Dans un entretien exclusif aux « Echos », Alex Türk, président de la CNIL, sonne l’alerte sur le manque de protection des données interbancaires entre les Etats-Unis et l’Europe. Selon lui, les accords passés en 2006 pour éviter notamment l’espionnage industriel sont remis en cause par les Etats-Unis et les systèmes de contrôle sont défaillants.
Lire l’article.

À quoi sert l’Intelligence économique en période de crise ? Quel rôle pour l’État ?
Ce sont les deux questions principales autour desquelles s’articule la réflexion conduite par le Groupe Intelligence économique de l’Institut national des hautes études de sécurité (INHES).

Au sommaire:
La crise et son évolution
Quelques vérités à rappeler en période de crise
État, entreprises et intelligence économique en période de crise
La crise et son évolution
L’intelligence économique en période de crise
Le soutien des entreprises par l’intelligence économique en période de crise

Parmi les recommandations:
Développer une politique d’accès et d’accumulation de la connaissance stratégique ainsi que sa protection.
Assurer un financement approprié de la transition de l’invention vers l’innovation.

Source: http://www.inhes.interieur.gouv.fr/

Il se tiendra le jeudi 5 février à 17h30 à Entreprises et Cités à Marcq-en-Baroeul.
18h15 - 19H00 : Conférence : « La vidéo protection, quels enjeux pour l’entreprise? »
Atelier 1 : « Les solutions techniques »
Atelier 2 : « La Problématique réglementaire et juridique »

sécurité, entreprise, video protection

La Direction centrale de la sécurité des systèmes d’information du S.G.D.N. vient d’actualiser sa note de sécurité concernant le Wi-fi.

Afin d’obtenir un niveau de sécurité satisfaisant sur un réseau sans fil, il est nécessaire de connaîtreles vulnérabilités inhérentes à ce type de réseau :

• la diffusion de l’information facilitant l’interception passive à distance ;
• la sensibilité au brouillage diminuant la
  disponibilité du réseau ;
• les configurations non sécurisées par défaut des nouveaux équipements, facilitant les attaques.

Au delà de la formation et de la sensibilisation des utilisateurs, il est indispensable de configurer son réseau de façon sécurisée. Cette étape comprend la configuration des différentes
couches protocolaires mais également l’audit périodique et la surveillance continuelle de son réseau.

Malgré des problèmes de sécurité intrinsèques, les réseaux sans fil continuent et continueront probablement à se développer. Il est donc important de bien connaître les problèmes liés à la mise en place de ce type de réseaux afin d’en limiter les effets néfastes. Il est également important de déterminer le niveau de sécurité souhaité afin de mettre en place une solution en adéquation avec ce choix.

http://www.certa.ssi.gouv.fr/

wi-fi, sécurité

C’est en tout cas ce que suppose, après une longue enquête documentée, un blogueur qui s’est fait dépouiller d’un domaine. Selon lui l’origine de ce vol proviendrait d’une faille de sécurité de Gmail, la messagerie de Google.

L’intérêt n’est pas tant de savoir si tel est le cas (encore que...) mais surtout de comprendre les mécanismes possibles utilisés par les pirates pour réaliser cette intrusion et ce vol (dans le cas présent le blogueur a pu récupérer son nom de domaine).

Cet article bien documenté explique les mécanismes supposé et ce qui nous intéresse c’est la réflexion que cela peut nous inspirer pour notre propre sécurité sur internet.

La chronologie des évènements est retracée sur le site de secours qui avait été crée http://makeuseof-temporary.blogspot.com/
La synthèse de la réflexion figure dans cet article http://www.makeuseof.com

sécurité, gmail,

PS: l’article étant en anglais certains apprécieront peut-être d’en lire une version approché en français. C’est aussi l’occasion de découvrir un service de traduction en ligne assez performant.

Lancement de WK-HSQE, portail des Responsables HSE et QSE : actualités, veille réglementaire, documentation, outils d’évaluation pour la prévention des risques dans les domaines de la qualité, de l’hygiène, de la sécurité et de l’environnement.

http://www.wk-hsqe.fr/

environnement, risques, santé, hygiène

Les utilisateurs d’ordinateurs sont de plus en plus nombreux et les ordinateurs sont généralement connectés à des réseaux, en particulier à l’internet. Si ces utilisateurs ne prennent par un minimum de précautions, leurs ordinateurs peuvent être facilement attaqués.

La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger les ordinateurs et les données qui y sont stockées. Si elles sont élaborées par des spécialistes, les plus simples doivent être connues et mises en œuvre par tous les utilisateurs.

C’est l’objectif de ce portail d’information qui propose des fiches pratiques et des conseils destinés à tous les publics (particuliers, professionnels, PME). Il comporte également des actualités et avertit de menaces nouvellement rencontrées qui appellent une action rapide des utilisateurs pour en limiter les effets.

http://www.securite-informatique.gouv.fr/

Objectifs:
Transmettre aux participants les éléments qui leur permettront de formaliser clairement une politique générale de sécurité de l’information destinée à tout le personnel de l’entreprise, spécifiquement pour le contexte de la PME au Grand-Duché du Luxembourg.
le 27 février 2008 de 09h00 à 17h30 session en français àLuxembourg.
Via http://www.zataz.com/communique-presse/

La certification des technologies et des personnes ...
... la conformité et la certification des organisations.

Jeudi 6 décembre 2007 à TELECOM Lille1 – école d’ingénieurs
Cité Scientifique - Rue Guglielmo Marconi - 59658 Villeneuve d’Ascq

Agenda :

13h30-14h00 : Accueil

14h00-14h30 : La parole à TELECOM Lille1 et à Forum ATENA

14h30-15h30 : Intervenants “état de l’art”

* François Zamora (Groupe France Telecom)
La conformité et la certification des organisations, les normes ISO 27000
* Mathieu Robert et Pascal Chour (DCSSI)
La certification des technologies, les Critères Communs
* Mauro Israel (Cyber Networks)
La certification des personnes, CISSP, ISO 27001 lead auditor

15h30-16h30 : Intervention des sponsors

* SILICOMP-AQL, ARKOON, BYWARD, NETASQ

16h30-17h45 : Table ronde interactive

* Tous les intervenants répondent aux questions des participants, avec également Paul Richy, vice-Président du groupe sécurité à l’AFNOR.

17h45 : Cocktail, échanges informels

Participation gratuite, inscription obligatoire

http://www.forumatena.org

Selon une étude des renseignements généraux 3000 tentatives d’agression économique ont été enregistrées en 18 mois, dont deux tiers ont abouti.

Via http://www.capital.fr/

Dans le cadre des conseils dédiés aux PME PMI en matière d’intelligence économique, le HRIE, Alain Juillet a demandé au coordonnateur ministériel à l’intelligence économique du ministère de l’économie, des finances et de l’emploi, Cyril Bouyeure, de bien vouloir rédiger une note de synthèse sur l’application de la loi du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des autorités publiques étrangères.

Un article très détaillé est publié à ce sujet sur le site du Haut Responsable à l’Intelligence Economique (HRIE). En voici les principaux extraits:

Les entreprises françaises sont fréquemment sollicitées par des autorités étrangères à des fins d’obtenir des informations dans le cadre de leurs procédures administratives ou lorsqu’il s’agit pour ces autorités de recueillir des éléments de preuve en vue de procédures judiciaires ou administratives.

Ces requêtes, explicites et qui ne relèvent pas de procédés illégaux tels que l’espionnage économique, peuvent porter sur des informations sensibles pour les entreprises elles-mêmes (procédés de fabrication, savoir-faire particulier, fichiers commerciaux...) et pour la collectivité nationale dans son ensemble, soit que ces informations portent sur des technologies de souveraineté, soit que le risque de dissémination puisse fragiliser l’entreprise sollicitée et porter ainsi atteinte à l’intérêt économique national.

Ce type de requête, qui tend à se multiplier, peut être accompagné de menaces à l’égard des entreprises concernées de se voir interdire toute activité sur le territoire de l’Etat d’origine de la requête en cas de non-exécution des demandes présentées en vue d’obtenir des éléments de preuve.

Les entreprises françaises doivent savoir que la France a mis en place un dispositif législatif imposant à toute personne publique ou privée française, soumise à une demande de renseignements d’une autorité publique étrangère, l’interdiction de toute communication de documents dès lors qu’elle est de nature à constituer une menace notamment à l’égard des intérêts économiques essentiels «sensibles», ou qu’elle tend à la constitution de preuve dans le cadre d’une procédure judiciaire ou administrative étrangère.

De fait, la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique, à des personnes physiques ou morales étrangères, est régie par la loi n°68-678 du 26 juillet 1968 (modifiée par la loi n°80-538 du 16 juillet 1980 et présentée dans sa version consolidée du 22 septembre 2000).
Le respect de ces interdictions est garanti par un mécanisme de sanctions pénales.

L’article 3 prévoit : «Sans préjudice des peines plus lourdes prévues par la loi, toute infraction aux dispositions des articles 1er et 1er bis de la présente loi sera punie d’un emprisonnement de six mois et d’une amende de 18000 euros ou de l’une de ces deux peines seulement».

Par conséquent, dès lors que l’on se trouve hors du champ d’application d’une convention internationale, d’une loi ou d’un règlement spécifiques, la loi de 1968 impose à toute personne publique ou privée française, soumise à une demande de renseignements par une autorité publique étrangère, d’une part l’interdiction de toute communication dès lors qu’elle est de nature à constituer une menace notamment à l’égard des intérêts économiques essentiels ou qu’elle tend à la constitution de preuves dans le cadre d’une procédure judiciaire ou administrative étrangère et d’autre part l’obligation d’informer l’Etat de cette demande.

La loi s’applique donc à toute société régulièrement installée sur le territoire français quelle que soit la nationalité de son propriétaire.

La portée de ces interdictions est par conséquent très large : la définition des informations vise, de façon générique, «les domaines économiques, commercial, industriel, financier ou technique», c’est-à-dire l’ensemble des données se rattachant à l’activité des entreprises ; de même le texte de la loi englobe tous les modes de communication envisageables en mentionnant l’oral, l’écrit ou «toute forme», cette dernière expression permettant de couvrir les moyens de communication moderne tels que les envois télématiques ou par courriel.

Article complet http://www.intelligence-economique.gouv.fr/article.php3?id_article=348

C’est ce qui est arrivé à Apple récemment.

Une fausse information concernant le retard du lancement de l’iPhone et de Leopard fait chuter d’Apple en bourse

Un email publié sur un blog a fait perdre 4 milliards de dollars à Apple vendredi 18 mai 2007 avant que l’information ait été finalement identifiée comme un canular.

Lire sur http://www.vnunet.fr/

15 mai 2007 : Panorama de la cybercriminalité en 2006 à Metz

Le CLUSIF et le CLUSIR Est vous donnent rendez-vous à Metz le mardi 15 mai 2007 afin de vous dévoiler les résultats de l’étude sur la cybercriminalité en 2006 et les tendances en 2007.

Cette conférence vise ainsi à dégager les dernières tendances. Elle mettra en perspective l’émergence de nouveaux risques liés au développement des technologies de communication et fera le point sur de nombreuses idées reçues en matière de criminalité informatique.

http://www.mag-securs.com/spip.php?article8100

Sécuriser son système documentaire pour préserver l’entreprise : les entreprises prennent conscience de la nécessité de se protéger et de préserver leur capital informationnel. De nouvelles fonctions, telles que la “gouvernance de l’information” et le “management des risques”, sont créées pour définir les règles de sécurisation de l’information et les faire appliquer.

Euriware présentera un atelier exposant le 8 mars de 15h15 à 16h, salle 4 sur le thème : “la sécurisation des contenus : retour d’expérience” dans le cadre de Documation.

Source http://www.dematnews.com/

Le mercredi 10 Janvier 2007
De 14H à 17H
Au Cercle National des Armées (place Saint-Augustin – 75008 Paris)

A l’occasion de la conférence de l’Espace Méthode, le CLUSIF présentera la nouvelle version de MEHARI, la Méthode Harmonisée d’Analyse de Risque.

Le CLUSIF développe et améliore régulièrement la méthode MEHARI depuis 1996 afin d’aider les décideurs (responsables de la sécurité, gestionnaires de risques ou dirigeants) à gérer la sécurité de l’information et à minimiser les risques associés.

MEHARI est une démarche d’analyse et de gestion des risques, qui fournit un cadre méthodologique, des outils et des bases de connaissance pour :

* analyser et classifier les enjeux majeurs,
* étudier les vulnérabilités,
* évaluer et quantifier les risques,
* réduire la gravité des risques,
* piloter la sécurité de l’information

Les modules de MEHARI peuvent être combinés, en fonction de choix d’orientation ou de politiques d’entreprise, pour bâtir des plans d’action globaux ou, simplement, pour aider la prise de décision concernant la mise en œuvre de mesures pour de sécurité.

Inscription

Cette offre complète de sécurité pour les PME intègre des fonctions d’antivirus, d’antispam, de filtrage, de firewall, etc. sous uen platef-forme de management.

reseaux-telecoms

Sous ce titre, Alexander Gostev, du Kaspersky Lab, présente un état des lieux de la lutte contre les virus.
Il en ressort notamment que”les éditeurs d’antivirus, dans leur lutte contre les programmes malicieux exploitant les failles d’Office, ont mené leur propre enquête sur ces brèches. L’analyse a montré que ces brèches présentaient toutes le même problème dans les documents au format OLE (fichiers créés à partir de MS Office)”.

Les vers WiFi semblent devenir une réalité. “En août, la société Intel a annoncé l’existence d’une vulnérabilité sérieuse dans le processeur Intel Centrino et plus exactement dans la fonction liée aux réseaux sans fil Wi-Fi”.

“Au cours de l’année passée, un des problèmes les plus marquants de l’insécurité informatique se sont avérés les programmes malicieux se diffusant sur les clients de messagerie instantanée (IM) tels qu’ICQ, MSN, AOL”.

http://www.viruslist.com/fr/analysis?pubid=200676061

Dans ce compte rendu des Assises le journaliste insiste à juste titre sur le point qu’ilserait “très dangereux de faire de l’intelligence économique sans se préoccuper de la sécurité de l’information. Les deux sont intimement liés”.

C’est un point auquel on ne peut que souscrire tant il est vrai que trop souvent la recherche de l’information apparaît comme une fin en soi sans se soucier de l’environnement.

Silicon.fr

Le Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques vient d’actualiser une note de mars 2005 sur le thème des mots de passe.

L’utilisation de mots de passe forts est l’une des briques de base dans la sécurisation d’un système d’information. Malheureusement cette première étape est souvent absente dans la politique de sécurité. Il est par conséquent assez fréquent de trouver des comptes avec des

mots de passe triviaux, sans mot de passe ou avec des mots de passe par défaut. Cette note a pour but :

* de sensibiliser les utilisateurs de système d’information sur l’intérêt d’avoir des mots de passe forts ;
* de sensibiliser les administrateurs sur l’intérêt de mettre en place un contrôle systématique de la qualité des mots de passe.

Les mots de passe

Un ouvrage des éditions Tenor sensibilise les entrepreneurs à ce sujet car leurs petites structures seraient “plus vulnérables” que les groupes.

Les éditions Tenor (initialement une association de l’univers des télécoms) viennent de publier un nouvel ouvrage intitulé La sécurité à l’usage des PME et TPE*. Il vise à sensibiliser les dirigeants de ces structures constituant l’essentiel du tissu industriel français à la sécurité des systèmes d’information et aux menaces liées à l’usage des technologies.

Lu sur Vunet