Infos SSL et sécurité réseaux

Archive mensuelles: décembre 2018

Conférence cybersécurité de Viennes – Développons une industrie européenne forte pour répondre aux enjeux la sécurité numérique

La cybersécurité n’est plus seulement une question de sécurité nationale ! L’Union européenne doit participer à élever le niveau de cybersécurité, en renforçant les capacités et les moyens, sur la base de la réglementation, mais aussi de l’industrie à l’échelle du marché unique.
Soutenir la recherche et l’industrie Européenne

L’approche française insiste sur la nécessité pour l’Union Européenne d’adopter une stratégie numérique industrielle ambitieuse, soutenue par les acteurs publics et privés, afin de renforcer la sécurité et la confiance dans le marché unique numérique, en phase avec les valeurs européennes.

Lors de la conférence de Vienne sur la cybersécurité, Guillaume Poupard, directeur général de l’ANSSI, a prononcé un discours d’ouverture soulignant l’importance cruciale, pour l’UE, d’adopter une stratégie industrielle pour renforcer son autonomie numérique et traiter les questions de cybersécurité.

Guillaume Poupard a également participé à une séance de questions et réponses, en compagnie de Mme Despina Spanou, directrice pour la confiance numérique et la cybersécurité à la Commission européenne et de M. Arne Schönbohm, président du Bundesamt für Sicherheit in der Informationstechnik (BSI), l’office fédéral allemand pour la sécurité des systèmes d’information.

Powered by WPeMatico

LPM 2019 – 2025 : la publication du décret d’application de l’article 34 renforce les missions de l’ANSSI

Pour répondre à l’accroissement du niveau général de la menace, le renforcement de la capacité nationale de détection, de caractérisation et de prévention des attaques informatiques apparaît comme prioritaire.

Confortant le modèle français en matière de cyberdéfense, l’article 34 de la loi n°2018-607 relative à la programmation militaire pour les années 2019 – 2025 , et son décret d’application viennent aujourd’hui renforcer les missions de l’ANSSI en améliorant ses capacités de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de l’Etat, des autorités publiques et d’opérateurs publics et privés. Ce cadre législatif s’inscrit dans une démarche vertueuse et de confiance, visant à élever significativement le niveau de sécurité global de la France en collaboration étroite avec les opérateurs de communications électroniques et les hébergeurs.

Implication des opérateurs de communications électroniques pour élever le niveau de cybersécurité

Le premier volet de l’article 34 permet aux opérateurs de communications électroniques (OCE) de mettre en œuvre des dispositifs de détection d’attaques informatiques affectant les systèmes d’information de leurs abonnés, pour mieux les en informer le cas échéant.

Si une attaque détectée concerne un opérateur d’importance vitale, un opérateur de services essentiels ou une autorité publique, l’ANSSI pourra demander des informations techniques complémentaires pour caractériser l’attaque et établir des mesures de protection et de remédiation adaptées avec la victime.

Déploiement de dispositifs de détection

Afin de caractériser une menace informatique et d’en prévenir les conséquences pour de potentielles victimes, il est souvent précieux de pouvoir procéder à des opérations techniques permettant d’observer et d’analyser le mode opératoire d’un attaquant.

Le second volet du dispositif donne ainsi la possibilité à l’ANSSI, lorsqu’elle a connaissance d’une menace grave et imminente sur les systèmes d’une autorité publique, d’un OIV ou d’un OSE , de mettre en place un dispositif de détection local et temporaire sur un serveur d’un hébergeur ou un équipement d’un opérateur de communications électroniques contrôlé par un attaquant. Le dispositif de détection est mis en œuvre pour une durée et sur un périmètre limités, strictement nécessaires à la caractérisation de la menace.

Contrôle de l’ARCEP

Le respect du cadre juridique dans lequel s’inscrivent les nouvelles missions de l’ANSSI est placé sous le contrôle d’une autorité administrative indépendante, l’Autorité de régulation des communications électroniques et des postes (ARCEP). Le décret précise les modalités de l’exercice de ce contrôle.

Powered by WPeMatico

L’ANSSI s’engage lors du Global forum de l’OCDE sur la sécurité numérique

Les attaques de grande ampleur, comme Wannacry, sont l’illustration que la sécurité numérique ne se limite plus à un jeu de paix et de sécurité internationale mais est également un enjeu économique majeur. Bien que la responsabilité soit nécessairement partagée en matière de sécurité numérique entre trois types d’acteurs : les Etats, les utilisateurs et les acteurs économiques, cette nouvelle réalité confère une responsabilité inédite à ces derniers dans la stabilité du cyberespace .
La France s’engage fortement dans le débat, avec une approche définie et portée par le ministère de l’Europe et des affaires étrangères et l’ANSSI depuis plusieurs semaines. Cet événement de l’OCDE s’inscrit ainsi dans la lignée de l’Appel de Paris pour la confiance et la sécurité du cyberespace lancé par le Président, lors du Forum de Gouvernance l’Internet.

L’OCDE, une enceinte-clé

En regroupant des acteurs issus des quatre coins du monde, des secteurs privés et publics ainsi que de la société civile, et de la communauté technique, l’OCDE est une enceinte unique pour croiser les regards autour des défis économiques posés par le développement de notre écosystème numérique mondial.

Parmi les interventions programmées, le directeur général de l’ANSSI, M. Guillaume Poupard, aura l’honneur d’ouvrir les débats.
Pendant deux jours, des tables-rondes porteront sur des thématiques variées :

  • la gouvernance du risque au sein des organisations
  • la confiance entre les différents maillons de la chaine de sécurité (prestataires, partenaires économiques et stratégiques)
  • l’encadrement de « la cyberdéfense active » opéré par des acteurs privés
  • l’intégration de la sécurité dès la conception des produits (« Security by design »)
  • la sécurité au cours du cycle de vie du produit ou comment maintenir des produits et des servies en condition de sécurité optimale etc.
  • la divulgation proactive et coordonnée des failles et vulnérabilités découvertes tout au long du cycle de vie d’un produit

Ambassadeur pour le numérique, M. Henri Verdier participera également à l’événement pour soutenir l’approche française en matière de confiance et sécurité du numérique lors de la table-ronde finale apportant les premières conclusions des discussions du forum. Enfin, le secrétaire général de l’OCDE, M. Angel Gurría, clôturera la manifestation.

L’ensemble de ces interventions apporteront de la matière essentielle pour faire évoluer les travaux au sein des instances internationales sur la sécurité numérique à l’échelle internationale que suit la France avec attention.

Retrouvez le programme détaillé de la manifestation

DIGITALSECURITY-banner_1140x110

L’ANSSI s’engage aux côtés du MEAE pour présenter la vision française

Suite à la sortie de la Revue de cyberdéfense le 15 mars 2018, l’ANSSI et le ministère de l’Europe et des affaires étrangères ont défini ensemble l’ambition française visant à préciser et à renforcer les responsabilités spécifiques des acteurs privés dans la stabilité du cyberespace.

L’une des table-rondes sera notamment une opportunité pour l’ANSSI, représentée par le sous-directeur Stratégie Yves VERHOEVEN, de présenter le positionnement français sur les options de réponse des acteurs privés aux attaques cyber.

En partant du constat que les acteurs non-étatiques sont de plus en plus tentés de contre-attaquer, la France défend le besoin de clarifier et de partager un vocabulaire et des concepts commun sur ces problématiques, dont le hackback, afin de mieux convenir des limites autorisés. Une « zone d’incertitude » existe aujourd’hui, porteuse d’instabilité et de flou juridique, qu’il est nécessaire d’adresser aussi bien au niveau national qu’au niveau international, tant pour les acteurs privés que pour les services de l’État.

Un autre facteur de déstabilisation à l’échelle internationale, abordé lors de différentes tables-rondes, est l’absence de réelles obligations pour les acteurs privés de concevoir et de maintenir leurs produits et services numériques à l’état de l’art en termes de sécurité, et ce alors que les risques numériques ne font que s’accroitre tout au long de leurs cycles de vie.

Ces risques ont pourtant une portée systémique lorsque ces produits ou services sont massivement utilisés. Cette réalité confère une responsabilité inédite aux acteurs privés dans la sécurité numérique. Sans freiner les bénéfices qu’apporte la transition numérique de notre société, il est essentiel d’aborder la question de la responsabilité des acteurs non-étatiques, aussi vulnérables aux attaques sophistiquées que les Etats.

Ces nombreux défis à identifier, partager et surmonter sont des conditions que la France estime aujourd’hui incontournables pour assurer, sur le long terme, la stabilité du cyberespace et la prospérité économique.

Powered by WPeMatico

#NSD18 – L’ANSSI participe à la 6e édition de la journée cybersécurité en Normandie

Logo-NSD18-260x300 Le NetSecure Day a rassemblé 400 personnes en 2017. L’ANSSI participe une fois encore à ce rendez-vous, qui s’affirme comme l’un des grands temps forts de la cybersécurité en Normandie. Il propose chaque année des conférences techniques, stratégiques, juridiques ainsi que des retours d’expériences autour du domaine pour un public toujours plus nombreux.

À cette occasion, l’ANSSI ainsi que le dispositif cybermalveillance.gouv.fr, tiendront une conférence. Renaud Echard, délégué de l’ANSSI en Normandie, proposera une rétrospective en s’attardant sur les évènements et sur les nouveautés qui auront marqués l’année en matière de sécurité du numérique.

L’occasion pour l’agence de dresser le panorama de la menace, mais aussi de s’attarder sur les solutions pour se prémunir du risque. L’ANSSI reviendra à ce titre sur les bonnes pratiques de la sécurité numérique, mais aussi sur les évolutions de la règlementation, notamment suite à la mise en place de la directive européenne NIS.

La nouvelle méthode Ebios Risk Manager sera également à l’ordre du jour, pour accompagner les organisations dans la prise en compte du risque numérique pour leur activité, ainsi que les derniers guides méthodologiques et techniques publiés par l’ANSSI.

L’ANSSI invite également tous les participants du NSD18 pour échanger sur son stand lors de l’évènement.

Powered by WPeMatico

Paris Open Source Summit – Le logiciel libre est un atout pour la sécurité numérique

Le Paris Open Source Summit est l’un des événements majeurs en Europe dédiés à l’open source, qui convie plus de 5 000 participants, technophiles, libristes, développeurs, décideurs, directeurs des systèmes d’information et utilisateurs.

En proposant des centaines de conférences et des espaces d’échange variés, l’OSS Paris invite au partage sur l’open source, à sa place dans la transition numérique de la société et sur son impact pour les organisations.

L’Agence nationale de la sécurité des systèmes d’information participe à ce grand rassemblement pendant 2 jours, sur son stand, et à l’occasion de conférences et d’un atelier, pour revenir sur son engagement pour l’open source, sur ses nombreuses contributions , ainsi que sur le projet CLIP OS .

L’Open Source comme levier de souveraineté numérique ?

POSS logo
Une démarche de souveraineté numérique implique l’identification de technologies structurantes, tout en écartant la dépendance aux solutions qui n’apporteraient pas des garanties suffisantes en termes de maîtrise ou de liberté d’usage. L’open source est donc un vecteur pertinent, mais pas exclusif pour répondre à ces attentes.

En matière de sécurité, l’open source présente de nombreux atouts. Sa dimension collaborative, avec la mutualisation des efforts sur des projets d’ampleur, permet aux contributeurs de rechercher et de combler les faiblesses potentielles. En outre, le logiciel libre simplifie naturellement l’audit et l’évaluation des solutions informatiques qui en sont issues. Il présente aussi l’avantage de pouvoir adapter ces solutions, selon les besoins et les usages.

Pour répondre à ses missions et relever les défis de la sécurité numérique, l’ANSSI s’appuie donc sur ces qualités. Une volonté qui s’inscrit plus largement dans une politique active de l’État, avec le « plan pour une action publique transparente et collaborative », mené par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC).

Enfin, les vertus du logiciel libre peuvent être mises à profit par les fournisseurs, les industriels et les organisations, en s’impliquant de façon pérenne dans le développement de solutions, qui permettent de répondre à de nombreux enjeux critiques en matière de sécurité.

En savoir plus à la conférence du 06/12 du POSS – 09H30 à 11H15 – AUDITORIUM

CLIP-OS-LOGO-moyenCLIP OS : un système d’exploitation durci utilisant le noyau Linux et un environnement de logiciels open source

L’ANSSI élabore depuis plus de 10 ans un système d’exploitation multiniveau sécurisé nommé CLIP OS, pour répondre aux besoins de l’administration.
Basé sur un noyau Linux durci et capable de gérer des informations de plusieurs niveaux de sensibilité, CLIP OS est à présent disponible en open source dans le cadre d’un projet de développement collaboratif.
L’ANSSI a publié les sources de CLIP OS 4, sa distribution Linux durcie, ainsi que CLIP OS 5, une nouvelle itération du projet conçue dès l’origine sur un modèle open source. L’objectif : construire un système capable de manipuler des informations de plusieurs niveaux de sensibilité, et ce, dans des environnements isolés.

Avec la nouvelle version 5 « Alpha » de CLIP OS, l’ANSSI permet aux développeurs, mais aussi aux entreprises ou aux fournisseurs de solutions, de contribuer au projet, pour son développement, son adaptation et son amélioration, afin de mieux répondre aux usages et aux besoins spécifiques de chaque déploiement, pour chaque organisation.

En savoir plus sur le projet CLIP OS et sur les sources à disposition

Pour le POSS, les équipes en charge du développement proposent une présentation centrée sur l’architecture de CLIP OS 5. Le projet est désormais disponible en open source et le développement réalisé sur une plateforme publique. Nous vous présenterons présenterons les changements d’architecture apportés au projet, ainsi que les prochaines évolutions de sécurité envisagées.

Rendez-vous à la conférence du 06/12 du POSS 11H30 à 13H00 – Studio Photo

Introduction au développement de CLIP OS – 15H00 à 18H00 – Projection 2ème étage

Vous souhaitez tirer parti du potentiel de CLIP OS ? L’équipe de développement de l’ANSSI vous convie à un atelier pour apprendre à construire, modifier, développer et contribuer au projet.

Au programme :
* Prise en main du projet, des sources et des outils de développement
* Construction et test d’une image de CLIP OS
* Ajout du support du serveur Web NGINX

A noter :
* Il est nécessaire de vous fournir de votre matériel informatique
* Atelier ouvert sur inscriptions
* Places limitées

Retrouvez-nous pendant toute la durée de l’évènement sur notre stand, pour découvrir Clip OS, échanger avec nos agents et disposer de nos guides de bonnes pratiques (dont le guide de recommandations de sécurité relatives à un système GNU/Linux  ).

Powered by WPeMatico