veille sur les menaces et les vulnérabilités [ANSSI référentiel RGS v2]

veille sur les menaces et les vulnérabilité [ANSSI Référentiel « RGS » du 13 juin 2014 (Référentiel Général de Sécurité)] :

Se tenir informé sur l’évolution des menaces et des vulnérabilités, en identifiant les incidents qu’elles favorisent ainsi que leurs impacts potentiels, constitue une mesure fondamentale de défense. Les sites institutionnels, comme celui du CERT-FR (www.cert.ssi.gouv.fr), ou ceux des éditeurs de logiciels et de matériels constituent des sources d’information essentielles sur les vulnérabilités identifiées, ainsi que sur les contre-mesures et les correctifs éventuels. Les mises à jour des logiciels et d’autres équipements, les correctifs des systèmes d’exploitation et des applications font l’objet d’alertes et d’avis qu’il est indispensable de suivre.

Partagez sur

Il est difficile, pour les juristes comme pour les professionnel(le)s du numérique et de la sécurité des systèmes d’information de s’y retrouver dans le maquis des définitions légales, en vigueur ou à venir. Le dictionnaire LEGAL que nous vous proposons inclut les définitions des projets de Règlement et de Directive UE (très nombreuses mais pas toujours pertinentes…) et certaines définitions propres au droit français. Lorsque nos lois sont muettes, nous vous proposerons des définitions issues de notre pratique contractuelle.

Tapez un mot clé, un numéro de Directive/Règlement UE ou cherchez par ordre alphabétique : vous devriez trouver une définition légale.

Et à partir d’une définition, cliquez sur le lien qui vous est proposé pour accéder au texte légal qui vous intéresse.

A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Generic selectors
Exact matches only
Cherchez dans le titre
Cherchez dans le contenu
Post Type Selectors

établissement de clé (ou échange de clé) [Guide de sélection d’algorithmes cryptographiques – ANSSI – 8 mars 2021] :

L’échange de clé permet à deux correspondants dialoguant sur un canal public d’aboutir à un secret commun. Ce secret commun est en général utilisé pour générer des clés utilisées dans des communications ultérieures. Pour assurer la sécurité de ces protocoles contre les attaques actives, attaques de type Man-in-the-middle, où un adversaire s’insère dans la communication et manipule les messages échangés lors du protocole d’échange de clé, ces messages doivent être authentifiés. Ceci fournit de plus à chaque participant une garantie sur l’identité de son correspondant (dans certaines variantes, comme dans la mise en œuvre la plus courante de HTTPS, seul l’un des deux participants s’assure de l’identité de son correspondant). Habituellement, les participants authentifiés possèdent chacun une clé privée et l’authentification est rendue possible par la connaissance par les participants de la clé publique de leur correspondant. Les protocoles d’échanges de clé sont mis en œuvre dans différents protocoles réseau visant à établir un canal sécurisé (confidentiel et intègre), comme TLS ou IPSEC.

Partagez sur

incident affectant les systèmes d’information et de communication [d’un département ministériel] [Décret n°2019-1088 du 25 octobre 2019 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics]:

Chaque ministre désigne un fonctionnaire de sécurité des systèmes d’information chargé de l’assister dans l’exercice de sa responsabilité en matière de sécurité numérique mentionnée à l’article 2. Ce fonctionnaire est placé sous l’autorité du haut fonctionnaire mentionné à l’article R. 1143-1 du code de la défense.

Le fonctionnaire de sécurité des systèmes d’information s’assure de l’application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d’information et de communication.

Il déclare à l’Agence nationale de la sécurité des systèmes d’information les incidents affectant les systèmes d’information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci.

Les responsabilités de ce fonctionnaire sont précisées par arrêté du Premier ministre.

—> NOTE : l’article 4-1 du Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <—NOTE

 

Partagez sur

altruisme en matière de données [PROJET de Règlement UE DGA du 25 novembre 2020 (Data Governance Act)] :

le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou les autorisations accordées par d’autres titulaires de données pour l’utilisation de leurs données à caractère non personnel sans demander de contrepartie, à des fins d’intérêt général, telles que la recherche scientifique ou l’amélioration des services publics.

Partagez sur

Chiffrement non authentifié [Guide de sélection d’algorithmes cryptographiques – ANSSI – 8 mars 2021] :

Un mécanisme de chiffrement symétrique permet, à l’aide d’une clé secrète K, de transformer un message clair M en un message chiffré C. L’accès à C (par exemple sur un canal de communication public) sans connaissance de K n’apporte pas d’information sur M. La même clé K permet de déchiffrer C pour retrouver M. Les bons procédés de chiffrement symétrique sont probabilistes, c’est-à-dire qu’ils utilisent en plus de la clé K une valeur aléatoire, ou bien à état persistant, ce qui permet de garantir à chaque chiffrement l’utilisation d’une valeur auxiliaire n’ayant jamais été utilisée précédemment conjointement avec la clé K. Dans les deux cas, cela permet d’introduire de la variabilité dans le chiffré C, de telle sorte qu’un même message M ne soit pas chiffré toujours en le même message C. Ainsi, il n’est pas possible, par exemple, de comparer des chiffrés entre eux pour déterminer si les messages clairs correspondants sont égaux.

Partagez sur