Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
Pas besoin d’attendre une cyberguerre… Au quotidien, des milliers d’entreprises sont confrontées à des attaques, visibles ou non, sur leur système d’information. Un sujet loin d’être seulement technologique. 
No comment yet.
Sign up to comment
Scoop.it!
Stéphane NEREAU's insight:
L’ANSSI est le bras armé de Matignon en matière de cybersécurité, érigée désormais en priorité nationale juste derrière la lutte contre le terrorisme. En termes d’effectifs, l’agence va rattraper son retard sur ses homologues allemande et britannique. Elle compte aujourd’hui 350 collaborateurs contre une centaine en 2009. "Cet effort sera poursuivi. L’ANSSI comptera 500 agents à l’horizon 2015", a précisé le Premier ministre. Une centaine d’agents devraient être recrutés cette année. L’agence dispose d’un budget de 80 millions d’euros dont 30 millions pour la masse salariale.
Scoop.it!
Du simple joueur en ligne au plus haut sommet de l’Etat, la Cybercriminalité peut aujourd’hui affecter toutes les données personnelles, commerciales, financières et stratégiques. Face à ce danger, l’Agence Nationale de la Sécurité des Systèmes d’Information est considérablement montée en puissance depuis sa création. Les méthodes et les approches des acteurs de la sécurité ont aussi évolué vers plus d’analyses et de traçabilité, pour faire de la sécurité un réel outil de management et développement.
Stéphane NEREAU's insight:
Enfin, le combat national contre la cybercriminalité pose de véritables questions sur les contrôles à mettre en place pour ne pas tomber dans un système à l’américaine où les prérogatives de l’Etat empiètent sur les libertés personnelles. C’est d’ailleurs l’objet de la polémique qui a suivi le vote de la Loi de Programmation Militaire et de son article 20, soulevant des inquiétudes quant à l’encadrement de l’accès aux données à caractère personnel.
Scoop.it!
Au travers de deux documents totalisant près de 170 pages, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) vient de proposer une méthode de classification des systèmes industriels, assortie de mesures visant à en renforcer la sécurité informatique.
Stéphane NEREAU's insight:
Ces propositions sont le fruit des travaux d’un groupe piloté par l’agence depuis février 2013 et regroupant acteurs industriels et étatiques. Dans un communiqué, l’Anssi précise qu’ils « n’ont pas de valeur contraignante » mais ont vocation à servir « de base de travail pour l’élaboration des règles évoquées dans le cadre de la loi 2013-1168 du 18 décembre 2013, dite loi de programmation militaire ». Celle-ci prévoit notamment des dispositions contraignantes pour le renforcement de la sécurité des systèmes informatiques des opérateurs d’importance vitale.
Scoop.it!
Le guide de l'Anssi présente les mesures de sécurisation destinées à accompagner la mise en oeuvre d’un réseau de téléphonie sur IP en entreprise.
Stéphane NEREAU's insight:
L'isolation complète du réseau de téléphonie sur IP est préconiséeLe guide recommande de protéger les téléphones IP à l’aide de codes d’accès spécifiques à chaque utilisateuragrandir la photoCe cloisonnement concerne à la fois le réseau physique et ses équipements actifs (commutateurs), les serveurs et les données (à stocker sur des supports dédiés). Au cas où cette isolation ne serait pas réalisable, ce guide énonce des mesures minimales de cloisonnement.S'en suit une succession de préconisations plus spécifiques comme la protection systématique des téléphones IP à l'aide de codes d'accès spécifiques ou la désactivation des ports Ethernet non-utilisés par les téléphones.En revanche, le guide déconseille de définir explicitement sur chaque port de commutateur Ethernet utilisé pour raccorder les postes IP, l'adresse MAC du téléphone normalement connecté à ce port, « en raison des coûts d’exploitation importants lié au maintien à jour des adresses MAC dans la configuration des commutateurs »
http://www.ssi.gouv.fr/IMG/pdf/NP_securiser_ToIP_NoteTech-v1.pdf
Scoop.it!
La nomination de Patrick Pailloux a réveillé en sursaut la communauté de spécialistes de la cybercriminalité réunie à Lille. L’ancien directeur technique de la DGSE, Bernard Barbier, nous éclaire sur ce choix très réfléchi et cohérent avec la nouvelle stratégie du ministère de la Défense en matière de cybersécurité.
Stéphane NEREAU's insight:
D’un autre côté, la nomination de Patrick Pailloux s’explique surtout par la nouvelle stratégie que souhaite adopter la DGSE. À la différence des Etats-Unis, par exemple, mais aussi comme de nombreux voisins européens, la France a opté pour une séparation entre sa « lutte informatique offensive » et sa « lutte informatique défensive », la première étant exécutée au Mortier, siège de la DGSE, et la deuxième étant justement l’une des principales fonctions de l’ANSSI. « Cette nomination est dans la continuité des grands programmes mis en place à la DGSE, avec une implication plus importante dans la cybersécurité. La direction générale des services extérieurs veut rendre ses moyens encore plus efficaces. Le fait que ces deux volets soit séparés pose cependant des problèmes d’organisation. Du point de vue du citoyen, c’est en tout cas une bonne chose car cela permet d’éviter des excès comme ceux de la NSA. Les Etats-Unis se sont même posés la question de séparer ces deux volets. »
Scoop.it!
Patrick Pailloux, est directeur général de l’ANSSI (l’agence nationale de la sécurité des systèmes d’information) depuis juillet 2009. Il fait le point sur les attaques informatiques subies par les entreprises françaises et sur les différentes missions de l'ANSSI.
Stéphane NEREAU's insight:
Répondre aux attaques est votre seule mission ?Non. L’ANSSI a une fonction de réaction aux attaques informatique mais aussi de prévention. Dans le premier cas, nous sommes une autorité de défense sous la direction du premier ministre. Comme je viens de l’expliquer, nous coordonnons la réponse en cas d’attaques vis-à-vis d’une administration ou d’une entreprise. Bref, nous jouons le rôle de pompier avec un centre actif 24h/24 où nous détectons les attaques sur les réseaux. Mais notre mission principale est préventive. Nous aidons à ce que les organisations françaises ayant des infrastructures critiques soient protégées. Nous fournissons des solutions et nous publions aussi beaucoup de guides.
Scoop.it!
Vous savez comment font Edward Snowden, le "lanceur d'alertes" de la NSA, et Glenn Greenwald, le journaliste à qui il a confié des dizaines de milliers de documents classifiés, pour protéger, non seulement leur "vie privée", mais aussi tout (ou partie) de leurs (télé)communications, surfs sur le web, échanges Internet, alors qu'ils sont devenus les ennemis n°1 de la NSA ?
Stéphane NEREAU's insight:
En tout état de cause, plus de 10 ans après avoir commencé à m'intéresser à ces questions, j'en suis arrivé à la conclusion que s'il est impossible à un non-professionnel de sécuriser son ordinateur de façon à empêcher un professionnel motivé d'y pénétrer, il est par contre tout à fait possible de créer des fenêtres de confidentialité, de disparaître le temps d'une connexion, d'apprendre à communiquer de façon furtive, discrète et sécurisée, à échanger des fichiers sans se faire repérer et donc d'avoir "droit à son quart d'heure d’anonymat".
Scoop.it!
Stéphane NEREAU's insight:
Lors de l’inauguration de la “Journée de l’Innovation” du 19 Novembre 2013 François Hollande et Benjamin Netanyahou ont annonçé une coopération renforcée précisément dans ce domaine. Aucun article de presse n’a mentionné cette annonce publique importante. Israël a besoin de la France qui possède un vivier exceptionnel de chercheurs et mathématiciens qui pourraient collaborer avec l’Etat Hébreu. Israël possède un savoir-faire reconnu qui pourrait être transféré sans problème majeur.
Scoop.it!
Après trois jours de rendez-vous et d’échanges, les Assises de la Sécurité 2013 se sont achevées le 4 octobre dernier. Cet événement de référence a démontré à nouveau sa place en matière de rendez-vous d’affaires, pour le secteur de la SSI, avec plus de 2 600 rendez-vous qualifiés et plus de 2 000 participants. Retour sur les moments forts de l’édition 2013 et sur la qualité d’un événement majeur dans le secteur.
Stéphane NEREAU's insight:
Gérard Rio, fondateur des Assises, de conclure : « Le cru 2013 nous conforte une nouvelle fois dans notre parti pris : fournir aux professionnels un lieu d’échanges et de partages, qui les réunit chaque année. Par ailleurs, nous avons pu observer l’enthousiasme des partenaires pour fournir des contenus à forte valeur ajoutée et la satisfaction de nos invités à participer aux ateliers proposés. Chaque année est un nouveau défi que nous relevons avec joie et succès. Rendez-vous donc en 2014 à Monaco ! »
Scoop.it!
Il était difficile de rater le stand de l’ANSSI lors de cette treizième édition des Assises de la Sécurité. L’agence a beau ne rien vendre, son stand ne désemplissait pas. Ce qui a bien entendu attisé notre curiosité : que peuvent bien venir chercher les visiteurs des Assises sur le stand de l’ANSSI ? Nous sommes allés poser la question au contre-amiral Dominique Riban, son directeur général adjoint.
Stéphane NEREAU's insight:
on venait poser des questions sur les SCADA. Le contre-amiral nous a assuré qu’il n’amenait pas le sujet sur la table simplement parce que c’est l’axe de communication officiel du moment, mais bien parce que l’agence était cette année particulièrement sollicitée à ce sujet. Selon lui, et comme le mentionnait déjà Patrick Pailloux dans son discours d’ouverture, les visites sur le stand de l’ANSSI montrent qu’il existe dans ce domaine une différence de perspective fondamentale entre la sûreté de fonctionnement et la sécurité de l’information, qui repose sur l’intégrité des données transmises par les capteurs de l’équipement. Et les exploitants semblent parfois encore confondre les deux : les dispositifs de sûreté ne peuvent s’activer et empêcher une catastrophe si les informations qu’ils reçoivent des capteurs sont falsifiées et indiquent que tout va bien. Les collaborateurs de l’ANSSI avaient donc à coeur de marteler cette différence, dans l’espoir que l’écho parvienne jusqu’au automaticiens par l’intermédiaire des RSSI.
Scoop.it!
La treizième édition des Assises de la Sécurité à Monaco à peine refermée, débute le mois européen de la cybersécurité. Aussi appelé ECSM (European Cyber Security Month), il est regrettable que le site Internet dédié à l’événement, plutôt bien fait, ne communique que dans la langue de Shakespeare. Un compte Twitter permet aux twittos anglophones de suivre l’activité à l’échelle européenne, plus dense que l’année dernière.
Stéphane NEREAU's insight:
Si l’exercice des Assises perd de son intérêt fondamental au fil des éditions (4), sa surface d’exposition médiatique et la concentration de professionnels de la SSI en ferait pourtant la tribune idéale pour lancer l’ECSM. Surtout, l'exercice devrait être aussi l'occasion de repenser et de relancer le paquebot "Assises" qui poursuit imperturbablement son cap vers une destination de plus en plus floue.
Scoop.it!
Stéphane NEREAU's insight:
« Faites donc le tour de vos installations industrielles et regardez combien de communications entre des capteurs et des automates sont chiffrées et fortement authentifiées » adresse-t-il à la salle, pleine de professionnels du secteur. « Il faut que les industriels qui utilisent des machines et autres robots recensent leurs systèmes critiques, analysent leur sécurité, prennent les mesures conservatoires indispensables » demande Pailloux, tout en notant que trop souvent des installations sont connectées à Internet et donc ouvertes aux menaces. Quelles menaces ? Pailloux identifie le vol de données ou encore le sabotage. « Ces attaques sont aujourd’hui à la portée de tous. Prenez 10 personnes avec 10 ordinateurs, vous avez déjà une petite cyber-armée. Se doter de capacités offensives dans le cyberespace, ce n’est pas compliqué ».
|
Scoop.it!
L'Agence nationale de sécurité des systèmes d'information (Anssi), chargée de la défense informatique des grands services et réseaux de l'Etat, passe à la vitesse supérieure. C'est le message que son directeur (pour encore quelques jours), Patrick Pailloux, a voulu faire passer en conviant le gratin français du secteur de la sécurité informatique dans les nouveaux locaux de cette agence de l'Etat, jeudi 20 février.
Stéphane NEREAU's insight:
Actuellement forte de 350 agents, l'Anssi va étoffer ses équipes : 100 nouvelles recrues iront grossir ses rangs en 2014 pour un effectif porté à 500 éléments en 2015. En outre, le Livre blanc de la défense nationale et la loi de programmation militaire adoptée en décembre accroissent encore les responsabilités de cette jeune agence créée en 2009.
Scoop.it!
La France présente vendredi les grands axes de son pacte de cyberdéfense, doté d'un milliard d'euros et censé lui permettre de rattraper son retard à l'heure où les attaques informatiques contre les armées occidentales augmentent. Via Aadel Benyoussef
Stéphane NEREAU's insight:
"L'identification de la source, on y arrive, mais être capable d'apporter une preuve au sens juridique du terme, c'est extrêmement difficile parce que quelqu'un qui fait bien les choses, il va rebondir sur des serveurs qui sont un peu partout dans le monde", dit Guillaume Poupard, responsable du pôle de sécurité des systèmes d'information à la Direction générale de l'armement (DGA).
Scoop.it!
Stéphane NEREAU's insight:
Cette loi contient de nombreux articles qui dépassent le cadre de ce billet ; nous allons nous concentrer sur le chapitre IV et les articles 21 à 25 qui détaillent les dispositions relatives à la « protection des infrastructures vitales contre la cybermenace ». Depuis l’attaque Stuxnet en 2010, les publications de failles et d’outils offensifs ciblant les « composants SCADA » se sont multipliées. Par ailleurs, de nombreux systèmes sont exposés et accessibles directement sur Internet et peuvent être détectés au moyen de simples requêtes dans un moteur de recherche. Concrètement : il peut suffire de quelques clics de souris pour accéder à des fonctions de pilotage et perturber significativement le comportement d’un site industriel. La capture d’écran ci-contre en est l’illustration : il s’agit d’un système de régulation de chauffage accessible en ligne avec login et mot de passe par défaut.
Scoop.it!
La mobilisation contre les cyberattaques d'entreprise est à l'ordre du jour. L'agence nationale de sécurité des systèmes d'information (ANSSI) a identifié un peu plus de 200 entreprises et organisations publiques et privés d'importance vitale pour la ntaion, à protéger en priorité des cyberattaques.
Stéphane NEREAU's insight:
Cette responsabilité incombe en premier lieu, sur le plan opérationnel, aux directions des systèmes d'information de ces organisations et à leur responsable de la sécurité des S.I (RSSI). L'Anssi pourra décider de conduire des audits de sécurité dans ces entreprises, en cas de failles suspectées.
Scoop.it!
"Pour nous protéger, nous anticipons les catastrophes", explique le directeur de l'Agence nationale de la sécurité des systèmes d'information. Interview.
Stéphane NEREAU's insight:
Quel regard portez-vous sur ce monde des objets connectés vers lequel nous nous dirigeons ? Alors qu'un réfrigérateur a été piraté, va-t-on vers un nombre croissant d'attaques ? - D'attaques je ne sais pas, mais c'est sûr que nous allons vers un nombre croissant de vulnérabilité et donc de potentielles attaques. Après, chaque objet connecté n'est pas forcément intéressant à attaquer. Ce n'est pas parce qu'on a plus d'objets connectés que c'est dramatique. Tout dépend si tout est inter-connecté avec votre maison, votre ordinateur, etc., alors l'objet connecté peut servir de porte d'entrée.
Scoop.it!
Le gouvernement a choisi le nom du nouveau chef de la « NSA à la française », qui remplacera Bernard Barbier à la direction technique de la Direction générale de la sécurité extérieure (DGSE). Selon nos informations, confirmées par une source ministérielle, la candidature de Patrick Pailloux, actuel directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui assure la défense de l'Etat et des entreprises contre les cyberattaques, a été retenue. Sa nomination devrait être entérinée lors d'un prochain conseil des ministres.
Stéphane NEREAU's insight:
M. Pailloux était en concurrence avec un membre actuel de la direction technique de la DGSE, un haut cadre du groupe de télécommunications Orange et l'ex-numéro deux de la direction technique de la DGSE, Philippe Duluc, aujourd'hui patron de la sécurité chez Bull après avoir occupé ces fonctions à France Télécom. Au regard du formidable poids pris par la technologie au sein du monde du renseignement et de la dépendance des Etats à la collecte, l'interception et le décryptage des données techniques à travers le monde, le directeur technique de la DGSE est devenu un personnage de premier plan, à l'image du patron de la NSA aux Etats-Unis. Plus de la moitié des effectifs de la DGSE travaillent au sein de sa direction technique, soit plus de 3 000 personnes, davantage que ce que ne veulent bien admettre les autorités.
Scoop.it!
Le Certa a publié un rapide bilan des trois principales menaces qui ont visées les entreprises et les administrations en 2013.
Stéphane NEREAU's insight:
La plupart des attaques sont cependant réalisées via la messagerie électronique des utilisateurs. Rien de nouveau sous le soleil, mais les pirates n’ont aucune raison de changer de tactique tant que ça marche. Les fichiers bureautiques corrompus envoyés par courriel ont donc toujours la côte. « Ces incident pourraient souvent être évités par des mesures simples à mettre en œuvre (sensibilisation des utilisateurs, mesures de filtrage…) » rappelle pourtant le Certa. Et, bien-sûr, rien ne vous empêche de jeter un œil aux guides publiés par l’Anssi… http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf
Scoop.it!
Un 0-Day est une vulnérabilité non corrigée qui peut concerner tout type de logiciel (suite bureautique, application métier, système d’exploitation, logiciel embarqué, application mobile etc.) Ce type de vulnérabilité est susceptible d’être utilisé par des attaquants seul ou combiné à d’autres modes d’actions.
Stéphane NEREAU's insight:
Pour mieux aider les DSI et les RSSI à répondre aux risques propres à ce type de vulnérabilité, l’ANSSI publie le guide « Vulnérabilités 0-Day, prévention et bonnes pratiques ». Ce document répertorie les actions nécessaires en amont et en aval pour renforcer vos systèmes d’information face à cette menace. L’ANSSI vous encourage à vous approprier ces recommandations et à les appliquer.
Scoop.it!
Stéphane NEREAU's insight:
Comment protéger mes domaines de cette attaque ?
La solution à court terme est de s’assurer que toutes les requêtes envoyées par des résolveurs obtiennent une réponse. L’estimation de la légitimité d’une requête étant complexe, la solution la plus simple est de toujours répondre aux requêtes DNS. La réponse n’a pas nécessairement besoin d’être le contenu demandé, et peut être une réponse tronquée ou un paquet avec le code d’erreur "REFUSED". Une solution à long terme contre les attaques par pollution de cache est le déploiement de DNSSEC.
Scoop.it!
Because from now on, the safegurading of confidential information passed on by customers and partners may provide a competitive advantage. Furthermore, protection of a company’s data ant IT network is crucial for its survival and competitiveness. Thus, management has a duty to ensure that suitable protective measures are set in place and operational. Among such measures are a numbre of siple technical masures, referred to as essential IT measures, being the translation into the digital world basic healthcare rules. This document has been written for persons tasked with IT security, be they Information Systemes Security Managers (ISSM) or any other individuaks discharging this role, and sets out 40 essential measures – that could be referred as rules- for a healthy network.
Scoop.it!
C’est le petit jeu favori des commentateurs à l’occasion du rendez-vous annuel de la SSI : trouver LA tendance, le fil rouge qui serpente entre les stands et permet d’éclairer le marché. C’est un peu comme si l’événement monégasque était le prolongement de la Fashion Week de Paris qui cette année, par un hasard du calendrier, s’achevait justement le jour du démarrage des Assises.
Stéphane NEREAU's insight:
Bref, sous la balkanisation apparente de cette treizième édition des Assises de la Sécurité l’on peut encore trouver un socle commun : l’ouverture des SI concerne tout le monde et la question apparaît très loin d’être réglée. Mais finalement, en l’absence d’une tendance forte – la nature ayant horreur du vide – il n’est pas très étonnant que ce soit un problème de fond qui prenne la relève.
Scoop.it!
Stéphane NEREAU's insight:
Pour Henrik Davidsson, il faut détecter et suivre les pirates en temps réel, établir leur profil et arrêter les attaques. Sur la sécurisation interne, des solutions de gestion des d'accés et des identités (IAM) peuvent être un premier axe de réponse notamment dans le développement des clouds privés. Un autre axe peut être de transférer ces problèmes de sécurité à un fournisseur de services, comme l'indique Eric Domage, directeur de la stratégie de la division des services de sécurité chez Orange.
|
Une affaire de culture d’entreprise
Faut-il cependant se concentrer uniquement sur la protection de ses données critiques, quitte à être moins vigilant avec d’autres parties du SI ? « Ce n’est souvent pas aussi simple, remarque Florent Skrabacz, responsable des activités sécurité chez Steria. La protection des données critiques pour une banque, par exemple, ne saurait se passer d’une prévention des phishing 4 ciblés qui profitent des failles de ses sites Internet… » Dans un tel cas, la compromission des identités des clients sera toute aussi lourde de conséquences qu’une intrusion. Pour lui, la sanctuarisation des points les plus critiques du SI doit s’accompagner d’une approche systématique de la gestion des risques, avec des solutions de sécurité standardisées qui couvriront le reste du système… même si cela demande une analyse rigoureuse de prime abord. « Ce travail de fond sur la gestion des risques numériques n’est pas fait aujourd’hui en France, admet Laurent Heslault. Les entreprises sont encore trop en mode “tactique”, avec l’achat d’un produit précis pour contrer une menace précise. Il leur manque cette vision top-down qu’on a vu apparaître dans les pays anglo-saxons, scandinaves ou même en Inde. »