Extraits newletter 2011 08 PDF Stampa E-mail

Il tuo browser potrebbe non supportare la visualizzazione di questa immagine.

Bulletin n° 8 / 2011

> Actualité de l’association
> Rédaction du rapport 2011 et Assemblée des adhérents

> Comme vous le savez, trois « livrets » sur la Sécurité et sur la Continuité de service sont en cours d’élaboration par nos membres de BNP Paribas Milan, d’ICCREA, d’Intesa, de SIA et d’Unicredit, avec la participation de nos adhérents de Monte dei Paschi et de BSI.

> Une session de travail a été programmée pour la préparation du rapport ANSSAIF 2011, qui inclura les enquêtes réalisées au cours de l’année et les trois « livrets » mentionnés. Les différents groupes de projet feront un point d’avancement et solliciteront la participation des adhérents présents. Chaque présentation sera suivie d’un débat. Les travaux seront introduits par un exposé du le Dr Paolo Campobasso.

> Revue Information Security

> Rappelons les accords passés avec BSI, qui prévoient une remise de 30 % sur les formations dispensées en Italie, et de 50 % sur l’abonnement à la revue Information Security, publiée par EDISEF, dont une section est réservée aux articles de l’ANSSAIF.

> Le dernier numéro publie notre étude sur l’utilisation des systèmes de paiement mobiles sans contact et l’enquête relative à la perception des usagers en ce qui concerne la facilité d’utilisation et la sécurité de la carte de paiement.

> Recrudescence des attaques Internet

> De grandes entreprises ont signalé ces derniers mois une recrudescence de la cybercriminalité.

> L’attaque la plus spectaculaire aux États-Unis était dirigée contre le grand constructeur du secteur de la défense Lockeed Martin, qui a déclaré avoir fait l’objet d’une « attaque sérieuse et opiniâtre ».

> L’Italie n’a pas été en reste, avec des attaques plus ou moins retentissantes, mais significatives.

> Le plus préoccupant est de constater que les « crackers », ou pirates, quand ils ont choisi une victime, frappent avec succès, et de façon répétée. C’est ce qui est arrivé il y a quelques semaines à une société de sécurité réputée du Latium, qui a subi de nouvelles intrusions après avoir suspendu le service pendant trois jours afin d’améliorer son système de protection.

> Pour aider les adhérents, notre laboratoire sur l’usurpation d’identité suit le phénomène et essaie de comprendre – notamment à travers les différents sites Internet et les chats – le mode opératoire des infractions les plus réussies.

> Au moment où nous écrivons ce bulletin, le laboratoire nous signale les points suivants :

  • Les sites et les portails semblent plus souvent conçus pour répondre aux exigences de la direction commerciale et de la direction de la communication que pour se protéger contre les attaques ciblées. Quand on applique les « kits » d’attaque disponibles sur Internet à une série de sites choisis au hasard, l’attaque réussit dans six cas sur dix ; et quand un ensemble de sites est pris pour cible pendant un certain temps, neuf sur dix finissent tôt ou tard par céder.
  • L’importante stratification des logiciels complique et donc ralentit la mise à jour des correctifs, ce qui permet à des agresseurs visant une entreprise donnée d’exploiter la vulnérabilité d’un produit pour accéder à un serveur, en prendre possession et parvenir à leurs fins.
  • Les contrôles de la chaîne logistique sont tout à fait insuffisants ; trop de contrats d’externalisation reposent plus sur la maîtrise des coûts que sur la qualité (à commencer par la sécurité) du service fourni.
  • En cette période de crise, les entreprises connaissent de graves problèmes de fonds de roulement, et les budgets Sécurité ne vont certainement pas évoluer à la hausse.
  • Il existe quantité de contremesures peu coûteuses, plus organisationnelles que techniques, mais les responsables de la sécurité semblent les ignorer.
  • Enfin, nous manquons d’incitations nationales à l’amélioration et à la mise en place des mesures de protection ainsi qu’à la certification des compétences en matière de la sécurité. Il n’existe pas de véritable politique d’encouragement suivie pour une meilleure protection des systèmes et des équipements, dès la phase de conception.

L’ANSSAIF – à travers le laboratoire – peut informer les adhérents des évolutions, suggérer des possibilités de solutions et de contremesures peu coûteuses, et, par la mutualisation des informations, favoriser le partage d’expérience entre les adhérents.

> Cyberattaques et continuité de service

> Le numéro d’août de la revue du Business Continuity Institute renferme un article qui nous semble intéressant, rédigé à partir des interventions de divers experts à une table ronde organisée par PWC.

> Cet article peut se résumer comme suit : dans les entreprises, les responsables de la continuité de service considèrent généralement que le traitement des menaces informatiques relève de la compétence des TIC et que, par conséquent, le risque doit être géré et réduit selon les procédures standards et, bien souvent, au niveau tactique.

> En fait, les cyberattaques menacent avant tout les informations, un actif stratégique dont la violation, l’altération ou la perte peuvent menacer la survie même de l’entreprise.

> Il faut donc traiter ces risques comme s’il s’agissait de la perte d’un site important ou de personnes clés pour l’entreprise. C’est pourquoi continuité de service et cybersécurité doivent être gérées conjointement et suivre le processus normal : analyse d’impact (BIA), planification, test, simulations, gestion de crise, communication, etc.

> La sécurité au sein de l’administration publique fait-elle l’objet de contrôles réguliers ?

> La question vient spontanément quand on lit l’information, publiée par le Department of Homeland Security, selon laquelle un récent audit interne à la FDIC (Federal Deposit Insurance Corporation) a de nouveau révélé des failles non négligeables.

> « Mots de passe vulnérables, règles d’accès mal conçues, cryptage insuffisant et mauvaise mise en œuvre des correctifs menacent les systèmes financiers et les bases de données de la FDIC », dit le compte rendu.

> Qu’en est-il en Italie ? Existe-t-il un organisme de contrôle des institutions et des ministères ? Les recommandations des organes majeurs de l’administration publique en matière de sécurité sont-elles suivies d’effet ?

> Pour plus de détails sur le cas américain évoqué, veuillez consulter :

> http://www.fiercegovernmentit.com/story/gao-fdic-cybersecurity-lacking/2011-08-15

> ----------------------------------------------------------------------------------------

>

> ANSSAIF – Via Monterosi 52 – 00191 Rome
>

> Actualiser et/ou annuler votre abonnement ANSSAIF.
>

> Pour tout problème de désabonnement à la lettre d’information, veuillez écrire à : Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo.

 


Copyright © 2010 ANSSAIF - Template created by Davide Calignano.