Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
L’agence nationale de la sécurité des systèmes d’information met en ligne un référentiel qui doit permettre de qualifier le niveau de sécurité des prestataires de Cloud. Couvrant avant tout les besoins de l’Etat, le document peut aussi être utilisé en entreprise comme guide de bonnes pratiques. 
No comment yet.
Sign up to comment
Scoop.it!
Cybersécurité des systèmes industriels : Par où commencer ? Synthèse des bonnes pratiques et panorama des référentiels : ici
Scoop.it!
Stéphane NEREAU's insight:
Après la publication de ce premier livrable, le groupe travaille désormais sur un questionnaire afin de dresser un bilan des pratiques actuellement en vigueur en France auprès des responsables concernés des grandes entreprises ainsi que des prestataires du secteur, comme les intégrateurs ou les constructeurs de systèmes industriels. Les résultats sont attendus pour la fin de l’année.
's comment July 5, 2014 12:25 PM
Ce genre de groupe de travail est beaucoup trop lent face aux menaces. Il faut vraiment être plus rapide, et évoluer à la même vitesse que les menaces.
Scoop.it!
Quelles sont les réponses juridiques internationales, européennes et françaises lorsqu'une entreprise est victime d’une cyberattaque. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée.
Stéphane NEREAU's insight:
Le plus grand défi pour l’entreprise reste encore l’insuffisance de sensibilisation de l’ensemble des personnels face à l’ingéniosité des cyber-délinquants et au caractère protéiforme des cyberattaques. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée. Il est également recommandé aux DSI et aux RSSI de s’assurer qu’ils ont bien mis en œuvre les « 40 règles d’hygiène informatique » disponible sur le site de l’ANSSI.
L’ANSSI met également à la disposition des DSI et RSSI un ensemble d’autres guides et recommandations qui sont très accessibles y compris aux TPE permettant de sécuriser les postes de travail et les serveurs, mais également la messagerie ou encore les liaisons sans fil dans l’entreprise.
Scoop.it!
Chrome est un navigateur Web gratuit édité par Google dont la première version stable sous Windows date de fin 2008. Il est aujourd’hui devenu l’un des navigateurs les plus utilisés par les internautes. Son système de « bac à sable » , ses fonctionnalités de déploiement et de configuration centralisées, et son système de mises à jour automatiques réactif présentent un certain intérêt. Doté de fonctionnalités de déploiement et de configuration centralisées, ainsi que d’un système de mises à jour automatiques réactif, l’usage de ce navigateur en entreprise est tout à fait envisageable. page d'origine : ici
Stéphane NEREAU's insight:
Cette note technique vise à sensibiliser le lecteur aux enjeux de sécurité d’un navigateur Web et doit le guider dans la mise en oeuvre de stratégies de sécurité spécifiques à Google Chrome dans le cadre d’un télé-déploiement en environnement Active Directory.
Scoop.it!
Pour Matthieu Garin, expert sécurité au sein du cabinet Solucom, l’acquisition des activités sécurité d’Alcatel-Lucent par Thales marque le début de la consolidation du marché des MSSP.
Stéphane NEREAU's insight:
Les besoins en cybersécurité ne cessent d’évoluer, tant du côté des grands comptes que des PME. « On assiste à un mouvement vers la surveillance du SI des entreprises, et donc les MSSP continueront clairement d’être sollicités dans les mois à venir, témoigne l’expert en sécurité. Je ne connais pas de client qui ne se pose pas la question aujourd’hui. »
Scoop.it!
Selon le député du Rhône Christophe Guilloteau, la France a deux atouts importants en matière de cybersécurité : un cadre législatif fort et cohérent, marqué notamment par la publication du Livre blanc sur la défense et la sécurité nationale et le vote de la Loi de Programmation Militaire, et un marché dont elle n’a pas a rougir. Ce dernier représenterait 700 acteurs, pour 40 à 50 000 emplois, et il pèserait 4,5 milliards d’euros de Chiffre d’Affaire en France et jusqu’à 8,5 milliards à l’étranger. Autrement dit, c’est une bonne base qui n’attend qu’à se développer !
Stéphane NEREAU's insight:
Et le développement, c’est précisément l’objectif de la feuille de route établie par l’ANSSI, associée à un groupe d’industriels et à des associations d’utilisateurs, dans le cadre du « Plan 33 » de la Nouvelle France Industrielle. Convié par Défense & Stratégie à l’occasion d’un point d’étape, Christophe Blot, Responsable de la Division Produits et Services de Sécurité à l’ANSSI, a détaillé les actions envisagées pour accroitre à la fois les débouchées des acteurs industriels de la cybersécurité française, mais également d’en développer l’offre au profit à la fois de l’Etat et du secteur privé. Pour cela quatre axes de développement ont été définis, et pour chacun une série d’actions à mener.
Scoop.it!
L’Anssi devra obliger les opérateurs d’importance vitale à mieux se protéger. C’est une nécessité pour ceux dont le fonctionnement est critique pour la sécurité nationale.
Stéphane NEREAU's insight:
Une panne géante qui plongerait la France dans le noir, un détournement qui ferait dérailler un train, ou une attaque massive, qui mettrait hors d’usage un réseau de télécommunications. Tels sont quelques uns des dangers considérés comme plausibles que souhaite éviter l’Etat français. Pour ce faire, le gouvernement a fait voter fin 2013 dans le cadre de la dernière loi de programmation militaire (LPM) un dispositif renforçant les obligations de sécurité des « opérateurs d’importance vitale » (OIV), ces organisations ou entreprises dont « l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation », définit la loi.
Scoop.it!
![[40 conseils de l’ANSSI] Les garants d'un SI sécurisé | Cybersécurité - Innovations digitales et numériques | Scoop.it](https://img.scoop.it/Y8J_o8iSwHm6fWMLlrcqojl72eJkfbmt4t8yenImKBVvK0kTmF0xjctABnaLJIm9)
Il en est du ressort des dirigeants de contrôler la mise en œuvre de politiques de protection adaptées à l’organisation. De nombreuses entreprises ne respectent pas les mesures d’hygiène informatique décrites dans le guide de l’ANSSI. Ce guide s’adresse aux décideurs IT et présente 40 règles d’hygiène informatique incontournables pour la protection des systèmes d’information Aujourd’hui, les entreprises n’ont jamais été aussi présentes sur Internet. Il y a une évolution franche du monde du travail qui ne jure que par les nouvelles technologies telles que le cloud, la mobilité, et internet. Cette évolution comporte néanmoins des risques de perte ou de vol de certaines informations confidentielles. Ainsi les conséquences peuvent s’avérer lourdes en termes de confiance des collaborateurs ou même des clients. La protection des informations confidentielles apparait alors ici comme un « avantage concurrentiel », voire même une nécessité pour la compétitivité de l’entreprise.
Stéphane NEREAU's insight:
Dans ce billet de blog, il est résumé les règles établies par l’ANSSI qui sont découpées en 13 thématiques distinctes.
Scoop.it!
Parti à la direction technique de la DGSE, Patrick Pailloux est remplacé à la tête de l’Agence de sécurité informatique de l’Etat (Anssi) par Guillaume Poupard, spécialiste des questions de cybersécurité à la Direction générale de l'armement (DGA).
Stéphane NEREAU's insight:
La SSI n’est pas un domaine nouveau pour ce dernier puisqu’il était justement responsable du pôle de sécurité des systèmes d'information de la Direction générale de l'armement. Et Guillaume Poupard a également travaillé par le passé pour la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), intégrée à l’Anssi.
Scoop.it!
Stéphane NEREAU's insight:
Pour qu'un message chiffré dans un serveur de messagerie puisse être lu par son destinataire, il est nécessaire, soit de déchiffrer pour le transmettre en clair, ce qui sera très certainement le cas. Soit de l'encoder avec la clé publique du destinataire (voir PGP ou, en plus simple mais moins sécurisé, le plugin SecureGmail pour Gmail), ce qui sera éventuellement possible et même automatisable entre e-mails échangés par les serveurs des FAI et des autres parties prenantes à l'initiative, mais impossible avec les nombreux destinataires qui ne seront pas concernés par la mesure (mise à jour : Stéphane Bortzmeyer souligne qu'il est possible de chiffrer les mails entre serveurs SMTP de façon transparente pour l'utilisateur avec le protocole TLS/SMTP, de plus en plus utilisé).
Scoop.it!
Stéphane NEREAU's insight:
Aussi tôt dit, aussi tôt fait. Quelques heures seulement après la visite et le discours du Premier Ministre, l’ANSSI publiait un appel d’offres pour le projet « CyberEdu » relatif « à la rédaction de document pédagogiques, en l’occurrence un guide pédagogique et différents supports ou éléments de cours, visant à faciliter la prise en compte de la cybersécurité dans les formations supérieures en informatique en France ».
Scoop.it!
Stéphane NEREAU's insight:
La première alerte sérieuse sur les transports aériens date de l’été 2010 avec la publication des résultats d’enquête sur le crash du 20 août 2008 mettant en lumière la vulnérabilité potentielle des systèmes embarqués. Selon le rapport rendu public par El Pais, un cheval de Troie pouvait être l’une des causes du crash du MD82 de la Spanair, provoquant 154 victimes. Même si la thèse est écartée par la CIAIAC en charge de l’enquête, l’inquiétude n’est pas dissipée. Sans parler des piratages de drones fréquents depuis la fin des années 2000…
|
Scoop.it!
Guillaume Poupard, le nouveau directeur général de l’ANSSI (Agence nationale de sécurité des systèmes d’information), revient sur le plan Cybersécurité, le 33e plan de la Nouvelle France Industrielle, qui devrait être validé dans le courant de l’été. Une préoccupation qui apparaît d'autant plus cruciale, ce jeudi 22 mai, alors que l'on vient d'apprendre un vaste piratage informatique à l'encontre du site de e-commerce Ebay.
Scoop.it!
Cybersécurité des systèmes industriels : Par où commencer ? Annexe : Fiches de lecture : ici
Scoop.it!
Les villes “intelligentes” reposant sur un recours massif au numérique, la sécurité des données en est donc un enjeu central. Bon sens et anticipation sont deux mots-clés pour assurer une sécurité optimale et maitriser le budget.
Scoop.it!
Le rapport propose de créer un label France et de privilégier les groupes français.
Stéphane NEREAU's insight:
Comment faire de la cybersécurité un vecteur de croissance et d'emploi ? C'est la question à laquelle s'est attelé le groupe de travail dépêché par Arnaud Montebourg dans le cadre des 34 plans Nouvelle France industrielle, censé dessiner l'avenir des filières clefs. Présidé par le patron de l'Agence nationale de la sécurité des systèmes d'information (Anssi) - d'abord Patrick Pailloux puis, depuis le départ de ce dernier à la DGSE, Guillaume Poupard - le groupe a émis 17 propositions.
Scoop.it!
Ce guide de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) offre des recommandations organisationnelles, juridiques et techniques pour choisir un prestataire, enregistrer son domaine et sécuriser son hébergement. Il part du constat selon lequel l'actualité récente a démontré que les prestataires intervenant dans la gestion des noms de domaine sont des vecteurs de risque importants. Leur compromission peut entraîner l'interception de trafic et de courriers électroniques, des dénis de service, ou encore des défigurations de sites web. Il en résulte que les enjeux de l'acquisition des noms de domaine auprès d’un prestataire et de leur exploitation doivent être maîtrisés par les responsables de la sécurité des systèmes d’information et des architectes système et réseau. Ils concernent potentiellement toute entité ayant une présence sur Internet.
Stéphane NEREAU's insight:
Pour répondre à ces problématiques, l’ANSSI publie donc le présent guide. Ce document adopte une approche globale en offrant des recommandations organisationnelles, juridiques et techniques. Les recommandations revêtent la forme : L’ANSSI encourage les acteurs de l’Internet à s’approprier ces recommandations pour les appliquer au mieux et au plus tôt.
Scoop.it!
Les industries sont surexposées aux attaques des hackers. Mieux protéger ses données sur Internet représente un travail de longue haleine. Par Thierry Jardin, directeur des activités sécurité et gestion des risques chez CGI Business Consulting
Stéphane NEREAU's insight:
Subissant la double poussée d'Internet et de la mobilité, les Etats et les entreprises ouvrent grand leurs systèmes d'information, les uns à leurs citoyens, administrés et contribuables, les autres à leurs fournisseurs, clients, salariés... C'est bon pour la démocratie, les finances publiques et le développement des entreprises. Mais, au fur et à mesure de cette ouverture, qui a d'abord porté sur les systèmes d'information de gestion, sont apparues des menaces, toujours plus sophistiquées : cybercriminalité et espionnage industriel. Dans son "Panorama de la Cybercriminalité pour l'année 2013", le Clusif, citant un autre rapport**, fait état d'un coût global des cyberattaques estimé à 300 milliards d'euros pour les entreprises en 2013. Soit l'équivalent du produit net annuel des impôts perçus par l'Etat français l'année dernière.
Scoop.it!
Guillaume Poupard a pris les rênes de l’ANSSI le 26 mars dernier. Il fait le point sur la réalité des cyber-menaces qui pèsent sur les entreprises et les mesures de protection à prendre.
Scoop.it!
Les systèmes industriels sont aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques, voire avec Internet. A ce titre, ils sont exposés aux mêmes menaces, avec des conséquences potentiellement plus graves. Face aux risques potentiels, l’ANSSI publie un guide sur La cybersécurité des systèmes industriels.
Stéphane NEREAU's insight:
Ce guide se veut pragmatique pour accompagner tous les acteurs du monde industriel dans la prise en compte des enjeux liés à la cybersécurité. Il propose une méthodologie simple et adaptée, illustrée par des situations réelles.
Scoop.it!
Dans son numéro de septembre 2013 (n° 243), Economie & comptabilité (publication éditée par l’IFEC) publie un dossier spécial sur les nouvelles technologies. L’article intitulé « Prévenir la cybercriminalité » est l’occasion de rappeler que la pérennité de l’entreprise est fortement compromise en cas de sinistre informatique majeur impliquant la compromission de ses données informatiques (faisant suite à une malveillance ou un incident fortuit). La cybercriminalité concerne toutes les entreprises et non plus seulement les grandes entreprises. Pourtant les entreprises sont souvent démunies face à de telles attaques. Les PME n’ont généralement pas les compétences en interne, ni conscience des risques (sur leur image, leurs données, celles de leurs partenaires commerciaux…) ; pourtant la criminalité informatique est une pratique ancienne qui est en pleine expansion.
Stéphane NEREAU's insight:
Ces travaux comprennent la validation des processus informatiques assurant l’intégrité des données :
Scoop.it!
Les sites internet des collectivités sont régulièrement victimes d'attaques informatiques, parfois insoupçonnables. L'Agence nationale de la sécurité des systèmes d'information explique comment s'en prémunir. Via Intelligence Economique, Investigations Numériques et Veille Informationnelle
Stéphane NEREAU's insight:
Analyse des risques
L'Anssi conseille aux collectivités d'exiger que leurs prestataires informatiques procèdent à une analyse des risques des systèmes d'informations (SI). Cinq prestataires d'audit de la sécurité des SI sont en cours de qualification. Le site de l'Anssi recense également des catalogues de produits et services, certifiés ou qualifiés, que le service achat devrait systématiquement consulter : dispositifs d'identification, d'authentification, de contrôle d'accès, pare-feu de filtrage (firewall), antivirus, détection d'intrusion, stockage sécurisé, messageries, effacement de données, virtualisation... Quant au service informatique, il doit exiger le respect des clauses de sécurité dans ses appels d'offres dans différents domaines : postes de travail, serveurs, messageries, imprimantes, liaisons sans fil, réseaux, applications web, vidéoprotection, technologies sans contact... Toutes les recommandations figurent sur le site de l'Anssi.
Scoop.it!
Suite à l’appel à commentaires lancé le 03 octobre 2012, l’ANSSI publie la version finalisée du guide d’hygiène informatique. Ce document destiné aux entreprises présente 40 recommandations simples pour sécuriser leur(s) système(s) d’information.
Scoop.it!
Stéphane NEREAU's insight:
La filière SSI traditionnelle, partie intégrante de la cybersécurité, a longtemps été rejetée par les techniciens comme par les dirigeants. Elle renaît. Dans les entreprises, le Responsable de la Sécurité des Systèmes d'Information (RSSI) devient un acteur clé placé au niveau du DSI. De même les armées sont en train de monter un centre de cyberprotection. Enfin, la prévention informatique s’apprend dès le plus jeune âge. A l'instar du permis piéton de 2006, Manuel Valls a remis les premiers « permis internet » à trois élèves de CM2. Cette sensibilisation est complétée en fin de scolarité obligatoire par le « B2I ».
|
Au sein de 14 chapitres, le référentiel de l’Anssi répertorie les exigences et recommandations que les prestataires de Cloud (Saas, Iaas et Paas) devront respecter pour être qualifiés. Et propose deux niveaux de sécurité : le premier, dit élémentaire, est conforme aux impératifs propres à la politique de sécurité des systèmes d’information de l’Etat (PSSIE), tandis que le second, dit standard, permet d’assurer le traitement des données de niveau diffusion restreinte (le niveau le plus faible en matière d’information classifiée). Le référentiel prévoit notamment que le stockage et le traitement des données doivent être effectués sur le territoire. Le prestataire doit également proposer un support de premier niveau francophone et installé dans l’Hexagone, revoir au moins une fois par an sa politique de gestion des identités et de contrôle des accès ou encore revalider, à la même fréquence, les droits d’accès des utilisateurs. Cette revalidation est même trimestrielle pour les comptes à privilèges élevés, selon la version du référentiel actuellement disponible. De même, l’Anssi prévoit une généralisation du chiffrement (flux et stockage des données), y compris au niveau élémentaire.