Infos sur les SSL et la sécurité des réseaux

Latest Posts

Guillaume POUPARD, directeur général de l'ANSSI, ouvre les Assises de la sécurité 2014

« Oser dire oui ! ». Dans un contexte où la menace continue à se développer, le discours de Guillaume POUPARD a ouvert ces 14es Assises en s’inscrivant dans la continuité des actions entreprises par son prédécesseur. Le directeur général de l’ANSSI a insisté sur la volonté de l’ANSSI de travailler « collectivement » avec l’ensemble des acteurs, publics et privés. Il a également affirmé son ambition de prendre en compte tous les aspects de la cybersécurité : technique et opérationnelle, publique et privée, au profit des grandes entités, des PME-PMI comme des citoyens.

En cette période charnière entre la promulgation d’articles en faveur de la cybersécurité votés dans le cadre de la Loi de programmation militaire et la publication des décrets et arrêtés qui en préciseront les modalités d’application, Guillaume POUPARD a rendu hommage à ces partenaires qui ont osé dire « oui » à la mise en place concrète d’une cyberdéfense ambitieuse pour la France. Il a rappelé les avancées législatives et en a tracé les perspectives, dans un souci de concertation et d’équilibre. Il a notamment insisté sur la nécessité de mettre en place dans le temps des mesures techniques et organisationnelles à la fois « efficaces » et « soutenables financièrement ».

Le directeur général a poursuivi son intervention par la présentation des avancées du plan « Cybersécurité » de la nouvelle France industrielle. La France doit pouvoir s’appuyer sur une industrie de la cybersécurité associant confiance, performance et pérennité dans un contexte de forte compétition internationale. La mise en place d’une politique industrielle à la hauteur de ces enjeux constitue une « nécessité », un « enjeu de souveraineté » et une « opportunité ». Elle doit notamment s’appuyer sur un développement de la recherche et de la formation, sur la « qualification » de produits et de prestataires ainsi que sur une approche coordonnée des marchés à l’export par l’ensemble des acteurs.

PDF - 326.4 ko
Communiqué de presse – Assises de la sécurité 2014
PDF – 326.4 ko

Powered by WPeMatico

« Shellshock », vulnérabilité critique du shell GNU Bash

L’Agence nationale de la sécurité des systèmes d’information invite les administrateurs système et responsables informatiques à prendre connaissance du Bulletin d’alerte CERT-FR relatif à la vulnérabilité CVE-2014-6271, dite « Shellshock », découverte le mercredi 24 septembre.

La vulnérabilité concerne de nombreux équipements (serveurs, routeurs, objets connectés) et les environnements Linux, Mac OS X et Windows (émulateur Cygwin). Des codes d’exploitation de cette vulnérabilité ont été rendus publics, ce qui laisse à craindre qu’ils soient utilisés à des fins malveillantes.

Le Bulletin d’alerte détaille les contre-mesures à déployer dès que possible. Il sera mis à jour au fur et à mesure de la mise à disposition de correctifs par les éditeurs.

Plus d’information sur le site du CERT-FR : http://www.cert.ssi.gouv.fr/site/CE…

Powered by WPeMatico

L'Observatoire de la Résilience de l'Internet français publie son Rapport 2013

Le rapport de l’Observatoire de la résilience, rédigé par l’Agence nationale de la sécurité des systèmes d’information avec la collaboration de l’Afnic, fournit chaque année une analyse de l’état de l’Internet français à travers une étude approfondie des protocoles BGP et DNS*. Ces deux protocoles sont à l’origine de la quasi-totalité des requêtes transitant sur Internet.

Au regard des conclusions de l’étude, la situation de l’Internet français demeure satisfaisante. L’étude 2013 a mis en évidence qu’un AS** français qui possède deux fournisseurs pourra joindre le reste de l’Internet en cas de panne de n’importe quel autre AS. En ce qui concerne le DNS, la concentration des hébergeurs français est très forte, ce qui se reflète directement dans les résultats de l’étude.

Fort de ces conclusions, l’Observatoire encourage les acteurs de l’Internet en France à s’approprier les bonnes pratiques admises pour BGP et DNS et émet les recommandations suivantes :

- déployer IPv6 afin d’anticiper les problèmes opérationnels futurs et de faciliter la montée en compétences,

- bien répartir les serveurs DNS faisant autorité afin d’améliorer la robustesse de l’infrastructure,

- tester DNSSEC (DNS Security Extensions) et le déployer pour lutter contre les attaques par pollution de cache,

- déclarer systématiquement les objets route, et les maintenir à jour, afin de faciliter la détection et le filtrage d’annonces BGP illégitimes,

- utiliser la certification RPKI (Resource Public Key Infrastructure) et déclarer des ROA (Route Origin Authorizations),

- appliquer les bonnes pratiques BGP*** au niveau des interconnexions entre opérateurs.

L’ANSSI encourage les acteurs de l’Internet à s’approprier ces recommandations pour les appliquer au mieux et au plus tôt.

Le Rapport 2013 est disponible à l’adresse : http://ssi.gouv.fr/observatoire

PDF - 426.9 ko
Communiqué de presse : Résilience de l’Internet – Rapport 2013
PDF – 426.9 ko
PDF - 1.8 Mo
Résilience de l’Internet – Rapport 2013
PDF – 1.8 Mo
* BGP (Border Gateway Protocol) permet d’acheminer des données à l’aide d’annonces de routage. Le DNS (Domain Name System) fournit, quant à lui, la correspondance entre un nom de domaine et une adresse IP.

** Un système autonome (Autonomous System, AS) est un réseau ou un ensemble de réseaux informatiques intégrés à Internet et gérés par une même entité (fournisseur d’accès, hébergeur, entreprise, administration).

*** Voir : http://www.ssi.gouv.fr/IMG/pdf/guid… (ANSSI 2013).

Powered by WPeMatico

Journée thématique de l'OzSSI Sud-Est le 16 octobre à Clermont-Ferrand

L’Observatoire zonal de la Sécurité des Systèmes d’Information Sud-Est organise cette conférence à l’Université Blaise Pascal. Inscrivez-vous avant le 10 octobre !

Animée par des experts du domaine de la cybersécurité, cette journée permettra d’aborder une large palette de thèmes :

- L’homologation de sécurité ne serait-elle pas le principal objectif recherché ? (ANSSI)

- Les Privacy Impact Assesment (PIA) et la future méthode de la CNIL (CNIL)

- Les violations de données (CNIL)

- Les audits SSI (par un des prestataires en cours de qualification par l’ANSSI)

- Sécurisation des smartphones et des tablettes, présentation de la gamme Cryptosmart d’ERCOM (ERCOM)

- Retour d’expérience de mise en œuvre d’une Politique SSI (Pierre-Philippe Grimaldi, consultant-formateur SSI)

- Gestion des identités (SOLUCOM)

- Comment prouver la sécurité d’un protocole cryptographique ? (Pascal Lafourcade, chaire industrielle sur la confiance numérique)

La participation se fait uniquement par inscriptions à l’OzSSI Sud-Est ozssi-zdse@interieur.gouv.fr avant le 10 octobre en précisant les noms, fonctions et coordonnées des personnes présentes ainsi que leur présence (journée entière, ou seulement matinée ou après-midi).

Adresse :
Maison des Sciences de l’Homme
4, rue Ledru 63057 Clermont-Ferrand

Powered by WPeMatico

Recommandations de sécurité relatives à Active Directory

Destinés aux administrateurs et RSSI, ce document a pour objectif de fournir des recommandations et des procédures permettant la sécurisation d’un annuaire Active Directory (AD). AD est un annuaire introduit par Windows 2000 Server. Son implémentation permet de centraliser des informations relatives aux utilisateurs et aux ressources d’une entreprise en fournissant des mécanismes d’identification et d’authentification tout en sécurisant l’accès aux données.

Powered by WPeMatico

Le Premier ministre dote l'Etat de sa première Politique globale de sécurité des systèmes d'information (PSSIE)

Portée par une circulaire du Premier ministre signée le 17 juillet 2014, la PSSIE fixe les règles de protection applicables aux systèmes d’information de l’État. Ce document est l’aboutissement de travaux pilotés par l’ANSSI qui s’appuient sur l’expérience des participants ministériels et de l’Agence en matière de prévention et de réaction aux attaques informatiques.

Essentiels à l’action publique, les systèmes d’information sont porteurs d’efficacité, mais aussi de risques : menaces d’exfiltration de données confidentielles, d’atteinte à la vie privée des usagers, voire de sabotage des systèmes d’information. Afin de prendre en compte ces risques, le Premier ministre a défini une politique volontariste, mais également pragmatique par laquelle l’État affiche sa volonté de se montrer exemplaire en matière de cybersécurité.

La PSSIE décline dix principes fondamentaux portant sur le choix d’éléments de confiance pour construire les systèmes d’information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Parmi ces principes, la circulaire met en exergue la nécessité pour les administrations de l’État de recourir à des produits et à des services qualifiés par l’ANSSI ainsi qu’à un hébergement sur le territoire national de leurs données les plus sensibles.

Chaque ministère est désormais responsable de l’application de la PSSIE qui entre en vigueur immédiatement. Celle-ci a également été conçue pour constituer une base méthodologique pour tout organisme ou institution, extérieur à l’État, ayant à élaborer un document de cette nature.

Plus d’information : La Politique de sécurité des systèmes d’information de l’Etat

Mise à jour du 29/08 : PSSIE au format PDF

PDF - 971.6 ko
Politique de Sécurité des Systèmes d’Information de L’état
PDF – 971.6 ko

Powered by WPeMatico