Risques

Heartbleed, la faille d’OpenSSL

heartbleed

La semaine dernière, Heartbleed, une faille catastrophique a été découverte dans OpenSSL, compromettant la plupart des services majeurs d’Internet (http://heartbleed.com). L’impact est très important, puisque l’utilisation de cette faille permet à un attaquant de lire les données en mémoire d’un serveur (pouvant contenir des identifiants, des mots de passe en clair et bien d’autres informations…

En savoir plus

Advanced Persistent Threat (APT)

APT

L’attaque APT (Advanced Persistent Threat) ou attaque ciblée est une catégorie de cyberattaques. Ces menaces sont qualifiées ainsi car elles nécessitent la mise en œuvre de moyens techniques et humains importants avec pour objectif de réaliser une infiltration la plus furtive possible dans un système d’information et d’assurer une durée d’accès suffisante pour récolter les…

En savoir plus

Les normes ISO 14971 et ISO 27005

ISO-27005

Les deux normes présentent une approche de la gestion du risque avec une finalité différente : la norme 14971:2013 présente les risques d’usage des dispositifs médicaux tandis que la norme 27005:2008 présente les risques pesant sur les informations. Les liens entre les risques matériels et immatériels (données de santé) semblent intéressants pour répondre à certains enjeux de…

En savoir plus

Les cartes bancaires sans contact

Carte sans contact

Les banques, lors du processus classique de renouvellement de leur parc de cartes bancaires, commencent à équiper leur client de cartes dites « sans contact ». Quelles sont les nouvelles fonctionnalités fournies par ces cartes ? Quels sont les bénéfices/risques liés l’utilisation de cette technologie pour le porteur de carte ? Les utilisateurs sont-ils informés…

En savoir plus

Management des risques (norme ISO 27005)

ISO-27005

La norme ISO 27005 décrit une méthode de gestion des risques en sécurité de l’information. C’est une norme non directive qui explicite les différentes étapes pour conduire une appréciation et le traiter les risques de sécurité de l’information. La démarche proposée est conforme à la norme ISO/CEI 27001 (Système de Management de la Sécurité de l’Information) et favorise…

En savoir plus

La gestion des incidents : étape clé de la maitrise des risques

ISO-27005

Le Système d’Informations est exposé à diverses menaces et failles pouvant se matérialiser en incidents de sécurité mettant en péril les activités de l’entreprise. Afin de protéger efficacement les systèmes d’information, l’analyser les incidents de sécurité survenus permet de déterminer les causes de l’incident, ses impacts et par conséquents les failles du système d’information.

En savoir plus

Réaliser une appréciation des risques avec la méthode EBIOS

ISO-27005

La méthode EBIOS® est une méthode d’appréciation et de traitement des risques relatifs à la sécurité des systèmes d’information (SSI) respectant la démarche de la norme ISO 27005. Les livrables d’une analyse de risques EBIOS sont variés mais on un point commun, celui de favoriser la communication des risques au sein de l’organisme et vis-vis d’éventuels…

En savoir plus