Armis a détaillé au début du mois de septembre une série de failles affectant les implémentations Bluetooth. Celles-ci pourraient-elles ouvrir la voie à de nouveaux types d’attaques, exploitant la propagation via ce protocole ? Décryptage avec Axelle Apvrille, chercheuse en sécurité informatique pour Fortinet.
Les jouets sexuels utilisant Bluetooth Low Energy sont facilement détectables et on peut s’y connecter sans problème. Ce qui ouvre la porte aux prises de contrôle à distance… et aux mauvaises surprises.
En 2016, le Parlement européen adoptait l’ensemble des nouvelles dispositions associées à la protection des données. L’échéance fixée au 25 mai 2018 s’approche. Êtes-vous en conformité avec les règles imposées par la GDPR (General Data Protection Regulation) ?
Source : http://www.01net.com/actualites/protection-des-donnees-ce-que-la-gdrp-va-changer-au-25-mai-2018-1256635.html
Des documents d’Edward Snowden montrent que la NSA a commencé à surveiller les réseaux P2P au moins depuis 2005, y compris au sein du ministère américain de la défense.
Votre smartphone personnel ne vous quitte sans doute jamais. Il vous accompagne probablement au bureau et vous sert même de support de travail. Mais attention, lorsque vous êtes dans votre entreprise, vous n’êtes pas parfaitement libre de vos faits et gestes.
Les mystérieux pirates du groupe Shadow Brokers publient le manuel d’utilisation de « UnitedRake », une plateforme qui permet d’espionner tous les postes Windows.
Une version future du navigateur pointera du doigt les logiciels antivirus ou pare-feu qui interceptent les flux HTTPS de manière non conforme.
Phishing, hacking, infections « fileless », prise de contrôle à distance… Les braqueurs de banque utilisent des méthodes de plus en plus sophistiquées, presque invisibles, pour mettre la main sur le pactole des banques.
Si certains ministères se sont officiellement dotés d’un « administrateur des données », cette nouvelle fonction demeure encore très hétérogène et surtout informelle. L’Administrateur général des données, Henri Verdier, entend ainsi demander au Premier ministre d’instaurer un réseau plus clairement défini.
Ils sont parfois appelés « superviseur général des données », « administratrice des données » ou « administrateur général des données »… Ces agents de l’État exercent leurs fonctions de manière bien souvent informelle, et dans certains cas en complément à d’autres missions. Mais tous ont un point en commun : ils servent de relais, au sein des ministères ou directions auxquels ils appartiennent, à l’Administrateur général des données, Henri Verdier.
Avec pour objectif de participer à une meilleure ouverture des données que leurs administrations respectives détiennent, ainsi qu’à une plus grande valorisation de celles-ci. Cela peut aller de l’emblématique ouverture du code source du logiciel de calcul de l’impôt sur le revenu à d’autres projets de réutilisation plus concrets pour le grand public, à l’image du futur portail relatif aux données de transport « transport.data.gouv.fr ».
By Next INpact – Actualités Source : http://ift.tt/2fvmHKv
Nombre d’amalgames sont faits lorsque sont abordés les plans de continuité d’activité, de reprise d’activité, de continuité informatique…
Tentons de clarifier les éléments de vocabulaire.
Le Plan de Continuité d’Activité (PCA) définit pour l’entreprise les architectures, les moyens et les procédures nécessaires pour assurer une continuité de son activité.
En cas d’incidents, de toute taille et toute nature, l’activité des métiers n’est pas interrompue.
Nous retrouvons ici la mise en oeuvre d’équipements, de procédures qui garantissent la continuité d’activité comme par exemple un système de production électrique en cas de défection du fournisseur d’énergie, des lignes de production « clonées » pour garantir la poursuite de fabrication en cas d’arrêt machines inopinés.
Organisation palliative en cas d’absence de PCA, ou élément complémentaire du PCA, le Plan de Reprise d’Activité (PRA) est l’ensemble des processus qui permettent de repartir après un sinistre. Bien souvent sont définis des modes dégradés qui permettent à l’entreprise de redémarrer son activité, dans des locaux de transition, avec des solutions de gestion manuelles. Le sinistre pouvant être la cause d’une dégradation partielle ou totale des outils de production et de gestion. La priorité est de faire repartir les moyens de production ou de service pour reprendre le service client au plus vite et ne pas entraîner d’impacts commerciaux préjudiciables pour la société.
Les directions des systèmes d’information doivent à leur niveau assurer une mise en oeuvre de Plan de continuité et de reprise d’activité informatique.
Pour l’informaticien, d’une part Recovery Time Objective (RTO) qui correspond à la durée nécessaire à une « remise en production » d’un environnement informatique et d’autre part Recovery Point Objective (RPO) qui correspond à la période de données non récupérables, sont parmi les principaux indicateurs.
L’amalgame de terminologie est souvent fait entre métiers et DSI. PRA et PCA sont utilisés par tous.
Dans l’approche développée chez Ankaa Engineering, nous provoquons une distinction entre les périmètres de responsabilité des métiers et ceux de la DSI.
Nous avons trop souvent rencontré des entreprises dans lesquelles la mise en oeuvre d’un PCA et PRA avaient été transmis à la DSI, DSI qui réduisait à son stricte périmètre de responsabilité son étude et mise en oeuvre de plans.
L’usage de terminologies appropriées apporte une clarification des périmètres et responsabilités.
Le Plan de Communication en cas de Crise (PCC) est très souvent oublié alors qu’il est essentiel et fondamental.
Deux niveaux sont à considérer :
– L’identification des indicateurs et de leurs seuils respectifs de déclenchement des PCA, PRA, PCI, PRI (quand doit on activer le(s) plan(s) et comment).
– La diffusion et le contrôle de connaissance des procédures associées aux plans auprès de l’ensemble des salariés et sous-traitants.
La communication en cas de crise aborde en second lieu les besoins éventuels de relations publiques et presse.
Selon l’approche méthodologique Ankaa Engineering®, PCA PRA PCI PRI et PCC composent l’ensemble du Suivi Opérationnel de Service (SOS).
Respect des contraintes réglementaires (BALE, SARBANES OXLEY, etc) , priorité aux opérations métier servent de base à l’identification des activités critiques.
A l’inverse d’une approche strictement basée sur le nombre d’appels téléphoniques susceptible d’être reçus par le service support, le serveur à reconstruire ou redémarrer en premier n’est pas celui de la messagerie (Oups !)…mais bien celui qui permet à la production de repartir (GPAO, GC, CRM, etc) et aux factures de ventes d’être émises.
Une analyse de l’exposition aux risques (AMDEC) permet de limiter le périmètre des plans et donc les budgets associés.
Plus l’objectif de continuité est ambitieux, plus les budgets à affecter aux contournement des risques sont conséquents.
Consultations fournisseurs, aménagements techniques, simulation de crise et rédactions de procédures demandent du temps.
Les processus à activer par les salariés et sous-traitants en cas de crise demandent une organisation de suivi à l’intégration.
Et le travail dans ce domaine est perpétuel…
Chaque changement de processus métier, organisationnel ou réglementaire demandera un contrôle de cohérence du plan en place et un alignement en cas d’écarts.
Gérer un SOS est un vrai métier.
Source :