Infos SSL et sécurité réseaux

ANSSI

Auto Added by WPeMatico

Publication de l’arrêté des règles de sécurité s’appliquant aux opérateurs de services essentiels (OSE)

La directive Network and Information System Security (NIS) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la Nation, pour faire face collectivement aux risques de cyberattaques. Elle définit notamment le statut d’Opérateur de services essentiels (OSE), qui doivent identifier leurs systèmes d’information essentiels sur lesquels ils devront appliquer des règles de sécurité et déclarer à l’ANSSI les incidents de sécurité survenus. L’arrêté publié le 29 septembre 2018 précise ces règles de sécurité ainsi que leurs délais d’application.

Les règles sont les mêmes pour tous les opérateurs de services essentiels et s’inscrivent dans une véritable approche de management des risques, déclinée en quatre chapitres :

  • La gouvernance de la sécurité des réseaux et systèmes d’information ;
  • La protection de la sécurité des réseaux et systèmes d’information ;
  • La défense de la sécurité des réseaux et systèmes d’information ;
  • La résilience des activités.

Ces règles de sécurité sont conformes aux recommandations émises par le groupe de coopération créé dans le cadre de la Directive NIS et aux échanges duquel l’ANSSI prend une part active. Leur contenu est par ailleurs directement inspiré des règles mises en œuvre par les opérateurs d’importance vitales, règles élaborées en lien avec les opérateurs et les ministères concernés.

Une question concernant les OSE et leurs obligations ? Consultez notre foire aux questions.

Powered by WPeMatico

J-3 : Soyez prêt-e-s pour l’édition 2018 du Mois européen de la cybersécurité !

Le Mois européen de la cybersécurité, (ou ECSM) est une initiative européenne engagée par l’ENISA, qui vise à mobiliser l’ensemble de la population autour des enjeux de la sécurité numérique.

Ministères, associations, organisations professionnelles et autres acteurs clés … Tous sont des acteurs incontournables engagés dans cette campagne nationale pour partager avec leurs publics, tout au long du mois d’octobre, des conseils pour comprendre les défis de la transition numérique et entrer en action afin de se protéger efficacement au quotidien.

Au programme de l’ECSM, quatre semaines thématiques :

Avoir les bases
Connaitre les métiers
S’intéresser aux risques pour appliquer les bonnes pratiques
Comprendre les enjeux de demain

En savoir plus sur l’édition 2018 du Mois européen de la cybersécurité

LA PROGRAMMATION 2018

Au cours du mois d’octobre, de nombreux ateliers et conférences seront organisés sur l’ensemble du territoire français, à destination des chefs d’entreprises, des citoyens ou encore des étudiants. Au programme : des ateliers pour mieux comprendre le RGDP, la mise en scène du procès de l’Intelligence artificielle, une compétition européenne pour les jeunes talents de la SSI…

Retrouvez tous les grands moments du Mois européen de la Cybersécurité.
Si vous souhaitez y participer, renseignez-vous dès à présent sur les évènements ouverts au public proches de chez vous.

Tout au long de cette campagne d’information et de sensibilisation, les partenaires du Mois européen de la cybersécurité partageront également des clés de compréhension et d’actions pour protéger efficacement votre vie numérique. De nombreux kits de sensibilisation, des infographies ou des vidéos sont à consommer et à sans modération autour de soi !

Retrouvez dès à présent toutes les bonnes pratiques pour s’informer et se former à la sécurité du numérique dans la boite à outils.

Bandeau Mail 2018

#TousSecNum – Devenez VOUS AUSSI ACTEUR de la sécurité numérique

Convaincu(e) que les bonnes pratiques de la sécurité du numérique doivent être davantage connues de tous et toutes ? N’hésitez pas à suivre et à partager via le hashtag #TousSecNum pour participer à cette grande campagne nationale.

Et pour aller plus loin encore, participez-vous aussi à cette action de sensibilisation en arborant fièrement les couleurs de l’ECSM sur vos différents réseaux sociaux, grâce au kit de communication à votre disposition.

Dossier de Presse – Mois européen de la cybersécurité 2018

Powered by WPeMatico

Contribuez au développement de CLIP OS : le système d’exploitation durci conçu par l’ANSSI

Initialement conçu et développé depuis 2005 par l’ANSSI pour répondre aux besoins de l’administration, CLIP OS propose un ensemble de briques (outils et codes source) formant la base d’un système d’exploitation multi-niveau sécurisé.

 CLIP OS : pourquoi un système d’exploitation multi-niveau sécurisé ?

Basé sur un socle de confiance durci et maîtrisé, où la sécurité est prise en compte à tous les niveaux, il est capable de manipuler des informations de nature ou de sensibilité différentes (non protégé à diffusion restreinte) dans des environnements séparés. Ce socle durci peut être décliné sous de nombreuses formes, selon les besoins et les usages.

Une démarche participative

Avec la publication du code source et de la documentation de CLIP OS, l’ANSSI souhaite initier un projet collaboratif pour construire progressivement un système d’exploitation durci, capable de gérer des informations de plusieurs niveaux de confidentialité, basé sur le noyau Linux et un ensemble de logiciels open-source.

Développez CLIP OS !

S’il n’existe actuellement pas de version « prête à l’emploi » de CLIP OS pour les utilisateurs, l’ANSSI propose à chacun de contribuer au projet, pour son développement et son amélioration, afin de mieux répondre aux usages et aux besoins spécifiques de chaque déploiement.

L’ANSSI met à disposition de la communauté le code source du projet CLIP OS :
Pour archivage et référence : le code source et la documentation (en français) de la précédente version de CLIP OS (version 4) pour initier et faciliter les développements futurs.
Pour permettre un développement collaboratif : le code source et la documentation (en anglais) de la version en cours de développement de CLIP OS (version 5).

Encore au stade de version « Alpha », CLIP OS va s’enrichir sur la durée grâce aux développements réalisés par les équipes de l’ANSSI, ainsi qu’aux contributions de tous les acteurs qui souhaiteront s’impliquer dans ce projet.

En savoir plus sur CLIP OS

Vous pouvez directement retrouver les sources** et la documentation de CLIP OS sur le site du projet, ainsi que les moyens mis en place pour participer à son développement.

Clé publique OpenPGP du projet

 

Cette démarche s’inscrit dans le « plan pour une action publique transparente et collaborative » , mené par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC).

 

Communiqué de presse CLIP OS

 

* open-source : code source ouvert
** Les portions de code spécifiques au projet CLIP OS sont mises à disposition en open source, principalement sous licence LGPL 2.1+.

Powered by WPeMatico

L’ANSSI présente à Singapour pour participer à la construction d’un cyberespace de confiance

L’ANSSI est présente à Singapour cette semaine pour échanger avec ses partenaires locaux et internationaux. L’Agence s’investit au quotidien pour contribuer à la stabilité du cyberespace, renforcer ses alliances et partenariats, présenter le modèle français de cybersécurité et promouvoir le développement d’un cyberespace sûr, stable et ouvert. L’agence participe activement aux discussions internationales sur la cybersécurité aux niveaux politique et normatif, et œuvre de concert avec l’ensemble de ses partenaires face aux menaces émanant du cyberespace.

Rencontre à l’ambassade de France à Singapour

Cet échange, qui porte sur le renforcement de la coopération avec Singapour, est l’occasion pour Guillaume Poupard, directeur général de l’ANSSI et M. Marc ABENSOUR, Ambassadeur de France à Singapour, d’échanger sur la mise en œuvre de la feuille de route adoptée le 13 juillet dernier, qui porte sur le renforcement de la collaboration en matière d’innovation numérique, de gouvernance de l’Internet et de cybersécurité.

Intervention en ouverture de la Singapour International Cyber Week 2018 (SICW)

SICW_Logo_484x312

Événement de référence à l’échelle internationale, la SICW, organisée par la Cyber Security Agency (CSA) de Singapour, réunit du 18 au 20 septembre des autorités étatiques de l’association des nations de l’Asie du Sud-est (ASEAN) et tous leurs partenaires internationaux, autour des enjeux de la sécurité du numérique.

Intervenant en plénière d’ouverture, l’ANSSI, en tant qu’autorité nationale de sécurité et de défense des systèmes d’information, y présentera les conditions indispensables à la construction d’un cyberespace de confiance.

Une approche française qui repose sur trois piliers :
la définition de règles communes et des responsabilités des acteurs étatiques et privés 
– le renforcement de la coopération entre les acteurs majeurs de la cybersécurité tels que les États, les organisations internationales, les entreprises, la société civile
– la transmission de l’expertise et de la connaissance

 

Approfondissement du programme de coopération en cybersécurité entre l’ANSSI et CSA

csa-logo

A l’occasion de la SICW, l’ANSSI et la cyber security agency (CSA) de Singapour renouvèlent leur partenariat par la signature d’un programme de coopération étendu en présence de Mounir Mahjoubi, Secrétaire d’État chargé du numérique, Janil Puthucheary, Ministre en charge des communications et de l’information à Singapour.
Avec une durée de validité portée de deux à cinq ans, le programme repose sur le partage de connaissances et d’expériences en matière de :
– gouvernance et de stratégie nationale ;
– protection et défense des systèmes d’information en particulier d’importance vitale ;
– évaluation et de certification des produits de sécurité ;
– exercices.

Participation au salon d’affaires GovWare

L’ANSSI participe également au volet industriel de la SICW, GovWare  .
Principal salon asiatique du numérique, il réunit des entreprises du secteur de la cybersécurité. L’occasion pour l’ANSSI, aux côtés de Mounir Mahjoubi, Secrétaire d’État chargé du numérique, d’aller à la rencontre des entreprises de confiance présentes sur le pavillon France.

Powered by WPeMatico

L’ANSSI participe à la création d’une session nationale « Souveraineté numérique & cybersécurité » portée par l’INHESJ et l’IHEDN

Le programme de la formation

Répartie sur 10 semaines, cette formation sera l’occasion pour les candidats sélectionnés d’acquérir une culture des enjeux de cybersécurité et de souveraineté induits par la transformation numérique. Pour ce faire, la trentaine d’auditeurs assistera à des présentations académiques ainsi qu’à des échanges avec des personnels engagés dans le dispositif national de cybersécurité.

Les cours magistraux répartis en 8 séminaires de 2 jours (jeudi et vendredi) auront lieu au siège des instituts à l’École militaire à Paris. Une mission à l’étranger de 4 jours et un exercice de mise en situation de crise permettront également aux candidats de développer une vision stratégique « cyber » au service des intérêts de leur entreprise ou de leur administration.

 

L’ANSSI encourage les formations en sécurité des systèmes d’information

Un partenariat avec l’INHESJ et l’IHEDN a été mis en place par l’ANSSI en novembre 2014 et novembre 2015 dans l’objectif de développer les formations (continues ou initiales) en matière de sécurité des systèmes d’information. Partenaire et membre du comité de pilotage de cette session inédite, l’agence a participé à la construction du programme. À ce titre, plusieurs experts de l’agence interviendront devant les auditeurs lors de séminaires.

Outre ces deux partenariats, l’ANSSI intervient dans la définition et la mise en œuvre de la politique de formation à la SSI via son Centre de formation à la sécurité des systèmes d’information (CFSSI). Ce dernier propose des formations dispensées par des experts de l’agence au profit du personnel de l’État sous la forme de stages courts et d’un cycle long permettant d’obtenir le titre d’expert en sécurité des systèmes d’information (ESSI).

Retrouvez plus d’informations dans le dossier de présentation de la session  » Souveraineté numérique & cybersécurité « 

Visuel_SN_CYBER_INHESJ-IHEDN_2018-2019

 

Powered by WPeMatico

Un label EBIOS « Risk Manager » pour les solutions qui accompagneront la nouvelle méthode de management des risques numériques

Depuis 1995, l’ANSSI et ses partenaires ont fait évoluer EBIOS, la méthode de référence pour l’analyse de risques relatifs à la sécurité du numérique. À la rentrée, une nouvelle version de la méthode EBIOS sera proposée pour répondre de façon agile, réaliste et collaborative aux évolutions de la menace, au plus près des besoins des organisations.

La méthode EBIOS évolue

Forte d’une expérience riche et d’une communauté d’utilisateurs et de contributeurs engagée au sein du Club Ebios, cette nouvelle édition de la méthode garantira une approche concrète et actuelle du management du risque numérique, adaptée à toutes les organisations.
EBIOS « Risk Manager » s’annonce comme la méthode d’analyse et de traitement indispensable pour permettre aux dirigeants d’appréhender le risque cyber, au même titre que d’autres menaces stratégiques pour leur organisation, avec une compréhension partagée entre le niveau décisionnel et opérationnel.

Une approche collaborative avec le Label « EBIOS RM »

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre.

Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ».

Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité.

Powered by WPeMatico

Édition 2018 de la journée « Cybersécurité des Systèmes industriels » de l’EXERA

exera_logoL’EXERA est l’association des EXploitants d’Équipements de mesure, de Régulation et d’Automatismes. Elle regroupe une trentaine d’adhérents parmi lesquels des industriels et laboratoires de tailles diverses issus de secteurs d’activités variés (énergie, transport, agro-alimentaire, défense, aérospatial, etc.).

L’association compte une quinzaine de commissions techniques couvrant l’ensemble des thématiques intéressant les adhérents de l’association. Parmi les thématiques traitées, l’une d’elles aborde la cybersécurité des systèmes industriels. Créée en mai 2013, cette commission suit les évolutions de l’environnement réglementaire et en informe ses adhérents. Elle assure également une veille du marché des solutions et services de sécurité tout en favorisant le partage d‘expérience entre acteurs impliqués et dont l’ANSSI fait partie.

Sécurité des systèmes industriels : une journée pour faire le point

Face à l’évolution des risques, cette 4e édition de la journée technique  « Cybersécurité des Systèmes industriels » sera justement l’occasion de revenir sur la thématique toujours plus prégnante de la sécurité des systèmes industriels.

Ouvert à tous, l’objectif de cet événement est d’informer les participants sur l’évolution des environnements réglementaire et normatif et de faire le point sur les innovations et évolutions techniques en termes de solutions architecturales, matérielles et logicielles destinées à répondre aux menaces.

L’ANSSI interviendra à ce titre pour présenter la directive Network and Information System Security (NIS) et sa transposition dans le droit national.

 

Powered by WPeMatico

ECSC : retrouvez la sélection finale de l’Equipe France !

ecsc2018_logotransparentChaque équipe doit être composée de 10 joueurs ainsi que 3 remplaçants, âgés de 14 à 25 ans et présélectionnés suite à un challenge organisé au niveau national. Une vingtaine de candidats furent départagés sur la base de leur classement au Wargame public organisé à Paris le 30 juin à l’occasion de la Nuit du hack, ainsi que sur leurs spécialités, en cas d’égalité.

Ils seront donc 10 joueurs à se rendre à Londres, accompagnés par deux entraineurs professionnels de la cybersécurité pour affronter les équipes concurrentes lors de plusieurs séries d’épreuves variées (cryptographie, reverse engineering, recherche de vulnérabilité, etc. ).

 

 

 

Présentation de l’équipe France

Par ordre alphabétique

 

Equipe principale

  • BIICHLÉ Dorian – Antoxyde
  • CHAIGNON Sanson- @chaignc
  • CHARBONNEAU Florian – DrStache
  • DU Paul
  • DUBROCA Tanguy – Sideway
  • MARREC Alan – Maki
  • MAYAN José-Alexandre
  • PICCA Florian – ENOENT
  • THIBAUT Nicolas
  • VAURE Sylvain

 

Remplaçants

  • FILY Erwan – Iptior
  • HAMMEL Mathis
  • KRAFT Romain – Areizen

 

Le challenge européen ECSC

Le challenge européen ECSC, organisée depuis 5 ans par l’ENISA vise à l’émergence des nouveaux talents en s’adressant aux étudiants, avec des profils techniques ou non. Et pour que le spectacle soit complet, des ateliers et des conférences accompagneront la compétition.

Cette édition marquera la première participation de la France à l’événement, organisée et financée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en partenariat avec l’association HZV.

 

 

*Autriche, Allemagne, Suisse, Espagne, Roumanie, Royaume-Uni, Irlande, Grèce, Lichtenstein, Estonie, Chypre, République tchèque, Danemark, Italie, Norvège, France, Pologne, Belgique, Luxembourg , Roumanie 

 

Powered by WPeMatico

L’ANSSI lance un appel à manifestation d’intérêt sur la certification de sécurité de niveaux substantiel et élémentaire

En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI oriente les utilisateurs dans leurs choix de solutions. Elle délivre ainsi des Visas de sécurité permettant d’identifier facilement des solutions fiables et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés.

Pour ce faire, elle dispose d’un :

 

La création de nouveaux schémas de certification de sécurité

Les évolutions des technologies et du marché, la maturité des acteurs dans la perception des risques et les propositions de certification de niveaux substantiel et élémentaire apparaissant dans le projet de règlement de la Commission européenne en matière de certification de sécurité soulignent la nécessité de créer de nouveaux schémas de certification de sécurité.

Ils viendraient compléter les dispositifs actuellement opérés par l’ANSSI, notamment pour certifier des prestataires de service, ou des produits soumis à des exigences de sécurité plus faibles.

Plusieurs acteurs privés ou institutionnels sont susceptibles de se positionner sur ces nouveaux segments. Face à ces évolutions inévitables, il convient que l’ANSSI détermine sa posture, accompagne la mise en place cohérente et ordonnée de ces nouvelles pratiques, et fasse évoluer au besoin le cadre de son activité.

 

Appel à manifestation d’intérêt

L’ANSSI lance un appel à manifestation d’intérêt pour consulter les acteurs qui souhaitent se positionner sur la certification de sécurité de niveaux substantiel  et élémentaire et l’opérer en France.

Objectifs : identifier ces acteurs et recueillir leurs recommandations en matière de :

  • conditions de notification par une autorité nationale, en complément de leur accréditation par le Comité français d’accréditation (COFRAC), en fonction des niveaux ;
  • conditions de rattachement d’un acteur à plusieurs autorités nationales et opportunités de développement international ;
  • identification des activités d’évaluation pertinentes à mener, selon les niveaux, en relation avec les autres activités d’évaluation de conformité qui seraient déjà en vigueur sur les mêmes gammes d’offres ;
  • compétences attendues pour les tests d’évaluation ;
  • mode de supervision des activités permettant de s’assurer d’une homogénéité dans les travaux accomplis, et du traitement adéquat des anomalies ;
  • protection des activités liées à l’évaluation et à la certification de sécurité ;
  • moyens d’harmonisation des méthodes et pratiques d’analyse de risques, d’évaluation et de certification ;
  • accompagnement de la montée en puissance des acteurs par l’ANSSI et l’écosystème existant (CESTI), et détermination des informations pertinentes qui pourraient être échangées (guides, vulnérabilités par exemple) avec l’ANSSI dans le fonctionnement d’un schéma ;
  • outils qui permettraient d’automatiser les activités, et compétences nécessaires pour le développement et l’exploitation de ces outils.

 

Comment contribuer ?

1. Faites-vous connaître
Vous envisagez de développer une activité en lien avec la certification de sécurité ? Vous travaillez pour un organisme de certification ou d’évaluation, vous êtes développeur de bancs de tests d’évaluation de sécurité ?
Faites-vous connaître auprès de l’ANSSI avant le 7 septembre 2018 (contact : philippe.blot[at]ssi.gouv.fr).

 

2. Participez au(x) point(s) d’information
L’ANSSI organisera fin août un point d’information collectif sur les travaux européens en cours, et répondra à toutes vos questions.
Si cela s’avère utile, l’agence en organisera un second fin novembre.

 

3. Transmettez vos recommandations
Vous pourrez transmettre, seuls ou à plusieurs, vos recommandations pour la fin d’année 2018, en rendant si vous le souhaitez un rapport intermédiaire à l’ANSSI.
En février 2019, l’ANSSI vous restituera son analyse, sur la base des recommandations reçues, et les actions qui en découlent.

 

Powered by WPeMatico

Une coopération renforcée entre l’ANSSI et la Direction de la sécurité de l’aviation civile (DSAC)

Pour soutenir l’augmentation continue du trafic aérien, avec des mouvements d’aéronefs et de passagers chaque jour plus nombreux, le secteur du transport aérien se numérise. En conséquence, et à l’instar de l’ensemble des activités technologiques, ce secteur est exposé aux risques numériques. Conscientes de l’importance de ces nouvelles menaces et soucieuses d’y répondre, l’ANSSI et la DSAC renforcent leur collaboration en matière de sécurité numérique.

L’ANSSI, en tant qu’autorité nationale en matière de cybersécurité et de cyberdéfense, répond aux menaces ciblant les autorités publiques et les filières privées, et coordonne en ce sens l’action gouvernementale en matière de protection des systèmes d’information. La DSAC, en tant qu’autorité nationale de surveillance de l’aviation civile, certifie du point de vue de la sécurité et de la sûreté, les opérateurs aériens français sur la base d’une réglementation internationale et européenne. Elle partage à ce titre une responsabilité commune avec l’ANSSI de vérification du niveau de sécurité de certains systèmes d’information, conformément aux réglementations en vigueur.

Leur coopération dans le domaine de la sécurité des systèmes d’information se fonde sur la signature d’une lettre d’intention. Cet accord prévoit un échange régulier d’informations entre les deux organisations concernant les incidents affectant la sécurité des systèmes d’information et un travail d’identification des exigences de sécurité aérienne pour les logiciels et équipements de communication.

Cette signature s’inscrit dans une démarche de coopération de l’ANSSI avec les autorités nationales sectorielles, pour mieux répondre aux enjeux de la sécurité du numérique. Trois actions similaires ont été engagées, avec l’Autorité de contrôle prudentiel en janvier 2018 dans les secteurs de la banque et de l’assurance, avec l’Autorité des marchés financiers en février 2018 et avec l’Établissement public de sécurité ferroviaire en mars 2018.

cooperation_anssi_dsac

 

Powered by WPeMatico