Infos sur les SSL et la sécurité des réseaux

Latest Posts

Evolutions concernant les processus de certification de sécurité

La mise en place de ce processus s’inscrit tant dans l’intérêt des bénéficiaires, qui ont l’assurance de choisir des solutions robustes dans le temps, que dans celui des offreurs, qui peuvent désormais démontrer leur capacité à maintenir un bon niveau de sécurité.

Par défaut, la date de validité des certificats Critères Communs est de 5 ans, mais la surveillance permettra son extension lorsque les résultats du processus y seront favorables. Dans le cas contraire, les certificats sont archivés et restent accessibles sur le site web de l’ANSSI, à partir de la liste des produits certifiés Critères Communs.

Cette action du centre de certification national permet d’assurer la cohérence avec les dispositions prises par le SOG-IS et le Cybersecurity Act, dont les mesures visent également à maintenir le niveau de sécurité des produits en prenant en compte les évolutions de la menace et des techniques d’attaques.

Afin de s’assurer de la cohérence de cette démarche vis-à-vis de son autre processus de certification, l’ANSSI envisage d’étendre cette approche aux certificats CSPN (certification de sécurité de premier niveau – schéma national) qui pourraient faire l’objet d’un archivage 3 ans après leur délivrance.

Powered by WPeMatico

Collectivités territoriales : face à la menace, saisissez-vous des enjeux cyber

Risque cyber : toutes les collectivités sont concernées

L’année 2020 a marqué une recrudescence des attaques par rançongiciel. Métropoles, communautés d’agglomération, petites communes… Toutes les collectivités, quelle que soit leur taille, sont concernées par ces attaques aux conséquences parfois dévastatrices. Interruption des services administratifs, inaccessibilité des documents financiers ou administratifs, fuites de données à caractère personnel, atteinte à la réputation, risques juridiques…

Le volet cybersécurité de France Relance

À travers le volet cybersécurité du plan France Relance, lancé en septembre 2020, la sécurité des collectivités s’impose comme un enjeu prioritaire. Il s’agit, par des investissements humains et financiers, mais également par la simplification du cadre juridique de cybersécurité, de renforcer le niveau de sécurité des administrations, des collectivités territoriales, des établissements de santé et des organismes au service des citoyens afin d’éviter que de telles attaques se multiplient… Car la cybersécurité est l’affaire de tous et les collectivités territoriales en sont des acteurs de premier plan !

Infographie – Les collectivités face aux enjeux de cybersécurité

Powered by WPeMatico

La plateforme du MOOC SecNumacadémie de l’ANSSI va évoluer

La nouvelle plateforme du MOOC SecNumacadémie sera effective au 1er juillet 2021. À cette fin, il est demandé à tous les apprenants et toutes les apprenantes de terminer tous leurs modules en cours et de télécharger leur attestation de réussite avant le 30 juin 2021.

À partir du 1er juillet 2021, le MOOC SecNumacadémie sera disponible gratuitement sur sa nouvelle plateforme pour une durée de 3 ans, à savoir jusqu’au 30 juin 2024.

Powered by WPeMatico

Levée de la mise sous observation des produits Stormshield

Suite aux investigations menées après un incident de sécurité survenu chez Stormshield, à la lumière des éléments techniques fournis ainsi que des mesures prises par l’industriel, l’ANSSI a décidé de lever la mise sous observation de la qualification des produits de l’entreprise. Les qualifications concernées retrouvent ainsi le niveau de recommandation qu’elles avaient avant la détection de l’incident.

Ainsi, la liste des produits et services qualifiés de l’ANSSI a été mise à jour (https://www.ssi.gouv.fr/liste-produits-et-services-qualifies/).

Powered by WPeMatico

Le Conseil de l’Economie et de l’Information du Digital (CEIDIG) édite un nouveau guide pour les dirigeantes et dirigeants

Le contexte sanitaire actuel impliquant la généralisation du travail à distance accroît le risque cyber, qui couvre désormais de nombreux aspects de la vie des organisations. En 2020, le nombre d’attaques de type « rançongiciel » a par exemple été multiplié par 4. L’évolution des cybermenaces pèse ainsi de plus en plus sur les entreprises et sur l’économie dans son ensemble.
Partant de ce constat, le guide « L’Essentiel de la sécurité numérique pour les dirigeants et les dirigeantes », deuxième édition du guide du même nom publié en 2017, s’attache à dresser un constat sur la réalité du risque et à proposer de nombreux conseils concrets pour y faire face. Esquissant un ensemble de bonnes pratiques à destination des membres de COMEX, il rappelle également l’importance de sensibiliser l’ensemble des salariés au risque cyber alors que 60% des cyberattaques sont dues à des comportements inadéquats.
En plus de l’ANSSI, les contributeurs à l’élaboration de ce guide sont l’AMRAE, les Assises de la Cybersécurité, le CESIN, la Conférence des Grandes Écoles, la CPME, Croissance Plus, cybermalveillance.gouv.org, le Medef, Orange Cyberdéfense, Syntec Numérique.

Soirée de lancement

La soirée de lancement du 1er avril s’inscrit dans l’ambition de faire monter en compétence l’écosystème général. Comme l’exprime Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) : « Je n’encouragerai jamais assez les décideurs à se pencher sur ce sujet d’apparence austère et anxiogène car eux seuls sont à même de prendre in fine les décisions structurantes à la hauteur des risques numériques. »

Consultez le guide

Powered by WPeMatico

L’ANSSI et la DGEFP, en collaboration avec l’AFPA, lancent une enquête sur les professionnels de la cybersécurité

Dans la continuité des travaux autour du Panorama des métiers de la cybersécurité, l’ANSSI et la DGEFP (Ministère du Travail, de l’Emploi et de l’Insertion) s’associent pour proposer une enquête sur les professionnels exerçant un métier dans le domaine de la sécurité numérique. Cette enquête, confiée à l’Afpa dans le cadre de sa mission nationale de service public sur la vision prospective des métiers, a trois objectifs principaux :

  • Renforcer la connaissance des professionnels qui exercent dans les métiers de la cybersécurité ;
  • Identifier leurs trajectoires professionnelles et recueillir leurs perceptions de l’exercice de ce métier ;
  • Mieux connaitre les environnements d’emploi des professionnels de la cybersécurité et leurs secteurs d’activité.

Les résultats de cette enquête valoriseront les professionnels exerçant un métier de la sécurité numérique et apporteront à termes des indications sur l’emploi et la formation dans ce domaine. Les résultats de cette enquête, qui ne recueille aucune donnée personnelle, seront restitués à la collectivité sous forme agrégée.

Vous êtes un professionnel de la cybersécurité, votre parcours nous intéresse. Prenez le temps (6 minutes) de contribuer à cette enquête : https://s1.sphinxonline.net/surveyserver/s/PROSPECTIVE/IntroQuestCyber/questionnaire.htm

Powered by WPeMatico

FRANCE RELANCE et cybersécurité – Protéger l’Etat et les collectivités territoriales

LES OFFRES DE SERVICE

L’ANSSI propose aux acteurs publics volontaires plusieurs offres de service :

  • un dispositif de sécurisation visant à cofinancer des projets et des Parcours cybersécurité de systèmes d’information existants ;
  • un accompagnement financier et méthodologique à la création de centres régionaux de réponse à des incidents cyber (CSIRT).

La démarche de l’ANSSI est d’élever significativement et durablement le niveau de cybersécurité des bénéficiaires en leur donnant l’impulsion financière nécessaire en vue d’un investissement durable.

LES BENEFICIAIRES

Le budget de 136 millions d’euros sera réparti au profit de différentes priorités :

  • 60 M€ au profit des collectivités territoriales, via des parcours de cybersécurité, le co-financement de projets et le soutien à la création des CSIRT régionaux ;
  • 25 M€ au profit du secteur de la santé pour la sécurisation des établissements de santé, du ministère et des organismes qui en dépendent
  • 30 M€ au profit des ministères et organismes qui en dépendent, hors secteur de la santé, notamment via le co-financement de projets de sécurisation des réseaux de l’État ;
  • 21M€ pour le développement et le déploiement mutualisé des capacités nationales de cybersécurité.

Le volet cybersécurité de France Relance se fonde sur l’implication et le volontariat de ses bénéficiaires, et leur capacité à poursuivre les actions dans la durée. Il donne accès à chaque acteur à un accompagnement adapté à son niveau de maturité.

« Il est plus que jamais urgent d’agir concrètement et collectivement en matière de sécurité numérique. Le plan France Relance est une belle opportunité pour changer la donne, pour donner une impulsion nouvelle là où c’est nécessaire, pour protéger durablement et au juste niveau ce qui doit l’être. L’État, les collectivités territoriales, les établissements de santé, les organismes au service des citoyens sont autant d’acteurs qui pourront en bénéficier avec l’aide de l’ANSSI » explique Guillaume Poupard, directeur général de l’ANSSI.

Tout savoir sur le volet cybersécurité de France Relance

Powered by WPeMatico

L’ANSSI renforce la responsabilité des acteurs privés aux côtés de l’OCDE

Les deux rapports, soumis à validation en novembre 2020, viennent compléter les travaux de l’OCDE (Organisation de coopération et de développement économique) destinés à renforcer la sécurité et la confiance dans les technologies de l’information et des communications, et notamment sa Recommandation de 2015 sur la gestion du risque numérique via le renforcement de la sécurité des produits et services et l’amélioration de la gestion responsable des vulnérabilités.

Volet « renforcement de la sécurité des produits et services numériques »

Le rapport sur la sécurité numérique des produits et services couvre le marché des « produits intelligents », aujourd’hui considéré comme défaillant. L’une des principales recommandations mise en exergue soutient l’adoption de mesures réglementaires ex-ante de haut niveau afin d’élever la sécurité globale du secteur. Cette piste doit d’ailleurs faire l’objet d’un examen au sein de l’Union européenne, comme l’a annoncé la Commission européenne dans sa stratégie de cybersécurité dévoilée en décembre 2020, à la suite notamment des discussions menées entre Etats membres sur la sécurité de l’Internet des objets.

Volet « gestion responsable des vulnérabilités »

Ce second rapport s’attelle à identifier des moyens pour restreindre la fenêtre d’exposition d’une vulnérabilité, de sa découverte à sa remédiation. Le GTSEN s’est efforcé de clarifier les notions, distinctes, de gestion et divulgation responsables des vulnérabilités. Les politiques de chasses aux bogues (bug bounty) devraient notamment être accompagnées de mesures organisationnelles et de capacités adéquates pour gérer la remontée de vulnérabilités. Cet axe d’amélioration a également été identifié par la Commission européenne, qui a proposé, dans son projet de révision de la directive NIS présenté en fin d’année 2020, plusieurs mesures en ce sens.

Un an après sa mise en place, le GTSEN continue ses travaux : un troisième axe de travail sur la « réponse responsable » a été initié en décembre 2020, avec la constitution d’un groupe d’experts qui devrait de nouveau se réunir prochainement.

Powered by WPeMatico

Tentez votre chance au France Cybersecurity Challenge (FCSC) et gagnez un ticket pour l’Equipe France !

Challenge 100% ANSSI, le FCSC permet à tous les joueurs de tester leurs compétences dans une grande variété d’épreuves réalisées par les experts de l’ANSSI. Pour les joueurs de 14 à 26 ans c’est aussi une opportunité d’intégrer l’équipe nationale qui représentera la France lors de l’édition 2021 de la compétition européenne.

Participez à la compétition sur le site du FCSC !
Les inscriptions seront ouvertes prochainement à cette adresse : https://france-cybersecurity-challenge.fr/

La compétition nationale

Comme l’an dernier, deux modalités d’inscription pour participer au FCSC :

  • Pour les joueuses et joueurs de 14 ans à 26 ans qui veulent tenter leur chance d’intégrer l’équipe France et participer à l’European cybersecurity challenge (ECSC) : catégorie junior et senior. En raison de l’annulation de la compétition européenne en 2020 suite à la crise sanitaire, l’âge maximal de participation a été relevé d’un an.
  • Pour tous les autres passionnés : hors catégorie

Pendant les dix jours de compétition du FCSC, les joueurs se retrouveront confrontés à une quarantaine d’épreuves imaginées par des experts ANSSI. Crypto, Reverse, Pwn, Web, Forensics, Hardware, Algorithmique: pour accéder au podium, les participants devront prouver leur habileté dans des catégories variées, tant en termes de difficulté que de compétences.

Ces épreuves seront mises en ligne progressivement durant la compétition, et vous aurez la possibilité d’y participer à tout moment. Si vous jouez dans la catégorie « senior », des write-ups vous seront demandés avant la fin du CTF, en anglais. Si vous jouez dans la catégorie « junior », vous pouvez les rédiger en français ou en anglais.

Bonus : des points supplémentaires seront attribués aux joueurs ayant résolu toutes les épreuves d’une catégorie. Les modalités seront précisées au lancement de la compétition.

Rendez-vous du 23 avril 15h au 3 mai 18h !

En raison de l’annulation de la compétition européenne en 2020 suite à la crise sanitaire, l’âge maximal de participation a été relevé d’un an.

CATÉGORIE JUNIOR
  • Etre né(e)s en 2007, 2006, 2005, 2004, 2003, 2002, 2001 ou 2000
  • Etre de nationalité française
  • Candidater pour intégrer l’Equipe France et participer à l’ECSC
CATÉGORIE SENIOR
  • Etre né(e)s en 1999, 1998, 1997, 1996 ou 1995
  • Etre de nationalité française
  • Candidater pour intégrer l’Equipe France et participer à l’ECSC
HORS CATÉGORIE
  • Si vous n’êtes pas éligibles pour une question d’âge
  • Si vous n’êtes pas de nationalité française
  • Si vous ne souhaitez pas candidater pour intégrer l’Equipe France et participer à l’ECSC

La sélection de l’Equipe France

A l’issue de la compétition nationale, les meilleurs joueurs (top 10 junior, top 10 senior et top 3 en Crypto, Reverse, Pwn, Web, Hardware) seront reçus en entretien par nos coachs afin de sélectionner l’Equipe France, qui défendra ses couleurs du 28 septembre au 1er octobre 2021 à Prague si l’ECSC est maintenu.

Les candidat(e)s retenu(e)s seront ensuite conviés à un entraînement fin août, dont les modalités peuvent être amenées à évoluer en raison de la l’évolution incertaine de la crise sanitaire. Si tel est le cas, les participant(e)s en seront rapidement informé(e)s.

Le calendrier

  • Compétition nationale : du 23 avril au 3 mai 2021
  • Sélection de l’Equipe France : 15 mai – 30 juin 2021
  • Annonce de l’Equipe France : 5 juillet 2021
  • Stage d’entrainement de l’équipe à Paris : fin août (date à venir)
  • ECSC à Prague : 28 septembre au 1er octobre 2021

Règlement du France Cybersecurity Challenge : à venir prochainement

Pour suivre au plus près toutes les étapes de la compétition, rejoignez le salon public qui rassemble la communauté française des joueurs de la compétition sur Discord. Et pour vous entrainer dès aujourd’hui, retrouvez les épreuves des précédentes éditions sur le GitHub de l’ANSSI !

Powered by WPeMatico

Publication du référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID)

Qu’est-ce que la vérification d’identité à distance ?

Une vérification d’identité à distance possède la même finalité qu’une vérification d’identité en face-à-face physique. A ce titre, un service de vérification d’identité à distance permet de vérifier que le titre d’identité présenté par l’utilisateur est authentique et que l’utilisateur en est le détenteur légitime.

La principale menace lors d’une vérification d’identité, qu’elle ait lieu en face-à-face ou à distance, est l’usurpation d’identité. Un service de vérification d’identité à distance est ainsi exposé aux mêmes risques qu’une vérification d’identité en présentiel, mais également, de par sa nature, à des risques spécifiques (manipulation numérique des images (deepfakes), injection de données frauduleuses, tentatives répétées et massives d’usurpation, utilisation de masques…).

Une première version du référentiel PVID

Pour répondre à ces risques, l’ANSSI a élaboré un ensemble de règles et de recommandations rassemblées dans le référentiel PVID. Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé.

L’élaboration de ce référentiel s’inscrit dans le cadre de travaux menés en collaboration avec la direction générale du Trésor (DGT) pour la certification des services d’entrée en relation d’affaires à distance au titre du décret n° 2020-118. Au-delà de ce besoin sectoriel spécifique, ce référentiel constitue le fondement du schéma unifié d’évaluation des services de vérification d’identité à distance, quel que soit le niveau de garantie (substantiel et élevé) et quel que soit le cadre réglementaire. Les services de confiance et les moyens d’identification électronique recourant à une vérification d’identité à distance devront donc s’y conformer.

Ainsi, le présent référentiel a vocation à permettre :

  • la certification au titre du décret n° 2020-118 des services d’entrée en relation d’affaires à distance lorsqu’ils sont mis en œuvre par des organismes assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
  • la qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance recourant à une vérification d’identité à distance ;
  • la certification au titre de l’article L102 du Code des postes et des communications électroniques des moyens d’identification électronique, pour les niveaux de garantie substantiel et élevé, recourant à une vérification d’identité à distance.

Ouverture prochaine du dispositif

Parfaitement consciente des attentes du secteur en la matière et de l’impact de cette nouvelle activité d’évaluation, l’ANSSI se prépare avec les centres d’évaluation candidats en vue de l’ouverture prochaine du dispositif.

Celui-ci pourra être considéré comme pleinement opérationnel dès le 1er avril 2021. En effet, en complément du présent référentiel, un ensemble de documents formant le schéma de certification est nécessaire à la prise en compte des demandes de certification. Une liste des centres d’évaluation et le processus à suivre par les candidats en vue d’une certification seront également publiés d’ici cette date.

S’appuyant sur les exigences du référentiel et sur l’arrêté qui sera publié au 1er avril 2021, ces documents (formulaires, procédures, etc.) permettront aux prestataires souhaitant soumettre leurs services une évaluation de la conformité de formaliser leurs demandes auprès de l’ANSSI. Enfin, l’ANSSI invite les organismes qui souhaiteraient procéder à l’évaluation de la conformité des prestataires de vérification d’identité à distance par rapport à ce référentiel d’exigences à la contacter par courriel à l’adresse suivante : commentaires-pvid [at] ssi.gouv.fr

Powered by WPeMatico