REC – Les députés adoptent le Règlement Européen sur la Cybersécurité

©AP images/PE-UE

europarl.europa.eu

Les députés adoptent le règlement européen sur la cybersécurité | Actualité | Parlement européen
4-5 minutes

« Le PE a adopté le dispositif de certification en matière de sécurité pour les produits, processus et services, tout en exprimant son inquiétude face à la menace technologique chinoise.

Mardi, les députés ont adopté le règlement européen sur la cybersécurité par 586 voix pour, 44 contre et 36 abstentions. Ce texte crée le premier dispositif européen de certification en matière de cybersécurité afin de garantir que les produits, les processus et les services vendus dans les pays de l’UE soient conformes aux normes de cybersécurité.

Le Parlement a également adopté une résolution appelant à une action au niveau de l’UE concernant les menaces en termes de sécurité liées à la présence technologique croissante de la Chine dans l’UE.

Les députés ont exprimé leur vive inquiétude face aux récentes allégations selon lesquelles des équipements 5G pourraient avoir intégré des portes dérobées permettant aux autorités et aux fabricants chinois d’accéder sans autorisation aux données et aux télécommunications à caractère personnel dans l’UE.

La législation chinoise en matière de sécurité présente une menace pour l’UE

Les députés craignent également que les fournisseurs d’équipements de pays tiers ne présentent un risque pour la sécurité de l’UE en raison des lois de leur pays d’origine qui obligent toutes les entreprises à coopérer avec l’État pour protéger une définition très large de la sécurité nationale, même en dehors de leur propre pays. Les lois chinoises sur la sécurité de l’État ont en particulier déclenché des réactions dans divers pays, allant d’évaluations de sécurité à des interdictions catégoriques.

Les députés demandent à la Commission et aux États membres de fournir des orientations sur la manière de lutter contre les cybermenaces et les vulnérabilités lors de l’acquisition d’équipements 5G, par exemple en diversifiant les équipements auprès de différents fournisseurs, en introduisant des processus d’acquisition en plusieurs phases et en mettant en place une stratégie pour réduire la dépendance de l’Europe vis-à-vis des technologies étrangères de cybersécurité.

Ils exhortent également la Commission à charger l’Agence de l’UE pour la cybersécurité, l’ENISA, d’élaborer un système de certification garantissant que le déploiement de la 5G dans l’UE respecte les normes de sécurité les plus strictes.

Permettre la certification des dispositifs connectés

Le règlement européen sur la cybersécurité, qui a déjà fait l’objet d’un accord informel avec les États membres, souligne l’importance de la certification des infrastructures critiques, notamment les réseaux énergétiques, l’eau, l’approvisionnement en énergie et les systèmes bancaires, en plus des produits, processus et services.

Le règlement européen sur la cybersécurité prévoit également un mandat permanent et davantage de ressources pour l’Agence européenne de cybersécurité, l’ENISA.

Citation

Après le vote, la rapporteure Angelika Niebler (PPE, DE) a déclaré: ‘‘Ce succès permettra à l’UE de faire face aux risques de sécurité dans le monde numérique pour les années à venir. Cette législation est une pierre angulaire pour que l’Europe devienne un acteur mondial en matière de cybersécurité. Les consommateurs ainsi que l’industrie doivent pouvoir faire confiance aux solutions informatiques.’’

Prochaines étapes

Le Conseil doit désormais approuver formellement le règlement, qui entrera en vigueur 20 jours après sa publication.

La résolution sur la présence informatique chinoise dans l’UE sera transmise à la Commission et aux États membres. »

http://www.europarl.europa.eu/news/fr/press-room/20190307IPR30694/les-deputes-adoptent-le-reglement-europeen-sur-la-cybersecurite

SSI ORG – Cybersécurité – la formation devient critique

zdnet.fr

Cybersécurité : pourquoi la formation devient critique

Corentin Durand | lundi 18 mars 2019
6-8 minutes

« Sécurité : La demande en personnels qualifiés en cybersécurité ne cesse de croître dans le privé. Mais la France est loin de disposer des compétences pour répondre à cet emballement. Pour répondre à la demande, les pouvoirs publics misent sur une solution : la formation.

Auprès de l’Usine Nouvelle, Guillaume Poupard, directeur général de l’ANSSI, observait lors du Forum International de la Cybersécurité (FIC) : « la formation en cybersécurité s’est structurée et se développe, et le nombre de personnes formées est en croissance, mais les besoins, en particulier dans le secteur privé, augmentent bien plus vite que l’offre ».

Les labels à la rescousse

Le gouvernement, souhaitant accompagner la résilience des entreprises, a pris en charge cette problématique avec la mise en place de politiques publiques tournées vers les professionnels et les étudiants. L’Agence nationale de la sécurité des systèmes d’information (ANSSI), bras droit de cette politique grâce au Centre de Formation à la Sécurité des Systèmes d’Information (CFSSI) mène un effort considérable pour faciliter la transmission de compétences. À commencer par son pré carré, les agents de la fonction publique : « Le CFSSI intervient dans la mise en œuvre de la politique de formation à la sécurité des systèmes d’information. Il propose des formations dispensées par des experts de l’ANSSI au profit du personnel de l’État sous la forme de stages de courte durée et d’un cycle long permettant d’obtenir le titre d’expert en sécurité des systèmes d’information (ESSI) » explique Pascal Chour, responsable du CFSSI. Au total, ce dispositif permet de former 1800 personnes par an.

Les pouvoirs publics ont multiplié les initiatives pour toucher une diversité de profils. L’enseignement supérieur a été le premier choyé pour mettre en place des formations niveau master pour habiliter des étudiants à devenir des RSSI, comme à l’Université de Lorraine. La faculté propose ainsi un parcours Sécurité des Systèmes d’Information (SSI) dans son master informatique : « L’orientation SSI est très orientée vers le monde professionnel et s’appuie en particulier sur un réseau d’intervenants issus des entreprises spécialisées de la grande région » précise la documentation universitaire. Ces cursus sont labellisés par le label SecNumEdu, lié au CFSSI, et seraient « un peu plus d’une soixantaine » si l’on compte celles en cours de labellisation estime Pascal Chour.  »

https://www.zdnet.fr/amp/actualites/cybersecurite-pourquoi-la-formation-devient-critique-39881437.htm

RGPD – SSI PDT – iPhone ; historique de géolocalisation

zdnet.fr

Pratique : comment empêcher votre iPhone de vous suivre à la trace

Adrian Kingsley-Hughes

mardi 12 mars 2019
4 minutes

« Pratique : Saviez-vous que votre iPhone conserve un historique détaillé des lieux que vous visitez régulièrement ? Si vous souhaitez vous en prémunir, c’est toutefois possible. Mode d’emploi.

Une fonction intégrée à l’iOS, le système d’exploitation des produits estampillés Apple, permet de suivre en permanence vos déplacements et de stocker un historique détaillé des lieux que vous visitez régulièrement sur votre iPhone.

Cette fonction, appelée Significant Locations, est décrite par Apple comme suit : « Permet à votre iPhone d’apprendre les endroits importants pour vous

Celles-ci se trouvent stockées dans Paramètres > Confidentialité > Services de localisation > Système > Emplacements importants (ou Important Locations).

Pour supprimer les données déjà collectées, vous avez deux options :

Supprimez sélectivement les données en allant dans chaque entrée, en appuyant sur Modifier dans le coin supérieur droit de l’écran et en supprimant les entrées une à la fois.
Effectuez une suppression en bloc des données qui défilent vers le bas de la liste sur la page Emplacements importants et effleurez Effacer l’historique.

Vous pouvez également désactiver complètement cette fonction en basculant l’interrupteur dans la page Emplacements importants de la section Paramètres. Cela empêche la collecte de nouvelles données, mais il est important de noter qu’il ne supprime pas les données déjà recueillies et stockées. »

Article « How to stop your iPhone from tracking and storing the locations of where you live, work, and visit » traduit et adapté par ZDnet.fr »

https://www.zdnet.fr/amp/actualites/pratique-comment-empecher-votre-iphone-de-vous-suivre-a-la-trace-39881887.htm

SSI GOV – Pourquoi le cyber-risque est stratégique

Le milliardaire Jeff Cazanova (87 ans), dénumerisé, en « blocage lévitationnel » au dessus de Central Park
BUG tome 1 – Enki Bilal

HBR

Pourquoi le cyber-risque est devenu un incontournable de votre stratégie d’entreprise

par Laurence Duarte

8-11 minutes

« Longtemps confié aux directions informatiques, le risque cyber est devenu un enjeu stratégique.

En 2019, le Forum Economique Mondial a reconnu la cybercriminalité comme un risque majeur, au même titre que les catastrophes naturelles et les effets du changement climatique. »

« En 2017, 67 % des entreprises au niveau mondial ont fait l’objet d’au moins une attaque. En France, elles étaient 8 entreprises sur 10 en 2018.

Ces entreprises ont à chaque fois subi des pertes financières, que ce soit en raison d’un vol pur et simple, d’une interruption forcée de leur activité, d’une atteinte à leur réputation, du paiement de pénalités aux clients, ou de condamnations légales. L’enseigne d’optique Optical Center et la plateforme Dailymotion ont ainsi respectivement été sanctionnées par la CNIL à 250 000 et 50 000 euros d’amende pour avoir insuffisamment sécurisé les données de leurs clients et de leurs usagers. »

« Du fait de l’impact potentiel sur la réputation et le cœur d’activité de l’entreprise, le risque cyber ne peut plus être perçu comme un risque technique uniquement traité par la direction informatique. C’est devenu un risque stratégique majeur, qui doit être piloté au niveau de la direction des entreprises. Aujourd’hui, que ce soit pour appliquer les réglementations telles que le RGDP ou la directive européenne Network and information security (NIS), ou pour répondre aux pressions financières et sociétales, les entreprises doivent protéger les données qu’elles détiennent et, pour cela, mettre en place des dispositifs de cybersécurité efficaces : chiffrement, étanchéité des réseaux, authentification etc. »

https://www.hbrfrance.fr/chroniques-experts/2019/02/24453-integrer-le-cyber-risque-au-coeur-de-la-strategie-dentreprise/

RGPD – European Data Protection Board – Interplay ePrivacy Directive and GDPR

European Data Protection Board – Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections – European Data Protection Board – European Data Protection Board

https://edpb.europa.eu/news/news/2019/european-data-protection-board-eighth-plenary-session-interplay-eprivacy-directive_en

SSI PDT – Malware SimBad dans Google Play Store

« Une étude menée par des chercheurs en cybersécurité a repéré un nouveau malware présent dans des centaines d’applications téléchargées pour certaines des millions de fois sur le Play Store.

Le Play Store a été victime à de nombreuses reprises de failles de sécurité. La validation des applications a régulièrement échoué à détecter la présence de virus cachés dans des logiciels parfois très populaires et téléchargés massivement. »

https://www.clubic.com/amp/851840-simbad-malware-telecharge-150-google-play-store.html

SSI IoT – Hacking Satellites Is Surprisingly Simple

« Satellites are physically quite secure orbiting the Earth, but the advent of cheaper high-power antennas makes them vulnerable in other ways. Engineers have only recently started taking cybersecurity seriously in satellite design, and as PCMag reports, that means hacking a satellite might not be as difficult as you think. Bill Malik, VP of Infrastructure Strategies at Trend Micro, calls the range of vulnerabilities exposed on satellites “astonishing.”

For a lot of the satellites orbiting over our heads, the designers never envisioned people on the ground would attempt to hijack the signal. With limited memory and processing capacity, many satellites don’t even use data encryption. For example, the Voyager 1 probe would have to crunch bits for six days just to set up an SSL link. This is something engineers have to keep in mind as low-power devices like CubeSats become more common.

Malik showed the audience at the recent RSA conference several known attacks on NASA systems, some of which focused on satellites. For example, an attacker could access the systems on the Hubble Telescope and open its camera hatch while pointed at the sun, destroying the sensitive optics. They could also use the solar panels to blow out the batteries. Many satellites are also vulnerable to jamming attacks that could disrupt important commands from ground control.

There are more satellites in orbit than ever before, and that means more objects vulnerable to hacking. In the coming years, we might rely on systems like the SpaceX’s Starlink for internet access and other vital functions. Malik stresses the need for satellite design to incorporate security at the most basic levels, but there are some changes operators can make in the short term as well. »

https://www.extremetech.com/extreme/287284-hacking-satellites-is-probably-easier-than-you-think