Infos sur les SSL et la sécurité des réseaux

Latest Posts

« Shellshock », vulnérabilité critique du shell GNU Bash

L’Agence nationale de la sécurité des systèmes d’information invite les administrateurs système et responsables informatiques à prendre connaissance du Bulletin d’alerte CERT-FR relatif à la vulnérabilité CVE-2014-6271, dite « Shellshock », découverte le mercredi 24 septembre.

La vulnérabilité concerne de nombreux équipements (serveurs, routeurs, objets connectés) et les environnements Linux, Mac OS X et Windows (émulateur Cygwin). Des codes d’exploitation de cette vulnérabilité ont été rendus publics, ce qui laisse à craindre qu’ils soient utilisés à des fins malveillantes.

Le Bulletin d’alerte détaille les contre-mesures à déployer dès que possible. Il sera mis à jour au fur et à mesure de la mise à disposition de correctifs par les éditeurs.

Plus d’information sur le site du CERT-FR : http://www.cert.ssi.gouv.fr/site/CE…

Powered by WPeMatico

L'Observatoire de la Résilience de l'Internet français publie son Rapport 2013

Le rapport de l’Observatoire de la résilience, rédigé par l’Agence nationale de la sécurité des systèmes d’information avec la collaboration de l’Afnic, fournit chaque année une analyse de l’état de l’Internet français à travers une étude approfondie des protocoles BGP et DNS*. Ces deux protocoles sont à l’origine de la quasi-totalité des requêtes transitant sur Internet.

Au regard des conclusions de l’étude, la situation de l’Internet français demeure satisfaisante. L’étude 2013 a mis en évidence qu’un AS** français qui possède deux fournisseurs pourra joindre le reste de l’Internet en cas de panne de n’importe quel autre AS. En ce qui concerne le DNS, la concentration des hébergeurs français est très forte, ce qui se reflète directement dans les résultats de l’étude.

Fort de ces conclusions, l’Observatoire encourage les acteurs de l’Internet en France à s’approprier les bonnes pratiques admises pour BGP et DNS et émet les recommandations suivantes :

- déployer IPv6 afin d’anticiper les problèmes opérationnels futurs et de faciliter la montée en compétences,

- bien répartir les serveurs DNS faisant autorité afin d’améliorer la robustesse de l’infrastructure,

- tester DNSSEC (DNS Security Extensions) et le déployer pour lutter contre les attaques par pollution de cache,

- déclarer systématiquement les objets route, et les maintenir à jour, afin de faciliter la détection et le filtrage d’annonces BGP illégitimes,

- utiliser la certification RPKI (Resource Public Key Infrastructure) et déclarer des ROA (Route Origin Authorizations),

- appliquer les bonnes pratiques BGP*** au niveau des interconnexions entre opérateurs.

L’ANSSI encourage les acteurs de l’Internet à s’approprier ces recommandations pour les appliquer au mieux et au plus tôt.

Le Rapport 2013 est disponible à l’adresse : http://ssi.gouv.fr/observatoire

PDF - 426.9 ko
Communiqué de presse : Résilience de l’Internet – Rapport 2013
PDF – 426.9 ko
PDF - 1.8 Mo
Résilience de l’Internet – Rapport 2013
PDF – 1.8 Mo
* BGP (Border Gateway Protocol) permet d’acheminer des données à l’aide d’annonces de routage. Le DNS (Domain Name System) fournit, quant à lui, la correspondance entre un nom de domaine et une adresse IP.

** Un système autonome (Autonomous System, AS) est un réseau ou un ensemble de réseaux informatiques intégrés à Internet et gérés par une même entité (fournisseur d’accès, hébergeur, entreprise, administration).

*** Voir : http://www.ssi.gouv.fr/IMG/pdf/guid… (ANSSI 2013).

Powered by WPeMatico

Journée thématique de l'OzSSI Sud-Est le 16 octobre à Clermont-Ferrand

L’Observatoire zonal de la Sécurité des Systèmes d’Information Sud-Est organise cette conférence à l’Université Blaise Pascal. Inscrivez-vous avant le 10 octobre !

Animée par des experts du domaine de la cybersécurité, cette journée permettra d’aborder une large palette de thèmes :

- L’homologation de sécurité ne serait-elle pas le principal objectif recherché ? (ANSSI)

- Les Privacy Impact Assesment (PIA) et la future méthode de la CNIL (CNIL)

- Les violations de données (CNIL)

- Les audits SSI (par un des prestataires en cours de qualification par l’ANSSI)

- Sécurisation des smartphones et des tablettes, présentation de la gamme Cryptosmart d’ERCOM (ERCOM)

- Retour d’expérience de mise en œuvre d’une Politique SSI (Pierre-Philippe Grimaldi, consultant-formateur SSI)

- Gestion des identités (SOLUCOM)

- Comment prouver la sécurité d’un protocole cryptographique ? (Pascal Lafourcade, chaire industrielle sur la confiance numérique)

La participation se fait uniquement par inscriptions à l’OzSSI Sud-Est ozssi-zdse@interieur.gouv.fr avant le 10 octobre en précisant les noms, fonctions et coordonnées des personnes présentes ainsi que leur présence (journée entière, ou seulement matinée ou après-midi).

Adresse :
Maison des Sciences de l’Homme
4, rue Ledru 63057 Clermont-Ferrand

Powered by WPeMatico

Recommandations de sécurité relatives à Active Directory

Destinés aux administrateurs et RSSI, ce document a pour objectif de fournir des recommandations et des procédures permettant la sécurisation d’un annuaire Active Directory (AD). AD est un annuaire introduit par Windows 2000 Server. Son implémentation permet de centraliser des informations relatives aux utilisateurs et aux ressources d’une entreprise en fournissant des mécanismes d’identification et d’authentification tout en sécurisant l’accès aux données.

Powered by WPeMatico

Le Premier ministre dote l'Etat de sa première Politique globale de sécurité des systèmes d'information (PSSIE)

Portée par une circulaire du Premier ministre signée le 17 juillet 2014, la PSSIE fixe les règles de protection applicables aux systèmes d’information de l’État. Ce document est l’aboutissement de travaux pilotés par l’ANSSI qui s’appuient sur l’expérience des participants ministériels et de l’Agence en matière de prévention et de réaction aux attaques informatiques.

Essentiels à l’action publique, les systèmes d’information sont porteurs d’efficacité, mais aussi de risques : menaces d’exfiltration de données confidentielles, d’atteinte à la vie privée des usagers, voire de sabotage des systèmes d’information. Afin de prendre en compte ces risques, le Premier ministre a défini une politique volontariste, mais également pragmatique par laquelle l’État affiche sa volonté de se montrer exemplaire en matière de cybersécurité.

La PSSIE décline dix principes fondamentaux portant sur le choix d’éléments de confiance pour construire les systèmes d’information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Parmi ces principes, la circulaire met en exergue la nécessité pour les administrations de l’État de recourir à des produits et à des services qualifiés par l’ANSSI ainsi qu’à un hébergement sur le territoire national de leurs données les plus sensibles.

Chaque ministère est désormais responsable de l’application de la PSSIE qui entre en vigueur immédiatement. Celle-ci a également été conçue pour constituer une base méthodologique pour tout organisme ou institution, extérieur à l’État, ayant à élaborer un document de cette nature.

Plus d’information : La Politique de sécurité des systèmes d’information de l’Etat

Mise à jour du 29/08 : PSSIE au format PDF

PDF - 971.6 ko
Politique de Sécurité des Systèmes d’Information de L’état
PDF – 971.6 ko

Powered by WPeMatico

L'ANSSI publie la version anglaise des mesures visant à renforcer la cybersécurité des systèmes industriels

Depuis février 2013, les acteurs industriels (utilisateurs, équipementiers, intégrateurs, associations et groupements d’industriels, etc.) et étatiques ont constitué un groupe de travail piloté par l’ANSSI pour apporter des réponses concrètes et pragmatiques à la sécurisation des infrastructures industrielles.

Les résultats des premiers travaux se présentent sous la forme de deux documents publiés le 21 janvier 2014 :
- le premier destiné à proposer une méthode de classification des systèmes industriels et les mesures principales pour en renforcer la cybersécurité ;
- le deuxième détaillant et complétant les principales mesures.

Afin de rendre ces travaux accessibles au plus grand nombre, l’ANSSI met à disposition une traduction anglaise de ces deux guides.

Contact : systemes_industriels [at] ssi.gouv.fr

Powered by WPeMatico

ANSSI key measures to improve the cybersecurity of industrial control systems

Since February 2013, industrial stakeholders (final users, vendors, integrators, professional organizations, etc.) and French governmental entities have been working together as part of a working group, lead by ANSSI, which aims at elaborating concrete and practical proposals to improve the cybersecurity of critical infrastructures.

The first results of this working group are the following two documents:
- The first one describes a classification method for industrial control systems and the key measures to improve their cybersecurity.
- The second one gives a more in-depth description of applicable cybersecurity measures.

These documents, which do not have the force of law, will serve as a basis for elaborating the rules required by French law 2013-1168 of December 18th, 2013. To that end, the upcoming concerted work by critical infrastructure operators, ministries and other relevant stakeholders may rely on the proposed methodology and list of measures in order to identify critical systems and elaborate the applicable security rules.

PDF - 1.5 Mb
Classification Method and Key Measures
PDF – 1.5 Mb
PDF - 1.5 Mb
Detailed Measures
PDF – 1.5 Mb

The original version, in French, is available here.

Powered by WPeMatico