Infos SSL et sécurité réseaux

Archive mensuelles: juin 2019

Les acteurs de la cybersécurité et de l’innovation dans l’éducation travaillent de concert pour la formation à la sécurité numérique

Tout au long de cette journée co-organisée par l’ANSSI et le ministère de l’Éducation nationale et de la Jeunesse, les participants ont fait germer idées et projets pour soutenir la formation aux métiers de la sécurité numérique et la sensibilisation des plus jeunes à ces problématiques.

FORMATION ET INITIATION À LA CYBERSÉCURITÉ : DES ENJEUX MAJEURS POUR L’ANSSI ET SES PARTENAIRES

Sous forme d’ateliers rassemblant à dessein des profils variés, les acteurs du numérique et de l’éducation ont orienté leurs réflexions autour de deux axes principaux et interdépendants : l’élévation du niveau de compétences général des élèves en matière de cybersécurité, pour faire des collégiens et lycéens des citoyens éclairés, responsables et engagés vis-à-vis des enjeux de sécurité numérique, et l’augmentation de l’attractivité de la filière, face à une pénurie de talents.
Ces travaux marquaient la première étape d’un engagement collectif et sur la durée, pour répondre à ces défis majeurs pour l’avenir de la sécurité du numérique en France.

Lab110bisAinsi, divers projets ont été explorés pour répondre à ces défis en proposant des solutions innovantes et adaptées, grâce à une réflexion qui mettait à profit l’ensemble des expertises et des profils représentés.
Au cours de l’après-midi, chaque groupe a pu partager le résultat de ses travaux avec Jean-Michel Blanquer, ministre de l’Éducation nationale et de la Jeunesse, et Guillaume Poupard, directeur général de l’ANSSI, venus rencontrer les participants et se joindre aux échanges qui se tenaient au Lab110bis.


« Il y a plein de manières d’aborder la cybersécurité et autant de raisons de s’y épanouir.
L’idée n’est pas d’attirer par goût du risque, mais vraiment par passion. »

Guillaume Poupard, directeur général de l’ANSSI

Les initiatives imaginées au terme de ces travaux constituent un vivier d’idées dans lequel puiser pour initier des projets concrets et communs à toutes les échelles. Car cette journée a eu un autre mérite, celui de faire se rencontrer des professionnels qui ont à apprendre les uns des autres pour faire émerger au juste niveau une culture de la sécurité au sein des collèges et lycées et soutenir l’attractivité des métiers de la cybersécurité. Une filière qui propose des opportunités de carrières passionnantes, mais encore trop méconnues.

Powered by WPeMatico

Adoption définitive du Cybersecurity Act : un succès pour l’autonomie stratégique européenne

Une avancée déterminante pour l’autonomie stratégique européenne

Issue de la feuille de route de la Commission européenne en matière de sécurité du numérique, le règlement européen a fait l’objet d’intenses négociations depuis septembre 2017.

Le règlement européen traite deux sujets distincts mais complémentaires. D’une part, il a permis l’adoption d’un mandat permanent pour l’ENISA, l’Agence européenne pour la cybersécurité, valorisant et développant son rôle de facilitateur des échanges entre les Etats membres.
D’autre part, il a défini un cadre européen de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification, au sein duquel l’ENISA trouve toute sa place. Les certificats délivrés bénéficieront d’une reconnaissance mutuelle au sein de l’UE.

En tant que cheffe de file des autorités françaises, l’ANSSI y a contribué significativement, faisant notamment valoir son expertise dans le domaine de la certification de produits et services de sécurité. Pleinement investie dans les négociations, l’ANSSI se félicite de l’adoption définitive du Cybersecurity Act, qui marque une véritable avancée pour l’autonomie stratégique européenne.

« Forte de vingt années d’expérience en matière de certification, la France a joué un rôle moteur lors des négociations européennes, avec pour objectif d’élever le niveau de sécurité en Europe. Il est primordial de réconcilier la croissance du marché avec les enjeux de cybersécurité » affirme Guillaume Poupard, Directeur général de l’ANSSI.

L’ENISA, point de référence européen en matière de cybersécurité

Créée en 2004, l’ENISA, joue un rôle clé en matière d’aide au développement des capacités nationales de cybersécurité et de soutien à la coopération entre Etats membres. Travaillant en étroite collaboration avec l’ANSSI, cet engagement s’est renforcé en 2016 par l’élection d’un des collaborateurs de l’agence à la Présidence du conseil d’administration de l’ENISA.

Lors des négociations, l’ANSSI a plaidé pour une Agence européenne pour la cybersécurité au mandat renforcé.

Le règlement consacre l’ENISA comme point de référence auprès des institutions de l’UE, à l’aune de l’émergence de nombreuses initiatives européennes en matière cyber, y compris sectorielles.

Le Cybersecurity Act fixe un mandat permanent ambitieux pour l’ENISA, renforçant ses missions dans plusieurs domaines : développement et soutien à la mise en œuvre des politiques européennes, expertise, appui au renforcement capacitaire des Etats, soutien à la coopération opérationnelle entre les Etats membres et sensibilisation.

Un cadre européen de certification de cybersécurité

La certification de cybersécurité est l’attestation de la robustesse d’un produit réalisée par un évaluateur tiers, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

L’adoption du Cybersecurity Act permettra à la fois d’encourager le recours à la certification et de reconnaître les certificats délivrés par un Etat membre dans toute l’UE, contribuant de fait à renforcer la sécurité du marché unique numérique européen.

Le règlement définit des processus de certification et une gouvernance pour l’adoption de schémas. Il précise les rôles et responsabilités des Etats membres et la portée de la certification avec plusieurs niveaux d’assurance.
Trois niveaux sont définis :

  • Le niveau élémentaire qui cible typiquement des objets grand public, non critiques (exemple : IoT)
  • Le niveau substantiel qui cible le risque médian (exemple : informatique en nuage – Cloud)
  • Le niveau élevé qui cible les solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et ressources significatives (exemple : véhicules ou dispositifs médicaux connectés).

L’expertise de la France en matière de certification se reflète dans le niveau élevé d’assurance du règlement européen.

L’application du règlement européen au sein des Etats membres

Le Cybersecurity Act est un acte juridique européen, de portée générale, obligatoire dans toutes ses dispositions. Les États membres sont donc tenus d’appliquer ces dernières telles qu’elles sont définies par le règlement.

Il s’agit d’un règlement d’application directe. Les Etats membres disposeront toutefois de deux ans pour se mettre en conformité avec les dispositions impactant leur organisation nationale.

Pour en savoir plus sur le règlement européen Cybercurity Act, rendez-vous sur : https://www.ssi.gouv.fr/administration/reglementation/cybersecurity-act/

Powered by WPeMatico

A l’aube de ses 10 ans, le passeport fait peau neuve !

Des origines du risque aux bonnes pratiques

Cette mise à jour donne naissance à un document résolument concret, pratique pour tous les usagers en situation de mobilité. Chacune des neuf bonnes pratiques répertoriées débute donc par un scénario mettant en scène un individu exposé à un risque donné dont les origines et les conséquences varient d’une règle à l’autre. S’ensuivent les bonnes pratiques à respecter pour éviter que ne se produisent les incidents relatés par chaque scénario.

#GOTTHEPASS

Depuis 10 ans, l’ANSSI accompagne de nombreux acteurs vers plus de sécurité numérique par le partage de bonnes pratiques et le Passeport de conseils aux voyageurs fait partie des tous premiers guides édités par l’agence. A l’occasion de la sortie de cette nouvelle version du document, nous avons souhaité le valoriser lors d’un événement à l’image de la démarche qui lui a donné naissance : ouverte et collaborative.

Le CyberFestival qui célèbre les 10 ans de l’agence au Ground Control à Paris est cet événement. Lieu clin d’œil au transport et au voyage où se côtoient cockpits et wagons. Il dissimulera dans ses arcanes les premiers exemplaires du guide et mettra les participants au défi pour le retrouver… #GotThePass.

Faire rimer sécurité et mobilité

Le ministère de l’Europe et des affaires étrangères et l’ANSSI ont souhaité rappeler d’une même voix, au CyberFestival comme dans le guide, la responsabilité de tous et toutes vis-à-vis des informations que leur confient leurs organisations d’appartenance. Conscients de ces enjeux, plusieurs de ces professionnels (salariés, entrepreneurs, industriels, membres d’ONG, agents de l’Etat, étudiants, etc.) ont participé à la réalisation de ce document par le partage de leurs expériences, questions et suggestions.

Powered by WPeMatico

L’ANSSI célèbre ses dix ans et affirme ses nouvelles ambitions

10 ANS D’ACTION DE L’ANSSI

Créée en 2009, l’ANSSI a vu ses missions, son périmètre d’action et la liste de ses bénéficiaires s’élargir, au point de devenir la référence en matière de cybersécurité en France. Ces dix années ont connu des cyberattaques retentissantes, celle de TV5 Monde en 2015, mais également les attaques Wannacry et NotPetya en 2017. Au fur et à mesure, la menace a profondément évolué, pour devenir de plus en plus sophistiquée, mieux élaborée et plus destructrice. C’est face à cette menace que s’est construite l’ANSSI, en renforçant ses capacités opérationnelles au bénéfice des victimes, mais également en approfondissant son analyse et sa compréhension de la menace.

Ces dix dernières années, l’ANSSI a également déployé une série de chantiers de plus en plus ambitieux. En 2013, la France est devenue le premier pays à imposer des exigences de cybersécurité sur ses infrastructures critiques. Puis en 2016, la directive Network and Information Security (NIS) a positionné l’Union européenne en pointe en matière de cybersécurité. L’ANSSI a ainsi développé des relations fortes et de confiance avec les opérateurs d’importance vitale (OIV), puis avec les opérateurs de services essentiels (OSE). Sur le plan international, en 2017, la France a organisé la première conférence visant à promouvoir la stabilité du cyberespace et a présenté la stratégie française de cyberdéfense. En dix ans, l’agence a prouvé la pertinence du modèle français, séparant les activités défensives qui lui ont été confiées, des activités cyber offensives.

En tant que prescripteur, l’ANSSI a produit depuis 2009 de nombreux documents techniques, d’organisation et de recommandations pour accompagner et sensibiliser aux bonnes pratiques de sécurité numérique un large panel de publics, experts ou non. Enfin, en lançant ses Visas de sécurité en 2018, l’ANSSI a contribué au rayonnement de l’excellence française en matière d’évaluation de sécurité, basée sur une expérience acquise au fil des années. Pendant dix ans, l’agence n’a cessé de travailler pour faire émerger un écosystème français de cybersécurité de confiance.

L’année 2019 connaît des menaces et usages nouveaux. Face aux enjeux qui se dessinent, l’ANSSI de demain sera encore davantage ouverte et orientée vers l’innovation.
« L’ANSSI des dix prochaines années s’inscrira au cœur du paysage du numérique et de l’innovation. Plus que jamais, les acteurs publics doivent susciter l’adhésion, fédérer, accompagner les acteurs privés, académiques et citoyens impliqués sur ces enjeux » affirme Guillaume Poupard, directeur général de l’ANSSI.

Tous connectés, tous impliqués, tous responsables : c’est bien l’ensemble des acteurs régaliens, privés, académiques et citoyens qui construiront ensemble la confiance numérique de demain. « L’ANSSI accompagne, anime, prescrit, certifie et régule, mais en définitive l’effort de protection doit être fait par tous » avance Claire Landais, Secrétaire générale de la défense et de la sécurité nationale.

L’ANSSI DE DEMAIN

Miser sur la formation pour relever les défis de la cybersécurité

Le constat est largement partagé : le développement de la sécurité numérique en France, véritable filière d’avenir, est freiné par le déficit de personnes formées. C’est pourquoi la formation sera un axe de travail majeur pour l’ANSSI pour les 10 années à venir. L’agence labellise des formations initiales avec SecNumedu et depuis 2018, les formations continues avec SecNumedu-FC. En complément, l’ANSSI collabore depuis quelques mois avec le ministère de l’Education et de la Jeunesse et le ministère des Armées pour intégrer la sécurité numérique à la fois dans les programmes scolaires et dans le futur Service national universel (SNU).

Mieux connaître la menace grâce aux données techniques

Depuis 2019, l’accès et le traitement des données techniques permet à l’ANSSI de renforcer son efficacité en matière de détection. Le défi des prochaines années sera d’inventer les nouveaux moyens et outils pour continuer à être en pointe en matière d’analyse de la menace afin d’anticiper toujours plus les attaques de demain. En complément, l’ANSSI plaide aujourd’hui pour l’ouverture, le partage et la mutualisation responsables de certaines données techniques. Une démarche qui vise à stimuler l’innovation publique et privée et augmenter la connaissance collective de la menace.

Co-construire pour renforcer l’efficacité collective

L’ANSSI, et l’écosystème cyber en général, ont beaucoup à gagner à renforcer les synergies entre les acteurs régaliens, le monde de la recherche et celui du numérique. Cette démarche d’ouverture et d’innovation est ancrée dans l’ADN de l’ANSSI. Ainsi, l’agence souhaite partager son expertise et certains de ses outils avec des startups, des entreprises, petites comme grandes, innovantes en cybersécurité.

Publié à l’occasion du Cyber festival, le guide de Bonnes pratiques à l’usage des professionnels en déplacement, élaboré par l’ANSSI et le ministère de l’Europe et des affaires étrangères illustre cette démarche de co-construction.

En matière de recherche, la création du conseil scientifique, mais également le partenariat renforcé avec Inria, qui verra bientôt le jour, s’inscrivent dans cette logique d’ouverture et de partage. Ces initiatives rapprochent concrètement acteurs régaliens et académiques.

L’ECOSYSTEME FRANÇAIS DE CYBERSECURITE S’ORGANISE

Pour Cédric O, Secrétaire d’État chargé du Numérique, « la transformation numérique de notre société et de notre économie se fera en confiance ou ne se fera pas. C’est pourquoi les acteurs français de la cybersécurité (grands groupes, startups, monde de la recherche, administrations,…) doivent s’organiser et rassembler leurs forces pour répondre à ce défi essentiel. En particulier, nous allons réfléchir au projet de création d’un grand campus de la cybersécurité qui réunirait l’ensemble de l’écosystème ».

Cette initiative dédiée à la recherche de synergies doit permettre de renforcer nos capacités d’innovation en matière de cybersécurité. Elle résonne tout particulièrement avec les ambitions d’ouverture de l’ANSSI, qui y apportera tout son soutien.

De nombreux projets sont à construire, tous enthousiasmants, passionnants et structurants.

Communiqué de presse – Cyber Festival

Powered by WPeMatico

Challenge européen de cybersécurité : Les résultats de la phase de présélection nationale

Près d’une quarantaine d’épreuves ont été mises en ligne pendant dix jours afin de tester les candidat(e)s, mais aussi les curieux et les curieuses, sur des domaines variés : le web, la cryptographie, reverse, forensic, etc.

En plus de la résolution des épreuves techniques, les participant(e)s ont également été évalué(e)s sur leur rapidité, le taux d’erreurs ou encore la qualité des write-ups fournis pour expliquer comment ils ou elles ont procédé pour résoudre certaines épreuves.

Cette phase de présélection a été marquée par une forte implication des participant(e)s et un très bon niveau général !

Retrouvez ci-dessous le classement définitif par catégorie « juniors » (âgé-e-s de 14 à 20 ans) et « seniors » (âgé-e-s de 21 à 25 ans).

Une liste d’attente a également été définie en cas de désistement.

La prochaine étape : LeHack

La dernière phase de qualification se déroulera les 6 et 7 juillet 2019 à Paris lors de l’évènement LeHack organisé par l’association HZV à la Cité des Sciences.

Pendant le wargame public, auquel pourront participer en équipe ou en solo les candidat(e)s, des épreuves permettront une forme de sélection individuelle par un jury composé des coachs ANSSI de la Team France. Plusieurs critères seront pris en compte par le jury, rapidité de résolution, qualité des explications et du code, démonstration de la résolution, etc.

Les modalités seront détaillées plus précisément au cours du mois de juin.

Si vous avez encore des questions à l’issue de votre lecture, un salon public consacré à la sélection nationale de l’ECSC sur discord est disponible tout au long de la sélection pour échanger avec l’équipe d’organisation ANSSI [discord.gg/P8rpVNZ]

Powered by WPeMatico