Le nouveau destin de lobligation de sécurité SecuObs. Résumé : L'obligation de notification des incidents de sécurité, qui s'applique depuis la transposition du paquet télécom cet été, est très circonscrite.
Cependant une proposition de loi vise à l'étendre. - Lire l'article La sécurité des données personnelles est au cœur d’une actualité pour le moins vivifiante ! D’abord, l’été nous a fait don de la transposition du paquet télécom qui a institué une obligation pour les opérateurs de communications électroniques de notifier les incidents de sécurité à la CNIL. L’obligation est importante mais encore très circonscrite. Cela ne fait cependant que commencer. Certes, la procédure législative n’est de loin pas terminée et présage encore d’importantes modifications du texte, néanmoins les principes suivants ont pour l’instant été adoptés : On peut parler d’un “full disclosure” à la française En conséquence, cette proposition devrait avoir un impact non négligeable sur le marché de la sécurité. Cyberdéfense française : interview de Patrick Pailloux (ANSSI)
Patrick Pailloux, directeur général de l’ANSSI, l'Agence Nationale de la Sécurité des Systèmes d'Information, nous a accordé une interview croisée avec nos confères de 01Net.
Depuis le tout récent décret du 11 février 2011, l’agence en question a été désignée officiellement autorité nationale de défense des systèmes d’information, en France. Objectif : répondre rapidement à des situations de « crises » touchant ou menaçant la sécurité des systèmes d’information des autorités publiques et des opérateurs d’importance vitale. En clair : c’est la cyberdéfense française. Pour mémoire, l’ANSSI avait été créé en juillet 2009 en remplacement de la DCSSI. Cette autorité est rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), qui dépend directement du Premier Ministre. Pourquoi ce texte a-t-il été pris ? D’une part, un problème de vitesse de réaction. C’est une décision qui relève du Premier ministre. On est dans le fonctionnement traditionnel de l’État.
Les secrets du chiffrement de Skype révélés ? Cyber-securité. Twitter subit une faille XSS. Posted on | juin 25, 2010 | 1 Comment Dans la série, si madame Michu arrive à sécuriser sa connexion Internet je veux bien manger mon chapeau (qu’il va falloir que je récupère un jour), je vous présente la toute dernière faille de sécurité touchant une toute petite boite : Twitter… Après le petit social engineering dont a été victime la startup, qui n’a plus de startup que le nom, Twitter va à nouveau défrayer la chronique à cause d’une faille de sécurité exposant tous ses utilisateurs : une injection XSS toute bête à exploiter.
Lorsque l’on poste sur twitter depuis une application l’API permet d’afficher le nom du logiciel utilisé en ajoutant un petit lien vers le site de l’éditeur dudit logiciel. Véritable tremplin pour les applications du genre, il semblerait que cette fonctionnalité ne soit pourtant pas idéale d’un point de vue sécurité. Pour cela rien de plus simple, il suffit de les envoyer sur une autre adresse en Ajax (non je ne vous donnerai pas le code en question ;)).
Identités : faut-il sacrifier LDAP ? - Communauté SecurityVibes.