Le Digital Trust Digest est une synthèse de l'actualité de la semaine en matière de cybersécurité. Voici cinq choses que vous devez savoir cette semaine.
Les RSSI partagent 14 leçons apprises en 2022
Le monde change pour les RSSI. Face à la pénurie de main-d'œuvre, aux conflits géopolitiques et à l'augmentation des attaques contre la chaîne d'approvisionnement, les RSSI sont contraints de gérer des budgets accrus et d'apporter des avantages tangibles à leurs organisations.
CSO Online a demandé aux responsables de la sécurité de Google, Veracode, Thrive, Trustwave et d'autres de réfléchir à ce qu'ils ont retenu de l'année et de se projeter en 2023. Leurs réponses vont de l'assurance sécurité à la législation, en passant par les tests software et l'adoption de la confiance zéro.
Voir la liste complète sur CSO Online. Il y a là un grain de sagesse pour tous ceux qui cherchent à adopter une approche proactive des opérations de cybersécurité.
L'action du NIST vise à relancer le marché explosif de la cryptographie post-quantique
Alors que le NIST procède à la sélection finale des algorithmes PQC, le reste de l'industrie est prêt à suivre son exemple. ABI Research, une société internationale de veille technologique, prévoit que les revenus de la QPC augmenteront à pas de géant au cours des cinq prochaines années, car les organisations s'empressent de s'adapter aux nouvelles normes du NIST.
L'avancement des travaux dans ces forums sera un signe de maturité technologique, et l'objectif des fournisseurs sera de présenter des technologies "prêtes à l'emploi" pour leurs secteurs respectifs, ce qui facilitera l'intégration et l'adoption commerciales", a déclaré Michela Menting, directrice de la recherche sur les applications en matière de cybersécurité à l'ABI.
La crypto-agilité sera essentielle à l'ère post-quantique. Consultez le rapport d'ABI pour découvrir l'impact de la décision du NIST sur votre organisation.
Malgré les échéances fixées par la Maison Blanche, la transition post-quantique va s'éterniser
Un mémo du 18 novembre de l'Office américain de la gestion et du budget demande aux agences de soumettre leurs premiers inventaires de systèmes cryptographiques identifiant les systèmes vulnérables, mais c'est une tâche ardue.
La plupart des agences ont du mal à cerner l'ampleur des systèmes qui dépendent de PKI. Pendant ce temps, les scientifiques ne parviennent pas à se mettre d'accord sur la définition d'un qubit - l'analogue mécanique quantique d'un bit. Seule une entreprise de sécurité quantique en tant que service a obtenu un contrat de phase III, ce qui lui permet de passer des contrats avec des agences fédérales.
Le dernier mémo n'est que l'un des nombreux textes législatifs et directives qui permettront aux États-Unis de devenir le leader mondial en matière de protection, même si les experts prévoient que la transition prendra au moins une décennie. Pour en savoir plus sur "le plus grand cycle de mise à niveau de toute l'histoire de l'humanité", rendez-vous sur FedScoop rendez-vous sur FedScoop.
Des mises à jour d'applications truffées de logiciels malveillants donnent un accès total aux appareils Android
Plusieurs grands fabricants d'appareils, tels que Samsung et LG, ont été victimes d'une fuite de sécurité qui utilisait des clés de fabrication pour déguiser des mises à jour d'applications infectées par des logiciels malveillants en mises à jour légitimes.
Contrairement à la plupart des applications malveillantes, cette technique n'a pas besoin de tromper l'utilisateur pour qu'il accorde des autorisations sensibles ou qu'il clique sur un fichier ou un lien malveillant. Le simple téléchargement d'une mise à jour d'une application malveillante peut donner un accès complet à l'appareil.
Cet incident est une leçon sur les risques liés à la signature de code sans protocole de gestion des clés de signature de code. Pour savoir où ces fabricants ont échoué et où vous pouvez réussir, consultez l'article complet dans CPO Magazine, lisez l'article complet dans CPO Magazine.
Trop de solutions d'identité, pas assez de couverture
Un nouveau rapport de One Identity, fournisseur de solutions de gestion de l'identité, montre que la grande majorité des organisations peinent à combler les lacunes en matière d'accès basé sur l'identité, en dépit d'une multitude de solutions d'identité.
Le rapport révèle que 41 % des entreprises ont déployé au moins 25 systèmes différents pour gérer les droits d'accès, mais que 70 % d'entre elles déclarent ne pas utiliser tous les outils d'identité pour lesquels elles paient. Ces inefficacités coûtent à 42 % des entreprises plus de 100 000 dollars par an.
Les entreprises rechercheront des solutions globales qui centralisent ou consolident les outils de gestion des identités pour résoudre ce problème. Alors que les acteurs de la menace continuent de cibler les utilisateurs, la résolution du puzzle de l'accès basé sur l'identité sera essentielle pour éviter les attaques d'ingénierie sociale au cours de l'année à venir. Pour avoir une idée de l'étendue de la fragmentation de la gestion des identités, consultez le rapport complet sur BetaNews.
Rattraper les titres de la semaine dernière ici.
