Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Argent, Arnaque, Chiffrement, Contrefaçon, escroquerie, Logiciels

5 étapes pour sécuriser la confidentialité de votre navigateur

Un commentaire

Peu importe la source, toutes les statistiques que vous trouverez prouvent que les navigateurs les plus utilisés sont Chrome, Firefox et Internet Explorer. De nombreuses études et tests ont été effectués pour découvrir quel était le plus sûr de tous. Cependant, les tests ne font que démontrer la capacité de chaque navigateur à répondre à un ensemble de tests prédéfinis, habituellement appelé « sécurité de base ». Néanmoins, cette base change radicalement tous les mois.

Résultat, aucun navigateur n’est sûr à 100% même si certains navigateurs réparent les failles de sécurité plus rapidement que d’autres. Alors comment est-il possible d’améliorer son expérience de navigation sur Internet ? C’est dans ce but, que Sorin Mustaca, expert en sécurité IT d’Avira, propose 5 étapes pour une navigation plus sûre, plus confidentielle et peut-être même indirectement, plus rapide:

1.     Maintenez votre navigateur à jour
C’est la première étape de renforcement du navigateur car un navigateur vulnérable peut être exploité par une simple visite de sites Internet sans que vous n’en sachiez rien. Nous vous conseillons de toujours autoriser les mises à jour automatiques et de les installer aussitôt qu’elles sont disponibles. En cas de doute, installez un outil gratuit qui contrôle les failles potentielles de votre logiciel.

2.     Augmenter la sécurité intégrée dans votre navigateur
C’est la deuxième étape de renforcement du navigateur, elle peut être gérer de différentes façons :
– Configurez votre navigateur pour qu’il rejette les cookies tiers
– Désactivez les plugins dont vous n’avez pas besoin comme : ActiveX, Java, Flash etc.
– Permettez la protection anti-phishing et anti-malware déjà intégrée
– Configurez le navigateur pour envoyer la requête « ne pas traquer » à votre historique de navigation
– Chaque fois que cela est possible, désactivez le script actif. Soyez conscient que certains sites web ne pourront tout simplement pas fonctionner sans script (JavaScript en particulier).

Dans Internet Explorer, nombre de ces configurations peuvent être mises en place en changeant les paramètres dans « Sécurité » et « Confidentialité ».
– Activez le bloqueur intégré de pop-up
– Désactivez les anciennes barres d’outils qui ne vous sont plus utiles. (Avez-vous vraiment besoin de voir la météo ou avoir un traducteur à portée de main tout le temps?)

3.     Choisissez avec précaution quel plugin vous allez installer
Les plugins et add-ons permettent d’étendre facilement les fonctionnalités du navigateur. Cependant, il existe de nombreux plugins, même disponibles sur les stores officiels, qui sont, soit, malveillants, soit, qui présentent des problèmes importants en matière de sécurité et de confidentialité. Le plus inquiétant est que pour un utilisateur lambda, ces problèmes ne sont pas visibles jusqu’à ce qu’il soit trop tard. Ayez toujours en tête qu’un plugin a accès à tout ce que vous cliquez et voyez sur le navigateur, y compris toutes vos navigations en connexions cryptées. Le plugin réside dans le navigateur et a accès à tout ce que l’utilisateur voit. Le contenu est donc déjà décrypté et il n’y a absolument rien qui puisse empêcher un plugin malveillant d’envoyer toutes vos informations (bancaires, personnelles, etc.) à une quelconque adresse internet. Jetez toujours un coup d’œil sur le classement donné par d’autres utilisateurs avant d’installer un add-on. De plus, gardez un œil sur les autorisations demandées par l’add-on. Par exemple, si un message instantané d’add-on requiert l’accès à toutes vos URL, cela devrait vous mettre la puce à l’oreille.

4.     Installez les plugins de sécurité et de confidentialité
Il existe des extensions qui améliorent votre sécurité en faisant un filtrage sur les URL que vous visitez ou même de manière dynamique en analysant le contenu des pages internet. C’est le cas d’Avira Browser Safety. Si vous préférez choisir vous-mêmes vos extensions, il en existe de nombreuses qui empêchent le « tracking » et la publicité. Vous pouvez également utiliser Web of Trust (WOT), basé sur le crowdsourcing, il donne un point de vue indépendant sur le statut des URL.

5.     Forcez l’utilisation du protocole SSL quand cela est possible
Des extensions telles que HTTPS Anywhere essaient de choisir une connexion HTTPS au lieu de HTTP quand celle-ci est disponible pour sécuriser votre navigation.

Entreprise, Paiement en ligne, Propriété Industrielle, spam

Des ultrasons pour sécuriser vos transactions

Un commentaire

Etonnante invention que celle proposée par la société CopSonic. Derrière cette start-up française basée à Montauban, Emmanuel Ruiz. Son idée, permettre de combattre le phishing et de proposer une nouvelle forme de sécurité informatique en faisant vibrer les sites officiels de manière à contrer les contrefaçons et à proposer une triple authentification.

Comment ? Via une technologie qui remplace l’identification visuelle par un ultra son. La sécurité fonctionne ainsi : une banque, un FAI ou une boutique en ligne installe sur son site l’invention de CopSonic. Le système de protection installé sur le portail à protéger diffuse un son qui fera réagir l’application de contrôle installé sur un téléphone portable ou une tablette. Si un pirate, un escroc, un adepte du phishing tente de reproduire la page protégé, il ne pourra pas reproduire le son de CopSonic « Notre sécurité diffuse un son unique pour chaque vérification, explique à la rédaction de Data Security Breach Emmanuel Ruiz. L’escroc ne pourra pas le reproduire« . Bilan, une sécurité quasi parfaite. Le client, face à son application muette, pourra ainsi s’assurer que le site qui lui est présenté est officiel ou non. L’idée de CopSonic est aussi de proposer une troisième authentification en plus de votre mot de passe, d’une double-authentification comme Google/Facebook peut le proposer [Lire]. En gros, en plus de vos précieux sésames (login et mot de passe) le site diffuse un ultra son qui permettra de valider votre accès après que votre smartphone soit reconnu.

Captcha et paiement en ligne à la vitesse du son
Autre possibilité que propose l’invention de la jeune PME, un système anti-spam, anti-brute force basé sur les ultrasons. A la base, un captcha est soit sous forme de chiffre et de lettres qui s’affichent à l’écran. Une série de lettres/chiffres qu’il faut reproduire pour pouvoir écrire un message dans un forum par exemple. L’opérateur Orange propose quant à lui une version avec des images. Le client doit retrouver des animaux, des moyens de locomotions ou des plantes afin de valider sa demande de son mot de passe. Bref, un captcha permet de contrer les robots spammeurs/pirates. Le but de CaptchaSonic est d’éliminer ou de limiter les actions des spammeurs et des robots dans les pages web.

DataSecurityBreach a pu tester l’outil. Au lieu d’avoir à déchiffrer un captcha graphique sur la page de validation, l’application gratuite propose de se passer de taper la moindre information. L’application sur le smartphone reçoit le son et valide le fait que vous soyez bien un humain. Autre possibilité, Pixeliris, une technologie de paiement mobile sans contact qui utilisent les ultrasons pour échanger des données sécurisées à travers les micros et enceintes des téléphones. Compatible avec 100% des téléphones mobiles… même si Apple freine la mise à disposition des applications de l’entreprise Française. En attendant, les possesseurs de smartphones sous Androïd et Windows phone peuvent déjà profiter de cette protection étonnante.

En attendant que la France s’intéresse un peu plus à ce beau projet, la Mission Economique de l’Ambassade de France-UBIFRANCE au Canada a sélectionné CopSonic, avec 9 autres start-ups Françaises, pour participer à la deuxième édition du French Tech Tour Canada (FTT) qui se déroulera du 2 au 6 Juin 2014 à Toronto (Canada). Plus de 25 entreprises avaient postulé pour prendre part à cette tournée. Les 10 entreprises ont été sélectionnées par les partenaires de l’événement incluant Bell, Telus, BlackBerry, Air Canada, Emerillon Capital, CGI, KPMG, … En novembre 2013, Pixeliris fut la seule entreprise française choisie pour représenter la France au cours d’une session de démonstration en petit comité avec le président français François Hollande, le ministre français des affaires étrangères Laurent Fabius, le président Israélien Shimon Peres et le premier ministre israélien Benyamin Netanyahou.

Entreprise, Fuite de données, Identité numérique, Leak, loi, Vie privée

Besoin urgent d’étendre les lois obligatoires sur les fuites de données

Le distributeur en ligne américain eBay a annoncé avoir été victime d’une cyber-attaque et a recommandé à tous ses utilisateurs de changer leur mot de passe. Dans un bulletin émis le mercredi 21 mai, l’entreprise a indiqué que certains identifiants appartenant à des employés avaient été volés, donnant aux pirates l’accès à son réseau interne. Le piratage s’est concentré sur une base de données contenant des noms de clients d’eBay, des mots de passe encryptés, des adresses e-mails et des dates de naissance, et ne concerne donc – à priori – pas les informations financières. Selon eBay, l’attaque a eu lieu entre fin février et début mars et aucune activité anormale de la part des utilisateurs ne semble avoir été détectée depuis.

Nous faisons face à un déluge de données volées, et avec un nombre si important de victimes touchées, souvent des millions de clients, il est grand temps d’étendre les lois relatives à la déclaration obligatoire de divulgations de données à tous les secteurs d’activité – et pas seulement pour les fournisseurs d’accès internet ou les opérateurs télécoms. En dépit des recommandations qui sont faites, de nombreuses personnes continuent d’utiliser le même mot de passe pour plusieurs comptes et avec le temps qu’il a fallu pour avertir les clients de l’existence de cette faille, ces derniers ont été exposés à d’importants risques durant toute cette période. En outre, les dommages pourraient continuer de s’étendre. Avec plus 128 millions d’utilisateurs actifs sur le site d’eBay dans le monde, s’il existe ne serait-ce qu’un pourcent d’entre eux qui utilisent le même mot de passe pour différents comptes professionnels, cela signifie que plus de 1 280 000 millions de réseaux d’entreprises sont potentiellement menacés. « Les hackers n’auront pas de mal à identifier les organismes dans lesquels travaillent toutes ces personnes via des sites comme LinkedIn et détermineront leurs prochaines cibles en fonction de leur importance. Il devient donc urgent d’accélérer la mise en place de lois pour que les clients puissent être confiants et assurés que si leurs données tombent entre de mauvaises mains, des mesures seront prises très rapidement pour en limiter l’accès. » explique Jean-Pierre Carlin de chez LogRhythm.

Avec un tel volume de données traitées chaque jour par les entreprises, il est évident qu’il ne s’agit pas une tâche facile. Cela nécessite une surveillance permanente de la moindre activité sur le réseau ainsi que la capacité à comprendre et à considérer ce qu’est une activité « normale ». Un tel niveau d’information permet aux organismes de détecter les menaces en temps réel et d’y remédier en conséquence – non seulement en accélérant le temps nécessaire pour détecter une faille mais aussi celui qu’il faut pour avertir les clients. « Toutes les entreprises ont la responsabilité de protéger les données personnelles de leurs clients autant que possible et c’est seulement grâce à cette capacité à alerter rapidement les utilisateurs d’une éventuelle menace qu’ils pourront à nouveau accorder leur confiance. » termine Jean-Pierre Carlin.

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France.

Pour finir, DataSecurityBreach.rf rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Cybersécurité, Entreprise, Fuite de données, Identité numérique

Sécurité informatique : Dis-moi qui tu es, je te dirai comment te protéger

Un commentaire

« Cogito Ergo Sum » : je pense, donc je suis. Le concept d’existence et, par là-même, d’identité tel qu’il a été formulé par Descartes au 17e siècle n’a cessé d’évoluer depuis. Qu’est-ce qui fait notre identité de nos jours ? Notre numéro de sécurité sociale, de compte en banque ? Nos mots de passe récurrents ? Nos actes, les cercles des personnes avec lesquelles nous échangeons ? Avons-nous une seule ou plusieurs identités ? Avec chaque décennie vient un nouveau moyen de définir de notre identité…ou de la perdre selon le point de vue.

Pour nous, l’identité représente l’identifiant unique d’une personne ou d’une chose, qui permet de la différencier. On peut l’affiner par l’ajout d’attributs propres à chacun, la liste des tiers avec lesquels nous échangeons ou encore certains paramètres comportementaux. Notre identité était auparavant scindée en deux facettes, « personnelle » et « professionnelle », mais ça c’était avant ! Avant l’ère de la consumérisation de l’IT. Notre identité professionnelle est désormais définie le plus souvent par la fusion de ces deux facettes et prend également en compte l’utilisation d’appareils mobiles, les règles d’accès aux applications, d’identités sociales, etc. qui permettent de classer un individu en tant qu’employé, consultant, partenaire commercial, client etc.

Alors comment une organisation peut-elle établir le niveau de sécurité adéquat pour son système d’information quand les données personnelles et professionnelles sont si étroitement entrelacées ? C’est un défi de taille pour les services informatiques, qui doivent miser sur une identification claire et précise pour le relever. Plus que jamais, l’enjeu de la sécurité ne réside pas dans des aspects matériels ou technologiques mais plutôt dans la capacité de l’organisation à comprendre les tenants et aboutissants du concept d’identité et in fine à reconnaître l’individu qui se trouve derrière le terminal.

L’identité professionnelle, les paramètres personnels qui viennent se greffer dans l’environnement de travail et les éléments comportementaux sont autant de données qui s’amalgament et permettent de discerner ce qui se passe dans le périmètre professionnel, et au-delà. Et comme ce périmètre évolue, l’identité va inévitablement devenir l’unique préoccupation des équipes de sécurité car elle seule permet de faire le tri parmi les parasites événementiels et les données non pertinentes, sources de confusion qui empêchent de répondre aux menaces réelles ou de simplement détecter une attaque. L’incapacité à gérer l’identité, et les accès qui vont de pair, est le plus grand risque informatique de gestion pour une organisation. Une entité qui ignore « qui fait quoi » ne peut saisir les opportunités qui s’offrent à elle et s’expose à un risque organisationnel majeur.

La sécurité informatique au service de la performance de l’entreprise
Des changements doivent être opérés à la fois dans les rôles et les priorités des équipes informatiques et de sécurité. Elles se doivent de maîtriser ces enjeux et d’adapter leur stratégie pour non seulement fournir un environnement informatique de travail sécurisé mais aussi pour soutenir le développement du business et répondre aux attentes d’utilisateurs qualifiés. L’un des plus grands défis est incontestablement de suivre le rythme du changement, de s’adapter à la vitesse à laquelle évolue l’organisation. Les utilisateurs sont toujours plus exigeants quant à leurs besoins et souhaitent travailler comme ils l’entendent. Ils réclament des services encore plus personnalisés, une plus grande agilité pour répondre aux opportunités qui se présentent, une connectivité plus poussée et, bien entendu, moins de contrôles aux endroits où ils interagissent. Pour cela, les organisations doivent être capables d’adopter et d’assimiler des environnements informatiques hybrides et des outils mobiles qui peuvent s’ajuster aux besoins organisationnels et aux opportunités du moment. Répondre avec promptitude aux exigences croissantes des utilisateurs est devenu le quotidien des équipes informatiques.

C’est pour cela qu’il faut se concentrer sur l’exploitation du concept d’identité et relever le défi de la gestion des accès ; ce premier pas permettra de répondre avec diligence aux besoins futurs, tout en respectant les impératifs de sécurité et de conformité. Alors que l’Internet des Objets devient une réalité, de nouveaux défis et possibilités se présentent. Toute chose a ou aura une identité, et chacune de ces identités peut receler la réalité d’un utilisateur, d’un employé ou d’un client. La gestion de ces identités, et l’utilisation de sources d’identités fédérées toujours plus complexes, va dévoiler aux entreprises et administrations les multiples facettes d’un monde hyper-connecté. (Par Jean-Philippe Sanchez, Consultant Sécurité chez NetIQ France)

Emploi, Entreprise

Le Havre remporte les 24h des IUT informatiques

Strasbourg a reçu le 7ème challenge des 24 heures des IUT d’informatique. Au menu : développement, web et sécurité informatique.

En 2007, des enseignants de l’IUT informatique de Valenciennes, antenne de Maubeuge, lançaient l’idée d’un concours original baptisé Les 24 heures des IUT informatique. Sa mission, proposer aux étudiants trois épreuves de huit heures autour du développement, du web et de la sécurité informatique avec un CTF de type Jeopardy. Derrière cette opération, Franck Ebel, Jérôme Hennecart et Robert Crocfer. Après Montreuil et Orléans, le dernier challenge en date s’est tenu, le week-end dernier, dans les locaux de l’université de Strasbourg. Pour chaque challenge, une équipe vainqueur et une équipe gagnante générale. Cette dernière cumulant des points lors des trois rendez-vous. A noter que les trois prochains challenges se feront à Bordeaux, Nancy et le Havre.

Sécu, web et développement

Dans les trois épreuves, de quoi s’éclater pour les étudiants venus de 29 IUT de France (Sauf l’IUT pourtant créatrice de l’épreuve, Maubeuge, NDR). La première épreuve consistait en un développement applicatif réseau permettant de jouer de manière automatique et intelligente à un jeu en réseau. La seconde épreuve est une épreuve de développement Web : il était demandé aux étudiants de réaliser une application web originale sans imposer de technologie particulière. Le sujet a été dévoilé au début de l’épreuve histoire que les concurrents soient sur la même ligne de départ. Il devait créer un jeu de plateau avec pions et barrières. La dernière épreuve était dédiée à la sécurité informatique. Des épreuves ludiques destinées à sensibiliser les étudiants aux problèmes de sécurité qui ne sont pas abordées dans leur formation de DUT. Les vainqueurs : Yum install de l’IUT de Velizy, suivis de Rainbow Dash de l’Université de Nancy et les Beloutres (IUT La Rochelle).

BYOD, Cloud, Cybersécurité, Fuite de données

Les enjeux de l’Internet des objets (IdO) et du stockage Big Data

Un commentaire

L’augmentation du nombre de terminaux connectés, des réfrigérateurs aux thermostats, en passant par les appareils médicaux, soulève un problème de données plutôt singulier.

La question est de savoir comment les utilisateurs peuvent collecter, surveiller et stocker les quantités astronomiques de données générées par tous ces appareils. Revenons ici sur les implications du stockage des données de l’IdO, et tentons d’expliquer pourquoi une approche unique de la sauvegarde n’est pas adaptée et comment gérer le flot de données générées par les terminaux connectés.

Que représente la notion d’IdO ?
L’IdO, dont la définition englobe aujourd’hui tout terminal connecté, autre que les appareils traditionnels comme les tablettes, les smartphones et les ordinateurs de bureau et portables, progresse à la fois dans sa forme et son niveau de sophistication. En 2003, Hitachi a présenté des puces si petites qu’elles pouvaient être intégrées à la nourriture et utilisées pour contrôler les aliments que les gens consomment. Aujourd’hui, nous avons tout pour nous permettre de collecter et contôler les données: des moniteurs cardiaques aux caméras de surveillance ou réfrigérateurs intelligents.

Quel impact une telle quantité de données peut-elle avoir sur le stockage ?
Comment peut-on tracker toutes les données que nous créons? Nous en sommes déjà au stade où nous gaspillons des ressources en collectant trop de données. Les caméras de surveillance, par exemple: Quel est l’intérêt d’enregistrer toutes les séquences filmées par l’une de ces caméras ? Des millions de caméras sont en service dans le monde, et elles génèrent une quantité astronomique de données qui ne sont pas toutes forcément utiles.

Cependant, lorsque ces données sont agrégées et utilisées à des fins d’analyses, elles gagnent en utilité et deviennent plus faciles à gérer. Les particuliers et les entreprises doivent se demander quelles données sont les plus utiles sous forme détaillées, et quelles données sont plus utiles sous une forme agrégée et ont donc un simple intérêt statistique. Prenons l’exemple d’un moniteur cardiaque. Un patient est équipé d’un capteur qui mesure chaque battement de cœur. Les données capturées lors de palpitations sont importantes à la fois pour le patient et son médecin. Cependant, si les données étaient contrôlées par une société pharmaceutique, celle-ci trouverait intéressant de les consulter sous forme agrégée afin de mesurer les effets de certains médicaments pour le cœur sur un grand nombre de patients.

Comment les entreprises devraient définir l’importance des données collectées par les appareils connectés ?
Certaines sociétés suppriment les données collectées au bout d’une semaine, alors que d’autres appliquent des politiques plus systématiques et conservent uniquement les données d’une semaine sur deux pour une année en particulier. La politique de conservation appliquée prend son importance en fonction de la définition des données dont la conservation est utile, et de la manière d’y accéder. Une société étudiant les effets du réchauffement climatique peut avoir besoin de stocker des données relatives aux températures quotidiennes pendant des centaines d’années, alors qu’un fournisseur d’électricité peut n’avoir besoin de telles données qu’une fois par heure, sur une période de 10 ans ou moins. Il a simplement besoin de connaître la quantité d’électricité à générer en fonction des prévisions météorologiques locales et des données relatives à la consommation de ses clients à différents niveaux de températures.

La notion d’IdO implique une combinaison de nombreux éléments, et les informations pertinentes à en tirer dépendent de la manière dont ces éléments se combinent dans l’exécution de tâches spécifiques. (Joel Berman, vice-président du Marketing Corporate d’Acronis)

Emploi, Livres, Propriété Industrielle

Lecture : Algorithmique – Techniques fondamentales de programmation

Pour apprendre à programmer, il faut d’abord comprendre ce qu’est vraiment un ordinateur, comment il fonctionne et surtout comment il peut faire fonctionner des programmes, comment il manipule et stocke les données et les instructions, quelle est sa logique. Alors, au fur et à mesure, le reste devient évidence : variables, tests, conditions, boucles, tableaux, fonctions, fichiers, jusqu’aux notions avancées comme les compréhensions de listes et les objets.

Le langage algorithmique (ou la syntaxe du pseudo-code des algorithmes) reprend celui couramment utilisé dans les écoles d’informatique et dans les formations comme les BTS, DUT, première année d’ingénierie à qui ce livre est principalement destiné et conseillé. Une fois les notions de base acquises, le lecteur trouvera dans ce livre de quoi évoluer vers des notions plus avancées : un chapitre sur les objets, ouvre les portes de la programmation dans des langages évolués et puissants comme le C, le C++ et surtout Python.

À la fin de chaque chapitre, les auteurs ranck Ebel et Sébastien Rohaut proposent de nombreux exercices corrigés permettant de consolider ses acquis. Tous les algorithmes de ce livre sont réécrits en Python et les sources, directement utilisables, sont disponibles en téléchargement sur le site www.editions-eni.fr. 508 pages qui devraient ravir les amateurs du genre. 29.90 chez les libraires physiques et numériques.

Franck Ebel
Enseignant à l’IUT Informatique de Maubeuge, Université de Valenciennes, Commandant de Gendarmerie réserviste et spécialiste de la lutte anticybercriminalité, Franck EBEL est expert en failles applicatives. Il a créé la licence professionnelle «ethical hacking» appelée CDAISI, la seule en Europe en sécurité dite offensive. Il est certifié CEH, OSCP et Wifu. Il forme les Ntech de la gendarmerie de la région Nord-Pas de Calais et le CICERT de Côte d’Ivoire. Il est aussi Président de l’association ACISSI et organise chaque année le challenge de hacking « Hacknowledge Contest Europa-Africa ». Il est aussi membre de l’AFPY, association francophone pour Python. Il donne des conférences en Europe et en Afrique sur Python, les logiciels libres et la sécurité informatique.

Sébastien Rohaut
Ingénieur Système en missions régulières pour de grands comptes. Il enseigne également Unix et PHP à des classes préparatoires et d’ingénieurs. Fortement investi dans le monde des logiciels libres (fondateur et ancien président de Slyunix, association de promotion de Linux), il a organisé des « Install Parties » et des rencontres avec des débutants sous Linux dont il connaît parfaitement les problématiques. Enfin, il écrit fréquemment dans la presse spécialisée des articles destinés aux amateurs de Linux et des logiciels libres.

Chiffrement, cryptage, Entreprise, Logiciels, Paiement en ligne

API IDentité Numérique Développeurs de La Poste

Un commentaire

Avec l’API IDentité Numérique Développeurs, La Poste offre à tous les acteurs du web des échanges numériques sécurisés et renforce son rôle d’acteur majeur de l’internet de confiance. Dans le cadre du OUISHARE FEST 2014, le festival international de l’économie collaborative réunissant plus de 1 000 pionniers et start up innovantes, qui s’est tienu les 5, 6 et 7 mai derniers au Cabaret Sauvage (Porte de la Villette), La Poste a présenté son service IDentité Numérique dédié aux développeurs. En intégrant cette API, les acteurs du web et les ecommerçants développent la confiance entre des internautes et offrent la possibilité d’utiliser leur profil qualifié par La Poste pour se connecter sur leur site.

Qu’est-ce que l’IDentité Numérique ?
L’IDentité Numérique permet à un internaute  d’attester que son identité a été vérifiée physiquement par La Poste. Avec des profils qualifiés, les échanges entre particuliers se font en toute confiance. Grâce à La Poste, les particuliers peuvent se doter gratuitement d’une IDentité Numérique sur le site www.laposte.fr/identitenumerique. L’utilisation de l’IDentité Numérique de La Poste permet ainsi de bénéficier d’une confiance accrue pour échanger plus facilement, des biens ou des services comme la location entre particuliers par exemple.

L’API, comment ça marche ?
Simple et facile à intégrer, les développeurs intègrent l’API IDentité Numérique sur  leur site en se rendant au lien suivant : https://developpeurs.idn.laposte.fr. – la demande d’accès à ce service s’effectue via un formulaire de contact.

Quels bénéfices de l’API pour les sites ?
A chaque fois qu’un internaute utilise son identité numérique pour se connecter ou s’inscrire sur un site, le site en question reçoit les données de l’internaute que La Poste a vérifiées (Civilité, Nom, Prénom, date de naissance, adresse e-mail, adresse postale, N° de mobile). Les profils clients sont fiabilisés : un badge de confiance s’affiche sur le profil de l’internaute, attestant que son identité a été vérifiée par La Poste. Le badge sur son profil étant visible par les autres utilisateurs du site, cela lui permet de rassurer la communauté tout en gardant son anonymat. Grâce à la confiance que les autres ont en son profil, l’internaute va booster son profil et ses échanges. Par exemple, sur les sites partenaires comme prêtachanger.fr, les internautes ayant un badge La Poste troquent 5 fois plus que les autres. Les sites dotés de cette API renvoient également une image positive auprès des internautes et bénéficient d’un outil de communication, vecteur de notoriété pour acquérir de nouveaux clients.

 

Cybersécurité, Fuite de données, Propriété Industrielle

Protection contre les menaces persistantes complexes

Symantec a annoncé une approche totalement nouvelle de la protection contre les menaces persistantes complexes, dévoilant un programme de solutions intégrées, qui démontrent une capacité d’innovation en sécurité unique destinée à aider les entreprises à résoudre leurs problèmes les plus complexes.

Cette approche se fonde sur deux nouvelles offres : Symantec Managed Security Services – Advanced Threat Protection et Symantec Advanced Threat Protection Solution, qui corrèlent information et alertes à travers un large spectre de technologies de sécurité, pour offrir une prévention contre les attaques plus complètes. L’approche holistique de Symantec permet de générer des bénéfices issus de la collaboration des technologies de sécurité, transformant le combat complexe contre les attaques ciblées en une fonction gérable qui offre une protection et une valeur ajoutée plus élevée pour les entreprises.

Symantec va s’appuyer sur ses technologies de sécurité innovantes et son réseau de surveillance mondial qui protège déjà contre les APT (Advanced Threat Protection) pour développer de nouvelles défenses en fonction de l’évolution des attaques sophistiquées. Les nouvelles offres de prévention contre les menaces persistantes complexes utiliseront en effet les informations et l’expérience réunies sur ce type d’attaques par ses solutions de protection déjà installées sur 200 millions de postes de travail, et par ses solutions de sécurité web et email qui vérifient quotidiennement 8,4 milliards d’emails et 1,7 milliard de requêtes Internet.

« Le besoin d’une plus grande protection contre les menaces ciblées sur le marché est grandissant, et peu d’éditeurs disposent de la couverture ou des fonctionnalités complètes qui permettent de détecter et de répondre de façon adaptée aux attaques ciblées, » explique  Jon Oltsik, senior principal analyst, Enterprise Security Group (ESG). « Symantec est bien positionné pour proposer une solution de protection contre les menaces ciblées de bout en bout, en s’appuyant sur ses technologies existantes, en intégrant son portefeuille de solutions et en la développant comme un service, augmenté par un écosystème de partenaires en constante évolution. En utilisant son réseau de surveillance mondial et en développant de toutes nouvelles capacités de réponse aux incidents, Symantec peut réellement satisfaire un grand nombre de besoins des entreprises en matière de cyber sécurité ».

Les menaces persistantes complexes augmentent, les cybercriminels sont plus impitoyables que jamais et l’équation à plusieurs inconnues contre ces menaces est devenue plus difficile à résoudre. Si l’intérêt pour les solutions basées sur la sécurité des réseaux, considérées comme la réponse idéale, augmente, les départements informatiques doivent cependant toujours faire face à un nombre massif d’incidents, trop de faux-positifs et une liste trop importante de processus manuels qui doivent être gérés sans avoir nécessairement à disposition les ressources ou les connaissances nécessaires, ce qui laisse les entreprises exposées et vulnérables.

« Pour se défendre avec succès contre les menaces persistantes complexes que nous voyons aujourd’hui, les entreprises doivent dépasser le cadre de la prévention pour intégrer la détection et la réponse, » explique Brian Dye, senior vice president of Symantec Information Security. « La sécurité des réseaux seule ne va pas résoudre le problème. Les cybercriminels ciblent tous les points de contrôle, depuis la passerelle jusqu’à l’email en passant par le poste de travail. Les entreprises ont besoin d’une sécurité sur l’ensemble de ces points de contrôle qui collaborent, avec des capacités de réponse et une intelligence mondiale, pour combattre ces attaquants. Symantec propose désormais cet arsenal. »

Un service managé pour résoudre la détection pratique et les défis de réponse
Disponible en juin 2014, la prochaine offre de l’approche de protection contre les menaces persistantes complexes se nomme Symantec Managed Security Services – Advanced Threat Protection (MSS-ATP), un service managé qui réduit de façon significative le temps de détection, de définition des priorités et de réponse aux incidents de sécurité en intégrant la sécurité des postes de travail avec les produits de sécurité réseaux de vendeurs tiers. Ces données permettent aux clients de contenir, investiguer et résoudre rapidement et efficacement les attaques inconnues et de type zero-day qui passent à travers les solutions de sécurité existantes. En donnant la priorité aux menaces réelles sur les faux-positifs, les départements informatiques peuvent ainsi optimiser leurs ressources et s’assurer qu’ils protègent bien leur entreprise contre les vulnérabilités les plus importantes.

L’Advanced Threat Protection Alliance de Symantec (Alliance de protection contre les menaces ciblées) est un écosystème de partenaires de sécurité réseaux qui rassemblent à ce jour Check Point Software Technologies, Palo Alto Networks and Sourcefire (désormais intégrée à Cisco). A travers cet écosystème, la détection et la corrélation d’activité malveillante contre les postes de travail et les réseaux contribue à diminuer de façon substantielle les fausses alertes en pointant les incidents importants, permettant ainsi aux entreprises de répondre de plus rapidement aux incidents les plus critiques.

Une réponse puissante aux incidents et des services adverses managés
Dans les six prochains mois, Symantec va introduire deux nouveaux services clés. Le premier est un tout nouveau service de réponse aux incidents, permettant aux entreprises d’accéder immédiatement à des capacités, des connaissances et une expertise critiques lors de scénarios de réponses à des incidents. Le second est un nouveau service d’intelligence, permettant une visibilité et une analyse des menaces sans équivalent et une compréhension des risques liés au patrimoine informationnel clé de l’entreprise. Il intègre une offre d’intelligence, de flux de données et de portail, ainsi qu’une information managée adverse qui délivre des rapports précis sur les acteurs des menaces, pour une visibilité sans précédent sur les types d’attaques ciblant une entreprise.

Une nouvelle solution de protection contre les attaques ciblées sur l’ensemble des points de contrôle
En intégrant le tout, Symantec commercialisera d’ici un an une nouvelle solution de protection contre les menaces ciblées, dont le beta testing débutera sous six mois. Cette solution innovante et complète proposera une protection avancée intégrée couvrant le poste de travail, l’email et la passerelle, et offrira aux entreprises les capacités de détection et de réponse critiques sur chaque point de contrôle respectif.

Deux nouvelles technologies innovantes et développées en interne renforceront également les capacités de détection et de réponses des solutions :
·         Le service d’analyse dynamique des malwares de Symantec est une sandbox cloud où l’analyse comportementale des contenus actives peut être utilisée pour maximiser rapidement  l’identification ;
·         Synapse™, qui permet une communication fluide entre le poste de travail, l’email et la passerelle, et par conséquent une réponse améliorée.

Le portefeuille de solutions de protection contre les menaces persistantes complexes s’appuie sur le Symantec Global Intelligence Network (GIN) et une équipe de plus de 550 chercheurs à travers le monde. Le GIN de Symantec collecte des éléments de télémétrie fournis en permanence et de façon anonyme par des centaines de millions de clients et de capteurs. Symantec utilise ces données, plus de 3,7 milliards de lignes de télémétrie, volume en constante augmentation, pour découvrir de façon automatique de nouvelles attaques, surveiller les réseaux des attaquants et développer des technologies prédictives et proactives qui offre une protection inégalée contre les menaces avancées pour les clients de l’entreprises.

Chiffrement, cryptage, Fuite de données, Logiciels

Cloud privés pour appareils mobiles via des VPN SSL de Barracuda

Grâce à la nouvelle version des VPN SSL, les tablettes et téléphones mobiles accèdent plus facilement aux fichiers et applications web internes. Barracuda Networks,  fournisseur de solutions de stockage et de sécurité Cloud, a annoncé la sortie de ses VPN SSL version 2.5. Ces solutions permettent aux employés d’avoir un meilleur accès à distance aux fichiers et applications web internes à partir de n’importe quel environnement virtuel, y compris via iPad, iPhone, Windows Phone et appareils Android, sans avoir besoin de déployer ou d’être compatible avec les clients VPN.

Selon Stephen Pao, directeur général du département sécurité chez Barracuda, « Avec l’utilisation de différentes plateformes telles qu’iOS, Android ou Windows au sein des environnements BYOD habituels, trouver une solution VPN SSL et un accès à distance compatibles peut devenir problématique. La toute dernière version des VPN SSL de Barracuda a été conçue de sorte à offrir une expérience utilisateur nomade optimale puisqu’elle permet aux administrateurs informatiques de fournir aux utilisateurs un accès à distance sécurisé et moderne, de type Cloud, aux applications web et aux fichiers internes tout en évitant les frais des plateformes de téléchargement d’applications ou de gestion d’appareils mobiles pour entreprise. »

Les caractéristiques principales des nouvelles solutions VPN SSL 2.5 de Barracuda incluent :
– Un accès omniprésent : le tout nouveau portail mobile permet aux employés d’accéder, à distance et à partir de n’importe quel appareil mobile, aux applications internes d’entreprise telles que Sharepoint, Internal Order Systems ainsi qu’aux Intranets et à bien d’autres applications.

– Un contrôle d’accès sécurisé : les administrateurs contrôlent l’accès de tous les utilisateurs grâce à une option permettant de sécuriser les ressources avec des mots de passe uniques sur les téléphones mobiles, des questions de sécurité, ou une intégration à des systèmes avancés d’authentification tels que des jetons d’authentification, des protocoles RADIUS, et autres fonctions de sécurité.

– Une tarification simple : l’accès à distance pour les appareils mobiles a été conçu de sorte à être facile, économique et sans frais d’utilisateur.

– Une configuration facile : une configuration simple des appareils Windows et iOS (iPhone, iPad et Mac) pour les protocoles Exchange, LDAP, IPsec, PPTP, Webclips et Certificats Clients.

La version 2.5 des VPN SSL Barracuda offre également aux entreprises un plan de continuité grâce à un accès à distance aux ressources de l’entreprise pendant les catastrophes naturelles ou autres situations critiques. Comme en témoigne Chris Robinson, directeur informatique de la Queensland Art Gallery, « pendant les inondations, nous avons pu déployer les solutions VPN SSL de Barracuda et cela a permis à notre équipe de continuer à travailler à distance. »

Prix et disponibilité
Les solutions VPN SSL version 2.5 de Barracuda sont dès à présent disponibles, dans le monde entier, gratuitement pour les utilisateurs de la plateforme matérielle actuelle ayant un abonnement Energize Updates actif. Elles sont également disponibles sous plusieurs formes d’appareils virtuels, permettant ainsi un déploiement local ou sur le Cloud selon les besoins des entreprises. Les solutions VPN SSL de Barracuda sont disponibles à partir de 749€ pour l’appareil et à partir de 249 € pour l’abonnement Energize Updates. Un service optionnel de remplacement immédiat avec remplacement prioritaire du matériel en panne et mise à disposition gratuite d’un matériel de moins de 4 ans est disponible à partir de €149 par an. Les prix internationaux varient en fonction des régions du monde. Pour plus d’informations, veuillez contacter France@barracuda.com

Ressources
Page internet du VPN SSL Barracuda – http://cuda.co/ssl25
Page internet du VPN SSL Vx Barracuda – http://cuda.co/ssl25vx