Microsoft ne publie plus de notifications en 2015

 

 

Nous sommes en janvier 2015 et plus précisément à la veille du premier Patch Tuesday de l’année. Microsoft aurait déjà dû publier sa première pré-notification de sécurité (Advance Notification Service ou ANS) avant de lancer le cycle de patch. Or, la nouvelle année apporte tout un cortège de changements et la pré-notification est concernée par l’un d’eux. En effet, Microsoft arrêtera de fournir publiquement les informations ANS et les parties intéressées devront en faire la demande en s’adressant à leur chargé de compte.

Jetons un œil sur l’année qui s’est écoulée pour voir ce que nous réserve la nouvelle. 2014 a plutôt été une année turbulente en matière de sécurité de l'information au sens large. En effet, il y a eu des failles de données d’envergure, notamment celles qui ont affecté JP Morgan Chase, Home Depot et Sony, des vulnérabilités critiques au sein de logiciels Open Source, notamment Heartbleed dans OpenSSL et Shellshock dans Bash, des logiciels mis au rebus (Windows XP et Java 6) ainsi qu’un nombre élevé de vulnérabilités 0-Day dans des logiciels Microsoft et Adobe qui a dû patcher Flash chaque mois de l’année 2014.

Les vulnérabilités 0-Day continuent de faire parler d’elles en ce début d’année, non pas à cause de pirates cette fois, mais par le biais d’une équipe chargée de la recherche en sécurité. Le Project Zero de Google traque les vulnérabilités au sein des logiciels courants et publie les résultats de manière transparente. Les entreprises disposent ensuite de 90 jours pour résoudre les problèmes avant que les informations relatives aux vulnérabilités ne deviennent publiques. Membre de l’équipe en charge du Project Zero, James Forshaw a découvert une vulnérabilité basée sur une élévation locale de privilèges dans Windows 8.1 le 30 septembre dernier et l’a rendue publique le 29 décembre, ce qui a ravivé la polémique sur l’intérêt de telles divulgations en l’absence d’un quelconque patch à proposer (voir les commentaires ici :https://code.google.com/p/google-security-research/issues/detail?id=118). S’agissant d’une élévation locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine ciblée. Cependant, une fois l’attaquant installé sur ladite machine, cette vulnérabilité lui permet d’en devenir administrateur et d’avoir un contrôle total sur la machine cible. Vous vous souvenez de Stuxnet ? Les attaquants avait inséré 2 vulnérabilités 0-Day dans le code malveillant afin de pouvoir devenir administrateurs et d’avoir un contrôle complet d’une machine. La présente vulnérabilité appartient à une classe semblable. Il n’y a fondamentalement pas de quoi s’affoler, sauf si elle est associée à d’autres vulnérabilités ou à un accès obtenu grâce à des certificats volés.

 

BONUS:

http://blogs.technet.com/b/msrc/archive/2015/01/08/evolving-advance-notification-service-ans-in-2015.aspx

http://technet.microsoft.com/en-us/security/dn467918.aspx

http://marc.info/?l=patchmanagement&r=1&b=201501&w=2

 

Abonnement

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les IT Managers et membres des COMEX/CODIR Renseignements: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

 

 

 

Veille Cyberisques.com "De Big Brother à Big Browser"

Monaco "Assises de la sécurité 2014": de Big Brother à ...Big Browser

 

La dernière édition des "Assises" à Monaco vient de démontrer qu'en cyber-sécurité, la prévention s'efface désormais devant la réaction. Si l'époque du chateau fort de la sécurité périmétrique est révolue, la nouvelle sécurité qui se met en place au sein des entreprises s'avère plus complexe au plan humain et plus proche des préoccupations des Directions Générales au niveau des coûts. le vieux "big brother" est en passe d'être remplacé par des "servics" de scan généralisés sur les données à caractère "comportemental". Bref un nouveau un "big browser" plus efficace tourné vers la personnalisation des offres avec le risque de voir de plus en plus d'atteinte à la vie privée.

 

C'était il y a 10 ans c'était hier: les Assises fêtaient leur 5 eme édition, Monaco avait remplacé Deauville lieu historique de la naissance des "Assises" avec comme partenaire, un des premiers magazines uniquement consacré à ce sujet: NetCost&Security. En 2004, les SI (Systèmes d'Information) étaient des forteresses verrouillées par quelques firewalls et les data breach étaient à peine évoquées. Pire: bon nombre d'acteurs du marché de la sécurité soutenaient que les attaques seront de mieux en mieux controlées voire stoppées dans un futur proche.

10 ans plus tard en 2014 tout a changé: les SI sont tous hyperconnectés au Net et évoluent, on l'oublie un peu vite, en puissance de calcul du TeraFlops (Mille milliards de nombre d'opérations par seconde) à l' ExaFlops (un milliard de milliards de nombre d'opérations par seconde). S'ajoutent d'autres facteurs: la forte pénétration des mobiles, les réseaux sociaux qui prennent de l'ampleur, les cyber-attaques qui se multiplient tout comme la fraude au Président et les ransomwares. Pire: les SI industriels redoutent des actes de cybersabotage, les firewalls sont souvent contournés, les directives européennes s'imposent, les réglementations sont jugées liberticides par certains... et surtout l'industrialisation de la cyber délinquance est partout. Dans ce nouveau paysage, tout est à refaire. 

La sécurité des réseaux et SI devenue on ne sait trop pourquoi "cyber sécurité" semble aujourd'hui souvent dépassée. Dépassée dans son discours mais techniquement toujours innovante. Reste un constat: la cyber-sécurité en 2014 impacte directement le "business" avec la place incontournable prise par la numérisation des échanges. La cyber-sécurité s'immisce dans le "business" avec des "baselines" confiantes  de la part des acteurs des marchés Cloud, Datacenters, mobiles...: “ confiez-nous vos données persos, nous vous aiderons à les rendre plus sécurisées ”. En contrepoint, on entend souvent cet autre son de cloche: “Si c'est gratuit c'est Vous le produit ”. Mais la confiance, existe t-elle ? 

" Si c'est gratuit c'est Vous le produit "

 

...

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

BONUS 1 :

Dr Laurent Alexandre, invité d'honneur aux Assises 2014, “jusqu'a maintenant les dictatures ne pénétraient pas totalement les cerveaux, avec les neurotechnologies, le cerveau va devenir le coeur des métiers de la sécurité”

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 2 :

Laurent Heslault, Symantec, expert de l'évolution de la cyber-sécurité : “l'un des axes forts de la cyber-sécurité aujourd'hui, c'est le service liés aux profils des cyber-attaques, qui avec quel outils et quelles procédures ? “

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 3:

Guillaume Poupard: “Quand un OIV se fait attaquer il est rare qu'un autre ne le soit pas”.

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 4:

Alain Juillet “Sur l'Internet souterrain, existe de plus en plus de cyberterrorisme”

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 4bis

Jérôme Robert, cabinet Lexis, “Si la prévention s'efface devant la réaction, si l'époque du chateau fort de la sécurité préimétrique est révolue, la nouvelle sécurité qui se met en place est plus complexe.” (BONUS 4 bis)

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 5:

Arkoon Netasq François Lavaste CEO. "La sécurité c'est aujourd'hu la domotique d'une maison plus seulement le verrou et la porte blindée" en précisant "cette domotique est raccordée en permanence a un SOC, central d'alarme et de télésurveillance que nous savons gére via notre accord avec Airbus"

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 6:

Florent Skrabacz, IT Security chez Stéria : "Nous convergeons vers les problématiques de niveaux de sécurité des SI. Deux grandes tendances sont a distinguer ; standardiser pour limiter l'érosion des marges d'ou un besoin de solutions standards qui intéresse particulièrement les cyber-assureurs soucieux de connaître le niveau de sécurité des SI. La seconde considération, c'ets la différenciation par la sécurité. La sécurité peut aider à prendre des risques. Des risques raisonnés et différenciateurs. Ainsi, une offre sécurisée d'un service de paiement par mobile peut être un facteur de « boost » pour le business. La sécurité c'est aussi pouvoir prendre de nouveaux risques « raisonnés » .

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 7: Econocom-Osiatis Marc "les couts cachés ausssi importants que lescouts apparents d'ou l'importance des offres polices cyber des assureurs" et http://www.cyberisques.com/fr/mots-cles-3/351-apres-l-affaire-snowden-trend-micro-propose-une-solution-de-securite-gateway

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 8: "RSSI mystérieux" en charge d'une grande marque française présente sur le marché mondial du luxe

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 9: Eset, Fortinet, Thales, Blackberry et leurs partenaires: le partage comme stratégie d'entreprise

 

BONUS 10:  http://www.insurancetimes.co.uk/lloyds-chief-exec-predicts-cyber-insurance-boom/1410252.article et http://www.cyberisques.com/fr/mots-cles-8/353-state-of-the-cyber-insurance-us 

http://usa.marsh.com/NewsInsights/Toolkits/CyberRisk.aspx

 

BONUS 11http://www.caprioli-avocats.com/69-articles/actualites/313-l-incontournable-rssi  

 

 

 

E-Reputtaion-Risk-Cyberisques

Comment HP perçoit les défis posés par la cyber-sécurité ?

 

Londres 15 octobre 2014: Comment HP perçoit les défis posés par la cyber-sécurité ?

On le sait les entreprises US s'inquiètent des impacts des futures réglementations européennes sur leur business. Certaines comme IBM refusent de l'évoquer. Ce n'est pas le cas de HP. Le constructeur-éditeur s'intéresse particulièrement aux coûts liès aux cyber-attaques. Résultat, deux grands patrons accompagnés par le directeur de PAC GB ont fait le déplacement depuis la Californie à Londres pour s'adresser à la presse européenne. Récit.  

 

Couts-Dérégulation

 

Que montrer et que dire aux clients en matières de cyber-sécurité quand on se nomme HP ? C'est pour répondre à cette question devant les médias que HP a réuni à Londres la presse spécialisée pour un « exceptionnel Cybersecurity Day Media ». Le patron de R&D en Cybersecurity, Jacob West était là avec l'analyste Duncan Brown de PAC consulting et le directeur monde de la gamme produist et services cyber-securité, Art Gilliland. C'est d'ailleurs lui qui ouvre le feu avec une présentation « produits » de presque une heure.

Art Gililand Enterprise Security. Product. Senior Vice President Sec : « la cyber-sécurité touche de plus en plus de managers et plus seulement le CISO »

Pour Art Gililand, lorsqu'on s'adresse aux clients, plusieurs personnes sont désormais interessées par la cyber-secu et à différents niveaux. Il précise « C'est un véritable challenge pour les entreprises qui développent des solutions cyber-sécurité ». Reste les tendances significatives identifiées par HP. Le VP securité les présente successivement. La première c'est la professionnalisation coté attaquants et l'organisation collectives qu'ils mettent au point. Selon HP, les cyber-attaquants...

...

 

 

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

Offre-Produits-Secure-HP

 

Wi-Fi public: jusqu'où aller pour des usages gratuits ?


F-Secure / Europol: une enquête sur les conditions d'usage d'un Wi-Fi gratuit démontrent les exces des utilisateurs

Dans une enquête F-Secure soutenue par Europol, les chercheurs constatent que les consommateurs exposent imprudemment leurs données personnelles via Wi-Fi public et négligent des « CGU » plutôt loufoques

(Source Communication corporate) 30 septembre 2014 – Une nouvelle enquête Wi-Fi commissionnée par F-Secure et menée dans les rues de Londres démontre que les consommateurs utilisent négligemment le Wi-Fi public, sans penser un instant à leur vie privée. Lors de cette expérience, qui consistait à mettre en place un Wi-Fi «empoisonné», les utilisateurs peu méfiants ont exposé leur trafic Internet, leurs données personnelles, le contenu de leurs e-mails, et ont même convenu d'une clause scandaleuse qui les oblige à renoncer à leur premier enfant en échange de l’utilisation du Wi-Fi.

Cette enquête indépendante, soutenue par les équipes d’Europol, a été effectuée au nom de F-Secure par le Cyber Security Research Institute du Royaume-Uni et SySS, une société de tests d’intrusion allemande. Durant cet exercice, SySS a construit un point d'accès...

...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

BONUS:

 : « Tainted Love: How Wi-Fi Betrays Us » :
https://fsecureconsumer.files.wordpress.com/2014/09/wi-fi-experiment_uk_2014.pdf

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires