Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft a rappelé les objectifs et l'architecture du projet Geneva à l'occasion des cinquièmes Rencontres de l'Identity Management d'Atheos.
L'objectif de Geneva est d'offrir un socle commun de gestion des identités utilisables par...
Le Président américain a prononcé un discours fondateur à propos de la menace cyber, qu'elle soit criminelle ou étatique. En voici les points-clés.
L'infrastructure numérique du pays est reconnue comme une ressource stratégique.
Sa protection sera désormais une priorité nationale....
Thème central des cinquièmes Rencontres de l'Identity & Access Management, la gouvernance des identités annonce la fin du modèle RBAC, jugé trop tourné vers une vision IT du monde et pas assez proche des métiers.
En associant son offre de sécurité traditionnelle à celle de la gestion des identités et des accès, Microsoft souhaitait donner une dimension plus contextuelle à la sécurité. C'était il y a neuf mois. Aujourd'hui, nous rencontrons Douglas Leland, le patron de la nouvelle division Identité & Sécurité afin de décrypter la nouvelle stratégie sécurité de Microsoft.
Grande tendance du moment chez les éditeurs d'antivirus, la protection du poste client par une liste d'applications autorisées à s'exécuter fait tâche d'huile.
La semaine dernière l'éditeur PGP, plus connu pour ses solutions de chiffrement, annonçait à son tour un outil de verrouillage du...
Responsable d'une équipe d'audit interne au sein de Lafarge, Michel Juvin a découvert la difficile mais passionnante tâche d'écouter pour convaincre. Des qualité qui l'on conduit à oeuvrer aujourd'hui comme évangéliste maison au niveau du groupe, sous le titre de Group Information Security Officer. Il aborde pour SecurityVibes les différences culturelles en matière de sécurité, la différence essentielle entre COBIT et ISO et son rôle en tant que GISO.
Les données stockées dans le Cloud sont-elles condamnées à y rester une fois qu'elles ont trop grossi ? Voire à ne jamais y aller si elles sont déjà en surcharge pondérale dans le centre de données ? Car si la bande passante disponible sur Internet est toujours plus abondante, elle ne permet pas...
Deux initiatives viennent soulager les administrateurs Linux qui hésitent parfois à appliquer un correctif car il exigera le redémarrage du serveur (et que, si l'on écoute la production, ce n'est jamais le bon moment pour ce genre d'exercice futile).
Baptisés Ksplice et Ginseng, ces deux...
Durement frappé par la récente série de vulnérabilités critiques dans son lecteur Acrobat, Adobe annonce aujourd'hui un plan afin d'améliorer à la fois la sécurité de son code, sa communication avec ses utilisateurs et la publication de ses correctifs.
Le code d'abord : l'éditeur annonce...
Avec 42% du total des pages web infectées la semaine écoulée, JSRedir-R est sans conteste la terreur du moment. C'est en tout cas ce dont se fait l'écho depuis ce matin toute la presse en ligne spécialisée. Il y a forcément de quoi s'auto flageller d'être passé à côté d'une telle alerte...
Une vulnérabilité qui permet de s'échapper du bac à sable de la machine virtuelle Java pour exécuter du code sur le système, c'est sérieux.
Que Sun ait attendu cinq mois (d'août 2008 à décembre 2008) pour la corriger, cela devient dérangeant.
Mais d'apprendre aujourd'hui que cette même...
Une vulnérabilité dans la prise en charge du protocole WebDAV par Microsoft II6 est actuellement exploitée par des attaquants. Un code zero-day public serait d'ailleurs disponible depuis ce week-end.
La vulnérabilité permettrait à un intrus de contourner l'authentification distante et...
Microsoft annonce aujourd'hui offrir à ses clients et partenaires un template SDL (Security Development Lifecycle) pour Visual Studio Team System.
L'objectif est d'abaisser la barrière d'entrée du développement sécurisé façon Microsoft en fournissant un gabarit SDL intégrable dès le début...
Zscaler offre le plan de migration le plus simple des deux startups que nous avons rencontré : il suffit de modifier la configuration du proxy des navigateurs. Outre le traditionnel filtrage antiviral, Zscaler intègre également de nombreux autres services, de la policy compliance au log management temps réel en passant par le contrôle d'utilisation du web et la maîtrise des sites web sociaux. Le tout centralisé en une interface unique.
La solution la plus radicale, et peut-être la plus efficace, de notre dossier : CommonIT déporte le navigateur du client vers un serveur distant, où il est virtualisé. Oui, Citrix fait (presque) pareil. Mais l'appproche de CommonIT présente d'autres atouts.
Nous avons rencontré deux startups dont la mission est de protéger la navigation web de vos utilisateurs. L'une, française, s'appuie sur un navigateur virtualisé et déporté. L'autre, américaine, a fait le choix d'un modèle Software as a Service. Mais toutes les deux mettent en oeuvre de vraies innovations technologiques face au problème posé par les nouvelles menace web.
Le NIST (National Institute of Standards and Technology), une agence du Département du Commerce des États-Unis, s'intéresse désormais au Cloud Computing et tente d'évaluer l'intérêt que représente cette approche pour le gouvernement américain.
D'après NetworkWorld, l'agence semble hésiter...
La liste blanche serait-elle l'avenir de la protection anti-malware ? C'est en tout cas une voie suivie avec beaucoup d'espoir par les éditeurs d'antivirus dont les bases de signatures n'arrivent plus à suivre l'explosion du nombre de parasites.
Après Symantec, avec le projet "Clean",...
Pas efficaces, les signatures ? C'est déjà ce que clament depuis quelques temps maintenant les éditeurs d'antivirus, dépassés par la croissance exponentielle des parasites.
Mais aujourd'hui, c'est le pare-feu web (WAF, pour web application firewall) qui est sur la sellette. Lors d'une...
Dans la série des "Combien coûte", je demande... la vulnérabilité web ! Le blogger Jeremiah Grossman a interrogé de manière informelle 1 100 contacts (via Twitter, de quoi faire tousser la Sofres) afin de savoir combien ils consacraient de temps au colmatage des failles détectées dans leurs...
Le CSO Interchange 2009 aura lieu à Paris le 9 juin prochain. Il s'agit d'un événement exclusivement réservé aux opérationnels de la sécurité (RSSI, RSI...) et sans vendeur, tout à fait dans l'esprit de SecurityVibes.
Durant cette journée, plusieurs tables rondes-débats rassemblent les...
Calculer le coût de la perte d'un ordinateur portable peut sembler un exercice futile. Mais selon une étude réalisée aux Etats-Unis sur 138 cas de perte récents, cela peut coûter cher !
Un peu de répit en vue pour les responsables systèmes en mai ? Un seul correctif, concernant une vulnérabilité jugée critique dans Powerpoint, sera en tout cas livré.
Mais la vulnérabilité n'est pas à prendre à la légère pour autant, puisqu'elle est exploitée depuis un moment dans le cadre...
La première soirée française de l'OWASP a été l'occasion d'une présentation du modèle Open SAMM (Software Assurance Maturity Model), destiné à aider les entreprises à améliorer la sécurité tout au long de leur processus de développement et de mise en production.
Cousin éloigné du SDLC, mais se...
Pour son premier événement local, le chapitre français de l'OWASP a mis l'accent sur les vulnérabilités des applications XML. De l'injection à la perte de confidentialité en passant par le déni de service, XML est soumis aux mêmes dangers que les autres applications web... mais pas forcément aussi bien protégé !
CloudFront, le réseau de distribution de contenu d'Amazon (un CDN à la Akamai limité au téléchargement) était jusqu'à présent particulièrement opaque pour ses utilisateurs.
Amazon annonce aujourd'hui mettre enfin à la disposition de ses utilisateurs des logs d'activité afin de tout savoir de...
L'éditeur F-Secure s'est intéressé à l'évolution du type de documents utilisés dans le cadre d'attaques ciblées.
Si en 2008 c'était encore les documents Word piégés qui avaient la faveur des attaquants (34,55%), ce n'est plus le cas aujourd'hui.
Sans grande surprise, c'est le format PDF...
Lu dans le magazine Programmez! de mai 2009 : une brève au sujet des outils de contrôle de la provenance du code source. Ces outils peuvent identifier les différentes licences des codes sources utilisés dans un projet et identifier d'éventuelles violations de licence (ou des conflits...
En quoi le métier de RSSI a-t-il évolué récemment ? A défaut de réponses définitives, vous pourrez écouter prochainement l'intégralité du débat sur BFM Radio. Et en attendant, voici quelques points relevés à l'occasion de cette table ronde animée par Frédéric Simottel, Rédacteur en chef de 01 Informatique.
La délégation de responsabilité : une approche courante au sein de la grande distribution et dont l'industrie du service pourrait avoir tout intérêt à s'inspirer, selon Olivier Iteanu, avocat.
La table ronde consacrée au risque a mis en évidence l'intérêt des RSSI pour la norme ISO 27001 et ses cousines, garantes d'une approche structurée de la sécurité.
Face aux sirènes de la téléphonie sur IP, le CLUSIF livre les réflexions de son groupe de travail consacré aux risques amenés par cette nouvelle technologie. Des menaces pas seulement techniques, mais surtout organisationnelles.
Le bilan du CERT-IST souligne sans grande surprise la prépondérance des attaques à travers le navigateur Internet, et la difficulté à maîtriser ce dernier... et ses nombreuses extensions tierces.
Avec ses quinze tables rondes ou présentations, la Journée Sécurité organisée avec le concours de 01 Informatique a été l'occasion de dresser un bilan des tendances et bonnes pratiques tout azimut : de la téléphonie au risque en passant par l'évolution du métier de RSSI ou des nouveaux usages du web en entreprise, c'est un condensé de sécurité. Debriefing.
Le SANS a noté un regain d'intérêt des scanners pour le port 2967 dans le courant du mois dernier. Le port 2967 est notamment utilisé par la console Symantec System Center pour sa communication client-serveur (ssc-agent).
Cette activité peut être rapprochée de la récente découverte de...
Trend Micro annonce le rachat du canadien Third Brigade, éditeur d'une solution intégrée de protection des serveurs critiques.
Si la communication de Trend Micro autour de cette acquisition s'est beaucoup appuyée sur le terme vendeur de "Cloud Computing", il ne faut pas pour autant perdre de...