Et pour plus de sécurité…

Les derniers jours ont été chargés en actualité sur le thème de la sécurité informatique. Après une première salve d’incidents DDOS fin 2016, dont beaucoup de médias grand public ont parlé (merci Miraï), après les nombreuses rumeurs de hacking durant les diverses présidentielles, on a récemment eu droit à tout un tas de petites choses réjouissantes, parmi lesquelles le doux Wanacry qui a lui aussi eu les honneurs des médias.

De son côté, l’ANSSI (agence nationale de sécurité des systèmes d’information) n’est pas restée les bras croisés, et a décidé de contrer. Pour essayer de rebondir et d’exploiter l’espace médiatique apporté par les piratages en tout genre, l’agence a mis en ligne plusieurs initiatives liées à la formation et au traitement des incidents SSI. De précédentes initiatives se sont également subitement retrouvées mises en lumière…

La sensibilisation

Proposée par le CIGREF et appuyée par l’ANSSI et le ministère de l’intérieur, la Hack Academy présente sur le ton de l’humour et d’un faux télé-crochet 4 thématiques de hacking :

  • Le hacking des paiements sécurisés

    Treeeeemble, The voice, voici l’hackademy !
  • Le vol de mot de passe
  • L’utilisation de logiciels malveillants
  • Le phishing (ou hameçonnage par mail)

Des petits défis – tout aussi humoristiques – sont proposés pour se mesurer aux candidats hackers, et les principales notions liées à la sécurité informatiques sont présentées (social engineering, navigation sécurisée, connexions dans les espaces publics, utilisation de supports USB et des réseaux sociaux)…

 

Un autre site de sensibilisation aux cybermalveillances, toujours proposé par l’ANSSI, est disponible à cette adresse.

Défi ! Allez, comme ca on saura sur quel pied danser !

La formation

L’ANSSI à récemment proposé un Mooc sur la thématique de la SSI, la SecNumAcadémie.

Seul le premier module est disponible à ce jour, mais les 3 autres seront prochainement publiés. Proposé sous forme didactique et moderne, la validation de ce mooc sera proposée sous la forme d’un certificat de réussite.

Le mooc de l’ANSSI, tout en pédagogie

En cas d’incident…

Même si l’ANSSI a vu croitre ses effectifs ces dernières années, elle ne peut pas absorber et traiter l’ensemble des incidents SSI de France. Si l’agence se concentre aujourd’hui logiquement sur les OIV, un besoin d’accompagnement technique et/ou organisationnel est palpable dans les administrations, les entreprises privées et même chez les particuliers.

Pour répondre à ces besoins, l’agence à mis en ligne cybermalveillance.gouv.fr, qui permet de déclarer des incidents et d’être mis en relation avec des prestataires techniques locaux. Il ne s’agit pas d’un annuaire d’entreprises assermentées, mais bien d’un catalogue de prestataires locaux; les évaluations laissées par les visiteurs permettant de « trier » naturellement ces derniers.

Le site de signalement de cybermalveillance porte aussi une section explicative…

Si le site est pour l’instant réservé à la région Hauts de France, une généralisation à l’ensemble du territoire est prévue à court terme.

A noter qu’il existe également une section de sensibilisation, déjà évoquée plus haut…

Les obligations et responsabilités

Voté en 2016, le RGPD (wiki, cnil, texte d’origine) est un règlement européen notamment à détailler les engagements et responsabilités d’une entreprise dans le traitement des données personnelles d’un collaborateur.

Il pèsera également une obligation de déclaration d’incident SSI (notamment les ransomwares) pour les employeurs et responsables administratifs.

La fréquence des menaces et le niveau d’impréparation/d’immaturité de la sécurité des systèmes d’information me laissent penser que les futurs experts SSI ont de beaux jours devant eux… 🤗

 

Sources : Diverses actualités sur le net, Konbini, ANSSI

Laisser un commentaire