Ne confondons plus sécurité du cloud et sécurité dans le cloud

La souscription à des services dans le cloud n’a jamais été aussi aisée. Cette simplicité permet à tout acteur de l’organisation de souscrire à ces services sur ses propres budgets, dans beaucoup de cas sans en référer à la direction du système d’information, sans se soucier de la responsabilité de l’organisation et notamment sur les services et les données de ses clients et de ses partenaires (exposition aux attaques, non-conformité légale et réglementaire, etc.)

Cet article a pour objectif de repositionner la sécurité liée aux usages dans le cloud.

Continuer la lecture de Ne confondons plus sécurité du cloud et sécurité dans le cloud

Analyse du rapport de l’ICS-CERT sur la sécurité des systèmes industriels américains

L’ICS-CERT du Department of Homeland Security américain a publié son bilan 2016 des 130 audits qu’il a réalisé des systèmes industriels américains, secteurs publics et privés confondu [1]. Les audits sont basés sur les 115 points de contrôle du référentiel NIST SP 800-53 [1]. Ce post résume les 6 principales faiblesses constatés par les équipes de l’ICS-CERT durant les évaluations.

Leurs recommandation de l’ICS-CERT sont intéressantes : elles brisent certaines idées reçues et défendues sur la spécificité de la sécurité des systèmes industriels par rapport à la sécurité des systèmes d’information.

Continuer la lecture de Analyse du rapport de l’ICS-CERT sur la sécurité des systèmes industriels américains

Intro au protocole MQTT et son (in)sécurité pour les échanges M2M / IoT

Le protocole MQTT (Message Queuing Telemetry Transport) se distingue par sa capacité à transmettre des messages courts et une utilisation faible de la bande passante qui le rendent adapté pour les communications M2M (machine 2 machine) de type objets connectés.

Ce protocole est principalement utilisé pour la remontée d’information d’objets connectés destinés aux particuliers. Quelques implémentations dans les objets connectés du monde industriel ont été réalisées

Cet article a pour objectif de donner quelques éclairages sur les principales fonctionnalités de ce protocole, qui existe depuis 1999, et les fonctions de sécurité qu’il propose voire des fonctions complémentaires à envisager lors de son utilisation.

Continuer la lecture de Intro au protocole MQTT et son (in)sécurité pour les échanges M2M / IoT