Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
De l’aveu même du patron de Symantec (Norton), l’antivirus ne parvient plus à arrêter que 45% des attaques. Mais c’est pour mieux expliquer, ensuite, que tout ordinateur doit être équipé d’une "suite de sécurité ". Un message apparemment mieux perçu par les hommes que par les femmes. Via Intelligence Economique, Investigations Numériques et Veille Informationnelle 
No comment yet.
Sign up to comment
Scoop.it!
Quelles sont les réponses juridiques internationales, européennes et françaises lorsqu'une entreprise est victime d’une cyberattaque. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée.
Stéphane NEREAU's insight:
Le plus grand défi pour l’entreprise reste encore l’insuffisance de sensibilisation de l’ensemble des personnels face à l’ingéniosité des cyber-délinquants et au caractère protéiforme des cyberattaques. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée. Il est également recommandé aux DSI et aux RSSI de s’assurer qu’ils ont bien mis en œuvre les « 40 règles d’hygiène informatique » disponible sur le site de l’ANSSI.
L’ANSSI met également à la disposition des DSI et RSSI un ensemble d’autres guides et recommandations qui sont très accessibles y compris aux TPE permettant de sécuriser les postes de travail et les serveurs, mais également la messagerie ou encore les liaisons sans fil dans l’entreprise.
Scoop.it!
L’article suivant a pour objectif de donner une première et rapide traduction des principaux articles de lois relatifs au droit de la cybersécurité.
Stéphane NEREAU's insight:
Cette F.A.Q est loin d'être exhaustive, pour aller plus loin, n'hésitez pas à relire les anciens articles de ce blog!
Scoop.it!
Face à l'ampleur que prend la cybercriminalité aujourd'hui, nous devons la penser autrement : Il faut travailler de manière globale en impliquant davantage l'aspect humain dans les procédures de protection des informations. Il faut prendre conscience que la politique de sécurité des systèmes d’information doit être adaptée à chaque structure, à chaque métier. Cet aspect est bien trop souvent mis de côté pour parvenir à un équilibre correct entre productivité et sécurité. Sous-estimer mais également surestimer des risques peut avoir de graves conséquences, notamment en termes de coût et de développement.
Stéphane NEREAU's insight:
Si nous devions résumer ce que devrait être la cybersécurité de demain, pour ma part cela passerait donc par une vision, une appréhension et une problématique globale : Technique, Managériale, Juridique et Comportementale. C’est seulement de cette manière qu’on arrivera à améliorer la sécurité de notre patrimoine informationnel et celui des systèmes d’information des entreprises françaises ; dans lequel l’humain, la psychologie et la criminologie doivent être impliqué.
Scoop.it!
Une étude menée dans quatre pays européens par Steria et PAC montre la confiance affichée mais aussi les peurs des entreprises en matière de cyber-sécurité.
Stéphane NEREAU's insight:
Selon Steria, la cyber-criminalité aurait entraîné des pertes financières de 110 milliards d'euros dans le monde. Les cyber-attaques ciblées seraient également en forte croissance (+42% en 2012). Mais, malgré tout, les entreprises européennes semblent, selon leurs déclarations, assez confiantes. Même si cette confiance a des limites qui apparaissent vite. Télécharger l'étude complète (gratuit contre qualification)
Scoop.it!
En début d’année, à l’occasion de sa venue au Forum International de la Cybersécurité (FIC), Manuel Valls, Ministre de l’Intérieur, évoquait le futur de la politique pénale contre la cybercriminalité expliquant alors qu’il restait encore beaucoup à faire en France.
Stéphane NEREAU's insight:
Pour remédier à ce problème, la Metropolitan Police Service de Londres prévoit donc dans un premier temps le déploiement d’une unité de 400 enquêteurs dédiés à la lutte contre la cybercriminalité.
|
Scoop.it!
Les gros titres du dernier Verizon Data Breach Investigation Report semblent sous-entendre que la lutte contre la cybercriminalité pourrait être perdue. Et ce, même si Verizon a précisé, après avoir analysé les données de plus de 100.000 incidents de sécurité sur 10 ans, que 92 % des attaques peuvent être réparties en 9 types de menaces (les attaques de malwares, la perte ou le vol d'appareils, les attaques DDoS, les arnaques à la carte bancaire, les attaques d'applications web, le cyber-espionnage, les intrusions, le vol interne et les erreurs humaines), ce qui signifie que les entreprises font toujours face aux mêmes risques et aux mêmes attaques, depuis tout ce temps, et à plusieurs reprises.
Scoop.it!
La cybercriminalité s'amplifie. Quelle réaction possible? Par Théodore-Michel Vrangos, cofondateur et président d'I-Tracing
Stéphane NEREAU's insight:
De nombreux efforts restent à faire en matière de recherche, de formation et de sensibilisation. Les attaques sont de plus en plus ciblées. La première faiblesse de l'entreprise est le comportement de ses salariés. Ce peut être aussi son meilleur rempart. Sans sensibilisation du personnel, des partenaires et des clients, voire de tous les citoyens, les bienfaits de la révolution numérique risquent d'être remis en cause. La formation à tous les niveaux contribue à la protection des systèmes d'information. Un employé averti n'ouvrira pas l'e-mail infecté qui permettrait au délinquant de s'introduire dans le système d'information. Il ne se laissera pas non plus abuser par un courriel déguisé et trompeur et ne donnera en aucun cas les informations confidentielles demandées par une soi-disant banque ou un supposé opérateur.
Scoop.it!
A l’instar de la Nuit du Hack parisienne, l’éditeur spécialisé ITrust et l’école d’ingénieurs Epitech organisent le 10 avril prochain, à Toulouse, une journée Cyber@Hack. Avec des ateliers sur la cybersésurité et une web conférence en direct de la Silicon Valley sur les nouveaux outils de prévention contre la cybercriminalité.
Stéphane NEREAU's insight:
Une démonstration de Hacking permettra aux participants de se rendre compte de la facilité que peut avoir un hacker à introduire un système informatique. ITrust et l’Epitech organisent également un concours de hacking baptisé « Capture The Flag » (monté et organisé par les étudiants du Labs sécurité d’Epitech), compétition de hacking. Cet événement est le premier du genre en région, à l’instar de la Nuit du Hack parisienne.
Scoop.it!
Aujourd’hui, les systèmes industriels sont fortement exposés aux cyberattaques car ils sont de plus en plus informatisés et interconnectés avec les systèmes d’information classiques et avec internet. Pour faire face à ces risques de cybercriminalité, l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI) a publié le 21 janvier 2014 un guide sur La cybersécurité des systèmes industriels. Ce guide expose des mesures non contraignantes visant à renforcer la cybersécurité des systèmes industriels.
Stéphane NEREAU's insight:
Les grands principes de la SSI
L’ANSSI a mis en place différentes phases pour le déploiement et la gestion de la sécurité. Il s’agit d’un processus continu qui demande des efforts permanent de la part des entreprises mais dont le retour sur investissement se verra positif. 1. Il s’agit tout d’abord de procéder à la sensibilisation des personnels afin de les informer des différents risques liés aux règles d’ « hygiène informatique ». Une sensibilisation qui doit être régulière car les risques évoluent en permanence. 2. Par la suite il convient d’établir une cartographie des installations et une analyse des risques pour en aboutir à la définition de mesures de sécurité adéquates, dont les efforts sont « proportionnés aux enjeux et adaptés aux besoins réels ». 3. La prévention est le troisième grand principe de la SSI selon l’ANSSI qui consiste à protéger les installations en les entourant de plusieurs barrières de protection « autonomes et successives », ce qui devrait permettre de se protéger face aux menaces encore non identifiées. 4. Aussi il est pertinent d’accomplir la surveillance des installations et la détection des incidents, cela n’empêchera pas les incidents de se produire, mais cela aura comme conséquence de limiter autant que possible les effets néfastes. Ainsi plus l’incident est détecter tôt, plus il sera envisageable de mettre en place des mesures pour en réduire les effets. 5. Le traitement des incidents va de pair avec sa détection car elle va permettre notamment d’intégrer une phase d’analyse post incident qui entraînera une amélioration de l’efficacité des mesures de SSI misent en œuvre au préalable. 6. D’autant que « la SSI est une action continue nécessitant des efforts permanents », c’est pourquoi il faut instaurer une veille sur les menaces et les vulnérabilités pour but de rester informé sur l’évolution de ces dernières. 7. Enfin le dernier grand principe que considère l’ANSSI est la préparation face à des évènements exceptionnels qui n’auraient pas été mesurés ou prévus, ainsi des plans de reprise et de continuité d’activité (PRA/PCA/DRP) minimisent les impacts pour pouvoir redémarrer l’activité le plus rapidement possible.
Scoop.it!
Le lucratif marché clandestin des failles zero-day est aujourd'hui très prisé par maints gouvernements et firmes. L'un des acteurs les plus en vue est la société française Vupen, sous contrat avec la NSA depuis l'automne 2013. Selon Wikipédia, « dans le domaine de la sécurité informatique, une vulnérabilité zero-day est une exploitation qui utilise une faille jusqu'ici méconnue du public. Une exploitation 0 day est susceptible d'engendrer la création d'un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée contre cette faille jusqu'à ce qu'elle soit découverte et corrigée ».
Scoop.it!
Plusieurs entreprises implantées au Royaume-Uni viennent d’unir leurs forces pour lancer un programme qui vise à «aider la nation à développer les compétences de cybersécurité dont elle a besoin pour faire face aux futures menaces et rester à l’avant-garde de ce domaine évoluant rapidement.»
Stéphane NEREAU's insight:
Un constat pas très éloigné de celui que pouvait faire le Général Marc Wattin-Augouard, pour la France, en janvier dernier à l’occasion du Forum International de la Cybercriminalité qui se déroulait à Lille. Pour lui, il faut s’interroger sur la formation et sur les cursus de carrière. Mais Patrick Pailloux, directeur de l’Anssi, faisait alors un constat encore plus sévère, s’insurgeant de constater que des ingénieurs sortent des universités et des grandes écoles sans avoir de notions de sécurité informatique «élémentaire» et "qu'on ne forme pas assez d’experts généralistes en sécurité informatique ».
|
3 conseils de sécurité mobile
Pour limiter les risques de cyberpiraterie ou d’accès à vos données, verrouillez toujours l’écran de votre mobile par un code. Une fonction que l'on trouve parmi les paramètres du téléphone sous l’onglet "sécurité".
Ensuite, mettez toujours vos applications à jour pour réduire, au maximum, les risques d’intrusion.
Et enfin, méfiez-vous des applications illégales, souvent proposées sur des sites de téléchargement non officiels. Sur l’Appstore d'Apple ou le Google Play d’Android, les applications font l’objet d’un contrôle avant d’être rendues accessibles. C’est une protection supplémentaire, mais jamais une garantie absolue.