Cybersécurité, restez à jour grâce à ces ressources
La cybersécurité est un domaine en constante évolution. Les hackers redoublent d’efforts pour trouver des moyens et techniques toujours plus efficaces. Les experts en cybersécurité cherchent continuellement à améliorer la sécurité de nos systèmes d’informations.
C’est donc une course effrénée entre Hackers et Experts en cybersécurité. Cette course a pour conséquence une évolution extrêmement rapide du monde de la sécurité informatique, des failles et des contremesures.
En tant que professionnel(le) du digital, il est important de rester à jour sur l’évolution de la cybersécurité. C’est d’autant plus important si vous êtes un(e) professionnel(le) de l’IT.
Je vous conseille donc de lire régulièrement des articles publiés par les sources ci-dessous pour maintenir à jour vos connaissances en cybersécurité.
Créée en juillet 2009, ce service français est rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN). Il est en relation directe avec le Premier Ministre.
Son rôle principal est d’apporter son expertise et assistance technique aux entreprises et aux administrations. A travers ces publications l’ANSSI lutte contre les cyberattaques et la cybercriminalité. Si vous travaillez pour une entreprise française, l’ANSSI sera une source précieuse d’information sur les réglementations et les meilleures pratiques préconisées.
Le site de l’ANSSI regorge d’informations. Vous y trouverez des « white papers » ou « référentiels » comme celui sur la sécurité du cloud, disponible ici
Je vous invite aussi à lire leurs nombreux articles captivants comme celui sur l’impact de la menace quantique sur la cryptographie, ou celui sur la professionnalisation des acteurs malveillants.
Pour suivre toute l’actualité publiée par l’ANSSI : https://www.ssi.gouv.fr/actualites/
Créé en 1988 et rattaché au département du commerce des Etats-Unis, son rôle est de promouvoir l’économie en développant des technologies, des concepts et des normes en étroite collaboration avec l’industrie. Comme vous l’aurez compris, le NIST ne se limite pas à la cybersécurité, mais possède un champ d’actions plus vaste.
La qualité de ses publications en a fait un acteur incontournable dans le monde de la cybersécurité. Vous y trouverez des articles sur les bonnes pratiques en termes de sécurité de votre système d’information et d’authentification, des solutions de détection d’intrusion, etc, toujours dans le but d’améliorer votre cyberdéfense. Respecter les normes et recommandations du NIST sont pour certains pays un objectif à atteindre. Tout comme l’ANSSI, le NIST lutte à sa manière aussi contre la cybercriminalité.
Je ne vais pas détailler toutes les publications du NIST, néanmoins, je vous invite à lire cette ressource particulièrement intéressante, le Framework de Sécurité du NIST, dont vous trouverez une version française (ainsi que d’autres langues).
Pour suivre toute l’actualité cybersécurité publiée par le NIST : https://www.nist.gov/news-events/news/search?k=&t=248731
Nous sortons du cadre des services étatiques, pour entrer dans l’univers des communautés.
Lancé en 2001, l’OWASP est une fondation à but non-lucratif ayant pour objectif d’améliorer la sécurité logicielle. Elle est présente dans plus de 250 pays dans le monde et compte des dizaines de milliers de membres.
L’OWASP est particulièrement, mais pas que, connu pour son fameux Top 10 des vulnérabilités applicatives Web. Vous y trouverez donc les 10 failles de sécurité les plus répandues, ainsi qu’une page dédiée à chacune d’entre elles.
Si vous êtes développeur web ou que vous souhaitez sécuriser une application WEB, ce Top10 est une vraie mine d’or. Les détails sur les attaques listées sont intéressants. De plus l’OWASP liste différents moyens de prévention pour se prémunir de ces attaques.
Pour suivre toute l’actualité cybersécurité publiée par l’OWASP : https://owasp.org/news/
CWE est une liste communautaire de vulnérabilités logicielles et matérielles. Elle est opérée par la société MITRE financée par le gouvernement des Etats-Unis.
CWE peut être perçu comme un dictionnaire, une encyclopédie des vulnérabilités connues. A ne pas confondre avec les CVE détaillés dans le prochain paragraphe.
Vous retrouverez aussi la liste de ces vulnérabilités (CWE et CVE) publiées sur le site du NIST
Tout comme l’OWASP, vous avez un TOP25 des vulnérabilités. Chaque vulnérabilité est détaillée, sa probabilité d’attaque, ainsi que des exemples de codes utilisés par des pirates et des potentiels moyens de prévention.
Croiser ces 2 référentiels (OWASP Top10 et CWE Top25) lors du design d’une architecture logicielle ou de l’infrastructure hébergeant votre application vous permettra d’améliorer sa sécurité contre les vulnérabilités majeures.
Pour suivre toute l’actualité de CVE : https://cwe.mitre.org/news/index.html
CVE fonctionne de la même manière que CWE et est aussi opéré par la société MITRE.
A la différence de CWE, CVE liste les vulnérabilités connues pour un produit donné.
Si vous développez une application web hébergée sur un serveur web Apache, vous pouvez rechercher les CVE (liste de vulnérabilités connues) et les croiser avec votre version d’Apache. Vous saurez alors quelles versions d’Apache éviter.
Vous pouvez effectuer vos recherches de CVE soit sur le site du :
Pour suivre toute l’actualité de CVE : https://www.cve.org/Media/News/AllNews
Comme vous l’avez certainement compris, l’objectif ici n’est pas de rédiger une liste exhaustive et probablement longue de ce type de ressources. Je vous conseille d’en choisir 2 ou 3 et de lire régulièrement leurs articles. N’hésitez pas à en faire une routine pour rester au courant de l’évolution des cybercrimes, des vulnérabilités et des solutions de prévention et de protection. C’est aussi un bon moyen d’être alerté rapidement de l’apparition d’un 0-days et d’être en mesure d’accompagner votre entreprise sur l’aspect sécurité numérique de sa transformation digitale.
