Attaques ciblées, menaces sur les équipements mobiles et préoccupations croissantes autour de « l’Internet of Everything » (IoE) comptent parmi les principaux sujets abordés par ce rapport.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Your new post is loading...
Your new post is loading...
Scoop.it!
Attaques ciblées, menaces sur les équipements mobiles et préoccupations croissantes autour de « l’Internet of Everything » (IoE) comptent parmi les principaux sujets abordés par ce rapport. No comment yet.
Sign up to comment
Scoop.it!
Le Parlement européen a appelé, aujourd’hui, la Commission européenne à agir de façon déterminante pour rattraper le retard européen en matière d’informatique dans les nuages (« cloud computing »).
Stéphane NEREAU's insight:
Analyse : le problème n'est pas lié uniquement à la Commission européenne mais aussi et surtout à la capacité des acteurs européens à agir et à construire des environnements compétitifs. L'Europe peut jouer un rôle sur la sécurité, les données mais sur le reste, les éditeurs et fournisseurs doivent réagir
Scoop.it!
Stéphane NEREAU's insight:
« La démarche française s’articule aujourd’hui autour de trois enjeux : mieux protéger, mieux réguler et mieux dépenser. Elle s’inscrit dans la volonté d’établir un équilibre entre les enjeux de sécurité et de compétitivité, et un accès à un coût raisonnable à des solutions fiables. La structuration de la filière nationale ne signifie pas, cependant, un repli national. La France soutient une politique industrielle européenne de sécurité. C’est pourquoi nous pensons aussi notre démarche au niveau européen. C’est d’ailleurs en mutualisant nos efforts que nous pourrons gagner. Nous devons protéger ensemble nos pépites industrielles européennes pour rester dans la course internationale. L’objectif de cette politique est, et sera, de répondre aux exigences de sécurité tout en assurant le respect des fondamentaux éthiques de la vie privée. Pour cela, il est indispensable d’intégrer les utilisateurs finaux dans le développement des technologies ».
Scoop.it!
Stéphane NEREAU's insight:
Les cybercriminels avaient dérobé des informations confidentielles sur 22 000 comptes Twitter, 59 000 comptes Yahoo!, 60 000 comptes Google et 326 000 comptes Facebook. D’autres sites sont également concernés, à savoir, LinkedIn, agateway ou encore vk.com. Les données ont été aspirées suite à l’infection des comptes par un malware, principalement sur des ordinateurs dont les mises à jour de sécurité étaient obsolètes. Les informations volées étaient principalement des mots de passe permettant l’accès à l’ensemble des comptes. L’ensemble des utilisateurs qui se sont fait dérober leurs codes à leur insu se trouvaient aux Etats-Unis, en Chine, en Thaïlande et en Europe, notamment, en Allemagne. Suite à cette découverte, Facebook a réagi très rapidement en modifiant l’ensemble des mots de passe des comptes concernés afin de protéger les utilisateurs.
Scoop.it!
Stéphane NEREAU's insight:
En 2014 également, les téléphones mobiles serviront encore à … passer des appels ! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.
Scoop.it!
Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, dévoile 5 conseils à appliquer après avoir subi une perte de données en environnement virtuel. Via Intelligence Economique, Investigations Numériques et Veille Informationnelle
Stéphane NEREAU's insight:
Ces spécialistes de la virtualisation ont partagé leurs recommandations en cas de perte de données sur un système virtuel :
Scoop.it!
Des experts planchent sur la nature et la transformation de l’identité individuelle
Stéphane NEREAU's insight:
Juliet Lodge, professeur à l’université de Leeds et membre du Privacy Expert Group au Biometrics Institute, commentant le rapport sur le rôle des machines, a expliqué que les deux scénarios envisagés impliquent une dépersonnalisation de l’individu, avec une identité, telle que nous la connaissons, qui semble être remplacée par le concept d’un code reconnaissable par la machine. « L’identité est devenue un petit bout d’algorithme qui peut être associé à un autre code », a expliqué le Pr. Lodge, soulignant les plus larges implications sur la personne qui a accès aux données personnelles, mais aussi en termes d’imposition et de tenue d’archives, d’emploi, d’accès aux services et d’intégration sociale. Les deux scénarios « soulèvent des questions éthiques stratégiques sur le modèle de société ainsi créé. »
Scoop.it!
Stéphane NEREAU's insight:
Reprenant un argument déjà utilisé par Adobe, Cupid Media suggère que de nombreux password appartiennent en réalité à des utilisateurs inactifs. Et la société précise qu’elle a depuis renforcé sa sécurité (hashage et salage de la base de données, obligation faite aux utilisateurs de choisir des mots de passe non triviaux).
Scoop.it!
L’offre collaborative de Dropbox permet désormais de créer des containers chiffrés et administrés en central pour partager les données professionnelles.
Stéphane NEREAU's insight:
La partie privée permet une utilisation libre des fichiers à des fins personnelles, tandis que la partie entreprise permet de cloisonner les données dans un ‘container’ chiffré et géré par l’organisation. Laquelle peut notamment effacer des éléments à distance, transférer des comptes (en cas de départ ou de reclassement d’un employé) et partager des journaux d’audit. De quoi enfin rassurer en partie les DSI, qui pestent régulièrement contre la multiplication des comptes Dropbox dans leurs organisations, au mépris des règles de sécurité qu’ils défendent.
Scoop.it!
Stéphane NEREAU's insight:
Selon l’étude (dont on retrouvera les données imagées sur cette page), 97% des applications testées ont accès à au moins une information privée (contacts, réseaux sociaux, connexion Wifi ou Bluetooth…) depuis un mobile et 86% de ces applications ne dispose d’aucune mesure de protection contre les risques d’attaques les plus communes (débordement de mémoire tampon notamment).
Scoop.it!
Un projet de loi, qui sera débattu le 26 novembre prochain, élargit « le régime d’exception » qui permet à des agents ministériels français de consulter des données personnelles sans intervention d’un juge.
Stéphane NEREAU's insight:
L'Asic indique que le régime dérogatoire est « étendu au-delà des cas de terrorisme, [...] à la recherche des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous ».
Scoop.it!
Mettre en place des équipes composées d'humains et d'appareils robotisés permettrait de maximiser lecture et analyse des données.
Stéphane NEREAU's insight:
Le Big Data est sur nous, ce fait est avéré. Or dans cette masse sans cesse croissante d'informations, la problématique n'est plus quantitative mais qualitative. Comment assurer l'analyse, comment extraire les informations les plus pertinentes et réussir à les mettre en relation, tels sont dorénavant les enjeux qui émergent pour les analystes. Aussi futuriste que cela puisse paraître, une équipe d'universitaires de Princeton, Hartford et d'UCSB propose de former des équipes de surveillances mixtes, humain et robot. Sous-titrée Integrating Cognitive Modeling with Engineering Design, cette étude montre l'apport que pourrait avoir un soutien robotique contre les potentielles erreurs faites par l'opérateur humain dans le secteur de la surveillance.
Scoop.it!
La quatrième étape de l'IT Tour s'est déroulée à Lille le 21 novembre. Cette matinée-débat a été l'occasion de partager et de dialoguer sur des sujets d'actualités. Retour sur ces échanges très enrichissants.
Stéphane NEREAU's insight:
C'est aux abords de Lille que la matinée débat IT Tour le Monde Informatique a donné rendez-vous aux responsables informatiques de la région le 21 novembre 2013. En association avec le GUN et le Clusir Infonord, plusieurs tables rondes ont réuni des grands témoins : Emmanuel Dupont, RSSI d'Holcim France Benelux ; Didier Lamballais, DSI de l'Université de Lille 1 ; Pierre-Marie Moulière, DSI du groupe ARC et membre du GUN ; Thierry Servais, Président du Clusir Infonord et RSSI de Kingfisher et Jean-François Guilbert de Manpower. Voici un résumé des échanges. |
Scoop.it!
Stéphane NEREAU's insight:
Parmi les principales prévisions pour 2014 : Les applications malveillantes et à risque pour Android franchiront le cap des 3 millionsLes services bancaires sur mobile seront la cible d’attaques de type Man-in-the-Middle, tandis que les processus d’authentification en deux étapes connaîtront leurs limitesLes cybercriminels opteront de plus en plus pour des attaques ciblées visant les applications open-source et s’orienteront davantage vers un phishing hautement personnaliséLes équipements mobiles seront de plus en plus ciblés par des menaces évoluées telles que le détournement de clics (clickjacking) et les attaques de type « watering hole »L’arrêt du support de logiciels répandus tels que Java 6 et Windows XP rendra des millions de PC vulnérables aux cyber-attaquesLes révélations sur les opérations de surveillance commanditées par les gouvernements, qui ont altéré a confiance du grand public, amèneront à multiplier les efforts pour restaurer la confidentialitéLe Deep Web continuera de contrarier les efforts déployés par les autorités pour neutraliser les cybercriminels
Scoop.it!
Stéphane NEREAU's insight:
AirWatch bénéficie de l’écosystème de partenaires technologiques et d’intégration d’API le plus abouti du marché. Les entreprises peuvent tirer profit des fonctionnalités d’AirWatch tout en capitalisant sur l’intégration avec les prestataires de gestion des risques pour applications du Marketplace d’AirWatch comme Appthority ou Veracode pour des fonctionnalités additionnelles.
Scoop.it!
Stéphane NEREAU's insight:
Dans l’état, les pirates auraient récupéré suffisamment d’éléments pour procéder à l’ouverture de comptes bancaires sous de fausses identités. Autres possibilités, revendre ces numéros – qui se monnayent entre 10 et 50 dollars au marché noir – ou en céder à des ‘caissiers’, ces personnes chargées d’encoder de nouvelles cartes de crédit à partir des données subtilisées pour qu’elles soient utilisables ailleurs que sur Internet.
Scoop.it!
Stéphane NEREAU's insight:
À cause de cette caractéristique, il n’a pas été possible de supprimer complètement le botnet de la Toile. Au lieu de cela, l’action menée a permis de bloquer son fonctionnement – ce qui obligera les pirates à réviser le dispositif technique du botnet – et aussi de casser le business model des criminels exploitant ce réseau de machines. De quoi freiner fortement et, espérons-le, durablement cette menace.
Scoop.it!
Akamai rachète Prolexic pour 370 millions de dollars. Après Kona, le spécialiste de l’optimisation de site web continue de construire une offre orientée sécurité.
Stéphane NEREAU's insight:
Ceci dit, « Prolexic ne faisait pas beaucoup parler d’elle en France jusqu’ici », explique Arnaud Cassage. Contrairement à d’autres fournisseurs comme Arbor Network, Corero, F5, Radware ou encore Juniper. Les entreprises françaises externalisent peu leur sécurité. Elles préfèrent se protéger avec un boitier installé en interne que de passer par un prestataire externe. « Pour repérer une attaque DDOS, il vaut mieux bien connaître les applications de l’entreprises, argumente Arnaud Cassagne. Et avec ses 120 collaborateurs, Prolexic ne convainc pas nécessairement. » Et comparé au rachat de Sourcefire par Cisco celui de Prolexic fait pâle figure. Plus de 2 milliards de dollars dépensé dans le premier cas contre 370 millions dans le deuxième.
Scoop.it!
Victime d’une attaque de type « man-in-the-middle », le Parlement européen a fermé ses réseaux WiFi publics en début de semaine.
Stéphane NEREAU's insight:
Par sécurité, l’informatique du Parlement demande également aux utilisateurs d’installer un certificat sur tous les terminaux se connectant aux systèmes d’information internes. Et préconise, pour tous, le changement de leurs mots de passe donnant accès aux mêmes systèmes.
Scoop.it!
Stéphane NEREAU's insight:
En analysant les solutions de coffre fort disponibles sur le marché, la CNIL a constaté que la majorité des services de coffre-fort numérique n'étaient pas suffisamment sécurisés. Il lui est apparu utile d'alerter les utilisateurs, qui peuvent être induits en erreur par l'appellation de " coffre-fort ", sur les précautions à prendre avant de souscrire à une offre. Elle a également souhaité rappeler aux fournisseurs les bonnes pratiques à adopter sur les données, les destinataires, les durées de conservation, l'information des personnes, les mesures de sécurité.
Scoop.it!
Stéphane NEREAU's insight:
Surtout, au travers de cette mouture, Oracle a renforcé la sécurisation de son appliance en y ajoutant une authentification Kerberos et en intégrant Hadoop à Audit Vault & Database Firewall. Ce qui permettra aux entreprises disposant à la fois de la base de données et du serveur spécialisé Big Data d’effectuer leurs audits depuis une console unique. Enfin, l’éditeur annonce travailler avec Cloudera sur le projet open source Sentry, visant à développer des surcouches d’Hadoop dédiées à la sécurité. « Nous gérons le problème lié à l’identification avec Kerberos, le problème des audits avec Audit Vault et celui des contrôles d’accès dans Hadoop en travaillant avec la communauté open source », explique George Lumpkin, vice-président pour les technologies de datawarehouse chez Oracle, à nos confrères d’InformationWeek.
Scoop.it!
Stéphane NEREAU's insight:
Si les Français pataugent avec la gestion de leurs mots de passe, ce n‘est pas parce qu’ils n’ont pas l’habitude de les utiliser : pour 84 % des Français, entrer un mot de passe sur Internet est un geste quotidien. Parmi cette large majorité de la population, un tiers effectue ce geste plus de 5 fois par jour.
Scoop.it!
La Coin Card est pour l'heure appelée à se déployer uniquement aux USA. Mais si cette carte de paiement 8 en 1 débarquait un jour en Europe voici les 10 raisons pour lesquelles la sécurité poserait un problème.
Stéphane NEREAU's insight:
Un système comme celui de la Coin Card peut sembler séduisant à première vue, mais il soulève de graves et nombreuses problématiques de sécurité, qui concernent directement nos moyens de paiement. Si un tel système devait un jour se développer en Europe, il faudra donc veiller à ce que toutes les précautions soient prises. Ou tout simplement refuser ce "confort de paiement" et laisser nos bonnes vieilles cartes encombrer nos portefeuilles !
Scoop.it!
Un hacker a montré qu’il était très facile d’intercepter les emails des élus européens et de pénétrer leurs comptes de messagerie. L’institution promet d’y remédier.
Stéphane NEREAU's insight:
Exploitant une faille dans le logiciel de messagerie Exchange de Microsoft, utilisé dans l'ensemble des institutions européennes, cet expert informatique a réussi à avoir accès ces derniers mois « et de manière régulière » à l'ensemble des courriels de 14 députés, assistants parlementaires et employés européens qu'il avait sélectionnés de manière aléatoire, histoire de démontrer que le système n'était pas sûr. Parmi les élus espionnés figurent également des Français tels que Jean-Jacob Bicep (Verts), Maurice Ponga (UMP-PPE) et Constance Le Grip (UMP-PPE). Selon le hacker, cette faille rend facilement accessibles les données personnelles et des dizaines de milliers de mails d'élus européens.
Scoop.it!
Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden.
Stéphane NEREAU's insight:
La solution réside donc peut-être dans une approche repensée de l'attribution des droits étendus. En lieu et place de privilèges absolus, la mise à disposition de privilèges étendus devraient être mise en place uniquement en cas de nécessité, en recevant par exemples des droits d'entrée élevés à des ressources spécifique de manière limitée dans le temps. |
Le rapport porte également une attention particulière à l’émergence de « l’Internet of Everything » (IoE), attendu comme une véritable révolution dans les technologies grand public. La réalité augmentée est aujourd’hui déjà proposée via des montres ou des lunettes connectées ; or la prolifération des technologies constitue un nouveau terrain de jeu pour les activités criminelles comme le détournement d’identité.
http://www.trendmicro.fr/media/misc/trend-micro-predictions-for-2014-and-beyond-fr.pdf