Oracle corrige 297 failles dont 53 critiques Comme attendu, le Critical Patch Update trimestriel d'Oracle est arrivé le 16 avril. Il vient corriger 297 vulnérabilités sur les bases de données, les logiciels d'infrastructure et les applications de l'éditeur californien. Un peu plus d'un cinquième d'entre elles sont jugées critiques, avec un score CVSS égal ou supérieur à 9, et 60 estimées sévères avec un CVSS situé entre 8 et 8.8. Oracle a livré hier sa mise à jour de sécurité trimestrielle comportant 297 correctifs à appliquer sur une large gamme de produits, tant logiciels d’infrastructure (base de données, BPM, API…) qu’applications (ERP et solutions métiers). Pour évaluer la gravité des failles, dont plusieurs dizaines d’entre elles sont classées au plus haut niveau de sévérité (score égal ou supérieur à 9), Oracle utilise la version 3.0 du système d’évaluation CVSS, Common vulnerability scoring system. 27 failles sévères à corriger sur la E-Business Suite Faille critique dans Windows DLL sur Java SE
Ce qui a marqué le CLUSIF en 2014 : Vols de données, failles logicielles, cryptographie… Quelle sont les tendances du Panorama Cyber-Sécurité retraçant l’année 2014 établi par le CLUSIF ? Quelques mots-clés se distinguent dans le paysage de la sécurité IT : Internet des objets, ransomware, Sony Pictures, Shellshock, Heartbleed, et cryptographie. Plusieurs intervenants ont effectué des focus au nom de ce cercle de spécialistes de la sécurité IT. Voici les principaux points développés lors de la session de présentation organisée hier après-midi à Paris : Internet des objets : la sécurité défaillante Fabien Cozic, enquêteur de droit privé spécialisé en cyber-criminalité, a mis l’accent sur le segment Internet of Things. Mais la sécurité IT semble le maillon faible. Pourtant, début 2014, nous avions assisté à l’émergence du premier « ThingBot » (contraction de « thing et robot ») : une campagne de spam via un botnet dédié aux objets connectés. Le manque de maturité sur le volet de la sécurité IT est susceptible de provoquer des atteintes à la vie privée. Et c’est pas fini
Les innombrables failles de sécurité de la défense antimissile américaine En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts. Pour en savoir plus et paramétrer les cookies... Accueil GilbertKALLENBORN Journaliste Inscrivez-vous gratuitement à laNewsletter Actualités Absence de chiffrement, manque d’authentification, systèmes non patchés depuis des années… La sécurité informatique de la défense antimissile des Etats-Unis n’est pas au niveau de sa valeur stratégique pour ce pays. Les failles de sécurité existent partout, même dans les endroits les plus stratégiques. Le ministère de la Défense a inspecté les systèmes d’information d’un échantillon de 5 sites sur les 104 que compte le système BMDS. Certains détails de cet audit sont particulièrement croustillants. Gilbert KALLENBORN à suivre sur Tweeter
Pour en finir avec les failles logicielles Les bugs logiciels sont inévitables… et coûteux, voire dangereux pour les patients. Comment en améliorer la détection et la correction ? Début de réponses avec les 4 experts réunis par DSIH. Propos recueillis par Delphine Guilgot « Si l’on veut éviter un « Mediator électronique », il faut tester, tester et encore tester » DSIH : La FEHAP alerte les pouvoirs publics, depuis quelque temps déjà, sur les dangers des bugs informatiques. Jean-François Goglin : Hormis pour quelques éditeurs qui ont instauré des phases de tests industrielles avancées, les tests mis en place sur les logiciels du marché sont insuffisants. Bernard D’Oriano : Le législateur est en cause, pris par une frénésie de demandes plus urgentes les unes que les autres. Dominique Gougerot : Aujourd’hui, par exemple, il nous est demandé de reprendre toute la philosophie du PMSI SSR dans des délais plus que serrés. J. DSIH : Cela signifie-t-il que les établissements ont leur part de responsabilité dans cette course au délai ? J. D.
Les Etats-Unis veulent réglementer le commerce de failles ... Le département du commerce des Etats-Unis envisage d’instaurer des règles dans le marché des failles logicielles. Ces règles, déjà écrites et soumises aux commentaires du public pendant 60 jours, ont été annoncées la semaine dernière et visent à limiter l’aide de l’industrie nationale US de sécurité aux nations rivales. L’Oncle Sam prévoit d’introduire de nouveaux contrôles autour de la vente de failles de sécurité en dehors du pays, à l’exception des autres nations membres des Five Eyes, à savoir le Canada, le Royaume-Uni, la Nouvelle Zélande et l’Australie. Les nouvelles règles prévoient en effet de soumettre la vente et le support de failles de sécurité à une licence. La réglementation porte sur les failles zero-day, ou défauts de sécurité qui ne seraient pas encore divulgués, ni connus par le fournisseur du logiciel. Dans le milieu des chercheurs et entreprises de sécurité, cette mesure ne semble pas être la bienvenue. Source : Reuters Et vous ?
Où se renseigner sur les exploits et failles logicielles ? Lutter contre les failles et vulnérabilités des systèmes et des logiciels fait partie du quotidien des responsables informatiques. D’où l’importance de se tenir informé des attaques en vogue et des failles découvertes. En matière de sécurité, savoir c’est déjà faire la moitié du chemin pour bien se protéger. C’est particulièrement vrai en matière de failles. Connaître les vulnérabilités des systèmes et logiciels utilisés dans l’entreprise permet de réfléchir à leurs éventuelles conséquences et de prendre rapidement des décisions pour s’en protéger en ajustant les pare-feux par exemple ou en surveillant la mise à disposition des patchs de sécurité. « Malheureusement, les vulnérabilités sont intrinsèques au développement logiciel. CVE (Common Vulnerabilities and Exposures) est la référence mondiale en matière de failles et vulnérabilités.
Les Enjeux et sanctions | RGPD 2018 Versusconsulting Adopté par l’Union Européenne en avril 2016, la date d’application du RGPD est le 25 mai 2018. Celui-ci oblige les entreprises à identifier les données personnelles en leur possession ainsi que leurs modalités de traitement et de protection et a pour objectifs de : 1 Uniformiserla réglementation au niveau européen 2 Responsabiliser les entreprises 3 Renforcerles droits des personnes(Droit d’information (Art 13 et 14) / Droit d’accès (Art 15) / Droit de rectification (Art 16) / Droit à l’effacement (Art 17) / Droit à la limitation (Art 18) / Droit à la portabilité (Art 20) / Prise de décision automatisée (Art 22) Les sanctions administratives Les autorités de protection peuvent notamment : Prononcer un avertissement ; Mettre en demeure l’entreprise ; Limiter temporairement ou définitivement un traitement ; Suspendre les flux de données ; Ordonner de satisfaire aux demandes d'exercice des droits des personnes ; Ordonner la rectification, la limitation ou l'effacement des données.
RGPD : 5 choses qui vont changer pour vous Cinq bonnes raisons de déposer un brevet C'est un euphémisme : les entreprises françaises sont peu adeptes du dépôt de brevet. Selon une étude Inpi-Oséo publiée en février dernier, les PME de moins de 250 salariés ne sont à l'origine que de 19 % des demandes effectuées en 2007 auprès de l'Institut national de la propriété intellectuelle. 1 - Garantir un monopole de vingt ans En déposant un brevet à l'Institut national de la propriété intellectuelle, l'entreprise obtient un monopole d'exploitation pour une durée maximale de vingt ans. 2 - Dissuader la concurrence Le brevet fournit une base juridique pour poursuivre les contrefacteurs devant les tribunaux, partout ou il a été déposé. 3 - Générer des revenus Le brevet est un investissement, mais il constitue une source de revenus. 4 - Valoriser sa société Les brevets sont considérés comme un bon indicateur de la santé de l'entreprise. 5 - Alléger les contraintes de la confidentialité 49 % des PME ont fait le choix du secret pour des innovations brevetables. Une protection efficace
Piratage informatique : ce que veulent les «hackers» Piratage informatique : ce que veulent les «hackers» Selon une étude du Computer Security Institute, plus de 40 % des entreprises ont constaté au moins une tentative d’intrusion au cours de l'année 2000. Serveurs piratés, numéros de cartes bancaires volés, sites web défigurés : les pirates du Net font de plus en plus parler d'eux. Mais leurs objectifs et le détail de leurs actions restent inconnus du grand public. Hacker, cracker, script-kiddies : on assiste à une multiplication des mots utilisés pour désigner les pirates. Selon leurs propres définitions, les hackers sont avant tout "des passionnés des réseaux". Tous les pirates n’ont pas les mêmes motivations. Beaucoup d'entre eux affirment attaquer les systèmes pour le fun, pour le challenge. Attention à ne pas relativiser le danger. Même si les pirates débutants n'ont pas de compétences pointues, ils sont souvent dans une logique de récupération des mots de passe ou de destruction des fichiers. Les outils et méthodes des hackers.
Cybercrime Un cybercrime est une « infraction pénale susceptible de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau ». Il s’agit donc d’une nouvelle forme de criminalité et de délinquance qui se distingue des formes traditionnelles en ce qu’elle se situe dans un espace virtuel, le « cyberespace ». Depuis quelques années la démocratisation de l’accès à l’informatique et la globalisation des réseaux ont été des facteurs de développement du cybercrime. Types d'infractions[modifier | modifier le code] On peut alors aujourd’hui regrouper la cybercriminalité en trois types d’infractions : Dispositif législatif et conventionnel de lutte[modifier | modifier le code] Dispositif législatif et réglementaire français[modifier | modifier le code] En France la cybercriminalité est prise juridiquement en compte depuis la loi informatique et libertés (loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978). Acteurs[modifier | modifier le code]