Infos sur les SSL et la sécurité des réseaux

Articles récents

Participation de l’ANSSI à l’AFRICA INTERNET SUMMIT (AIS) aux côtés de l’AFRICACERT

Depuis sa création au début des années 2000, l’AfricaCERT promeut la coopération en matière de cyberdéfense en Afrique. L’Africa Internet Summit a réuni les agences de cyber défense, CSIRTs, régulateurs et opérateurs télécoms ainsi que des entreprises d’une vingtaine de pays autour de présentations théoriques et d’ateliers pratiques. Les journées de formation ont permis d’aborder aussi bien les aspects techniques que stratégiques de la réponse à incident sur lesquels l’ANSSI a partagé son expérience.

L’engagement de l’ANSSI auprès de l’AfricaCERT s’inscrit dans le cadre plus général de sa politique internationale de développement de partenariats et de renforcement de la sécurité du numérique.

Logo AfricaCERT

Powered by WPeMatico

Retrouvez la composition finale de la Team France pour le Challenge européen de cybersécurité

Pour parvenir à sélectionner les 10 joueurs ainsi que 4 remplaçants, de nombreux critères sont rentrés en ligne de compte : les classements lors des différentes phases de sélection, la qualité des présentations de leurs méthodes de résolution des épreuves, l’équilibre entre les spécialités des futurs membres de l’équipe ou encore l’esprit d’équipe.

Après des délibérations ardues, les coachs ont défini un classement définitif par catégorie « juniors » (âgé-e-s de 14 à 20 ans) et « seniors » (âgé-e-s de 21 à 25 ans).

Découvrez la composition finale de la Team France pour l’#ECSC2019

ECSC 2019 - Composition de l'équipe nationale

Accompagnés par leurs coachs, des professionnels de la cybersécurité, ils se rendront à Bucarest du 8 au 12 octobre pour affronter les autres équipes nationales * lors de plusieurs séries d’épreuves variées (cryptographie, reverse engineering, recherche de vulnérabilité, etc.).

Si vous avez encore des questions sur la sélection nationale ou pour suivre l’équipe France, un salon public consacré à l’ECSC sur discord est disponible tout au long de la sélection pour échanger avec l’équipe d’organisation ANSSI [discord.gg/P8rpVNZ].

* Allemagne, Autriche, Chypre, Danemark, Espagne, Estonie, France, Grèce, Irlande, Italie, Lichtenstein, Luxembourg, Norvège, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Royaume-Uni, Suisse

Powered by WPeMatico

5E EDITION DE LA COMMISSION TECHNIQUE « CYBERSECURITE DES SYSTEMES INDUSTRIELS » DE L’EXERA

Logo exera

L’EXERA est l’association des EXploitants d’Équipements de mesure, de Régulation et d’Automatismes. Elle regroupe une trentaine d’adhérents parmi lesquels des industriels et laboratoires de tailles diverses issus de secteurs d’activités variés (énergie, transport, agro-alimentaire, défense, aérospatial, etc.).

L’association compte une quinzaine de commissions techniques couvrant l’ensemble des thématiques intéressant les adhérents de l’association. Parmi les thématiques traitées, l’une d’elles s’intéresse à la cybersécurité des systèmes industriels. Créée en mai 2013, elle suit les évolutions de l’environnement réglementaire, en informe ses adhérents et assure une veille du marché des solutions et services de sécurité tout en favorisant le partage d‘expérience entre adhérents et acteurs impliqués, dont l’ANSSI fait partie.

5e édition « Cybersécurité des Systèmes industriels »

Cette 5e édition de la journée technique « Cybersécurité des Systèmes industriels » sera l’occasion de revenir sur la thématique toujours plus prégnante de la sécurité des systèmes industriels.

Ouvert à tous sur inscription, les objectifs pour l’EXERA et ses partenaires est d’informer les participants sur l’évolution des environnements réglementaire et normatif ainsi que de faire le point sur les solutions et les services innovants pour faire face aux menaces cyber. Ce rendez-vous offrira l’occasion pour les participants de rencontrer des exposants porteurs de solutions techniques.

Intervention de l’ANSSI : le Visa de sécurité

Logo - Visa de sécurité

Cette année, en tant que partie prenante de cette association, l’ANSSI interviendra pour présenter le Visa de sécurité, à travers leurs finalités, les procédures à suivre et le catalogue des solutions qualifiées.
Le Visa de sécurité que délivre l’ANSSI permette d’identifier facilement la fiabilité et la sécurité de solutions, à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée. Le Visa de sécurité permette d’accompagner les entreprises et les administrations dans leurs solutions de sécurité.

En savoir plus sur l’évènement

Powered by WPeMatico

SecNumacadémie – Le MOOC de sensibilisation à la cybersécurité ouvre ses données

La cybersécurité est l’affaire de tous ! Depuis mai 2017, et jusqu’en mai 2021, le MOOC (Massive Open Online Course) SecNumacadémie propose des contenus pédagogiques pour initier le grand public aux enjeux et bonnes pratiques de la cybersécurité. Ses conseils permettent à tout participant de devenir acteur de la sécurité du numérique dans son environnement personnel et professionnel.

Pour fêter son 100 000e inscrit, SecNumacadémie est désormais disponible sous format SCORM 2004 (Shareable Content Object Reference Model). Cette mise à disposition des données, disponibles à la réutilisation sous réserve de respect de la licence Etalab 2.0 (disponible ici), répond au besoin et à l’intérêt exprimé par les écoles, les universités, les entreprises et les organisations de disposer d’une version modifiable et personnalisable de cette ressource pédagogique.

« L’ouverture et le partage sont ancrés dans l’ADN de l’ANSSI. C’est dans cette logique et pour répondre aux nombreuses demandes, que l’agence ouvre aujourd’hui les données du MOOC » explique Sarah de Haro, pilote des activités de sensibilisation au numérique au sein du Centre de formation à la sécurité des systèmes d’information (CFSSI).

Toutes les entités peuvent désormais déployer les données du MOOC sur un réseau interne et accéder à une interface personnalisée d’administration. Le MOOC peut ainsi être utilisé comme un outil de formation et de sensibilisation ou comme un outil de communication interne pour créer de la cohésion entre les salariés autour d’un challenge commun. Chaque entité désireuse d’utiliser les données mises à disposition se doit de réaliser l’hébergement des données sur la plate-forme d’apprentissage (e-learning) de son choix.

« La sensibilisation de tous les publics – jeunes ou seniors, travailleurs indépendants ou salariés, chacun avec ses usages – est fondamentale pour assurer un niveau élevé de sécurité numérique. Le facteur humain est un enjeu majeur de la cybersécurité » affirme Sarah de Haro, pilote des activités de sensibilisation au numérique au sein du CFSSI.

L’ensemble des données est disponible au téléchargement en adressant une demande à l’adresse : secnumacademie [at] ssi.gouv.fr

Communiqué de presse – SecNumacadémie – Le MOOC ouvre ses données

Powered by WPeMatico

Blue OLEx 2019 : une nouvelle initiative des Etats membres pour développer le dispositif européen de gestion de crise cyber

La directive Network and Information Security (NIS) a déjà permis de mettre en place un cadre de coopération volontaire sur le volet technique entre les Etats membres via le réseau des CSIRTs, qui a été efficacement testé lors de l’exercice Cyber Europe 2018.

En 2017, la Commission européenne avait en outre adopté une recommandation – dénommée Blueprint. Elle propose que les Etats membres et les institutions européennes conviennent de procédures de coopération et d’échanges européens pour la gestion des incidents majeurs et des crises cyber. Trois niveaux de gestion de crise sont ainsi identifiés : politique, opérationnel, technique. Les Etats membres ont ensuite appelé, en juin 2018, à la mise en place d’un cadre européen de coopération pour la gestion de crises cyber respectant leurs prérogatives souveraines.

C’est pourquoi la France a proposé, conjointement avec l’Espagne, de réunir les différentes parties prenantes dans un format inédit : un exercice sur table rassemblant les responsables d’autorités nationales de cybersécurité des Etats membres UE, la Commission européenne et l’ENISA.

Sur la base de plusieurs courts scénarii, Guillaume Poupard, directeur général de l’ANSSI, et ses homologues européens réfléchiront à Paris, le 3 juillet 2019, aux mécanismes qui pourraient être mis en place pour gérer efficacement une crise cyber touchant les Etats membres de l’UE.

Cet exercice permettra de documenter le niveau opérationnel du cadre européen de réponse aux crises cyber. Ce niveau intermédiaire permet d’organiser la préparation des décisions politiques dans un tel contexte, tout en faisant le lien avec le travail technique mené par les équipes nationales de réponse à incidents, en coopération avec le CERT-EU et l’ENISA. Ces échanges et le retour d’expérience alimenteront la rédaction, dans les mois à venir, de procédures de coopération et d’échanges européens qui complètent les procédures déjà en place aux niveaux technique et politique.

« L’exercice Blue OLEx 2019 illustre l’engagement des Etats membres pour définir des procédures de coopération et d’échanges efficaces et volontaires, pour gérer collectivement des situations de crise d’origine cyber impactant des pays européens » se félicite Guillaume Poupard, directeur général de l’ANSSI.

Cet exercice innovant ouvrira également le débat entre les Etats membres, la Commission et l’ENISA sur les enjeux européens de la cybersécurité actuels et à venir.

Communiqué de presse – Blue OLEx 2019

Powered by WPeMatico

OpenCTI – La solution libre pour traiter et partager la connaissance de la cybermenace

Pour mener à bien ses missions, en tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI développe au quotidien et met à profit sa connaissance et son analyse des éléments stratégiques, opérationnels et techniques liées aux menaces informatiques. Cette expertise est indispensable dès lors qu’il s’agit d’anticiper les menaces et les risques majeurs, pour mieux y répondre. Une somme d’informations qui, pour être efficacement exploitée, doit également faire l’objet d’une valorisation et d’un traitement approprié.

OpenCTI – Un outil pour structurer, traiter et partager les connaissances

Logo d'OpenCTI

Le projet OpenCTI a été initié en septembre 2018 par l’ANSSI et co-développé avec le CERT-EU en l’absence de solutions complètement appropriées pour structurer, stocker, organiser, visualiser et partager la connaissance de l’ANSSI en matière de cybermenace, à tous les niveaux.

Ces informations sont exploitées par l’agence pour mener à bien ses activités de cyberdéfense. Elles sont également diffusées aux interlocuteurs privilégiés de l’agence (CSIRT, agences de cybersécurité, etc.) à l’échelle nationale et internationale.

L’usage généralisé de la plateforme OpenCTI entre l’ANSSI et ses partenaires permettra de développer et de faciliter l’échange d’informations structurées sur la cybermenace, pour construire une vision collective toujours plus précise du panorama de la menace.

OpenCTI

Développer collectivement un outil qui réponde à tous les besoins et tous les usages, pour la connaissance de la cybermenace

Si le partage de ces informations reste exclusivement réservé à ses partenaires privilégiés, l’ANSSI souhaite également partager l’outil de traitement OpenCTI avec la communauté des développeurs et des utilisateurs impliqués dans l’analyse de la cybermenace.
La mise à disposition de l’outil OpenCTI, en open source* et prêt à l’emploi, permet aujourd’hui de faire profiter à tous les intéressés de l’ensemble des fonctionnalités de cette application, qui respecte les standards en matière de Threat Intelligence et répond au besoin généralisé de structuration des connaissances de la menace.

En mettant à disposition les codes sources de l’application OpenCTI, l’ANSSI et le CERT-EU invitent également tous les contributeurs à faire évoluer cet outil au plus près des besoins opérationnels. assurer un développement pérenne et toujours plus adapté aux besoins de la communauté.

Le projet sera maintenu dans la durée par l’ANSSI et le CERT-EU, au contact de tous les contributeurs qui souhaiteront s’investir pour l’avenir d’OpenCTI.

Retrouver tous les codes sources pour développer et utiliser OpenCTI

Pour en savoir plus sur le projet, consultez la documentation

* Sous licence publique générale GNU Affero v3

Powered by WPeMatico

3e édition du colloque SecNumeco en Bretagne pour la sensibilisation, l’éducation et la formation à la sécurité économique et numérique

SecNumEco Saint brieuc 2019La troisième édition bretonne du colloque SecNumeco, sera entièrement consacrée à l’acculturation, au travers de retours et de partages d’expériences.
De la sensibilisation à l’éducation en passant par la formation – initiale comme continue – pour les élèves, étudiants, professeurs, chercheurs, dirigeants d’entreprises ou élus, la sécurité tant économique que numérique est l’affaire de tous.
Toutes les organisations sont aujourd’hui confrontées à de la malveillance numérique et/ou économique avec la remise en question de leur résilience sur la durée.

En effet, chacune des parties prenantes à un rôle à jouer pour protéger et défendre son environnement des ingérences tant numériques qu’économiques. Pour cela, la prise en compte de la sensibilisation, et de la formation de tous les acteurs impliqués est nécessaire pour une acculturation à la sécurité numérique. Aussi, les différences de cultures et de contextes professionnels doivent être prises en compte.

Outils et ressources à l’usage des acteurs économiques : https://www.ssi.gouv.fr/uploads/2014/10/secnumeco_depliant_anssi.pdf

Le colloque sera précédé par un « Before », le 19 septembre 2019, ouvert aux étudiants et au public, pour permettre de sensibiliser plus largement les concitoyens aux enjeux de sécurité numérique et économique.

Enfin, le colloque SecNumeco, réservé aux professionnels, donnera la parole le 20 septembre 2019 aux spécialistes et experts du domaine : services de l’État, collectivités territoriales, universitaires et entrepreneurs. Un serious game se déroulera en parallèle d’une journée riche en échanges et en enseignements.

Informations pratiques :

Colloque SecNumeco à Saint-Brieuc : De la sensibilisation à l’acculturation
Les 19 et 20 septembre 2019
Lieux : Ploufragan et Saint-Brieuc

Jeudi 19 septembre 2019 de 18h30 à 21h00 :
Cité des Métiers des Côtes d’Armor
Espace Sciences et Métiers, Technopole Saint-Brieuc Armor
6 Rue Camille Guérin
22440 Ploufragan

Vendredi 20 septembre 2019 de 09h00 à 17h00 :
Conseil Départemental des Côtes d’Armor
9 place du Général de Gaulle
22000 Saint-Brieuc

Liens d’inscription pour l’évènement :

– Le Before 19 septembre 2019 : https://before-secnumeco.eventbrite.fr
– Le colloque 20 septembre 2019 : https://secnumeco.eventbrite.fr

Powered by WPeMatico

L’ANSSI remet les premiers Labels EBIOS Risk Manager

Logo du label EBIOS Risk ManagerLe Label EBIOS Risk Manager a pour objectif de répondre à la demande des utilisateurs en quête d’outillage conforme à la méthodologie EBIOS Risk Manager. Ce label de conformité se fonde sur un cahier des charges précis et est accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS Risk Manager.

 

La remise de ces premiers labels s’intègre ainsi dans la feuille de route de l’Agence, puisqu’elle permet la mise à disposition de solutions logicielle efficaces et adaptées pour accompagner la méthode d’analyse des risques promue par l’ANSSI.

10 ans - Remise des labels eBios Risk Manager 1
10 ans - Remise des labels eBios Risk Manager 2

Le label est un partenariat entre l’ANSSI et les éditeurs engagés dans la démarche, pour proposer une méthode outillée et performante qui valorise l’écosystème EBIOS Risk Manager en France mais également à l’International. Aussi, le Label témoigne d’un engagement collectif pour l’accessibilité, la transparence et l’innovation de la Méthode EBIOS Risk Manager.

Les évolutions du label et de son cahier des charges se feront en lien avec les éditeurs afin de trouver le meilleur équilibre entre sécurité et agilité. Le cahier des charges pour des solutions en mode « client-serveur » devrait être rendu public à l’occasion des Assises de Monaco 2019 et les premières solutions « client-serveur » devraient être labellisées pour le FIC 2020.

À ce jour, 7 candidats éditeurs sont toujours engagés dans la démarche de labellisation.

La liste des solutions logicielles concernées est disponible ici : https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/

Powered by WPeMatico

Les acteurs de la cybersécurité et de l’innovation dans l’éducation travaillent de concert pour la formation à la sécurité numérique

Tout au long de cette journée co-organisée par l’ANSSI et le ministère de l’Éducation nationale et de la Jeunesse, les participants ont fait germer idées et projets pour soutenir la formation aux métiers de la sécurité numérique et la sensibilisation des plus jeunes à ces problématiques.

FORMATION ET INITIATION À LA CYBERSÉCURITÉ : DES ENJEUX MAJEURS POUR L’ANSSI ET SES PARTENAIRES

Sous forme d’ateliers rassemblant à dessein des profils variés, les acteurs du numérique et de l’éducation ont orienté leurs réflexions autour de deux axes principaux et interdépendants : l’élévation du niveau de compétences général des élèves en matière de cybersécurité, pour faire des collégiens et lycéens des citoyens éclairés, responsables et engagés vis-à-vis des enjeux de sécurité numérique, et l’augmentation de l’attractivité de la filière, face à une pénurie de talents.
Ces travaux marquaient la première étape d’un engagement collectif et sur la durée, pour répondre à ces défis majeurs pour l’avenir de la sécurité du numérique en France.

Lab110bisAinsi, divers projets ont été explorés pour répondre à ces défis en proposant des solutions innovantes et adaptées, grâce à une réflexion qui mettait à profit l’ensemble des expertises et des profils représentés.
Au cours de l’après-midi, chaque groupe a pu partager le résultat de ses travaux avec Jean-Michel Blanquer, ministre de l’Éducation nationale et de la Jeunesse, et Guillaume Poupard, directeur général de l’ANSSI, venus rencontrer les participants et se joindre aux échanges qui se tenaient au Lab110bis.


« Il y a plein de manières d’aborder la cybersécurité et autant de raisons de s’y épanouir.
L’idée n’est pas d’attirer par goût du risque, mais vraiment par passion. »

Guillaume Poupard, directeur général de l’ANSSI

Les initiatives imaginées au terme de ces travaux constituent un vivier d’idées dans lequel puiser pour initier des projets concrets et communs à toutes les échelles. Car cette journée a eu un autre mérite, celui de faire se rencontrer des professionnels qui ont à apprendre les uns des autres pour faire émerger au juste niveau une culture de la sécurité au sein des collèges et lycées et soutenir l’attractivité des métiers de la cybersécurité. Une filière qui propose des opportunités de carrières passionnantes, mais encore trop méconnues.

Powered by WPeMatico

Adoption définitive du Cybersecurity Act : un succès pour l’autonomie stratégique européenne

Une avancée déterminante pour l’autonomie stratégique européenne

Issue de la feuille de route de la Commission européenne en matière de sécurité du numérique, le règlement européen a fait l’objet d’intenses négociations depuis septembre 2017.

Le règlement européen traite deux sujets distincts mais complémentaires. D’une part, il a permis l’adoption d’un mandat permanent pour l’ENISA, l’Agence européenne pour la cybersécurité, valorisant et développant son rôle de facilitateur des échanges entre les Etats membres.
D’autre part, il a défini un cadre européen de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification, au sein duquel l’ENISA trouve toute sa place. Les certificats délivrés bénéficieront d’une reconnaissance mutuelle au sein de l’UE.

En tant que cheffe de file des autorités françaises, l’ANSSI y a contribué significativement, faisant notamment valoir son expertise dans le domaine de la certification de produits et services de sécurité. Pleinement investie dans les négociations, l’ANSSI se félicite de l’adoption définitive du Cybersecurity Act, qui marque une véritable avancée pour l’autonomie stratégique européenne.

« Forte de vingt années d’expérience en matière de certification, la France a joué un rôle moteur lors des négociations européennes, avec pour objectif d’élever le niveau de sécurité en Europe. Il est primordial de réconcilier la croissance du marché avec les enjeux de cybersécurité » affirme Guillaume Poupard, Directeur général de l’ANSSI.

L’ENISA, point de référence européen en matière de cybersécurité

Créée en 2004, l’ENISA, joue un rôle clé en matière d’aide au développement des capacités nationales de cybersécurité et de soutien à la coopération entre Etats membres. Travaillant en étroite collaboration avec l’ANSSI, cet engagement s’est renforcé en 2016 par l’élection d’un des collaborateurs de l’agence à la Présidence du conseil d’administration de l’ENISA.

Lors des négociations, l’ANSSI a plaidé pour une Agence européenne pour la cybersécurité au mandat renforcé.

Le règlement consacre l’ENISA comme point de référence auprès des institutions de l’UE, à l’aune de l’émergence de nombreuses initiatives européennes en matière cyber, y compris sectorielles.

Le Cybersecurity Act fixe un mandat permanent ambitieux pour l’ENISA, renforçant ses missions dans plusieurs domaines : développement et soutien à la mise en œuvre des politiques européennes, expertise, appui au renforcement capacitaire des Etats, soutien à la coopération opérationnelle entre les Etats membres et sensibilisation.

Un cadre européen de certification de cybersécurité

La certification de cybersécurité est l’attestation de la robustesse d’un produit réalisée par un évaluateur tiers, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

L’adoption du Cybersecurity Act permettra à la fois d’encourager le recours à la certification et de reconnaître les certificats délivrés par un Etat membre dans toute l’UE, contribuant de fait à renforcer la sécurité du marché unique numérique européen.

Le règlement définit des processus de certification et une gouvernance pour l’adoption de schémas. Il précise les rôles et responsabilités des Etats membres et la portée de la certification avec plusieurs niveaux d’assurance.
Trois niveaux sont définis :

  • Le niveau élémentaire qui cible typiquement des objets grand public, non critiques (exemple : IoT)
  • Le niveau substantiel qui cible le risque médian (exemple : informatique en nuage – Cloud)
  • Le niveau élevé qui cible les solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et ressources significatives (exemple : véhicules ou dispositifs médicaux connectés).

L’expertise de la France en matière de certification se reflète dans le niveau élevé d’assurance du règlement européen.

L’application du règlement européen au sein des Etats membres

Le Cybersecurity Act est un acte juridique européen, de portée générale, obligatoire dans toutes ses dispositions. Les États membres sont donc tenus d’appliquer ces dernières telles qu’elles sont définies par le règlement.

Il s’agit d’un règlement d’application directe. Les Etats membres disposeront toutefois de deux ans pour se mettre en conformité avec les dispositions impactant leur organisation nationale.

Pour en savoir plus sur le règlement européen Cybercurity Act, rendez-vous sur : https://www.ssi.gouv.fr/administration/reglementation/cybersecurity-act/

Powered by WPeMatico