Vous avez entre les mains le premier numéro de la Newsletter Technique de Bee Ware. Nous espérons que le contenu des articles, que nous voulons transversaux, vous séduira. Si le blog Bee Ware Tech - qui est associé à cette newsletter - vous a plu, n'hésitez pas à faire profiter vos amis de cette adresse. La Newsletter Technique sera envoyée une fois tous les trois mois. Pour être tenus informés des éventuels ajouts sur le blog dans cet intervalle, abonnez-vous au flux  RSS.
Si vous le souhaitez, vous pouvez vous désabonner en cliquant ici.
|
Dis papa, c'est quoi cette sécurité sur Internet ?
En 1995 arrivait tout doucement en France un réseau informatique qui allait être rapidement qualifié d’« autoroute de l’information ». Les Français découvraient le Web. L’une des voies de communication de cette autoroute. Boudé pendant plusieurs années par les entreprises, ce nouveau canal de distribution potentiel a fini par prendre l’ascendant sur le Minitel, pourtant lourdement soutenu par l’opérateur historique, au détriment d’Internet. Mais sa particularité, être un réseau ouvert par nature, allait charrier des wagons d’ennuis en termes de sécurité pour les entreprises qui s’y risquaient.
|
|
HTTP, le protocole « universel »...
L’évolution des besoins, notamment dans le domaine des applications Web pourrait nous le faire oublier, mais à l’origine, HTTP est un protocole de requête/réponse synchrone (client/serveur) léger et sans état. Bien qu’il ne soit par exemple pas fait pour maintenir des sessions nous assistons depuis quelques années à une évolution de son utilisation visant à le transformer en une sorte de protocole universel, ce qui conduit notamment à vouloir l’imposer pour des usages nécessitant des fonctionnalités qu’il n’intègre pas en standard.
|
L’analyse des flux sortants comme outil de protection des applications Web.
Filtrer le trafic vers une application web se résume généralement aujourd’hui à l’utilisation de listes blanches et de listes noires, bloquant ou autorisant des chaines de caractères. Mais est-ce suffisant ? La surveillance des flux sortants et entrants permet de vérifier la logique et le comportement normal d’une application tout au long de la navigation de l’utilisateur.
|
|
Comment utiliser un firewall applicatif contre les pollutions de paramètres dans une requête HTTP
La technique de pollution de paramètres et cookies permet d’exploiter des vulnérabilités au sein d’une application Web. Cette nouvelle forme d’attaque a été présentée pour la première fois à la conférence OWASP Europe 2009 par Stéphano di Paola et Luca Carettoni.
|
|
Le WAF, un outil complémentaire aux audits de code et au pentest
En matière de sécurité informatique, il n’est pas rare de voir opposées plusieurs démarches. L’audit, le pentest ou le WAF sont fréquemment présentés comme des approches « en concurrence ». Pourtant, elles sont complémentaires et il serait dommage de se priver de leurs apports spécifiques.
|
Vers une obligation de la déclaration des incidents de sécurité ?
Le 24 mars, sera débattue une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique ». Déposée par M. Yves Détraigne et Mme Anne-Marie Escoffier, cette proposition aborde un certain nombre de sujets, dont l’obligation pour les entreprises de déclarer les incidents de sécurité...
|
La fédération d’identité : nouvel enjeu pour le SSO
Alors que les systèmes de SSO au sein des organisations sont maintenant largement répandus, on cherche aujourd’hui à les étendre vers l’extérieur, vers les organismes et services partenaires, et vers les SaaS. Il s’agit avant tout d’une démarche de simplification pour l’utilisateur lui évitant une multitude de saisies et de créations de comptes. Elle permet d’autre part aux sites partenaires, susceptibles d’utiliser des systèmes potentiellement faillibles, de déléguer l’authentification d’un utilisateur au système d’authentification forte, centralisé et maitrisé par le SI de l’organisme. Cette délégation est particulièrement critique pour les entreprises. A cela s’ajoute la gestion de l’identité numérique et de la diffusion des informations nominatives des utilisateurs.
|
|
|
- 16 et 17 mars : Ateliers de la Connaissance, Telindus
- 25 mars : déjeuner de la sécurité à montpellier
- 15 avril: réunion Cercle de la Sécurité
|
- Ouvrez des tickets, gérez vos licences, téléchargez la documentation sur My.bee-ware.net, le site du support pour i-Suite.
- Formations :
i-Suite (IAM, WAF)
- Bee Ware Advanced Services
|
- Prenez le temps de respirer avec la rubrique "Détente" de la newsletter technique Bee Ware. Ce mois-ci, que s'est-il passé l'année de votre naissance ?
|
|
