Archives

No more user awareness

Un point sur lequel tout le monde est d’accord, dans le monde de la sécurité informatique, est que le principal maillon faible dans une entreprise est l’utilisateur. Une multitude de cas qui démontrent cette faiblesse sont publiés régulièrement. Comme par exemple, laisser trainer une clé USB proche d’une entreprise et attendre que quelqu’un la prenne et la connecte à un système. Ou, comment avec un simple appel téléphonique, un hacker arrive à prendre le contrôle d’un compte mobile (illustré ici). Mais surtout les emails contenant une pièce jointe infectée ou qui contient un lien vers un site malicieux. La principale et souvent la seule réponse de l’industrie à cette problématique est de former et sensibiliser les utilisateurs aux différents aspects de la sécurité. Ne pas se connecter sur un site suspicieux, ne pas ouvrir des emails avec pièces jointes de sources inconnues, changer de mot de passe régulièrement avec un minimum de complexité, etc etc. Cela passe aussi au travers de messages d’avertissement du danger affichés à l’utilisateur. Un exemple, des plus connus, est l’UAC introduit avec Windows Vista qui est encore dans le souvenir de tout le monde comme une plaie qui pop-up constamment. Ou encore le warning affiché quand un certificat d’un site Internet n’est pas valide. Dans l’esprit de l’utilisateur ce message est vu comme un perturbateur qui l’empêche...

Un nouveau service pour monitorer les certificats SSL

La gestion des certificats SSL peut-être une tâche difficile. Les certificats expirés, l’utilisation d’algorithmes de signature vulnérables ou encore l’utilisation de clés faibles sont autant d’erreurs qui peuvent avoir de lourdes conséquences pour une entreprise. Au fur et à mesure que le nombre de certificats à gérer augmente, ce risque s’accroit. Le rapport Internet Security Exposure 2016 publié par Binary Edge montre qu’en dépit des récentes vulnérabilités critiques découvertes sur OpenSSL ainsi que des dernières recommandations en matière de sécurité, beaucoup de services continuent d’implémenter des configurations non sécurisées ne respectant pas les bonnes pratiques. Afin de faciliter la visibilité sur le cycle de vie des certificats et maintenir un niveau de sécurité adéquat, nous mettons en ligne un service de monitoring des certificats SSL. Ce dernier permet de centraliser et simplifier la gestion de l’expiration des certificats et scan les certificats pour identifier les points d’améliorations pour rester compliant avec les bonnes pratiques de sécurité. Ce service est d’ores et déjà disponible pour les clients ayant souscrit au service de veille en vulnérabilités. Il suffit de se connecter au portail web et sélectionner le service SSLCert pour être automatiquement redirigé. Consultez la release notes...