Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 921 à 930.
| < Les 10 documents précédents | Les 10 documents suivants > |
(10/05/2010 09:44:48)
L'Amrae publie son panorama des systèmes d'information de gestion des risques
Pour répertorier, analyser, synthétiser ou restituer des informations à la fois nombreuses et variées, les gestionnaires du risque s'appuient bien souvent sur de simples tableaux Excel ou sur des applications sous Access. Mais à partir d'une certaine volumétrie et d'une certaine complexité, le recours à des produits spécialisés s'impose, afin de construire un SIGR (système d'information de gestion des risques) digne de ce nom. Le choix se heurte alors à une offre pléthorique et relativement récente dont les produits proposent des fonctions aussi variées que le sont les besoins.
Pour tenter d'apporter un peu de lumière, la commission « systèmes d'information » de l'Amrae (Association pour le management des risques et des assurances pour l'entreprise) vient de publier la version 2009 de son panorama annuel. Il est basé sur les réponses des 17 éditeurs ayant rempli le questionnaire (sur 73 interrogés). Ces réponses n'ont certes pas fait l'objet de vérifications particulières mais le document final a le mérite de mettre en évidence la couverture fonctionnelle de chaque offre.
Des produits généralistes ou très spécialisés
Cette couverture est décrite au travers de 18 critères fonctionnels évalués de 1 à 4, comme le reporting, le workflow, l'audit, l'assurance, la cartographie des risques, la maîtrise des risques, la gestion de crise, le contrôle interne, la personnalisation ou encore le support des devises. De plus, un lien a été établi entre certains critères et les dimensions du référentiel COSO II (notamment la capacité d'adaptation du SIGR à l'organisation, la capacité d'intégration des objectifs et du suivi de leur atteinte, ou encore la gestion des droits d'accès et la traçabilité).
[[page]]
L'étude détaille chaque produit, d'une part sous la forme d'un diagramme correspondant aux 18 critères, d'autre part sous celle d'un histogramme représentant les dimensions COSO II. Ces résultats confirment la grande disparité entre les produits, certains cherchant une couverture fonctionnelle maximum tandis que d'autres se concentrent dans des domaines précis. Des diagrammes inspirés des fameux cadrans magiques du Gartner font d'ailleurs émerger généralistes et spécialistes.
Ainsi, l'un de ces cadrans, qui retient deux critères essentiels - la cartographie des risques et l'assurance - place dans les généralistes, AON, Effisoft, Enablon, Marsh, Mega, RVR Systems, SAS et Sword Group. Tandis que IDS Scheer ou Methodware portent leur effort sur la cartographie, et que EI Michel Bouton (ex-Compagnie Transair) privilégie pour sa part les assurances. Un second cadran retient comme critère, toujours la cartographie en abscisse mais cette fois le suivi des plans d'action en ordonnée, ce qui permet de retrouver sensiblement les mêmes généralistes, en haut à droite du cadran.
Le panorama des SIGR (...)
Core Security trouve les patchs «cachés» de Microsoft
Deux des trois vulnérabilités, dont la plus sérieuse, ont été intégrées à la mise à jour MS10-024 que Microsoft a livré le 13 avril dernier pour corriger des bugs dans Exchange et Windows SMTP Service. L'éditeur avait même qualifié ces correctifs d'«importants», le second rang dans son classement des menaces. Selon Ivan Arce, chef de la technologie chez Core Security Technologies, Microsoft a corrigé ces bugs en omettant de le faire savoir. Selon lui, «ces correctifs étaient plus importants que les deux [vulnérabilités] dont Microsoft a fait état. Cela signifie que les administrateurs système n'ont pas disposé de cette information pour évaluer le risque, ce qui les a peut-être amenés à prendre de mauvaises décisions quant à l'application de cette mise à jour. »
Nicolas Economou, chercheur chez Core Labs, a découvert les deux bugs « anonymes » en fouillant dans la mise à jour. Cette activité fait partie de son job chez Core, où il réalise des tests de pénétration, les Core Impact, réputés pour mettre à jour les vulnérabilités potentielles des ordinateurs et des réseaux en les plaçant en situation d'attaques réelles. « Un attaquant peut facilement exploiter les deux vulnérabilités non divulguées antérieurement et réparées par le patch MS10-024 pour tromper les réponses à toute requête DNS envoyées par le service SMTP de Windows, » a déclaré Core, suite à la découverte de son chercheur. «L'usurpation de la réponse DNS et les attaques par contamination du cache sont aussi connues pour provoquer une variété de problèmes de sécurité ayant un impact qui dépasse le déni de service et la divulgation d'informations, comme l'indiquait à l'origine le document accompagnant le patch. » La contamination du cache DNS est une tactique d'attaque qui ne date pas d'hier - elle remonte à près de deux décennies - mais elle est probablement mieux connue pour les vulnérabilités critiques qu'elle produit sur le DNS Internet, comme l'a découvert Dan Kaminsky en 2008.
[[page]]
Les correctifs appliqués en secret ne sont ni nouveaux, ni rares. « C'est ce qui s'est passé pendant de nombreuses années et cette modalité en soi n'a rien du complot, » a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security. Ce qui est plus inhabituel, c'est que Core ait rendu la mise à jour « cachée » de Microsoft publique. En déclarant que Microsoft a « caché» et « sous-estimé» le degré de menace corrigé par le MS10-024, Core exhorte les administrateurs à «envisager de réévaluer les priorités pour le déploiement de ce patch. » Dans l'autre mise à jour MS10-028 publiée le 13 avril, Core a également débusqué un correctif non déclaré qui répare deux bugs identifiés dans Microsoft Visio, le logiciel de création de diagrammes de Microsoft.
Microsoft a reconnu avoir corrigé ces défauts à l'insu de ses clients, et s'est défendu en déclarant : «Quand une faille est découverte, Microsoft mène une enquête approfondie sur cette vulnérabilité. A la suite de quoi elle peut être amenée à modifier d'autres éléments du code et soumet alors les mises à jour de sécurité à de nombreux tests pour s'assurer de leur qualité, » a déclaré Jerry Bryant, en charge de la sécurité des programmes, dans un mail. « Cela permet de limiter le nombre de mises à jour que les clients auront à déployer, dans la mesure où elle peut perturber l'environnement dans lequel le client exerce son activité » Si la faille interne découverte nécessite une action distincte ou une orientation particulière qui ne sont pas déjà couvertes par les autres vulnérabilités, «nous documentons et réglons cette vulnérabilité séparément, » a déclaré Jerry Bryant.
[[page]]
« La vérité est que, comme d'habitude, les affaires sont les affaires, et pas seulement pour Microsoft, mais pour la plupart des éditeurs de logiciels, » a déclaré Andrew Storm. « Les vendeurs trouvent souvent eux-mêmes les bogues dans leur code et distribuent ensuite les correctifs dans une mise à jour d'ensemble, » fait-il remarquer. « La plupart du temps, il n'y a tout simplement aucun avantage à divulguer la nature du bug. » En fait, « la politique de Microsoft est de ne pas attribuer d'identifiant destiné à figurer dans la base de données «Common Vulnerabilities and Exposures » (CVE) pour des failles constatées par ses chercheurs, » a déclaré Andrew Storms. « Un vendeur n'a pas l'obligation de demander un CVE pour les bugs identifiés en interne, » a t-il ajouté.
Faisant écho aux préoccupations de Ivan Arce au sujet d'un éventuel détournement de cette pratique, laquelle pourrait se traduire par un faux sentiment de sécurité chez les utilisateurs, il répond que « la question est de savoir si le vendeur qui cache le risque, retarde la nécessité d'appliquer la mise à jour. Par exemple, si un patch d'IE8 qualifié de « modéré »par Microsoft contient également le correctif d'une faille critique, cette évaluation sous cotée peut-elle exposer les utilisateurs à un risque, dans la mesure où ils pensent pouvoir retarder l'application du patch, puisqu'ils n'ont aucune idée de la faille critique réparée en même temps ? » Ivan Arce soutient que c'est exactement ce que Microsoft fait avec la MS10-024. « Il y a deux ans, en 2008, Microsoft a corrigé une vulnérabilité très similaire avec le patch MS08-037, » dit-il, celui-là même qui réparait la faille dans le DNS découverte par Kaminsky. « Si ce n'était pas une faille, alors, pourquoi ont-ils émis un bulletin de vulnérabilité ? » a t-il demandé. « En aucune manière, ils ne peuvent dire que ce n'est pas un problème de sécurité. »
« Que ce soit côté éditeur ou côté client, il n'y a pas de réponse facile,» a ajouté Andrew Storm. « Si le vendeur livre un patch critique en donnant peu d'informations, comme ça a été le cas d'Adobe par exemple, nous harcelons le vendeur pour savoir ce qu'il contient. D'autre part, compte tenu de la charge de travail des équipes de sécurité au sein des entreprises, nous devons pouvoir faire confiance à l'estimation du vendeur pour déterminer la priorité à donner à sa mise à jour. »
Les points de vue de Core sur les patch MS10-024, MS10 -028 sont disponibles sur son site web.
(...)(07/05/2010 11:50:43)Michael Dell appelle à repenser la cybersécurité
Au cours de différentes présentations et de séances d'information, les deux hommes se sont attardés sur les méthodes actuelles qui privilégient les réactions ponctuelles pour contrer la hausse rapide de la cybercriminalité, dans laquelle ils incluent la criminalité économique et les menaces directes pesant sur les infrastructures critiques de l'Internet.
Le message a été exceptionnellement brutal. Selon eux, les gouvernements n'ont pas fait suffisamment de choses et ont considéré ce problème de manière étroite, en le limitant souvent à la sphère nationale. Pendant ce temps, l'industrie de la cybersécurité s'est contentée de vendre des produits sans se demander si les éléments de sécurité avaient été correctement pris en compte dans leur développement. « Les gouvernements et le secteur privé doivent travailler ensemble pour élaborer un cadre international approprié pour sécuriser le cyberespace. Nous devrions tous faire en sorte que le système nerveux central de l'information mondiale soit intouchable et sûr, » a déclaré Michael Dell.
Pour sa part, Dell va désormais rejoindre l'Information Technology Sector Coordinating Council (IT CSC), une instance qui coordonne et oriente les actions de l'industrie de pointe dans la protection des infrastructures critiques aux États-Unis. « Les preuves indiquant que des cybercriminels pourraient provoquer des pannes majeures et menacer des pans entiers de nos infrastructures critiques avec un minimum d'efforts ne manquent pas,» a renchéri Jim Stikeleather. Fait intéressant, celui-ci a également suggéré qu'il faudrait peut-être revoir la manière dont les Etats-Unis dirigent l'Internet. « L'Icann, qui a son siège social en Californie, gère l'attribution des noms de domaine et des adresses IP d'une manière très américano-centrée. Il y a nécessité à favoriser une participation plus globale de la gestion des noms de domaine et la planification de la prochaine génération d'infrastructures nécessaires pour répondre aux changements qui vont modifier l'utilisation de l'Internet dans les années à venir, » a t-il estimé.
[[page]]
Pour un vendeur de PC et de serveurs de cette taille, américain de surcroit, le fait de dénoncer l'incapacité du gouvernement et de pointer sur l'échec possible de l'économie de marché est assez inhabituel. Le fait même que ce vendeur puisse avoir une opinion est en soi également inattendu. Ce pour quoi Michael Dell et Jim Stikeleather plaident précisément de manière concrète est plus difficile à évaluer, au-delà des évidences sur les lourdeurs de la bureaucratie et l'individualisme des fabricants. Comme certains critiques avant eux, ils préconisent de l'éducation, de l'éducation et encore de l'éducation, mais ces choses là prennent du temps.
Ce qui aiderait des fournisseurs comme Dell, plutôt concernés par les gros volumes, c'est plus de marchandisation, une technologie plus simple et la capacité d'imposer une sorte de hiérarchie sécuritaire sur les utilisateurs, les données et les systèmes, sans introduire davantage de complexité. « Il y a un certain élément inerte dans la cybersécurité, essentiellement une réflexion après coup, qui n'est pas intégré dans l'équipement des gouvernements. Aussi, les technologies que nous avons mises en place sont quasiment indéfendables. C'est pourquoi nous devons constamment colmater des fissures et combler des trous, » a déclaré Jim Stikeleather.
Un kit chinois pour pirater les réseaux Wifi
Ce kit comprend un adaptateur Wifi sur clé USB, un système d'exploitation Linux sur CD, un logiciel destiné à casser les clés Wep/Wpa et un manuel d'instruction. Il est vendu dans les bazars et en ligne. Le kit n'est pas très cher puisqu'il est vendu 24 $.
Des clés Wep sont usuellement cassées en moins de quelques minutes, et les clés Wpa, recherchées par une attaque dite de « force brute », sont moins facilement trouvées. Mais alors que le Wep est désormais démodé, beaucoup de gens l'utilisent encore, en particulier sur des routeurs domestiques. (...)
Netasq lance à son tour des solutions virtualisées
C'est dit : il y aura désormais des boîtiers de sécurité virtuels chez Netasq. Le constructeur français vient en effet d'annoncer le lancement de ses offres d'UTM (Unified Threat Management) pour les environnements virtualisés. Elles seront compatibles avec les deux solutions logicielles leaders de ce marché, VMWare et Citrix.
Ces appliances virtuelles seront déclinées en trois gammes : les solutions VS5 et VS10 pour serveurs (5 ou 10), les V50, V100, V200 et V500 pour PME (de 50 à 500 postes) et les VU (Virtualization Unlimited) pour grandes entreprises (nombre de postes illimité).
Pour commercialiser cette offre, Netasq dispose de trois leviers : ses partenaires actuels (en France, une dizaine sur 150 se sont portés candidats), les partenaires de VMWare et de Citrix, et les grands intégrateurs (tels que Telindus ou Orange Business Services, entre autres). Netasq entend bien les actionner tous les trois, mais n'avance pas d'objectifs chiffrés. « Ce segment vient de naître au sein d'un marché lui-même émergeant, explique Xavier Lefaucheux, Manager de Netasq pour l'Europe de l'ouest et du sud. Il serait donc hasardeux d'avancer le chiffre précis de nos partenaires potentiels ».
Changement de modèle
Quoi qu'il en soit, ces offres introduisent un modèle économique complémentaire chez Netasq : il ne s'agit plus de revendre des appliances de sécurité, mais de commercialiser des « droits d'usage », une démarche plus proche du service que du négoce. De fait, le constructeur espère bien que ces lancements génèreront du chiffre d'affaires additionnel, sans cannibaliser les ventes d'UTM traditionnels.
Depuis 2002, NETASQ a en effet habitué le marché à des progressions annuelles de 25% en moyenne, et ces nouveautés sont les bienvenues pour qu'il conserve ce rythme de croissance.
En ce qui concerne les UTM « traditionnels », NETASQ a pour principaux concurrents le Français Arkoon et l'Américain Fortinet. Dans le domaine des appliances virtuelles, il sera principalement confronté à lAméricain Stonesoft, qui ambitionne de son côté de disposer d'une cinquantaine de partenaires dédiés aux environnements virtualisés à la fin de cette année.
(...)
Le Cigref et l'Inhesj ouvrent une spécialisation en sécurité
L'Institut national des hautes études de la sécurité et de la justice (Inhesj) s'est associé au Cigref (Club informatique des grandes entreprises françaises) pour ouvrir un cycle de spécialisation en sécurité informatique. Objectif visé par cette formation : délivrer les savoir-faire visant l'identification, l'évaluation et la maîtrise de l'ensemble des risques et des malveillances informatiques au sein des entreprises. L'ensemble des enseignements comportera un volume de 112 heures réparties sur 16 jours, à raison de deux jours par mois, d'octobre 2010 à mai 2011. Ils s'organiseront sous forme de cours magistraux - au siège de l'Institut à l'Ecole militaire, à Paris - et de retours d'expériences au sein desquels interviendront des représentants d'administrations centrales, des policiers et gendarmes, des membres des services de sécurité de l'Etat, et des cadres d'entreprises. Seront notamment abordés, des sujets tels que les missions de police sur le Web, le rôle de la défense sur Internet, les risques informationnels, les attaques informatiques, les règles et procédures qui s'imposent en matière de sécurité des systèmes d'information.
L'assiduité aux cours et la remise d'un rapport écrit individuel, dont le sujet sera arrêté par le département sécurité économique de l'Inhesj en début de cycle, viendront valider cette formation. Cet enseignement sera sanctionné par la délivrance d'un certificat signé conjointement par l'établissement public et le Cigref. Les candidats seront recrutés sur dossier et devront s'acquitter de 3 500 € de frais d'inscription.
(...)
Vers une agence européenne de la cybercriminalité ?
Le conseil de l'Union européenne, comprenant les ministres des 27 pays membres, ont publié un document sur une action concertée contre la cybercriminalité. Plusieurs conclusions ont été annoncées. La première concerne la ratification par les Etats membres de la convention sur les cybercrimes du Conseil de l'Europe du 23 novembre 2001. Ce traité prévoit l'adoption de cadre réglementaire spécifique dans les Etats membres en assurant une veille continue pour accélérer les procédures d'enquête.
Un objectif à court-terme est aussi l'interdiction de certains noms de domaine et adresses IP. Le document ne donne aucune indication sur la mise en oeuvre de cette mesure. Nonobstant, plusieurs FAI disposent déjà de procédure pour effectuer ces révocations.
Sur la prochaine agence, le Conseil souhaite coordonner les efforts des différents organismes, EMSI, CEPOL, Eurojust, Europol, ENISA, etc. Il a demandé à la Commission européenne une étude de faisabilité pour la création d'un centre dédié à la cybercriminalité. Cet établissement serait en charge de l'évaluation et de la surveillance des mesures de prévention et des enquêtes à réaliser. L'étude devra aussi examiner, en particulier, l'objectif, la portée et le financement possible du centre, s'il doit être situé au sein d'Europol. L'accent est également mis sur l'aide à apporter par les juges, la Police pour ces problématiques technologiques, ainsi que sur la formation des enquêteurs.
| < Les 10 documents précédents | Les 10 documents suivants > |