Le Digital Trust Digest est une synthèse de l'actualité de la semaine en matière de cybersécurité. Voici ce qu'il faut savoir cette semaine.
Les nouvelles normes de sécurité des données représentent un grand pas en avant pour le secteur financier
Les changements apportés à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) vont transformer l'infrastructure informatique des institutions financières et des fintechs. La nouvelle norme, connue sous le nom de PCI DSS 4.0, affectera la gestion des identités et des accès, la gestion des clés et des certificats, ainsi que les technologies utilisées pour filtrer le courrier électronique, détecter les logiciels malveillants, activer l'authentification multifactorielle et toute une série d'autres technologies.
La norme actuelle, DDS v3.2.1servira de référence pour l'adoption de la norme PCI DSS 4.0. Une fois la norme actuelle respectée, les organisations devraient effectuer une évaluation des lacunes dès que possible afin d'évaluer l'amélioration nécessaire pour respecter la nouvelle norme d'ici son entrée en vigueur au printemps prochain.
PCI DDS 4.0 aura des implications à l'échelle de l'entreprise. Pour en savoir plus sur la norme et commencer à préparer votre plan de match, InformationWeek présente un aperçu complet de la situation.
Un algorithme post-quantique montre sa vulnérabilité aux attaques par canaux latéraux
L'année dernière, Le NIST a annoncé qu'il avait sélectionné quatre algorithmes résistants au quantum sur lesquels fonder les futures normes de cryptographie et se prémunir contre les attaques quantiques. Mais cette semaine, des chercheurs suédois ont trouvé un moyen de casser l'un de ces algorithmes.
L'algorithme CRYSTALS-Kyber, que le NIST a l'intention d'utiliser à des fins de cryptage général, peut être vulnérable aux attaques par canal latéral. Les attaques par canal latéral exploitent les signaux émis par un système pour extraire des secrets, plutôt que de cibler directement ce système.
Les normes post-quantiques sont un travail en cours, et le NIST interprète cette découverte comme une opportunité d'apprentissage pour continuer à renforcer le système de cryptage. Pour en savoir plus sur l'évolution de ces algorithmes, entrez dans les coulisses avec SC Magazine.
La confiance zéro peut faire de la sécurité un facteur d'innovation
Lors de la conception des expériences des utilisateurs et des clients, la sécurité ne peut pas être une réflexion après coup. La mise en œuvre efficace de la confiance zéro permet aux organisations d'intégrer la sécurité dans leurs processus d'innovation afin de créer une expérience client à la fois transparente et sûre.
Des études montrent que les consommateurs sont de plus en plus sensibles aux questions de données et de vie privée, tandis que les PDG et les conseils d'administration cherchent à éliminer la confiance pour protéger les flux de revenus. Cette situation crée une opportunité unique pour les RSSI de contribuer à renforcer la sécurité et à maximiser la confiance de la clientèle de leur entreprise.
La cybersécurité a évolué pour jouer un rôle plus important dans la stratégie globale de l'entreprise. Pour comprendre comment, VentureBeat s'est entretenu avec des experts de Forrester, Crowdstrike et d'autres acteurs de premier plan..
Les attaquants développent de nouvelles tactiques pour contourner l'authentification multifactorielle
LastPass et Reddit sont deux des dernières victimes d'une nouvelle génération d'attaques visant à contrecarrer la protection offerte par l'authentification multifactorielle. Trois types d'attaques sont apparus : L'inondation de MFA (qui cible l'utilisateur), les attaques par proxy (qui ciblent le réseau) et le détournement de session (qui cible le navigateur).
Les outils MFA résistants au phishing tels que les clés hardware et la validation biométrique peuvent être la solution, mais la logistique de la mise en œuvre de ces mesures peut être un défi et peut même ouvrir de nouvelles voies aux attaquants.
Le MFA reste un pilier d'une bonne hygiène numérique. DarkReading peut vous montrer comment repérer ces nouveaux types d'attaques..
Les stratégies d'identité numérique doivent englober les identités des machines et des utilisateurs.
Au cours de l'année écoulée, 84 % des entreprises ont subi une forme ou une autre de violation impliquant l'identité compromise d'un employé. Avec une surface d'attaque élargie par les infrastructures en nuage et les travailleurs à distance, les entreprises devront protéger les identités numériques pour mener à bien leurs initiatives de transformation numérique.
La confiance zéro est sur le point de remplacer le modèle de sécurité traditionnel centré sur le périmètre, et les certificats numériques sont utilisés pour renforcer la sécurité du courrier électronique. Le défi consiste maintenant à faciliter l'expérience des utilisateurs afin qu'ils n'aient pas à recourir à une mauvaise hygiène pour travailler de manière productive.
Alors que les attaques continuent de cibler les utilisateurs et de perturber la chaîne d'approvisionnement software , les organisations doivent considérer l'identité numérique comme une priorité absolue. Infosecurity Magazine peut vous aider à démarrer.
