L'AFNOR : un guide sur la gestion et prévention des fuites

 

L'AFNOR publie un guide sur la prévention et la gestion des fuites d’informations

(Source Communication Corporate) Ordinateur volé, document confidentiel oublié dans une salle d’attente, piratage de mot de passe, écran de téléphone visible par tous, mot de passe trop simple, discussion confidentielle dans un lieu public, perte de contrôle des données sensibles : l’actualité continue de donner des exemples d’erreurs ou d’actes malveillants conduisant à des fuites d’informations préjudiciables.

Pour prévenir ces situations au sein des entreprises et administrations et les gérer si elles surviennent, AFNOR publie le premier guide proposant des méthodes robustes et partagées. C’est le fruit d’un an de travail mené par des professionnels de la sécurité des systèmes d’information, tous mobilisés pour partager leurs expériences, leurs expertises et leurs bonnes pratiques.

Fuites d’information : un risque qui se généralise

La prévention et la gestion de la fuite de données est devenue une préoccupation majeure en matière de sécurité des systèmes d’information. Avec un environnement informatique plus ouvert et en évolution permanente, les organisations doivent redoubler de vigilance pour protéger leur patrimoine informationnel.

Le guide AFNOR BP Z90-001 apporte des réponses aux questions suivantes : comment s’organiser pour prévenir les risques liés aux fuites de données ? Quelles actions mettre en place ? Comment construire une politique de prévention de la fuite d’information (en anglais « Data Leak Prevention DLP) » ? Comment transformer une fuite de données en opportunité ? Quelles sont les dispositions légales existantes en la matière ?

Des conseils concrets pour se protéger des fuites de données

Elaboré de manière collective, au sein d’un groupe de travail* composé de représentants d’organismes institutionnels, d’experts juridiques en sécurité des systèmes d’information, de cabinets de conseils et de sociétés utilisatrices, le guide de bonnes pratiques AFNOR BP Z90-001 a été créé pour accompagner les organisations dans leur problématique de sécurité de l’information par un ensemble de recommandations et de solutions techniques.

Facteur humain, concepts et grands principes d’une mise en place d’une politique de DLP, étapes de mise en œuvre et gestion de la fuite sont autant d’aspects qu’une organisation doit considérer.

Parmi les recommandations opérationnelles figure l’indispensable sensibilisation des salariés à la « discrétion professionnelle », quant aux informations données à des tiers. Le guide recommande également que les organisations identifient, au préalable, certains points cruciaux, tels que les types de fuites possibles, les vecteurs potentiels (personnel, réseaux et médias, téléphone, clé usb…) ou encore les moyens et outils pouvant être utilisés (e-reputation, solution logicielle, cryptage…).

 Le guide précise aussi l’ensemble des étapes à suivre pour mettre en œuvre une politique préventive efficace (une équipe de projet dédiée, l’identification des données à risque, des actions et procédures à déclencher, le déploiement de la stratégie…) avant de détailler les axes d’une bonne gestion de la fuite d’information (avec notamment un chapitre sur la communication).

AON-DATA-BREACH

Un plan d’action-type pour gérer toute fuite de données

Quelles que soient les précautions mises en œuvre pour se prémunir d’une fuite d’informations, il est impossible d’atteindre le risque zéro. C’est pourquoi le guide AFNOR BP Z90-001 donne toutes les clés, étape par étape, pour transformer une fuite de données en opportunité : organisation de la cellule de crise, plan de gestion et traitement de la fuite, mise en place d’un éventuel plan de communication, retour à la normale…

Un point complet sur les dispositions légales en termes de fuites de données

Dernier sujet abordé par le guide : une présentation du contexte normatif, juridique et réglementaire en France, avant d’aborder ceux en vigueur dans les autres pays.

Premier document AFNOR sur le sujet, le guide BP Z90-001 pourra servir de base de réflexion à un projet à l’échelle européenne, et ainsi être encore enrichi de retours d’expériences.

 

BONUS:

Pour commander le guide  BP Z90-001 « Prévention et gestion de la fuite d'informations - Protection du patrimoine informationnel » http://www.boutique.afnor.org/norme/bp-z90-001/prevention-et-gestion-de-la-fuite-d-informations-protection-du-patrimoine-informationnel-/article/822348/fa059471

Les organisations impliquées dans l’élaboration du guide AFNOR BP Z90-001 : 3M, Agence Leprivé & Stratég-IE ; BERSAY & Associés ; Daphné Dailloux (juriste) ; DGA Défense ; EISTI (Mastère Intelligence Economique) ; ID-LOGISM ; La Marine Nationale ; MIRCA ; SINDUP ; SNARP France Détective ; SSL EUROPA ; SYMANTEC ; THALES.

  

 

Microsoft ne publie plus de notifications en 2015

 

 

Nous sommes en janvier 2015 et plus précisément à la veille du premier Patch Tuesday de l’année. Microsoft aurait déjà dû publier sa première pré-notification de sécurité (Advance Notification Service ou ANS) avant de lancer le cycle de patch. Or, la nouvelle année apporte tout un cortège de changements et la pré-notification est concernée par l’un d’eux. En effet, Microsoft arrêtera de fournir publiquement les informations ANS et les parties intéressées devront en faire la demande en s’adressant à leur chargé de compte.

Jetons un œil sur l’année qui s’est écoulée pour voir ce que nous réserve la nouvelle. 2014 a plutôt été une année turbulente en matière de sécurité de l'information au sens large. En effet, il y a eu des failles de données d’envergure, notamment celles qui ont affecté JP Morgan Chase, Home Depot et Sony, des vulnérabilités critiques au sein de logiciels Open Source, notamment Heartbleed dans OpenSSL et Shellshock dans Bash, des logiciels mis au rebus (Windows XP et Java 6) ainsi qu’un nombre élevé de vulnérabilités 0-Day dans des logiciels Microsoft et Adobe qui a dû patcher Flash chaque mois de l’année 2014.

Les vulnérabilités 0-Day continuent de faire parler d’elles en ce début d’année, non pas à cause de pirates cette fois, mais par le biais d’une équipe chargée de la recherche en sécurité. Le Project Zero de Google traque les vulnérabilités au sein des logiciels courants et publie les résultats de manière transparente. Les entreprises disposent ensuite de 90 jours pour résoudre les problèmes avant que les informations relatives aux vulnérabilités ne deviennent publiques. Membre de l’équipe en charge du Project Zero, James Forshaw a découvert une vulnérabilité basée sur une élévation locale de privilèges dans Windows 8.1 le 30 septembre dernier et l’a rendue publique le 29 décembre, ce qui a ravivé la polémique sur l’intérêt de telles divulgations en l’absence d’un quelconque patch à proposer (voir les commentaires ici :https://code.google.com/p/google-security-research/issues/detail?id=118). S’agissant d’une élévation locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine ciblée. Cependant, une fois l’attaquant installé sur ladite machine, cette vulnérabilité lui permet d’en devenir administrateur et d’avoir un contrôle total sur la machine cible. Vous vous souvenez de Stuxnet ? Les attaquants avait inséré 2 vulnérabilités 0-Day dans le code malveillant afin de pouvoir devenir administrateurs et d’avoir un contrôle complet d’une machine. La présente vulnérabilité appartient à une classe semblable. Il n’y a fondamentalement pas de quoi s’affoler, sauf si elle est associée à d’autres vulnérabilités ou à un accès obtenu grâce à des certificats volés.

 

BONUS:

http://blogs.technet.com/b/msrc/archive/2015/01/08/evolving-advance-notification-service-ans-in-2015.aspx

http://technet.microsoft.com/en-us/security/dn467918.aspx

http://marc.info/?l=patchmanagement&r=1&b=201501&w=2

 

Comment HP perçoit les défis posés par la cyber-sécurité ?

 

Londres 15 octobre 2014: Comment HP perçoit les défis posés par la cyber-sécurité ?

On le sait les entreprises US s'inquiètent des impacts des futures réglementations européennes sur leur business. Certaines comme IBM refusent de l'évoquer. Ce n'est pas le cas de HP. Le constructeur-éditeur s'intéresse particulièrement aux coûts liès aux cyber-attaques. Résultat, deux grands patrons accompagnés par le directeur de PAC GB ont fait le déplacement depuis la Californie à Londres pour s'adresser à la presse européenne. Récit.  

 

Couts-Dérégulation

 

Que montrer et que dire aux clients en matières de cyber-sécurité quand on se nomme HP ? C'est pour répondre à cette question devant les médias que HP a réuni à Londres la presse spécialisée pour un « exceptionnel Cybersecurity Day Media ». Le patron de R&D en Cybersecurity, Jacob West était là avec l'analyste Duncan Brown de PAC consulting et le directeur monde de la gamme produist et services cyber-securité, Art Gilliland. C'est d'ailleurs lui qui ouvre le feu avec une présentation « produits » de presque une heure.

Art Gililand Enterprise Security. Product. Senior Vice President Sec : « la cyber-sécurité touche de plus en plus de managers et plus seulement le CISO »

Pour Art Gililand, lorsqu'on s'adresse aux clients, plusieurs personnes sont désormais interessées par la cyber-secu et à différents niveaux. Il précise « C'est un véritable challenge pour les entreprises qui développent des solutions cyber-sécurité ». Reste les tendances significatives identifiées par HP. Le VP securité les présente successivement. La première c'est la professionnalisation coté attaquants et l'organisation collectives qu'ils mettent au point. Selon HP, les cyber-attaquants...

...

 

 

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

Offre-Produits-Secure-HP

 

Abonnement

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les IT Managers et membres des COMEX/CODIR Renseignements: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

 

 

 

Veille Cyberisques.com "De Big Brother à Big Browser"

Monaco "Assises de la sécurité 2014": de Big Brother à ...Big Browser

 

La dernière édition des "Assises" à Monaco vient de démontrer qu'en cyber-sécurité, la prévention s'efface désormais devant la réaction. Si l'époque du chateau fort de la sécurité périmétrique est révolue, la nouvelle sécurité qui se met en place au sein des entreprises s'avère plus complexe au plan humain et plus proche des préoccupations des Directions Générales au niveau des coûts. le vieux "big brother" est en passe d'être remplacé par des "servics" de scan généralisés sur les données à caractère "comportemental". Bref un nouveau un "big browser" plus efficace tourné vers la personnalisation des offres avec le risque de voir de plus en plus d'atteinte à la vie privée.

 

C'était il y a 10 ans c'était hier: les Assises fêtaient leur 5 eme édition, Monaco avait remplacé Deauville lieu historique de la naissance des "Assises" avec comme partenaire, un des premiers magazines uniquement consacré à ce sujet: NetCost&Security. En 2004, les SI (Systèmes d'Information) étaient des forteresses verrouillées par quelques firewalls et les data breach étaient à peine évoquées. Pire: bon nombre d'acteurs du marché de la sécurité soutenaient que les attaques seront de mieux en mieux controlées voire stoppées dans un futur proche.

10 ans plus tard en 2014 tout a changé: les SI sont tous hyperconnectés au Net et évoluent, on l'oublie un peu vite, en puissance de calcul du TeraFlops (Mille milliards de nombre d'opérations par seconde) à l' ExaFlops (un milliard de milliards de nombre d'opérations par seconde). S'ajoutent d'autres facteurs: la forte pénétration des mobiles, les réseaux sociaux qui prennent de l'ampleur, les cyber-attaques qui se multiplient tout comme la fraude au Président et les ransomwares. Pire: les SI industriels redoutent des actes de cybersabotage, les firewalls sont souvent contournés, les directives européennes s'imposent, les réglementations sont jugées liberticides par certains... et surtout l'industrialisation de la cyber délinquance est partout. Dans ce nouveau paysage, tout est à refaire. 

La sécurité des réseaux et SI devenue on ne sait trop pourquoi "cyber sécurité" semble aujourd'hui souvent dépassée. Dépassée dans son discours mais techniquement toujours innovante. Reste un constat: la cyber-sécurité en 2014 impacte directement le "business" avec la place incontournable prise par la numérisation des échanges. La cyber-sécurité s'immisce dans le "business" avec des "baselines" confiantes  de la part des acteurs des marchés Cloud, Datacenters, mobiles...: “ confiez-nous vos données persos, nous vous aiderons à les rendre plus sécurisées ”. En contrepoint, on entend souvent cet autre son de cloche: “Si c'est gratuit c'est Vous le produit ”. Mais la confiance, existe t-elle ? 

" Si c'est gratuit c'est Vous le produit "

 

...

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

BONUS 1 :

Dr Laurent Alexandre, invité d'honneur aux Assises 2014, “jusqu'a maintenant les dictatures ne pénétraient pas totalement les cerveaux, avec les neurotechnologies, le cerveau va devenir le coeur des métiers de la sécurité”

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 2 :

Laurent Heslault, Symantec, expert de l'évolution de la cyber-sécurité : “l'un des axes forts de la cyber-sécurité aujourd'hui, c'est le service liés aux profils des cyber-attaques, qui avec quel outils et quelles procédures ? “

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 3:

Guillaume Poupard: “Quand un OIV se fait attaquer il est rare qu'un autre ne le soit pas”.

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 4:

Alain Juillet “Sur l'Internet souterrain, existe de plus en plus de cyberterrorisme”

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 4bis

Jérôme Robert, cabinet Lexis, “Si la prévention s'efface devant la réaction, si l'époque du chateau fort de la sécurité préimétrique est révolue, la nouvelle sécurité qui se met en place est plus complexe.” (BONUS 4 bis)

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 5:

Arkoon Netasq François Lavaste CEO. "La sécurité c'est aujourd'hu la domotique d'une maison plus seulement le verrou et la porte blindée" en précisant "cette domotique est raccordée en permanence a un SOC, central d'alarme et de télésurveillance que nous savons gére via notre accord avec Airbus"

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 6:

Florent Skrabacz, IT Security chez Stéria : "Nous convergeons vers les problématiques de niveaux de sécurité des SI. Deux grandes tendances sont a distinguer ; standardiser pour limiter l'érosion des marges d'ou un besoin de solutions standards qui intéresse particulièrement les cyber-assureurs soucieux de connaître le niveau de sécurité des SI. La seconde considération, c'ets la différenciation par la sécurité. La sécurité peut aider à prendre des risques. Des risques raisonnés et différenciateurs. Ainsi, une offre sécurisée d'un service de paiement par mobile peut être un facteur de « boost » pour le business. La sécurité c'est aussi pouvoir prendre de nouveaux risques « raisonnés » .

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 7: Econocom-Osiatis Marc "les couts cachés ausssi importants que lescouts apparents d'ou l'importance des offres polices cyber des assureurs" et http://www.cyberisques.com/fr/mots-cles-3/351-apres-l-affaire-snowden-trend-micro-propose-une-solution-de-securite-gateway

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 8: "RSSI mystérieux" en charge d'une grande marque française présente sur le marché mondial du luxe

Pour lire la suite: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

BONUS 9: Eset, Fortinet, Thales, Blackberry et leurs partenaires: le partage comme stratégie d'entreprise

 

BONUS 10:  http://www.insurancetimes.co.uk/lloyds-chief-exec-predicts-cyber-insurance-boom/1410252.article et http://www.cyberisques.com/fr/mots-cles-8/353-state-of-the-cyber-insurance-us 

http://usa.marsh.com/NewsInsights/Toolkits/CyberRisk.aspx

 

BONUS 11http://www.caprioli-avocats.com/69-articles/actualites/313-l-incontournable-rssi  

 

 

 

E-Reputtaion-Risk-Cyberisques

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires