Sécurité des données personnelles : un guide pour agir et un test pour s'évaluer L'utilisation croissante de moyens informatiques dans la gestion des organismes conduit à accroître le nombre de données personnelles qu'ils collectent, utilisent et conservent. Or, la loi «informatique et libertés» impose aux responsables de fichiers de garantir la sécurité de ces données personnelles. Les menaces qui pèsent sur les systèmes et réseaux d’information sont nombreuses : fraude informatique, détournement de finalité, captation frauduleuse, perte de données, vandalisme, ou encore sinistres plus fréquents, tels que les incendies ou les inondations. La sécurité se conçoit pour l’ensemble des processus relatifs à ces données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction. La mise en place d'une politique de sécurité passe, avant tout, par l’ évaluation des risques.
Explication de la sécurité des données Protection des données La protection des données a trois principaux objectifs: L'intégrité: garantir que les données ne soient pas corrompues par un agent extérieur La confidentialité: assurer que seules les personnes autorisées aient accès aux ressources La disponibilité: permettre de maintenir le bon fonctionnement du système informatique. Avec le développement de l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs avec tous les risques que cela comporte. La protection des données informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de protection des données, c'est-à-dire :
Pourquoi les développeurs dédiés à la sécurité informatique sont les rockstars du développement En France, les développeurs les mieux payés sont ceux qui travaillent dans la cyber sécurité : c’est la conclusion d’une étude récente de CodinGame. La crise sanitaire aurait même permis aux développeurs qui travaillent dans le domaine de la sécurité informatique de bénéficier des plus hauts niveaux de rémunération, ce qui tend à creuser l’écart entre les différents « types » de développeurs. Avec un salaire annuel de 46 000 euros en moyenne, les développeurs spécialisés dans la cyber sécurité sont ainsi mieux lotis que les développeurs travaillant au sein de services informatiques (31 500 euros). Les développeurs dédiés à la sécurité informatique sont en quelque sorte les rockstars du développement. Mais au-delà de ce travail de conception, les développeurs spécialisés dans la cyber sécurité doivent être à même de monitorer la qualité de leur propre code et de remédier aux vulnérabilités informatiques le plus rapidement possible, via des scans anticipés et fréquents.
Qu'est-ce que le low code ou le no code, et pourquoi l'utiliser ? L'informatique est-elle possible sans l'informatique ? Ces derniers temps, on note une vague d'activité autour des offres de plateformes destinées aux utilisateurs ayant peu ou pas d'expérience en matière de développement. Ce sont eux que l'on appelle les "développeurs citoyens" (citizen developers). Mais ces solutions peuvent aussi répondre aux besoins des développeurs professionnels pressés de fournir des applications dans des délais extrêmement serrés. Bref, cette nouvelle génération de plateformes low code et no code est conçue pour permettre aux gens de concevoir, de construire et de lancer des applications relativement facilement et rapidement, sans avoir à se soucier des nuances des systèmes d'exploitation sous-jacents ou des exigences d'évolutivité. Le low code / no code s'implante en entreprise pour divers publics La mise à distance des ressources des organisations qui a eu lieue au cours de l'année dernière a accéléré le mouvement low code / no code, selon une enquête de KPMG.
clé de la sécurité sur Ethereum Un adage qui existe dans l’écosystème de la crypto-monnaie dit: ne faites pas confiance, vérifiez. Cependant, jusqu’à présent, de nombreux utilisateurs font aveuglément confiance aux messages affichés par leurs portefeuilles Ethereum et, même s’ils ne les comprennent pas, ils les signent pour traiter leurs transactions. Mais cette pratique, qui est déroutante et dangereuse pour beaucoup, est ce qui a motivé les développeurs à simplifier la syntaxe du langage de programmation pour améliorer la convivialité et l’expérience de ceux qui interagissent avec les applications décentralisées (dApps). Une nouvelle norme de programmation a été intégrée au référentiel des propositions d’amélioration d’Ethereum (EIP). La nouvelle proposition a été introduite en janvier de cette année et, depuis lors, elle est en cours d’élaboration et de discussion avant d’être incorporée dans le protocole.
Apiiro lance la première solution du secteur qui détecte et empêche l'attaque utilisée contre SolarWinds Classé dans : Science et technologieSujet : Nouveaux produits et services TEL AVIV, Israël et NEW YORK, 18 février 2021 /PRNewswire/ -- Apiiro, la première plateforme Code Risk Platformtm du secteur, a annoncé aujourd'hui la sortie de deux offres révolutionnaires en instance de brevet qui permettent aux organisations de détecter et de bloquer les attaques du type de celles utilisées contre SolarWinds. La première permet de se protéger contre l'injection de code au moment de la compilation, qui était un élément clé de la violation dans SolarWinds. L'autre permet de détecter les comportements anormaux dans les identités des développeurs afin d'identifier les comptes compromis et les menaces internes. Ces technologies transformationnelles, qui font suite à un cycle de financement de 35 millions de dollars de Greylock et Kleiner Perkins, se combinent pour renforcer la position de leader d'Apiiro en matière de réduction des risques, de la conception au cloud, en passant par le code.
Clubhouse : une faille met au jour de sérieux problèmes de sécurité À peine une semaine après que Clubhouse ait promis des mesures pour protéger les données des utilisateurs, cette position est déjà mise à mal. Un utilisateur encore non identifié a diffusé plusieurs conversations audio provenant de différentes salles. Une faiblesse structurelle Tout ce qui brille n’est pas or. Tout récemment, le Stanford Internet Observatory avait révélé un lien entre Clubhouse et la société Agora. Clubhouse n’est finalement pas si privé Que nenni ! Capture d’écran des flux audio de Clubhouse accessibles en dehors de l’application. Grâce à ce code, une autre personne a été en mesure de diffuser les flux audio de plusieurs salles sur le site du développeur. Entre les liens du réseau social avec Agora, et cette nouvelle révélation, « tous les utilisateurs doivent partir du principe que toutes les conversations sont enregistrées » explique John Furrier, directeur de la publication de siliconANGLE, média spécialisé dans la cybersécurité, qui a révélé cette faille.
Un malware mystérieux infecte 30000 ordinateurs Mac - NetCost Connu sous le nom de Silver Sparrow, l’intention du logiciel malveillant est encore inconnue car il n’a pas encore fourni de charge utile réelle, déclare la société de sécurité Red Canary. Un logiciel malveillant qui a infecté près de 30000 ordinateurs Mac a soulevé des questions sur son intention et sa charge utile finale. VOIR: Politique de sensibilisation et de formation à la sécurité (Netcost-Security Premium) Sur la base des données de Malwarebytes, le malware surnommé Silver Sparrow par les chercheurs de Red Canary, a jusqu’à présent atterri sur 29139 machines macOS dans 153 pays, dont les États-Unis, le Royaume-Uni, le Canada, la France et l’Allemagne. Des questions ont été soulevées parce que le malware n’a encore rien fait de malveillant, ce qui signifie qu’il n’y a pas eu de livraison de charge utile observée et aucune conclusion quant à son objectif. Le malware est distribué dans deux packages différents: updater.pkg et update.pkg.
Clubhouse face à une vague de problèmes de sécurité La rançon du succès. Alors que le réseau social Clubhouse commence à sérieusement faire parler de lui, des spécialistes en sécurité se sont intéressés aux pratiques de l’entreprise dans ce domaine. Et les résultats sont quelque peu inquiétants. Comme l’explique un article de Wired, la petite entreprise connaît en effet quelques problèmes de jeunesse. "Le genre de choses gérables quand on a 100 000 utilisateurs devient plus compliqué quand on en a un million. Des données qui transitent en Chine D'autant que la plateforme ne part pas du meilleur pied. Ajoutez à ça l’annonce qu’un développeur avait réussi à accéder aux contenus des conversations sans invitation et vous obtenez un cocktail de sécurité explosif. Pas mal de défis techniques L’entreprise a précisé qu’elles étaient en train de rectifier le tir en chiffrant les données et en mettant de côté ses serveurs chinois.