Quantcast
Channel: Global Security Mag Online
Viewing all 80643 articles
Browse latest View live

Vigil@nce - PostgreSQL : trois vulnérabilités

0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de PostgreSQL.

- Produits concernés : Debian, Fedora, openSUSE Leap, PostgreSQL, RHEL.
- Gravité : 2/4.
- Date création : 11/05/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans PostgreSQL.

Un attaquant peut contourner les mesures de sécurité via Selectivity Estimators, afin d'élever ses privilèges. [grav:2/4 ; CVE-2017-7484]

Un attaquant peut se positionner en Man-in-the-Middle via libpq, afin de lire ou modifier des données de la session. [grav:2/4 ; CVE-2017-7485]

Un attaquant peut contourner les mesures de sécurité via pg_user_mappings, afin d'obtenir des informations sensibles. [grav:2/4 ; CVE-2017-7486]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...


Symantec annonce l'acquisition de Skycure pour renforcer la protection des utilisateurs mobiles

0
0

Symantec annonce l'acquisition de Skycure, entreprise basée aux Etats-Unis et en Israël, qui propose des solutions en matière de défense contre les menaces mobiles.

Cette acquisition permettra d'enrichir les offres de mobilité des entreprises et de consommateurs de Symantec, notamment grâce aux techniques de détection des menaces de Skycure. Les entreprises pourront ainsi répondre plus efficacement aux besoins de leur main-d'œuvre, de plus en plus mobile, en s'assurant que les périphériques sont sécurisés en accédant aux ressources de l'entreprise.

Symantec renforce sa position sur le marché de de la sécurité informatique et devient ainsi le partenaire stratégique des entreprises de télécommunications souhaitant créer des solutions de sécurité mobiles complètes pour leurs utilisateurs finaux.

PARIS OPEN SOURCE SUMMIT 2017 RAPPEL - APPEL A COMMUNICATIONS

0
0

Premier événement européen de la filière du Libre et de l'Open Source, le Paris Open Source Summit est à la fois une vitrine de l'écosystème francophone, une chambre d'écho internationale et un lieu de rencontres professionnelles et de collaboration sans commune mesure.

Organisé par le pôle Systematic, avec le soutien de la région Île de France et de la ville de Paris et opéré par Weyou Group, la troisième édition du Paris Open Source Summit se tiendra les 6 et 7 décembre prochains, avec plus de 150 exposants/partenaires, 100 conférences et 5000 visiteurs attendus.

« Enabling Digital Everywhere »

L'édition 2017 s'articulera autour de la révolution du numérique, qui atteint tous les territoires et impacte tous les domaines. Le numérique est devenu nécessaire pour l'ensemble des activités et des métiers, même parmi les plus traditionnels. Aujourd'hui les aspects collaboratifs, nomadisme et ouverture, ainsi que l'émergence de nouveaux horizons comme la Blockchain, l'Internet des objets, le Cloud, l'Intelligence Artificielle, l'e-commerce ou le Big Data sont l'avenir et déjà le quotidien de l'industrie.

Le numérique est générateur d'énormes opportunités d'innovations qui nécessitent un contexte de confiance pour être pleinement concrétisées. Il doit donc être associéà une logique d'ouverture, de mutualisation, de pérennité et de souveraineté. L'Open Source et les modèles ouverts, sur lesquels repose aujourd'hui massivement le numérique, est une réponse à ces nécessités.

Cette édition 2017 du OSS Paris aura ainsi à cœur de mettre en lumière la place du Libre et de l'Open Source, dans la révolution numérique de nos sociétés.

Un comité de programme à la hauteur des ambitions 2017

Élu en mars dernier à la tête du comité de programme du Paris Open Source Summit 2017, Pierre Baudracco, fondateur de la société BlueMind, s'est entouré de personnalités reconnues du monde de l'Open Source pour élaborer ce programme 2017 :

- VP Tech / DevOps : Jonathan Clarke, Co-fondateur de Normation, Organisateur de DevOps-Rex
- VP Solutions : Laurent Séguin, Directeur commercial et marketing de l'éditeur Maarch, président de l'AFUL
- VP Ecosystem : Bastien Guerry, entrepreneur d'intérêt général pour le ministère de la culture, ancien salarié de Wikimedia, co-fondateur d'OLPC France, contributeur d'Emacs
- VP international : Eric Adja, Directeur Adjoint de la Francophonie économique et numérique à l'OIF (Organisation internationale de la Francophonie)
- VP grand utilisateur : Alain Voiment, Deputy CTO de la Société Générale

« C'est un honneur que d'avoir été choisi pour assurer la présidence du programme de cette édition. C'est aussi la responsabilité, avec l'ensemble de l'équipe Programme, d'apporter un éclairage pertinent sur les nouveaux enjeux de l'Open Source. Pour ceci, en m'appuyant sur les piliers et le succès de l'édition 2016 et de mes prédécesseurs, seront à l'honneur cette année : les technologies sous-jacentes à la numérisation de l'économie, les Solutions et réponses Open Source concrètes aux besoins métiers des utilisateurs, le numérique dans l'Afrique et la Francophonie, le tout sous des angles technologiques mais aussi business ! » déclare Pierre Baudracco.

Appel à communications – Faites nous partager vos expériences

3 thématiques seront à l'honneur cette année :

TECH
La thématique TECH est destinée aux technophiles, à ceux qui font tourner nos infrastructures, celles là même où l'adoption généralisée du logiciel libre a commencé, et à ceux qui innovent encore et toujours avec les technologies de demain.

Elle ouvrira le capot des applications autour de nous pour explorer toutes les couches qui les font tourner - l'infrastructure du datacenter au cloud aux containers, la gestion en production par déploiement automatique ou configuration continue et les innovations technologiques autour des données et de l'utilisateur final.

SOLUTIONS
La thématique SOLUTIONS est destinée principalement aux utilisateurs finaux, entreprises, administrations, collectivités ou toute organisation. L'objectif est de présenter des réponses opérationnelles de solutions Open Source pour les nouveaux usages du numérique, ainsi que pour les besoins métiers nouveaux ou en mutation.

ECOSYSTEM
La thématique ECOSYSTEM accueillera les analyses et réflexions sur les enjeux de société liés au mouvement du logiciel libre, sur le « libre » au-delà du logiciel, sur les modèles économiques des biens communs informationnels, sur la place du logiciel libre en France et dans la Francophonie et au-delà, en Europe et dans le monde. Le thème « L'Open Source et le droit » sera organisé en collaboration avec EOLE (European Free and Open Source Law Event) http://eolevent.eu/eole-2017/cfc .

L'appel à communications est ouvert jusqu'au mardi 25 juillet 2017 minuit sur : http://cfp.opensourcesummit.paris/

Le Paris Open Source Summit réunira cette année 150 exposants et partenaires. Plusieurs sponsors ont déjà confirmé leur présence :

- Diamond : Inria
- Platinium : Alterway, Smile
- Gold : BlueMind, Henix, Red Hat, SensioLabs
- Silver : Axelor, Centreon, Cozy.io, XiVo

A propos du Paris Open Source Summit

Paris Open Source Summit, 1er événement européen libre et open source, est le fruit de la fusion de Solutions Linux et de l'Open World Forum, deux événements emblématiques du Libre et l'Open Source.
Son ambition est d'exposer les innovations technologiques, la réalité et le dynamisme économique de ses solutions et les impacts sociétaux de cette filière numérique. Paris Open Source Summit est la chambre d'écho internationale des contributions multiples du Libre et de l'Open Source aux révolutions numériques actuelles et à venir, de ses réussites, de ses entreprises et de leur importance, de ses communautés et enfin du soutien constamment affirmé des pouvoirs publics (Etat, Région, Ville…).
Il s'agit d'un événement du Pôle Systematic Paris-Region opéré par la société Weyou Group et présidé par Jean-Luc Beylat, Président du Pôle Systematic. www.opensourcesummit.paris

Secret Double Octopus

0
0

Contact : Jean-Philippe KALFON – jp.kalfon@doubleoctopus.com

Année de création : 2015

Activité : Editeur de logiciels - Solution d'authentification

Description du produit phare pour 2017 :

Octopus Authenticator – la seule technologie au monde d'authentification sans clés et sans mot de passe qui protége l'identité et les données sur des environnements de cloud, mobile et objets connectés. Basé sur le « Secret Sharing », développéà l'origine pour protéger les codes de lancement nucléaire, la technologie de Secret Double Octopus empêche les cyber attaquants d'accéder à un nombre suffisant d'informations qui pourrait être utile pour des attaques, éliminant la force brute, MITM, la manipulation PKI, le vol de clés et les faiblesses des certificats.

Adresse du site Internet :www.doubleoctopus.com

Services proposés sur ce site : Site d'information

Observations, commentaires sur la stratégie de développement de l'entreprise :

Cinq défis informatiques qui impactent le secteur de la santé

0
0

Depuis plusieurs années, le secteur de la santé fait face à des défis aussi nombreux que variés. Réduction des coûts, obligations légales et réglementaires, modernisation des technologies et des processus, cybersécurité... tous ces défis entrent, à des degrés plus ou moins élevés, dans le champ de responsabilité des départements IT. Dans cet article, nous parlerons des cinq principaux défis IT du secteur de la santé :

• Réduire les violations de sécurité tout en améliorant la confidentialité des dossiers des patients
•Éliminer les angles morts ou « blind spots » du réseau consécutifs à des opérations de fusions-acquisitions
• Soutenir le développement de nouveaux business models, en phase avec la consumérisation de la médecine
• Transformer les technologies en levier de compétitivité
• Miser sur les technologies pour améliorer les performances globales du réseau

L'essor des nouvelles technologies a entraîné dans son sillage une recrudescence des risques de sécurité. Depuis plusieurs années, on observe en effet une hausse sensible des cas de violations de sécurité et vols de données personnelles. En témoigne le cas d'Anthem/Blue Cross. En 2015, ce spécialiste américain de l'assurance maladie a subi une attaque qui s'est soldée par la compromission de 78,8 millions dossiers d'assurés. Pour Anthem, l'incident a non seulement entraîné de lourdes répercussions financières, mais aussi fortement écorné son image de marque. Loin d'être isolé, ce cas fait écho aux nombreuses autres violations de sécurité survenues ces dernières années :

• Banner Health (3,62 millions d'individus touchés)
• NewKirk Products (3,47 millions)
• 21st Century Oncology Holdings (2,21 millions)
• Valley Anesthesiology and Pain Consultants (882 000)

Fait nouveau : les établissements de santé sont désormais la proie d'attaques aux rançongiciels (ou ransomwares). En février 2016 par exemple, l'Hollywood Presbyterian Medical Center était pris sous le feu. Plus récemment, en mai 2017, c'est le NHS (système de santé publique britannique) qui a subi de plein fouet l'attaque WannaCry. Pour la seule année 2016, on estime qu'au moins 13 hôpitaux ont été victimes d'une attaque par ransomware. Dans la grande majorité des cas, les établissements ont dû couper leur réseau informatique pour pouvoir engager la procédure d'intervention et de remédiation.

Au-delà de la cybersécurité, d'autres défis se dressent sur le chemin des équipes IT. Un autre grand problème tourne autour des opérations de fusions-acquisitions et des difficultés d'intégration des réseaux qui en découlent. Dans une étude datée du 25 juillet 2016, le cabinet Kaufman, Hall & Associates, LLC écrit : « Au premier semestre 2016, Kaufman Hall a recensé 52 opérations de rachat dans le secteur de la santé, soit une hausse de 6,1 % par rapport aux 49 opérations enregistrées sur la même période en 2015 ». D'autres rachats et rapprochements étaient également dans les tuyaux pour le second semestre 2016. Au niveau des réseaux informatiques, les fusions-acquisitions se traduisent généralement par l'apparition d'angles morts, résultat direct de l'incapacité de réseaux disparates à communiquer correctement les uns avec les autres.

Pour les équipes IT, ces « blind spots » posent problème dans la mesure où ils obscurcissent la vue sur le réseau et les performances des applications. Si, par nature, l'intégration d'environnements IT hétérogènes est un processus de longue haleine, c'est encore plus vrai dans la santé où les établissements tournent en flux tendu et requièrent un accès non-stop aux dossiers médicaux électroniques (DME).

La consumérisation de la médecine constitue une autre grande tendance du moment. Alors où la frontière entre patient et consommateur s'estompe, tout l'enjeu consiste à lui fournir des informations personnalisées sur son mobile ou d'autres terminaux. C'est ainsi qu'un nombre croissant d'hôpitaux adoptent des politiques BYOD pour leur praticiens et déploient des points d'accès Wi-Fi pour leurs patients. Mais attention : la consommation de bande passante est loin d'être constante ou linéaire et doit, par conséquent, faire l'objet d'une gestion continue.

Ces dernières années, l'Internet des objets (IoT) et les appareils connectés ont pris d'assaut le monde de la santé. De plus en plus, ces nouveaux objets permettent de traiter le patient sans l'intervention du personnel soignant. C'est notamment le cas des « smart pumps », ces pompes intelligentes qui dispensent des traitements de manière automatisée, ou encore des nouveaux moniteurs de santé connectés. Ces équipements assurent bien plus que la simple transmission de données vers les bureaux des infirmiers. Ainsi, les pompes à perfusion téléchargent des bibliothèques de médicaments tandis que les capteurs de télémétrie (connectés en WLAN) envoient des alertes et données oscillographiques à la station centrale. Enfin, les appareils et applications critiques doivent pouvoir transmettre des alertes en temps réel.

Le secteur de la santé se transforme actuellement sous l'impulsion de deux grands moteurs : la compétitivité des marchés et la consumérisation de la médecine. Au cœur de cette transformation, on retrouve bien sûr le cloud computing et l'IoT, mais aussi le BYOD, la télémédecine et d'autres tendances de fond. À terme, la différence se fera au niveau de la capacité des départements IT à s'approprier le changement et en concrétiser tout le potentiel. Ils devront notamment disposer d'une meilleure visibilité sur leurs applications et réseaux, mais aussi être capables d'en améliorer les performances.

Ceci étant posé, la grande question est de savoir comment relever tous ces défis de front ? Quelle que soit la structure en question (hôpital, clinique, compagnie d'assurance, etc.), les équipes IT doivent d'abord se concentrer sur la visibilité du réseau. Vos équipes doivent pouvoir compter sur une architecture sans angle mort. Cela passe notamment par la mise en place d'une « architecture de visibilité», terme quelque peu sophistiqué pour décrire un concept très simple : créer une vue holistique sur leur réseau, identifier les données de monitoring nécessaires, mais aussi savoir où les collecter et comment les transférer aux outils de monitoring et de sécurité. Généralement, la création d'une telle architecture repose sur l'ajout de TAP et négociateurs de paquets réseau, « Network Packet Brokers » (NPB), éléments clés dans la capture et le filtrage des données de monitoring. Vous disposerez alors de toutes les données nécessaires à la réduction et l'élimination de vos problèmes de sécurité et de performances.

Pour conclure, nous ne saurions trop insister sur l'importance des diagnostics réseau, notamment par la conduite de tests de sécurité, du Wi-FI et des performances des réseaux filaires et sans fil. Pour vos équipes, ces tests faciliteront grandement l'identification et la résolution des problèmes. Dans ce domaine, une bonne pratique à abandonner vos anciens processus manuels au profit de nouvelles technologies plus adaptées. Certes, vous ne voulez pas passer votre vie à faire des tests. Pourtant, faire l'impasse reviendrait à laisser de petits problèmes dégénérer en gros incidents. Ici, le meilleur remède reste sans doute de déployer des solutions de tests automatisées, à la demande ou à intervalles réguliers.

Scality lance Zenko

0
0

Scality annonce le lancement open source de Zenko, un contrôleur de données multi-Cloud. Cette nouvelle solution mise à disposition gratuitement par Scality peut s'intégrer aux applications pour développeurs, leur ouvrant ainsi les portes de l'univers du stockage multi-Cloud.

Zenko propose une interface unifiée basée sur la mise en place éprouvée de l'API Amazon S3 sur de multiples Clouds. Ceci permet le recours à n'importe quel Cloud via la même API et couche d'accès, tout en stockant les informations sous leurs formats natifs respectifs. Par exemple, toute application compatible Amazon S3 peut désormais prendre en charge Azure Blob Storage sans passer par une modification de l'application. L'objectif de Scality pour sa solution Zenko vise à ajouter des options de gestion des données pour protéger les actifs vitaux de l'entreprise, ainsi qu'une fonction de recherche des métadonnées pour catégoriser rapidement les jeux de données volumineux d'après de simples descripteurs d'activité.

Zenko met à profit le succès du serveur Scality S3 de l'entreprise, la mise en œuvre open source de l'API Amazon S3, qui a déjà enregistré plus de 600 000 downloads DockerHub depuis son lancement en juin 2016. Scality diffuse ce nouveau code auprès de la communauté open source sous licence Apache 2.0 afin que tous les développeurs puissent utiliser et intégrer Zenko à leur projet.

Le contrôleur de données multi-Cloud Zenko vient étoffer le serveur Scality S3 et comprend :

• API S3 – Un ensemble unique d'API et un accès de 360°à n'importe quel Cloud. Les développeurs rêvent d'une couche d'abstraction qui leur offre la liberté d'utiliser n'importe quel Cloud à n'importe quel moment. Scality Zenko fournit une interface unificatrice utilisant l'API Amazon S3 et prenant en charge le stockage des données dorsales multi-Cloud aussi bien en interne que dans le Cloud public. Zenko est actuellement disponible pour Microsoft Azure Blob Storage, Amazon S3, Scality RING et Docker et le sera prochainement pour d'autres plateformes Cloud.

• Format natif - Les données écrites à l'aide de Zenko sont stockées au format natif du stockage cible et peuvent être lues directement sans devoir passer par Zenko. Ainsi, les données écrites dans Azure Blob Storage ou dans Amazon S3 peuvent tirer pleinement profit des services évolués de ces Clouds publics.

• Flux de données Backbeat - Un moteur de gestion des données à base de politique utilisé pour la réplication transparente des données, les services de migration de données ou les services de flux Cloud étendus tels que l'analytique Cloud et la distribution de contenu. Cette fonction sera disponible au mois de septembre.

• Recherche de métadonnées Clueso - Une fonction de recherche de métadonnées Apache à architecture Spark pour une vision plus claire et une meilleure compréhension des données. Clueso simplifie l'interprétation des données à l'échelle du péta-octet et peut aisément s'utiliser sur n'importe quel Cloud pour séparer les informations de valeur des interférences. Cette fonction offre la possibilité de catégoriser les données d'après des caractéristiques-clés. Elle sera disponible au mois de septembre.

Les développeurs d'applications en quête d'efficacité de conception et de mise en œuvre rapide sauront apprécier les gains de productivité découlant de l'utilisation de Zenko. Aujourd'hui, les applications doivent être réécrites afin de prendre en charge chaque Cloud, ce qui diminue la productivité et rend le recours à de multiples Clouds onéreux. Grâce à Zenko, les applications sont créées une seule fois et déployées sur n'importe quel service Cloud.

WEBINAR 18 juillet : Comment créer et gérer une "Cyber Control Room" avec Sentryo

0
0

Poussés par les programmes de digitalisation, les systèmes industriels sont chaque jour plus interconnectés et plus ouverts augmentant la surface des cyberattaques. Dans ce contexte, l'une des clés pour des réseaux industriels sécurisés et fiables réside dans une forte collaboration entre les équipes IT et OT. Sentryo ICS CyberVision favorise cette collaboration sur la base d'une connaissance commune de la situation. Grâce à la solution, IT et OT travaillent ensemble à l'établissement d'une “Cyber Control Room” (OT SOC).


Mardi 18 juillet 2017 à 11h00
Durée : 30 Minutes


En 30 minutes, ce webinar présente comment une Cyber Control Room permet aux industriels d'assurer la visibilité, l'intégrité et la sécurité de leur réseau mais également de les protéger des cyberattaques. Vous découvrirez également comment la solution ICS CyberVision permet facilement de construire et de gérer une Cyber Control Room.

Sentryo, pionnier du marché de la cybersécurité des réseaux machine to machine et de l'Internet Industriel, vous invite à suivre sa nouvelle série de webinars à venir sur des sujets tels que les cyberattaques industrielles les plus courantes, la vulnérabilité de l'Internet Industriel, la détection des APTs, cyberattaques OT et industrielles et bien plus encore.

S'INSCRIRE

Kaspersky Lab protège les utilisateurs contre l'espionnage audio grâce à une nouvelle technologie brevetée

0
0

Afin d'aider les utilisateurs à se protéger contre la menace d'une surveillance audio, Kaspersky Lab a fait breveter une méthode pour contrer les accès non autorisés au microphone des machines Windows. Cette méthode est employée dans les solutions emblématiques de la société pour les particuliers, Kaspersky Internet Security et Kaspersky Total Security. A l'heure actuelle, aucune autre solution de sécurité sur le marché n'intègre des technologies destinées à interdire tout accès malveillant au micro des PC.

Pour contrôler l'accès aux données audio de l'utilisateur, il est nécessaire de surveiller toutes les requêtes adressées au micro dans le système d'exploitation, afin de bloquer tout accès non autorisé ou provenant d'un programme non fiable. Il ne suffit pas à l'utilisateur de simplement couper le micro ou de le recouvrir avec du ruban adhésif, car cela n'empêche pas un intrus d'enregistrer les sons autour de l'ordinateur moyennant des haut-parleurs ou d'autres méthodes. Or Windows n'offre actuellement en standard aucune protection spéciale contre les accès non autorisés aux données audio de l'utilisateur. C'est pourquoi les experts de Kaspersky Lab ont développé une nouvelle méthode, qu'ils ont fait breveter.

La technologie de Kaspersky Lab filtre les commandes internes envoyées au service Windows Audio, ou reçues par ce dernier, et signale la création de chaque nouveau flux audio par toute application quelle qu'elle soit. Ensuite, elle fait appel à la fonction Application Control de Kaspersky Lab, qui classe tous les programmes en diverses catégories (fiable, restreint, non fiable) suivant sa réputation, son contenu et son fabricant. Si un programme considéré« non fiable » ou bien « restreint » tente d'accéder au micro, sa requête est immédiatement bloquée.

La protection Audio fait partie des technologies de protection de la vie privée incorporées aux solutions de sécurité de Kaspersky Lab pour les particuliers. Elle intervient ainsi aux côtés de la technologie qui avertit l'utilisateur de tout accès à sa webcam intégrée ou connectée, ou encore de la navigation privée, qui bloque toute tentative de collecte des données personnelles via un navigateur web. Ces deux dernières fonctionnalités sont disponibles sur Mac et PC.


Kaminario utilise la technologie Intel pour la compression de données avancée et l'accélération des performances du stockage flash

0
0

Kaminario a fourni des détails supplémentaires sur sa nouvelle génération d'équipements de stockage flash reposant sur la technologie Intel. Les contrôleurs de stockage flash de sixième génération (Gen6) Kaminario K2 fabriqués par Supermicro intègrent un module reposant sur les composants Intel® C6268 avec technologie Intel® QuickAssist (Intel® QAT).

À l'aide de cette configuration, Kaminario K2 décharge la compression en ligne des nouveaux processeurs Intel® Xeon® Scalable vers un moteur de compression dédié qui apporte les avantages suivants :
• Amélioration de 30 % du taux de réduction des données grâce à l'implémentation de l'algorithme de compression DEFLATE, qui combine l'algorithme LZ77 et l'encodage Huffman sans impact sur la latence.
• Amélioration de la capacité effective garantie dans le cadre du programme d'assurance Kaminario ForeSightTM.
• Récupération de cycles de CPU pour gérer plus de données et de services client, et améliorer la performance globale du système.

Intel QAT, prenant en charge l'accélération de la compression/décompression, est implémenté sous la forme d'un module PCIe/NVMe chargé sur un emplacement PCIe/NVMe frontal des contrôleurs de stockage. Cette approche très flexible prend en charge le moteur de compression et ouvre la voie à de futures innovations telles que l'intégration de lecteurs de stockage connectés NVMe SSD Intel® Optane™.

Kaminario K2 repose sur VisionOSTM, une architecture et un framework de stockage logiciel destinéà la mise en œuvre de services de données. VisionOS DataShrink est l'ensemble complet de services de réduction de données, comprenant notamment l'algorithme de compression actualisé, la déduplication sélectionnable, le provisionnement léger et les services de protection RAID.

Travail Collaboratif : 3 règles d'or pour faciliter les synergies en toute sécurité

0
0

La collaboration est devenue un enjeu majeur dans les entreprises de toutes tailles : les équipes sont à la recherche de plus de synergies pour améliorer leurs performances et leur efficacité. En parallèle, le télétravail se démocratise sur le territoire français – de nouvelles ordonnances sont d'ailleurs pressenties dans la prochaine réforme du Code du Travail. Ces deux tendances changent la manière dont les entreprises travaillent, en matière de processus comme en termes d'outils, et il faut respecter quelques consignes pour s'assurer que ces nouvelles pratiques ne soient pas néfastes pour les résultats de l'entreprise.

1/ Un accès constant aux ressources
Aucune collaboration n'est possible si les employés ne peuvent pas avoir un accès constant et simultané aux fichiers. Ce constat est encore plus vrai lorsqu'une partie des effectifs exercent en télétravail. Les ressources de l'entreprise doivent être accessibles depuis n'importe quel terminal, à tout moment. Mais cela comporte un risque : sans outils adaptés, les différentes versions des documents peuvent rentrer en conflit et occasionner une perte d'informations.

La généralisation du Cloud a permis la mise en place de solutions de traitement de fichiers ou de prise de notes collaboratives. Ces outils permettent aux employés de travailler ensemble sur un même fichier et de prendre connaissance en temps réel des modifications de leurs collègues.

Comme pour toute nouvelle organisation de travail, des précautions sont à prendre pour sécuriser l'infrastructure informatique. Le travail collaboratif peut devenir une source d'erreur (suppression accidentelle d'un fichier ou de certaines modifications, etc.) – des sauvegardes automatiques fréquentes sont à préconiser. A tout moment, l'utilisateur doit pouvoir récupérer une version antérieure de son document.

2/ Renforcer la cohésion des équipes
Dans des entreprises dynamiques, où les projets se suivent mais ne se ressemblent pas, il est parfois facile de se retrouver absorbé par son travail au point d'en oublier de nouer des liens avec ses collègues – qui plus est lorsqu'ils ne partagent pas nos locaux. Mais, cette distance géographique entre les équipes peut être un frein à une collaboration efficace.

La cohésion d'équipe est donc un ingrédient essentiel. Cela passe avant tout par la mise en place d'objectifs forts mais réalisables, ainsi que par la définition claire des tâches et du périmètre de chacun dans le projet collaboratif. Les employés doivent tous comprendre, à la fois leur rôle dans le projet mais aussi celui de leurs collègues : les individualités sont alors au service du groupe.

Mais la communication est également importante pour favoriser le sentiment d'appartenance. Il faut pouvoir véhiculer aux employés, qu'ils soient sur site ou en télétravail, les valeurs de l'entreprise et son actualité. Pour ce faire, il est possible de créer un site intranet permettant de partager des contenus sur la vie de l'entreprise, voire de mettre en place des jeux concours ou bons plans à destination des employés. Pour aller plus loin, il est possible d'envisager une solution de livestream pour que chacun puisse suivre à distance, mais en direct, les temps forts de la société tels que les soirées, les annonces majeures effectuées par les dirigeants ou encore l'actualité des filiales.

3/ Ne pas oublier la sécurité
Dans la hâte, les entreprises peuvent adopter des outils de collaboration destinés non pas aux professionnels mais au grand public, qui ne respectent pas toujours les règles de sécurité habituelles. Cette pratique peut constituer une vulnérabilité, et donc une porte d'entrée pour les cyberattaques. Choisir des outils à destination des professionnels permet de s'assurer une certaine sérénité.

En interne aussi, des mesures de sécurité peuvent être prises. Les outils collaboratifs devraient ainsi proposer une bonne gouvernance des données : tous les employés n'ont pas forcément besoin d'accéder à l'ensemble des documents. Des droits d'accès doivent être mis en place pour s'assurer que les fichiers les plus sensibles ne soient accessibles que par les employés concernés.

Ces préconisations peuvent sembler nombreuses et difficiles à mettre en œuvre, notamment pour les petites entreprises n'ayant pas toujours le support d'un service informatique. Cependant des produits multifonctions existent sur le marché, ils peuvent prendre en charge la quasi-totalité de ces besoins. C'est par exemple le cas des NAS – serveurs de stockage en réseau – qui, en plus de proposer un vaste choix d'applications collaboratives, permettent d'établir des profils d'utilisateurs et de leur attribuer des droits d'accès spécifiques. Les NAS sont par ailleurs conçus pour consommer très peu d'électricité et donc être allumés 24h/24 et 7jours/7. Cela permet donc de mettre en place des sauvegardes automatiques régulières afin que l'entreprise soit certaine de toujours avoir les dernières versions de ces fichiers et, par conséquent, que les collaborateurs aient accès aux fichiers à distance à tout moment.

Véritable outil de productivité, les NAS automatisent aujourd'hui un grand nombre de tâches informatiques du quotidien ou de tâches liées au stockage des données, permettant aux collaborateurs de se concentrer sur leur corps de métier. Sauvegarde automatique et centralisée des fichiers, des listes de contacts, des emails, des messageries, archivage automatique, prise de notes collaboratives dans le Cloud, serveur/client VPN, partage sans limite de taille de fichiers ou de débits font ainsi partie de ses attributs.

Avis du CERTA : CERTFR-2017-AVI-212 : Multiples vulnérabilités dans les produits Juniper

Avis du CERTA : CERTFR-2017-AVI-207 : Multiples vulnérabilités dans Microsoft Internet Explorer

Avis du CERTA : CERTFR-2017-AVI-208 : Multiples vulnérabilités dans Microsoft Office

Avis du CERTA : CERTFR-2017-AVI-209 : Multiples vulnérabilités dans Microsoft Windows

Avis du CERTA : CERTFR-2017-AVI-210 : Multiples vulnérabilités dans les produits Microsoft


Avis du CERTA : CERTFR-2017-AVI-211 : Vulnérabilité dans Nginx

Avis du CERTA : CERTFR-2017-AVI-205 : Multiples vulnérabilités dans Adobe Flash Player

Avis du CERTA : CERTFR-2017-AVI-206 : Multiples vulnérabilités dans Microsoft Edge

Evernex fait l'acquisition de deux nouvelles sociétés

0
0

Evernex annonce l'acquisition de TTS France, société experte dans les solutions de sauvegarde magnétique et optique et de CAT Sistemas, entreprise espagnole spécialisée dans la maintenance d'infrastructure IT. Avec ces acquisitions stratégiques, Evernex complète son portefeuille de services et renforce sa position de leader en France et dans les pays latins.

Compléter son portefeuille de services

Forte de plus de 35 années d'expérience, TTS France est le leader reconnu sur le marché de la réparation de lecteurs de bandes et de librairies de sauvegarde en laboratoire.

Avec cette acquisition, Evernex va pouvoir compléter son offre de service avec un savoir-faire très spécifique. « Nous considérons la réparation de ces équipements de stockage de données haut de gamme comme « hyper technique » et les demandes liées à cette expertise de niche nécessitent des plateformes de tests extrêmement performantes. Aujourd'hui très peu d'acteurs sont capables d'apporter ce niveau de compétence. Grâce à l'acquisition de TTS France, Evernex pourra valider en fonctionnement la plupart des librairies et lecteurs avec l'ensemble des logiciels de sauvegarde du marché et ce, pour l'ensemble de nos clients, partout dans le monde. » souligne Bruno Demolin, Président d'Evernex.

Ce rapprochement conforte l'acquisition faite en octobre 2016 de la société Nexeya Services, spécialisée en autre dans le stockage et la sauvegarde de données.
Le rachat de TTS France permet à Evernex d'élargir cette activité au niveau international.

Conquérir le marché latin

Autre acquisition stratégique pour Evernex, l'intégration de CAT Sistemas, une société espagnole spécialisée dans la maintenance et la distribution de matériel informatique multi-marque reconditionné. Cette société catalane bénéficie d'une excellente réputation sur le marché local. Depuis le 16 juin, date de son rachat, CAT Sistemas et ses 10 salariés mettent leur savoir-faire au service d'Evernex.

En mai dernier, Evernex a également ouvert une filiale au Chili. Cette implantation vient renforcer la présence d'Evernex en Amérique du Sud et, plus particulièrement, dans les pays hispanophones. Avec cette position stratégique, le Groupe entend toucher l'Argentine, le Pérou, la Colombie et même l'Equateur pour y développer ses activités.

Vigil@nce - OpenVPN : deux vulnérabilités

0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de OpenVPN.

Produits concernés : Debian, Fedora, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Gravité : 2/4.

Date création : 12/05/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans OpenVPN.

Un attaquant peut provoquer une erreur d'assertion via Oversized Control Packet, afin de mener un déni de service. [grav:2/4 ; CVE-2017-7478]

Un attaquant peut provoquer une erreur d'assertion via Rolled Over Packet, afin de mener un déni de service. [grav:2/4 ; CVE-2017-7479]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...

Viewing all 80643 articles
Browse latest View live




Latest Images