Infos sur les SSL et la sécurité des réseaux

Latest Posts

L’ANSSI engagée pour promouvoir la souveraineté numérique de l’UE lors de la PFUE

L’ANSSI œuvrera, conjointement avec le ministère de l’Europe et des affaires étrangères, au renforcement de la coordination de l’Union européenne en cas de crise majeure d’origine cyber

Une cyberattaque majeure peut affecter durablement nos sociétés et nos économies à l’échelle européenne : l’UE doit ainsi être en mesure de se préparer à faire face à un tel évènement. Le réseau européen des autorités en charge de la gestion de crise cyber (CyCLONe) se réunira ainsi fin janvier, avec le soutien de la Commission européenne et de l’ENISA, pour échanger sur les défis posés par une crise de grande ampleur et sur la manière de développer et d’améliorer les mécanismes de coopération et d’assistance mutuelle au sein de l’UE. Cette rencontre sera également l’occasion d’explorer le rôle que les acteurs de confiance du secteur privé pourraient jouer, notamment les prestataires de services de cybersécurité, pour soutenir les capacités gouvernementales en cas d’attaque cyber d’ampleur.
La réunion du réseau CyCLONe s’inscrira dans une séquence d’exercice qui impliquera les instances politiques européennes à Bruxelles et qui visera à tester l’articulation des volets interne et externe de la gestion de crise cyber au sein de l’UE.

L’ANSSI œuvrera, en lien avec la Commission européenne et l’ENISA, au renforcement développement de capacités cyber nationales et collectives au sein de l’UE

Des réseaux de coopération européens seront particulièrement mobilisés au cours de la PFUE, notamment dans une démarche de renforcement collectif des capacités de cybersécurité des Etats- membres et de l’Union européenne :

  • Réseau des CSIRTs (Computer Security Incident Response Team – Centres de réponses à incidents) : depuis sa création en 2017, le réseau CSIRT a démontré sa capacité à réagir rapidement aux crises grâce à la solide confiance forgée entre les équipes de réponse aux incidents. A la tête du trio de Présidences pour les dix-huit prochains mois, avec la République tchèque et la Suède, l’ambition du CERT-FR sera de renforcer l’efficacité des échanges entre les membres du réseau et de continuer à encourager une plus large participation aux groupes de travail.
  • Groupe de coopération NIS (Network and Information System Security) : au cours des six prochains mois, l’ANSSI aura l’opportunité de contribuer à la préparation et l’adoption du nouveau programme de travail pour les deux prochaines années. Ces discussions seront d’une grande importance pour orienter les travaux européens sur la transposition et la mise en œuvre de la directive NIS, actuellement en cours de révision. L’ANSSI s’engagera à poursuivre la promotion des activités du groupe dans le but de le positionner durablement comme l’interlocuteur européen central traitant des divers sujets de cybersécurité.

L’ANSSI cherchera également à renforcer, de manière tangible, la cybersécurité au sein de l’UE.

L’agence demeurera mobilisée pour créer une certification du cloud qui réponde aux enjeux de sécurité et continuera à promouvoir la certification des produits et services de cybersécurité, afin de créer un véritable marché européen unifié en la matière.

Une présidence du Conseil de l’UE n’arrive que tous les 13 ans : l’ANSSI saisit pleinement cette opportunité pour promouvoir une UE souveraine dans l’espace numérique.

Bonne PFUE à toutes et à tous !

Powered by WPeMatico

Certification européenne : quelles perspectives pour 2022 ?

Trois avancées majeures pour la certification européenne

La procédure d’adoption de l’acte d’implémentation du premier schéma de certification EUCC (EU Common Criteria) devrait démarrer au cours du 1er semestre 2022, tandis que la rédaction du second schéma EUCS – pour les fournisseurs de services cloud – est déjà en phase de finalisation.
Quant au troisième schéma EU5G, il vient d’être lancé.

L’ANSSI, autorité nationale de certification de cybersécurité

Pour rappel, le Cybersecurity Act, adopté en juin 2019, laissait à chaque Etat-membre deux ans pour désigner l’autorité nationale de certification de cybersécurité, conformément aux dispositions du règlement. Pour la France, c’est l’ANSSI qui endossera le rôle. A ce titre, l’agence sera notamment chargée de l’autorisation et de la notification des organismes de certification, du contrôle et de la supervision des schémas européens de certification mis en œuvre, mais également, pour chaque schéma qui le prévoit, de l’émission de certificats au niveau d’assurance élevé.

Pour aller plus loin

Vous souhaitez mieux comprendre le Cybersecurity Act ?
Dans cet épisode du podcast NoLimitSecu, qui vient de paraitre, Franck Sadmi – chargé de mission « Certifications de sécurité alternatives » à l’ANSSI – intervient pour présenter les grands principes et objectifs du Cybersecurity Act. Pour aller plus loin, l’ENISA propose une vidéo sur les organismes d’évaluation de la conformité, l’une des pierres angulaires du Cybersecurity Act.

Vous souhaitez devenir acteur de cet écosystème ou échanger avec l’ANSSI ? Contactez le pôle certification : certification-eu [at] ssi.gouv.fr.

Powered by WPeMatico

La présidence française du Conseil de l’Union européenne

En quoi consiste la présidence du Conseil de l’Union européenne ?

Une présidence tournante

Chaque État membre assure, par rotation, la présidence du Conseil de l’Union européenne pendant six mois. Du 1er janvier au 30 juin 2022, c’est la France qui présidera le Conseil de l’UE. La présidence du Conseil organise les réunions, élabore des compromis, rend des conclusions et veille à la cohérence et à la continuité du processus de décision. Elle veille à une bonne coopération entre tous les États membres et assure les relations du Conseil avec les institutions européennes, notamment la Commission et le Parlement européen.

Qu’est-ce que le Conseil de l’Union européenne ?

Le Conseil de l’Union européenne, qu’on appelle aussi « Conseil des ministres de l’Union européenne » ou « Conseil », réunit les ministres des États membres de l’Union européenne par domaine d’activité. Il est, avec le Parlement européen, le co-législateur de l’Union européenne.

Concrètement, les ministres présideront dix domaines d’activité ou formations du Conseil de l’UE : affaires générales ; affaires économiques et financières ; justice et affaires intérieures ; emploi, politique sociale, santé et consommateurs ; compétitivité (marché intérieur, industrie, recherche et espace) ; transport, télécommunications et énergie ; agriculture et pêche ; environnement ; éducation, jeunesse, culture et sport ; commerce. Par exception, le Conseil des affaires étrangères est présidé par le Haut représentant de l’Union pour les affaires étrangères et la politique de sécurité, actuellement Josep Borrell.

Le Conseil détient également des compétences en matière budgétaire : il arrête et modifie le budget européen avec le Parlement. Enfin, le Conseil adopte certaines décisions, ainsi que des recommandations non contraignantes, conclut les accords internationaux de l’Union et nomme les membres de certaines institutions (Cour des comptes, Comité économique et social européen, Comité des régions). Les délibérations et les votes du Conseil sur des actes législatifs sont publics.

Dans quel cadre s’inscrit la présidence française du Conseil de l’Union européenne (PFUE) ?

La PFUE s’inscrit dans la continuité des orientations fixées par le Président de la République dans son discours pour une Europe souveraine, unie et démocratique prononcé le 26 septembre 2017 à La Sorbonne. Depuis quatre ans, le Président de la République et le Gouvernement travaillent à construire une souveraineté européenne réelle, c’est-à-dire la capacité de l’Europe à exister dans le monde actuel pour y défendre nos valeurs et nos intérêts. La présidence française du Conseil de l’Union européenne prolongera ce travail pour une Europe plus solidaire, plus souveraine et plus démocratique.

La PFUE répond aux attentes des citoyens, qui les ont exprimées lors de débats citoyens organisés en septembre au sein des 18 régions françaises dans le cadre de la Conférence sur l’avenir de l’Europe. Ce projet, proposé par la France en 2019, a ouvert un nouvel espace de débat avec les citoyens européens. La contribution finale de ces panels citoyens a été remise au Gouvernement à l’automne. Les recommandations formulées par les citoyens, en France et en Europe, nourrissent les priorités de la présidence française du Conseil de l’Union européenne.

La PFUE s’articule avec le programme du « trio » des présidences, dans lequel la France inscrit son action. Ce système, qui existe depuis 2009, permet de fixer des objectifs à long terme et de définir les grands thèmes qui seront traités pendant une période de 18 mois. Après la présidence slovène, la France entamera un nouveau cycle et travaillera en trio avec la République tchèque au second semestre 2022 et la Suède au premier semestre 2023.

Près de 400 événements
Au total, près de 400 événements prévus en France et au sein de l’UE rythmeront la présidence : des réunions politiques, une programmation culturelle et des événements citoyens ouverts à toutes et à tous.

Retrouvez toutes les informations sur la présidence française du Conseil de l’Union européenne sur le site officiel et les réseaux sociaux de la présidence :

En complément, afin d’assurer le rayonnement de la présidence française auprès des citoyens, des évènements se dérouleront sur l’ensemble du territoire national et à l’étranger.

Le Conseil de l’UE ne doit pas être confondu avec :

  • le Conseil européen qui réunit les chefs d’État et de gouvernement des Etats membres et définit les orientations et les priorités politiques générales de l’Union européenne. Son président actuel est Charles Michel.
  • le Conseil de l’Europe, qui est une organisation intergouvernementale constituée de 47 États membres. Créée en 1949, elle a vocation à promouvoir le développement des droits de l’Homme, la démocratie et l’État de droit. Son siège est à Strasbourg et sa secrétaire générale est Marija Pejčinović Burić.

Plus d’informations :

Powered by WPeMatico

France Relance : déjà 500 bénéficiaires des parcours de cybersécurité !

France Relance offre une opportunité unique pour les services publics intéressés de bénéficier d’une évaluation de leur niveau de cybersécurité sur la base d’une méthode adaptée à leurs besoins et à la menace cyber à laquelle ils font face. Sur cette base, les bénéficiaires construiront un plan de sécurisation avec l’appui de prestataires terrain afin de renforcer significativement leur cybersécurité.

Conformément aux orientations fixées par le Président de la République le 18 février 2021, à ce jour plus de 500 entités, présentes sur l’ensemble du territoire, ont vu leurs candidatures acceptées pour intégrer ces parcours personnalisés. En effet, ces services publics sont particulièrement affectés par des rançongiciels et les moyens qu’ils sont en mesure de consacrer à la cybersécurité sont souvent très faibles.

Carte de la répartition des bénéficiaires par région

France Relance et les parcours de cybersécurité permettent ainsi d’initier une démarche vertueuse qui leur permet de se mettre à niveau et d’inscrire ces actions dans la durée.

Intéressé ? Il n’est pas trop tard pour candidater !

Il ne faut attendre d’être victime d’une attaque cyber pour mener des actions d’évaluation et de renforcement des systèmes d’information. Les risques cyber concernent l’ensemble des organisations publiques avec des conséquences potentiellement désastreuses : paralysie des services dédiés aux usagers, pertes financières ou encore atteinte à la réputation.

Pour apporter une réponse face à ces menaces, France Relance consacre une enveloppe de 136 millions d’euros à la cybersécurité. Avec cette enveloppe, l’ANSSI a conçu plusieurs actions concrètes pour accompagner l’élévation du niveau de cybersécurité du plus grand nombre d’entités, en lien avec l’écosystème industriel français.

Vous êtes une collectivité territoriale, un établissement de santé support de GHT ou un établissement public ? Les parcours de cybersécurité vous concernent !

Pour en savoir plus :

Powered by WPeMatico

Appel public à commentaires sur la version 3.2.a du référentiel d’exigences applicables aux prestataires d’informatique en nuage (SecNumCloud)

Elle s’inscrit dans la lignée de :

  • la stratégie nationale pour le Cloud annoncée mi-mai 2021 par le ministère de l’économie, des finances et de la relance, le ministère de la transformation et de la fonction publiques et le secrétariat d’Etat chargé de la transition numérique et des communications électroniques ;
  • l’élaboration du schéma de certification européen relatif aux prestataires de cloud, et plus particulièrement pour le niveau « élevé » de certification pour lequel la France plaide pour une équivalence avec SecNumCloud.

Les principaux apports sont :

  • l’explicitation des critères d’immunité aux lois extracommunautaires, au-delà des exigences de localisation existantes, au travers d’exigences techniques destinées à limiter l’accès à l’infrastructure technique du service par des tiers et les transferts non maîtrisés et d’exigences juridiques précises relatives au prestataire et à ses liens avec des tiers. Ces critères juridiques ont été rédigés en lien étroit avec la direction générale des entreprises (DGE) ;
  • la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification SecNumCloud.

Cette révision prend également en compte les activités de type CaaS (Container as a Service) ainsi que le retour d’expérience des premières évaluations.

Les observations, commentaires et propositions peuvent être transmises jusqu’au 15 novembre 2021, par courriel, à l’adresse qualification[at]ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.

Afin de faciliter le travail de relecture et de commentaire, une version du référentiel avec marques de révision est également mise à disposition.

Powered by WPeMatico

L’équipe France se classe quatrième !

L'équipe France à l'ECSC 2021

L’Equipe vous donne rendez-vous en 2022, avec certains joueurs que vous reconnaitrez peut-être de cette édition-ci, pour tenter de décrocher une place sur le podium à Vienne !

L’ECSC, un challenge sous forme de CTF (capture the flag), rassemble cette année encore les équipes d’une dizaine de pays européens autour d’épreuves variées (crypto, reverse engineering, web..) pour deux jours de compétition intense.

Rejoignez dès maintenant le salon public qui rassemble la communauté française des joueurs de la compétition sur Discord pour vous tenir au courant des dernières actualités et vous qualifier pour la prochaine édition de l’ECSC.

Powered by WPeMatico

Cybermoi/s 2021 : se protéger grâce à des mots de passe sécurisés

Les mots de passe font partie du quotidien des français : boîte mail professionnelle, personnelle, compte bancaire en ligne, réseaux sociaux, sites, applications…

S’ils sont trop simples, nous protègent-ils vraiment ? S’ils sont complexes, comment faire pour m’en souvenir ?

Cet octobre, le Cybermoi/s partage des bonnes pratiques faciles à mettre en place pour définir des mots de passe efficaces et faciles à retenir.

 

Cybermois - Cyberpirates : ne leur ouvrez pas la voie

Choisir des mots de passe longs

Les mots de passe doivent être longs, complexes avec majuscules, minuscules, chiffres et caractères spéciaux (*% ! etc). Ils peuvent prendre la forme d’une phrase de passe. Plus longue qu’un mot de passe et plus facile à retenir, elle augmentera considérablement la robustesse des accès. Faire appel à un coffre-fort de mots de passe est également une solution recommandé.

Ne pas y intégrer d’informations personnelles

Les informations personnelles peuvent être facilement accessibles sur les réseaux sociaux et utilisées à des fins malveillantes par un attaquant. Mieux vaut donc ne pas intégrer d’informations personnelles, telles qu’une date de naissance ou le prénom d’un enfant dans un mot de passe.

Utiliser un mot de passe unique pour chaque compte

Cybermois - Les mots de passe c'est comme les clés : c'est mieux d'en avoir plusieurs

Recycler un mot de passe sur plusieurs sites ou applications peut s’avérer très dangereux ! Certains sites sont faciles à pirater et des données personnelles pourraient être récupérées par une personne mal intentionnée.

Il est donc conseillé d’utiliser un mot de passe unique pour chaque compte, en particulier pour les comptes les plus sensibles : adresses mails et usages professionnels.

Changer ses mots de passe par défaut

De nombreuses cyberattaques réussissent à atteindre leur cible en se basant sur un mot de passe par défaut, toujours très simple, qui n’a pas été changé. Il est recommandé de changer ses mots de passe par défaut dès que possible.

Ne pas communiquer ses mots de passe

Transmettre un mot de passe à des collègues ou l’inscrire sur un post-it crée un risque important qu’il soit intercepté par un attaquant. Il est conseillé de ne jamais partager ses mots de passe.

Pour assurer sa sécurité numérique, sécuriser ses mots de passe doit s’accompagner de mesures complémentaires : faire des sauvegardes régulières de ses contenus, mettre à jour ses appareils et logiciels, et ne pas cliquer sur les liens ou télécharger de pièces jointes venant d’un expéditeur inconnu.

 

Pour plus d’informations et pour découvrir les trois bandes dessinées interactives qui seront publiées au cours du mois d’octobre, rendez-vous sur le site du Cybermoi/s.

 

Communiqué de presse – Cybermoi/s 2021 : se protéger grâce à des mots de passe sécurisés

Powered by WPeMatico

L’équipe de France décolle pour le Challenge Européen de cybersécurité 2021

L’ECSC, un challenge sous forme de CTF (capture the flag), rassemble cette année encore les équipes d’une dizaine de pays européens autour d’épreuves variées (crypto, reverse engineering, web..) pour deux jours de compétition intense. Après l’annulation de l’ECSC en 2020, l’équipe de France est plus que jamais prête à donner son maximum pour remporter cette nouvelle édition !

La compétition sera à suivre sur les réseaux sociaux avec les #ECSC2021 et #TeamFR.

Bannière ECSC 2021

La photo de famille 2021 réunit l’ensemble des dix titulaires de l’équipe française. Vous souhaitez en savoir plus sur chacun d’entre eux, et apprendre à les connaitre ? Rencontrez l’équipe de France 2021 !

Équipe de France 2021

Titulaires

Remplaçants

L’ECSC comme ouverture du Cybermoi/s

Cette année, l’European Cybersecurity challenge prendra fin le 1er octobre, jour de lancement de la campagne de sensibilisation du Cybermoi/s. Pendant que vous attendrez les résultats de l’équipe de France, vous pourrez faire un tour sur le site dédié https://cybermois.fr et prendre connaissance des événements organisés tout au long du mois d’octobre ainsi que des ressources mises à votre disposition dans la boîte à outils.

Toutes les actualités de la campagne seront à retrouver sur les réseaux sociaux avec le #Cybermois !

Powered by WPeMatico

Coopération et solidarité : la cybersécurité se construit à l’échelle de l’Union européenne

Les projets lancés ces dernières années, de la directive NIS au Cybersecurity Act, de la Toolbox 5G à la sensibilisation lors du Mois Européen de la Cybersécurité, ont permis la construction d’un cadre commun et partagé de cybersécurité en Europe.

Au premier semestre 2022, la France présidera le Conseil de l’UE et saisira cette occasion pour renforcer la souveraineté de l’UE dans le domaine de la cybersécurité en construisant sur les fondations solides établies depuis 5 ans. Face à une menace cyber grandissante, le plan d’action français s’axe sur quatre thématiques.

D’abord, la France souhaite faire progresser les négociations sur la révision de la directive NIS et ainsi promouvoir un niveau élevé de cybersécurité auprès d’un périmètre élargi d’acteurs en cohérence avec l’évolution de la menace cyber.

Deuxièmement, la Présidence française aura à cœur de faire avancer la mise en place d’un cadre de cybersécurité des institutions de l’UE, indispensable à la protection et à l’affirmation de la souveraineté européenne.

Ensuite, la France soutient le développement d’un tissu industriel européen de confiance. Cela passera par le suivi de la mise en place du Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et d’un cadre européen de certification de sécurité. Garantie de confiance, la certification européenne offre des possibilités immenses pour les prestataires et produits de sécurité. Plusieurs schémas sont déjà en cours d’élaboration, comme le European Common Criteria ainsi qu’un schéma sur le Cloud et un sur la 5G.

Ensuite, la France souhaite engager des discussions sur l’enjeu de solidarité de l’UE en cas d’incident ou de crise majeure d’origine cyber. En s’appuyant résolument sur l’écosystème privé de la cybersécurité européenne, la mise en œuvre de mécanismes d’assistance pourra alors être étudiée. Le renforcement capacitaire des États et des prestataires privés de confiance ainsi que la participation aux réseaux de coopération sont des prérequis indispensables pour initier cette discussion. Dans ce cadre, l’ANSSI et le ministère de l’Europe et des Affaires étrangères étudient l’opportunité d’organiser un exercice de haut niveau pour asseoir l’articulation entre le réseau CyCLONe et les décideurs politiques de chaque Etat membre.

 

« La clé se trouve dans le collectif. Institutions européennes, agences nationales de cybersécurité et entreprises privées, mobilisons-nous pour construire durablement la cybersécurité de l’Union européenne » propose Guillaume Poupard, directeur général de l’ANSSI.

 

Pour revenir sur l’histoire de la construction de la souveraineté européenne en matière de cybersécurité et découvrir des perspectives d’avenir, l’ANSSI publie aujourd’hui un nouveau numéro de ses Papiers numériques : Cybersécurité européenne : histoire d’une mue culturelle, disponible sur son site.

Communiqué de presse – Coopération et solidarité : la cybersécurité se construit à l’échelle de l’Union européenne

Powered by WPeMatico

Au collège et au lycée, former à la cybersécurité par le jeu !

Depuis avril 2019, l’ANSSI et le MENJS s’associent dans un but commun : œuvrer à la meilleure formation des jeunes aux enjeux et aux filières de la sécurité numérique, afin notamment d’encourager les vocations dans ce domaine.

Ce travail a commencé par l’ébauche d’une feuille de route Sécurité numérique : former et susciter des vocations déclinant neuf axes de progression concrets, dont l’un d’eux consiste à enrichir les ressources pédagogiques d’outils d’apprentissages innovants, comme par exemple le jeu.

À l’initiative du laboratoire d’innovation de l’ANSSI et du 110 bis, laboratoire d’innovation du MENJS, une première expérimentation a été conduite en juin 2020. Experts cybersécurité, pédagogiques et en mécaniques ludiques ont été rassemblés autour du prototypage de jeux sur mobile.

Former enseignants et élèves

Alors que l’organisation d’une seconde session de conception de jeux impliquant des élèves n’était pas envisageable compte tenu de la situation sanitaire, un nouveau projet a vu le jour : le kit CyberEnJeux, élaboré notamment avec le soutien de la communauté Open Serious Game.

Composé de 14 fiches thématiques et objectifs pédagogiques ainsi que de fiches pratiques permettant d’organiser de manière autonome une session de conception de jeux portant sur la cybersécurité, le kit CyberEnJeux a vocation à aider les enseignants à construire une séquence pédagogique sur la cybersécurité.

À la suite d’un appel à participation lancé par le laboratoire d’innovation de l’ANSSI et le 110 bis en juin dernier, 10 enseignants ont répondu présent et organiseront entre septembre et décembre 2021 une séquence pédagogique dédiée à la formation des élèves à la cybersécurité par la conception de jeux.

Plusieurs hypothèses au banc d’essai

L’objectif de l’expérimentation est double. Il s’agira de :

  1. tester la pertinence des contenus proposés au travers de fiches thématiques et d’objectifs pédagogiques, dans le contexte des différentes disciplines ou filières représentées (mathématiques, gestion, hôtellerie, etc.) ;
  2. évaluer si la participation d’élèves à une session de conception de jeux peut contribuer à l’acquisition et à la consolidation des savoirs.

Le cœur de l’expérimentation portera donc sur le processus d’apprentissage plutôt que sur une évaluation des prototypes de jeux créés par les élèves.

Conçu sous licence Etalab 2.0 et actuellement en version Bêta dans le cadre de l’expérimentation lancée, le kit est accessible à tout curieux souhaitant approcher de manière ludique la cybersécurité, qu’il soit agent public gravitant dans les sphères éducatives et/ou sécurité numérique, ou membre d’une collectivité territoriale, d’une association…

Téléchargez le document dans sa version bêta ici ! (format PDF)

Enfin, n’hésitez pas à informer le laboratoire d’innovation de l’ANSSI et du 110 bis de vos utilisations du kit : nous serons ravis de récolter vos retours en vue de l’améliorer ! Contactez-nous à lab-innov[at]ssi.gouv.fr et à 110bis[at]education.gouv.fr.

Pour plus d’informations sur le contenu du kit et la manière de l’utiliser, consultez cette vidéo de présentation de 5 min.

Powered by WPeMatico