de l’Europe par la signature prochaine de la convention 108 du Conseil de l’Europe et l’adoption rapide de la révision totale de la loi sur la protection des données. Il axe son activité de surveillance sur les autorités fédérales responsables de la sécurité et la société SwissSign. Dans le domaine de la loi sur la transparence, la consolidation amorcée l’année précédente se poursuit." (13.7.2019)

Protection des données > ICO > Reconnaissance biométrique > Technologie de reconnaissance faciale en temps réel - La loi sur la protection des données s'applique
"Any organisation using software that can recognise a face amongst a crowd then scan large databases of people to check for a match in a matter of seconds, is processing personal data." (13.7.2019)

Protection des données > RGPD > Cookies > Le cadre juridique relatif au consentement a évolué, le site web de la CNIL aussi
"Sur cnil.fr, plus aucun traceur n’est déposé tant que l’utilisateur n’a pas donné son consentement de façon active." (13.7.2019)

Désinformation > Deepfakes > Les menaces du Deepfake
Une technologie AI / IA nommée "Deepfake" peut devenir la prochaine grande menace à laquelle notre société sera confrontée. (13.7.2019)

Sécurité > Cloud computing > Selon un rapport, le cloud peut être perçu comme une opportunité ou comme une nouvelle classe de risques (ou les deux, car toute nouvelle technologie apporte des opportunités, mais également des risques qu'il faudrait apprécier et contrôler avant sa mise en production)
"Cloud computing has been one of the most ubiquitous trends in modern IT, bringing with it a host of new opportunities and challenges. And cloud security has been fertile ground for security researchers, and a number of research reports released last month continued that trend." (13.7.2019)

Cybersécurité > ACSC publie les mises à jour du "Essential Eight Maturity Model"
"The Australian Cyber Security Centre (ACSC) has released updates to its Essential Eight Maturity Model. The model assists organizations in determining the maturity of their implementation of the Essential Eight—ACSC’s list of the top mitigation strategies to help organizations protect their systems against adversary threats. The model identifies three levels of maturity for each mitigation strategy." (13.7.2019)

Cyberattaques > Malware > La garde côtière US publie des mesures de sécurité pour les navires marchands
"The U.S. Coast Guard has released a Safety Alert with recommended cybersecurity best practices for commercial vessels. With a dynamic cybersecurity threat landscape and growing reliance on technology to support vessels, the maritime community can help strengthen their defenses by implementing the following basic cybersecurity measures:"
Autre article à ce sujet. (13.7.2019)

Réseaux sociaux > La panne de Facebook a permis de dévoiler comment ses logiciels déchiffrent nos photos
"Le réseau social a connu des dysfonctionnements qui empêchaient d’afficher des images. Des utilisateurs ont découvert, à la place, des mots décrivant leur contenu."
Autre article à ce sujet. (13.7.2019)

Cybersécurité > Les menaces persistent
"Souvent montés en épingle par des marques adeptes du « marketing de la peur », les risques informatiques sont néanmoins bien réels" (13.7.2019)

Gestion des risques > Comment mitiger les risques avec une vue compréhensive des politiques de l'entreprise
La Direction doit clairement expliquer à ses collaborateurs quelles informations et politiques sont essentielles pour l'entreprise. (13.7.2019)

Audit > 3 moyens permettant à l'audit interne de trouver un équilibre entre la productivité et le contrôle
L'audit interne doit savoir comment répondre quand les propriétaires des processus commerciaux veulent avancer plus rapidement et moins documenter, par exemple dans un environnement agile. (13.7.2019)

Publication > IoT > Considérations pour gérer les risques de cybersécurité et de protection des données de l'Internet des objets
NISTIR 8228 du NIST. (8.7.2019)

Banques / Finances > Big tech > Big tech dans la finance
Opportunités et risques. (8.7.2019)

Elections / Votations > Genève cesse l’exploitation de son système de vote électronique
"Le Conseil d’Etat genevois annonce l’arrêt prématuré de l’exploitation du système de vote électronique CHVote. L’audit de sécurité demandé par la Chancellerie fédérale rend son utilisation à l’occasion des élections fédérales trop incertaine" (8.7.2019)

Protection des données > Surveillance > Dans les magasins, la surveillance secrète vous suit de plus en plus
Quand vous achetez, des balises vous surveillent, utilisant de la technologie cachée dans votre téléphone. Mais vous pouvez vous protéger. (8.7.2019)

Elections / Votations > Désinformation > L’UE dénonce une désinformation venant de « sources étrangères » lors des élections européennes
"Dans un rapport publié vendredi, les autorités européennes disent avoir détecté une « activité de désinformation continue et soutenue de la part de sources étrangères »" (8.7.2019)

Norme > Contrôle des accès > Considérations sur les attributs pour les systèmes de contrôle des accès
Norme NIST SP 800-205. (8.7.2019)

Sécurité > Réseaux > Stockage > Alerte de sécurité de la SEC qui avertit sur les mauvaises configurations NAS, DBs et des serveurs de stockage cloud
"SEC OCIE inspections finds that companies have failed to properly secure network-accessible storage systems." (8.7.2019)

Cyberattaques > Ransomware > Leçons apprises du ransomware de Baltimore
"The recent ransomware attack that immobilized Baltimore’s computer systems represents the latest in a line of similar cyber attacks against cities and towns across the United States."
Autre article à ce sujet. (8.7.2019)

--------------------------------------------------------------------------------
Copyright © 2019 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
US-CERT
SANS
MELANI

CERT-FR

Séminaires