Infos SSL et sécurité réseaux

Archive mensuelles: juillet 2016

SecNumedu, la documentation applicable maintenant disponible.

Cette publication fait suite à l’appel à commentaires sur la documentation précédemment publiée le 27 mai 2016. Elle est dès maintenant disponible sur le site de l’ANSSI.

Les demandes de labellisation seront étudiées par l’ANSSI à partir du 5 septembre 2016.

 

SecNumedu, label de formations initiales en cybersécurité de l’enseignement supérieur

secnumedu_logoL’objectif de cette labellisation est d’apporter une assurance aux étudiants et employeurs qu’une formation dans le domaine de la sécurité du numérique répond à une charte et des critères définis par l’ANSSI en collaboration avec les acteurs et professionnels du domaine (établissements d’enseignement supérieur, industriels…).
Le programme de labellisation SecNumedu vise à améliorer le référencement des formations en sécurité du numérique par la mise en place d’un processus qui éprouve et garantit la pertinence de la formation par rapport à ses objectifs. Il tend également à participer au renforcement et au développement des enseignements en matière de sécurité du numérique.
En savoir plus sur SecNumedu

 

Powered by WPeMatico

Adoption de la directive Network and Information Security (NIS) : l’ANSSI, pilote de la transposition en France

Celle-ci entrera en vigueur vingt jours après sa publication au journal officiel intervenue le 19 juillet 2016. Les Etats membres auront jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

Chef de file en France pour la négociation de ce texte, l’ANSSI se félicite de l’adoption de la directive qui  positionne l’Union européenne en pointe en matière de cybersécurité . Elle prévoit en effet  le renforcement des capacités nationales de cybersécurité et  établit un cadre formel de coopération entre Etats membres, auquel l’ANSSi entend prendre une part active. La directive prévoit également le renforcement de la cybersécurité d’opérateurs issus de secteurs clés ainsi que de certaines plateformes numériques.

La transposition de la directive NIS en France, qui sera assurée par l’ANSSI en lien avec l’ensemble des acteurs concernés, pourra bénéficier des travaux réalisés dans le cadre du renforcement de la cybersécurité des opérateurs d’importance vitale dont la compatibilité avec la directive a été assurée.

L’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information (ENISA) avec laquelle l’ANSSI travaille étroitement, sera chargée d’aider les Etats dans la bonne mise en œuvre de la directive.

 

Présentation de la directive

Structurée autour de quatre axes, la directive prévoit

  • le renforcement des capacités nationales de cybersécurité. Les Etat membres devront notamment se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cybersécurité. Respectivement en France, l’ANSSI, le CERT-FR et la stratégie nationale pour la sécurité du numérique ;
  • l’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE via la création de
    • un « groupe de coopération » des Etats membres sur les aspects politiques de la cybersécurité ;
    • un « réseau européen des CSIRT » des Etats membres. Ce dernier visera notamment à faciliter le partage d’informations techniques sur les risques, vulnérabilités ;
  • le renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société via
    • la définition au niveau national de règles de cybersécurité auxquels ces derniers devront se conformer ;
    • l’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.
  • l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.

 

Chronologie de la directive

nis_chronologie

Powered by WPeMatico

La liste des prestataires de réponse aux incidents de sécurité (PRIS) en cours de qualification est disponible

Les prestataires de réponse aux incidents de sécurité interviennent lorsqu’une concordance de signaux permet de soupçonner ou d’attester une activité informatique malveillante au sein d’un système d’information. Suite à un appel à candidature en juillet 2014, sept sociétés ont été sélectionnées pour participer à la phase expérimentale pour la qualification en tant que prestataires de réponse aux incidents. Leur évaluation en conditions réelles, au regard du référentiel, a été menée de décembre 2015 à juin 2016.

Le référentiel est à présent en cours de mise à jour pour intégrer les retours de la procédure expérimentale en vue de l’ouverture prochaine de la phase nominale de qualification.

Les prestataires de réponse aux incidents ayant participé à cette procédure expérimentale, et qui ont déroulé l’ensemble des étapes de celle-ci, sont inscrits dans la nouvelle liste des prestataires de réponse aux incidents en cours de qualification.

Les prestataires de réponse aux incidents souhaitant obtenir une qualification, et intégrer à terme cette liste, peuvent contacter l’ANSSI : qualification[at]ssi.gouv.fr

La qualification, qui permet d’attester de la conformité du prestataire de réponse aux incidents, sera délivrée par l’ANSSI suite à une évaluation réalisée par des centres d’évaluation agréés à cet effet par l’ANSSI. Les organismes qui souhaitent procéder à l’évaluation des prestataires de réponse aux incidents de sécurité et devenir ainsi centres d’évaluation agréés sont invités à contacter l’ANSSI à l’adresse qualification[at]ssi.gouv.fr

 

Powered by WPeMatico

L’ANSSI rejoint l’Open Information Security Foundation

oisf_logoSuricata est un moteur de haute performance de détection et de prévention d’intrusion dans les réseaux informatiques développé et distribué sous licence libre. En rejoignant l’OISF et en soutenant le projet Suricata, l’ANSSI marque une nouvelle fois l’engagement de la France dans la cybersécurité de ses infrastructures critiques mais egalement de chacun de ses citoyens. L’OISF, ONG fonctionnant sur un mode communautaire, rassemble les volontaires et les acteurs industriels qui contribuent en temps, en code et par leurs retours sur Suricata. Le succès de Suricata est le résultat direct des efforts et des contributions de cette communauté.

L’ANSSI est convaincue du rôle majeur que Suricata peut jouer dans le développement de nouvelles générations innovantes de systèmes de détection et de prévention d’intrusion integrant des briques de logiciel libre. Ensemble, l’OISF et l’ANSSI souhaitent soutenir des solutions performantes et de confiance pour la cybersécurité.

Grâce aux partenariats et au support des membres du consortium OISF tels que l’ANSSI, Suricata continuera de s’améliorer et d’être un moteur de haute performance de détection et de prévention d’incidents réseau dr haut niveau de confiance et de renommée mondiale.

Communiqué de presse : OISF ANSSI

 

Powered by WPeMatico

L’ANSSI et le CERT-FR participent à la 10ème session de l’AfricaCERT

africacert_logoDepuis plusieurs années, le CERT-FR, l’équipe gouvernementale pour la réaction aux incidents informatiques, s’est fortement engagé pour accompagner l’association AfricaCERT dans sa mission au service du développement de la coopération entre les CERT d’Afrique francophone.

L’ANSSI est ainsi intervenue aux journées de formation dispensées lors de l’évènement organisé par AfricaCERT le mois dernier. Sa participation à cette 10ème session s’inscrit dans le cadre de son engagement en faveur du développement de partenariats internationaux et de soutien au renforcement de la sécurité du numérique sur le continent africain.

Une journée essentiellement composée de stages, dont le point d’orgue était le « CERT-FR day » menée par l’ANSSI, qui a rassemblé une quarantaine de participants de tous profils autour de réflexions théoriques et d’exercices pratiques. Au programme la rédaction d’une charte pour la création d’un CERT, les grandes problématiques liées à ce type de projet, la caractérisation des menaces cyber et leurs méthodes de traitement ainsi que la mise en situation pour la gestion d’un incident.

En savoir plus sur AfricaCERT

 

Powered by WPeMatico

Cloud Independence Day : bâtir la confiance pour les prestataires de services en nuage

cloudindependenceday_logoPour sa deuxième édition, le Cloud Independence Day réunit les professionnels du domaine autour de la question de l’indépendance européenne dans le cloud, avec pour principaux enjeux la confiance et la maîtrise des données des entreprises, des particuliers et des administrations.

Cet événement se tient dans le cadre de la Cloud Week Paris et propose une journée de tables rondes et de débats.

L’ANSSI interviendra pour sa part à l’occasion de 2 conférences :

  • 9h00 – « Cloud computing : vers une indépendance européenne »
  • 15h45 – « Table ronde : référentiels, certifications, labels et éthique dans le cloud computing »

L’occasion pour l’agence de présenter son approche en la matière avec le référentiel d’exigences pour la qualification de prestataires de services sécurisés d’informatique en nuage.

La démarche de qualification engagée par l’ANSSI vise à apporter de la lisibilité aux offres du marché en termes de sécurité mais aussi pour la confiance et la protection des données. Il tend également à améliorer sensiblement le niveau de sécurité des prestataires de services informatiques en nuage.

Pour un prestataire, la qualification sur la base des exigences de ce référentiel permet une distinction sur ce marché avec une plus grande visibilité et l’affirmation d’une prestation de service de confiance. Enfin ce référentiel cloud représente également l’opportunité d’accéder à d’autres marchés européens, dont l’Allemagne.

Le référentiel cloud est actuellement en phase expérimentale avec l’audit de plusieurs prestataires volontaires. A l’issue de cette évaluation, une nouvelle version du document sera publiée sur le site de l’ANSSI.

 

Powered by WPeMatico

Le règlement européen eIDAS pour la confiance dans les transactions électroniques entre en application

Le règlement eIDAS est un règlement européen, adopté le 23 juillet 2014 par le Parlement européen et le Conseil. Il s’impose à l’ensemble des Etats membres et prévoit un cadre de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance :

  • pour l’identification électronique, le règlement prévoit que chaque Etat membre puisse notifier des schémas d’identification électronique à la Commission.
  • pour les services de confiance, le règlement instaure un régime de qualification des prestataires de services de confiance. Cette qualification, décernée par un organe de contrôle et prenant en compte les résultats d’un audit de conformité effectué par un organisme accrédité, permet de vérifier que le prestataire de service de confiance respecte bien les exigences du règlement.

A compter d’aujourd’hui, le règlement devient applicable pour la majeure partie de ses dispositions et plus particulièrement pour celles concernant les services de confiance.

Qui est concerné ?

Le règlement eIDAS concerne principalement les organismes du secteur public mettant en œuvre des signatures électroniques sur leurs téléservices et les prestataires de services de confiance établis sur le territoire de l’Union qui seront soumis à ses exigences.
En complément, le règlement impacte l’ensemble des citoyens et toute entreprise, qui, via le recours à l’un de ces services de confiance, pourra bénéficier des effets juridiques associés, ou qui, via l’utilisation d’un moyen d’identification électronique, sera en mesure de s’identifier de manière fiable auprès d’organismes établis dans l’ensemble de l’UE.

Qualification des prestataires de services de confiance

L’ANSSI a été désignée par les autorités françaises comme l’organe de contrôle, c’est-à-dire l’organisme en charge de délivrer et de retirer les qualifications des prestataires de services de confiance.
A ce titre, l’ANSSI publie les référentiels d’exigences applicables aux différents services de confiance.

Ces documents sont disponibles sur le site Internet de l’ANSSI depuis le 1er juillet 2016.
La liste de confiance référence les prestataires de services de confiance qualifiés par l’ANSSI, ainsi que les prestataires de services de confiance non qualifiés, établis en France, et ayant adressé à l’agence une demande d’inscription sur cette liste. Ce document est également consultable sur le site de l’agence.

Retrouvez toute l’information concernant le règlement eIDAS sur la rubrique qui lui est dédiée.

 

Chronologie d’eIDAS

eidas_frise_chronologique

 

Powered by WPeMatico

Les référents ANSSI prennent le relais des OzSSI pour soutenir les acteurs régionaux

Les OZSSI avaient été mis en place dans chaque zone de défense et de sécurité (ZDS), directement auprès des préfets de zone, conformément aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale de 2008.
Sous la direction de l’ANSSI, ils avaient pour missions de soutenir en formation et en conseil les administrations locales, d’animer des réseaux de partage d’expérience et de remonter les signaux précurseurs d’incidents. Ils sont par la suite devenus les relais territoriaux de l’ANSSI auprès de tous ceux qui ne bénéficient pas de soutien en matière de SSI, notamment les acteurs économiques.

Cette expérience réussie a montré la pertinence d’un déploiement territorial et la nécessité pour l’ANSSI de mener une action au plus près de ses cibles. La mise en place du réseau des référents de l’ANSSI en régions, qui devrait être achevée à la fin de l’année, va maintenant permettre de tirer profit du travail accompli par les OZSSI, en bénéficiant d’un dispositif resserré, davantage au contact de l’ensemble du tissu économique et les collectivités territoriales de la région.

cot_map_avant
cot_map_apres

 

Powered by WPeMatico