Infos SSL et sécurité réseaux

Archive mensuelles: novembre 2018

L’ANSSI ouvre la conférence Hack-it-n le 11 décembre 2018

Plus de 250 participants sont attendus lors de cette nouvelle conférence, l’un des grands rassemblements dédiés à la sécurité numérique en région Nouvelle-Aquitaine.

Cette troisième édition convie ingénieurs IT et/ou cybersécurité, chefs d’entreprises, CISO, CIO, services publics, etc. le mardi 11 décembre 2018.
Ce sera une occasion pour l’ensemble des acteurs locaux impliqués de découvrir les enjeux actuels de la cybersécurité, ainsi que les risques et les moyens à mettre en place pour se protéger.

hack it n 2018 bisEmmanuel Germain, directeur adjoint de l’ANSSI, interviendra à ce titre lors de la Keynote d’ouverture, pour faire un état des lieux de la menace et présenter les missions et les actions de l’ANSSI. Il reviendra notamment sur la réglementation en vigueur et l’accompagnement mené par l’agence pour permettre à toutes les parties prenantes d’élever collectivement le niveau de sécurité .

 

Informations :

Programme et inscription

Date et Heure : Mardi 11 Décembre 2018 ; 8H30 – 18H30

Adresse : ENSEIRB-MATMECA – 1 Avenue du docteur Albert Schweitzer  – 33400 TALENCE

Powered by WPeMatico

Le renforcement de la confiance entre Etats membres, pilier de la stratégie européenne en matière de sécurité numérique

rencontres nisLe développement de la coopération entre les États membres de l’Union européenne sur les sujets politiques et opérationnels, est l’un des piliers de la directive NIS (Network and Information Security), adoptée en juillet 2016 pour assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information de l’Union européenne.

Un cadre de coopération stratégique et opérationnel

Les autorités nationales chargées de mettre en œuvre la réglementation européenne se réunissent au sein de deux instances complémentaires :

  • Le Groupe de coopération, mis en place par l’article 11 de la directive NIS, vise à soutenir la coopération stratégique et méthodologique entre les États.
  • Le Réseau des CSIRTs (Computer Security Incident Response Teams), relatif à l’article 9 de la directive NIS, fédère les Centres de réponse aux incidents de sécurité informatique désignés par les États membres pour les représenter au niveau européen ainsi que le CERT-EU.

Ces deux instances de concertation se sont rassemblées à Vienne, du 6 au 8 novembre 2018, à l’initiative de la présidence autrichienne du Conseil de l’Union.

La coopération européenne de niveau stratégique prend une nouvelle dimension

Le Groupe de coopération a déjà formulé une série d’orientations destinées aux administrations des États membres, pour les accompagner dans leurs travaux de transposition de la directive NIS. Il porte une nouvelle dynamique avec l’actuelle mise en œuvre de ce texte, qui s’applique aux opérateurs de services essentiels désignés au sein de chaque État membre ainsi qu’aux fournisseurs de services numériques. Son ambition : constituer une enceinte de confiance dans laquelle les autorités compétentes des États membres peuvent échanger sur leurs expériences et partager leurs outils respectifs, avec l’appui de la Commission européenne et de l’ENISA. L’ANSSI a ainsi mis à profit la réunion du groupe de coopération du 6 novembre pour présenter à ses pairs l’approche itérative et qualitative adoptée en France pour désigner ses opérateurs de services essentiels.

Des liens opérationnels étendus entre les CSIRT européens

csirt networkAfin de renforcer la connaissance réciproque de tous les acteurs impliqués, la réunion plénière du réseau des CSIRTs des 7 et 8 novembre a fait suite au rassemblement du groupe de coopération, puis à une réunion conjointe entre les deux instances.
Les représentants des centres de réponse aux incidents de sécurité informatique des 28 États membres de l’Union européenne, du CERT-EU et de l’ENISA ont pu partager une nouvelle fois leurs connaissances et leurs retours d’expériences, au sein de ce réseau d’experts, qui participe au renforcement de la connaissance de la menace et des capacités de chaque États.

Le CERT-FR* de l’ANSSI, CSIRT compétent pour la mise en œuvre de la directive NIS en France, y a présenté son positionnement au sein de l’écosystème de cyberdéfense français, les différentes étapes de l’évolution de son mandat depuis la création du CERTA jusqu’à aujourd’hui.
À cette occasion, l’ensemble des participants a de nouveau exprimé son ambition en matière de partage et de coopération. Par ailleurs, le représentant autrichien du réseau a introduit le trio des pays (Finlande, Roumanie et Croatie) qui prendra la succession de son mandat à la présidence du réseau des CSIRTs en 2019 et dont le principal objectif sera de consolider la confiance et le partage entre les CSIRTs européens.

 

*CERT est une marque déposée par Carnegie Mellon University (US)

Powered by WPeMatico

SecNumeco – Sécurité Numérique et Economique – Le numérique dans votre organisation : Quels enjeux ? Quelles fragilités ? Quelles solutions ?

Les entreprises et les collectivités territoriales de toutes tailles sont aujourd’hui confrontées à des changements rapides et profonds : transformation numérique, évolution réglementaire, globalisation de l’économie, etc… Ces changements induisent aussi de nouvelles menaces avec des conséquences potentielles pour l’économie et l’emploi de nos territoires.
Ces dangers peuvent être écartés, ou réduits, avec l’adoption de réflexes simples pour s’en prémunir.

 Sécurité Numérique et Economique font bon ménage

Le colloque SecNumeco du mercredi 12 décembre, à la Serre Numérique de Valenciennes, permettra aux acteurs locaux de s’informer et d’échanger sur les pratiques de la sécurité numérique et économique, mais aussi sur la protection physique en présence de tous les acteurs impliqués, dont l’ANSSI, le SISSE et le dispositif d’aide aux victimes de cybermalveillances.
Au programme de l’évènement : des démonstrations et des ateliers collectifs, mais aussi des conférences et tables-rondes, qui porteront notamment sur la valeur de la donnée numérique au sein des organisations, des méthodes d’enseignement et de formation à ces enjeux, de la protection du potentiel scientifique et technique (PPST) ou encore le règlement européen pour la protection des données personnelles (RGPD).

 

20181025-flyer-secnumeco_va-bandeau

Informations pratiques :

Colloque du mercredi 12 décembre 2018 (ouvert à tous)
Lieu : La Serre Numérique, rue Péclet, Parc d’Activité des Rives Créatives de l’Escaut, Valenciennes.
Accueil dès 8h30.
Début des interventions à 9h00, fin de séance à 17h00.
Inscription avant le mercredi 5 décembre 2018 à minuit.

Powered by WPeMatico

SecNumedu-FC, le label des formations continues en cybersécurité

secnumedu-fc_logo La « stratégie nationale pour la sécurité du numérique », présentée le 16 octobre 2015, insistait sur l’importance d’identifier et d’anticiper les besoins en formations initiale et continue en matière de cybersécurité. Plus récemment encore, la Revue stratégique de cyberdéfense marquait la volonté de l’Etat d’accompagner le développement de l’offre de formation en cybersécurité pour répondre aux nouveaux enjeux du numérique.

Pour répondre à ces défis, l’ANSSI s’est engagé sur plusieurs programmes aux côtés de l’ensemble des parties-prenantes.
En matière de formation initiale, le label SecNumedu, lancé en 2016, rassemble aujourd’hui plus de 50 formations, et apporte aux étudiants et employeurs l’assurance qu’une formation dans le domaine de la sécurité du numérique répond aux critères définis par l’ANSSI, en collaboration avec les acteurs et professionnels du domaine (établissements d’enseignement supérieur, industriels).

Qu’est-ce que SecNumedu-FC, le label pour les formations continues en cybersécurité ?

Le label SecNumedu-FC participe pour sa part au recensement et à l’amélioration de la visibilité des formations continues dans le domaine de la sécurité du numérique. SecNumedu-FC s’adresse à la fois aux organismes de formation souhaitant promouvoir leur offre, aux salariés et demandeurs d’emploi désireux de trouver une formation dans ce domaine et qu’aux employeurs soucieux d’améliorer la résilience de leur organisation face au risque numérique.

Pour quelles formations ?

SecNumedu–FC référence aujourd’hui une quinzaine de formations de durées variables , qui portent sur la sécurité des systèmes industriels, de l’architecture, des réseaux ou encore sur les fondamentaux de la sécurité numérique. Ces formations sont dispensées à Paris comme en régions.

Le label rassemble des formations continues dédiées à la sécurité du numérique pour au moins 70% de leur contenu et répondant à un des critères suivants :
– la certification de la formation candidate est inscrite à l’Inventaire de la Commission Nationale de la Certification Professionnelle (CNCP)
ou
– la formation candidate se déclare conforme à l’un des cahiers des charges reconnus par l’ANSSI.
Deux sont aujourd’hui disponibles : l’un concerne la sécurité des systèmes industriels et l’autre la sécurité des TPE-PME.

Après quelques mois d’expérimentation, SecNumedu-FC s’avère à la fois réactif, souple et attractif pour l’ensemble des acteurs impliqués. En complément de l’inventaire de la CNCP, il initie une dynamique qui mènera au recensement étendu de ces formations et accompagnera la création, le développement et la promotion de l’offre de formations continues en sécurité du numérique, au plus près du besoin des entreprises, des administrations et des territoires. La quinzaine de labels déjà attribuée initie une dynamique qui mènera au recensement étendu de ces offres de formation, pour promouvoir les initiatives qui répondent aux attentes des entreprises et des administrations.

Powered by WPeMatico

Sécurité numérique et économique : protégez-vous des risques avec le colloque SecNumeco de Marseille

Conjuguer sécurité économique et sécurité numérique n’est pas seulement indispensable au bon fonctionnement de chaque organisation : c’est un enjeu de souveraineté nationale.
SecNumeco rassemble les outils indispensables aux décideurs pour faire face aux risques, qui pèsent de manière indifférenciée sur les structures publiques et privées de toutes tailles et de tous secteurs, sont accentués par la transformation numérique.

SECNUMECO : POURQUOI ET COMMENT AGIR

secnumeco marseille invitationFormidable levier de rayonnement et de croissance, la transformation numérique ouvre de nouvelles opportunités pour l’ensemble des acteurs de la société et, plus particulièrement, pour le secteur économique.
Cependant des menaces extrêmement variées et des risques majeurs pèsent sur les organisations de toutes tailles : captation illégale d’innovations, entrave à l’activité économique, fermeture d’entreprises, perte de compétitivité, rachat des fleurons économiques, perte de souveraineté.
Autant d’exemples qui illustrent encore la nécessité, pour les entreprises de toutes tailles, de relever les défis de la sécurité du numérique et de la protection économique.
Ce nouveau colloque SecNumEco, organisé le 5 décembre 2018 à Marseille, rassemblera des acteurs et professionnels de la sécurité numérique comme de la protection économique qui effectueront dans un premier temps l’état des lieux et des solutions en terme d’évaluation, de gestion et d’assurance du risque numérique. Dans un second temps, des témoignages concrets d’organisations de différentes tailles seront apportés en terme de gestion de leurs risques numériques et économiques.

 

Téléchargez le programme complet :

SECNUMECO Marseille – 5 décembre 2018

Informations pratiques et inscription:

Colloque SECNUMECO du 5 décembre 2018 de 9h00 à 12h30 :
Lieu : Salons de la Préfecture de Région Provence-Alpes-Côte-d’Azur, Place Félix Baret, 13006 Marseille (Plan d’accès )

Inscription avant le jeudi 28 novembre 2018.
Pour des questions d’organisation, le nombre de places est limité.

Pour plus d’information merci de vous adresser à paca[at]ssi.gouv.fr.

Powered by WPeMatico

La France renforce son engagement pour la confiance et la sécurité dans le cyberespace

IGF-logoDans le domaine du numérique, certaines actions, même limitées, peuvent engendrer des conséquences majeures à plus grande échelle.

l’heure où la menace se globalise, la coopération à l’international, avec les acteurs privés, publics et de la société civile, s’impose plus que jamais comme une nécessité. Les initiatives à risque et les différents acteurs impliqués doivent ainsi être encadrés par des règlementations nationales et internationales, qui viseront à préciser les responsabilités de chacun pour assurer la stabilité du cyberespace.

C’est pour porter cette vision que la France s’est engagée cette semaine lors de la « semaine numérique de Paris » (Paris Digital Week), avec deux temps forts :

Une vision française pour la stabilité dans le cyberespace

Aux côtés des autorités françaises, l’ANSSI promeut le développement d’un cyberespace sûr, stable et ouvert et participe à ce titre activement aux discussions internationales sur la cybersécurité aux niveaux politique et normatif.

« Hack back », « gray zone », « active cyber defense », « passive cyber defense »,etc… La multiplicité et l’ambiguïté des concepts ne permettent pas une appréhension claire du sujet. Une catégorisation permettrait de partager plus efficacement sur la conception et de faire progresser le débat collectivement.
En outre, afin de permettre au cyberespace de demeurer une aire d’opportunités pour les États, les citoyens et les entreprises, la règlementation doit évoluer selon des règles et des normes partagées au niveau international, fondées sur le droit international existant et respectueuses des libertés fondamentales et des droits de l’Homme.appel de paris

L’ « Appel de Paris pour la confiance et la sécurité du cyberespace » lancé par le Président de la République, le 12 novembre, lors du Forum sur la gouvernance de l’Internet participe à ces enjeux. 
Il renforce la coopération internationale et fédère la volonté des États, mais aussi de nombreux acteurs du secteur privé et de la société civile, à s’engager en faveur de la stabilité du cyberespace.

La France présentera cette ambition commune à l’international, notamment lors du Global Forum de l’OCDE, les 13 et 14 décembre 2018.

Un engagement collectif pour la stabilité du Cyberespace

Depuis plusieurs années, la France a fait du renforcement de la stabilité du cyberespace une de ses priorités, qu’elle partage à l’international avec ses partenaires.
La Revue stratégique de cyberdéfense (RSC), publiée le 12 février 2018, dresse un panorama de la cybermenace, formule des propositions d’amélioration de la cyberdéfense de la Nation et ouvre des perspectives visant à améliorer la cybersécurité de la société. Elle rappelle à ce titre le positionnement de la France contre « l’autorisation pour un acteur privé de mener des actions cyber offensives en réponse à une attaque dont il serait victime ».

En avril 2017, le Secrétariat général de la défense et de la sécurité nationale et l’ANSSI organisaient la conférence « Construire la paix et la sécurité internationales de la société numérique ». Une rencontre qui conviait des participants de tous horizons, pour engager la réflexion académique commune sur la préservation de la paix et de la sécurité internationale du cyberespace.

Avec la « semaine numérique de Paris » (Paris Digital Week), la France va plus loin pour créer les conditions d’un dialogue et d’une synergie entre toutes les parties prenantes en faveur de la stabilité du monde numérique… une responsabilité partagée, qui nécessite un engagement collectif.

Powered by WPeMatico

Directive NIS – L’ANSSI accompagne les premiers opérateurs de services essentiels

La France a adopté une démarche progressive et qualitative de désignation des OSE afin de privilégier l’accompagnement et le suivi sur le long-terme.

Pour certains acteurs, cette réglementation est une première, il est donc primordial de les conseiller et de les guider afin d’assurer une mise en application cohérente et efficace des mesures de sécurité et autres obligations définies par la loi de transposition. Forte des enseignements tirés de la mise en œuvre du dispositif de cybersécurité de 2013 s’appliquant aux opérateurs d’importance vitale (OIV), la France a identifié 122 OSE au stade de l’échéance du 9 novembre 2018 fixée par la directive NIS. Ce chiffre, non définitif, sera amené à augmenter lors de futures identifications dont un nombre significatif, de l’ordre de quelques centaines, est d’ores et déjà en cours d’instruction.

« La démarche de la France, s’appuyant largement sur l’expérience positive des démarches conduites avec les opérateurs d’importance vitale depuis 2013, a pour ambition d’élever au juste niveau la sécurité des réseaux et des systèmes d’information, en national mais également à l’échelle européenne » assure Guillaume Poupard, Directeur général de l’ANSSI. Il complète : « Il n’est pas question d’être dans une logique de sanction mais avant tout de faire de la pédagogie auprès des OSE afin de provoquer une réelle prise de conscience de l’importance cruciale de la sécurité numérique, ainsi que de proposer des solutions concrètes et efficaces ».

 

NIS : présentation des OSE

Retour sur le dispositif de cybersécurité dédié aux OSE

C’est pour construire collectivement les conditions de sécurité indispensables à la transformation numérique de l’Union européenne que le Parlement européen et le Conseil de l’Union européenne ont adopté en juillet 2016 la directive Network and Information Security (NIS) visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information de l’Union européenne. La France a finalisé la transposition de la directive NIS en droit français avec la publication, le 29 septembre 2018, du dernier arrêté d’application portant sur les mesures de sécurité s’appliquant aux OSE.

L’un des volets du nouveau dispositif prévoit la définition et l’identification de nouveaux acteurs, essentiels pour la vie quotidienne des Français : les opérateurs de services essentiels (OSE). Un OSE fournit un service essentiel (SE) dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Ces OSE doivent garantir un socle minimal de cybersécurité pour se protéger d’une attaque cyber aux conséquences majeures sur le fonctionnement de l’économie et de la société.

L’ANSSI accompagne les OSE dans la mise en œuvre d’un dispositif de cybersécurité pour assurer leur protection (règles de sécurité, déclaration des incidents, etc.). La défense de ces opérateurs, privés ou publics, intervient en complémentarité du dispositif de cybersécurité des opérateurs d’importance vitale (OIV) introduit par la loi de programmation militaire (LPM) de 2013 face à l’augmentation en quantité et en sophistication des attaques informatiques.

Dans un premier temps, les OSE devront désigner un représentant auprès de l’ANSSI et identifier leurs systèmes d’information essentiels (SIE). Ils devront ensuite appliquer les règles de sécurité à leurs systèmes d’information essentiels et notifier à l’ANSSI les incidents de sécurité survenus sur ces systèmes.

Communiqué de presse – Directive NIS : l’ANSSI accompagne les premiers opérateurs de services essentiels

Powered by WPeMatico

L’ANSSI et la DINSIC conjuguent leurs expertises pour la gestion agile de projets numériques sécurisés

Guide agile et sécurité numérique couvertureAccompagner la transformation numérique, c’est aussi (voire surtout) développer le sentiment de responsabilité collective et individuelle et le transformer en actes. Cela suppose notamment de porter une attention toute particulière à chaque type de projet numérique et à la manière dont ils sont développés.
À ce titre, il importe que les équipes projet participent activement à la prévention du risque et au développement d’un espace numérique de confiance en appliquant, le plus tôt et le plus systématiquement possible, les principes de sécurité adéquats dans le cadre d’une gestion de projet agile. Pour les équipes de développement, ces principes contribuent également à ancrer l’idée que les mesures de sécurité servent la valeur livrée aux usagers et leur expérience utilisateur.

Si l’agilité et la sécurité font figure de duo gagnant, encore faut-il disposer des clés nécessaires pour intégrer ces pratiques combinées et encore trop souvent opposées. En s’appuyant sur leurs expériences respectives et celle des équipes en charge de ces développements, l’ANSSI et la DINSIC ont décidé de proposer une méthodologie de gestion de projet commune résolument pratique et concrète.

Le guide « Agilité et sécurité numériques – Méthode et outils à l’usage des équipes projet » issu de cette étroite coopération interministérielle se veut donc par essence participatif et a vocation à demeurer agile pour ne pas cesser d’épouser les besoins et la réalité des équipes auxquelles il s’adresse.

Powered by WPeMatico