Suivez nous sur Twitter

/// Blog

07 mai / 2013
Author: 6ix IT Tags: , , Comments: 0

Bookmark and Share

Le projet crowdsec est désormais lancé en version beta. Seules quelques fonctionnalités sont aujourd’hui ouvertes pour la phase de lancement. Celles-ci seront rapidement débloquées au fur et à mesure de l’avancée de développement du projet.

 

Bug bounty programmes les plus connus (avec récompenses)

  • Facebook – http://www.facebook.com/whitehat/bounty/
  • Etsy – http://www.etsy.com/help/article/2463
  • Google – http://www.google.com/about/company/rewardprogram.html
  • Paypal – https://www.paypal.com/us/webapps/mpp/security/reporting-security-issues
  • Mozilla – http://www.mozilla.org/security/bug-bounty.html
  • Piwik – http://piwik.org/security/
  • Barracuda – http://www.barracudalabs.com/bugbounty/
  • Yandex – http://company.yandex.com/security/index.xml
  • Gallery – http://codex.gallery2.org/Bounties
  • Qmail – http://cr.yp.to/djbdns/guarantee.html
  • AT&T – http://developer.att.com/developer/apiDetailPage.jsp?passedItemId=10700235 – (We’ve been told that to submit you need to sign up to the Developer API Program which costs 99 USD…)
  • Tarsnap – https://www.tarsnap.com/bugbounty.html
  • Samsung – https://samsungtvbounty.com/
  • Access – https://www.accessnow.org/prize
  • Avast! – http://blog.avast.com/2013/01/25/introducing-avast-bug-bounty/
  • Hex-Rays – http://www.hex-rays.com/bugbounty.shtml
  • Kaneva – http://docs.kaneva.com/mediawiki/index.php/Bug_Bounty
  • Mega.co.nz – http://thenextweb.com/insider/2013/02/01/kim-dotcom-puts-up-13500-bounty-for-first-person-to-break-megas-security-system/
  • Cryptocat – https://crypto.cat/bughunt/
  • Meraki – http://www.meraki.com/trust/#srp
  • Groupon – http://www.groupon.com/api (See bottom of right hand sidebar)

 

Entreprise de Sécurité (récompense à la clé)

 

  1. HP Zero-Day Initiative (ZDI) – http://www.zerodayinitiative.com/about/benefits/
  2. Packet Storm – http://packetstormsecurity.com/bugbounty
  3. COSINC – http://www.coseinc.com/en/index.php?rt=advisory
  4. Beyond Security – http://www.beyondsecurity.com/ssd.html
  5. Exodus Intelligence – https://www.exodusintel.com/eip/
  6. iDefense – https://www.verisigninc.com/en_US/products-and-services/network-intelligence-availability/idefense/vulnerability-intelligence/index.xhtml
  7. White Fir Design – https://www.whitefirdesign.com/about/wordpress-security-bug-bounty-program.html
  8. Secunia – http://secunia.com/community/research/svcrp
  9. ExploitHub – https://www.exploithub.com/request/index/developmentrequests/
  10. Insight Partners – https://gvp.isightpartners.com/program_details.gvp?page=3&title=1&section=0
  11. Netragard – http://pentest.snosoft.com/netragards-eap/

Hall of fame (avec une petite récompense)

 

  1. Github – https://help.github.com/articles/responsible-disclosure-of-security-vulnerabilities (Reward: T-shirt and stickers)
  2. Engineyard – https://www.engineyard.com/legal/responsible-disclosure-policy (Reward: T-shirt)
  3. ifixit – http://www.ifixit.com/Info/Responsible_Disclosure (Reward: T-shirt)
  4. Dropbox – https://www.dropbox.com/special_thanks (Reward: T-shirt)
  5. Soundcloud – http://help.soundcloud.com/customer/portal/articles/439715-responsible-disclosure (Reward: T-shirt)
  6. Amazon – http://aws.amazon.com/security/vulnerability-reporting (Reward: T-shirt)
  7. Yahoo – http://security.yahoo.com (Reward: T-shirt)

Hall of fame

 

  • Twitter – https://twitter.com/about/security
  • Apple – http://support.apple.com/kb/HT1318
  • Microsoft – http://technet.microsoft.com/en-us/security/cc308589
  • RedHat – https://access.redhat.com/knowledge/articles/66234
  • Tuenti – http://corporate.tuenti.com/en/dev/hall-of-fame
  • Twilio – https://www.twilio.com/docs/security/disclosure
  • Zynga – http://company.zynga.com/security/whitehats
  • Mahara – https://wiki.mahara.org/index.php/Contributors#Security_Researchers
  • Acquia – https://www.acquia.com/how-report-security-issue
  • lastpass – https://lastpass.com/support_security.php
  • Owncloud – http://owncloud.org/about/security/hall-of-fame/
  • Nokia Siemens Networks – http://www.nokiasiemensnetworks.com/about-us/responsible-disclosure
  • Harmony – http://get.harmonyapp.com/security/
  • Nokia – http://www.nokia.com/global/security/acknowledgements/
  • eBay – http://pages.ebay.com/securitycenter/ResearchersAcknowledgement.html
  • EVE – http://community.eveonline.com/devblog.asp?a=blog&nbid=2384
  • EngineYard – https://www.engineyard.com/legal/responsible-disclosure-policy
  • Netflix – http://support.netflix.com/en/node/6657#gsc.tab=0
  • Blackberry – http://us.blackberry.com/business/topics/security/incident-response-team/collaborations.html
  • Risk.io – https://www.risk.io/security
  • ActiveProspect – http://activeprospect.com/activeprospect-security/
  • Future Of Enforcement – http://futureofenforcement.com/?page_id=695
  • Zendesk – http://www.zendesk.com/company/responsible-disclosure-policy
  • WizeHive – http://www.wizehive.com/special_thanks.html
  • Xmarks – https://buy.xmarks.com/security.php
  • Gitlab – http://blog.gitlab.com/responsible-disclosure-policy/
  • Opera – https://bugs.opera.com/wizarddesktop/

Hall of fame (sans aucune récompense)

 

  • Adobe – http://www.adobe.com/support/security/alertus.html
  • Reddit – http://code.reddit.com/wiki/help/whitehat
  • Contant Contact – http://www.constantcontact.com/about-constant-contact/security/report-vulnerability.jsp
  • 37signals – https://37signals.com/security-response
  • Atlassian – https://confluence.atlassian.com/display/SUPPORT/How+to+Report+a+Security+Issue
  • Tuenti – http://corporate.tuenti.com/en/dev/hall-of-fame
  • Owncloud – http://owncloud.org/security/hall-of-fame/
  • Acquia – https://www.acquia.com/how-report-security-issue
  • IBM – http://www-03.ibm.com/security/secure-engineering/report.html
  • Symantec – http://www.symantec.com/security/
  • Salesforce -http://www.salesforce.com/company/privacy/security.jsp#vulnerability
  • Cloudnetz – http://cloudnetz.com/Legal/vulnerability-testing-policy.html
  • Puppet Labs – http://puppetlabs.com/blog/responsible-disclosure-of-security-vulnerabilities
  • Oracle – http://:oracle.com/technetwork/topics/security/securityfixlifecycle-086982.html
  • VSR – http://www.vsecurity.com/company/disclosure
  • Lookout – https://www.lookout.com/responsible-disclosure
  • HTC – http://www.htc.com/us/terms/product-security/
  • Scorpion Software – http://www.scorpionsoft.com/company/disclosurepolicy/
  • Chargify – https://chargify.com/security/

 

Source: Bugcrowd

28 jan / 2013
Author: 6ix IT Tags: , , , , , Comments: 6

Bookmark and Share

Ce jeudi 21 février 2013, un petit déjeuner juridique est organisé par le Syntec et le cabinet Fidal Innovation.

 

Objectif: Présenter les enjeux de demain avec l’arrivée des nouveaux audits de données personnelles mis en place par Bruxelles.

Le numérique est en développement permanent et se trouve au cœur de nombre de secteurs d’activités. Cet essor des Technologies de l’Information et de la Communication entraîne un accroissement des traitements de données personnelles et des flux de circulation de ces données. Parallèlement, le cadre juridique applicable aux données personnelles s’est considérablement renforcé et complexifié.

Comment agir efficacement pour gérer les traitements de données tout en se conformant à la législation applicable ?

Rappel du cadre juridique de la loi informatique et libertés

  • Les données à caractère personnel
  • Le traitement de données à caractère personnel
  • Les formalités CNIL (déclarations, autorisations, interdictions,dispenses)
  • Le CIL
  • Les pouvoirs de la CNIL

Réalisation de l’audit CNIL

  • Dans quelles situations réaliser un audit de données personnelles
  • Finalité de l’audit
  • Déroulement de l’audit

Après l’audit

  • Mise en conformité des traitements de l’entreprise
  • Mise en place d’une politique de gestion des données dans l’entreprise
  • Optimisation des traitements de données pour une meilleure performance de l’entreprise.

 

Jeudi 21 février 2013

De 9h30 à 12h00

Accueil café à partir de 9h00 Syntec Numérique (Salle Présidence)

3 rue Léon Bonnat, 75016 PARIS

Matinée animée par Me Alexandre Nappey (Avocat ) et Me Alain Kaiser (Associé Fidal Innovation)

 

Télécharger l’invitation audit données personnelles FIDAL

20 jan / 2013
Author: 6ix IT Tags: , , , , Comments: 6

Bookmark and Share

Le rapport d’expertise sur la fiscalité de l’économie numérique

La mission d’expertise sur la fiscalité de l’économie numérique rédigée par Pierre COLLIN, conseiller d’état & Nicolas COLIN, Inspecteur des finances a été enfin émis par le Gouvernement. Ce rapport de près de 200 pages propose une taxe nationale (encore une) sur le modèle de la taxe carbone. Cette taxe que l’on pourrait nommée la « taxe des bases de donnée » met en avant plusieurs points commun à toutes les entreprises de l’économie numérique:

  • les données personnelles sont la ressource essentielle de l’économie numérique
  • la collecte des données révèle du phénomène du « travail gratuit »

Il est précisé que les grandes entreprises ont « un  faible niveau d’imposition de leurs bénéfices ».C’est ce qui motive le gouvernement à mettre en place une telle taxe. Ce rapport concerne malheureusement toutes les entreprises gérant des données personnelles.

Pour aller plus loin, observons le détail de ce rapport.

 Proposition principale de la taxe « base de donnée »

La proposition principale a évidemment un but économique et elle est la suivante:

Recouvrer le pouvoir d’imposer les bénéfices qui sont réalisés sur le territoire par les entreprises de l’économie numérique

Le paragraphe tiré de la synthèse dudit rapport et résumant le mieux ce document est présenté ci-dessous:

La proposition de la mission ne consiste pas à imposer la collecte de données en tant que telle. Elle vise à créer une fiscalité incitant les entreprises à adopter[...] des pratiques conformes à quatre objectifs :

  • renforcer la protection des libertés individuelles ;
  • favoriser l’innovation sur le marché de la confiance numérique ;
  • encourager l’émergence de nouveaux services au bénéfice des utilisateurs ;
  • générer des gains de productivité et de la croissance

Il s’agit d’instituer [...] un principe similaire à celui du « pollueur-payeur (comprendre taxe carbone) » qui sous‐tend la fiscalité environnementale. Sans exonérer d’aucune manière les entreprises de l’obligation de respecter les droits fondamentaux relatifs à la protection des données personnelles, ce principe « prédateur-payeur » conduirait à taxer celles qui s’en tiennent à une application formelle du droit en vigueur et exercent en réalité une forme de captation exclusive des données qu’elles collectent.

La troisième partie du document concerne la mise en place d’un environnement fiscale favorable à l’émergence d’entreprises nouvelles. Il s’agirait de mettre en place :

  • Une R&D adaptée au numérique
  • Une simplification du statut de JEI (jeune entreprise innovante) & du CIR (Crédit d’impot recherche).
  • Une incitation au développement du financement de l’économie numérique par le marché.

Ce rapport permettra au ministre ayant commandé le rapport de, peut-être, mettre en place une taxe sur les données personnelles. Cette proposition de loi ne verrait pas le jour avant le premier trimestre 2014. Si elle était votée,  elle devrait  en tout cas faire trembler l’Internet français… Cette année 2013 s’annonce pleine de rebondissement sur la thématique des données personnelles. Ce rapport sur  la fiscalité de l’économie est disponible et il est vivement conseillé d’en prendre connaissance. .

28 déc / 2012
Author: 6ix IT Tags: , , , Comments: 0

Bookmark and Share

Vous trouverez une liste tenue à jour des bug bounty program.

N’hésitez pas à nous contacter pour y figurer. Si vous voulez mettre en place votre propre service de bug bounty, rendez vous sur Crowdsec pour l’externalisation de la sécurité de vos applications.

 

 

Pour ce qui est la recherche de vulnérabilités « logicielles », les 0days, ils existent également les programmes suivants:

 

27 déc / 2012
Author: 6ix IT Tags: , , Comments: 5

Bookmark and Share

Basé sur le concept du crowdsourcing, ces bug bounty programs permettent à toute entreprise d’externaliser la recherche de vulnérabilités. C’est le concept de crowdsourced security.

 Crowdsourcing & sécurité

Ce sont donc des chercheurs ou pentesters externes qui vont ainsi parcourir votre site ou application à la recherche de vulnérabilités plus ou moins sensibles.

On liste à ce jour plusieurs grands nom du génie logiciel faisant appel à ce type de programmes. Ci-dessous, une liste non exhaustive de ces éditeurs :

  • Facebook.
  • Mozilla.
  • Google.

Chacune de ses entreprises propose ainsi une récompense aux chercheurs ainsi qu’une « règle du jeu ».

Concrètement, Google propose la somme de 20.000$ à toute personne découvrant une vulnérabilité de type RCE (Remote code execution) sur son domaine accounts.google.com.

Ce serveur permet de faire le SSO sur tous les services qu’offre le géant américain.

C’est un domaine ultra-sensible.

Seule règle pour être éligible à cette somme ?

Evidemment, avoir un RCE à présenter à Google (courage) et surtout l’obligation de publier un POC (Proof of concept) aux équipes en charge de la sécurité AVANT toute publication publique.

La publication et le « fame » autour de la découverte d’une telle vulnérabilité ne pourra se faire que lorsque l’entreprise américaine aura corrigé l’éventuelle vulnérabilité.

C’est une sorte d’accord tacite gagnant-gagnant.

 

Et si les grands éditeurs de logiciel de la planète s’y mettent, c’est parcequ’un audit de sécurité complet coute cher. Très cher.

Sans parler du prix de telles vulnérabilités sur le marché noir des 0days, la somme de vingt milles dollar est très faible face aux conséquences que risque Google en cas de compromission de son servuer accounts.google.com.

Le marché de la sécurité informatique rencontre aujourd’hui une demande très forte face à un manque cruel de personnel compétent.

 

Externaliser sa sécurité : comment faire ?

Les solutions qui existent aujourd’hui ne permettent pas  aux PME de bénéficier facilement de ces compétences extérieures.

Tout d’abord, les entreprises européennes sont assez frileuses de voir leur sécurité externalisée. Cela reste un secteur très sensible et la prise de risque n’est pas dans la culture et les mentalité européennes. Encore moins en France.

Mais les mentalités évoluent et le marché de la sécurité également.

 

L’artisanat se développe au profit des grands groupes, rendant ainsi la sécurité accessible. Internet, formidable outil reliant tout les pays du monde permet cela.

 

Tiré par la législation renforçant les obligations en matière de sécurité des données personnelles, de nombreuses PME vont devoir renforcer les moyens déjà existant. Il existe de nombreuses sociétés proposant des services de  Pentests ou reverse enginnering mais ces prestations coutent trop cher.

Se développe ainsi des services proposant l’externalisation de la sécurité, comme bug crowd ou encore Crowdsec, projet de 6ix IT.

 

A la manière des place de marché ou des plateforme de mise en relation, les entreprises désireuses d’externaliser les pentests en vue d’améliorer leur sécurité informatique peuvent s’inscrire et proposer des « récompenses » en fonction des vulnérabilités découvertes.

L’interet est bien évidemment la protection des données sensibles de entreprises (données personnelles ou savoir faire). Le deuxième gain est bien entendu sur l’aspect financier.

Seules les vulnérabilités trouvées sont rémunérées.

C’est l’objectif de Crowdsec, qui est une plateforme de mise en relation entre chercheurs en sécurité informatique et entreprises.

 

A ce jour, le projet est en phase de développement mais l’inscription est possible. De nombreux consultant en sécurité peuvent dès aujourd’hui faire bénéficier les entreprises françaises de ces tests d’intrusion externalisés.

 

Question tarif, imbattable, puisque le service en en version béta et que l’entreprise  cherche à gagner en visibilité. Leur offre de lancement se termine le 15 février 2013.

 

En attendant si vous êtes un chercheur en sécurité, vous pourrez trouver une liste de ces entreprises proposant des bug bounty programs ci-dessous ainsi qu’un formulaire d’inscription à la liste de diffusion gérée par crowdsec vous permettant de recevoir en avant-première les tests d’intrusion à effectuer contre une récompense.

19 nov / 2012
Author: 6ix IT Tags: , , , Comments: 0

Bookmark and Share

Le délégué à la protection des données personnelles est le nom donné par Bruxelles à celui aujourd’hui nommé en France  le CIL. Cet acronyme pour Correspondant Informatique et Libertés.

Un précédent article parule mois précédent nous présentait les grands axes de la refonte du projet de lois autour des données personnelles.

C’est à l’occasion de la conférence LEXPOSIA que ces détails ont été publiquement repris. Aucune réelle surprise  si ce n’est que ce projet de loi européen vient recouvrir  l’annonce faite par la Ministre de l’économie Numérique.

La notion de Privacy by Design est donc toujours au goût du jour.  Pour rappel , il s’agit d’une notion qui vise à l’intégration du respect de la vie privée dès la conception des logiciels.

La conformité à ce concept sera sous la responsabilité des CNIL de chacun des pays européen  Pour être plus concret, un bon exemple est  le projet « Do not track ».

Le développeur aura la responsabilité d’intégrer cette protection des données.

Ce projet est évidemment conçu pour le Cloud . Les développeurs ont désormais l’obligation de transparence sur le traitement des données et plus particulièrement sur  la localisation des données.

Ce Privacy by Design intégre également le droit à l’oubli lors de la phase de conception des applications, logiciels ou sites web.

Rien de neuf donc de ce coté.

La seule nouveauté vient donc dans la dénomination du contact entreprise <> CNIL. Cet intitulé de poste beaucoup moins barbare et plus adapté à la vie en entreprise va venir alimenter petit à petit  les discussions à la machine à café.

Cette conférence a permis de (re)préciser sont les avancées dans ce domaine et la seule nouveauté est dans le nom du responsable des données personnelles.

19 nov / 2012
Author: 6ix IT Tags: , , , , , Comments: 14

Bookmark and Share

Comment va être appliquée la loi sur les données  personnelles ?

On parle beaucoup de la possible augmentation de la TVA dans le secteur de la restauration, avec tous les jeux de mot que l’on connait, mais ce sont les DSI et plus largement tous les responsables informatiques qui vont recevoir une addition vraiment salée…

Une directive, la fameuse 95/46/CE, texte de référence sur la question des données personnelles est sur le point d’être modifiée dans le but de remettre un peu d’ordre dans tout ça.

A quelle sauce allons-nous être mangés ?

L’objectif de ce projet de loi qui devrait voir le jour début 2013 vise à renforcer le cadre juridique autour de la protection des données personnelles.

Sans pour autant aller jusqu’à en refaire une analyse complète, l’objectif est clair : sensibiliser les entreprises à la sécurité des données personnelles qu’elles gèrent.

Ce projet de loi européen impose notamment :

  • L’obligation de définir des processus en internet autour de la réglementation Informatique et liberté,
  • L’obligation de mettre en place une politique de Sensibilisation et Formation au sein des entreprises,
  • La mise en place d’une cellule interne dédiée à la gestion des traitements des données.

Pour de gros groupes à dimension internationale, disons que cette nouvelle réglementation pourra être supportée car ils bénéficient déjà d’équipes dédiées à la sécurité de leur système d’information mais pour les plus petites structures comme les PME, c’est une autre histoire.

Et ce sont malheureusement ces entreprises qui sont les plus exposées.

Lorsqu’on pense données personnelles, on pense immédiatement aux données vraiment sensibles comme les informations relatives à la santé ou encore les données bancaires. Mais il y’a beaucoup d’autres informations qui rentrent dans le cadre de cette nouvelle réglementation.

Sites e-commerce, publicité, jeux en ligne, tous les secteurs sont aujourd’hui concernés par la gestion des données personnelles. On pense également risques liés aux contrats de sous-traitance…

On l’aura compris, cette loi touche toutes les entreprises.

Se pose maintenant la question de l’application de cette loi européenne.

Comment ces nouvelles dispositions vont pouvoir être appliquées en France ?

C’est sans doute la CNIL qui aura la lourde responsabilité de s’en occuper. En tout cas, de nombreuses actions vont dans ce sens :

 

Le dispositif semble se mettre en place et on y voit un peu plus clair sur que ce que l’avenir réserve à nos DSI.

Pour information, le référentiel correspond à une liste d’exigences ou de spécifications à laquelle l’entreprise devra répondre afin d’obtenir ce label. Ces exigences correspondent aux critères permettant d’évaluer la conformité des procédures aux dispositions de la loi «Informatique et Libertés».

On notera les points suivants :

  • Identification des procédures internes
  • Identification des traitements
  • Appréciation de la licéité des traitements
  • Identification des personnes accédants aux données
  • Analyse des durées de conversation
  • Respect du droit des personnes et du droit à l’oubli
  • Respect des traitements particuliers

 

Oui, c’est un référentiel très lourd qu’a publié la CNIL.

Combien ?

 

Gare aux rebelles ! Il est prévu des amendes pouvant aller jusqu’à 2% du CA de l’entreprise qui refuserait de mettre en place ces dispositions…

Le projet de loi européen vient donc serrer la vis de tout les responsables de fichier: c’est un vrai bouleversement dans la gestion des données.

Mais cette effervescence autour de la thématique « donnée personnelles » existe à plusieurs niveaux :Tant au niveau de la cybercriminalité qu’au niveau de l’actualité juridique.

Tous les jours on entend dans la presse spécialisée – et même dans la presse grand public – qu’un fichier contenant des informations sensibles se retrouve « dans la nature ». Cela porte un nom : La fuite de données.

C’est sans doute ce qui va coûter le plus cher aux mauvais élèves. Encore une fois, la grande majorité des entreprises exposées à ces risques sont les PME et ce ne sont pas forcement les plus à même de suivre l’actualité juridique ni même de tenir une vraie politique de sécurité…

Va-t-il y’avoir des sanctions prises à l’encontre de ces entreprises déjà affaiblies par la perte d’une partie de leur base de donnée ?

On ne l’espère pas.

Il est certain que l’idée de sensibiliser les entreprises à la sécurité est une bonne idée. Une excellente idée même. C’est sans doute l’application de cette nouvelle loi qui devra être traduite intelligemment de manière à ne pas pénaliser les petites entreprises.

A ce jour, l’obtention de ce label CNIL est facultatif et rien n’oblige les entreprises à se faire labéliser (on parle d’ailleurs de label et non de certification). Malheureusement les exigences décrites dans ce référentiel sont très lourdes pour la grande majorité des entreprises en France et on espère voir émerger de nouvelles solutions d’audit « informatique et liberté » alternatives !

Il ne reste maintenant qu’à croiser les doigts pour que la CNIL, très pédagogue, continue dans ce sens et ne passe pas du coté de la répression.

26 oct / 2012
Author: 6ix IT Tags: , , , , Comments: 19 771

Bookmark and Share

Ça  s’agite à Bruxelles. Ça s’agite même beaucoup depuis le début de l’année 2012. La fameuse directive 95/46/CE, directive qui constitue le texte de référence sur la question des données personnelles  est sur le point d’être modifié.

Les entreprises des états membres de l’union européenne auront très bientôt pour obligation la mise en conformité de leur système d’information et plus globalement, de ces systèmes de traitement automatisé des données à caractère personnel.

Sans prendre en compte la lourde partie juridique, de nombreuses contraintes techniques et organisationnelles vont être imposées aux entreprises françaises.

Pour être concret, cela signifie des procédures à rédiger et évidemment à appliquer en interne. Dans ces procédures est inclus l’inclusion d’une politique SIF (cela comprends formation, sensibilisation et information du personnel régulièrement).

Des audits de sécurité devront également être conduits régulièrement avec l’objection protection des données personnelles.

Et attention aux entreprises qui ne voudraient pas s’y conformer, des amendes sont prévues dans ce futur projets de loi européen  Les première fuites parlent de sommes considérables (2% du CA global) et de somme atteignant le million d’euros pour les organismes publics.
Cette loi risque donc de bouleverser le paysage de la sécurité, et ce pour toutes les entreprises d’Europe. Les plus exposées à ces risques seront bien évidemment les entreprises exposées sur Internet (on ne parle pas ici de site vitrine mais webservice s’appuyant sur des API et donc avec le SI vraiment exposé).

D’autres contraintes sont également imposées par le dispositif européen et sont lourdes de conséquences, car elles ont un coût:

  • Prise en compte de la vie privée dès la conception – Privacy by Design
  • Suivi des systèmes et utilisateurs interagissant avec les données personnelles stockées.
  • Mise en place d’équipe spécialisée sur le monitoring des données stockées

On peut d’ores et déjà se poser la question de comment de telles contraintes vont être imposées aux entreprises européennes. Certification ? Label ? Mise en place d’une Autorité de « régulation » ?

La CNIL qui oeuvre depuis de nombreuses années dans ce sens met en place un label CNIL. L’idée est bonne.

Mettre en place une loi, pourquoi pas, mais qui sera en charge d’en vérifier la bonne application? Une autorité de régulation comme l’Arjel ? Avec la délivrance d’autorisation, de certificats de conformité ?

Affaire à suivre dans tout les cas.

On peut néanmoins se poser la question de l’accessibilité de ce label CNIL à la vue du référentiel proposé et/ou des budgets nécessaires à la surveillance des réseaux.

20 août / 2012
Author: 6ix IT Tags: , , , , Comments: 0

Bookmark and Share

La SSI (sécurité des systèmes d’information) est une des composantes du domaine d’activité de la sécurité informatique.

La SSI est en métier en plein essor. Désormais au cœur des stratégies numériques, la sécurité de l’information est devenue un enjeu primordial dans le pilotage de l’entreprise.

Disponibilité, intégrité, confidentialité, traçabilité sont les quatre piliers de la SSI.

Que ce soit en agissant au niveau réseau, au niveau applicatif ou encore organisationnel, la sécurité de votre système d’information s’intègre à tout les niveaux.

Sécurité organisationnelle

L’humain reste généralement le maillon le plus faible de la chaine de sécurité de l’information.

La sécurité organisationnelle cherche à combler les manques et s’attache à la définition de procédures ayant pour objectif d’assurer une organisation axée autour de la sécurité:

  • Choix d’un RSSI
  • Analyse de risque
  • Désignation de responsable
  • Procédures adaptée aux besoins métiers
  • Sensibilisation du personne
  • Aménagement des locaux
  • Audits récurrents
  • Formation des employés

Références: EBIOS, ISO27001, ISO17799/ISO27002,  MEHARI,   PCI DSS,

Sécurité applicative

Les audits de code et les pentests sont les deux principaux types de missions qui entrent dans cette catégorie.

La sécurité de vos applications passent évidemment par un code source ne comportant pas de vulnérabilités. De la même manière, les pentests permettent de valider, généralement en boite noire, un développement ou une architecture réseau.

Un attaquant, positionné sur le réseau interne ou sur internet, tente de porter atteinte à vos données. Que ce soit en confidentialité: accès à votre base client ou en intégrité: modification des informations de la base.

Références: OWASP, ISO27001.

Service de veille

Une bonne défense passe par un service de veille efficace. La sécurité informatique est en constante évolution. Les vulnérabilités et exploits sont régulièrement exposés sur Internet et vos logiciels ou applicatifs peuvent en être impactés.

Un service  de veille efficace permet ainsi une défense rapide et en amont de toute attaque. Un service de veille permet également d’alimenter les tableaux de bords liées à l’obsolescence de votre SI.

Plan de continuité

A venir.

 


/// Twitter Feed

Find out what's happening, right now, with the people and organizations you care about.

Copyright 2012-2013 © 6ix IT