IoT et cloud : gérer la sécurité par le contrat
IoT et cloud sont indissociables au point que la sécurité de l’IoT implique de disposer d’un bon contrat cloud.
ANSSI
Smart grids, une nouvelle cible potentielle de cyberattaques
Les Smart grids sont des réseaux en pleine expansion, les risques associés relatifs à leur sécurité étant essentiels.
Décrypter la stratégie nationale de sécurité du numérique
Le Premier ministre a présenté, le 16 octobre dernier, la stratégie nationale en matière de sécurité du numérique.
Cybersécurité : comment l’optimiser au service du business ?
Cybersécurité : comment l’optimiser au service du business ? Telle était la thématique de l’événement « INSIGHTS by ALTEN » organisé le mardi 9 décembre 2014 à Paris,
Noms de domaine : les bonnes pratiques de l’Anssi
Un an après avoir édité une note technique pour la sécurisation des sites web (1), l’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié un guide de bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine (2). 15 recommandations techniques, juridiques et organisationnelles se trouvent ainsi listées, en rappelant que le choix de chacun des prestataires doit être effectué avec précaution, qu’il s’agisse du registre (registry), du bureau d’enregistrement (registrar), de l’hébergeur (opérateur technique) voire du revendeur. En effet, chacun de ces intermédiaires est une potentielle source de faiblesse en termes de sécurité. D’un point de vue technique, l’Anssi recommande notamment de : servir les noms de domaine depuis au moins deux serveurs distincts, mettre en place une procédure de sauvegardes régulières des données contenues dans les zones DNS, répartir les données internes et externes sur des machines ou des processus cloisonnés. En outre, le demandeur à un nom de domaine devra veiller à ce que le registre choisi offre un « registry lock » ou « service de verrou de niveau registre », afin de lutter contre les risques d’usurpation de noms de domaine. De même, le demandeur à un nom de domaine devra veiller à ce que le bureau d’enregistrement choisi offre un mécanisme d’authentification journalisée et renforcée. D’un point de vue juridique, l’Anssi préconise de choisir des prestataires soumis à la législation française ou européenne. Une telle précaution parait particulièrement importante concernant le choix du bureau d’enregistrement, puisqu’ en cas de litige soumis à une procédure extrajudiciaire, la langue de procédure est celle du contrat du bureau d’enregistrement. D’une façon générale, il est recommandé à tous les responsables de la sécurité des systèmes d’information de prendre connaissance de ce guide court et pratique avant de faire l’acquisition d’un nom de domaine ou le choix d’un prestataire pour l’acquisition et l’exploitation d’un nom de domaine ou d’un portefeuille de noms de domaine. Alain Bensoussan Avocats, Lexing Droit du numérique (1) Recommandations pour la sécurisation des sites web, Anssi, 13-8-2013. (2) Bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine, Anssi, Version 1.1 du 30-5-2014. (3) Règles d’application des principes directeurs régissant le règlement uniforme des litiges relatifs aux noms de domaine, Icann 1999.
Protection des données personnelles sur les réseaux
Protection des données personnelles – Emmanuel Walle était présent au salon Expoprotection 2014 où il a animé une
Filtrage des flux HTTPS : Droit ou obligation ?
L’Agence nationale de la sécurité des systèmes d’information (Anssi) vient du publier une recommandation déterminante pour tous ceux qui s’interrogent sur
Signature électronique en Europe : nouvelle étape
Signature électronique – L’adoption définitive le 23 juillet 2014 du nouveau règlement eIDAS (electronic identification and trust services), sur l’identification électronique et les services de confiance pour les transactions électroniques marque une nouvelle étape pour la signature électronique en Europe (1).
Signaux compromettants : comment protéger les informations ?
Signaux compromettants. L’augmentation de l’utilisation des périphériques et de technologies de communication sans fil induit de nouvelles menaces qu’il convient de prendre en compte pour assurer la confidentialité, l’intégrité, l’authenticité et la disponibilité des informations traitées.
La sécurité de l’internet des objets au cœur de son développement
L’internet des objets, c’est « l’objet le plus usuel (pour ne pas dire « bête») qui deviendrait intelligent… l’objet le plus anodin
Cyberattaque : les parades légales des entreprises
Cyberattaque – Didier Gazagne expose, pour IT-expert magazine, le cadre juridique applicable au cyberespace en montrant la portée, mais aussi les limites et les incohérences du droit du cyberespace. Il précise les postures, ainsi que les tactiques et stratégies de cybersécurité et cyberdéfense pouvant être mises en œuvre par l’entreprise face à une cyberattaque.
Juristendances Informatique et Télécoms n°146-2014
L’édito de la Lettre juristendances Informatique et Télécoms du mois de mai précise la réglementation applicable aux drones à usage civil. Les drones ou UAV (Unmanned Aerial Vehicles) — c’est-à-dire les engins qui volent sans pilote — ont longtemps été cantonnés au secteur militaire.
Actualités, Dématérialisation, Preuve
Signature électronique : un renouveau dans l’Union européenne
Les prestataires et utilisateurs seront ravis d’un prochain développement uniforme des services de signature électronique et d’identification électronique à raison de l’adoption par le Parlement européen de la proposition de règlement sur l’identification électronique et les services de confiance (1) et de la publication par l’Anssi des spécifications techniques en matière d’identification électronique (eIDAS) (2).
Actualités, Dématérialisation, Dématérialisation - Acte
Signature électronique des arrêts par la cour de cassation
Signature électronique des arrêts et décisions de justice. La Cour de cassation est la première juridiction à signer ses arrêts par voie numérique. L’arrêt en question est signé par le premier président de l’Assemblée plénière, par le conseiller rapporteur et par le directeur de greffe agissant en sa qualité de greffier (1).
Coffre-fort électronique : les recommandations de la Cnil
Polyanna Bigle – La Cnil a déjà édicté une fiche pratique sur « Les coffres forts électroniques en question » en juin 2011.
Informatique, Informatique, Sécurité des SI
L’ANSSI publie ses recommandations pour la sécurité des sites web
Dans un contexte international de multiplication des attaques à l’encontre de sites web, l’ANSSI a publié le 22 avril dernier des recommandations (1) en matière de mesures de sécurité à adopter en prévention et en réponse aux différentes attaques susceptibles d’intervenir à l’encontre des sites web. Dans un premier temps, l’ANSSI met l’accent sur les précautions à prendre préalablement à la mise en œuvre des sites web pour renforcer leur sécurité contre les attaques.
Actualiser sa politique de sécurité contre les attaques ciblées
Politique de sécurité, urgence – Chaque année, l’éditeur de logiciels anti-virus Symantec dresse un aperçu des menaces
Pénal numérique
Bientôt une directive sur la sécurité des réseaux et de l’information (SRI)
La sécurité des réseaux et de l’information devient une question préoccupante avec le développement exponentiel des réseaux et des systèmes d’information. La directive proposée en février 2013 vise à assurer un niveau commun élevé de sécurité des réseaux et de l’information (SRI) au sein de l’Union européenne.
Recommandations pour sécuriser la vidéoprotection sur le Wi-Fi
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un ensemble de mesures et de principes d’architecture, dont la mise en œuvre vise à contrer les vulnérabilités potentielles ou du moins, à en limiter l’impact, du fait de l’utilisation de technologies hertziennes et en particulier du Wi-Fi.
Identité numérique dans le e-commerce, relance du projet IDéNum
Identité numérique : lors du Forum International sur la cybersécurité du 28 janvier 2013, la ministre de l’Economie numérique a annoncé la relance du
Publication par l’Anssi du Référentiel Général de Sécurité
L’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information) a publié, le 11 mai 2011, un projet de Référentiel Général de Sécurité. Cette publication vise à recueillir les commentaires des prestataires qui réalisent des audits techniques de la sécurité des systèmes d’information afin d’être qualifiés au sens du RGS (Référentiel Général de Sécurité).
Une attaque informatique sans précédent
Le ministère de l’Économie, des Finances et de l’Industrie a été victime d’une attaque informatique sans précédent.
Propriété intellectuelle
Décret « verrous » labellisés
Le décret du 23 décembre 2010 précise la procédure d’évaluation des logiciels de blocage des échanges de contenus illégaux et le mécanisme de leur labellisation par la Haute Autorité. Il prévoit un dispositif d’agrément effectué à la demande de l’éditeur du verrou de sécurisation auprès d’un centre d’évaluation agréé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Actualités
Le référentiel de sécurité de l’administration électronique
Edito L’administration électronique a son référentiel général de sécurité La sécurisation des SI publics Plus de 4 ans après l’ordonnance du 8 décembre 2005 le prévoyant (1), le Référentiel général de sécurité (RGS) vient d’être homologué par un arrêté du 6 mai 2010 paru au Journal Officiel du 18 mai 2010 (2). Le Gouvernement a pris soin d’observer la procédure de notification à la Commission européenne, le 25 mars 2009, dont l’inobservation peut être sanctionnée par l’inopposabilité des textes. Il a également reçu, en mai 2009, un avis favorable de la Commission Consultative d’Evaluation des Normes (CCEN) (3). Rappelons que le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives (dont les collectivités territoriales), dans la sécurisation de leurs systèmes d’information, en particulier les téléservices. Il fixe ainsi les règles auxquelles les systèmes d’information mis en place par les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif et tous les organismes chargés de la gestion d’un service public administratif, doivent se conformer pour assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, et notamment leur confidentialité et leur intégrité. Les enjeux Assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, notamment en termes de confidentialité et d’intégrité de ces informations. Une mise en conformité nécessaire L’arrêté est la dernière pierre d’un édifice visant à sécuriser les Système d’Information des administrations en suivant les meilleures pratiques du marché. La publication de la version 1.0 du RGS annonce le point de départ de la sécurisation des SI publics, l’ordonnance du 8 décembre 2005 fixant le délai de mise en conformité à 3 ans pour les systèmes d’information existant et 12 mois pour les systèmes d’information déployés dans les 6 mois suivant la publication du RGS. Les systèmes d’information créés à compter de la fin 2010 devront donc être conformes au RGS. La version homologuée (v1.0) du référentiel est disponible par voie électronique sur les sites Internet de l’Agence nationale de la sécurité des systèmes d’information (4) et de la direction générale de la Modernisation de l’Etat (5). Les autorités administratives devront attester, à l’égard des usagers, de la conformité de leurs systèmes d’information au RGS et, sauf à recourir à des produits ou prestataires qualifiés, vérifier la conformité desdits produits ou prestataires. Les conseils Les administrations qui devront définir leur politique de sécurité et attester, à l’égard des usagers, de la conformité des systèmes d’information au RGS, auront le choix de vérifier cette même conformité des produits et prestataires, ou de sélectionner des produits et services qualifiés. (1) Ord. 2005-1516 du 8-12-2005 (2) Arrêté du 6-5-2010 (3) Avis favorable de la CCEN du 7-5-2009 (4) Site de l’Anssi (5) Site de la Dgme (Mise en ligne Juin 2010) Paru dans la JTIT n°101/2010 Philippe Ballet Avocat, Directeur du département Dématérialisation et archivage électronique