Infos SSL et sécurité réseaux

Archive mensuelles: octobre 2018

La France décroche la seconde place du challenge européen

ECSC Team France Trophy

Dans le cadre du mois européen de la cybersécurité, la France a participé pour la première fois à l’European Cybersecurity challenge, soutenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en lien avec l’association HackerZvoice.

Du 14 au 17 octobre 2018 à Londres, 17 équipes nationales concurrentes se sont mesurées à plusieurs séries d’épreuves variées : cryptographie, reverse engineering et recherche de vulnérabilité. Chaque équipe était composée de 10 joueurs, ainsi que 3 remplaçants, âgés de 14 à 25 ans et présélectionnés suite à un challenge organisé au niveau national.

Les joueurs de l’équipe France ont été sélectionnés lors du Wargame public de la Nuit du hack, en juin 2018.
L’équipe a été accompagnée et entraînée par trois professionnels de la cybersécurité, choisis comme « coachs » officiels de l’équipe, notamment lors d’un stage de préparation et de cohésion les 10 et 11 septembre 2018.

Découvrez la Team France

Pour sa première participation, la France a décroché avec succès la seconde place du challenge, derrière l’équipe allemande. Le Royaume-Uni arrive en troisième position du classement. Avec enthousiasme, détermination et bonne humeur, les joueurs français ont été dans le peloton de tête pendant les deux jours, misant sur les compétences individuelles mais aussi sur le travail en équipe.

Retrouvez les moments forts de l’équipe et de la compétition en suivant le #ECSC2018 .

Guillaume Poupard, Directeur général de l’ANSSI, s’est rendu à Londres pour féliciter l’équipe : « Ce succès à l’European Cybersecurity challenge illustre notre capacité à être performants devant toutes sortes de défis, à s’adapter et à rayonner au niveau international ».ECSC Team France

Après cette première expérience réussie, la France participera à l’édition 2019 de l’European Cybersecurity challenge.
Rendez-vous l’an prochain (modalités de participation à venir) !

LE CHALLENGE EUROPÉEN

Lors de ce scénario fictif, qui prend la forme d’un « CTF », chaque équipe représente un prestataire privé de cybersécurité au service de clients des secteurs privés et publics, qui proposent des contrats (plus ou moins éthiques). Tout au long du challenge, chaque équipe doit remplir un maximum de contrats avec des niveaux de difficulté différents. L’objectif : définir une stratégie d’équipe pour allouer des ressources humaines et financières judicieusement, pour obtenir le meilleur score final, basé sur le montant d’e-coins mais aussi les points de réputation. L’équipe doit mettre à profit les différentes expertises de ses membres pour remplir collectivement un maximum de contrats : cryptographie, web, reverse engineering …

En savoir plus sur le challenge européen de cybersécurité

Communiqué de presse challenge européen cybersécurité

Powered by WPeMatico

Assises de la SSI : la sécurité numérique est un enjeu économique et stratégique

La 18e édition des Assises de la Sécurité à Monaco s’ouvre aujourd’hui , à l’occasion du Mois Européen de la Cybersécurité. Grand rendez-vous de la cybersécurité, cet évènement rassemble tous les acteurs du secteur et propose un programme varié, avec de nombreuses conférences thématiques consacrées aux enjeux de la sécurité du numérique.

assises ssi 2018

Les temps forts de l’ANSSI :

Mercredi 10 octobre
– 11h30 : conférence d’ouverture de Guillaume Poupard « Anticipons pour ne plus subir ! »
– 12h45 : remise du prix Grand prix RSSI catégorie « Culture sécurité » par Guillaume Poupard ;
– 14h00 : conférence de presse « Anticipons grâce au management du risque cyber » ;
– 16h00 : ouverture du « Lab » EBIOS Risk Manager
Retrouver également l’ANSSI et ses partenaires sur place pour échanger et disposer des guides et ressources proposés par l’agence.

« Anticiper pour ne plus subir »

La transformation numérique bouleverse et enrichit l’ensemble de nos activités, en rendant les systèmes dont nous dépendons toujours plus évolutifs et interconnectés. Les menaces n’échappent pas à ce constat, faisant de la sécurité numérique un véritable enjeu économique et stratégique.
Le risque numérique doit être perçu comme un risque à part entière nécessitant la mise en place de mesures de sécurité adaptées aux besoins, au sein d’organisations dont la maturité permet aujourd’hui cette montée en puissance.

Pour relever ce défi, la France s’engage à l’échelle nationale et internationale et développe son expertise et son expérience, avec une réponse: la prévention du risque par l’anticipation collective.
La prévention des risques est une nouvelle étape à franchir pour les organisations. Une démarche que l’ANSSI encourage, avec la création et la mise en œuvre d’une politique de management des risques numériques complète, adaptée et intégrée au plus haut niveau des administrations et des entreprises. Avec la volonté d’offrir une compréhension et une responsabilité partagées des risques numériques entre décideurs et acteurs opérationnels.

EBIOS, méthode d’analyse de risque de référence

EBIOS RM logo

Pour accompagner les organisations, l’ANSSI modernise sa méthode d’analyse de risque EBIOS.
EBIOS Risk Manager propose un dispositif d’analyse de risque cyber modernisé, concret et collaboratif, qui tient compte des nombreux retours d’expérience et fait converger concepts et normes internationales relatives au système de management de la sécurité de l’information. Avec un mot d’ordre : comprendre pour décider !
L’objectif : permettre aux dirigeants d’appréhender ces risques.

Découvrez la nouvelle méthode EBIOS Risk Manager.

Une démarche collaborative et évolutive

EBIOS Risk Manager doit va évoluer au contact d’une large communauté de contributeurs, déjà engagée dans cette démarche.
Les partenaires de l’ANSSI, dont le Club EBIOS et le CLUSIF, sont également garants de la reconnaissance et de l’appropriation de la méthode par ses utilisateurs.

Nous vous proposons à ce titre de découvrir la nouvelle méthode EBIOS Risk Manager et ses ateliers durant les assises, avec un « Lab» dédié pendant l’évènement.

#TousSecNum Anticiper collectivement pour responsabiliser tous les acteurs

A l’heure où le Mois européen de la cybersécurité, rappelle que la sécurité est l’affaire et la responsabilité de tous, il est primordial de développer une approche concertée sur le plan national et européen :
– responsabilité de l’État dans la protection des citoyens et des infrastructures critiques, dans l’organisation de la défense et de la sécurité des systèmes d’information ;
– responsabilité des acteurs économiques dans la sécurité des produits et des services qu’ils proposent et dont le Visa de Sécurité assure la pertinence  ;
– responsabilité des citoyens dans l’exercice de leur vie numérique.

Powered by WPeMatico

Anticipons grâce au management du risque cyber : l’ANSSI lance la méthode d’analyse de risque EBIOS Risk Manager

EBIOS Risk Manager : comprendre pour décider

methode ebios couverture guide

La transformation numérique bouleverse et enrichit nos activités en rendant les systèmes, dont nous dépendons, toujours plus évolutifs et interconnectés. Nous évoluons au sein d’écosystèmes particulièrement stimulants mais aussi complexes et mouvants. Les menaces n’échappent pas à ce constat, faisant de la sécurité numérique un véritable enjeu économique et stratégique.
Pour y faire face, l’ANSSI encourage la création et la mise en œuvre d’une politique de management des risques numériques complète, adaptée et intégrée au plus haut niveau des organisations. L’analyse de risque est au cœur de ce dispositif.

L’ANSSI lance la méthode d’analyse de risque EBIOS Risk Manager, dont l’objectif est de permettre aux dirigeants d’appréhender au juste niveau les risques cyber, au même titre que les risques stratégique, financier, juridique, d’image ou de ressources humaines.

Tout savoir sur la nouvelle méthode EBIOS Risk Manager.

« Le risque numérique doit être perçu comme un risque à part entière, qui nécessite la mise en place de mesures de sécurité adaptées aux besoins »

EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre les décideurs et les acteurs opérationnels. Elle se déploie autour de trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.

« EBIOS Risk Manager s’inscrit dans une démarche plus globale d’anticipation collective, qui, j’en suis convaincu, permettra d’élever le niveau de cybersécurité des organisations, en France et en Europe » confie Guillaume Poupard.

EBIOS, méthode d’analyse de risque française de référence

Initiée en 1995, EBIOS, méthode d’analyse de risque française de référence, permet aux organisations d’apprécier et de traiter les risques.
Pour accompagner les organisations, l’ANSSI modernise cette méthode d’analyse de risque pour prendre en compte l’environnement actuel et positionner la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations.

Cette évolution tient compte de nombreux retours d’expérience des organisations (OIV, administrations, entreprises, associations) et fait converger concepts et normes internationales du système de management de la sécurité de l’information.

« La méthode EBIOS Risk Manager est le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS. Cette méthode moderne d’analyse des risques cyber est un outil pratique, pédagogique et collaboratif pour intégrer le numérique dans le management des risques. Elle permet de répondre aux nouveaux enjeux : la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et le bouleversement numérique dans tous les secteurs d’activité » explique Guillaume Poupard, Directeur général de l’ANSSI.

La méthode EBIOS Risk Manager en 5 ateliers

La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.
La méthode se distingue donc par une synthèse entre conformité et scénarios. Selon EBIOS Risk Manager, la première étape consiste à bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents vis-à-vis de l’état de l’art et de la réglementation. La deuxième étape consiste à apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses, à même de mettre à mal ce socle de sécurité.
Pour y parvenir, la méthode EBIOS Risk Manager se décline en cinq ateliers :

  • Atelier 1 : Cadrage et socle de sécurité
  • Atelier 2 : Sources de risque
  • Atelier 3 : Scénarios stratégiques
  • Atelier 4 : Scénarios opérationnels
  • Atelier 5 : Traitement du risque

Chacun peut ainsi s’approprier la méthode. En fonction du contexte et des outils déjà existants, les organisations peuvent mettre en place et adapter les ateliers à leurs besoins.

Une démarche collaborative et évolutive avec le label EBIOS Risk Manager

EBIOS Risk Manager est une méthode dynamique conçue pour être éprouvée, améliorée et discutée. Elle doit continuer de vivre et d’évoluer au contact d’une large communauté d’utilisateurs, déjà engagée dans cette démarche.
Le club EBIOS et le CLUSIF sont, à ce titre, des partenaires indissociables de cette démarche, garants de la reconnaissance, de l’utilisation et de l’animation de la méthode auprès de la communauté.

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. Dans cette logique, l’ANSSI lancera en 2019 un label de conformité EBIOS Risk Manager, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode. Ce label de conformité vise à faciliter la création d’outils conformes aux attentes de l’ANSSI sur le plan méthodologique pour permettre aux utilisateurs de s’approprier les concepts et de réaliser des analyses de risques de bout en bout.
Plusieurs éditeurs se sont déjà rapprochés de l’ANSSI pour participer à l’expérimentation de la labellisation avant son lancement dans le cadre d’un accord de confidentialité.

Des dispositifs de formation EBIOS Risk Manager à venir

Le Centre de formation à la sécurité des systèmes d’information de l’ANSSI (CFSSI) dispensera dans les prochains mois une formation pour les administrations sur la méthode EBIOS Risk Manager.
En complément, des kits de formation à destination de formateurs externes à l’agence sont en cours d’élaboration avec le Club EBIOS, pour former et développer un réseau de formateurs en France et à l’international.
Ces différents dispositifs de formation favoriseront l’adoption de cette méthode d’analyse de risques par le plus grand nombre.


 

Communiqué de presse La méthode EBIOS Risk Manager

Powered by WPeMatico

Face aux nouveaux enjeux du numérique, de nouvelles ambitions pour l’ANSSI

logo_anssi_v3b_500x500
L’ANSSI a pour mission d’accompagner et de sécuriser le développement du numérique. Acteur majeur de la cybersécurité, par sa fonction d’administration centrale, mais aussi en tant que régulateur et opérateur, l’ANSSI accompagne, conseille et soutient tous les acteurs majeurs de la société au profit de la sécurité du numérique de la Nation.

Pour que la France reste souveraine en matière de sécurité numérique

Au-delà de sa mission historique de protection des systèmes d’information de l’État et des opérateurs critiques au niveau national, l’ANSSI, en tant qu’administrateur de la politique publique en matière de cybersécurité est là pour anticiper, veiller, sensibiliser, former et développer un écosystème vertueux à même de prévenir et de réagir aux attaques. Un modèle orienté sur la protection et la défense, qui est aujourd’hui reconnu au niveau international pour ses vertus et sa pertinence.

L’ANSSI – AUTORITÉ NATIONALE DE CYBERSÉCURITÉ

Pour répondre à ces missions, ainsi qu’aux défis de la transition numérique, l’ANSSI repense son organisation.
Cette nouvelle structuration permettra à l’agence d’entrer dans sa deuxième décennie sur des fondations solides, afin de toujours mieux anticiper les menaces de demain et de participer à la construction d’un espace numérique de confiance en accompagnant toutes les parties prenantes.
En se réinventant, l’ANSSI réaffirme sa volonté de construire un espace numérique sûr, stable et de confiance, mais aussi respectueux des souverainetés.

La nouvelle organisation de l’ANSSI:

  • une direction générale ;
  • une cellule d’anticipation cyber ;
  • une sous-direction administration, responsable de la programmation et de l’exécution des activités de soutien et d’administration de l’ANSSI ;
  • une sous-direction expertise, en charge de l’expertise technique, qui regroupe les laboratoires, une équipe d’assistante technique, un centre de formation à la sécurité des systèmes d’information et l’ensemble des activités liées aux produits de sécurité ;
  • une sous-direction du numérique, en charge de la mise à disposition au profit de l’État de solutions sécurisées et assurant le rôle de DNum de l’ANSSI et du SGDSN ;
  • une sous-direction opérations, responsable de la mise en œuvre de la fonction autorité de défense des systèmes d’information ;
  • une sous-direction stratégie, animant le dialogue, les relations extérieures, la coordination des interventions de l’agence et l’élaboration de la réglementation, ainsi que le développement les méthodes de management de la sécurité numérique.

En savoir plus sur la nouvelle organisation de l’ANSSI

20180924_anssi_organigramme_v4a

Powered by WPeMatico

Le Mois européen de la cybersécurité 2018 – Ça commence aujourd’hui !

Vous avez été le témoin ou la victime d’un acte de cyber malveillance ? Vous vous demandez à quoi servent les mises à jour, les sauvegardes ? Etc.
Le gouvernement mais aussi une dizaine de partenaires institutionnels mettront en lumière recommandations et astuces pour vous aider à devenir à votre tour acteur et actrice de votre sécurité numérique.
Vous ne vous sentez pas concernés par ces questions ?

Une Campagne 2018 en dessin

Pour  nous rappeler que nous sommes tous acteurs de la sécurité du numérique au quotidien, le dessinateur FiX va proposer tout au long du mois des illustrations d’anecdotes inspirées de la vie de tous les jours et transmises par les partenaires du Mois européen de la cybersécurité. Etes-vous sûr(e)s de ne pas vous reconnaitre ?

ECSM 2018 - Affiche de la campagne dessinée

On résume

Tout ce que vous avez toujours voulu savoir sur le Mois européen de la cybersécurité est en ligne sur la rubrique dédiée à l’évènement :

Parce que la sécurité du numérique est un défi quotidien, tous les événements et supports mis en avant au cours du mois d’octobre sont disponibles et se réinventent tout au long de l’année. Renseignez-vous !

Dossier Presse – Mois Européen de la Cybersécurité 2018

ECSM 2018 – L’affiche de la campagne dessinée

Powered by WPeMatico

Publication de l’arrêté des règles de sécurité s’appliquant aux opérateurs de services essentiels (OSE)

La directive Network and Information System Security (NIS) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la Nation, pour faire face collectivement aux risques de cyberattaques. Elle définit notamment le statut d’Opérateur de services essentiels (OSE), qui doivent identifier leurs systèmes d’information essentiels sur lesquels ils devront appliquer des règles de sécurité et déclarer à l’ANSSI les incidents de sécurité survenus. L’arrêté publié le 29 septembre 2018 précise ces règles de sécurité ainsi que leurs délais d’application.

Les règles sont les mêmes pour tous les opérateurs de services essentiels et s’inscrivent dans une véritable approche de management des risques, déclinée en quatre chapitres :

  • La gouvernance de la sécurité des réseaux et systèmes d’information ;
  • La protection de la sécurité des réseaux et systèmes d’information ;
  • La défense de la sécurité des réseaux et systèmes d’information ;
  • La résilience des activités.

Ces règles de sécurité sont conformes aux recommandations émises par le groupe de coopération créé dans le cadre de la Directive NIS et aux échanges duquel l’ANSSI prend une part active. Leur contenu est par ailleurs directement inspiré des règles mises en œuvre par les opérateurs d’importance vitales, règles élaborées en lien avec les opérateurs et les ministères concernés.

Une question concernant les OSE et leurs obligations ? Consultez notre foire aux questions.

Powered by WPeMatico