CyberStratégie – CyberDéfense – CyberSécurité
Lettre Cyber 165
Alors, quoi de neuf dans l’actualité cyber du 15 au 21 janvier 2018 …
… cette semaine, c’est le projet de loi de transposition dans le droit français de la directive européenne sur la sécurité des réseaux et de l’Information qui a attiré mon attention pour la notion de « système d’information » qu’il retient pour son application.
En effet, le texte, son premier article, énumère les réseaux, les dispositifs interconnectés, les programmes et traitements automatisés et les données numériques en tant qu’éléments dont il faut assurer la sécurité afin de résister aux actions porteuses de compromission de celle-ci.
Ainsi, la lecture de cette notion de périmètre de « système d’information » retenue par le texte pourrait conforter l’idée reçue, et trop souvent encore mise en pratique, que la sécurité d’un système d’information exige essentiellement une approche purement technique, purement informatique.
Or, les fondamentaux de la sécurité de l’Information, car c’est bien de cela qu’il s’agit, les fondamentaux de la sécurité de l’Information, comme ils sont rappelés d’ailleurs dans le projet de texte, la disponibilité, l’authenticité, l’intégrité, la confidentialité, ne se satisfont pas de cette seule approche technique faite d’une addition, d’un empilement de solutions informatiques plutôt générateur de conflits de cohabitation que de garantie de sécurité.
Aussi, est-il opportun de rappeler encore une fois que la sécurité de l’Information requiert une approche globale dûment managée de l’ensemble des domaines où elle doit s’exprimer. Les normes et standards, les méthodes et les référentiels publiés par les instances internationales habilitées dans le domaine et par l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) sont là pour nous aider dans cette démarche collective qui se doit d’être organisée et structurée.
Nous aurons certainement la possibilité de vérifier cette observation lors de la publication des règles de sécurité à respecter par les opérateurs de services essentiels (OSE) et les fournisseurs de service numérique (FSN) sur le périmètre considéré dans cette loi. Gageons que ces règles seront similaires à celles applicables par les opérateurs d’importance vitale (OIV) ; elles intéresseront la gouvernance de la sécurité, la maîtrise des risques, la protection des systèmes d’information au sens global du terme et la gestion des incidents.
Vous trouverez dans la lettre des articles sur le sujet, mais aussi, vous trouverez comme chaque semaine, beaucoup plus …
… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont désormais … la CyberStratégie, la Cyberdéfense et la CyberSécurité … sans prétention à l’exhaustivité, bien évidemment.
Une bonne semaine à vous.
Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com.
Je rappelle que la lettre est découpée en séquences sur la semaine avec reprise des rubriques utilisées pour chaque séquence. Sans être sûr d’y parvenir, le but est de classer quelque peu l’information si dense et si fournie qui nous est proposée.
Ce qui a retenu mon attention dans l’actualité de cette semaine
16 janvier 2018. L’ANSSI dans l’espace – Le statut des OSE – La cybersécurité au Forum de Davos – Un vol de scénario et tout est dépeuplé …
A(ré)couter – A (re)voir
- OpenStack, un pack logiciels libres en cloud computing, sujet technique, au micro de l’équipe de NoLimitSecu avec Sylvain LABETOULE
Informations
- Start-up cybersécurité en France : un écosystème en pleine explosion …
- Le numéro de mobile remplacera l’Iban bancaire en Europe en 2018
- Avec le programme Galileo, l’ANSSI agit aussi dans l’espace
- BlockChain : la technologie derrière le bitcoin va révolutionner nos vies (et même sans jamais acheter de crypto-monnaies)
- Le gouvernement nomme un « Monsieur BitCoin »
- Henri VERDIER (DINSIC) : « Nous construisons l’État plateforme au service des citoyens »
- La Mission Société numérique et … son espace collaboratif
En management de la sécurité de l’Information
- Quel est le statut d' »Opérateur de services essentiels » (OSE) prévu par la directive européenne sur la cybersécurité ? analyse de l’avocat Eric CAPRIOLI
- Cyber-sécurité : les entreprises doivent avoir une approche qui surpasse la technique ! un article de fin 2016, mais le message essentiel conserve toute son opportunité
- La cybersécurité, une question d’attitude …
- Sensibilisation – Facteur clé de succès N1 : Avoir une mesure
- Sensibilisation – Facteur clé de succès N2 : avoir le sponsor de sa direction
- Sensibilisation – Facteur clé de succès N3 : avoir une stratégie planifiée
- Gouvernements et compagnies doivent collaborer face à des cyber-menaces qui les dépassent #WEF #Suisse, la cybersécurité au menu du prochain Forum de Davos. Le rapport évoqué dans l’article … Cyber-résilience : un guide pour la collaboration public-privé (en)
- Cloud : cinq conseils pour réussir un projet de gouvernance des identités
- L’automatisation vous fait gagner un temps précieux pendant la neutralisation d’une attaque DDoS
- Comment utiliser le moteur de recherche de vulnérabilités Shodan pour sécuriser son infrastructure
- #veille #cybersécurité (14 janv. 2018) – Une nouvelle vulnérabilité pour Intel et 8 000 mobiles bloqués par le FBI pour leurs enquêtes, la veille du Décodeur …
RGPD / GDPR. Le règlement européen sur la protection des données
- Données personnelles : l’Europe ne doit pas se tromper de guerre, une tribune du président de la société Criteo
- Analyse d’impact d’une bonne pratique RGPD
- La conformité au RGPD : son impact sur la valorisation financière de l’entreprise
- Rebondir sur le RGPD pour améliorer le traitement de ses données
- RGPD : les consommateurs comptent bien en profiter
- Données personnelles : établir un contrat de confiance entre utilisateurs et entreprises
- 2018, l’année du GDPR et de la protection des données marketing ?
- Au delà du GDPR : les nouvelles réglementations en matière de protection de la vie privée en 2018, en Australie, au Canada … (en)
Les problématiques des (r)évolutions numériques en cours
- FakeNews : quel rôle dans les prochaines échéances électorales ?
- Droit au silence vs obligation de parler : la loi peut-elle forcer une personne à livrer sa clé de déchiffrement ? une question prioritaire de constitutionnalité …
- Refus de remise de la convention secrète de déchiffrement d’un moyen de cryptologie sur le site du C. Constitutionnel …
Des nouvelles du CyberFront
- Général WATIN-AUGOUARD (FIC) : « Créons une cybersécurité nationale en « poupées russes », allant des territoires à l’Europe »
- A combien l’État évalue le coût de la surveillance d’une personne par un fournisseur d’accès à internet
- Cybersécurité suisse : panorama d’une économie en plein essor
- La protection des données personnelles en Turquie, une analyse juridique …
- Internet : des dizaines de groupes étrangers dans le collimateur de Pékin
- Vol de crypto-monnaies Ether : infraction physique et numérique
- OnePlus : des clients se font voler leur numéro de carte bleue sur le site officiel !
- Claude LELOUCH se fait voler le scénarion du film de sa vie
- Une nouvelle fausse application Uber pour voler vos identifiants
- Des failles dans un client BitTorrent permettraient à un attaquant de prendre le contrôle de votre ordinateur
- Générateur de carte bancaire gratuit … ou pas !
- Un canadien accusé d’avoir vendu des milliards de mots de passe et d’identifiants piratés
- Meltdown et Spectre : un outil PowerShell est disponible, un rappel …
- Okiru, une nouvelle variante du botnet Mirai pour les processeurs ARC (en)
Matière à réflexions
Études, enquêtes et référentiels
- Le rapport 2017 de l’Agence européenne de la sécurité de l’Information et des réseaux (ENISA) sur l’état des cybermenaces (en)
- La veille juridique de décembre 2017 du Centre de recherche de l’école des officiers de la Gendarmerie nationale (CREOGN) est en ligne
- Troisième édition du baromètre de la cybersécurité des grandes entreprises du CESIN, le Club des experts de la sécurité de l’Information et du Numérique
- Quel impact du numérique dans le domaine de la santé ? un sondage BVA …
Séminaires – Conférences – journées …
- La newsletter Sécurité du Forum Atena de janvier 2018, ses informations et son agenda des Lundis de l’IE du 1er semestre 2018
18 janvier 2017. Assurer les cyber-risques ? Pas si sûr – L’espion qui venait d’Androïd – Des pubs porno dans les jeux pour enfants …
A(ré)couter – A (re)voir
- Un retour audio sur les Rencontres Politique, Intelligence Économiques et Stratégiques (#RPIES) du 29 novembre 2017 sur la thématique « Dans un monde ouvert, quelle souveraineté économique et numérique »
- [SecHebdo] 16 janvier 2018, l’actualité cyber du Comptoir Sécu en vidéo sur YouTube
- Comment préserver notre vie privée sur Internet ? vidéo TV7 Bordeaux, interview de Laurent OUDOT et Hervé LE GUYADER
Informations
- Se procurer les actes du Conseil d’État
- Les fiches thématiques de la Cour européenne des droits de l’Homme
En management de la sécurité de l’Information
- Avec les ransomwares, le pire ce n’est pas la rançon, mais l’impact sur la continuité de l’activité
- La conservation des données n’est ni une révolution, ni inatteignable
- Security.txt, pour simplifier la notification de sécurité à une organisation
- « Le gap entre le manque d’experts en sécurité du numérique et les besoins des entreprises est gigantesque », une interview de Gérard PELIKS
- La confiance : levier essentiel pour la transformation numérique
- l’IA, arme fatale contre les cyberattaques massives
- Cybersécurité : pour que PME et ETI ne tombent pas du côté obscur
- CyberSécurité : Tous hackés en 2018 ? Toujours des prévisions/prédictions …
- Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ?
- ANSSI et R2GS couvent attentivement les PDIS (prestataires de détection d’incidents de sécurité)
- Lancement du Club PDIS avec le soutien de l’ANSSI
- La cybersécurité, grande absente du CES de Las Vegas, la route est longue, la pente … un article de Gérôme BILLOIS
- Non-conformité de dispositifs de géolocalisation installés dans des véhicules de salariés, un arrêt du Conseil d’État …
RGPD / GDPR. Le règlement européen sur la protection des données
- USA v. MicroSoft : quel impact ? statut des données, souveraineté numérique et preuves dans les nuages, [pdf], étude de th. CHRISTAKIS, un livre blanc initié par MicroSoft, The Chertoff Group et CEIS
- RGPD : un petit outil d'(auto)évaluation
- RGPD – Révision de la Gouvernance des Risques Numériques
- La charte AFCDP de déontologie des Délégués à la protection des données, AFCDP (Association française des correspondants à la protection des données) …
- Loi données personnelles : corrigeons la loi renseignement, un communiqué de la Quadrature du Net
Les problématiques des (r)évolutions numériques en cours
- Neutralité du net aux USA
- Pluie de recours contre la FCC, la Federal Communications Commission
- 22 États se lancent dans la bataille
- L’Inde veut ajouter des fonctionnalités à son immense base de données biométrique
- Reporty : l’application sécuritaire de la ville de Nice contient des mouchards
- La France veut surveiller les investissements étrangers dans l’IA et le stockage de données
- Les entreprises Internet devraient-elles payer nos données personnelles ?
- L’AP-HP ouvre une plateforme d’évaluation et d’analyse scientifique des objets connectés de santé
Des nouvelles du CyberFront
- SkyGoFree, un puissant logiciel espion Android capable de capter toutes vos données
- Google supprime des jeux pour enfants contenant des publicités pornographiques
- Attendez-vous à d’autres failles critiques comme Spectre et Meltdown
- A 22 ans, cet ingénieur de Google a découvert Meltdown et Spectre
- Comment savoir si son processeur est affecté par les failles Meltdown et Spectre
- Lenovoo découvre des vulnérabilités, parmi lesquelles une porte dérobée, dans le firmware …
- Meltdown et Spectre : attention aux correctifs que vous téléchargez. Des contrefaçons circulent, des applications malicieuses
- Une lettre ouverte à la présidente du Festival international de programmation audio visuelle pour protester contre un film sur le « hacker » ULCAN
- A Hawaï, un opérateur se trompe de bouton et envoie une fausse alerte balistique, un défaut logiciel, une erreur humaine …
- Déclin de la communication de daesh : résilience de la propagande djihadiste ?
- Condamnée pour avoir lu les mails de son mari : smartphone, CB, ordi et cie … petit guide à l’attention des curieux pour savoir ce qui est possible ou pas au sein d’un couple
- Finalement, le FBI apprécie Apple
- Méfiance, des failles sur des logiciels BitTorrent facilitent le piratage à distance
- Un hôpital américain paie 55 000$ en bitcoins à des pirates après une attaque par ransomware SamSam (en)
Matière à réflexions
- Laurent BLOCH combat les mythes techniques. Il apporte sa pierre à l’œuvre collective « Mythes et Légendes des TIC » conduite par gérard PELIKS
- La blockChain : un outil bientôt incontournable ?
Études, enquêtes et référentiels
- Les vulnérabilités liées à l’utilisation professionnelle des smartphones, sujet du « Flash Ingérence » de janvier de la Direction générale de la sécurité intérieure
- « Assurer le risque Cyber-Tome1 » par la Commission CyberRisk du Club des juristes
- La souscription de cyber-assurance enregistre une hausse de 40% sur Europe1
- Face aux cyber-attaques, de plus en plus d’entreprises souscrivent une cyber-assurance
- Cybersécurité en France : l’assurance à défaut d’audace et de confiance ?
- Les cyberattaques auront un impact sur l’émergence d’offres de cybergaranties de la part de fournisseurs de solutions de cybersécurité
- Le risque cyber, le 2ème le plus redouté par les entreprises, un retour sur le baromètre annuel Allianz
Séminaires – Conférences – journées …
21 janvier 2018. Spectre, des bugs dans les correctifs – Dark Caracal, le cyberespionnage à la mode libanaise – Une cyberattaque … une réplique nucléaire ? Le panorama de la cybercriminalité 2017 du CLUSIF …
A(ré)couter – A (re)voir
- La cybersécurité des administrations et des collectivités locales, une interview de Nicolas ARPAGIAN sur Acteurs publics TV, et pour compléter …
- ORLM-282 : Dans les coulisses de l’Ecole 42, une vidéo de « On Refait Le Mac »
- Tous fichés ? Classer les choses, penser les hommes, dans une série documentaires sur France Culture
Informations
- Coopération entre l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Autorité de contrôle prudentiel (ACPR), face aux cyber-menaces sur le secteur financier …
- La Direction générale de la sécurité intérieure recrute …
En management de la sécurité de l’Information
- La protection des données personnelles, priorité absolue des projets bâtis sur l’IoT
- Services web : comment la recherche automatique de vulnérabilités peut introduire des risques
- Notation cybersécurité des entreprises. Cyrating : la Suède, le Royaume-Uni et la France mènent la danse en matière de cybersécurité
- Une nouvelle livraison de « liens de sécurité » du site Wawaseb , la livraison 214
- La lettre Veille Cyber N.164 est en ligne, un retour sur la semaine du 8 au 14 janvier 2018
RGPD / GDPR. Le règlement européen sur la protection des données
- Ouverture d’un « dossier législatif participatif » pour le projet de loi sur le RGPD
- La gouvernance des données pour les nuls (RGPD) une analyse juridique …
Les problématiques des (r)évolutions numériques en cours
- Les données anonymisées n’ont-elles aucune valeur
- États généraux de la bioéthique : que faire des données de santé des patients ?
- Les français et le partage des données de santé, un livre blanc Synaxia Conseil
- La France et le Royaume-Uni soulignent leur attachement à la neutralité du net
- Chrome : le mode incognito sur Androïd a ses limites
- Cryptomonnaies : l’Autorité des Marchés Financiers prépare une liste noire de sites suspects
- Guerre économique : comment les États-Unis font la loi
- Modération : Instagram et Google+ signent le code de conduite de l’UE
- USA : Le Sénat adopte le projet de loi renouvelant le programme de surveillance internet de la NSA, après le vote de la Chambre des représentants
Des nouvelles du CyberFront
- La cybercriminalité a coûté près de 250 millions d’€ aux français en 2017, le Centre de lutte contre les criminalités numérique (C3N) …
- Cybersécurité : activité et instabilité croissantes et sacre du ransomware
- Les cybercasses se succèdent dans le monde du bitcoin
- Dans la galerie des arnaqueurs, les phishers (informatique)
- Particuliers, entreprises : tous touchés par la cybercriminalité, dans le journal La Provence …
- Lettonie : vaste cyberattaque visant la santé publique, un article de Philippe LOUDENOT, FSSI des ministères sociaux …
- L’Europe : le nouvel échiquier de la sécurité numérique
- Sécurité de l’information : pour une coopération plus efficace entre le Vietnam et Google
- Piratage : les États-Unis publient leur liste noire
- Les USA peuvent-ils envoyer une bombe nucléaire pour contrer une cyberattaque dévastatrice
- Soupçons d’ingérence russe : Twitter a fermé 1 000 nouveaux comptes
- Un ado britannique devant la justice pour avoir piraté le compte d’un ex-chef de la CIA
- Dark Caracal : une opération mondiale d’espionnage qui vient du Liban
- Dark Caracal, une vaste opération de cyberespionnage lancée depuis Beyrouth
- Cyberespionnage : « Nous ne portons pas atteinte à la vie privée des libanais », affirme Ibrahim ABBAS, le directeur de la sûreté
- Cyberespionnage : le Liban en serait encore à des balbutiements …
- Les chercheurs ont découvert un groupe para-gouvernemental de piratage depuis 2012 (en)
- La protection contre Spectre titube du fait de bugs dans les correctifs de microcodes d’Intel
- Renforcer la sécurité des systèmes de communication d’urgence
- Application Reporty : la mairie de Nice va demander le retrait des mouchards dans son application, et pour rappel, ci-dessous, …
- Le piratage de cartes bancaires sur le site de OnePlus touche 40 000 clients
- Gare aux fausses applications qui piratent les smartphones
- Apple encore embourbé dans une faille MacOS
- WordPress : des centaines de sites continuent d’employer des plugins intégrant des backdoors
- Malware Triton : une faille Zero-day sur le produit Schneider Electric
- La guerre d’influence : les tendances dangereuses dans un cyber-conflit (en)
- Les chasseurs de bugs gagnent bien leur vie (en)
Matière à réflexions
- « Black Mirror » : nous y sommes déjà et nous l’avons accepté
- La cobotique, analyse du rapport homme-machine dans les industries
- « L’internet quantique chinois combinera fibre optique et satellites », un entretien avec Jian-Wei PAN de l’Université de sciences et technologies de Chine
Études, enquêtes et référentiels
- Vue d’ensemble des organes de certification de l’Union [pdf, en], une étude de l’Agence européenne de sécurité de l’Information et des réseaux (ENISA)
- Deloitte : 63% des incidents de sécurité dans l’entreprise sont liés à une action malintentionnée ou à une erreur d’un collaborateur
- Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) rend public son 3ème baromètre annuel de la cybersécurité, rappel …
- L’entreprise à l’heure de l’intelligence artificielle. Entre promesses et nouveaux défis [pdf]. Dans la revue « Défis » du département intelligence de sécurité économiques de l’INHESJ
- L’évolution de la menace Cyber, Enjeux cyber 2018, une étude du Cabinet Deloitte …
Séminaires – Conférences – journées …
- Le Forum international de la cybersécurité 2018 des 23 et 24 janvier 2018 à Lille …
- Le communiqué de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
- CyberEdu au FIC 2018
- Afterwork : les enjeux de cybersécurité pour les collectivités territoriales, une table ronde organisée par le CyberCercle et le Pôle 4CN à Lille le 23 janvier …
- L’ensemble des entretiens avec des experts en cybersécurité publiés par le site Global Security Mag … une somme d’informations à consulter
- Séminaire de la Sorbonne « Acteurs, pratiques et représentations de la sécurité », le programme du 2ème semestre 2017-2018 …
- Festival du film sécurité d’Enghien les bains, sa 2ème édition le 2 octobre 2018 …
- Panorama de la Cybercriminalité 2018 du CLUSIF : encore une année riche en évènements, le compte-rendu de Global Security Mag de la présentation du 18 janvier
À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com
