Quantcast
Channel: Global Security Mag Online
Viewing all 95926 articles
Browse latest View live

Enquête IDC pour ESET : Les PME sont dépassées par l'arrivée du RGPD

$
0
0

D'après l'étude IDC® commandée par ESET®, les petites et moyennes entreprises soumises au Règlement Général sur la Protection des Données (RGPD – GDPR en anglais) se sentent dépassées et ne disposent pas toutes des moyens financiers leur permettant de sécuriser leurs systèmes d'information, conformément aux exigences du RGPD.

« La protection des données à caractère personnel des clients et partenaires est primordiale pour les entreprises. Elles doivent prendre conscience de la valeur que représentent ces informations et mettre en place des mesures adaptées pour répondre aux obligations du RGPD. », explique Mark CHILD, Research Manager chez IDC.

Sur les 700 entreprises interrogées, 77% des décideurs informatiques ne sont pas conscients de l'impact du RGPD sur l'activité de leur entreprise ou n'ont même pas connaissance de ce règlement. Parmi celles qui connaissent le RGPD, 20% affirment y être déjà conformes, 59% travaillent à l'être et 21% avouent ne pas du tout être préparés.

Les petites et moyennes entreprises reconnaissent que leur logiciel anti-malware est insuffisant dans l'environnement de menace actuel, et la moitié des répondants ont avoué que ce point était le plus important à améliorer.

Pour ESET, cette étude met en évidence le manque d'information des PME : « un logiciel anti-malware ne suffit pas d'une part à se protéger de l'ensemble des menaces et d'autre part à se conformer au RGPD. Un travail préalable de cartographie des données doit être réalisé afin de maîtriser les accès. En outre, des tests et des audits sont obligatoires. Au vu de la complexité juridique du texte, nous encourageons les PME à s'entourer de professionnels qui vérifieront que toutes les mesures ont été mises en place. Enfin, les entreprises doivent posséder à la fois une solution de protection complète et connue, et des outils de chiffrement et d'authentification », explique Benoît GRUNEMWALD, Directeur des Opérations chez ESET France.

« En 2015, 63% des vols de données sont dus à la vulnérabilité des mots de passe (vol ou crack). Ce constat indique le besoin urgent d'ajouter un facteur d'authentification à la sécurité des appareils. L'anonymisation des données est une option, mais elle peut être détournée par le croisement de diverses sources. Le chiffrement résout ce problème et est d'ailleurs plébiscité par 36% des répondants, mais cette mesure est considérée comme complexe et coûteuse pour la plupart des petites et moyennes entreprises », explique Mark CHILD.


Oodrive classé parmi les 10 entreprises leaders du Social Selling LinkedIn en France

$
0
0

Quelle entreprise peut se passer de prospection commerciale ? Aucune à priori. En effet, c'est une étape quasi vitale pour un business et qui s'appuie avant tout sur une bonne connaissance de ses clients et prospects. Mais cette connaissance ne doit pas se limiter à détenir leurs coordonnées. Elle passe par leur écoute, l'identification de leurs motivations, leurs besoins et attentes et l'évaluation de leur maturité dans le cycle de décision afin de leur adresser le bon message au bon moment. L'approche « consumer centric » est plus que jamais au goût du jour. Ce leitmotiv doit être au cœur de toute prospection qui se veut efficace afin que la réponse aux besoins identifiés des clients soit la priorité de l'entreprise. C'est le cas d'Oodrive, leader européen de la gestion des données sensibles, qui met en pratique depuis plusieurs années déjà le « social selling ».

Qu'est-ce que le social selling et quels sont ses avantages ? Le social selling consiste à exploiter les réseaux sociaux afin de repérer les bons prospects, de nouer des relations et d'atteindre les objectifs commerciaux fixés par l'entreprise. Les acheteurs d'aujourd'hui passent de plus en plus de temps en ligne et sur les réseaux sociaux avant de contacter un prestataire potentiel. Le social selling permet donc de gagner du temps et de l'argent. En aidant les entreprises à repérer et à entrer en contact avec les prospects de manière plus ciblée, le social selling prend le relai du démarchage téléphonique. Les entreprises gagnent ainsi en performance.

Le social selling :
• raccourcit le cycle de vente
• apporte une meilleure compréhension des prospects
• permet de contacter les acheteurs au bon moment
• identifie de nouvelles opportunités de génération de leads
• améliore la productivité de l'équipe commerciale
• permet de se positionner en tant que leader d'opinion

Le social selling selon Oodrive

Pratiqué depuis de nombreuses années par l'ensemble de la force commerciale d'Oodrive, le social selling Linkedin s'est intensifié ses dernières années. Son usage est devenu systématique notamment grâce à la mise en place en 2014 du module « Sales Navigator ».

« Cet outil a simplifié la vie des équipes de vente chez Oodrive. Il permet de créer une relation pertinente entre professionnels, basée sur la confiance et orientée vers la résolution de besoins métier précis » déclare Eryk Markiewicz, CMO chez Oodrive. « Un gain en efficacité que nous mesurons au quotidien ».

Dans les faits, le social selling permet à Oodrive de mesurer la performance de la marque sur LinkedIn, d'identifier les prospects les plus pertinents, de communiquer auprès d'eux via du contenu approprié répondant à leurs attentes et besoins. Enfin, cela permet à Oodrive de construire avec eux une relation à long terme.

« Le social est maintenant ancré dans l'ADN de tous les collaborateurs d'Oodrive et a permis de créer une véritable culture digitale. Il nous donne également le pouls du marché et nous aide sur notre veille marché et concurrentielle » conclu Eryk Markiewicz.

Depuis sa mise en place, le social selling a permis à Oodrive de générer 5 à 10% d'opportunités de business supplémentaire.


*Méthodologie de l'étude : Market Cube a mené pour le compte de LinkedIn, une étude sur Internet auprès d'un échantillon de 504 professionnels du développement commercial et des ventes en France entre le 24 février et le 4 mars 2016. Les commerciaux les plus performants incluent des personnes interrogées qui se classent parmi les meilleurs 15% de leur organisation et qui prévoient de dépasser leur objectif de chiffres d'affaires d'au moins 25%. Le classement concerne les entreprises employant plus de 50 salariés et ayant plus de 50 commerciaux actifs.

Snow lance une nouvelle version de Snow Optimizer for SAP®

$
0
0

Snow Software lance la nouvelle version de sa solution Snow Optimizer for SAP®. Conçue pour aider les entreprises à gérer et à optimiser les licences SAP®, cette version se concentre sur les améliorations apportées à la détection des accès et usages indirects ainsi qu'à la réduction des risques.

Snow Optimizer for SAP® 2.0 aide les entreprises qui ont investi dans SAP®à optimiser leurs licences en mettant l'accent sur la détection et la réduction de l'exposition financière associée aux usages indirects.

La solution Snow Optimizer for SAP® permet aux entreprises de détecter plus facilement les signes des usages indirects, puis de gérer leurs licences pour s'assurer que tout utilisateur accédant au système SAP® via une application tierce utilise le type de licence SAP® disponible correct et le plus rentable. Pour optimiser le parc de licences SAP®, la solution recommande automatiquement des changements de type de licence en fonction du comportement réel de l'utilisateur.

La solution est prise en charge par un réseau mondial de partenaires, dont KPMG, Deloitte et Anglepoint.

Snow Optimizer for SAP® 2.0 sera disponible à partir du 30 mars 2017.

Sogetrel renforce sa participation au déploiement des compteurs communicants GAZPAR

$
0
0

Sogetrel amplifie sa participation au déploiement des compteurs communicants GAZPAR pour le compte de GRDF.

Sogetrel a été choisi par GRDF pour l'installation de compteurs communicants gaz, GAZPAR. Dans ce cadre, Sogetrel participe, depuis début 2016, au déploiement de la phase pilote sur la Haute-Normandie, portant sur le remplacement de 283 000 compteurs.

Début Octobre Sogetrel s'est vu attribué, à la suite d'un appel d'offres européen, le déploiement d'environ 1 000 000 de compteurs sur 5 ans et sur 4 lots supplémentaires : Argenteuil, Lille, Picardie, Limousin.

Les travaux débuteront en mai 2017. Au total ce seront près d'un million de compteurs qui seront mis en service par Sogetrel.

Spirent et Nokia s'associent pour accélérer les tests de cycle de vie 5G

$
0
0

Spirent Communications et Nokia annoncent le déploiement réussi d'un LaaS (Lab as a Service) 5G premier de son genre pour les laboratoires de test d'infrastructure réseau de Nokia basés à Oulu. Ce produit permet une automatisation des tests 5G avec comme objectif principal d'accélérer la sortie par Nokia de fonctions de réseau virtuel et de son infrastructure physique.

Le site de Nokia à Oulu a dirigé le déploiement initial et a choisi Spirent Velocity comme plate-forme LaaS. Une caractéristique du LaaS 5G est un portail en self-service, accessible par des centaines d'utilisateurs simultanés à travers le monde. Ce portail accepte également des milliers de dispositifs et des dizaines de milliers de connexions pour les infrastructures 5G et existante. Il permet aux ingénieurs de Nokia de créer, démanteler et réutiliser rapidement des bancs de test hybrides 5G depuis n'importe où dans le monde. Le LaaS 5G est déjà en cours de déploiement sur d'autres sites de Nokia.

L'automatisation des tests 5G nécessite l'intégration d'un mélange complexe de commutateurs optiques et RF de couche 1, de commutateurs de couche 2 et virtuels, de modules de contrôle de puissance et de logiciel de gestion de tests. La possibilité de sélectionner des câbles et de créer des liaisons RF entre des dispositifs respectant des exigences d'affaiblissement de propagation définies de manière rigide est essentielle. D'autre part, l'automatisation des tests dans le modèle LaaS 5G nécessite des fonctions sophistiquées pour réserver les ressources, créer les topologies et gérer les changements de l'environnement de test. Pour assister le LaaS 5G chez Nokia, Spirent a déployé Spirent Velocity, orchestrateur de tests pour les environnements de laboratoire hybrides virtuels-physiques, qui gère l'état complet du laboratoire et automatise le partage des ressources entre les utilisateurs.

Modèle de sécurité Zéro confiance : un excellent moyen de renforcer la protection des données

$
0
0

« Les utilisateurs à l'intérieur d'un réseau ne sont pas plus dignes de confiance que les utilisateurs à l'extérieur du réseau ». Cette citation de l'Oversight and Government Reform Committee est extraite du dernier rapport de violations de l'Office of Personnel Management (231 pages). Celui-ci met en évidence une solution importante pour empêcher les atteintes à la protection des données : implémenter le modèle Zéro confiance.

En quoi consiste le modèle Zéro confiance ?

Conçu en 2009 par Forrester Research, le modèle Zero Trust (Zéro confiance en français) incite les entreprises à inspecter l'intégralité du trafic réseau, à l'extérieur et à l'intérieur. John Kindervag, analyste principal chez Forrester, déclare :

« Nous devons savoir ce qui se produit dans nos réseaux. Les utilisateurs ne peuvent pas disposer d'accès selon leur bon vouloir… soit ils feront quelque chose de mal par inadvertance et seront peut-être licenciés pour cela, soit ils accéderont illégalement à des données qui sont en fait à leur portée. »

Le modèle Zéro confiance ne signifie pas que vous doutez de vos utilisateurs

Le nom du modèle semble insinuer que vous ne pouvez pas accorder votre confiance à vos utilisateurs finaux. Rien n'est plus éloigné de la vérité ! Au lieu de cela, Zéro confiance fait référence au suivi et à l'audit du trafic réseau et au contrôle des accès.

Trois principes sous-tendent le modèle Zéro confiance :

- 1. Assurez-vous que toutes les ressources sont accédées de manière sécurisée indépendamment de leur emplacement.

Ce premier concept souligne en fait que vous devez protéger vos données internes des menaces intérieures de la même manière que vous protégez vos données externes.

Comment ?

Quand il faut choisir l'endroit où stocker vos données, il n'existe pas de réponses simples. Devez-vous choisir un cloud public ? Un cloud privé ? Un cloud hybride ? Il vous faudra effectuer une analyse et répondre impérativement à ce dilemme.

- 2. Journalisez et inspectez systématiquement la façon dont les fichiers et les courriers électroniques sont touchés.

Le modèle Zéro confiance préconise deux méthodes pour accroître la visibilité du trafic : journalisation et inspection.

Oui, journalisez le trafic réseau interne. Par exemple, si quelqu'un a supprimé votre fichier, comment pouvez-vous savoir de qui il s'agit ?

De plus, inspectez et mettez en place des alertes en temps réel. Alors que certaines violations de données nécessitent des mois pour être découvertes, la détection automatisée des attaques (et maintenant des ransomware) s'avère primordiale.

- 3. Le troisième concept majeur est le modèle des moindres privilèges

Les moindres privilèges constituent une manière de dire que les utilisateurs ont uniquement accès à ce dont ils ont besoin pour effectuer leur travail. Le principe des moindres privilèges est aussi souvent assimiléà la règle militaire du « besoin d'en connaître » qui est un des principes de sécurité les plus cités.

Lorsque les collaborateurs restent longtemps dans une entreprise, ils changent de poste, de service et de responsabilités. Les projets temporaires nécessitent souvent des accès provisoires, mais ceux-ci savent aussi devenir permanents. Parfois, les permissions sont accordées accidentellement.

En conséquence, les utilisateurs se retrouvent avec plus de permissions d'accès aux données qu'ils n'en ont besoin. Mais personne n'appelle le service d'assistance pour se plaindre d'un excès de permissions. C'est pourquoi il est véritablement important de tendre vers un modèle de moindres privilèges.

Tout d'abord, analysez l'activité d'un utilisateur. S'il cesse d'accéder aux données, il vous suffit probablement de désactiver son compte. Cependant, effectuez une double vérification en mettant en corrélation son activité d'accès et son activité de groupes de sécurité. Même si l'utilisateur n'accède plus à des données permises par un groupe spécifique, cela ne signifie pas toujours qu'il n'a plus besoin de cet accès.

Excellent moyen de contribuer à renforcer la sécurité des données, le modèle Zéro confiance s'impose peu à peu au sein des entreprises. Il prolonge efficacement les différentes solutions de sécurité déjà en place au sein de l'entreprise.

Hervé Dhelin, EfficientIP : Le « mass wifi » ou le grand défi des endroits publics

$
0
0

Durant les événements sportifs ou festifs, les grands stades sont confrontés à de forts enjeux pour assurer la disponibilité d'une connexion Internet pour les spectateurs.

Les services DHCP/DNS sont sur sollicités sur de courtes durées. Pour certains événements ou tournois nationaux ou internationaux à Roland Garros, au Stade de France ou au AccorHotels Arena, les datacenter doivent supporter la connexion de dizaines de milliers de devices (smartphones, tablettes, objets connectés..) et de milliards de requêtes DNS.

La performance, priorité n°1

Des milliers de journalistes, photographes, VIP, joueurs et entraîneurs utilisent les services réseau sans parler des caméras de surveillance, des systèmes de retransmission, des terminaux favorisant la récolte et l'analyse de données ou encore les nombreux périphériques personnels des spectateurs souhaitant accéder au réseau.

Certains organisateurs affichent fièrement leur capacitéà relever ce défi, à l'image du Stade de France qui doit - plus que tout autre - répondre à cette promesse. En effet, ce dernier annonce en grand « WIFI HD » et promet d'assurer la connexion de 80 000 personnes ; un challenge considérable. Toute interruption de service serait dramatique pour la continuité du show et susciterait l'énervement des utilisateurs supra-connectés.

En dehors des endroits publics de ce type, aucune autre structure ne supporte autant de demandes de connexion, qui plus est sur une période aussi réduite, allant de quelques heures à quelques jours pour les grandes compétitions internationales ou concerts.

Les cyberattaques, gangrène des organisateurs et des utilisateurs

Il n'existe aucun moyen de savoir si les devices et autres objects connectés au réseau ne sont pas infectés par un malware. Pourtant, les organisateurs doivent accepter qu'ils se raccordent à leur réseau, en prenant le risque qu'un hacker utilise un ou plusieurs points d'entrée pour rapidement compromettre la connexion ou ne se propage à grande échelle.

En se référant aux dernières grandes cyberattaques comme Dyn ou Yahoo, on se souvient que ce sont pas moins de 170 000 devices qui ont été infectés ce qui équivaut à deux Stade de France. Imaginons qu'un spectateur possède un smartphone infecté. Sans le savoir et en se connectant au réseau du stade ou d'un endroit public à forte affluence, l'utilisateur peut représenter un relai d'attaques en cascade et corrompre de nombreux devices ou services.

Cette problématique est unique en son genre : seuls les lieux de rassemblements publics y sont confrontés. Pouvoir sécuriser un volume aussi important durant un court laps de temps suppose une grande vigilance et une grande réactivité pour identifier puis si besoin mettre en quarantaine ou blacklister certaines requêtes malveillantes.

Des systèmes de sécurité d'aujourd'hui doivent être en place pour en limiter les impacts. Heureusement, Roland Garros est équipé d'une solution garantissant la performance de son réseau et la détection de comportements anomaux sur les devices connectés. A terme, chaque organisateur devrait s'équiper et se protéger efficacement pour assurer le show !

Avis du CERTA : CERTFR-2017-AVI-064 : Vulnérabilité dans VMware Horizon DaaS


Avis du CERTA : CERTFR-2017-AVI-063 : Multiples vulnérabilités dans SCADA les produits Schneider

Tech Data nomme Patrick Zammit président de Tech Data Europe

$
0
0

Tech Data Corporation a nommé Patrick Zammit à la tête de Tech Data Europe. Il reportera à Rich Hume, Vice-président exécutif et Directeur des opérations (COO) de Tech Data.

M. Zammit était président monde de Avnet Technology Solutions avant l'acquisition de cette dernière par Tech Data. Il assurait auparavant la direction des composants électroniques de Avnet EM pour la zone EMEA, après avoir occupé divers postes à responsabilités au sein des fonctions financières, opérationnelles et de planification stratégique de l'entreprise. Il avait débuté sa carrière chez Arthur Andersen, avant de rejoindre Avnet.

Tech Data a également dévoilé la composition du comité de direction européen qui sera présidé par M. Zammit.

• Alain Amsellem : Vice-président senior et Directeur financier (CFO), Europe
• Michael Dressen : Vice-président senior et Directeur régional, Allemagne et Autriche
• Jonas Elmgren : Vice-président senior et Directeur régional, GEO*
• Andy Gass : Vice-président senior et Directeur régional, Royaume-Uni et Irlande
• Pascal Murciano : Vice-président senior et Directeur régional, France
• Miriam Murphy : Vice-président senior et Directeur régional, Benelux
• Stephen Nolan : Vice-président senior, Distribution générale, Mobile et Services
• Johan Vandenbussche : Vice-président senior, Opérations
• Graeme Watt : Vice-président senior, Valeur ajoutée y compris Azlan/Technology Solutions, les marques spécialisées Datech et Maverick, ainsi que Tech Data Cloud et Tech Data Smart pour l'IoT
• Simon England : Vice-président senior, Technologies nouvelle génération y compris le cloud, le big data (analyses et analyses cognitives), l'IoT, la sécurité, la formation et les services
• Carlos Arcusa : Vice-président, Ressources humaines
• Michael Fischermanns : Vice-président, Informatique
• Hugo Graca : Vice-président, Global Computing Components, EMEA
• Roman Rudolf : Vice-président, Intégration

S'exprimant sur sa nomination, M. Zammit déclare : « J'ai hâte d'aller au contact de nos partenaires distributeurs et fournisseurs à travers l'Europe. L'acquisition a réuni deux entreprises dont la fierté est d'offrir une expérience client d'exception. Pour moi, la priorité est de faire bénéficier nos partenaires des solutions informatiques élargies et diversifiées désormais proposées par Tech Data. »

*GEO = les autres pays européens où Tech Data est implantée : Bulgarie, Croatie, République Tchèque, Danemark, Finlande, Hongrie, Italie, Norvège, Pologne, Portugal, Roumanie, Serbie, Slovaquie, Slovénie, Espagne, Suède, Suisse et Turquie.

Vigil@nce - Cisco Secure Access Control System : redirection

$
0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut tromper l'utilisateur de Cisco Secure Access Control System, afin de le rediriger vers un site malveillant.

Produits concernés : Secure ACS.

Gravité : 1/4.

Date création : 16/02/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Cisco Secure Access Control System dispose d'un service web.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de Cisco Secure Access Control System, afin de le rediriger vers un site malveillant.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...

Vigil@nce - Apple iOS : déni de service via un MMS avec une carte de visite VCF

$
0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut envoyer des carte de visite VCF dans des MMS à un terminal Apple iOS, afin de mener un déni de service.

Produits concernés : iOS par Apple, iPhone.

Gravité : 2/4.

Date création : 03/01/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Apple iOS dispose d'une application de traitement des MMS.

Cependant, l'application ne gère pas correctement certaines erreurs de format des cartes de visite au format VCF, celles-ci provoquent une erreur fatale de l'application de lecture.

Un attaquant peut donc envoyer des carte de visite VCF dans des MMS à un terminal Apple iOS, afin de mener un déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...

Ventadis, filiale du Groupe M6, choisit la solution « Licence Consulting services » d'Insight

$
0
0

Insight annonce avoir été choisi par Ventadis, le pôle « vente à distance » du Groupe M6, pour l'accompagner dans l'optimisation de ses investissements logiciels et la pérennisation de son système d'information. La solution Insight License Consulting Service a permis de mener à bien le projet d'optimisation de licencing des 350 postes de travail et d'une centaine de serveurs répartis sur 9 sites en France. Ventadis a trouvé en Insight le partenaire idéal pour accompagner ses équipes informatiques dans la définition de la politique SAM la plus adaptée à ses besoins.

Une consolidation nécessaire de ses licences logicielles

Depuis quelques années et suite à l'intégration de plusieurs marques, Ventadis cumulait des licences Microsoft acquises auprès de différents partenaires sur différents modes. Pour simplifier cette situation et obtenir une vue précise de l'état du parc installé, la direction informatique de Ventadis s'est mis en recherche d'un expert du licencing qui puisse également l'aider à s'assurer de la conformité de son parc de licences et tirer les meilleurs bénéfices de son licencing. Le partenaire retenu devait disposer d'une connaissance pointue sur les produits et licences Microsoft, qui représentent 90% de ses achats.

Ventadis disposait déjà d'une longue relation de confiance avec l'entité allemande d'Insight. C'est donc tout naturellement qu'elle s'est tourné vers Insight France pour lui confier ce projet.
La mission d'Insight devait également permettre d'évaluer le coût d'une migration des applications bureautiques telles qu'Office pour les postes de travail et par là même, l'impact financier de ses futures évolutions technologiques et fonctionnelles à cinq ans.

Une solution adaptée

Grâce à sa solution « Licence Consulting services », Insight France a menéà bien sa mission en seulement quelques semaines au moyen de deux grandes phases de collecte et d'analyse des données ainsi que de nombreux ateliers de conseils et d'optimisation licencing à destination des équipes IT et achats de Ventadis.

La mission a débuté par un atelier de lancement permettant de qualifier les besoins réels du client et mettre en place un planning d'actions. Après avoir établi un diagnostic des licences déployées et effectuer un inventaire des données du parc, les experts Insight ont pu déterminer les écarts en termes d'acquisition et de déploiements ; Insight a ainsi orienté Ventadis sur les bonnes pratiques pour rester en conformité, notamment dans le Cloud, à date et dans le futur.

Ils ont pu mettre en exergue ce qu'une migration vers le Cloud pourraient apporter à l'entreprise et modéliser un plan de déploiement ainsi que former les équipes de Ventadis aux règles de licencing Microsoft. Ce travail de conseil a permis de mettre en place une réflexion sur la bonne stratégie SAM à adopter tout en trouvant des solutions d'optimisation financière et de rationalisation des acquisitions de licences.

« Travailler avec Insight, c'est s'associer avec un expert compétent, proactif et résolument humain » explique Roger Mamaty, directeur exploitation de Ventadis. « Nos équipes ont gagné en maîtrise et nous avons maintenant une vision claire de la meilleure orientation à prendre pour gérer notre politique de licencing ainsi que mettre en place nos futures migrations, ce qui devraient faire baisser nos dépenses jusqu'à 27% par an ».

Une expertise qui a fait la différence

Le pôle Ventadis a été très satisfait de la qualité d'écoute et de la disponibilité des équipes d'Insight. Sa forte maîtrise des produits et du licencing Microsoft en a fait un partenaire de choix pour accompagner ses équipes dans la définition de la politique SAM la plus adaptée à leurs besoins.

La DSI du pôle Ventadis est constituée de quatre équipes principales : back-office, front office, support/exploitation et direction technique. Ces derniers n'avaient pas toujours la même compréhension des règles de licencing Microsoft. Les ateliers de formation dispensés par les experts Insight ont permis aux équipes de s'accorder sur les mêmes interprétations des règles de licencing et les incidences occasionnées par leur non-respect. Ceci a fortement amélioré la communication et la collaboration entre les équipes.

Lettre ouverte internationale des ONG demandant la suspension du Privacy Shield

$
0
0

La Quadrature du Net se joint à une coalition d'associations européennes et internationales et signe une lettre demandant la suspension du « Privacy Shield », la décision permettant le transfert de données personnelles entre les États-Unis et l'Union européenne. Ces organisations considèrent que les États-Unis ne donnent pas assez de garanties à la protection des données personnelles des Européens. Cette décision du « Privacy Shield » est actuellement contestée devant la Cour de justice de l'Union européenne par Digital Rights Irelands et par les « Exégètes Amateurs »1..

Commissaire Věra Jourová cc : Secrétaire du Commerce des États-Unis, Wilbur Ross Madame Isabelle Falque-Pierrotin Présidente du Groupe de travail de l'Article 29 Député européen Claude Moraes Président de la commission des libertés civiles, de la justice et des affaires intérieures Son Excellence Madame Marlene Bonnici Ambassadeur extraordinaire et plénipotentiaire Représentante permanente de Malte auprès de l'Union européenne

28 février 2017

Une coalition d'organisations de libertés civiles demande aux législateurs européens de faire pression pour une réforme du renseignement américain afin d'assurer un cadre respectueux des droits des non-américains

Nous représentons une coalition d'organisations de défense des droits de l'Homme basées dans les États membres de l'Union européenne et ailleurs dans le monde. Nous vous exhortons à vous assurer que les États-Unis réforment cette année et de manière conséquente leurs lois sur le renseignement afin de protéger les droits des personnes non américaines, notamment des européens. Certaines organisations de cette coalition ont à plusieurs reprises pointé du doigt les défauts présents dans les mécanismes américains de recours et de supervision des violations de la vie privée, les insuffisances dans les limitations de la collecte, l'accès et l'utilisation des données personnelles, et les incertitudes des garanties écrites servant de base à l'accord « Privacy Shield » de transfert de données entre l'Union européenne et les États-Unis. Sans réelle réforme de la surveillance, nous pensons qu'il est de votre responsabilité, à défaut d'une meilleure option, de suspendre le Privacy Shield. Nous vous exhortons à clarifier ce positionnement pour vos homologues américains lors de votre prochaine visite.

À moins que le Congrès ne le prolonge, le titre VII du FISA Amendments Act (FAA) américain expirera le 31 décembre 2017. Il s'agit de la disposition de la loi américaine qui comprend l'organe communément connu sous le nom de « Section 702 ». La Section 702 est très large, autorisant les programmes de surveillance PRISM et UPSTREAM qui violent les normes internationales relatives aux droits de l'Homme2. Sans réforme significative, la section 702 continuera à menacer la libre circulation de l'information outre-Atlantique, et aura une incidence négative sur la protection des données et de la vie privée au niveau mondial. La surveillance au titre de la section 702, y compris dans le cadre des programmes mentionnés ci-dessus, était au cœur de la décision de la Cour de justice de l'Union européenne rejetant l'accord de transfert de données, dit « Safe Harbor », entre les États-Unis et l'Union européenne 3.

Par conséquent, la réforme de la section 702 est un prérequis, même si insuffisante en elle-même, pour être en accord avec les principes de la Cour. Le Safe Harbor a ensuite été remplacé par le Privacy Shield. Au moment de l'adoption de cet accord, plusieurs groupes ont souligné que la loi américaine était inadaptée pour protéger les données des européens et ne satisfaisait pas le critère d'«équivalence substantielle » imposé par la CJUE4. Depuis, plusieurs évènements ont sérieusement compromis l'engagement des États-Unis à protéger les droits des personnes non-américaines5.

Il existe plusieurs façons pour les États-Unis de réformer la section 702 du FAA afin de mieux protéger les droits de l'Homme, sans pour autant mettre en péril la sécurité de leurs citoyens et de ceux des autres pays du monde6. Malgré cela, la réforme principalement envisagée consiste à limiter les recherches d'antécédents sur les citoyens américains sans pour autant restreindre en aucune façon la surveillance ciblant des centaines de millions de personnes dans le reste du monde. Si aucune réforme - ou une réforme ne garantissant une meilleure protection qu'aux seuls citoyens américains - n'est entérinée cette année, nous considèrerons cela comme un message fort envoyéà l'Union européenne déclarant que nos droits sont sans importance. Nous vous demandons de défendre la vie privée et la protection des données des citoyens de l'UE et de déclarer que le bouclier de protection des données « Privacy Shied » sera suspendu faute de réforme significative.


• Les Exégètes Amateurs rassemblent trois associations françaises : La Quadrature du Net, French Data Network et la Fédération FDN. Pour plus d'infos : voir leur site internet
• 2. https://www.accessnow.org/new-call-...
https://www.accessnow.org/cms/asset....
• 3. http://curia.europa.eu/juris/docume...
• 4. https://www.accessnow.org/cms/asset....
• 5. https://www.accessnow.org/cms/asset... ; https://www.accessnow.org/cms/asset...
• 6. https://www.accessnow.org/new-call-....

F5 Networks lance de nouvelles solutions visant à mieux préparer les opérateurs à l'IoT et à la 5G

$
0
0

F5 Networks annonce une série de nouvelles solutions et fonctionnalités prêtes pour la 5G et l'Internet des objets (IoT) afin d'aider les opérateurs à travers le monde à mieux optimiser, sécuriser et monétiser leurs réseaux. Le salon a été l'occasion pour l'expert en sécurité et en déploiement d'applications de dévoiler sa dernière gamme de solutions, démonstrations à l'appui.

En collaboration avec certains clients opérateurs, F5 a montré comment sa technologie permet de s'adapter aux tendances liées au développement de la 5G, l'IoT, la virtualisation des fonctions réseau (NFV, Network Functions Virtualization) et les scénarios de déploiement multi-Cloud.

« Basées sur une conception résolument tournée vers l'avenir, nos solutions à destination des opérateurs consolident et optimisent les fonctions réseau pour l'ère de la 5G et de l'IoT. L'objectif : réduire le coût total de possession, mais aussi assurer une sécurité multicouche de bout en bout, couvrant les terminaux, les réseaux et les applications », explique Mallik Tatipamula, Vice-président des solutions pour opérateurs et l'IoT chez F5 Networks. « L'enjeu est de favoriser l'émergence de services et de business models novateurs pour mieux fidéliser la clientèle et augmenter les parts de marché. »

Principales nouveautés :

• Exploitation du potentiel de la technologie NFV
Pour aider les opérateurs à tirer parti des opportunités de la 5G, de l'IoT et du Cloud, F5 lance la NFV 40G Virtual Edition hautes performances pour permettre aux opérateurs de doter leurs réseaux d'architecture plus flexibles et agiles.

• Concrétisation de l'IoT
Face à la croissance exponentielle du trafic IoT, F5 annonce la prise en charge de protocoles IoT spécialisés, comme MQTT (Message Queuing Telemetry Transport), afin d'aider les opérateurs à optimiser et à sécuriser efficacement leur réseau. Première fonction spécialement conçue pour répondre aux besoins des opérateurs en matière d'IoT, la distribution des messages MQTT (MQTT Message Delivery) assure une orientation intelligente du trafic ainsi que l'application de politiques spécifiques. F5 renforce sa prise en charge de l'IoT en proposant des solutions de sécurité, d'accès et d'authentification pensées pour l'IoT.

• Améliorations en matière de services SGi-LAN F5 Networks consolide sa position de leader sur le marché des services réseau des couches 4 à 7 (SGi-LAN). Parmi les nouveautés, F5® BIG-IP® Policy Enforcement Manager™ (PEM) a été remanié et s'accompagne à présent d'options de licence flexibles pour une souplesse un et un contrôle accrus du réseau, permettant aux opérateurs de faire évoluer leurs cas d'utilisation au fil du temps. De plus, l'optimisation TCP SGi-LAN comprend désormais des mécanismes d'auto-optimisation et est étroitement couplée à une connaissance précise des abonnés. Autant de fonctions avancées mises à la disposition des opérateurs. Ces nouveautés viennent compléter la large gamme de services SGi-LAN existants, dont l'orientation intelligente du trafic, Carrier-Grade NAT (CGNAT), la technologie DNS, les pare-feu et le chaînage de services.

• Perfectionnement des pare-feu de classe opérateur pour la sécurité de ces derniers
Parmi les améliorations clés apportées à la solution de pare-feu de classe opérateur, dynamique et de bout en bout de F5 figurent une connaissance des abonnés/politiques pour F5 BIG-IP Advanced Firewall Manager (AFM), une meilleure protection DDoS, et l'intégration de la sécurité et de la journalisation avec SevOne, seule plate-forme de surveillance des infrastructures numériques du marché offrant des informations avancées exploitables. L'intégration d'un pare-feu de classe opérateur et de CGNAT permet en outre aux opérateurs de migrer facilement leurs réseaux vers IPv6.

Ces nouveautés F5 arrivent tout juste après les prévisions d'IDC selon lesquelles le marché de l'IoT devrait atteindre 1,29 billion de dollars d'ici 20201, avec un taux de croissance annuel de 15,6 %. Cette même année, chaque citoyen possédera en moyenne 5,1 terminaux connectés2 si l'on en croit le cabinet de conseil Frost and Sullivan.

L'IoT se hisse par ailleurs en tête de l'agenda stratégique des conseils d'administration partout dans le monde. Un récent rapport3 publié par l'Internet of Things Institute indique que sur les 1 000 dirigeants d'entreprise interrogés au niveau mondial, 65 % estiment que les entreprises adeptes de l'Internet des objets bénéficieront d'un avantage significatif.

Dans le même temps, le dernier rapport Ericsson sur la mobilité prévoit 550 millions d'abonnements à la 5G à l'horizon 2022. 29 milliards de terminaux connectés seront par ailleurs en circulation, dont 18 milliards associés à l'IoT4.

La diversité de l'offre F5 dédiée aux opérateurs s'illustre via une série de cas d'utilisation clients. Principaux exemples :

Orange : services à la demande de nouvelle génération
F5 a considérablement aidé Orange à développer sa démonstration « Réseaux mobiles à la demande » qui met en lumière des services à la demande novateurs reposant sur les technologies SDN/NFV.

La solution de F5 est utilisée pour faciliter la gestion du trafic mobile virtualisé en vue de l'introduction de nouveaux services mobiles. Cette démonstration montre comment il est possible de déployer un nouveau service de contrôle d'accès parental au sein des réseaux mobiles Orange en l'espace de quelques minutes. Les parents pourront ainsi souscrire, activer et contrôler instantanément des services à la demande sans intervenir sur les terminaux de leurs enfants.

« F5 est un partenaire clé dans le développement de services Orange à la demande de la nouvelle génération. Cette démonstration montre à quel point ses produits facilitent la création de nouveaux services en un temps record », estime Jehanne Savi, Directrice du programme On-Demand Networks and All IP chez Orange Corp.

Joors : connecter ce qui ne l'est pas
Conjointement avec F5 Networks, le pionnier du Web suédois Joors a élaboré une solution qui aide les opérateurs mobiles du monde entier à proposer aux utilisateurs des solutions de connectivité abordables via des business models innovants, tels que l'accès financé par la publicité. Première du genre, la solution de Joors s'appuie sur un réseau agile et flexible, doté de fonctions de gestion avancées.

F5 BIG-IP Local Traffic Manager (LTM) occupe un rôle central dans cette approche en simplifiant, automatisant et personnalisant le déploiement d'applications. Autre composant clé, F5 BIG-IP Policy Enforcement Manager (PEM) fournit des informations sur le comportement des abonnés et gère efficacement l'utilisation du réseau grâce à un large éventail de fonctions d'application de politiques.

Cette solution a permis à Joors de mettre en œuvre des politiques sur l'ensemble de ses réseaux, lesquels fonctionnent tous au sein d'un environnement entièrement virtualisé, indépendant du matériel, et peuvent être contrôlés à distance depuis la Suède.

« Joors a à cœur d'innover et de connecter les personnes d'une manière jusqu'ici inconcevable, non viable d'un point de vue économique ou bien irréalisable en raison des limitations du matériel », déclare Carl Aspenberg, PDG et fondateur de Joors. « F5 nous apporte un soutien exceptionnel en faisant preuve d'un engagement et d'une implication sans faille. Véritable prolongement de notre équipe, F5 collabore avec nous sur un pied d'égalité et nous aide au quotidien à faire évoluer nos produits. F5 comprend parfaitement les technologies de rupture. Avec son approche orientée applications, la société fournit des solutions Cloud et de sécurité extrêmement performantes ».


26 - 27 avril - Dakar : SecurityDays

$
0
0

Pour cette nouvelle édition 2017 qui aura lieu les 26 & 27 avril prochains près de 1000 visiteurs et 40 partenaires sont attendus, avec notamment la venue de l'ensemble des forces de l'ordre en charge de l a lutte contre la cyberc riminalité dans la sous-région ainsi que des agences équivalentes de l'ANSSI dans le CEDEAO.

Les SecurityDays 2017 seront ouvert par le Ministre des Postes & Telecoms et conclu par le Min istre de l'Intérieur sénégalais, avec la venue de certains de leurs homologues. Avec des partic ipants issus des secteur s privé (DSI, RSSI, Directeur Sécurité) et public (forces armées, forces de police et de gendarmerie) représentant 15 pays de toute l'Afrique de l'Ouest, l'édition 2016 a connu un réel succès puisque nous avons réuni pour la première fois en Afrique 4 agences nationales en charge du numérique & de la cybersécurité. L'événement est d'ailleurs placé sous le Haut Patronnage de SE Macky Sall, et organisé avec le soutien actif de la Gendarmerie et de la Police, de l'ADIE ou de la Primature côté sénégalais et de l'ANSSI, du Ministère des Affaires Etrangères et du Ministère de l'Intérieur côté français.

Les nouveautés de l'édition 2017 :

• Entrainement & démonstrations dynamiques Grâ ce au soutien de la Direction de la Coopération de Sécurité et de Défense (DCSD) du M inistère des Affaires Etrangères, Bluecyforce, centre d'entrainement dédiéà la cyberdéfense, sera présent au SecurityDays afin d'offrir aux forces de l'ordre sénégalaises spécialisées dans la lutte contr e la cybercriminalité (Police, Gendarmerie et Douanes) un entrainement et un perfectionnement aux techniques d'investigations numériques.

Des démonstrations dynamiques seront ensuite réalisées à destination des grands décideurs présents (Ministres, DGGN, DGPN, Dirigeants d'entreprise etc) afin d'accroitre la sensibilisation aux enjeux de cybersé curité au plus haut niveau. La présence d'un cyberange avec son infrastructure unique de simulation sera une première sur le continent Africain.

• L'organisation d'un Hackathon dédié aux problémati ques de confiance numérique En partenariat avec l'ensemble des écoles et formations spécialisés du domaine au Sénégal, près d'une centaine d'étudiants aux profils complémentaires (développeurs, spécialistes SSI, monétique, juristes etc) plancheront pendant 24h sur des problématiques opérationnelles proposées par 2 de nos partenaires utilisateurs finaux. De nombreux prix seront réservés à l'équipe vainqueur et un accompagnement leur sera proposé afin de valoriser leurs expertises et leurs innovations.

-Contacts : Clément Rossi, crossi@ceis.eu 06 71 95 26 9

Vigil@nce - Joomla Kunena : Cross Site Scripting

$
0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Scripting de Joomla Kunena, afin d'exécuter du code JavaScript dans le contexte du site web.

Produits concernés : Joomla Extensions non exhaustif.

Gravité : 2/4.

Date création : 04/01/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

L'extension Kunena peut être installée sur Joomla.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Joomla Kunena, afin d'exécuter du code JavaScript dans le contexte du site web.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...

Vigil@nce - Drupal Permissions by Term : accès anonyme aux pages non publiques

$
0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut accéder aux pages privées lorsque Drupal Permissions by Term est actif, afin d'obtenir des informations sensibles.

Produits concernés : Drupal Modules non exhaustif.

Gravité : 2/4.

Date création : 05/01/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

Le module Permissions by Term peut être installé sur Drupal.

L'activation de ce module rend toutes les pages non publiées accessibles anonymement.

Un attaquant peut donc accéder aux pages privées lorsque Drupal Permissions by Term est actif, afin d'obtenir des informations sensibles.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...

Vigil@nce - BorgBackup : deux vulnérabilités

$
0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de BorgBackup.

Produits concernés : Fedora.

Gravité : 2/4.

Date création : 04/01/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans BorgBackup.

Un attaquant peut contourner les restrictions d'accès via Replace Archives, afin de lire ou modifier des données. [grav:2/4]

Un attaquant peut altérer l'affichage du Manifest, afin de tromper la victime. [grav:2/4]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...

Vigil@nce - Tenable Nessus : Cross Site Scripting

$
0
0

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant authentifié peut provoquer un Cross Site Scripting de Tenable Nessus, afin d'exécuter du code JavaScript dans le contexte du site web.

Produits concernés : Nessus.

Gravité : 2/4.

Date création : 05/01/2017.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Tenable Nessus dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant authentifié peut donc provoquer un Cross Site Scripting de Tenable Nessus, afin d'exécuter du code JavaScript dans le contexte du site web.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...

Viewing all 95926 articles
Browse latest View live