Archives par auteur: infossl

La France a fait le choix de l’OCDE (Organisation de coopération et de développement économique), dont la voix est portée par Yves Verhoeven depuis 2019, pour mettre en œuvre le volet relatif à la responsabilité des acteurs privés de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace.

Les travaux en cours sont novateurs, s’attelant à des enjeux complexes qui n’ont pas encore fait l’objet de consensus international en la matière :

• Le renforcement de la sécurité des produits et services, un enjeu crucial pour la sécurité numérique des entreprises, des citoyens et des administrations ;
• L’amélioration de la gestion responsable des vulnérabilités, ayant pour objectif de renforcer la sécurité numérique comme vecteur de stabilisation du cyberespace.

Un an après sa mise en place, le GTSEN a vu son potentiel en matière de coopération internationale sur la sécurité numérique démultiplié sous l’effet de la crise sanitaire, auquel s’ajoutera en 2021 des réflexions autour de la notion de « réponse responsable ». Dès leur aboutissement en début d’année prochaine, les préconisations de ces travaux pourront être intégrées dans les politiques publiques, et faire l’objet de traductions dans le cadre de négociations européennes.

Powered by WPeMatico

QU’EST-CE QUE LA VÉRIFICATION D’IDENTITÉ À DISTANCE ?

Une vérification d’identité à distance possède la même finalité qu’une vérification d’identité en face-à-face physique. A ce titre, un service de vérification d’identité à distance permet de vérifier que le titre d’identité présenté par l’utilisateur est authentique d’une part et que l’utilisateur en est le détenteur légitime d’autre part.

L’usurpation d’identité est la principale menace lors d’une vérification d’identité, qu’elle ait lieu en face-à-face ou à distance. Un service de vérification d’identité à distance est donc exposé aux mêmes risques qu’une vérification d’identité en présentiel, mais également, de par sa nature, à des risques spécifiques (manipulation numérique des images (deepfakes), injection de données frauduleuses, tentatives répétées et massives d’usurpation, utilisation de masques…).

UNE PREMIÈRE VERSION DU RÉFÉRENTIEL PVID

Compte tenu des risques et des besoins en matière de vérification d’identité à distance, l’ANSSI a élaboré un référentiel. Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs.

L’élaboration de ce référentiel s’inscrit dans le cadre de travaux menés en collaboration avec la direction générale du Trésor (DGT) pour la certification des services d’entrée en relation d’affaires à distance au titre du décret n° 2020-118. Au-delà de ce besoin sectoriel spécifique, ce référentiel constitue le fondement du schéma unifié d’évaluation des services de vérification d’identité à distance, quel que soit le niveau de garantie (substantiel et élevé) et quel que soit le cadre réglementaire. Les services de confiance et les moyens d’identification électronique recourant à une vérification d’identité à distance devront donc s’y conformer.

Ainsi, le présent référentiel a vocation à permettre :

• la certification au titre du décret n° 2020-118 des services d’entrée en relation d’affaires à distance lorsqu’ils sont mis en œuvre par des organismes assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
• la qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance recourant à une vérification d’identité à distance ;
• la certification au titre de l’article L102 du Code des postes et des communications électroniques des moyens d’identification électronique, pour les niveaux de garantie substantiel et élevé, recourant à une vérification d’identité à distance.

Une première version du référentiel PVID est proposée aujourd’hui dans le cadre d’un appel public à commentaires.

Les observations, commentaires et propositions peuvent être transmis jusqu’au 31 janvier 2021 par courriel à l’adresse commentaires-pvid [at] ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous celles et ceux qui répondront à cet appel à commentaires.

PVID – Référentiel d’exigences v1.0

PVID – Appel à commentaires – fiche de lecture

A la suite du recueil et de la prise en compte des commentaires, l’ANSSI publiera une première version applicable du référentiel le 1er mars. Une fois ce référentiel validé et l’arrêté correspondant publié, l’ANSSI pourra procéder aux premières évaluations des PVID en vue d’une certification. L’ANSSI rappelle par ailleurs qu’aucun prestataire de service n’a pour le moment été certifié ou ne peut se prévaloir d’une garantie de future certification au titre de ce référentiel.

Enfin, l’ANSSI invite également les organismes qui souhaiteraient procéder à l’évaluation de la conformité des prestataires de vérification d’identité à distance par rapport à ce référentiel d’exigences à la contacter par courriel à la même adresse. De même, les prestataires souhaitant soumettre leurs services à évaluation sont appelés à prendre attache avec l’Agence dès maintenant pour pouvoir convenir conjointement de la stratégie d’évaluation la plus adaptée au regard de leur maturité.

Powered by WPeMatico

La dématérialisation, engagée par l’ensemble des acteurs et accélérée par la crise sanitaire, participe à la profonde transformation numérique de la société. Elle s’accompagne de l’essor de menaces multiples, permanentes et de plus en plus agressives pouvant désorganiser de nombreuses structures privées comme publiques, petites comme grandes.

Offrant de formidables opportunités aux communes et intercommunalités, la numérisation ne saura être bénéfique que si elle s’établit dans un environnement de confiance. Les cyberattaques profitent des vulnérabilités techniques, juridiques, organisationnelles ou humaines et peuvent immobiliser l’action de la collectivité, entacher son image et la confiance des usagers, voire même engager la responsabilité des élus.

« S’il est de plus en plus difficile de dire “Je ne savais pas” et qu’être attaqué ne doit pas être “honteux”, il est de votre responsabilité de ne pas ignorer ces enjeux et de mettre en œuvre des mesures de sécurité numérique » affirme Guillaume Poupard, directeur général de l’ANSSI.

Rédigé à partir du travail engagé par des représentants de collectivités locales bretonnes et des délégués régionaux de l’ANSSI, ce guide interroge les multiples risques numériques. Il apporte des conseils pratiques et propose des axes prioritaires d’action à renforcer ou à développer.
Le guide présente notamment l’élaboration d’une gouvernance numérique adaptée à l’échelle de la structure, pour faire face le plus efficacement possible aux attaques.
Il rappelle enfin que l’ANSSI et la plateforme cybermalveillance.gouv.fr sont à la disposition des élus pour les conseiller et les aider, en particulier en cas de cyberattaque.

Une bonne connaissance des enjeux de la cybersécurité permettra aux élus et à leurs services d’investir afin de développer la protection de leurs systèmes d’information, de se prémunir d’un sinistre informatique et ainsi de construire une sécurité numérique collective.

« Il appartient à chaque commune et intercommunalité, selon ses moyens, de bâtir un environnement numérique de confiance. Ce guide est destiné à les y aider » explique François Baroin, président de l’AMF.

Le guide « Cybersécurité : toutes les communes et intercommunalités sont concernées » est disponible gratuitement.
Communiqué de presse – Cybersécurité : toutes les communes et intercommunalités sont concernées

Guide – Cybersécurité : toutes les communes et intercommunalités sont concernées

Powered by WPeMatico

Piloté par la direction interministérielle de la transformation publique, le mois de l’innovation publique a pour but de « valoriser les capacités d’innovation des services et des agents publics et de partager les bonnes pratiques ».

Cette première participation de l’ANSSI s’inscrit dans la continuité des ambitions que l’ANSSI s’est fixées en 2019, à l’occasion de ses 10 ans et traduites dans le Manifeste de l’ANSSI, en faveur de l’innovation et de l’ouverture. Le mois de l’innovation publique mettra en lumière plusieurs actions de l’agence participant à concrétiser cette vision.

Un engagement en faveur de l’innovation publique

Conformément à ces ambitions, l’ANSSI a lancé en 2020 une démarche interne, transverse et ouverte en faveur de l’innovation, impliquant la mise en œuvre progressive de nouveaux moyens et principes, incluant : la recherche utilisateurs et pluridisciplinaire, des défis d’innovation, des ateliers collaboratifs et ouverts, de l’incubation de projets…

Plusieurs principes structurants contribueront à orienter cette démarche :

• Exploration, pour investiguer, revisiter des domaines connus, identifier de nouveaux champs d’action publique en lien avec la sécurité et la confiance numériques, anticiper les ruptures.
• Expérimentation, en affirmant le « droit à l’essai », pour tester et développer de manière agile des solutions permettant de répondre aux besoins et défis identifiés mais aussi ouvrir de nouvelles voies.
• Participation aux efforts des communautés d’acteurs volontaires – publics, privés, de R&I, makers, etc. – et engagés sur tout le territoire dans des démarches innovantes en faveur du renforcement de la sécurité et de la confiance numériques.

Au coeur de cette démarche, les agents de l’ANSSI, par leur expertise et leur créativité mais également par l’ouverture, pour s’inspirer, co-construire, tester et autant que possible partager.

Programme de l’ANSSI lors du mois de l’innovation publique

En novembre, dans le cadre du mois de l’innovation :

• L’ANSSI inaugure le lancement de ses 2 premières « Start-up d’Etat », en coopération avec l’incubateur BetaGouv de la direction interministérielle du numérique, portées par deux intrapreneurs, pour penser de nouveaux services pour la sécurité numérique au profit de nos bénéficiaires.
• Le 25 novembre, l’ANSSI organise un atelier collaboratif ouvert afin d’explorer l’impact environnemental de la cybersécurité, en partenariat avec l’ARCEP dans le cadre de son programme « numérique soutenable ». Plus d’informations prochainement.
• Le 23 novembre, l’ANSSI lance un « défi » aux étudiantes et étudiants de l’école d’affaires publique de SciencesPo dans le cadre d’un programme piloté par l’Incubateur de Politiques publiques de l’institut d’études politiques. L’objectif : permettre en 2021 et pendant plusieurs mois aux jeunes d’expérimenter et de prototyper des solutions en réponse à un enjeu de politique publique de cybersécurité.
• Le 30 novembre à 16h30, l’ANSSI organise un webinaire en partenariat avec le Club de la continuité d’activité (CCA) afin de présenter leur nouveau guide «organiser un exercice de gestion de crises cyber », élaboré dans une démarche de co-construction, qui permet à chaque entité publique ou privée de conduire de manière autonome son propre exercice de gestion de crise cyber.
• L’ANSSI finalise, en coopération avec le 110bis – laboratoire d’innovation de l’éducation nationale – le développement d’un kit pour aider à la formation des jeunes à la cybersécurité par le jeu, dans le cadre de la feuille de route « sécurité numérique : former et susciter des vocations ». L’objectif : faciliter l’organisation par tous types d’acteurs volontaires, de sessions de design de « jeux sérieux » dédiés à la cybersécurité destinés à l’acquisition de compétences par les jeunes générations.
• Enfin, le défi d’innovation interne « Cap ANSSI10+ » est lancé afin de permettre aux agents d’expérimenter et de se projeter dans un paysage cyber français en transformation, dont le lancement du Campus Cyber en 2021. A l’occasion de cette séquence, des agents de l’ANSSI ont été formés à la conception et à la facilitation de sessions de travail collaboratif.

Powered by WPeMatico

L’OSIIC est un service à compétence nationale, issu du rapprochement du Centre de transmissions gouvernemental (CTG) et de la Sous-direction du Numérique (SDN) de l’ANSSI.

Assurant les communications des plus hautes autorités de l’Etat, ainsi que les échanges numériques classifiés interministériels, la mission de cette nouvelle entité est de répondre à deux enjeux stratégiques : développer et mettre en œuvre les moyens de communication sécurisés et développer les systèmes d’information classifiés pour l’interministériel.

L’opérateur assure également la fonction de direction des systèmes d’information pour l’ensemble des entités composant le Secrétariat général de la défense et de la sécurité nationale.

En savoir plus sur l’OSIIC sur le site du SGDSN.

Powered by WPeMatico

Dès l’ouverture de la finale 10h, les joueurs s’affronteront pendant une dizaine d’heures autour d’épreuves de pwn, cryptographie, reverse, web, etc. Le classement évoluera tout au long de la journée sur la base d’un système de score dynamique. Suivez les performances des joueurs via le classement visible sur https://france-cybersecurity-challenge.fr/ et en rejoignant le Discord.

Annonce officielle des résultats et du classement lundi 29 juin 2020 !

A défaut de pouvoir nous rendre à Vienne en novembre pour participer à l’ECSC avec l’équipe France, des récompenses seront envoyées en début d’été aux finalistes, qui sont chaleureusement encouragé(e)s – au même titre que les joueurs ayant pris part à la phase de pré-sélection – à participer au prochains FCSC (premier semestre 2021) et ECSC (Prague début octobre 2021) – la limite d’âge ayant été relevée d’un an.

Merci aux participant(e)s pour leur motivation, leur implication et leur détermination tout au long de cette édition un peu particulière de la compétition.
Bonne finale à tous et à toutes !

En savoir plus

Si vous avez encore des questions à l’issue de votre lecture, un salon public consacré au FCSC est disponible tout au long de la compétition pour échanger avec l’équipe d’organisation de l’ANSSI.

Powered by WPeMatico

Pour être au plus près de ce qu’elle est, de ses orientations stratégiques et des attentes de son écosystème, l’ANSSI fait évoluer son rapport d’activité et dévoile sa toute nouvelle revue annuelle : les Papiers numériques.

Au travers de dossiers thématiques, l’agence livre une revue à visée nationale et internationale où se mêlent actualité de la cybersécurité en France en 2019, contenus prospectifs et témoignages des grands acteurs de la transformation numérique.

« Les Papiers numériques sont un micro tendu vers nos partenaires car les enjeux de cybersécurité ne s’appréhendent correctement qu’à la lumière de plusieurs éclairages » explique Guillaume Poupard, directeur général de l’ANSSI.

Explorez l’actualité de la cybersécurité en France

La revue s’ouvre sur la célébration des dix ans de l’ANSSI et sa volonté d’innover collectivement, incarnée par le Manifeste de l’ANSSI.

Les interactions avec l’écosystème numérique en France comme à l’international, les enjeux liés au partage de la connaissance et la mission de cyberdéfense de l’agence sont présentés dans différents dossiers thématiques.

Plusieurs grands acteurs de la transformation numérique partagent leur vision, notamment sur les nouvelles technologies et leurs usages : intelligence artificielle, identité numérique, vote électronique, blockchain et cryptographie post-quantique. Ce sont autant de domaines sur lesquels l’ANSSI joue, avec d’autres parties prenantes, un rôle d’éclaireur.

Enfin, les Papiers numériques s’achèvent sur un dossier en anglais dédié au dialogue international. Il met en lumière des actions et des initiatives nationales, européennes et internationales qui correspondent aux valeurs de l’agence : ouverture, écoute et transmission.

« À l’image de l’ANSSI, qui a amorcé une transformation en 2019, ce premier numéro des Papiers numériques s’inscrit dans une dynamique plus prospective, plus pédagogique et plus humaine » affirme Guillaume Poupard, directeur général de l’ANSSI.

Découvrez sans plus attendre les Papiers numériques : https://www.ssi.gouv.fr/papiers-numeriques/

Communiqué de presse – Papiers numériques

Powered by WPeMatico

La crise sanitaire actuelle provoquée par l’épidémie de Covid-19 a engendré un certain nombre de changements pour les compétitions FCSC et ECSC compte tenu de l’évolution progressive et incertaine du virus. Si l’heure est plutôt à l’optimisme, l’organisation d’événements en présentiel dans le respect des gestes barrière est fortement mis en difficulté.

Annulation de l’European cybersecurity challenge (ECSC)

Au regard de la crise sanitaire actuelle mondiale, et du manque de visibilité quant à son évolution, le comité d’organisation de l’ECSC et l’équipe autrichienne en charge de l’événement, avec le soutien de l’ENISA, ont décidé de changer de repousser l’édition 2020 du European cybersecurity challenge (ECSC) prévu initialement à Vienne en novembre.

Le comité d’organisation de l’ECSC considère que l’organisation d’un tel événement européen, rassemblant plus de 350 jeunes venus des quatre coins de l’Europe, nécessite avant tout de prendre en compte la sécurité et de préserver la santé des participants.

C’est pour cette raison que la 6ème édition de l’ECSC se tiendra à Prague, en République tchèque en 2021. L’Autriche accueillera la compétition en 2022.

Afin de donner une chance égale à l’ensemble des participants et permettre à chaque pays d’organisation sa sélection nationale en toute clarté et sérénité le comité d’organisation de l’ECSC a décidé de changer la règle liée l’âge des participants pour 2021 en rajoutant une année supplémentaire dans chaque catégorie.

https://www.enisa.europa.eu/news/enisa-news/european-cyber-security-challenge-2020-dates-changed

Finale du France cybersecurity challenge : une compétition en ligne

Malgré l’annulation de la rencontre européenne, la compétition française continue ! Les modalités ont dû évoluer pour permettre l’organisation d’une finale en toute sécurité pour les finalistes.

Des épreuves seront disponibles sur la plateforme https://france-cybersecurity-challenge.fr/ toute la journée du samedi 27 juin 2020. La compétition étant toujours en individuel, chaque participant recevra un identifiant de connexion pour accéder aux épreuves.

À l’issue de cette première phase, 5 finalistes seront retenus dans chaque catégorie pour constituer le classement final. Le classement définitif sera officiellement annoncé le lundi 29 juin 2020.

A défaut de pouvoir constituer la prochaine équipe française pour l’ECSC, l’ANSSI s’organise pour trouver des récompenses à la hauteur des efforts et de l’enthousiasme fournis par les candidats, et l’équipe d’organisation, pour faire de première édition du FCSC un succès !

Le règlement de la compétition sera modifié pour intégrer ces changements.

Vous avez repéré un dysfonctionnement lors de la présélection en ligne pour les épreuves ou sur la plateforme ? Transmettez l’information à l’équipe d’organisation de l’ANSSI via l’adresse contact [at] ecsc-teamfrance.fr … et remportez quelques points supplémentaires !

Attention : pendant la finale, les joueurs doivent solliciter les organisateurs avec discernement. Des points pourront être retirés pour toutes questions répétées ou abusives auprès des membres de l’organisation, apparaissant comme une recherche d’indices sur les challenges.

European cybersecurity challenge 2021

L’annulation exceptionnelle de l’ECSC cette année ne remet pas en cause la tenue de l’événement l’année prochaine. Une nouvelle édition du France cybersecurity challenge se tiendra au premier semestre 2021 pour sélectionner les joueurs de la TEAMFR représenteront la France lors de l’ECSC, la grande compétition de cybersécurité européenne organisée à Prague début octobre (date à confirmer).

En savoir plus

Si vous avez encore des questions à l’issue de votre lecture, un salon public consacré à la sélection nationale de l’ECSC sur Discord est disponible tout au long de la sélection pour échanger avec l’équipe d’organisation ANSSI.

Powered by WPeMatico