Par : merinos

merinos — Wed, 20 Mar 2024 13:20:03 +0000

nos amis de chez Galaxus Digitec pourraient respecter le guide de mise en pratique du PFPDT sur la LPD en proposant le chiffrement des courriels.
et comme j’en ai un peu soupé de faire du copier-coller, je vous propose la seconde partie (poste N° 4 et suivants) de ce fil de discussions:
https://community.swisscom.ch/t5/S%C3%A9curit%C3%A9-sur-l-Internet/factures-Swisscom-un-pousse-au-crime/td-p/769635#

Par : Ludo

Ludo — Thu, 14 Mar 2024 16:32:47 +0000

Ces produits mondialement utilisés sont gloablement très sécurisés. Il y a le programme américain CVE qui listent tous les bugs trouvés et patchés.

Wikipédia : https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
Site officiel: https://www.cve.org/

Par exemple, Ubuntu publie la liste des issues CVE de tous ses packages par defauts:

https://ubuntu.com/security/cves

Idem pour Red Hat :

https://access.redhat.com/security/security-updates/

Bref, tous les acteurs majeurs de l’IT mondial ont leur faille de sécurité publiée ici. C’est d’ailleurs pour cette raison qu’il est conseillé de faire les mises à jour rapidement. Les fournisseurs publient les patchs de sécurité avant la parution de ces issues CVE. Mais, si vous ne mettez pas à jour vos OS / logiciels, vous avez le POC (proof of concept) de la faille de sécurité publiée dans ces issues CVE, c’est à dire le mode d’emploi pour exploiter la faille de sécurité.

Par contre, les PME suisse sont trop petites pour bénéficer de support de la communauté open-source et avoir leur CVE issues publiées. Il y a très peu de PME suisses dans ce catalogue.

Ensuite, oui auditer les founisseurs semblent une bonne idée, surtout pour les données sensibles. Or, on sait que ce n’est jamais réalisé en pratique. Ensuite, on peut aussi choisir un fournisseur certifié ISO 27000. Ce n’est pas parfait, mais le fournisseur a au moins réfléchi à la sécurité de son système d’information. A nouveau, on a des data de santé, de police, etc.. qui figurent chez des fournisseurs non certifiés ISO 27000.

C’est aussi intéressant de souscrire à une assurance cyber-sécurité pour les entreprises. L’assurance vous force à appliquer certains standards de sécurité, car elle veut forcément minimiser le risque. L’assurance fait des tests. Bien sûr, rine de très avancer. Mais l’assurance va envoyer des fakes spams aux employés pour voir si qqn clique sur un lien. Il y a aussi des contrôles de les mots de passe et le stockage des mots de passe. Des processus en cas d’incidents doivent aussi être défini.

Enfin, comme un shop comme Galaxus, n’oublions pas la lutte contre les arnaques. Je pense par exemple aux faux-compte créer. Si le paiement par facture est possible, il arrive qu’une personne malhônnete (par ex un voisin) usure l’identité d’une personne avec un faux compte. Ensuite, il passe une commande sur facture. Il récupère la marchandise dans la boite au lettre de la victime, mais pas la facture… Donc, il faut aussi vérifier l’identité des gens. Un système comme SwissID peut être intéressant. Dommage qu’en 2024, on n’ait pas encore une carte d’identité numérique officelle en Suisse…

Par : Xavier Studer

Xavier Studer — Thu, 14 Mar 2024 06:02:55 +0000

En réponse à Bernard. Merci, corrigé!

Par : Bernard

Bernard — Thu, 14 Mar 2024 05:25:58 +0000

Bonjour,
Vous avez confondu les noms du traducteur avec l’ingénieur sécurité dans votre article.

Commentaires sur : Galaxus Digitec trouve des failles de sécurité chez Microsoft Azure!

Par : merinos

Par : Ludo

Par : Xavier Studer

Par : Bernard