Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Produits concernés : BusinessObjects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver
Gravité : 2/4
Date création : 12/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Une vulnérabilité inconnue a été annoncée dans les produits SAP.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
La Fondation Casques Rouges, présidée par l'ancien ministre Nicole Guedj, lance la cinquième édition du Challenge Humanitech sous le haut patronage du Ministère de l'Enseignement Supérieur et de la Recherche, en collaboration avec Orange.
Pour la cinquième année consécutive, la Fondation Casques Rouges invite les étudiants à concevoir des projets innovants, permettant de faciliter l'action humanitaire. Le Challenge Humanitech aura pour thème cette année « E-solidarité».
A titre d'exemple en 2012, c'est le projet "Tous contre le choléra" qui avait remporté le concours avec son concept de filtre à eau low-cost « Tsé-nou », constitué de seaux et de bougies en céramiques et destinéà réduire les maladies liées à l'eau en Afrique. Quant à l'édition 2011 du Challenge Humanitech, le lauréat était l'équipe de "Jerry", avec son concept de serveur informatique mobile à bas coûts, déployable dans les camps de réfugiés. Nos lauréats de 2010 avec le projet « Leaf Supply », un concept de lits en carton modulaire, projettent à présent de déployer 1000 lits pour l'UNHCR dans le plus grand camp de réfugiés au monde Dadaab, au Kenya.
Selon Nicole Guedj, Président de la Fondation Casques Rouges : « Les jeunes constituent un réservoir inépuisable d'idées nouvelles pour servir l'action humanitaire. Il suffit souvent de leur donner une chance et de leur faire confiance pour qu'ils puissent les réaliser. Leur générosité et leur esprit de solidarité les conduiront cette année encore à nous surprendre par leur engagement et leur talent en matière d'innovation technologique ».
Pour candidater au Challenge Humanitech 2013, les étudiants doivent constituer des équipes de 2 à 6 personnes et inscrire leur projet dans l'un des sous thèmes suivants avant le 1er mars 2013 :
Santé Accès à l'information Education et formation
Les équipes sélectionnées se verront attribuer un parrain professionnel, issu des secteurs de l'innovation et de l'action humanitaire, qui les coachera durant deux mois.
Le jury élira le projet lauréat de ce concours lors de la grande finale, qui se déroulera le 31 mai 2013, au Living lab d'Orange (3 rue mazagran 10e). Grâce au soutien d'Orange, sponsor officiel du Challenge Humanitech, les gagnants repartiront avec un chèque de 5 000 euros destinéà l'expérimentation de leur projet.
Informations et inscriptions :www.challenge-humanitech.com
Contact : Elsa Costa, elsa.costa@casques-rouges.org/ Tel : 01 55 55 89 37
Adobe a publié une nouvelle version de Flash Player fixant trois vulnérabilités. Celle-ci doit être installée dès que possible, des attaques à l'état sauvage ayant d'ores et déjà eu lieu contre deux des vulnérabilités. Il est intéressant de noter que ces attaques ciblent directement Firefox et ont réussi à contourner sa sandbox.
Nous recommandons aux administrateurs informatiques de mettre à jour leur installation Flash le plus tôt possible, même s'ils n'utilisent pas le navigateur Firefox de Mozilla.
Microsoft a mis à jour le correctif KB2755801 pour Internet Explorer 10. Les utilisateurs d'IE10 obtiennent ainsi une nouvelle version du navigateur. Hier, Microsoft a rendu IE10 disponible en option de téléchargement, pour tous les utilisateurs de Windows 7, apportant une sécurité et une vitesse renforcées pour Windows 7.
Adobe déclare que les utilisateurs de Google Chrome verront les mises à jour de leur navigateur faites automatiquement, mais je n'ai pas encore vu de mise à jour diffusée.
Qualys, Inc. et Verizon annoncent un accord visant à renforcer leur relation de partenariat afin de proposer de nouveaux services de sécurité et de conformité dans le Cloud à la pointe de l'innovation.
Ces services, qui sont fournis à des entreprises du monde entier, intègrent de solutions de gestion des vulnérabilités, d'analyse des applications Web, et de conformité au standard PCI et aux politiques internes. Les clients de Verizon peuvent désormais profiter des performances, de la sécurité et de l'évolutivité de QualysGuard Cloud Platform pour protéger leurs actifs informatiques et applications Web contre les cyber-attaques et se mettre en conformité vis-à-vis des réglementations en vigueur.
En outre, Verizon ajoutera des fonctionnalités d'analyse à ces services de sécurité infogérés en s'appuyant sur ses modèles de risque propriétaires afin de fournir des informations pertinentes sur la situation d'une entreprise face aux risques de sécurité.
Contact : Jean-Nicolas PIOTROWSKI, Directeur
Immeuble ACTYS/1
Avenue l'Occitane BP 67303
31673 LABEGE CEDEX
Toulouse Labège
Midy-Pyrénées31673
E-mail : contact@itrust.fr
Tél. : 05.67.34.67.80
Fax : 09.80.08.37.23
www.itrust.fr
Année de création : Janvier 2007
Activités : Cabinet de conseil et d'audit en protection de patrimoine informationnel
Services proposés :
Conseil en sécurité Protection de votre informatique (sauvegarde, continuité d'activité, sécurisation d'applications, antiSpam, antivirus, chiffrement des données nomades, gestion de flottes PDA)
Formation (Unix,Wifi, Web 2.0, Lead auditor 27001, 27005, …)
Audit (d'organisation, de conformité, intrusifs)
Adresse de votre site Internet :www.itrust.fr
Services proposés sur ce site : Ressources techniques
Observations, commentaires sur la stratégie de développement de l'entreprise :
ITrust est un cabinet d'experts en sécurité qui se distingue par sa valeur ajoutée aux grands comptes ainsi qu'aux PME, notamment par 3 innovations principales :
L'intégration de conseils juridiques dans toutes nos prestations,
Une solution SAAS d'identification des vulnérabilités temps réel tout au long de l'année proposé en complément de nos audits intrusifs,
Un audits flash pour PME afin de démocratiser leur accès aux meilleures méthodes issues des meilleures pratiques.
Tout au long de l'année 2012, le big data a étéà deux doigts de devenir un terme aussi galvaudé et imprécis que ne l'a été« le cloud » en 2011. Cependant, si l'on fait abstraction du buzz marketing, on constate que le big data prend de plus en plus l'allure d'opportunité pour les de recueillir des informations utiles afin de stimuler leur croissance et favoriser leur rentabilité.
C'est d'ailleurs l'idée reflétée dans les prévisions du cabinet Gartner, selon lequel en 2013, le big data devrait générer 34 milliards de dollars de dépenses mondiales en informatique. Quant à EMC et IDC, ils estiment que l'univers du numérique devrait s'accroître jusqu'à 40 zettaoctets (ZB) d'ici 2020, une prévision supérieure aux précédentes de 5 Zo, et qui serait synonyme d'une croissance multipliée par 50 depuis le début de l'année 2010.
Économies d'échelle
Le fait est que dans le monde entier, nous générons actuellement des données à un rythme de plus en plus élevé, et cette tendance va en s'accélérant. Des sources et des quantités de plus en plus importantes de données sont créées, permettant aux entreprises de profiter de davantage d'informations et de se faire de meilleures opinions sur ce qui fonctionne ou pas et sur les éléments à privilégier pour l'avenir.
Le résultat souhaité par les entreprises est (à juste titre), de dégager un avantage concurrentiel malgré un contexte économique encore difficile. Imaginons, par exemple, qu'une entreprise augmente la fréquence de ses rapports de vente ou sur ses stocks (d'une fois par mois à une fois par semaine ou par jour), ou qu'elle offre la possibilitéà tous les employés concernés (même les utilisateurs d'appareils mobiles) de générer des rapports en temps réel et en permanence. Cela équivaudrait à davantage de flexibilité, une meilleure capacité de génération d'informations et une plus grande réactivité : c'est le genre d'avantages dont il ne faut pas sous-estimer la valeur. Le challenge reste de pouvoir réellement stocker, analyser et utiliser toutes ces données, ce qui nécessite des changements sur deux plans : les mentalités et la réalité.
Changement d'état d'esprit
La plupart des entreprises génèrent d'énormes quantités de données qui ne demandent qu'àêtre exploitées. Les entreprises doivent désormais se focaliser sur les informations existantes, qui se trouvent souvent dans d'énormes bases de données étroitement surveillées par les départements informatiques, et les libérer.
Les services informatiques des entreprises doivent comprendre que l'intégration de données est à la fois un phénomène contemporain et une procédure qui a de tout temps été effectuée par les utilisateurs internes. Les « experts en logique d'affaires », ces individus responsables des tableurs et des calculs intensifs, génèrent des données à l'aide de systèmes de Business Intelligence et se servent de leur propre expérience afin de créer des outils pour les aider à opérer leurs calculs. Il est important aujourd'hui qu'une évolution ait lieu au niveau des modes de pensée de ces différents acteurs, afin de comprendre que leur mission s'oriente vers la génération de flux de données au profit de l'ensemble de l'entreprise.
Changement technologique
Tout d'abord, il existe un besoin d'interfaçage de ces données afin de pouvoir les combiner à d'autres et de générer ainsi des informations donnant une représentation holistique d'un phénomène. Mais pour se préparer à produire de nouvelles données en proportions plus importantes et plus rapidement, il faut adopter une nouvelle approche en matière de conception de services informatiques, une approche quasi industrielle, permettant de concevoir une plateforme évolutive et résistante pour l'avenir, et pouvant prendre de l'envergure et grandir au rythme des quantités sans cesse croissantes de statistiques et de chiffres.
Le SDDC (Software Defined Datacenter), concept qui a commencéà prendre de l'envergure au cours de la seconde moitié de l'année 2012, jouera un rôle essentiel dans cette nouvelle approche. Ce concept réunit les technologies jusque-là cloisonnées et liées à des couches matérielles spécifiques, et ouvre la voie vers le traitement de l'ensemble des opérations de façon logicielle. Résultat : une infrastructure fluide et agile, créée et contrôlée par logiciel.
La virtualisation du traitement est la première étape vers le SDDC, mais elle doit être accompagnée de l'adoption de la virtualisation stockage et de réseau. Les entreprises pourront alors adopter des technologies de big data telles que Hadoop, récemment virtualisée dans le cadre du projet Serengeti Open Source, et conçue pour permettre aux entreprises d'exploiter d'énormes quantités de données et d'en dégager des avantages concurrentiels.
Conclusions
Au-delà du battage médiatique, il est évident que le big data représente une énorme opportunité pour permettre aux entreprises d'améliorer leurs processus. Quelle qu'en soit la taille ou son activité, toute entreprise cherche à obtenir davantage de données et d'informations et à profiter de meilleures capacités à effectuer des prévisions et des prises de décision. Cependant, il est pour cela nécessaire d'acquérir de nouvelles technologies et architectures plus évolutives, car les infrastructures existantes ne sont pas en mesure de prendre en charge de tels besoins.
Fidens est un cabinet de Conseil, d'Audit et Formation, spécialiste de la sécurité des systèmes d'information, indépendant des éditeurs et des constructeurs informatiques.
Nos équipes réunissent des professionnels issus du monde industriel et de l'administration, experts des techniques, méthodes et standards de la sécurité. Largement étayées sur nos retours d'expérience, les formations dispensées par nos experts présentent de manière pragmatique les normes du domaine, normes que FIDENS contribue àélaborer et faire évoluer de par sa participation à l'AFNOR, à l'ISO ou au Club EBIOS.
Fidens dispose de son propre centre de formation en plein centre de Paris (8-place de l'Opéra)
Nos modules de formation présentés ci-dessous sont éligibles au DIF et peuvent être pris en charge par l'organisme de formation continue auquel est affiliée votre société.
Nos formations sont dispensées en mode inter-entreprises et peuvent être personnalisées en mode intra-entreprise tant sur le plan de la durée que du contenu, en fonction de vos objectifs, de votre environnement et des connaissances de base des participants.
Pour toute information complémentaire, contactez Souad BELADA au : Tél : +33 (1) 01 42 66 23 60
ou par E-mail : souad.belada@fidens.fr
http://www.fidens.fr/formation-4.html
FORMATION LEAD AUDITOR ISO27001
Devenez Lead Auditor ISO 27001 certifié
• Description :
Totalité des concepts liés aux normes ISO27001 et ISO19011 et présentation à l'examen de certification ISO 27001 Lead Auditor. Certification LSTI
Consultez et téléchargez le programme en ligne : http://www.fidens.fr/formation/cert...
FORMATION CERTIFIANTE LEAD IMPLEMENTER ISO27001
Devenez Lead Implementer ISO 27001 certifié
• Description :
Totalité des concepts liés aux normes ISO27001 et ISO27002 et présentation à l'examen de certification ISO 27001 Lead Implementer. Certification LSTI
Consultez et téléchargez le programme en ligne : http://www.fidens.fr/formation/cert...
FORMATION CERTIFIANTE RISK MANAGER ISO27005
Devenez Risk Manager ISO 27005 certifié
• Description :
Totalité des concepts liés à la norme ISO27005 et présentation à l'examen de certification ISO 27005 Risk Manager. Certification LSTI
Consultez et téléchargez le programme en ligne : http://www.fidens.fr/formation/cert...
FORMATION CONCEPTS DES STANDARDS ISO 27001 ET ISO 27002
Apprenez l'essentiel du standard en sécurité des systèmes d'information.
• Description :
Principaux concepts liés aux normes ISO27001 et ISO27002 : Plan-Do-Check-Act et SMSI (Système de Management de la Sécurité de l'Information).
Consultez et téléchargez le programme en ligne : http://www.fidens.fr/formation/deco...
FORMATION EBIOS, GESTION DES RISQUES
Apprenez à mettre en œuvre la gestion des risques avec EBIOS
• Description :
Totalité des concepts liés à la norme EBIOS avec mise à jour 2010. Exemples concrets de mise en œuvre.
Consultez et téléchargez le programme en ligne : http://www.fidens.fr/formation/gest...
FORMATION LA SECURITE DANS ITIL
Apprenez à intégrer la sécurité des systèmes d'information dans une démarche ITIL
• Description :
Totalité des concepts liés aux normes ITIL et à la sécurité opérationnelle
Consultez et téléchargez le programme en ligne :
http://www.fidens.fr/formation/la-s...
FORMATION INTRODUCTION A LA SECURITE DES RESEAUX
Apprenez les concepts fondamentaux de la sécurité des réseaux et notamment internet
• Description :
Principales notions de la sécurité des réseaux. Compréhension des menaces externes et internes, différents types d'attaques possibles sur les réseaux et comment s'en défendre.
Consultez et téléchargez le programme en ligne : http://www.fidens.fr/formation/intr...
FORMATION SECURITE DES SYSTEMES D'INFORMATION : ASPECTS JURIDIQUES
Effectuez une mise à jour de vos notions juridiques en rapport avec votre activité en sécurité
• Description :
Principales notions des risques juridiques liés à la sécurité des systèmes d'information. Etablissement des preuves informatiques, aide aux Ressources Humaines et aux procédures légales.
Consultez et téléchargez le programme en ligne : http://www.fidens.fr/formation/acte...
FORMATION CIL – CORRESPONDANT INFORMATIQUE ET LIBERTES
Apprenez les concepts et la méthodologie pour devenir CIL
• Description :
Rôle et tâches des Correspondants Informatique et Liberté ou ceux souhaitant le devenir.
Consultez et téléchargez le programme en ligne :
http://www.fidens.fr/formation/cil-...
FORMATION METRIQUES ET TABLEAUX DE BORD SECURITE ISO 27004
Apprenez à concevoir vos métriques en sécurité et créez votre tableau de bord
• Description :
Principales notions, élaboration de métriques et tableaux de bord sécurité– ISO27004. Nombreux modèles fournis pour une mise en œuvre rapide.
Consultez et téléchargez le programme en ligne :
FORMATION EGERIE RISK MANAGER
Apprenez à utiliser l'outil de gestion des risques EGERIE
• Description :
Mise en œuvre de l'outil EGERIE. Principales étapes de la mise en œuvre de l'analyse de risques de l'estimation des risques et du plan de traitement induit. Préparation et suivi des actions de remédiation et élaboration du tableau de bord de suivi.
Consultez et téléchargez le programme en ligne :
FORMATION LUTTE CONTRE LES MENACES INTERNES
Devenez la clé de voûte de la sécurité de votre entreprise
• Description :
Problématique de la menace interne. Atelier « maladresses ». Chartres & protection des données personnelles. Panorama des attaques internes et des protections innovantes. Consultez et téléchargez le programme en ligne :
FORMATION LE METIER DE RSSI
Abordez tous les aspects du management de la sécurité
• Description :
Définir les fondamentaux du métier de RSSI. Se familiariser avec les modèles de sécurité. Comprendre les différents aspects du management de la sécurité. Aborder l'environnement juridique et la législation dans le domaine. Consultez et téléchargez le programme en ligne :
FORMATION DEVELOPPEMENT SÉCURISÉ
Développez vos logiciels en mode sécurisé
• Description :
Vision d'ensemble des aspects du développement sécurisé. Définition grands principes du développement sécurisé. Atelier « Webgoat » ou « Gruyere » d'exemples de bonne pratiques.
Consultez et téléchargez le programme en ligne
FORMATION LABO DU HACKER
Testez par vous-même les méthodes des hackers
• Description :
Vue d'ensemble des aspects du test d'intrusion. Familiarisation avec outils et méthodes de tests d'intrusion.
Consultez et téléchargez le programme en ligne
FORMATION INITIATION A LA SECURITE
Sensibilisez-vous à la sécurité informatique
• Description :
Former des correspondants sécurité des systèmes d'information au sein de l'entreprise.
Créer des interlocuteurs comprenant les bonnes pratiques et étant en mesure de les diffuser.
Consultez et téléchargez le programme en ligne
FORMATION PCA/PRA - PLANS DE CONTINUITE ET PLANS DE REPRISE D'ACTIVITES
Apprenez à rédiger et tester un plan de continuité d'activités
• Description :
Comprendre les étapes et le contenu d'un PCA/PRA. Savoir rédiger et tester. Inscrire le PCA/PRA dans le management des risques et la gestion de crise.
Consultez et téléchargez le programme en ligne
IJENKO, Energies demain, Fludia, Oppida, le CEA LIST et le e‐lab de Bouygues SA s'allient pour développer une nouvelle plateforme technique d'agrégation et de pilotage de l'énergie résidentielle dans les éco‐quartiers, avec le support financier du programme d'Innovation Stratégique Industrielle d'OSEO, future branche bancaire BPI.
Ce consortium annonce le lancement d'un programme de développement collaboratif d'environ 7 millions d'euros sur 3 ans qui bénéficie du financement d'OSEO ISI à hauteur de 3,3 millions d'euros, de la labellisation du pôle Systematic et de l'accompagnement en gestion de projet du cabinet Leyton. Un pilote de la plateforme EDENS sera ensuite proposéà Bouygues pour un déploiement dans un éco‐quartier français. EDENS sera également au service d'autres plateformes techniques d'optimisation des flux énergétiques globaux des territoires. En ce début 2013, plus de 4500 autorités locales dans 40 pays ont signé la Convention des Maires et s'engagent concrètement pour atteindre les objectifs 3x20 de l'Union Européenne. Ces régions, villes et communautés de communes inventent, pas à pas, un futur énergétique durable, équilibrant au mieux les besoins et les ressources locales, pour une plus grande autonomie énergétique des territoires.
« L'ambition de ce consortium est d'apporter une solution concrète à l'insertion du résidentiel et des citoyens dans cette nouvelle gestion collaborative de l'énergie, qu'il s'agisse de consommation, de production ou de stockage. En tant que chef de file du consortium, nous sommes fiers de collaborer avec le e‐lab, le CEA List, Energies Demain, Fludia et Oppida pour développer cette plateforme d'agrégation et de pilotage de l'énergie résidentielle des villes et territoires durables » a commenté Serge Subiron, pdg d'IJENKO.
Claude Pinault, Directeur des Projets d'Innovation Stratégique Industrielle d'OSEO, a déclaré : « Le programme ISI a pour objectif de financer des projets collaboratifs prometteurs offrant une rupture technologique et destinés à créer ou renforcer de nouveaux champions européens ou mondiaux. Nous croyons au projet EDENS et c'est pourquoi nous avons décidé de l'accompagner en lui donnant les moyens nécessaires pour s'imposer comme une révolution énergétique durable. »
A propos du Programme « Innovation Stratégique Industrielle » d'OSEO Le programme « Innovation Stratégique Industrielle » (ISI) favorise l'émergence de champions européens. Il soutient des projets ambitieux d'innovation collaborative à finalité industrielle, portés par des entreprises de taille intermédiaire (moins de 5000 collaborateurs) et des PME (moins de 250), toutes innovantes. Ces projets sont très prometteurs en cas de succès : ils visent à commercialiser les produits de ruptures technologiques et ne pourraient se réaliser sans incitation publique. L'aide est d'un montant généralement compris entre 3 à 10 M€, sous la forme de subventions et d'avances remboursables.
A propos d'IJENKO
IJENKO est une plateforme B2B de services de gestion de la demande énergétique résidentielle et de l'habitat intelligent. Cette plateforme de « Home & Energy management » permet aux fournisseurs d'énergie, aux opérateurs télécoms, aux distributeurs spécialisés, aux intégrateurs/agrégateurs de services de proposer à leurs clients résidentiels des services d'efficacité et de pilotage énergétique en aval du compteur, pour, en amont, mieux piloter l'équilibre entre la production, la consommation et le stockage, ainsi que des services de l'habitat intelligent, comme le confort, la protection, etc,…
A propos d'Energies Demain
Energies Demain accompagne les collectivités vers la transition énergétique. Sur la base d'une activité de R&D importante, Energies Demain a développé un ensemble de méthodes et d'outils permettant une représentation modélisée des besoins énergétiques de nos sociétés. Energies Demain scénarise ainsi les futurs possibles des territoires intégrant les contraintes sociales, économiques, environnementales et technologiques afin d'orienter les décideurs publics vers des solutions optimales.
A propos de FLUDIA
FLUDIA développe des solutions innovantes permettant de mesurer et de comprendre en détail les consommations d'énergie. Les produits qui symbolisent le mieux la philosophie de Fludia sont : − des capteurs universels qui permettent de rendre tous les vieux compteurs intelligents à partir d'une technologie de traitement de signaux optiques − des algorithmes non‐intrusifs permettant d'analyser les courbes électriques mesurées à la minute et à la seconde pour repérer les anomalies de fonctionnement et de consommation des principaux équipements et ainsi guider les actions concrètes de réduction des consommations énergétiques.
A propos d'Oppida
Oppida effectue depuis près de 15 ans des prestations d'expertise, d'évaluation et de conseil dans le
domaine de la Sécurité des Systèmes d'Information (SSI). Ces prestations sont menées aussi bien au
profit d'administrations (Défense, Service du Premier Ministre, Ministères) que d'organisations
privées (opérateurs, banques, assurances, la grande distribution, industries, PME‐PMI...).
Plus d'information sur www.oppida.fr
A propos du CEA LIST
Au coeur du Plateau de Saclay (Ile‐de‐France), l'institut CEA‐List focalise ses recherches sur les
systèmes numériques intelligents. Porteurs d'enjeux économiques et sociétaux majeurs, ses
programmes de R&D sont centrés sur les systèmes interactifs, les systèmes embarqués, les capteurs
et le traitement du signal. Elles trouvent leurs applications dans les domaines de l'énergie, de la
santé, des transports, de la défense & sécurité et du manufacturing. En développant des
technologies de pointe, le CEA‐List contribue à la compétitivité industrielle de ses partenaires par
l'innovation et le transfert technologique.
Plus d'informations sur http://www‐list.cea.fr/
A propos du e‐lab de Bouygues SA
Le e‐lab est la cellule de recherche‐développement de la société mère de Bouygues, groupe
industriel diversifié présent dans plus de 80 pays, employant 134 000 collaborateurs et dont les pôles
d'activité sont la construction, les télécoms et les médias.
Il est composé de 12 collaborateurs qui réalisent une vingtaine de projets métiers chaque année.
Plus d'informations sur www.e‐lab.bouygues.com
A propos de Leyton
Leyton est une société de conseil opérationnel dont l'objectif est de dégager de nouveaux financements pour ses clients en adéquation avec leurs environnements et objectifs de développement. Le département Financement de l'Innovation accompagne ainsi chaque année des entreprises innovantes, PME ou grands groupes, dans l'obtention de subventions pour leurs projets de R&D. Dans ce but Leyton intervient depuis l'identification et le choix des programmes de financement jusqu'au suivi administratif et financier des travaux en passant par la formalisation du projet et la négociation des budgets avec les organismes financeurs.
Notions de droit indispensables aux Responsables Informatique : 2 octobre 2012 ou 13 novembre 2012
Sécurité en matière d'archivage et de dématérialisation : 3 décembre 2012
Méthodologie et Politique d'Archivage : 4 et 5 décembre 2012
Méthodologie d'un projet d'archivage électronique et de dématérialisation avec application aux mails : 4-5-6 décembre 2012 ou 26, 27 et 28 mars 2013 ou 11, 12 et 13 juin 2013 ou 3, 4 et 5 décembre 2013
Nos formations continues diplomantes avec MINES ParisTech :
Notre nouvelle formation : BADGE en Management du Patrimoine Informationnel : de janvier à juin 2013
Quoique totalement indépendante, cette formation constitue un parfait complément pour le BADGE en Management de la Dématérialisation et de l'Archivage Electronique. Elle aborde ainsi comment valoriser et identifier son patrimoine informationnel, sans oublier bien sûr de le protéger et ce tout au long du cycle de vie des données et des documents. Ce BADGE permet d'acquérir les connaissances nécessaires pour organiser son système d'information de telle sorte qu'il puisse permettre aux personnes autorisées de disposer de la bonne information, au bon moment, dans le respect des lois et des réglementions, sans omettre la notion importante de gestion de la connaissance, source essentielle de valorisation de l'information.
BADGE en Management de la Dématérialisation et de l'Archivage Electronique : de novembre 2013 à juin 2014
Il permet de comprendre les enjeux de la dématérialisation pour les organisations, de prendre en charge des projets de dématérialisation et d'archivage électronique et de les valoriser au sein de l'entreprise. Grace au BADGE les élèves acquièrent des compétences managériales accrues qui permettent d'être à même d'animer une équipe multifonctionnelle et multiculturelle, indispensable dans le cadre de la mise en place d'une véritable politique d'archivage.
PRIX ET CONDITIONS D'INSCRIPTION : CLIQUEZ ICI
DEMATEUS - 55 Avenue Victor Hugo - 75116 Paris
Tél. : +33 (0)6 77 63 84 74
Fax :+33 (0)1 76 50 81 51
DEMATEUS est agréé organisme de formation : N°11.75.42729.75
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque le service NFS est activé sous Windows, un attaquant peut employer une requête illicite, afin de mener un déni de service.
Produits concernés : Windows 2008, Microsoft Windows 2012
Gravité : 2/4
Date création : 12/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le service NFS (Network File System) permet de partager des fichiers avec un environnement Unix.
Cependant, ce service ne gère pas correctement une opération de lecture sur un fichier, et déréférence un pointeur NULL.
Lorsque le service NFS est activé sous Windows, un attaquant peut donc employer une requête illicite, afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer plusieurs vulnérabilités du noyau, afin d'obtenir les privilèges du système.
Produits concernés : Windows 2003, Windows 2008, Microsoft Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP
Gravité : 2/4
Date création : 12/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le pilote Win32k assure l'interface vers le noyau Windows.
Cependant, un attaquant peut employer des attaques de type "race" (changer un élément avant son utilisation) sur Win32k, afin d'élever ses privilèges.
Un attaquant local peut donc employer plusieurs vulnérabilités du noyau, afin d'obtenir les privilèges du système.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Cercle National des Armées 8, place Saint Augustin 75008 Paris
Les organismes publics produisent un nombre croissant de documents nativement électroniques qu'il est nécessaire de conserver dans leur format d'origine. Cela nécessite la mise en oeuvre de Systèmes d'Archivage Électronique (SAE), à même de préserver sur le long terme (la DUA) et le très long terme (l'archivage définitif).
Le modèle OAIS associé aux exigences du SIAF (Service Interministériel des Archives de France) dans le cadre de son agrément et dans le cadre de l'échange des documents d'archives (SEDA), constituent un cadre solide de référence.
Attention cependant à bien intégrer le SAE dans un système global de conservation des documents publics, qu'ils soient électroniques ou physiques, et de favoriser leur accès, en tenant compte de l'intérêt grandissant pour les documents publics et de leur nécessaire ouverture, concept illustré sous le terme « OpenData ».
Introduction générale, Jean-Louis Pascon, vice-président de FedISA
On entend souvent dire qu'il y a trop de normes, encore récemment on pouvait lire : tous ces standards et documents normatifs entravent la liberté d'entreprendre et de concevoir de nouveaux produits. A l'inverse comment faire confiance ?
Alors trop ou pas assez de normes ?
Après avoir présenté rapidement le paysage normatif en France, en Europe et dans le monde, nous donnerons les principes d'usage des normes tant au plan pratique que réglementaire, ainsi que l'intérêt de la certification. Enfin nous terminerons cette introduction par un rapide focus sur les principales normes dans le domaine de l'archivage numérique.
Une solution globale open source, présentée en avant-première, Jean-Louis Ercolani, président de Maarch
A l'époque du Big data, de l'Open data, de l'explosion des volumes d'informations, les organisations doivent maîtriser la conservation de leurs documents. L'Open Source présente un véritable intérêt, surtout en période de restriction budgétaire.
Maarch propose ainsi une solution entièrement libre, conforme au modèle OAIS, puissante, sécurisée et simple d'utilisation pour la Collecte et la Conservation des documents d'archives, qu'ils soient électroniques ou physiques.
Ce petit-déjeuner sera l'occasion de présenter les dernières fonctionnalités de transfert SEDA, d'aide à la création des bordereaux, workflow de validation, enregistrement des documents d'activité, archivage physique.
La vision métier, Jérôme Hautbois, archiviste et directeur technique d'Archimaine
Collecter, classer, conserver, communiquer. La généralisation du numérique n'a pas fondamentalement changé les missions des services d'Archives. Par contre, y répondre de façon pérenne induit des normes et des outils nouveaux, où XML, HTML et autres technologies font écho à ISAAR et ISAD(G), introduisant de profonds bouleversements de la pratique archivistique :
Comment produire simplement des instruments de recherche conformes et pérennes
Versements électroniques et description archivistique ; ou quand le SEDA enrichit l'EAD
Seront également présentés quelques exemples innovants de consultations d'instruments de recherche, illustrant les bénéfices d'une description archivistique rigoureuse.
Retour d'expérience avec la plateforme du Sictiam, Francis Kuhn, directeur général du Sictiam
ARMON-e (ARchivage Mutualisé d'Objets Numériques) constitue la nouvelle plateforme d'archivage électronique mise en place au Sictiam afin d'offrir un service d'archivage complet (courant et intermédiaire) à destination de ses collectivités adhérentes.
Pour confirmer votre participation, cliquez sur : INSCRIPTIONS
Cercle National des Armées
8, place Saint Augustin 75008 Paris
Tél : 01 44 90 26 26
Accès
Saint Augustin Gare Saint Lazare (5 mn) Auber
Parkings publics : Bergson - Malesherbes Anjou
La 5ème édition des GS Days, Journées Francophones de la Sécurité de l'Information, se tiendra le 4 avril prochain de 8h30 à 18h30, au Centre de Conférence de l'hôtel Marriott Paris Rive Gauche - 17, Bd Saint-Jacques – 75014 Paris. Voici le programme prévisionnel*, et non exhaustif, de la journée. Le programme définitif et détaillé sera publié très prochainement.
•Conférence plénière : Sécurisation du Cloud à la françaiseTable ronde avec Maître Diane Mullenex, Cabinet Ichay & Mullenex, Philippe Humeau, DG de NBS System, créateur de CerberHost, Thierry Floriani, Numergy, Alexandre Morel, OVH, Olivier Iteanu, EuroCloud - Modérateur : Jérôme Saiz, Expert Sécurité et Rédacteur en Chef du magazine de la Communauté Sécurité Qualys
•HTML5 et la sécurité, un point d'étape
De nombreux sites Web sont actuellement en cours d'adoption du standard HTML5. Cette nouvelle version de HTML améliore fortement l'expérience utilisateur. Mais qu'en est-il des potentiels problèmes de sécurité dus à des développements malveillants ? Ou des développements faits par des WebAgency qui ne comprennent pas tous les impacts d'une WebSocket ?
Lors de cette présentation, nous ferons un point d'étape sur HTML5
(état du standard), décrirons quelques fonctionnalités nouvelles et
verrons les impacts éventuels sur la sécurité du LAN/Poste Client.
Sébastien GIORIA, OWASP France
•Réglementer et outiller sans acculturer n'est que ruine de la sécurité
Dans un univers global, incertain et hyper-complexe, la Sécurité des SI doit sans doute, sans que ce soit paradoxal, effectuer un saut créatif tout en revenant sur ses fondamentaux.
La Sécurité numérique (ou cyber-sécurité) s'adresse aux usages plus qu'aux systèmes, à la négligence / malveillance plus qu'aux erreurs / accidents. Elle propose une nouvelle évolution du secteur et se situe au cœur de la sécurité globale impliquant entreprises, états et individus (citoyens/employés/parents/consommateurs). Et plus que jamais les questions d'acculturation (mêlant le business, le numérique et la sécurité) doivent devancer ou au moins accompagner la démarche dans son ensemble. Mais comment ?
Cette intervention démontrera que des progrès tangibles sont possibles dès lors qu'un processus en 4 axes (risques / accès / secret / contrôle) accompagne une approche innovante de la gestion des risques mêlant stratégie, sociologie, technologie, juridique et économie. Des éclairages concrets seront proposés au travers des nouveaux usages (Cloud Computing, mobilité, médias sociaux) et de la menace « social engineering ».
Pierre-Luc REFALO, Hapsis
•Les APT sont-elles des attaques avancées ?
APT : "Advanced Persistent Threat", ou cyber-espionnage en bon français.
Plusieurs voix se sont récemment élevées sur Internet pour dire que le niveau des attaques ne serait pas si "avancé" qu'on pourrait le croire... même s'il est vrai que les défenseurs sont largement à blâmer dans le succès des APT, cette session sera néanmoins l'occasion de démontrer quelques techniques d'exploitation, d'évasion et d'anti-détection originales identifiées dans des codes réels.
Nicolas RUFF, EADS Innovation Works
•Comment industrialiser le processus de gestion des risques
Les sinistres sont malheureusement encore aujourd'hui pour les directions, le principal vecteur de prise de conscience des défaillances de la sécurité du SI dans leur structure. Malgré l'émergence des standards de management de la sécurité et des méthodes d'analyse de risques, les grands groupes et administrations ne parviennent pas aujourd'hui à mettre en place un processus d'appréciation et de gestion des risques efficace… Comment évoluer du mode correctif et ponctuel de réponse à un sinistre vers le traitement des risques dans la durée ? Quelles sont les clés d'une gestion des risques opérationnelle ? Comment industrialiser ce processus dans nos structures ?
Jean LARROUMETS, Fidens
•A-IPS, le chaînon manquant ?Eric GARREAU, Gemalto
•Hacktivistes, de la scientologie à la cyber-guerre
De par les idées qu'il véhicule, le hacking a toujours eu une connotation politique. Ces dernières années, ce phénomène s'est encore accentué depuis que certains ont choisi de prendre les armes (informatiques) au service de combats politiques. Même si l'on ne peut pas parler d'organisations structurées ou hiérarchisées, plusieurs collectifs d'hacktivistes existent aujourd'hui.
Défendant souvent des causes communes (comme la lutte contre la censure), Anonymous, Telecomix ou NullCrew sont autant de groupes apparus sur la scène militante. De plus, cette tendance à l'hacktivisme est en augmentation. En effet, la médiatisation grandissante de leurs actions, ainsi que la notion « d'activisme de canapé», permet à ces hackers d'avoir un soutien important des populations.
Du déni de service distribué aux manifestations plus traditionnelles en passant par la mise en place de canaux de discussion sécurisés, les moyens qu'ils emploient pour soutenir, voire participer aux contestations politiques mondiales sont variés.
En détaillant les actions marquantes, ainsi que les modes d'actions et de fonctionnements de ces collectifs, cette présentation a pour but de cerner leurs organisations, leurs motivations et de préciser leurs méthodes d'actions.
Yoann HEDDE, Lineon
•Extraction de données authentifiantes de la mémoire Windows
Lors de la réalisation de tests d'intrusion, la récupération de mots de passe sur les postes compromis permet de rebondir au sein du réseau pour atteindre les éléments les plus critiques de l'infrastructure. En vu de la réalisation de cet objectif, les différents types de stockage et algorithmes utilisés par Windows seront détaillés afin de comprendre le fonctionnement des différents outils d'extraction. L'extraction des données authentifiantes en mémoire (empreintes, mots de passe) sera le principal sujet de l'intervention. L'outil développé sera présenté, puis publiéà la suite de la conférence.
Steeve BARBEAU, HSC
•Le marché du M-paiement, nouveau terrain de jeu pour les cybercriminels
Le M-Paiement et la sécurité sont-elles des notions contradictoires ou complémentaires ? Alors que le paiement mobile est à l'origine d'une transformation majeure de l'industrie des paiements, ce nouveau mode de transaction pose de nombreuses questions notamment en termes de sécurité. Les risques de fraude, la protection du consentement des utilisateurs et la lutte contre la cybercriminalité sont autant d'enjeux fondamentaux à ne pas ignorer avant de se lancer dans cette aventure.
Diane Mullenex, Cabinet Ichay & Mullenex Avocats
•Les vulnérabilités dans les frameworks Web modernes
De nombreux sites commerciaux et personnels se reposent actuellement sur des frameworks Web modernes, tels que Ruby On Rails, Symfony, Django... Ces frameworks embarquent de base des composants logiciels haut niveau pour gérer toute la sécurité de l'application sans forcément que les développeurs aient conscience des risques de sécurité sous-jacents. Cette présentation vise à mettre en lumière les failles de sécurité liées à ces frameworks, ainsi que leur exploitation.
Nicolas Oberli et Florent Batard, SCRT
•Démonstrations d'exploitations de failles de sécuritéLes démonstrateurs de l'ARCSI
Pour plus d'informations : rendez-vous sur le site des GS Days : www.gsdays.fr
Date et lieu :
4 avril 2013 - 8h30 – 18h30 Mariott Paris Rive Gauche 17, Bd Saint-Jacques 75014 Paris
Contact :
Marc Jacob Brami ou Emmanuelle Lamandé Tél. : 01.40.92.05.55 E-mail : marc.jacob@globalsecuritymag.com ou emmanuelle.lamande@globalsecuritymag.com
* Programme prévisionnel et non exhaustif au 8 février 2013 - sous réserve de modifications de la part de l'organisation.
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer plusieurs vulnérabilités du noyau, afin d'obtenir les privilèges du système.
Produits concernés : Windows 2003, Windows 2008, Microsoft Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP
Gravité : 2/4
Date création : 13/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Trois vulnérabilités ont été annoncées dans le noyau Windows.
Un attaquant peut employer une attaque de type "race", afin d'élever ses privilèges. [grav:2/4 ; BID-57855, CVE-2013-1278]
Un attaquant peut employer une attaque de type "race", afin d'élever ses privilèges. [grav:2/4 ; BID-57856, CVE-2013-1279]
Un attaquant peut utiliser une erreur de référence, afin d'élever ses privilèges. [grav:2/4 ; BID-57854, CVE-2013-1280]
Un attaquant local peut donc employer plusieurs vulnérabilités du noyau, afin d'obtenir les privilèges du système.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut ouvrir une session TCP avec un système Windows, et attendre que Windows envoie un paquet FIN, puis envoyer un paquet spécial, afin de consommer des ressources inutiles, conduisant à un déni de service.
Produits concernés : Windows 2008, Microsoft Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista
Gravité : 2/4
Date création : 13/02/2013
Date révision : 13/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Une session TCP peut être terminée avec un paquet possédant le drapeau FIN. Une session TCP possède plusieurs états, comme FIN_WAIT_1 et FIN_WAIT_2 (RFC 793).
Lorsque Windows est à l'initiative de la fermeture de la session TCP, il envoie un paquet FIN, et passe dans l'état FIN_WAIT_1. Ensuite, la machine distante acquitte cette fermeture, et Windows passe dans l'état FIN_WAIT_2. Cependant, si le paquet d'acquittement utilise une taille de fenêtre nulle, Windows ne libère pas des structures de données en mémoire.
Un attaquant peut donc ouvrir une session TCP avec un système Windows, et attendre que Windows envoie un paquet FIN, puis envoyer un paquet spécial, afin de consommer des ressources inutiles. La répétition de cette opération conduit à un déni de service.
Note : le service web de IIS ne peut pas être utilisé comme vecteur d'attaque.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer une vulnérabilité de CSRSS, afin d'élever ses privilèges.
Produits concernés : Windows 2008, Windows 7
Gravité : 2/4
Date création : 13/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le sous-système CSRSS (Client/Server Run-time Subsystem) gère les consoles et les processus des utilisateurs.
Cependant une erreur de référence sur un objet conduit à une corruption de mémoire.
Un attaquant local peut donc employer une vulnérabilité de CSRSS, afin d'élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
