SSI ORG – Cybersécurité – la formation devient critique

zdnet.fr

Cybersécurité : pourquoi la formation devient critique

Corentin Durand | lundi 18 mars 2019
6-8 minutes

« Sécurité : La demande en personnels qualifiés en cybersécurité ne cesse de croître dans le privé. Mais la France est loin de disposer des compétences pour répondre à cet emballement. Pour répondre à la demande, les pouvoirs publics misent sur une solution : la formation.

Auprès de l’Usine Nouvelle, Guillaume Poupard, directeur général de l’ANSSI, observait lors du Forum International de la Cybersécurité (FIC) : « la formation en cybersécurité s’est structurée et se développe, et le nombre de personnes formées est en croissance, mais les besoins, en particulier dans le secteur privé, augmentent bien plus vite que l’offre ».

Les labels à la rescousse

Le gouvernement, souhaitant accompagner la résilience des entreprises, a pris en charge cette problématique avec la mise en place de politiques publiques tournées vers les professionnels et les étudiants. L’Agence nationale de la sécurité des systèmes d’information (ANSSI), bras droit de cette politique grâce au Centre de Formation à la Sécurité des Systèmes d’Information (CFSSI) mène un effort considérable pour faciliter la transmission de compétences. À commencer par son pré carré, les agents de la fonction publique : « Le CFSSI intervient dans la mise en œuvre de la politique de formation à la sécurité des systèmes d’information. Il propose des formations dispensées par des experts de l’ANSSI au profit du personnel de l’État sous la forme de stages de courte durée et d’un cycle long permettant d’obtenir le titre d’expert en sécurité des systèmes d’information (ESSI) » explique Pascal Chour, responsable du CFSSI. Au total, ce dispositif permet de former 1800 personnes par an.

Les pouvoirs publics ont multiplié les initiatives pour toucher une diversité de profils. L’enseignement supérieur a été le premier choyé pour mettre en place des formations niveau master pour habiliter des étudiants à devenir des RSSI, comme à l’Université de Lorraine. La faculté propose ainsi un parcours Sécurité des Systèmes d’Information (SSI) dans son master informatique : « L’orientation SSI est très orientée vers le monde professionnel et s’appuie en particulier sur un réseau d’intervenants issus des entreprises spécialisées de la grande région » précise la documentation universitaire. Ces cursus sont labellisés par le label SecNumEdu, lié au CFSSI, et seraient « un peu plus d’une soixantaine » si l’on compte celles en cours de labellisation estime Pascal Chour.  »

https://www.zdnet.fr/amp/actualites/cybersecurite-pourquoi-la-formation-devient-critique-39881437.htm

RGPD – SSI PDT – iPhone ; historique de géolocalisation

zdnet.fr

Pratique : comment empêcher votre iPhone de vous suivre à la trace

Adrian Kingsley-Hughes

mardi 12 mars 2019
4 minutes

« Pratique : Saviez-vous que votre iPhone conserve un historique détaillé des lieux que vous visitez régulièrement ? Si vous souhaitez vous en prémunir, c’est toutefois possible. Mode d’emploi.

Une fonction intégrée à l’iOS, le système d’exploitation des produits estampillés Apple, permet de suivre en permanence vos déplacements et de stocker un historique détaillé des lieux que vous visitez régulièrement sur votre iPhone.

Cette fonction, appelée Significant Locations, est décrite par Apple comme suit : « Permet à votre iPhone d’apprendre les endroits importants pour vous

Celles-ci se trouvent stockées dans Paramètres > Confidentialité > Services de localisation > Système > Emplacements importants (ou Important Locations).

Pour supprimer les données déjà collectées, vous avez deux options :

Supprimez sélectivement les données en allant dans chaque entrée, en appuyant sur Modifier dans le coin supérieur droit de l’écran et en supprimant les entrées une à la fois.
Effectuez une suppression en bloc des données qui défilent vers le bas de la liste sur la page Emplacements importants et effleurez Effacer l’historique.

Vous pouvez également désactiver complètement cette fonction en basculant l’interrupteur dans la page Emplacements importants de la section Paramètres. Cela empêche la collecte de nouvelles données, mais il est important de noter qu’il ne supprime pas les données déjà recueillies et stockées. »

Article « How to stop your iPhone from tracking and storing the locations of where you live, work, and visit » traduit et adapté par ZDnet.fr »

https://www.zdnet.fr/amp/actualites/pratique-comment-empecher-votre-iphone-de-vous-suivre-a-la-trace-39881887.htm

SSI GOV – Pourquoi le cyber-risque est stratégique

Le milliardaire Jeff Cazanova (87 ans), dénumerisé, en « blocage lévitationnel » au dessus de Central Park
BUG tome 1 – Enki Bilal

HBR

Pourquoi le cyber-risque est devenu un incontournable de votre stratégie d’entreprise

par Laurence Duarte

8-11 minutes

« Longtemps confié aux directions informatiques, le risque cyber est devenu un enjeu stratégique.

En 2019, le Forum Economique Mondial a reconnu la cybercriminalité comme un risque majeur, au même titre que les catastrophes naturelles et les effets du changement climatique. »

« En 2017, 67 % des entreprises au niveau mondial ont fait l’objet d’au moins une attaque. En France, elles étaient 8 entreprises sur 10 en 2018.

Ces entreprises ont à chaque fois subi des pertes financières, que ce soit en raison d’un vol pur et simple, d’une interruption forcée de leur activité, d’une atteinte à leur réputation, du paiement de pénalités aux clients, ou de condamnations légales. L’enseigne d’optique Optical Center et la plateforme Dailymotion ont ainsi respectivement été sanctionnées par la CNIL à 250 000 et 50 000 euros d’amende pour avoir insuffisamment sécurisé les données de leurs clients et de leurs usagers. »

« Du fait de l’impact potentiel sur la réputation et le cœur d’activité de l’entreprise, le risque cyber ne peut plus être perçu comme un risque technique uniquement traité par la direction informatique. C’est devenu un risque stratégique majeur, qui doit être piloté au niveau de la direction des entreprises. Aujourd’hui, que ce soit pour appliquer les réglementations telles que le RGDP ou la directive européenne Network and information security (NIS), ou pour répondre aux pressions financières et sociétales, les entreprises doivent protéger les données qu’elles détiennent et, pour cela, mettre en place des dispositifs de cybersécurité efficaces : chiffrement, étanchéité des réseaux, authentification etc. »

https://www.hbrfrance.fr/chroniques-experts/2019/02/24453-integrer-le-cyber-risque-au-coeur-de-la-strategie-dentreprise/

RGPD – European Data Protection Board – Interplay ePrivacy Directive and GDPR

European Data Protection Board – Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections – European Data Protection Board – European Data Protection Board

https://edpb.europa.eu/news/news/2019/european-data-protection-board-eighth-plenary-session-interplay-eprivacy-directive_en

SSI PDT – Malware SimBad dans Google Play Store

« Une étude menée par des chercheurs en cybersécurité a repéré un nouveau malware présent dans des centaines d’applications téléchargées pour certaines des millions de fois sur le Play Store.

Le Play Store a été victime à de nombreuses reprises de failles de sécurité. La validation des applications a régulièrement échoué à détecter la présence de virus cachés dans des logiciels parfois très populaires et téléchargés massivement. »

https://www.clubic.com/amp/851840-simbad-malware-telecharge-150-google-play-store.html

SSI IoT – Hacking Satellites Is Surprisingly Simple

« Satellites are physically quite secure orbiting the Earth, but the advent of cheaper high-power antennas makes them vulnerable in other ways. Engineers have only recently started taking cybersecurity seriously in satellite design, and as PCMag reports, that means hacking a satellite might not be as difficult as you think. Bill Malik, VP of Infrastructure Strategies at Trend Micro, calls the range of vulnerabilities exposed on satellites “astonishing.”

For a lot of the satellites orbiting over our heads, the designers never envisioned people on the ground would attempt to hijack the signal. With limited memory and processing capacity, many satellites don’t even use data encryption. For example, the Voyager 1 probe would have to crunch bits for six days just to set up an SSL link. This is something engineers have to keep in mind as low-power devices like CubeSats become more common.

Malik showed the audience at the recent RSA conference several known attacks on NASA systems, some of which focused on satellites. For example, an attacker could access the systems on the Hubble Telescope and open its camera hatch while pointed at the sun, destroying the sensitive optics. They could also use the solar panels to blow out the batteries. Many satellites are also vulnerable to jamming attacks that could disrupt important commands from ground control.

There are more satellites in orbit than ever before, and that means more objects vulnerable to hacking. In the coming years, we might rely on systems like the SpaceX’s Starlink for internet access and other vital functions. Malik stresses the need for satellite design to incorporate security at the most basic levels, but there are some changes operators can make in the short term as well. »

https://www.extremetech.com/extreme/287284-hacking-satellites-is-probably-easier-than-you-think

RGPD – RSA Conference – Schneier « Don’t expect Uncle Sam to guard your web privacy »

« Don’t expect Uncle Sam to guard your web privacy – it’s Europe riding to the rescue »

« The EU is the regulatory superpower on the planet, » Schneier told The Register. « We won’t be regulating surveillance capitalism in the US, it’s too profitable. If you want that done, then look to the EU. »

« The infosec expert suggested there was a need for public-interest technologists: people who know a thing or six about technology who can work with policy makers, independently on behalf of netizens, to inform legislators’ decisions without big corporations sticking their oars and checkbooks in. »

« Everything we do has a moral dimension, and we need to accept and engage with it, » he said. « It’s hard in security because every tool we build has a dual use and can do bad things in the wrong hands. We aren’t responsible for every single use, but we are responsible for the world we create with our technologies. »

https://www.theregister.co.uk/AMP/2019/03/07/policy_technology_schneier/