CyberStratégie – CyberDéfense – CyberSécurité
Lettre Cyber 169
Alors, quoi de neuf dans l’actualité cyber du 12 au 18 février 2018
… nous en parlions déjà la semaine dernière, mais c’est encore le projet de loi de programmation militaire (LPM) et son volet cybersécurité / cyberdéfense qui a fait couler beaucoup d’encre numérique cette semaine. C’est vrai que le sujet le mérite bien, et il le mérite d’autant plus, qu’il est porté par un dossier institutionnel dont il convient de saluer la qualité. En effet, outre le projet de texte législatif lui-même, de son étude d’impact et du rapport d’opportunité qui l’accompagnent, il faut retenir, c’est une première, la publication d’une revue stratégique de cyberdéfense et de ses recommandations. Un document présenté comme le livre blanc de la cyberdéfense française ; il fait du tout un véritable corpus proposé à l’étude et à l’analyse sur la stratégie de la France en matière de cybersécurité / cyberdéfense, sa structuration progressive, ses objectifs pour les années qui viennent, et ses propositions pour tout de suite.
Aussi, une telle somme d’informations sur le sujet est à garder à portée de consultation, tout particulièrement dans les prochaines semaines avec l’examen de la LPM par le parlement, à partir de la 2ème quinzaine de mars pour un vote définitif à l’été, une étape qui ne manquera pas de susciter le débat, et c’est bien naturel, un débat qui est d’ailleurs lancé.
En effet, et nous l’évoquions dans la Lettre N.168, la mesure portant sur la participation des opérateurs télécoms à l’identification des cyberattaques n’a pas manqué de susciter déjà de nombreux commentaires, comme il fallait s’y attendre.
Un aperçu sommaire de ces commentaires ? Avec cette mesure … les opérateurs pourront fouiller les serveurs de leurs clients, la surveillance sera privatisée, les autorités pourront inspecter n’importe quel serveur, les fournisseurs de service y verront des possibilités de facturer de nouvelles prestations de services, la neutralité du Net sera remise en cause …
Des questions d’importance donc sont posées. Aussi, suivrons-nous avec attention la destinée de cette disposition, entre autres.
La LPM, et son volet cyber, inscrite aux travaux parlementaires à venir, c’est noté. Mais cette semaine, le Parlement a rendu également sa copie sur des textes qui intéressent le management de la sécurité de l’Information.
Un, le Parlement a adopté de nouvelles mesures de cybersécurité à prendre en compte par les Opérateurs de services essentiels (OSE) et autres fournisseurs de services numériques (voir la lettre de veille du 22 janvier 2018).
Deux, l’Assemblée nationale a voté une adaptation de la législation française au règlement européen sur la protection des données personnelles (RGPD). Et, c’est au Sénat de se prononcer désormais, à moins de 100 jours maintenant de l’entrée en vigueur des dispositions européennes.
Vous trouverez donc dans la lettre de veille divers articles et dossiers sur ces sujets, mais vous trouverez aussi, comme à l’habitude, beaucoup plus …
… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont désormais … la CyberStratégie, la Cyberdéfense et la CyberSécurité … sans prétention à l’exhaustivité, bien évidemment.
Une bonne semaine à vous.
Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com.
Je rappelle que la lettre est découpée en séquences sur la semaine avec reprise des rubriques utilisées pour chaque séquence. Sans être sûr d’y parvenir, le but est de classer quelque peu l’information si dense et si fournie qui nous est proposée.
Ce qui a retenu mon attention dans l’actualité de cette semaine
13 février 2018. La France face aux enjeux de cybersécurité – Les malwares mineurs se multiplient …
A(ré)couter – A (re)voir
- La France face aux enjeux de cybersécurité, une interview de Louis GAUTIER, Secrétaire général de la défense et de la sécurité nationale (SGDSN). Voir les commentaires et analyses du projet de LPM 2019-2025 et de son volet cyber dans la rubrique « Les nouvelles du cyberfront »
- CyberSécurité : La France est-elle bien protégée ? dans l’émission « On va plus loin » du 12février 2018 sur la chaîne Public Sénat
- 50 nuances de Net, la chronique de Nathalie CHICHE sur RCJ. Dernier sujet … Marchandisation de nos données personnelles
- Le CNRS invente une monnaie quantique infalsifiable, dans la chronique « Nouveau Monde » de Jérôme COLOMBAIN sur France Info
- Intervention de Pierre NANTERME, PDG D’Accenture au Cercle européen de la sécurité et des systèmes d’information, séquence audio sur … YouTube
Informations
- Le socle interministériel de logiciels libres 2018 est en ligne
- Les logiciels libres dans l’État, « enjeu de sécurité et de souveraineté » pour la Cour des comptes, une analyse du chapitre du rapport de la Cour consacré à la modernisation numérique de l’État
- Axelle LEMAIRE rejoint le bureau parisien de Roland BERGER, Conseil en cyberstratégie. Une interview de l’intéressée
- La ministre de la culture précise les contours de la loi contre les « fake news »
En management de la sécurité de l’Information
- Les habitudes de sécurité que chacun devrait adopter (ou abandonner) cette année
- Réagir en cas de crise : de l’importance d’une gestion documentaire tracée et maîtrisée
- Quand les hackers prennent pour cible les banques : quels moyens, quels dangers pour les utilisateurs ?
- Enquête sur un détournement de site web
- La complexité est l’ennemi de la sécurité
Veille de veille(s)
- La NewsLetter CyberSécurité Semaines 04-05 du Cabinet Adacis
- La veille cyber N.168 est en ligne, un retour sur la semaine du 5 au 11 février …
- #Veille #Cybersécurité (11 fév. 2018) – Swisscom perd 800 000 données et un stagiaire qui vole du code stratégique chez iOS chez Apple, la revue du Décodeur
RGPD / GDPR. Le règlement européen sur la protection des données
- L’Assemblée nationale fixe à 15 ans l’âge minimal pour s’inscrire seul sur un réseau social
- Lignes directrices pour la fixation des amendes administratives dans le cadre du RGPD, un document du G29, le Groupe des autorités européennes de protection des données personnelles (en)
Les problématiques des (r)évolutions numériques en cours
- Mes données sur Internet, ou le consentement prisonnier
- Pourquoi me demande-t-on mon numéro d’immatriculation lorsque je règle mon stationnement ? la réponse de la CNIL … en personne
- Neutralité du Net : Mozilla tente de s’opposer au régulateur des télécoms aux USA
Des nouvelles du CyberFront
- Le projet de loi de programmation militaire et son volet cybersécurité/cyberdéfense …
- Cybersécurité : « L’État doit se comporter comme les meilleurs acteurs du numérique » explique Mounir MAHJOUBI. Le secrétaire d’État détaille les grands axes de la politique de cyberdéfense
- La cyberdéfense au cœur de la loi de programmation militaire 2018
- Bientôt, les autorités pourront inspecter n’importe quel serveur hébergé en France
- Cybersécurité : les opérateurs pourront fouiller dans les serveurs de leurs clients …
- Les opérateurs télécoms, entre cybersécurité et neutralité du Net
- Cyberdéfense : après la privatisation du renseignement, celle de la surveillance
- Saint-Gobain : la cyberattaque NotPetya lui a coûté 80 M€ de résultats
- Cybersécurité. Comment Occismore veut profiter de l’expérience de ses utilisateurs
- La Chine doit rester attentive aux risques financiers numériques
- L’Europe sous le feu des attaques DDoS, une étude de F5 Labs
- Code iOS volé : comment un « stagiaire » a dérobé et diffusé les secrets d’Apple
- Les Jeux Olympiques de Pyeongchang victimes d’une attaque informatique
- Les données de 19.5 millions d’électeurs californiens impactées dans une attaque de type ransomware (en)
- Des pirates ont exploité une vulnérabilité Zero-day dans la messagerie Telegram pour propager un malware multifonction
- Des crypto-mineurs ont détourné 4 275 sites d’organisations publiques (dont des français)
- Sans le savoir, des internautes ont miné des cryptomonnaies sur des site gouvernementaux
- Des entreprises françaises infectées par un trojan minant du bitcoin
- Un script de crypto-mining empoisonne les sites gouvernementaux – que faire ? sur le blog de l’éditeur Sophos (en)
- Le groupe Lazarus réapparaît, ses cibles, les banques internationales et les utilisateurs de bitcoin, analyse sur le site de McAfee (en)
Matière à réflexions
- « C’est un nouvel état privé qui a pouvoir sur nos données », Sami COLL, sociologue des nouveaux médias
- 13 millions de français en difficulté avec le numérique
Études, enquêtes et référentiels
- Cybersécurité des infrastructures énergétiques : regards croisés Europe/États-Unis, une étude de l’IFRI
- Les entreprises cibles de fraude par email en hausse de 17% selon ProofPoint
Séminaires – Conférences – journées …
- Colloque Cybersécurité à Nancy le 22 février avec le CLUSIR EST
- Le Club 27001 organise sa 11ème conférence le 28 mars à l’Espace Saint-Martin
16 février 2018. RGPD : J-99 – Après les Opérateurs d’Importance vitale (OIV) … les opérateurs de Services essentiels (OSE) – Les terminaux, maillon faible de l’internet ouvert …
A(ré)couter – A (re)voir
- La plateforme de réponse à incidents TheHive, avec Saad KADHI, l’un de ses auteurs, au micro de l’équipe de NoLimitSecu cette semaine
- CyberSécurité. CyberCriminalité. La disruption juridique ? sujet du Lundi de l’IE du Medef des Hauts de Seine, le 5 mars prochain, un des sujets de la Lettre de Gérard PELIKS
- Quelle(s) éthique(s) pour demain ? Une intervention de Christiane FERAL-SCHUHL
- Comment sécuriser nos réseaux sociaux ? une vidéo pédagogique avec Damien BANCAL
- Comment protéger les Canadiens contre la cybercriminalité ? sur Radio Canada …
Informations
- Un plan Marshall de l’informatique au lycée dans le rapport Bac 2021
- Le tableau du classement 2018 des écoles d’ingénieurs
- La Société générale ose la reconnaissance biométrique pour ouvrir un compte
En management de la sécurité de l’Information
- Cybersécurité : le Parlement adopte de nouvelles mesures, après les OIV, les OSE … la transposition de la directive européenne NIS
- Sensibiliser et tester les attitudes des employés à la sécurité informatique
- L’humain doit être l’élément central d’une politique de cybersécurité
- Licenciée à cause de ses messages privés sur Facebook
- Prévention du shadow IT : 5 cas d’utilisation d’une solution CASB, « CASB » pour Cloud Access Security Broker …
- Cybersécurité et marketing : pour un dialogue sans risque
- Technique – Ascad, une nouvelle base de données pour les tests et l’étude de l’extraction d’information d’une implémentation cryptographique par l’apprentissage profond, une proposition de l’ANSSI
- Les Avis de sécurité du CERT-FR, le Centre de veille et d’alerte informatique gouvernemental portant publication de multiples vulnérabilités dans les produits microsoft, publié sur Twitter par l’ANSSI avec pour commentaire … » Plus une minute à perdre ! La mise à jour des logiciels et applications corrige les vulnérabilités, souvent très appréciées des attaquant », oh oui ! alors, ci-dessous …
Veille de veille(s)
- CERT-W Retours sur l’actualité de la semaine du 5 au 11 février 2018, le « W », c’est pour WaveStone
RGPD / GDPR. Le règlement européen sur la protection des données
- Ce qu’il faut retenir du projet de loi sur la protection des données personnelles
- J-99 avant GDPR : 5 conseils aux retardataires
- GDPR ne va pas vous tuer. Il vous rendra plus fort [pdf]. Un dossier LeMagIT
- Protection des données personnelles (RGPD), ou barrières protectionnistes à l’entrée des marchés ?
- Retour d’expérience : GDPR / RGPD pour un éditeur SaaS
- Face au RGPD, les grandes villes tranquilles, les petites fébriles
- Le RGPD bien parti pour manquer sa cible : quelles seront ses vraies victimes ?
Les problématiques des (r)évolutions numériques en cours
- La loi contre les fake news est prête
- D’ici à 2022, la cybersécurité devra protéger tous les objets connectés pour mieux protéger ses utilisateurs
- La police chinoise s’équipe de lunettes avec reconnaissance faciale
Des nouvelles du CyberFront
- Alerte aux logiciels malveillants pour créer de la cryptomonnaie
- Attaques spear-phishing et virus de cryptojacking en augmentation dans les entreprises
- Plusieurs sites administratifs anglo-saxons victimes d’un logiciel de « cryptojacking »
- Crypto-mining vs ransomware – une différence que vous devez connaître ! (en)
- Des hackers ont dérobé 14 millions d’euros à des banques russes
- FedEx : des données très sensibles de clients oubliées sur un serveur non sécurisé
- Olympic Destroyer : le malware à l’origine de la cyberattaque à l’ouverture des Jeux Olympiques
- Meltdown & Spectre : 4 questions que vous n’osez peut-être pas poser
- Virus NotPetya : Londres, Washington et leurs proches alliés accusent la Russie, qui dément
- Comment la NSA a utilisé Twitter pour transmettre de mystérieux messages secrets
- Les dirigeants de la CIA, de la NSA et du FBI mettent en garde contre les téléphones Huawei
- Comment la France se prépare à une cyberattaque
- Cybersécurité : le gouvernement à l’offensive
- Cybersécurité en France : urgence absolue
- Aux Pays-Bas, un programme de réinsertion pour jeunes pirates informatiques
- Plusieurs études notariales touchées par une cyber-attaque de type rançongiciel, en Belgique …
- Une nouvelle livraison de « liens de sécurité » du site Wawaseb, la livraison 218
- Les pics de malwares coïncident avec les incidents géopolitiques, une étude du Comodo Threat Research (en)
Matière à réflexions
- Smartphones, tablettes, assistants vocaux : les terminaux, maillon faible de l’internet ouvert, un rapport et des propositions d’action de l’ARCEP
- Les terminaux, maillon faible de l’ouverture d’internet, le rapport … [PDF]
- Les GAFA règnent sur nos smartphones, reprenons le contrôle ! une tribune du Président de l’ARCEP, Sébastien SORIANO
- Un après-midi de débats autour de ce rapport en vidéo
- Une synthèse sous forme de bande dessinée
- Enjeux de la donnée 2018 : entre création de valeur, collaboration et sécurité
- The AI Initiative : conversation avec Nicolas MIAILHE
Études, enquêtes et référentiels
- Revue stratégique de cyberdéfense, le livre blanc de la cyberdéfense, pour compléter l’étude d’impact, le projet de LPM 2019-2025, le rapport annexe …
Séminaires – Conférences – journées …
- RSSI et DPO : des finalités différentes, des objectifs communs, une conférence organisée par le CLUSIF le 19 avril prochain, un appel à communication …
- Cybersécurité : quelles coopération public-privé ? un colloque organisé par le Centre de recherche de l’école des officiers de la Gendarmerie nationale (CREOGN) le 22 mars 2018
18 février 2018. La Russie dans l’élection présidentielle US – La Russie dans l’attaque NotPetya … – Sexe, drogue et … bitcoin
A(ré)couter – A (re)voir
- Les travailleurs de la donnée d’Antonio CASILI sur France culture
Informations
- Les cours d’humanité numérique et scientifique arrivent au lycée …
- Réforme du lycée : je demande que soient enseignées « les humanités numériques » dès le collège, le communiqué de la députée Laure de La Raudière
- Les salaires des professionnels de la cybersécurité connaîtront une nette augmentation cette année, selon une nouvelle étude sur le sujet
- Un nouvel arsenal de protection pour les entreprises « stratégiques »
- L’Assemblée nationale lance une mission d’information sur la blockchain
En management de la sécurité de l’Information
- La cybersécurité et le maillon faible
- Les clients auront tout à gagner de la DSP2, l’authentification forte obligatoire, mais, mais …
- Cyber-sécuriser l’aéronautique
- Réseaux sociaux en entreprise : Que dit la loi ?
- Phishing : l’arnaque passe aussi par la carte SIM !
- Sécurité : les braves ne patchent jamais leurs systèmes …
- Vous ne lisez pas les conditions générales ? Cette IA le fait pour vous
- Licences libres : libérez vos contenus ! libre, open, free … et pas seulement pour l’informatique
- La cybersécurité est l’affaire de tous ! le « DevSecOps », pas sans risque …
- Supervision de sécurité des systèmes d’information : les limites du modèle actuel
- Les cinq meilleures façons de renforcer une architecture de sécurité
- SecNumacadémie, la formation en ligne de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avec attestation finale de réussite pour un suivi intégral
Veille de veille(s)
- [SEcHebdo] 13 février 2018, la veille cyber du Comptoir Sécu en vidéo
RGPD / GDPR. Le règlement européen sur la protection des données
- RGPD et gestion RH : entretien avec Me Cécile MARTIN
- Protection des données : l’Europe complique la vie des entreprises sans garantie pour l’objectif recherché, une opinion sur le projet de loi d’adaptation du RGPD au contexte français. Et, puisque nous évoquons ce texte …
- 10 questions (oui, encore) pour comprendre le nouveau règlement européen sur la protection des données
Les problématiques des (r)évolutions numériques en cours
- Revers pour Facebook devant la justice belge
- Comment les sites exploitent-ils vos données L’École Polytechnique Fédérale de Lausanne (EPFL) lance un assistant virtuel …
- Facebook n’investit pas en France. Facebook investit la France
Des nouvelles du CyberFront
- « Surlignages » de la stratégie cybersécurité française, une analyse de la Revue stratégique de cyberdéfense par Lukasz OLEJNIK, chercheur en cybersécurité … (en)
- La Russie dans l’élection présidentielle américaine …
- La Russie dans la cyberattaque NotPetya … Londres, Washington et leurs proches alliés accusent la Russie, qui dément
- Le Royaume-Uni attribue la paternité du wiper NotPetya à la Russie par voie officielle, une première en Europe
- Passe d’armes entre Londres et le Kremlin sur la cybersécurité
- Londres accuse Moscou d’être à l’origine du ransomware NotPetya
- Cyberattaque mondiale NotPetya : la Russie une nouvelle fois dans le viseur
- Washington menace Moscou de « conséquences internationales »
- 4.8 M€ dérobés par des cyberpirates à une banque russe via Swift
- Des stations-service infiltrées par un pirate informatique
- Des centaines de photos intimes piratées à l’Université de Lausanne
- Plusieurs sites administratifs anglo-saxons victimes d’un logiciel de « cryptojacking », un retour sur le sujet …
- Les systèmes industriels, proies de choix pour le « cryptojacking »
- Create new ransomware : créer son ransomware en 2 clics de souris
- Intel tente de sauver la face avec un programme de Bug Bounty primant jusqu’à 250 000 dollars, afin d’éviter un nouveau Meltdown
- Fuite d’iBoot : ce qui s’est réellement passé avec cette portion de code pour iPhone. Des membres d’une communauté de débridage témoignent
- Une nouvelle livraison de « liens de sécurité » du site Wawaseb, la livraison 219
Matière à réflexions
Études, enquêtes et référentiels
- Les activités illégales payées en cryptomonnaies représentent 72 milliards de dollar par an, selon un chercheur australien, sexe, drogue et … bitcoin
- Deux études de l’ENISA, l’Agence européenne pour la sécurité des réseaux et de l’Information
- Le coût des cyber-activités malveillantes pour l’économie américaine, un rapport du Conseil économique de la Maison Blanche (en)
Séminaires – Conférences – journées …
- Journée CyberEdu le 22 mars 2018 à l’IUT de Colmar
- Le secteur de la santé représenté lors de la première édition des Scadays, c’était le 8 février dernier, à Lyon, organisé par le CyberCercle.
À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com
[…] son avis sur le volet cyber du projet de loi de programmation militaire que nous évoquions dans la Lettre de Cyber-veille N.169. C’est un avis plutôt sous la forme d’interrogations qui rejoignent les analyses faites par […]
J’aimeJ’aime