Infos SSL et sécurité réseaux

Archive mensuelles: janvier 2020

Campus Cyber : l’ambition française s’affirme pour fédérer et faire rayonner l’écosystème de la cybersécurité

Le 16 juillet dernier, sous l’impulsion du Président de la République, le premier ministre a confié à Michel Van Den Berghe, la mission d’étudier la faisabilité d’un « campus cyber » auprès de l’ensemble des acteurs de l’écosystème numérique.
Son objectif : définir un nouveau centre de gravité de la sécurité et de la confiance numériques en France et en Europe.

 Le rapport du Campus Cyber

Le rapport de préfiguration du Campus Cyber a été présenté lors du Forum International de la Cybersécurité 2020 à Lille par Cédric O, Secrétaire d’État chargé du Numérique, et Michel Van Den Berghe.
Ce document définit les grandes missions ainsi que la vision pour ce projet fédérateur. Il présente également les clés de sa réussite, directement issues de l’étude d’opportunité qui y est également proposée.

Campus Cyber – Fédérer et faire rayonner l’écosystème de la cybersécurité

Fortement investie dans la définition et le soutien à ce projet, l’ANSSI se félicite aujourd’hui de la diffusion du rapport de préfiguration qui annonce le futur Campus Cyber. Un lieu qui participera à rapprocher l’ensemble des acteurs du public, du privé, de la formation et de la recherche pour innover et travailler conjointement au profit de la sécurité numérique.
En développant et en faisant rayonner l’excellence scientifique, technique et industrielle, le Campus Cyber confortera également l’ambition française pour renforcer le rôle et la souveraineté de l’Europe en matière de Cybersécurité.

Les modalités pratiques de la conception du Campus seront définies progressivement, alors que l’ANSSI prévoit déjà de déployer sur place ses compétences ainsi que l’expertise de ses agents.

 

Cyber campus 10 points clés

Powered by WPeMatico

FIC 2020 : l’ANSSI plaide pour une souveraineté européenne en matière de cybersécurité

2020, l’année de l’europe pour la cybersécurité

Au cours des dernières années, l’Union européenne (UE) a mis en place des fondations solides pour la sécurité numérique de la société et de l’économie européenne, au travers notamment de la directive NIS, du Cybersecurity Act et de son cadre européen de certification. S’appuyant sur son expertise nationale, la France, et notamment l’ANSSI, est fortement investie dans la coopération avec ses partenaires européens et l’ENISA pour rendre opérationnel ce socle commun de règles.

Face à l’ampleur de la menace cyber, l’ANSSI appelle à approfondir cette base et à positionner la cybersécurité comme un enjeu prioritaire de la nouvelle législature européenne.

Assumer une souveraineté européenne en matière de cybersécurité

L’UE doit se donner les moyens de développer son autonomie et son leadership en matière de cybersécurité. Pour l’ANSSI, la souveraineté de l’Europe nécessitera des efforts renouvelés en matière de développement capacitaire, de règlementation, de politique industrielle, ainsi qu’une gouvernance adaptée aux enjeux.

Premièrement, le renforcement des capacités de cybersécurité de l’UE est impératif au sein des administrations des Etats membres, mais également aux niveaux du tissu économique, des citoyens et des institutions européennes elles-mêmes.

Par ailleurs, l’élévation du niveau de sécurité de l’espace numérique européen suppose une prise en compte des risques associés aux nouvelles technologies et aux nouveaux usages dans les politiques publiques européennes sectorielles. Cela passera également par le déploiement d’un tissu européen d’industriels de cybersécurité de confiance, que les financements européens en soutien à la R&D et au déploiement technologique doivent permettre d’accompagner.

Enfin, la gouvernance européenne devra être renforcée et favoriser encore davantage le partage d’expérience et la mise en réseau des acteurs. L’initiative Blue OLEx a été un premier pas pour établir un dialogue européen de haut niveau sur les sujets cyber. Elle a également permis d’identifier les domaines dans lesquels la coopération doit être renforcée pour répondre de manière concertée aux défis auxquels l’écosystème européen est confronté. En complément, le dialogue doit se développer entre les institutions européennes.

« L’année 2020 marque le début d’un nouveau cycle européen. L’Europe doit être en mesure d’affirmer sa souveraineté dans le domaine cyber pour promouvoir ses valeurs en matière de paix et de stabilité du cyberespace au niveau international », affirme Guillaume Poupard, Directeur général de l’ANSSI.

Programme complet des interventions de l’ANSSI au FIC 2020 :

  • Keynote de Guillaume Poupard pour l’ouverture du FIC (29 janvier / 09h30 / Amphi Vauban).
  • Atelier « Cybersecurity Act, An I » (29 janvier / 11h30 – 13h00 / Pasteur).
    L’ANSSI présentera sa vision du Cybersecurity Act, ainsi que les missions de l’autorité nationale de certification.
  • Remise des labels EBIOS Risk Manager et SecNumedu-FC pour EBIOS Risk Manager (29 janvier / 11h30-12h00 / stand de l’ANSSI).
    L’agence remettra des labels à trois solutions logicielles qui instancient la méthode EBIOS Risk Manager et à trois formations continues dédiées à EBIOS Risk Manager.
  • Atelier « Active Directory : clé de voute de la cybersécurité ? » (29 janvier / 11h30 – 13h00 / Van Gogh).
    L’ANSSI présentera les enjeux et les actions de l’agence sur la sécurité de l’Active Directory.
  • Atelier « Souveraineté numérique: sans l’Europe point de salut ? » (29 janvier / 13h45 – 15h15 / Vauban).
    L’agence débattra sur les différences entre les notions d’autonomie stratégique, de souveraineté et de puissance.
  • Conférence de presse de l’ANSSI (29 janvier / 14h00 – 15h30 / Salon Presse du Grand-Palais).
  • Signature de la convention de partenariat entre l’ANSSI et l’association DECLIC (30 janvier / 10H00-10H30 / stand de l’ANSSI).
    L’agence s’associera avec DECLIC, association de 35 structures départementales ou régionales de mutualisation.
  • Atelier « Le mot de passe: chronique d’une mort annoncée ? » (30 janvier / 14h00 – 15h30 / Matisse).
    Pour l’ANSSI, ce n’est pas le mot de passe en tant que tel qui risque de disparaître, mais son utilisation en tant que simple facteur. L’apparition de solutions alternatives, concrètes, accessibles et sécurisées se fait à la faveur d’un cadre réglementaire orienté vers le grand public (eIDAS / Loi pour une République numérique).
  • Atelier « Comment faire rimer sécurité et stratégies d’entreprise ? » (30 janvier / 14h00 – 15h30 / Van Gogh).
    L’ANSSI défend une prise en compte et une gestion du risque numérique au plus haut niveau de l’organisation

L’agence est présente tout au long de l’événement avec un stand, espace d’échange sur les problématiques de la sécurité numérique et de documentation sur les bonnes pratiques informatiques. Cette année, une partie du stand de l’ANSSI est dédiée à la formation et une autre à la méthode EBIOS Risk Manager. Le stand comprend également un espace recrutement pour permettre à de potentiels candidats de rencontrer des experts et d’échanger sur les opportunités de carrière à l’agence.

Communiqué de presse – FIC 2020

Powered by WPeMatico

La France accueille favorablement la publication de la « boîte à outils 5G »

Fruit des discussions menées entre les Etats membres, la Commission européenne et l’ENISA, la boîte à outils 5G identifie un ensemble de mesures clés, à la fois stratégiques et techniques, qui permettent de répondre aux risques identifiés conjointement au niveau européen dans l’analyse de risques européenne publiée en octobre dernier.

Partie prenante des travaux, la France, représentée notamment par l’ANSSI, se félicite du succès de cette démarche concertée sur un enjeu complexe et fortement débattu et de l’approche retenue fondée sur les risques. L’élaboration commune de cette boîte à outils démontre que si la sécurité des réseaux 5G est souvent associée à des problématiques de sécurité nationale, elle n’en est pas moins un enjeu de souveraineté européenne, fondé sur le partage d’une vision et de valeurs au sein de l’UE.

Elaboration de mesures stratégiques et techniques partagées

L’objectif poursuivi par la boite à outils est de veiller d’une part à ce que chaque Etat membre puisse exercer ses responsabilités vis à vis de la sécurité du déploiement des réseaux 5G, en se dotant d’un plan de maitrise des risques, et d’établir d’autre part au niveau européen les outils et bonnes pratiques partagés facilitant l’exercice de ces responsabilités. A ce titre, la boite à outils identifie un ensemble de mesures à la fois stratégiques et techniques sur lesquelles pourront s’appuyer les Etats membres afin de faciliter la mise en œuvre des réponses nationales.

Parmi les mesures stratégiques, on note, par exemple, l’importance pour les Etats et leurs autorités compétentes de se doter de capacités réglementaires nationales adéquates pour imposer aux opérateurs des obligations de sécurité particulières, voire à restreindre ou interdire le recours à certaines solutions particulièrement critiques, en raison de risques techniques ou non techniques tels qu’identifiés conjointement par les Etats membres dans l’analyse coordonnée.

Par ailleurs, l’analyse de risque européenne identifiait les risques d’une dépendance exagérée envers un seul fournisseur, aussi bien pour la résilience des réseaux que pour l’exposition aux risques d’ingérence d’un Etat dans la supply chain. A ce titre, la boite à outils souligne l’importance pour les Etats membres et leurs opérateurs de veiller à une diversité suffisante de fournisseurs au sein de leurs réseaux, et propose la mise en œuvre d’actions complémentaires au niveau européen afin de favoriser le maintien et le développement d’une telle diversité au sein de l’écosystème des fournisseurs de solutions 5G, et de contribuer ainsi à l’autonomie stratégique de l’Union Européenne.
Par ailleurs, la boite à outils prévoit l’évaluation du niveau de risque propre à chaque fournisseur et acteur de la chaîne de valeur de la 5G, en raison tant de la qualité technique des équipements que de leur exposition potentielle à des ingérences ou pressions extra-européennes.

Ces mesures stratégiques sont complétées par des mesures plus techniques, qui correspondent aux exigences de sécurité à faire respecter à toutes les étapes du déploiement de la 5G.

L’approche française

La portée des nouveaux risques associés à la 5G appelle une réponse adaptée des États.

Bien qu’il soit essentiel pour chaque État de se doter rapidement du cadre réglementaire ou des outils adaptés, le caractère émergent de la technologie 5G, dont la normalisation se poursuit, ne permet pas de couvrir ces risques par des préconisations générales établies a priori, et impose une forme de traitement au cas par cas au moins jusqu’à ce que l’état de l’art du domaine et les premiers retours d’expérience soient consolidés.

C’est notamment l’orientation retenue en France à travers la loi N°2019-810 du 1er août 2019, et le décret N°2019-1300 du 6 décembre 2019 pris pour son application, qui soumettent à autorisation du Premier ministre l’exploitation par les opérateurs de télécommunications d’appareils d’infrastructure des réseaux 5G.

Celle-ci permettra aux autorités une appréciation au cas par cas des enjeux de sécurité nationale, compte-tenu des caractéristiques techniques des appareils, des modalités de mise en œuvre et de sous-traitance envisagées, et des risques d’ingérence d’États non-européens.

Le gouvernement français rendra à partir de la mi-février ses premières décisions sur le choix d’équipementiers 5G.

Powered by WPeMatico

Rançongiciels – L’ANSSI livre son analyse de la menace pour les entreprises et les institutions

Dans le cadre de ses missions opérationnelles, l’ANSSI met à profit l’expertise de ses analystes spécialisés en relations internationales, en modes opératoires d’attaque et en rétro-ingénierie de codes malveillants et de vulnérabilités, afin d’étudier les attaques directement observées par l’agence, mais également celles rapportées par l’ensemble de ses partenaires nationaux et internationaux.

Ces travaux de synthèse et d’analyse relatifs à la menace et aux incidents sont largement partagés avec l’ensemble de la communauté depuis plusieurs mois sur le site du CERT-FR.

Rapport « État de la menace rançongiciel à l’encontre des entreprises et institutions »

État de la menace rançongiciel à l'encontre des entreprises et institutions - couverture

Un rançongiciel, ou ransomware, est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent. L’année 2018 a vu la multiplication de ces attaques touchant des entreprises et institutions dans le monde entier.

Qu’ils soient ciblés ou non, les rançongiciels représentent la menace informatique actuelle la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité.

Le nouveau rapport « État de la menace rançongiciel à l’encontre des entreprises et institutions » du CERT-FR livre une analyse nouvelle qui se concentre sur l’étude des attaques par chiffrement à finalité lucrative et leur impact sur les entreprises et les institutions.
Il revient en détail sur les différentes typologies d’attaques ainsi que leurs victimes. Le document s’intéresse de plus aux coûts, aux revenus et aux effets latents liés à ces campagnes malveillantes.

Sur les très nombreuses attaques de ce type en France, l’ANSSI a traité 69 incidents en 2019 sur son périmètre. Cette étude s’appuie notamment sur les activités opérationnelles de l’ANSSI mais également sur les nombreux échanges de l’échange de l’agence avec ses partenaires nationaux et internationaux.

État de la menace rançongiciel à l'encontre des entreprises et institutions - extrait

En savoir plus sur le panorama de la menace rançongiciel

Powered by WPeMatico

Le service Active Directory Security (ADS) : Accompagner la sécurisation des annuaires Active directory des acteurs critiques

L’annuaire Active Directory (AD) est un élément critique permettant la gestion centralisée de l’ensemble des permissions sur les différents domaines qui composent un système d’information (SI) Microsoft. L’obtention de privilèges élevés sur l’AD entraîne par conséquent une prise de contrôle instantanée et complète de tout le SI.

Développé par l’ANSSI, le service ADS (Active Directory Security) met à disposition des opérateurs règlementés et de la sphère publique une capacité d’audit des annuaires AD visant à leur donner de la visibilité sur le niveau de sécurité de leur annuaire et à les accompagner dans son durcissement par l’application progressive de mesures adéquates, avec un suivi dans le temps.

Le service ADS permet ainsi de bénéficier :

  • Pour la chaine SSI d’une vue globale et synthétique du niveau de sécurité, à travers des tableaux de bord et des indicateurs associés.
  • Aux équipes d’exploitation de recommandations à appliquer et d’un accompagnement dans le pilotage de leurs équipes techniques et/ou de leurs prestataires.

La présentation proposée des résultats, peut également être également un outil d’aide à la décision à destination des dirigeants pour appréhender rapidement le niveau de maturité d’une partie critique de son système.

Une approche ludique et personnalisée

Lors de l’inscription sur la plateforme, un premier diagnostic est réalisé sur la base des informations transmises par le bénéficiaire en utilisant l’outil de collecte ORADAD.

A l’issue de cette première action, le niveau de sécurité de la configuration de l’Active Directory est traduit par un niveau qui se situe sur une échelle de 1 à 5. Le niveau obtenu dépend de la gravité des vulnérabilités trouvées, le niveau 1 étant synonyme de défauts critiques et le niveau 5 d’un niveau à l’état de l’art.

Chaque niveau donne accès à une liste de recommandations adaptées pour corriger les problèmes importants (vulnérabilité critiques) et autres points d’attention à intégrer. L’évolution relative à chaque niveau est quantifiée par un score et représentée sur l’interface graphique par une barre de progression.

L’application de l’ensemble des recommandations portant sur les points importants d’un niveau permet de passer au niveau supérieur et d’accéder à une collection complémentaire de recommandations.

Ce service proposé par l’agence s’intègre dans une démarche plus globale d’ouverture et de partage d’outils permettant d’accompagner la sécurisation des opérateurs règlementés et de la sphère publique. Un portail en ligne appelé Club SSI regroupant ces différentes prestations est actuellement en cours de développement. Une première version est aujourd’hui disponible via le RIE (Réseau Interministériel de l’État) pour les entités publiques.

Powered by WPeMatico

L’ANSSI dévoile ses nouvelles orientations stratégiques pour les années à venir

En juin 2019, l’ANSSI rassemblait l’ensemble de l’écosystème du numérique, lors du Cyberfestival, pour célébrer ses 10 ans d’existence. L’occasion pour l’agence d’esquisser les contours de l’ANSSI de demain, une ANSSI encore davantage ouverte et tournée vers l’innovation pour faire face aux menaces et nouveaux usages .

Une annonce concrétisée très rapidement via le lancement de la démarche ANSSI10+, qui permet aujourd’hui à l’agence de présenter ses grandes orientations stratégiques avec son Manifeste pour l’ANSSI des dix prochaines années et pour l’écosystème de la cybersécurité.

Le Manifeste ANSSI

UN PROCESSUS DE REFLÉXION INNOVANT

Au fil des derniers mois de l’année 2019, l’ANSSI a cherché à expérimenter et à innover davantage, en animant des ateliers internes et externes de réflexion. Une démarche de co-construction fidèle à la voie tracée lors du Cyber festival, pour mieux appréhender les grands enjeux qui mobilisent l’agence et la mobiliseront demain. Ainsi, deux sessions ouvertes à des contributeurs extérieurs ont invité ces derniers à réfléchir sur des cas d’usage pour la valorisation de données techniques et opérationnelles et à se projeter dans l’avenir pour bâtir un imaginaire mobilisateur.

UN EFFORT COLLECTIF INDISPENSABLE

Les premiers résultats de la démarche ANSSI10+ démontrent l’intérêt pour l’agence de mieux tirer parti de l’écosystème qui l’entoure. De manière plus large, les enjeux de confiance et de sécurité numériques nécessitent désormais un effort collectif alliant les acteurs publics et privés, qui sont parties prenantes de l’écosystème français du numérique. En tant qu’autorité nationale référente, l’ANSSI doit s’enrichir de visions différentes et trouver de nouveaux relais et effets démultiplicateurs.

DE NOUVELLES ORIENTATIONS STRATÉGIQUES

Forte de ces constats et s’appuyant sur la compétence, l’ouverture et l’agilité qui constituent ses trois valeurs centrales, l’ANSSI a rédigé le manifeste « Pour l’ANSSI des 10 prochaines années ; pour l’écosystème de la cybersécurité » pour introduire les nouvelles orientations stratégiques qui guideront l’agence au cours des prochaines années.

  1. jouer pleinement le rôle d’éclaireur des transformations numériques ;
  2. renforcer sans cesse l’efficacité opérationnelle de l’agence face à des menaces profondément changeantes, notamment face à la recrudescence des menaces de masse ;
  3. mettre davantage notre compétence au service de la formation en cybersécurité.
  4. continuer à développer les synergies opérationnelles avec les partenaires institutionnels nationaux de l’agence ;
  5. accompagner la structuration et la montée en puissance de l’écosystème de cybersécurité ;
  6. renforcer l’engagement européen de l’agence.
  7. être une « administration orientée vers ses bénéficiaires » pour toujours mieux comprendre les besoins, les attentes et les contraintes des bénéficiaires de l’action de l’agence ;
  8. renforcer la culture interne de l’expérimentation et amplifier la capacité d’innovation de l’agence ;
  9. renforcer l’accompagnement des agents de l’ANSSI.

Retrouvez le manifeste « Pour l’ANSSI des 10 prochaines années ; pour l’écosystème de la cybersécurité »

Powered by WPeMatico