Background: #fff
Foreground: #000
PrimaryPale: #8cf
PrimaryLight: #18f
PrimaryMid: #04b
PrimaryDark: #014
SecondaryPale: #ffc
SecondaryLight: #fe8
SecondaryMid: #db4
SecondaryDark: #841
TertiaryPale: #eee
TertiaryLight: #ccc
TertiaryMid: #999
TertiaryDark: #666
Error: #f88
<!--{{{-->
<link rel='alternate' type='application/rss+xml' title='RSS' href='index.xml' />
<!--}}}-->
[[AdvancedOptions]]
/*{{{*/
body {background:[[ColorPalette::Background]]; color:[[ColorPalette::Foreground]];}
a {color:[[ColorPalette::PrimaryMid]];}
a:hover {background-color:[[ColorPalette::PrimaryMid]]; color:[[ColorPalette::Background]];}
a img {border:0;}
h1,h2,h3,h4,h5,h6 {color:[[ColorPalette::SecondaryDark]]; background:transparent;}
h1 {border-bottom:2px solid [[ColorPalette::TertiaryLight]];}
h2,h3 {border-bottom:1px solid [[ColorPalette::TertiaryLight]];}
.button {color:[[ColorPalette::PrimaryDark]]; border:1px solid [[ColorPalette::Background]];}
.button:hover {color:[[ColorPalette::PrimaryDark]]; background:[[ColorPalette::SecondaryLight]]; border-color:[[ColorPalette::SecondaryMid]];}
.button:active {color:[[ColorPalette::Background]]; background:[[ColorPalette::SecondaryMid]]; border:1px solid [[ColorPalette::SecondaryDark]];}
.header {background:[[ColorPalette::PrimaryMid]];}
.headerShadow {color:[[ColorPalette::Foreground]];}
.headerShadow a {font-weight:normal; color:[[ColorPalette::Foreground]];}
.headerForeground {color:[[ColorPalette::Background]];}
.headerForeground a {font-weight:normal; color:[[ColorPalette::PrimaryPale]];}
.tabSelected {color:[[ColorPalette::PrimaryDark]];
  background:[[ColorPalette::TertiaryPale]];
  border-left:1px solid [[ColorPalette::TertiaryLight]];
  border-top:1px solid [[ColorPalette::TertiaryLight]];
  border-right:1px solid [[ColorPalette::TertiaryLight]];
}
.tabUnselected {color:[[ColorPalette::Background]]; background:[[ColorPalette::TertiaryMid]];}
.tabContents {color:[[ColorPalette::PrimaryDark]]; background:[[ColorPalette::TertiaryPale]]; border:1px solid [[ColorPalette::TertiaryLight]];}
.tabContents .button {border:0;}
#sidebar {}
#sidebarOptions input {border:1px solid [[ColorPalette::PrimaryMid]];}
#sidebarOptions .sliderPanel {background:[[ColorPalette::PrimaryPale]];}
#sidebarOptions .sliderPanel a {border:none;color:[[ColorPalette::PrimaryMid]];}
#sidebarOptions .sliderPanel a:hover {color:[[ColorPalette::Background]]; background:[[ColorPalette::PrimaryMid]];}
#sidebarOptions .sliderPanel a:active {color:[[ColorPalette::PrimaryMid]]; background:[[ColorPalette::Background]];}
.wizard {background:[[ColorPalette::PrimaryPale]]; border:1px solid [[ColorPalette::PrimaryMid]];}
.wizard h1 {color:[[ColorPalette::PrimaryDark]]; border:none;}
.wizard h2 {color:[[ColorPalette::Foreground]]; border:none;}
.wizardStep {background:[[ColorPalette::Background]]; color:[[ColorPalette::Foreground]];
  border:1px solid [[ColorPalette::PrimaryMid]];}
.wizardStep.wizardStepDone {background:[[ColorPalette::TertiaryLight]];}
.wizardFooter {background:[[ColorPalette::PrimaryPale]];}
.wizardFooter .status {background:[[ColorPalette::PrimaryDark]]; color:[[ColorPalette::Background]];}
.wizard .button {color:[[ColorPalette::Foreground]]; background:[[ColorPalette::SecondaryLight]]; border: 1px solid;
  border-color:[[ColorPalette::SecondaryPale]] [[ColorPalette::SecondaryDark]] [[ColorPalette::SecondaryDark]] [[ColorPalette::SecondaryPale]];}
.wizard .button:hover {color:[[ColorPalette::Foreground]]; background:[[ColorPalette::Background]];}
.wizard .button:active {color:[[ColorPalette::Background]]; background:[[ColorPalette::Foreground]]; border: 1px solid;
  border-color:[[ColorPalette::PrimaryDark]] [[ColorPalette::PrimaryPale]] [[ColorPalette::PrimaryPale]] [[ColorPalette::PrimaryDark]];}
.wizard .notChanged {background:transparent;}
.wizard .changedLocally {background:#80ff80;}
.wizard .changedServer {background:#8080ff;}
.wizard .changedBoth {background:#ff8080;}
.wizard .notFound {background:#ffff80;}
.wizard .putToServer {background:#ff80ff;}
.wizard .gotFromServer {background:#80ffff;}
#messageArea {border:1px solid [[ColorPalette::SecondaryMid]]; background:[[ColorPalette::SecondaryLight]]; color:[[ColorPalette::Foreground]];}
#messageArea .button {color:[[ColorPalette::PrimaryMid]]; background:[[ColorPalette::SecondaryPale]]; border:none;}
.popupTiddler {background:[[ColorPalette::TertiaryPale]]; border:2px solid [[ColorPalette::TertiaryMid]];}
.popup {background:[[ColorPalette::TertiaryPale]]; color:[[ColorPalette::TertiaryDark]]; border-left:1px solid [[ColorPalette::TertiaryMid]]; border-top:1px solid [[ColorPalette::TertiaryMid]]; border-right:2px solid [[ColorPalette::TertiaryDark]]; border-bottom:2px solid [[ColorPalette::TertiaryDark]];}
.popup hr {color:[[ColorPalette::PrimaryDark]]; background:[[ColorPalette::PrimaryDark]]; border-bottom:1px;}
.popup li.disabled {color:[[ColorPalette::TertiaryMid]];}
.popup li a, .popup li a:visited {color:[[ColorPalette::Foreground]]; border: none;}
.popup li a:hover {background:[[ColorPalette::SecondaryLight]]; color:[[ColorPalette::Foreground]]; border: none;}
.popup li a:active {background:[[ColorPalette::SecondaryPale]]; color:[[ColorPalette::Foreground]]; border: none;}
.popupHighlight {background:[[ColorPalette::Background]]; color:[[ColorPalette::Foreground]];}
.listBreak div {border-bottom:1px solid [[ColorPalette::TertiaryDark]];}
.tiddler .defaultCommand {font-weight:bold;}
.shadow .title {color:[[ColorPalette::TertiaryDark]];}
.title {color:[[ColorPalette::SecondaryDark]];}
.subtitle {color:[[ColorPalette::TertiaryDark]];}
.toolbar {color:[[ColorPalette::PrimaryMid]];}
.toolbar a {color:[[ColorPalette::TertiaryLight]];}
.selected .toolbar a {color:[[ColorPalette::TertiaryMid]];}
.selected .toolbar a:hover {color:[[ColorPalette::Foreground]];}
.tagging, .tagged {border:1px solid [[ColorPalette::TertiaryPale]]; background-color:[[ColorPalette::TertiaryPale]];}
.selected .tagging, .selected .tagged {background-color:[[ColorPalette::TertiaryLight]]; border:1px solid [[ColorPalette::TertiaryMid]];}
.tagging .listTitle, .tagged .listTitle {color:[[ColorPalette::PrimaryDark]];}
.tagging .button, .tagged .button {border:none;}
.footer {color:[[ColorPalette::TertiaryLight]];}
.selected .footer {color:[[ColorPalette::TertiaryMid]];}
.error, .errorButton {color:[[ColorPalette::Foreground]]; background:[[ColorPalette::Error]];}
.warning {color:[[ColorPalette::Foreground]]; background:[[ColorPalette::SecondaryPale]];}
.lowlight {background:[[ColorPalette::TertiaryLight]];}
.zoomer {background:none; color:[[ColorPalette::TertiaryMid]]; border:3px solid [[ColorPalette::TertiaryMid]];}
.imageLink, #displayArea .imageLink {background:transparent;}
.annotation {background:[[ColorPalette::SecondaryLight]]; color:[[ColorPalette::Foreground]]; border:2px solid [[ColorPalette::SecondaryMid]];}
.viewer .listTitle {list-style-type:none; margin-left:-2em;}
.viewer .button {border:1px solid [[ColorPalette::SecondaryMid]];}
.viewer blockquote {border-left:3px solid [[ColorPalette::TertiaryDark]];}
.viewer table, table.twtable {border:2px solid [[ColorPalette::TertiaryDark]];}
.viewer th, .viewer thead td, .twtable th, .twtable thead td {background:[[ColorPalette::SecondaryMid]]; border:1px solid [[ColorPalette::TertiaryDark]]; color:[[ColorPalette::Background]];}
.viewer td, .viewer tr, .twtable td, .twtable tr {border:1px solid [[ColorPalette::TertiaryDark]];}
.viewer pre {border:1px solid [[ColorPalette::SecondaryLight]]; background:[[ColorPalette::SecondaryPale]];}
.viewer code {color:[[ColorPalette::SecondaryDark]];}
.viewer hr {border:0; border-top:dashed 1px [[ColorPalette::TertiaryDark]]; color:[[ColorPalette::TertiaryDark]];}
.highlight, .marked {background:[[ColorPalette::SecondaryLight]];}
.editor input {border:1px solid [[ColorPalette::PrimaryMid]];}
.editor textarea {border:1px solid [[ColorPalette::PrimaryMid]]; width:100%;}
.editorFooter {color:[[ColorPalette::TertiaryMid]];}
.readOnly {background:[[ColorPalette::TertiaryPale]];}
#backstageArea {background:[[ColorPalette::Foreground]]; color:[[ColorPalette::TertiaryMid]];}
#backstageArea a {background:[[ColorPalette::Foreground]]; color:[[ColorPalette::Background]]; border:none;}
#backstageArea a:hover {background:[[ColorPalette::SecondaryLight]]; color:[[ColorPalette::Foreground]]; }
#backstageArea a.backstageSelTab {background:[[ColorPalette::Background]]; color:[[ColorPalette::Foreground]];}
#backstageButton a {background:none; color:[[ColorPalette::Background]]; border:none;}
#backstageButton a:hover {background:[[ColorPalette::Foreground]]; color:[[ColorPalette::Background]]; border:none;}
#backstagePanel {background:[[ColorPalette::Background]]; border-color: [[ColorPalette::Background]] [[ColorPalette::TertiaryDark]] [[ColorPalette::TertiaryDark]] [[ColorPalette::TertiaryDark]];}
.backstagePanelFooter .button {border:none; color:[[ColorPalette::Background]];}
.backstagePanelFooter .button:hover {color:[[ColorPalette::Foreground]];}
#backstageCloak {background:[[ColorPalette::Foreground]]; opacity:0.6; filter:alpha(opacity=60);}
/*}}}*/
/*{{{*/
* html .tiddler {height:1%;}
body {font-size:.75em; font-family:arial,helvetica; margin:0; padding:0;}
h1,h2,h3,h4,h5,h6 {font-weight:bold; text-decoration:none;}
h1,h2,h3 {padding-bottom:1px; margin-top:1.2em;margin-bottom:0.3em;}
h4,h5,h6 {margin-top:1em;}
h1 {font-size:1.35em;}
h2 {font-size:1.25em;}
h3 {font-size:1.1em;}
h4 {font-size:1em;}
h5 {font-size:.9em;}
hr {height:1px;}
a {text-decoration:none;}
dt {font-weight:bold;}
ol {list-style-type:decimal;}
ol ol {list-style-type:lower-alpha;}
ol ol ol {list-style-type:lower-roman;}
ol ol ol ol {list-style-type:decimal;}
ol ol ol ol ol {list-style-type:lower-alpha;}
ol ol ol ol ol ol {list-style-type:lower-roman;}
ol ol ol ol ol ol ol {list-style-type:decimal;}
.txtOptionInput {width:11em;}
#contentWrapper .chkOptionInput {border:0;}
.externalLink {text-decoration:underline;}
.indent {margin-left:3em;}
.outdent {margin-left:3em; text-indent:-3em;}
code.escaped {white-space:nowrap;}
.tiddlyLinkExisting {font-weight:bold;}
.tiddlyLinkNonExisting {font-style:italic;}
/* the 'a' is required for IE, otherwise it renders the whole tiddler in bold */
a.tiddlyLinkNonExisting.shadow {font-weight:bold;}
#mainMenu .tiddlyLinkExisting,
  #mainMenu .tiddlyLinkNonExisting,
  #sidebarTabs .tiddlyLinkNonExisting {font-weight:normal; font-style:normal;}
#sidebarTabs .tiddlyLinkExisting {font-weight:bold; font-style:normal;}
.header {position:relative;}
.header a:hover {background:transparent;}
.headerShadow {position:relative; padding:4.5em 0 1em 1em; left:-1px; top:-1px;}
.headerForeground {position:absolute; padding:4.5em 0 1em 1em; left:0; top:0;}
.siteTitle {font-size:3em;}
.siteSubtitle {font-size:1.2em;}
#mainMenu {position:absolute; left:0; width:10em; text-align:right; line-height:1.6em; padding:1.5em 0.5em 0.5em 0.5em; font-size:1.1em;}
#sidebar {position:absolute; right:3px; width:16em; font-size:.9em;}
#sidebarOptions {padding-top:0.3em;}
#sidebarOptions a {margin:0 0.2em; padding:0.2em 0.3em; display:block;}
#sidebarOptions input {margin:0.4em 0.5em;}
#sidebarOptions .sliderPanel {margin-left:1em; padding:0.5em; font-size:.85em;}
#sidebarOptions .sliderPanel a {font-weight:bold; display:inline; padding:0;}
#sidebarOptions .sliderPanel input {margin:0 0 0.3em 0;}
#sidebarTabs .tabContents {width:15em; overflow:hidden;}
.wizard {padding:0.1em 1em 0 2em;}
.wizard h1 {font-size:2em; font-weight:bold; background:none; padding:0; margin:0.4em 0 0.2em;}
.wizard h2 {font-size:1.2em; font-weight:bold; background:none; padding:0; margin:0.4em 0 0.2em;}
.wizardStep {padding:1em 1em 1em 1em;}
.wizard .button {margin:0.5em 0 0; font-size:1.2em;}
.wizardFooter {padding:0.8em 0.4em 0.8em 0;}
.wizardFooter .status {padding:0 0.4em; margin-left:1em;}
.wizard .button {padding:0.1em 0.2em;}
#messageArea {position:fixed; top:2em; right:0; margin:0.5em; padding:0.5em; z-index:2000; _position:absolute;}
.messageToolbar {display:block; text-align:right; padding:0.2em;}
#messageArea a {text-decoration:underline;}
.tiddlerPopupButton {padding:0.2em;}
.popupTiddler {position: absolute; z-index:300; padding:1em; margin:0;}
.popup {position:absolute; z-index:300; font-size:.9em; padding:0; list-style:none; margin:0;}
.popup .popupMessage {padding:0.4em;}
.popup hr {display:block; height:1px; width:auto; padding:0; margin:0.2em 0;}
.popup li.disabled {padding:0.4em;}
.popup li a {display:block; padding:0.4em; font-weight:normal; cursor:pointer;}
.listBreak {font-size:1px; line-height:1px;}
.listBreak div {margin:2px 0;}
.tabset {padding:1em 0 0 0.5em;}
.tab {margin:0 0 0 0.25em; padding:2px;}
.tabContents {padding:0.5em;}
.tabContents ul, .tabContents ol {margin:0; padding:0;}
.txtMainTab .tabContents li {list-style:none;}
.tabContents li.listLink { margin-left:.75em;}
#contentWrapper {display:block;}
#splashScreen {display:none;}
#displayArea {margin:1em 17em 0 14em;}
.toolbar {text-align:right; font-size:.9em;}
.tiddler {padding:1em 1em 0;}
.missing .viewer,.missing .title {font-style:italic;}
.title {font-size:1.6em; font-weight:bold;}
.missing .subtitle {display:none;}
.subtitle {font-size:1.1em;}
.tiddler .button {padding:0.2em 0.4em;}
.tagging {margin:0.5em 0.5em 0.5em 0; float:left; display:none;}
.isTag .tagging {display:block;}
.tagged {margin:0.5em; float:right;}
.tagging, .tagged {font-size:0.9em; padding:0.25em;}
.tagging ul, .tagged ul {list-style:none; margin:0.25em; padding:0;}
.tagClear {clear:both;}
.footer {font-size:.9em;}
.footer li {display:inline;}
.annotation {padding:0.5em; margin:0.5em;}
* html .viewer pre {width:99%; padding:0 0 1em 0;}
.viewer {line-height:1.4em; padding-top:0.5em;}
.viewer .button {margin:0 0.25em; padding:0 0.25em;}
.viewer blockquote {line-height:1.5em; padding-left:0.8em;margin-left:2.5em;}
.viewer ul, .viewer ol {margin-left:0.5em; padding-left:1.5em;}
.viewer table, table.twtable {border-collapse:collapse; margin:0.8em 1.0em;}
.viewer th, .viewer td, .viewer tr,.viewer caption,.twtable th, .twtable td, .twtable tr,.twtable caption {padding:3px;}
table.listView {font-size:0.85em; margin:0.8em 1.0em;}
table.listView th, table.listView td, table.listView tr {padding:0 3px 0 3px;}
.viewer pre {padding:0.5em; margin-left:0.5em; font-size:1.2em; line-height:1.4em; overflow:auto;}
.viewer code {font-size:1.2em; line-height:1.4em;}
.editor {font-size:1.1em;}
.editor input, .editor textarea {display:block; width:100%; font:inherit;}
.editorFooter {padding:0.25em 0; font-size:.9em;}
.editorFooter .button {padding-top:0; padding-bottom:0;}
.fieldsetFix {border:0; padding:0; margin:1px 0px;}
.zoomer {font-size:1.1em; position:absolute; overflow:hidden;}
.zoomer div {padding:1em;}
* html #backstage {width:99%;}
* html #backstageArea {width:99%;}
#backstageArea {display:none; position:relative; overflow: hidden; z-index:150; padding:0.3em 0.5em;}
#backstageToolbar {position:relative;}
#backstageArea a {font-weight:bold; margin-left:0.5em; padding:0.3em 0.5em;}
#backstageButton {display:none; position:absolute; z-index:175; top:0; right:0;}
#backstageButton a {padding:0.1em 0.4em; margin:0.1em;}
#backstage {position:relative; width:100%; z-index:50;}
#backstagePanel {display:none; z-index:100; position:absolute; width:90%; margin-left:3em; padding:1em;}
.backstagePanelFooter {padding-top:0.2em; float:right;}
.backstagePanelFooter a {padding:0.2em 0.4em;}
#backstageCloak {display:none; z-index:20; position:absolute; width:100%; height:100px;}
.whenBackstage {display:none;}
.backstageVisible .whenBackstage {display:block;}
/*}}}*/
/*
StyleSheet for use when a translation requires any css style changes.
This StyleSheet can be used directly by languages such as Chinese, Japanese and Korean which need larger font sizes.
*/
/*{{{*/
body {font-size:0.8em;}
#sidebarOptions {font-size:1.05em;}
#sidebarOptions a {font-style:normal;}
#sidebarOptions .sliderPanel {font-size:0.95em;}
.subtitle {font-size:0.8em;}
.viewer table.listView {font-size:0.95em;}
/*}}}*/
/*{{{*/
@media print {
#mainMenu, #sidebar, #messageArea, .toolbar, #backstageButton, #backstageArea {display: none !important;}
#displayArea {margin: 1em 1em 0em;}
noscript {display:none;} /* Fixes a feature in Firefox 1.5.0.2 where print preview displays the noscript content */
}
/*}}}*/
/%
!info
|Name|ToggleLeftSidebar|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
!show
<<tiddler {{
 var co=config.options;
 if (co.chkShowLeftSidebar===undefined) co.chkShowLeftSidebar=true;
 var mm=document.getElementById('mainMenu');
 var da=document.getElementById('displayArea');
 if (mm) {
 mm.style.display=co.chkShowLeftSidebar?'block':'none';
 da.style.marginLeft=co.chkShowLeftSidebar?'':'1em';
 }
'';}}>><html><nowiki><a href='javascript:;' title="$2"
onmouseover="
 this.href='javascript:void(eval(decodeURIComponent(%22(function(){try{('
 +encodeURIComponent(encodeURIComponent(this.onclick))
 +')()}catch(e){alert(e.description?e.description:e.toString())}})()%22)))';"
onclick="
 var co=config.options;
 var opt='chkShowLeftSidebar';
 var show=co[opt]=!co[opt];
 var mm=document.getElementById('mainMenu');
 var da=document.getElementById('displayArea');
 if (mm) {
 mm.style.display=show?'block':'none';
 da.style.marginLeft=show?'':'1em';
 }
 saveOptionCookie(opt);
 var labelShow=co.txtToggleLeftSideBarLabelShow||'&#x25BA;';
 var labelHide=co.txtToggleLeftSideBarLabelHide||'&#x25C4;';
 if (this.innerHTML==labelShow||this.innerHTML==labelHide) 
 this.innerHTML=show?labelHide:labelShow;
 this.title=(show?'cacher':'montrer')+' le menu à gauche';
 var sm=document.getElementById('storyMenu');
 if (sm) config.refreshers.content(sm);
 return false;
">$1</a></html>
!end
%/<<tiddler {{
 var src='.ToggleLeftSidebar';
 src+(tiddler&&tiddler.title==src?'##info':'##show');
}} with: {{
 var co=config.options;
 var labelShow=co.txtToggleLeftSideBarLabelShow||'↔&#x25BA;&#x25C1;';
 var labelHide=co.txtToggleLeftSideBarLabelHide||'↔&#x25C4;&#x25B7;';
 '$1'!='$'+'1'?'$1':(co.chkShowLeftSidebar?labelHide:labelShow);
}} {{
 var tip=(config.options.chkShowLeftSidebar?'cacher':'montrer')+' le menu à gauche';
 '$2'!='$'+'2'?'$2':tip;
}}>>
/%
!info
|Name|ToggleTitleSubTitle|
|Author|Eric Shulman|
|License|https://www.TiddlyTools.com/#LegalStatements|
%/<html><nowiki><a href="javascript:;" title="afficher/masquer le bandeau supérieur de cette page"
onmouseover="
 this.href='javascript:void(eval(decodeURIComponent(%22(function(){try{('
 +encodeURIComponent(encodeURIComponent(this.onclick))
 +')()}catch(e){alert(e.description?e.description:e.toString())}})()%22)))';"
onclick="
 var c=document.getElementById('contentWrapper'); if (!c) return;
 for (var i=0; i<c.childNodes.length; i++)
 if (hasClass(c.childNodes[i],'header')) { var h=c.childNodes[i]; break; }
 if (!h) return;
 config.options.chkHideSiteTitles=h.style.display!='none';
 h.style.display=config.options.chkHideSiteTitles?'none':'block';
 saveOptionCookie('chkHideSiteTitles');
 return false;
">↑&#x25b3;&#x25bc;↓</a></html>
/%
!info
|Name|ToggleRightSidebar|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
!end
!show
<<tiddler {{
	var co=config.options;
	if (co.chkShowRightSidebar===undefined) co.chkShowRightSidebar=true;
	var sb=document.getElementById('sidebar');
	var da=document.getElementById('displayArea');
	if (sb) {
		sb.style.display=co.chkShowRightSidebar?'block':'none';
		da.style.marginRight=co.chkShowRightSidebar?'':'1em';
	}
'';}}>><html><nowiki><a href='javascript:;' title="$2"
onmouseover="
	this.href='javascript:void(eval(decodeURIComponent(%22(function(){try{('
	+encodeURIComponent(encodeURIComponent(this.onclick))
	+')()}catch(e){alert(e.description?e.description:e.toString())}})()%22)))';"
onclick="
	var co=config.options;
	var opt='chkShowRightSidebar';
	var show=co[opt]=!co[opt];
	var sb=document.getElementById('sidebar');
	var da=document.getElementById('displayArea');
	if (sb) {
		sb.style.display=show?'block':'none';
		da.style.marginRight=show?'':'1em';
	}
	saveOptionCookie(opt);
	var labelShow=co.txtToggleRightSideBarLabelShow||'&#x25C4;';
	var labelHide=co.txtToggleRightSideBarLabelHide||'&#x25BA;';
	if (this.innerHTML==labelShow||this.innerHTML==labelHide) 
		this.innerHTML=show?labelHide:labelShow;
	this.title=(show?'hide':'show')+' right sidebar';
	var sm=document.getElementById('storyMenu');
	if (sm) config.refreshers.content(sm);
	return false;
">$1</a></html>
!end
%/<<tiddler {{
	var src='.ToggleRightSidebar';
	src+(tiddler&&tiddler.title==src?'##info':'##show');
}} with: {{
	var co=config.options;
	var labelShow=co.txtToggleRightSideBarLabelShow||'&#x25BA;&#x25B7;';
	var labelHide=co.txtToggleRightSideBarLabelHide||'&#x25BA;&#x25B7;';
	'$1'!='$'+'1'?'$1':(co.chkShowRightSidebar?labelHide:labelShow);
}} {{
	var tip=(config.options.chkShowRightSidebar?'hide':'show')+' right sidebar';
	'$2'!='$'+'2'?'$2':tip;
}}>>
/*
|Name|BreadcrumbsPlugin|
|Author|Eric Shulman|
|Source|http://www.TiddlyTools.com/#BreadcrumbsPlugin|
|Version|2.1.4|
|License|http://www.TiddlyTools.com/#LegalStatements|
|~CoreVersion|2.1|
*/
//{{{
version.extensions.BreadcrumbsPlugin= {major: 2, minor: 1, revision: 4, date: new Date(2011,2,16)};
var defaults={
 chkShowBreadcrumbs: true,
 chkReorderBreadcrumbs: true,
 chkCreateDefaultBreadcrumbs: true,
 chkShowStartupBreadcrumbs: false,
 chkBreadcrumbsReverse: false,
 chkBreadcrumbsLimit: false,
 txtBreadcrumbsLimit: 5,
 chkBreadcrumbsLimitOpenTiddlers:false,
 txtBreadcrumbsLimitOpenTiddlers:3,
 chkBreadcrumbsHideHomeLink: false,
 chkBreadcrumbsSave: false,
 txtBreadcrumbsHomeSeparator: ' | ',
 txtBreadcrumbsCrumbSeparator: ' > '
};
for (var id in defaults) if (config.options[id]===undefined)
 config.options[id]=defaults[id];
config.macros.breadcrumbs = {
 crumbs: [], // the list of current breadcrumbs
 askMsg: "Save current breadcrumbs before clearing?\n"
 +"Press OK to save, or CANCEL to continue without saving.",
 saveMsg: 'Enter the name of a tiddler in which to save the current breadcrumbs',
 saveTitle: 'SavedBreadcrumbs',
 handler: function(place,macroName,params,wikifier,paramString,tiddler) {
 var area=createTiddlyElement(place,"span",null,"breadCrumbs",null);
 area.setAttribute("homeSep",params[0]||config.options.txtBreadcrumbsHomeSeparator);
 area.setAttribute("crumbSep",params[1]||config.options.txtBreadcrumbsCrumbSeparator);
 this.render(area);
 },
 add: function (title) {
 var thisCrumb = title;
 var ind = this.crumbs.indexOf(thisCrumb);
 if(ind === -1)
 this.crumbs.push(thisCrumb);
 else if (config.options.chkReorderBreadcrumbs)
 this.crumbs.push(this.crumbs.splice(ind,1)[0]); // reorder crumbs
 else
 this.crumbs=this.crumbs.slice(0,ind+1); // trim crumbs
 if (config.options.chkBreadcrumbsLimitOpenTiddlers)
 this.limitOpenTiddlers();
 this.refresh();
 return false;
 },
 getAreas: function() {
 var crumbAreas=[];
 // find all DIVs with classname=="breadCrumbs"
 var all=document.getElementsByTagName("*");
 for (var i=0; i<all.length; i++)
 try{ if (hasClass(all[i],"breadCrumbs")) crumbAreas.push(all[i]); } catch(e) {;}
 // or, find single DIV w/fixed ID (backward compatibility)
 var byID=document.getElementById("breadCrumbs")
 if (byID && !hasClass(byID,"breadCrumbs")) crumbAreas.push(byID);
 if (!crumbAreas.length && config.options.chkCreateDefaultBreadcrumbs) {
 // no crumbs display... create one
 var defaultArea = createTiddlyElement(null,"span",null,"breadCrumbs",null);
 defaultArea.style.display= "none";
 var targetArea= document.getElementById("tiddlerDisplay");
 targetArea.parentNode.insertBefore(defaultArea,targetArea);
 crumbAreas.push(defaultArea);
 }
 return crumbAreas;
 },
 refresh: function() {
 var crumbAreas=this.getAreas();
 for (var i=0; i<crumbAreas.length; i++) {
 crumbAreas[i].style.display = config.options.chkShowBreadcrumbs?"inline":"none";
 removeChildren(crumbAreas[i]);
 this.render(crumbAreas[i]);
 }
 },
 render: function(here) {
 var co=config.options; var out=""
 if (!co.chkBreadcrumbsHideHomeLink) {
 createTiddlyButton(here,"Accueil",null,this.home,"tiddlyLink tiddlyLinkExisting");
 out+=here.getAttribute("homeSep")||config.options.txtBreadcrumbsHomeSeparator;
 }
 for (c=0; c<this.crumbs.length; c++) // remove non-existing tiddlers from crumbs
 if (!store.tiddlerExists(this.crumbs[c]) && !store.isShadowTiddler(this.crumbs[c]))
 this.crumbs.splice(c,1);
 var count=this.crumbs.length;
 if (co.chkBreadcrumbsLimit && co.txtBreadcrumbsLimit<count) count=co.txtBreadcrumbsLimit;
 var list=[];
 for (c=this.crumbs.length-count; c<this.crumbs.length; c++) list.push('[['+this.crumbs[c]+']]');
 if (co.chkBreadcrumbsReverse) list.reverse();
 out+=list.join(here.getAttribute("crumbSep")||config.options.txtBreadcrumbsCrumbSeparator);
 wikify(out,here);
 },
 home: function() {
 var cmb=config.macros.breadcrumbs;
 if (config.options.chkBreadcrumbsSave && confirm(cmb.askMsg)) cmb.saveCrumbs();
 story.closeAllTiddlers(); restart();
 cmb.crumbs = []; var crumbAreas=cmb.getAreas();
 for (var i=0; i<crumbAreas.length; i++) crumbAreas[i].style.display = "none";
 return false;
 },
 saveCrumbs: function() {
 var tid=prompt(this.saveMsg,this.saveTitle); if (!tid||!tid.length) return; // cancelled by user
 var t=store.getTiddler(tid);
 if(t && !confirm(config.messages.overwriteWarning.format([tid]))) return;
 var who=config.options.txtUserName;
 var when=new Date();
 var text='[['+this.crumbs.join(']]\n[[')+']]';
 var tags=t?t.tags:[]; tags.pushUnique('story');
 var fields=t?t.fields:{};
 store.saveTiddler(tid,tid,text,who,when,tags,fields);
 story.displayTiddler(null,tid);
 story.refreshTiddler(tid,null,true);
 displayMessage(tid+' has been '+(t?'updated':'created'));
 },
 limitOpenTiddlers: function() {
 var limit=config.options.txtBreadcrumbsLimitOpenTiddlers; if (limit<1) limit=1;
 for (c=this.crumbs.length-1; c>=0; c--) {
 var tid=this.crumbs[c];
 var elem=story.getTiddler(tid);
 if (elem) { // tiddler is displayed
 if (limit <=0) { // display limit has been reached
 if (elem.getAttribute("dirty")=="true") { // tiddler is being edited
 var msg= "'"+tid+"' is currently being edited.\n\n"
 +"Press OK to save and close this tiddler\n"
 +"or press Cancel to leave it opened";
 if (confirm(msg)) {
 story.saveTiddler(tid);
 story.closeTiddler(tid);
 }
 }
 else story.closeTiddler(this.crumbs[c]);
 }
 limit--;
 }
 }
 }
};
//}}}
// // PreviousTiddler ('back') command and macro
//{{{
config.commands.previousTiddler = {
 text: 'back',
 tooltip: 'view the previous tiddler',
 handler: function(event,src,title) {
 var crumbs=config.macros.breadcrumbs.crumbs;
 if (crumbs.length<2) config.macros.breadcrumbs.home();
 else story.displayTiddler(story.findContainingTiddler(src),crumbs[crumbs.length-2]);
 return false;
 }
};
config.macros.previousTiddler= {
 label: 'back',
 prompt: 'view the previous tiddler',
 handler: function(place,macroName,params,wikifier,paramString,tiddler) {
 var label=params.shift(); if (!label) label=this.label;
 var prompt=params.shift(); if (!prompt) prompt=this.prompt;
 createTiddlyButton(place,label,prompt,function(ev){
 return config.commands.previousTiddler.handler(ev,this)
 });
 }
}
//}}}
// // HIJACKS
//{{{
// update crumbs when a tiddler is displayed
if (Story.prototype.breadCrumbs_coreDisplayTiddler==undefined)
 Story.prototype.breadCrumbs_coreDisplayTiddler=Story.prototype.displayTiddler;
Story.prototype.displayTiddler = function(srcElement,tiddler) {
 var title=(tiddler instanceof Tiddler)?tiddler.title:tiddler;
 this.breadCrumbs_coreDisplayTiddler.apply(this,arguments);
 if (!startingUp || config.options.chkShowStartupBreadcrumbs)
 config.macros.breadcrumbs.add(title);
}
// update crumbs when a tiddler is deleted
if (TiddlyWiki.prototype.breadCrumbs_coreRemoveTiddler==undefined)
 TiddlyWiki.prototype.breadCrumbs_coreRemoveTiddler=TiddlyWiki.prototype.removeTiddler;
TiddlyWiki.prototype.removeTiddler= function() {
 this.breadCrumbs_coreRemoveTiddler.apply(this,arguments);
 config.macros.breadcrumbs.refresh();
}
//}}}
/*
|Name|DisableWikiLinksPlugin|
|Source|http://www.TiddlyTools.com/#DisableWikiLinksPlugin|
|Version|1.6.0|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
|~CoreVersion|2.1|
|Type|plugin|
|Description|selectively disable TiddlyWiki's automatic ~WikiWord linking behavior|
This plugin allows you to disable TiddlyWiki's automatic ~WikiWord linking behavior, so that WikiWords embedded in tiddler content will be rendered as regular text, instead of being automatically converted to tiddler links. To create a tiddler link when automatic linking is disabled, you must enclose the link text within {{{[[...]]}}}.
!!!!!Usage
<<<
You can block automatic WikiWord linking behavior for any specific tiddler by ''tagging it with<<tag excludeWikiWords>>'' (see configuration below) or, check a plugin option to disable automatic WikiWord links to non-existing tiddler titles, while still linking WikiWords that correspond to existing tiddlers titles or shadow tiddler titles. You can also block specific selected WikiWords from being automatically linked by listing them in [[DisableWikiLinksList]] (see configuration below), separated by whitespace. This tiddler is optional and, when present, causes the listed words to always be excluded, even if automatic linking of other WikiWords is being permitted. 
Note: WikiWords contained in default ''shadow'' tiddlers will be automatically linked unless you select an additional checkbox option lets you disable these automatic links as well, though this is not recommended, since it can make it more difficult to access some TiddlyWiki standard default content (such as AdvancedOptions or SideBarTabs)
<<<
!!!!!Configuration
<<<
<<option chkDisableWikiLinks>> Disable ALL automatic WikiWord tiddler links
<<option chkAllowLinksFromShadowTiddlers>> ... except for WikiWords //contained in// shadow tiddlers
<<option chkDisableNonExistingWikiLinks>> Disable automatic WikiWord links for non-existing tiddlers
Disable automatic WikiWord links for words listed in: <<option txtDisableWikiLinksList>>
Disable automatic WikiWord links for tiddlers tagged with: <<option txtDisableWikiLinksTag>>
<<<
!!!!!Revisions
<<<
2008.07.22 [1.6.0] hijack tiddler changed() method to filter disabled wiki words from internal links[] array (so they won't appear in the missing tiddlers list)
2007.06.09 [1.5.0] added configurable txtDisableWikiLinksTag (default value: "excludeWikiWords") to allows selective disabling of automatic WikiWord links for any tiddler tagged with that value.
2006.12.31 [1.4.0] in formatter, test for chkDisableNonExistingWikiLinks
2006.12.09 [1.3.0] in formatter, test for excluded wiki words specified in DisableWikiLinksList
2006.12.09 [1.2.2] fix logic in autoLinkWikiWords() (was allowing links TO shadow tiddlers, even when chkDisableWikiLinks is TRUE). 
2006.12.09 [1.2.1] revised logic for handling links in shadow content
2006.12.08 [1.2.0] added hijack of Tiddler.prototype.autoLinkWikiWords so regular (non-bracketed) WikiWords won't be added to the missing list
2006.05.24 [1.1.0] added option to NOT bypass automatic wikiword links when displaying default shadow content (default is to auto-link shadow content)
2006.02.05 [1.0.1] wrapped wikifier hijack in init function to eliminate globals and avoid FireFox 1.5.0.1 crash bug when referencing globals
2005.12.09 [1.0.0] initial release
<<<
!!!!!Code
*/
//{{{
version.extensions.DisableWikiLinksPlugin= {major: 1, minor: 6, revision: 0, date: new Date(2008,7,22)};
if (config.options.chkDisableNonExistingWikiLinks==undefined) config.options.chkDisableNonExistingWikiLinks= false;
if (config.options.chkDisableWikiLinks==undefined) config.options.chkDisableWikiLinks=false;
if (config.options.txtDisableWikiLinksList==undefined) config.options.txtDisableWikiLinksList="DisableWikiLinksList";
if (config.options.chkAllowLinksFromShadowTiddlers==undefined) config.options.chkAllowLinksFromShadowTiddlers=true;
if (config.options.txtDisableWikiLinksTag==undefined) config.options.txtDisableWikiLinksTag="excludeWikiWords";
// find the formatter for wikiLink and replace handler with 'pass-thru' rendering
initDisableWikiLinksFormatter();
function initDisableWikiLinksFormatter() {
	for (var i=0; i<config.formatters.length && config.formatters[i].name!="wikiLink"; i++);
	config.formatters[i].coreHandler=config.formatters[i].handler;
	config.formatters[i].handler=function(w) {
		// supress any leading "~" (if present)
		var skip=(w.matchText.substr(0,1)==config.textPrimitives.unWikiLink)?1:0;
		var title=w.matchText.substr(skip);
		var exists=store.tiddlerExists(title);
		var inShadow=w.tiddler && store.isShadowTiddler(w.tiddler.title);
		// check for excluded Tiddler
		if (w.tiddler && w.tiddler.isTagged(config.options.txtDisableWikiLinksTag))
			{ w.outputText(w.output,w.matchStart+skip,w.nextMatch); return; }
		// check for specific excluded wiki words
		var t=store.getTiddlerText(config.options.txtDisableWikiLinksList);
		if (t && t.length && t.indexOf(w.matchText)!=-1)
			{ w.outputText(w.output,w.matchStart+skip,w.nextMatch); return; }
		// if not disabling links from shadows (default setting)
		if (config.options.chkAllowLinksFromShadowTiddlers && inShadow)
			return this.coreHandler(w);
		// check for non-existing non-shadow tiddler
		if (config.options.chkDisableNonExistingWikiLinks && !exists)
			{ w.outputText(w.output,w.matchStart+skip,w.nextMatch); return; }
		// if not enabled, just do standard WikiWord link formatting
		if (!config.options.chkDisableWikiLinks)
			return this.coreHandler(w);
		// just return text without linking
		w.outputText(w.output,w.matchStart+skip,w.nextMatch)
	}
}
Tiddler.prototype.coreAutoLinkWikiWords = Tiddler.prototype.autoLinkWikiWords;
Tiddler.prototype.autoLinkWikiWords = function()
{
	if (!config.options.chkDisableWikiLinks)
		return this.coreAutoLinkWikiWords.apply(this,arguments);
	return false;
}
Tiddler.prototype.disableWikiLinks_changed = Tiddler.prototype.changed;
Tiddler.prototype.changed = function()
{
	this.disableWikiLinks_changed.apply(this,arguments);
	var t=store.getTiddlerText(config.options.txtDisableWikiLinksList,"").readBracketedList();
	if (t.length) for (var i=0; i<t.length; i++)
		if (this.links.contains(t[i]))
			this.links.splice(this.links.indexOf(t[i]),1);
};
//}}}
/*
|''Name''|ForEachTiddlerPlugin|
|''Version''|1.2.4|
|''Forked from''|[[abego.ForEachTiddlerPlugin|http://tiddlywiki.abego-software.de/#ForEachTiddlerPlugin]], by Udo Borkowski|
|''Author''|Yakov Litvin|
*/
//{{{
(function(){
// Only install once
if (version.extensions.ForEachTiddlerPlugin) {
	alert("Warning: more than one copy of ForEachTiddlerPlugin is set to be launched");
	return;
} else
	version.extensions.ForEachTiddlerPlugin = {
		source: "[repository url here]",
		licence: "[licence url here]",
		copyright: "Copyright (c) Yakov Litvin, 2012 [url of the meta page]"
	};
config.macros.forEachTiddler = {
	actions: {
		addToList: {},
		write: {}
	}
};
config.macros.forEachTiddler.handler = function(place,macroName,params,wikifier,paramString,tiddler) {
	var parsedParams = this.parseParams(params);
	if (parsedParams.errorText) {
		this.handleError(place, parsedParams.errorText);
		return;
	}//else
		parsedParams.place = place;
		parsedParams.inTiddler = tiddler? tiddler : getContainingTiddler(place);
	parsedParams.actionName = parsedParams.actionName ? parsedParams.actionName : "addToList";
	var actionName = parsedParams.actionName;
	var action = this.actions[actionName];
	if (!action) {
		this.handleError(place, "Unknown action '"+actionName+"'.");
		return;
	}
	var element = document.createElement(action.element);
	jQuery(element).attr({ refresh: "macro", macroName: macroName }).data(parsedParams);
	place.appendChild(element);
	this.refresh(element);
};
config.macros.forEachTiddler.refresh = function(element) {
	var parsedParams = jQuery(element).data(),
	 action = this.actions[parsedParams.actionName];
	jQuery(element).empty();
	try {
		var tiddlersAndContext = this.getTiddlersAndContext(parsedParams);
		action.handler(element, tiddlersAndContext.tiddlers,
				parsedParams.actionParameter, tiddlersAndContext.context);
	} catch (e) {
		this.handleError(place, e);
	}
};
config.macros.forEachTiddler.getTiddlersAndContext = function(parameter) {
	var context = config.macros.forEachTiddler.createContext(parameter.place, parameter.filter, parameter.whereClause, parameter.sortClause, parameter.sortAscending, parameter.actionName, parameter.actionParameter, parameter.scriptText, parameter.tiddlyWikiPath, parameter.inTiddler);
	var tiddlyWiki = parameter.tiddlyWikiPath ? this.loadTiddlyWiki(parameter.tiddlyWikiPath) : store;
	context["tiddlyWiki"] = tiddlyWiki;
	var tiddlers = this.findTiddlers(parameter.filter, parameter.whereClause, context, tiddlyWiki);
	context["tiddlers"] = tiddlers;
	if (parameter.sortClause)
		this.sortTiddlers(tiddlers, parameter.sortClause, parameter.sortAscending, context);
	return {tiddlers: tiddlers, context: context};
};
config.macros.forEachTiddler.actions.addToList.element = "ul";
config.macros.forEachTiddler.actions.addToList.handler = function(place, tiddlers, parameter, context) {
	var p = 0;
	if (parameter.length > p) {
		config.macros.forEachTiddler.createExtraParameterErrorElement(place, "addToList", parameter, p);
		return;
	}
	for (var i = 0; i < tiddlers.length; i++) {
		var tiddler = tiddlers[i];
		var listItem = document.createElement("li");
		place.appendChild(listItem);
		createTiddlyLink(listItem, tiddler.title, true);
	}
};
var parseNamedParameter = function(name, parameter, i) {
	var beginExpression = null;
	if ((i < parameter.length) && parameter[i] == name) {
		i++;
		if (i >= parameter.length) {
			throw "Missing text behind '%0'".format([name]);
		}
		return config.macros.forEachTiddler.paramEncode(parameter[i]);
	}
	return null;
}
config.macros.forEachTiddler.actions.write.element = "span";
config.macros.forEachTiddler.actions.write.handler = function(place, tiddlers, parameter, context) {
	var p = 0;
	if (p >= parameter.length) {
		this.handleError(place, "Missing expression behind 'write'.");
		return;
	}
	var textExpression = config.macros.forEachTiddler.paramEncode(parameter[p]);
	p++;
	var beginExpression = parseNamedParameter("begin", parameter, p);
	if (beginExpression !== null)
		p += 2;
	var endExpression = parseNamedParameter("end", parameter, p);
	if (endExpression !== null)
		p += 2;
	var noneExpression = parseNamedParameter("none", parameter, p);
	if (noneExpression !== null)
		p += 2;
	var filename = null;
	var lineSeparator = undefined;
	if ((p < parameter.length) && parameter[p] == "toFile") {
		p++;
		if (p >= parameter.length) {
			this.handleError(place, "Filename expected behind 'toFile' of 'write' action.");
			return;
		}
		filename = config.macros.forEachTiddler.getLocalPath(config.macros.forEachTiddler.paramEncode(parameter[p]));
		p++;
		if ((p < parameter.length) && parameter[p] == "withLineSeparator") {
			p++;
			if (p >= parameter.length) {
				this.handleError(place, "Line separator text expected behind 'withLineSeparator' of 'write' action.");
				return;
			}
			lineSeparator = config.macros.forEachTiddler.paramEncode(parameter[p]);
			p++;
		}
	}
	if (parameter.length > p) {
		config.macros.forEachTiddler.createExtraParameterErrorElement(place, "write", parameter, p);
		return;
	}
	var func = config.macros.forEachTiddler.getEvalTiddlerFunction(textExpression, context);
	var count = tiddlers.length;
	var text = "";
	if (count > 0 && beginExpression)
		text += config.macros.forEachTiddler.getEvalTiddlerFunction(beginExpression, context)(undefined, context, count, undefined);
	for (var i = 0; i < count; i++) {
		var tiddler = tiddlers[i];
		text += func(tiddler, context, count, i);
	}
	if (count > 0 && endExpression)
		text += config.macros.forEachTiddler.getEvalTiddlerFunction(endExpression, context)(undefined, context, count, undefined);
	if (count == 0 && noneExpression)
		text += config.macros.forEachTiddler.getEvalTiddlerFunction(noneExpression, context)(undefined, context, count, undefined);
	if (filename) {
		if (lineSeparator !== undefined) {
			lineSeparator = lineSeparator.replace(/\\n/mg, "\n").replace(/\\r/mg, "\r");
			text = text.replace(/\n/mg,lineSeparator);
		}
		saveFile(filename, convertUnicodeToUTF8(text));
	} else
		wikify(text, place, null/* highlightRegExp */, context.inTiddler);
};
config.macros.forEachTiddler.parseParams = function(params) {
	var i = 0; // index running over the params
	var tiddlyWikiPath = undefined;
	if ((i < params.length) && params[i] == "in") {
		i++;
		if (i >= params.length)
			return { errorText: "TiddlyWiki path expected behind 'in'." };
		tiddlyWikiPath = this.paramEncode((i < params.length) ? params[i] : "");
		i++;
	}
	if ((i < params.length) && params[i] == "filter") {
		i++;
		var filter = (i < params.length) ? params[i] : undefined;
		i++;
	}
	var whereClause ="true";
	if ((i < params.length) && params[i] == "where") {
		i++;
		whereClause = this.paramEncode((i < params.length) ? params[i] : "");
		i++;
	}
	var sortClause = null;
	var sortAscending = true;
	if ((i < params.length) && params[i] == "sortBy") {
		i++;
		if (i >= params.length)
			return { errorText: "sortClause missing behind 'sortBy'." };
		sortClause = this.paramEncode(params[i]);
		i++;
		if ((i < params.length) && (params[i] == "ascending" || params[i] == "descending")) {
			 sortAscending = params[i] == "ascending";
			 i++;
		}
	}
	var scriptText = null;
	if ((i < params.length) && params[i] == "script") {
		i++;
		scriptText = this.paramEncode((i < params.length) ? params[i] : "");
		i++;
	}
	var actionName = "addToList";
	if (i < params.length) {
		if (!config.macros.forEachTiddler.actions[params[i]])
			return { errorText: "Unknown action '"+params[i]+"'." };
		else {
			actionName = params[i];
			i++;
		}
	}
	var actionParameter = params.slice(i);
	return	{
			filter:		 filter,
			whereClause:	 whereClause,
			sortClause:	 sortClause,
			sortAscending:	 sortAscending,
			actionName:	 actionName,
			actionParameter: actionParameter,
			scriptText:	 scriptText,
			tiddlyWikiPath:	 tiddlyWikiPath
		}
};
var getContainingTiddler = function(e) {
	while(e && !hasClass(e,"tiddler"))
		e = e.parentNode;
	var title = e ? e.getAttribute("tiddler") : null;
	return title ? store.getTiddler(title) : null;
};
config.macros.forEachTiddler.createContext = function(placeParam, filterParam, whereClauseParam, sortClauseParam, sortAscendingParam, actionNameParam, actionParameterParam, scriptText, tiddlyWikiPathParam, inTiddlerParam) {
	return {
		place		: placeParam,
		filter		: filterParam,
		whereClause	: whereClauseParam,
		sortClause	: sortClauseParam,
		sortAscending	: sortAscendingParam,
		script		: scriptText,
		actionName	: actionNameParam,
		actionParameter	: actionParameterParam,
		tiddlyWikiPath	: tiddlyWikiPathParam,
		inTiddler	: inTiddlerParam, // the tiddler containing the <<forEachTiddler ...>> macro call.
		viewerTiddler	: getContainingTiddler(placeParam) //the tiddler showing the forEachTiddler result
	};
};
config.macros.forEachTiddler.loadTiddlyWiki = function(path, idPrefix) {
	if (!idPrefix) {
		idPrefix = "store";
	}
	var lenPrefix = idPrefix.length;
	var content = loadFile(this.getLocalPath(path));
	if(content === null) {
		throw "TiddlyWiki '"+path+"' not found.";
	}
	var tiddlyWiki = new TiddlyWiki();
	if (!tiddlyWiki.importTiddlyWiki(content))
		throw "File '"+path+"' is not a TiddlyWiki.";
	tiddlyWiki.dirty = false;
	return tiddlyWiki;
};
config.macros.forEachTiddler.getEvalTiddlerFunction = function (javaScriptExpression, context) {
	var script = context["script"];
	var functionText = "var theFunction = function(tiddler, context, count, index) { return "+javaScriptExpression+"}";
	var fullText = (script ? script+";" : "")+functionText+";theFunction;";
	return eval(fullText);
};
config.macros.forEachTiddler.findTiddlers = function(filter, whereClause, context, tiddlyWiki) {
	var result = [];
	var func = config.macros.forEachTiddler.getEvalTiddlerFunction(whereClause, context);
	if(filter) {
		var tids = tiddlyWiki.filterTiddlers(filter);
		for(var i = 0; i < tids.length; i++)
			if(func(tids[i], context, undefined, undefined))
				result.push(tids[i]);
	} else
		tiddlyWiki.forEachTiddler(function(title,tiddler) {
			if(func(tiddler, context, undefined, undefined))
				result.push(tiddler);
		});
	return result;
};
config.macros.forEachTiddler.sortAscending = function(tiddlerA, tiddlerB) {
	return ((tiddlerA.forEachTiddlerSortValue == tiddlerB.forEachTiddlerSortValue)
			? 0
			: ((tiddlerA.forEachTiddlerSortValue < tiddlerB.forEachTiddlerSortValue)
			 ? -1
			 : +1))
};
config.macros.forEachTiddler.sortDescending = function(tiddlerA, tiddlerB) {
	return ((tiddlerA.forEachTiddlerSortValue == tiddlerB.forEachTiddlerSortValue)
			? 0
			: ((tiddlerA.forEachTiddlerSortValue < tiddlerB.forEachTiddlerSortValue)
			 ? +1
			 : -1))
};
config.macros.forEachTiddler.sortTiddlers = function(tiddlers, sortClause, ascending, context) {
	var func = config.macros.forEachTiddler.getEvalTiddlerFunction(sortClause, context);
	var count = tiddlers.length;
	var i;
	for (i = 0; i < count; i++) {
		var tiddler = tiddlers[i];
		tiddler.forEachTiddlerSortValue = func(tiddler,context, undefined, undefined);
	}
	tiddlers.sort(ascending ? this.sortAscending : this.sortDescending);
	for (i = 0; i < tiddlers.length; i++)
		delete tiddlers[i].forEachTiddlerSortValue;
};
config.macros.forEachTiddler.createErrorElement = function(place, exception) {
	var message = (exception.description) ? exception.description : exception.toString();
	return createTiddlyElement(place,"span",null,"forEachTiddlerError","<<forEachTiddler ...>>: "+message);
};
config.macros.forEachTiddler.handleError = function(place, exception) {
	if (place) {
		this.createErrorElement(place, exception);
	} else {
		throw exception;
	}
};
config.macros.forEachTiddler.createExtraParameterErrorElement = function(place, actionName, parameter, firstUnusedIndex) {
	var message = "Extra parameter behind '"+actionName+"':";
	for (var i = firstUnusedIndex; i < parameter.length; i++) {
		message += " "+parameter[i];
	}
	this.handleError(place, message);
};
config.macros.forEachTiddler.paramEncode = function(s) {
	var reGTGT = new RegExp("\\$\\)\\)","mg");
	var reGT = new RegExp("\\$\\)","mg");
	return s.replace(reGTGT, ">>").replace(reGT, ">");
};
config.macros.forEachTiddler.getLocalPath = function(originalPath) {
	var originalAbsolutePath = originalPath;
	if(originalAbsolutePath.search(/^((http(s)?)|(file)):/) != 0) {
		if (originalAbsolutePath.search(/^(.\:\\)|(\\\\)|(\/)/) != 0){// is relative?
			var currentUrl = document.location.toString();
			var currentPath = (currentUrl.lastIndexOf("/") > -1) ?
				currentUrl.substr(0, currentUrl.lastIndexOf("/") + 1) :
				currentUrl + "/";
			originalAbsolutePath = currentPath + originalAbsolutePath;
		} else
			originalAbsolutePath = "file://" + originalAbsolutePath;
		originalAbsolutePath = originalAbsolutePath.replace(/\\/mg,"/");
	}
	return getLocalPath(originalAbsolutePath);
};
setStylesheet(
	".forEachTiddlerError{color: #ffffff;background-color: #880000;}",
	"forEachTiddler");
config.macros.fet = config.macros.forEachTiddler;
String.prototype.startsWith = function(prefix) {
	var n = prefix.length;
	return (this.length >= n) && (this.slice(0, n) == prefix);
};
String.prototype.endsWith = function(suffix) {
	var n = suffix.length;
	return (this.length >= n) && (this.right(n) == suffix);
};
String.prototype.contains = function(substring) {
	return this.indexOf(substring) >= 0;
};
})();
Tiddler.prototype.getSlice = function(sliceName,defaultText) {
	var re = TiddlyWiki.prototype.slicesRE;
	re.lastIndex = 0;
	var m = re.exec(this.text);
	while(m) {
		if(m[2]) {
			if(m[2] == sliceName)
				return m[3];
		} else {
			if(m[5] == sliceName)
				return m[6];
		}
		m = re.exec(this.text);
	}
	return defaultText;
};
Tiddler.prototype.getSection = function(sectionName,defaultText) {
	var beginSectionRegExp = new RegExp("(^!{1,6}[ \t]*" + sectionName.escapeRegExp() + "[ \t]*\n)","mg"),
	 sectionTerminatorRegExp = /^!/mg;
	var match = beginSectionRegExp.exec(this.text), sectionText;
	if(match) {
		sectionText = this.text.substr(match.index+match[1].length);
		match = sectionTerminatorRegExp.exec(sectionText);
		if(match)
			sectionText = sectionText.substr(0,match.index-1); // don't include final \n
		return sectionText
	}
	return defaultText;
};
//}}}
/*
|Name|HTMLFormattingPlugin|
|Source|http://www.TiddlyTools.com/#HTMLFormattingPlugin|
|Documentation|http://www.TiddlyTools.com/#HTMLFormattingPluginInfo|
|Version|2.4.1|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
|~CoreVersion|2.1|
|Type|plugin|
|Description|embed wiki syntax formatting inside of HTML content|
The ~HTMLFormatting plugin allows you to ''mix wiki-style formatting syntax within HTML formatted content'' by extending the action of the standard TiddlyWiki formatting handler.
!!!!!Documentation
>see [[HTMLFormattingPluginInfo]]
!!!!!Configuration
<<<
Use {{{<hide linebreaks>}}} within HTML content to wiki-style rendering of line breaks. To //always// omit all line breaks from the rendered output, you can set this option:
><<option chkHTMLHideLinebreaks>> ignore all line breaks
which can also be 'hard coded' into your document by adding the following to a tiddler, tagged with <<tag systemConfig>>
>{{{config.options.chkHTMLHideLinebreaks=true;}}}
<<<
!!!!!Revisions
<<<
2010.05.07 2.4.1 added chkHTMLHideLinebreaks option
| see [[HTMLFormattingPluginInfo]] for additional revision details |
2005.06.26 1.0.0 Initial Release (as code adaptation - pre-dates TiddlyWiki plugin architecture!!)
<<<
!!!!!Code
*/
//{{{
version.extensions.HTMLFormattingPlugin= {major: 2, minor: 4, revision: 1, date: new Date(2010,5,7)};
// find the formatter for HTML and replace the handler
initHTMLFormatter();
function initHTMLFormatter()
{
	for (var i=0; i<config.formatters.length && config.formatters[i].name!="html"; i++);
	if (i<config.formatters.length)	config.formatters[i].handler=function(w) {
		if (!this.lookaheadRegExp)
			this.lookaheadRegExp = new RegExp(this.lookahead,"mg");
		this.lookaheadRegExp.lastIndex = w.matchStart;
		var lookaheadMatch = this.lookaheadRegExp.exec(w.source)
		if(lookaheadMatch && lookaheadMatch.index == w.matchStart) {
			var html=lookaheadMatch[1];
			// if <nowiki> is present, just let browser handle it!
			if (html.indexOf('<nowiki>')!=-1)
				createTiddlyElement(w.output,"span").innerHTML=html;
			else {
				// if <hide linebreaks> is present, or chkHTMLHideLinebreaks is set
				// suppress wiki-style literal handling of newlines
				if (config.options.chkHTMLHideLinebreaks||(html.indexOf('<hide linebreaks>')!=-1))
					html=html.replace(/\n/g,' ');
				// remove all \r's added by IE textarea and mask newlines and macro brackets
				html=html.replace(/\r/g,'').replace(/\n/g,'\\n').replace(/<</g,'%%(').replace(/>>/g,')%%');
				// create span, let browser parse HTML
				var e=createTiddlyElement(w.output,"span"); e.innerHTML=html;
				// then re-render text nodes as wiki-formatted content
				wikifyTextNodes(e,w);
			}
			w.nextMatch = this.lookaheadRegExp.lastIndex; // continue parsing
		}
	}
}
// wikify #text nodes that remain after HTML content is processed (pre-order recursion)
function wikifyTextNodes(theNode,w)
{
	function unmask(s) { return s.replace(/\%%\(/g,'<<').replace(/\)\%%/g,'>>').replace(/\\n/g,'\n'); }
	switch (theNode.nodeName.toLowerCase()) {
		case 'style': case 'option': case 'select':
			theNode.innerHTML=unmask(theNode.innerHTML);
			break;
		case 'textarea':
			theNode.value=unmask(theNode.value);
			break;
		case '#text':
			var txt=unmask(theNode.nodeValue);
			var newNode=createTiddlyElement(null,"span");
			theNode.parentNode.replaceChild(newNode,theNode);
			wikify(txt,newNode,highlightHack,w.tiddler);
			break;
		default:
			for (var i=0;i<theNode.childNodes.length;i++)
				wikifyTextNodes(theNode.childNodes.item(i),w); // recursion
			break;
	}
}
//}}}
/*
|Name|ImageSizePlugin|
|Source|http://www.TiddlyTools.com/#ImageSizePlugin|
|Version|1.2.2|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
!!!!!Code
*/
//{{{
version.extensions.ImageSizePlugin= {major: 1, minor: 2, revision: 2, date: new Date(2010,7,24)};
//}}}
//{{{
var f=config.formatters[config.formatters.findByField("name","image")];
f.match="\\[[<>]?[Ii][Mm][Gg](?:\\([^,]*,[^\\)]*\\))?\\[";
f.lookaheadRegExp=/\[([<]?)(>?)[Ii][Mm][Gg](?:\(([^,]*),([^\)]*)\))?\[(?:([^\|\]]+)\|)?([^\[\]\|]+)\](?:\[([^\]]*)\])?\]/mg;
f.handler=function(w) {
	this.lookaheadRegExp.lastIndex = w.matchStart;
	var lookaheadMatch = this.lookaheadRegExp.exec(w.source)
	if(lookaheadMatch && lookaheadMatch.index == w.matchStart) {
		var floatLeft=lookaheadMatch[1];
		var floatRight=lookaheadMatch[2];
		var width=lookaheadMatch[3];
		var height=lookaheadMatch[4];
		var tooltip=lookaheadMatch[5];
		var src=lookaheadMatch[6];
		var link=lookaheadMatch[7];
		var e = w.output;
		if(link) { // LINKED IMAGE
			if (config.formatterHelpers.isExternalLink(link)) {
				if (config.macros.attach && config.macros.attach.isAttachment(link)) {
					// see [[AttachFilePluginFormatters]]
					e = createExternalLink(w.output,link);
					e.href=config.macros.attach.getAttachment(link);
					e.title = config.macros.attach.linkTooltip + link;
				} else
					e = createExternalLink(w.output,link);
			} else 
				e = createTiddlyLink(w.output,link,false,null,w.isStatic);
			addClass(e,"imageLink");
		}
		var img = createTiddlyElement(e,"img");
		if(floatLeft) img.align="left"; else if(floatRight) img.align="right";
		if(width||height) {
			var x=width.trim(); var y=height.trim();
			var stretchW=(x.substr(x.length-1,1)=='+'); if (stretchW) x=x.substr(0,x.length-1);
			var stretchH=(y.substr(y.length-1,1)=='+'); if (stretchH) y=y.substr(0,y.length-1);
			if (x.substr(0,2)=="{{")
				{ try{x=eval(x.substr(2,x.length-4))} catch(e){displayMessage(e.description||e.toString())} }
			if (y.substr(0,2)=="{{")
				{ try{y=eval(y.substr(2,y.length-4))} catch(e){displayMessage(e.description||e.toString())} }
			img.style.width=x.trim(); img.style.height=y.trim();
			config.formatterHelpers.addStretchHandlers(img,stretchW,stretchH);
		}
		if(tooltip) img.title = tooltip;
		if (config.macros.attach && config.macros.attach.isAttachment(src))
			src=config.macros.attach.getAttachment(src); // see [[AttachFilePluginFormatters]]
		else if (config.formatterHelpers.resolvePath) { // see [[ImagePathPlugin]]
			if (config.browser.isIE || config.browser.isSafari) {
				img.onerror=(function(){
					this.src=config.formatterHelpers.resolvePath(this.src,false);
					return false;
				});
			} else
				src=config.formatterHelpers.resolvePath(src,true);
		}
		img.src=src;
		w.nextMatch = this.lookaheadRegExp.lastIndex;
	}
}
//config.formatterHelpers.imageSize={
//	tip: 'SHIFT-CLICK=show full size, CTRL-CLICK=restore initial size',
//	dragtip: 'DRAG=stretch/shrink, ' }
config.formatterHelpers.imageSize={
//	tip: 'SHIFT-CLIC=Image en taille pleine, CTRL-CLICK=Retour à la taille d\'image initiale',
	tip: '', dragtip: 'DRAG=étirer/réduire, '
}
config.formatterHelpers.addStretchHandlers=function(e,stretchW,stretchH) {
	e.title=((stretchW||stretchH)?this.imageSize.dragtip:'')+this.imageSize.tip;
	e.statusMsg='width=%0, height=%1';
	e.style.cursor='move';
	e.originalW=e.style.width;
	e.originalH=e.style.height;
	e.minW=Math.max(e.offsetWidth/20,10);
	e.minH=Math.max(e.offsetHeight/20,10);
	e.stretchW=stretchW;
	e.stretchH=stretchH;
	e.onmousedown=function(ev) { var ev=ev||window.event;
		this.sizing=true;
		this.startX=!config.browser.isIE?ev.pageX:(ev.clientX+findScrollX());
		this.startY=!config.browser.isIE?ev.pageY:(ev.clientY+findScrollY());
		this.startW=this.offsetWidth;
		this.startH=this.offsetHeight;
		return false;
	};
	e.onmousemove=function(ev) { var ev=ev||window.event;
		if (this.sizing) {
			var s=this.style;
			var currX=!config.browser.isIE?ev.pageX:(ev.clientX+findScrollX());
			var currY=!config.browser.isIE?ev.pageY:(ev.clientY+findScrollY());
			var newW=(currX-this.offsetLeft)/(this.startX-this.offsetLeft)*this.startW;
			var newH=(currY-this.offsetTop )/(this.startY-this.offsetTop )*this.startH;
			if (this.stretchW) s.width =Math.floor(Math.max(newW,this.minW))+'px';
			if (this.stretchH) s.height=Math.floor(Math.max(newH,this.minH))+'px';
			clearMessage(); displayMessage(this.statusMsg.format([s.width,s.height]));
		}
		return false;
	};
	e.onmouseup=function(ev) { var ev=ev||window.event;
		if (ev.shiftKey) { this.style.width=this.style.height=''; }
		if (ev.ctrlKey) { this.style.width=this.originalW; this.style.height=this.originalH; }
		this.sizing=false;
		clearMessage();
		return false;
	};
	e.onmouseout=function(ev) { var ev=ev||window.event;
		this.sizing=false;
		clearMessage();
		return false;
	};
}
//}}}
/*
|Name|InlineJavascriptPlugin|
|Source|http://www.TiddlyTools.com/#InlineJavascriptPlugin|
|Documentation|http://www.TiddlyTools.com/#InlineJavascriptPluginInfo|
|Version|1.9.6|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
|~CoreVersion|2.1|
|Type|plugin|
|Description|Insert Javascript executable code directly into your tiddler content.|
''Call directly into TW core utility routines, define new functions, calculate values, add dynamically-generated TiddlyWiki-formatted output'' into tiddler content, or perform any other programmatic actions each time the tiddler is rendered.
!!!!!Documentation
>see [[InlineJavascriptPluginInfo]]
!!!!!Revisions
<<<
2010.12.15 1.9.6 allow (but ignore) type="..." syntax
|please see [[InlineJavascriptPluginInfo]] for additional revision details|
2005.11.08 1.0.0 initial release
<<<
!!!!!Code
*/
//{{{
version.extensions.InlineJavascriptPlugin= {major: 1, minor: 9, revision: 6, date: new Date(2010,12,15)};
config.formatters.push( {
	name: "inlineJavascript",
	match: "\\<script",
	lookahead: "\\<script(?: type=\\\"[^\\\"]*\\\")?(?: src=\\\"([^\\\"]*)\\\")?(?: label=\\\"([^\\\"]*)\\\")?(?: title=\\\"([^\\\"]*)\\\")?(?: key=\\\"([^\\\"]*)\\\")?( show)?\\>((?:.|\\n)*?)\\</script\\>",
	handler: function(w) {
		var lookaheadRegExp = new RegExp(this.lookahead,"mg");
		lookaheadRegExp.lastIndex = w.matchStart;
		var lookaheadMatch = lookaheadRegExp.exec(w.source)
		if(lookaheadMatch && lookaheadMatch.index == w.matchStart) {
			var src=lookaheadMatch[1];
			var label=lookaheadMatch[2];
			var tip=lookaheadMatch[3];
			var key=lookaheadMatch[4];
			var show=lookaheadMatch[5];
			var code=lookaheadMatch[6];
			if (src) { // external script library
				var script = document.createElement("script"); script.src = src;
				document.body.appendChild(script); document.body.removeChild(script);
			}
			if (code) { // inline code
				if (show) // display source in tiddler
					wikify("{{{\n"+lookaheadMatch[0]+"\n}}}\n",w.output);
				if (label) { // create 'onclick' command link
					var link=createTiddlyElement(w.output,"a",null,"tiddlyLinkExisting",wikifyPlainText(label));
					var fixup=code.replace(/document.write\s*\(/gi,'place.bufferedHTML+=(');
					link.code="function _out(place,tiddler){"+fixup+"\n};_out(this,this.tiddler);"
					link.tiddler=w.tiddler;
					link.onclick=function(){
						this.bufferedHTML="";
						try{ var r=eval(this.code);
							if(this.bufferedHTML.length || (typeof(r)==="string")&&r.length)
								var s=this.parentNode.insertBefore(document.createElement("span"),this.nextSibling);
							if(this.bufferedHTML.length)
								s.innerHTML=this.bufferedHTML;
							if((typeof(r)==="string")&&r.length) {
								wikify(r,s,null,this.tiddler);
								return false;
							} else return r!==undefined?r:false;
						} catch(e){alert(e.description||e.toString());return false;}
					};
					link.setAttribute("title",tip||"");
					var URIcode='javascript:void(eval(decodeURIComponent(%22(function(){try{';
					URIcode+=encodeURIComponent(encodeURIComponent(code.replace(/\n/g,' ')));
					URIcode+='}catch(e){alert(e.description||e.toString())}})()%22)))';
					link.setAttribute("href",URIcode);
					link.style.cursor="pointer";
					if (key) link.accessKey=key.substr(0,1); // single character only
				}
				else { // run script immediately
					var fixup=code.replace(/document.write\s*\(/gi,'place.innerHTML+=(');
					var c="function _out(place,tiddler){"+fixup+"\n};_out(w.output,w.tiddler);";
					try	 { var out=eval(c); }
					catch(e) { out=e.description?e.description:e.toString(); }
					if (out && out.length) wikify(out,w.output,w.highlightRegExp,w.tiddler);
				}
			}
			w.nextMatch = lookaheadMatch.index + lookaheadMatch[0].length;
		}
	}
} )
//}}}
// // Backward-compatibility for TW2.1.x and earlier
//{{{
if (typeof(wikifyPlainText)=="undefined") window.wikifyPlainText=function(text,limit,tiddler) {
	if(limit > 0) text = text.substr(0,limit);
	var wikifier = new Wikifier(text,formatter,null,tiddler);
	return wikifier.wikifyPlain();
}
//}}}
// // GLOBAL FUNCTION: $(...) -- 'shorthand' convenience syntax for document.getElementById()
//{{{
if (typeof($)=='undefined') { function $(id) { return document.getElementById(id.replace(/^#/,'')); } }
//}}}
/*
|Name|NestedSlidersPlugin|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
!!!!!Configuration
<<<
<<option chkFloatingSlidersAnimate>> allow floating sliders to animate when opening/closing
>Note: This setting can cause 'clipping' problems in some versions of InternetExplorer.
>In addition, for floating slider animation to occur you must also allow animation in general (see [[AdvancedOptions]]).
<<<
!!!!!Code
*/
//{{{
version.extensions.NestedSlidersPlugin= {major: 2, minor: 4, revision: 9, date: new Date(2008,11,15)};
// options for deferred rendering of sliders that are not initially displayed
if (config.options.chkFloatingSlidersAnimate===undefined)
	config.options.chkFloatingSlidersAnimate=false; // avoid clipping problems in IE
// default styles for 'floating' class
setStylesheet(".floatingPanel { position:absolute; z-index:10; padding:0.5em; margin:0em; \
	background-color:#eee; color:#000; border:1px solid #000; text-align:left; }","floatingPanelStylesheet");
// if removeCookie() function is not defined by TW core, define it here.
if (window.removeCookie===undefined) {
	window.removeCookie=function(name) {
		document.cookie = name+'=; expires=Thu, 01-Jan-1970 00:00:01 UTC; path=/;'; 
	}
}
config.formatters.push( {
	name: "nestedSliders",
	match: "\\n?\\+{3}",
	terminator: "\\s*\\={3}\\n?",
	lookahead: "\\n?\\+{3}(\\+)?(\\([^\\)]*\\))?(\\!*)?(\\^(?:[^\\^\\*\\@\\[\\>]*\\^)?)?(\\*)?(\\@)?(?:\\{\\{([\\w]+[\\s\\w]*)\\{)?(\\[[^\\]]*\\])?(\\[[^\\]]*\\])?(?:\\}{3})?(\\#[^:]*\\:)?(\\>)?(\\.\\.\\.)?\\s*",
	handler: function(w)
		{
			lookaheadRegExp = new RegExp(this.lookahead,"mg");
			lookaheadRegExp.lastIndex = w.matchStart;
			var lookaheadMatch = lookaheadRegExp.exec(w.source)
			if(lookaheadMatch && lookaheadMatch.index == w.matchStart)
			{
				var defopen=lookaheadMatch[1];
				var cookiename=lookaheadMatch[2];
				var header=lookaheadMatch[3];
				var panelwidth=lookaheadMatch[4];
				var transient=lookaheadMatch[5];
				var hover=lookaheadMatch[6];
				var buttonClass=lookaheadMatch[7];
				var label=lookaheadMatch[8];
				var openlabel=lookaheadMatch[9];
				var panelID=lookaheadMatch[10];
				var blockquote=lookaheadMatch[11];
				var deferred=lookaheadMatch[12];
				// location for rendering button and panel
				var place=w.output;
				// default to closed, no cookie, no accesskey, no alternate text/tip
				var show="none"; var cookie=""; var key="";
				var closedtext=">"; var closedtip="";
				var openedtext="<"; var openedtip="";
				// extra "+", default to open
				if (defopen) show="block";
				// cookie, use saved open/closed state
				if (cookiename) {
					cookie=cookiename.trim().slice(1,-1);
					cookie="chkSlider"+cookie;
					if (config.options[cookie]==undefined)
						{ config.options[cookie] = (show=="block") }
					show=config.options[cookie]?"block":"none";
				}
				// parse label/tooltip/accesskey: [label=X|tooltip]
				if (label) {
					var parts=label.trim().slice(1,-1).split("|");
					closedtext=parts.shift();
					if (closedtext.substr(closedtext.length-2,1)=="=")	
						{ key=closedtext.substr(closedtext.length-1,1); closedtext=closedtext.slice(0,-2); }
					openedtext=closedtext;
					if (parts.length) closedtip=openedtip=parts.join("|");
					else { closedtip="show "+closedtext; openedtip="hide "+closedtext; }
				}
				// parse alternate label/tooltip: [label|tooltip]
				if (openlabel) {
					var parts=openlabel.trim().slice(1,-1).split("|");
					openedtext=parts.shift();
					if (parts.length) openedtip=parts.join("|");
					else openedtip="hide "+openedtext;
				}
				var title=show=='block'?openedtext:closedtext;
				var tooltip=show=='block'?openedtip:closedtip;
				// create the button
				if (header) { // use "Hn" header format instead of button/link
					var lvl=(header.length>5)?5:header.length;
					var btn = createTiddlyElement(createTiddlyElement(place,"h"+lvl,null,null,null),"a",null,buttonClass,title);
					btn.onclick=onClickNestedSlider;
					btn.setAttribute("href","javascript:;");
					btn.setAttribute("title",tooltip);
				}
				else
					var btn = createTiddlyButton(place,title,tooltip,onClickNestedSlider,buttonClass);
				btn.innerHTML=title; // enables use of HTML entities in label
				// set extra button attributes
				btn.setAttribute("closedtext",closedtext);
				btn.setAttribute("closedtip",closedtip);
				btn.setAttribute("openedtext",openedtext);
				btn.setAttribute("openedtip",openedtip);
				btn.sliderCookie = cookie; // save the cookiename (if any) in the button object
				btn.defOpen=defopen!=null; // save default open/closed state (boolean)
				btn.keyparam=key; // save the access key letter ("" if none)
				if (key.length) {
					btn.setAttribute("accessKey",key); // init access key
					btn.onfocus=function(){this.setAttribute("accessKey",this.keyparam);}; // **reclaim** access key on focus
				}
				btn.setAttribute("hover",hover?"true":"false");
				btn.onmouseover=function(ev) {
					// optional 'open on hover' handling
					if (this.getAttribute("hover")=="true" && this.sliderPanel.style.display=='none') {
						document.onclick.call(document,ev); // close transients
						onClickNestedSlider(ev); // open this slider
					}
					// mouseover on button aligns floater position with button
					if (window.adjustSliderPos) window.adjustSliderPos(this.parentNode,this,this.sliderPanel);
				}
				// create slider panel
				var panelClass=panelwidth?"floatingPanel":"sliderPanel";
				if (panelID) panelID=panelID.slice(1,-1); // trim off delimiters
				var panel=createTiddlyElement(place,"div",panelID,panelClass,null);
				panel.button = btn; // so the slider panel know which button it belongs to
				btn.sliderPanel=panel; // so the button knows which slider panel it belongs to
				panel.defaultPanelWidth=(panelwidth && panelwidth.length>2)?panelwidth.slice(1,-1):"";
				panel.setAttribute("transient",transient=="*"?"true":"false");
				panel.style.display = show;
				panel.style.width=panel.defaultPanelWidth;
				panel.onmouseover=function(event) // mouseover on panel aligns floater position with button
					{ if (window.adjustSliderPos) window.adjustSliderPos(this.parentNode,this.button,this); }
				// render slider (or defer until shown) 
				w.nextMatch = lookaheadMatch.index + lookaheadMatch[0].length;
				if ((show=="block")||!deferred) {
					// render now if panel is supposed to be shown or NOT deferred rendering
					w.subWikify(blockquote?createTiddlyElement(panel,"blockquote"):panel,this.terminator);
					// align floater position with button
					if (window.adjustSliderPos) window.adjustSliderPos(place,btn,panel);
				}
				else {
					var src = w.source.substr(w.nextMatch);
					var endpos=findMatchingDelimiter(src,"+++","===");
					panel.setAttribute("raw",src.substr(0,endpos));
					panel.setAttribute("blockquote",blockquote?"true":"false");
					panel.setAttribute("rendered","false");
					w.nextMatch += endpos+3;
					if (w.source.substr(w.nextMatch,1)=="\n") w.nextMatch++;
				}
			}
		}
	}
)
function findMatchingDelimiter(src,starttext,endtext) {
	var startpos = 0;
	var endpos = src.indexOf(endtext);
	// check for nested delimiters
	while (src.substring(startpos,endpos-1).indexOf(starttext)!=-1) {
		// count number of nested 'starts'
		var startcount=0;
		var temp = src.substring(startpos,endpos-1);
		var pos=temp.indexOf(starttext);
		while (pos!=-1) { startcount++; pos=temp.indexOf(starttext,pos+starttext.length); }
		// set up to check for additional 'starts' after adjusting endpos
		startpos=endpos+endtext.length;
		// find endpos for corresponding number of matching 'ends'
		while (startcount && endpos!=-1) {
			endpos = src.indexOf(endtext,endpos+endtext.length);
			startcount--;
		}
	}
	return (endpos==-1)?src.length:endpos;
}
//}}}
//{{{
window.onClickNestedSlider=function(e)
{
	if (!e) var e = window.event;
	var theTarget = resolveTarget(e);
	while (theTarget && theTarget.sliderPanel==undefined) theTarget=theTarget.parentNode;
	if (!theTarget) return false;
	var theSlider = theTarget.sliderPanel;
	var isOpen = theSlider.style.display!="none";
	// if SHIFT-CLICK, dock panel first (see [[MoveablePanelPlugin]])
	if (e.shiftKey && config.macros.moveablePanel) config.macros.moveablePanel.dock(theSlider,e);
	// toggle label
	theTarget.innerHTML=isOpen?theTarget.getAttribute("closedText"):theTarget.getAttribute("openedText");
	// toggle tooltip
	theTarget.setAttribute("title",isOpen?theTarget.getAttribute("closedTip"):theTarget.getAttribute("openedTip"));
	// deferred rendering (if needed)
	if (theSlider.getAttribute("rendered")=="false") {
		var place=theSlider;
		if (theSlider.getAttribute("blockquote")=="true")
			place=createTiddlyElement(place,"blockquote");
		wikify(theSlider.getAttribute("raw"),place);
		theSlider.setAttribute("rendered","true");
	}
	// show/hide the slider
	if(config.options.chkAnimate && (!hasClass(theSlider,'floatingPanel') || config.options.chkFloatingSlidersAnimate))
		anim.startAnimating(new Slider(theSlider,!isOpen,e.shiftKey || e.altKey,"none"));
	else
		theSlider.style.display = isOpen ? "none" : "block";
	// reset to default width (might have been changed via plugin code)
	theSlider.style.width=theSlider.defaultPanelWidth;
	// align floater panel position with target button
	if (!isOpen && window.adjustSliderPos) window.adjustSliderPos(theSlider.parentNode,theTarget,theSlider);
	// if showing panel, set focus to first 'focus-able' element in panel
	if (theSlider.style.display!="none") {
		var ctrls=theSlider.getElementsByTagName("*");
		for (var c=0; c<ctrls.length; c++) {
			var t=ctrls[c].tagName.toLowerCase();
			if ((t=="input" && ctrls[c].type!="hidden") || t=="textarea" || t=="select")
				{ try{ ctrls[c].focus(); } catch(err){;} break; }
		}
	}
	var cookie=theTarget.sliderCookie;
	if (cookie && cookie.length) {
		config.options[cookie]=!isOpen;
		if (config.options[cookie]!=theTarget.defOpen) window.saveOptionCookie(cookie);
		else window.removeCookie(cookie); // remove cookie if slider is in default display state
	}
	// prevent SHIFT-CLICK from being processed by browser (opens blank window... yuck!)
	// prevent clicks *within* a slider button from being processed by browser
	// but allow plain click to bubble up to page background (to close transients, if any)
	if (e.shiftKey || theTarget!=resolveTarget(e))
		{ e.cancelBubble=true; if (e.stopPropagation) e.stopPropagation(); }
	Popup.remove(); // close open popup (if any)
	return false;
}
//}}}
//{{{
// click in document background closes transient panels 
document.nestedSliders_savedOnClick=document.onclick;
document.onclick=function(ev) { if (!ev) var ev=window.event; var target=resolveTarget(ev);
	if (document.nestedSliders_savedOnClick)
		var retval=document.nestedSliders_savedOnClick.apply(this,arguments);
	// if click was inside a popup... leave transient panels alone
	var p=target; while (p) if (hasClass(p,"popup")) break; else p=p.parentNode;
	if (p) return retval;
	// if click was inside transient panel (or something contained by a transient panel), leave it alone
	var p=target; while (p) {
		if ((hasClass(p,"floatingPanel")||hasClass(p,"sliderPanel"))&&p.getAttribute("transient")=="true") break;
		p=p.parentNode;
	}
	if (p) return retval;
	// otherwise, find and close all transient panels...
	var all=document.all?document.all:document.getElementsByTagName("DIV");
	for (var i=0; i<all.length; i++) {
		 // if it is not a transient panel, or the click was on the button that opened this panel, don't close it.
		if (all[i].getAttribute("transient")!="true" || all[i].button==target) continue;
		// otherwise, if the panel is currently visible, close it by clicking it's button
		if (all[i].style.display!="none") window.onClickNestedSlider({target:all[i].button})
		if (!hasClass(all[i],"floatingPanel")&&!hasClass(all[i],"sliderPanel")) all[i].style.display="none";
	}
	return retval;
};
//}}}
//{{{
// adjust floating panel position based on button position
if (window.adjustSliderPos==undefined) window.adjustSliderPos=function(place,btn,panel) {
	if (hasClass(panel,"floatingPanel") && !hasClass(panel,"undocked")) {
		// see [[MoveablePanelPlugin]] for use of 'undocked'
		var rightEdge=document.body.offsetWidth-1;
		var panelWidth=panel.offsetWidth;
		var left=0;
		var top=btn.offsetHeight; 
		if (place.style.position=="relative" && findPosX(btn)+panelWidth>rightEdge) {
			left-=findPosX(btn)+panelWidth-rightEdge; // shift panel relative to button
			if (findPosX(btn)+left<0) left=-findPosX(btn); // stay within left edge
		}
		if (place.style.position!="relative") {
			var left=findPosX(btn);
			var top=findPosY(btn)+btn.offsetHeight;
			var p=place; while (p && !hasClass(p,'floatingPanel')) p=p.parentNode;
			if (p) { left-=findPosX(p); top-=findPosY(p); }
			if (left+panelWidth>rightEdge) left=rightEdge-panelWidth;
			if (left<0) left=0;
		}
		panel.style.left=left+"px"; panel.style.top=top+"px";
	}
}
//}}}
//{{{
// TW2.1 and earlier:
// hijack Slider stop handler so overflow is visible after animation has completed
Slider.prototype.coreStop = Slider.prototype.stop;
Slider.prototype.stop = function()
	{ this.coreStop.apply(this,arguments); this.element.style.overflow = "visible"; }
// TW2.2+
// hijack Morpher stop handler so sliderPanel/floatingPanel overflow is visible after animation has completed
if (version.major+.1*version.minor+.01*version.revision>=2.2) {
	Morpher.prototype.coreStop = Morpher.prototype.stop;
	Morpher.prototype.stop = function() {
		this.coreStop.apply(this,arguments);
		var e=this.element;
		if (hasClass(e,"sliderPanel")||hasClass(e,"floatingPanel")) {
			// adjust panel overflow and position after animation
			e.style.overflow = "visible";
			if (window.adjustSliderPos) window.adjustSliderPos(e.parentNode,e.button,e);
		}
	};
}
//}}}
/*
|Name|QuoteOfTheDayPlugin|
|Source|http://www.TiddlyTools.com/#QuoteOfTheDayPlugin|
|Documentation|http://www.TiddlyTools.com/#QuoteOfTheDayPluginInfo|
|Version|1.4.1|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
|~CoreVersion|2.1|
|Type|plugin|
|Description|Display a randomly selected "quote of the day" from a list defined in a separate tiddler|
!!!!!Documentation
>see [[QuoteOfTheDayPluginInfo]]
!!!!!Revisions
<<<
2008.03.21 [1.4.1] in showNextItem(), corrected handling for random selection so that //initial// index value will randomized correctly instead of always showing first item, even when randomizing. Thanks to Riccardo Gherardi for finding this.
| Please see [[QuoteOfTheDayPluginInfo]] for previous revision details |
2005.10.21 [1.0.0] Initial Release. Based on a suggestion by M.Russula
<<<
!!!!!Code
*/
//{{{
version.extensions.QuoteOfTheDayPlugin= {major: 1, minor: 4, revision: 1, date: new Date(2008,3,21)};
config.macros.QOTD = {
 clickTooltip: "click to view another item",
 timerTooltip: "auto-timer stopped... 'mouseout' to restart timer",
 timerClickTooltip: "auto-timer stopped... click to view another item, or 'mouseout' to restart timer",
 handler:
 function(place,macroName,params) {
 var tid=params.shift(); // source tiddler containing HR-separated quotes
 var p=params.shift();
 var click=true; // allow click for next item
 var inline=false; // wrap in slider for animation effect
 var random=true; // pick an item at random (default for "quote of the day" usage)
 var folder=false; // use local filesystem folder list
 var cookie=""; // default to no cookie
 var next=0; // default to first item (or random item)
 while (p) {
 if (p.toLowerCase()=="noclick") var click=false;
 if (p.toLowerCase()=="inline") var inline=true;
 if (p.toLowerCase()=="norandom") var random=false;
 if (p.toLowerCase().substr(0,7)=="cookie:") var cookie=p.substr(8);
 if (!isNaN(p)) var delay=p;
 p=params.shift();
 }
 if ((click||delay) && !inline) {
 var panel = createTiddlyElement(null,"div",null,"sliderPanel");
 panel.style.display="none";
 place.appendChild(panel);
 var here=createTiddlyElement(panel,click?"a":"span",null,"QOTD");
 }
 else
 var here=createTiddlyElement(place,click?"a":"span",null,"QOTD");
 here.id=(new Date()).convertToYYYYMMDDHHMMSSMMM()+Math.random().toString(); // unique ID
 // get items from tiddler or file list
 var list=store.getTiddlerText(tid,"");
 if (!list||!list.length) { // not a tiddler... maybe an image directory?
 var list=this.getImageFileList(tid);
 if (!list.length) { // maybe relative path... fixup and try again
 var h=document.location.href;
 var p=getLocalPath(decodeURIComponent(h.substr(0,h.lastIndexOf("/")+1)));
 var list=this.getImageFileList(p+tid);
 }
 }
 if (!list||!list.length) return false; // no contents... nothing to display!
 here.setAttribute("list",list);
 if (delay) here.setAttribute("delay",delay);
 here.setAttribute("random",random);
 here.setAttribute("cookie",cookie);
 if (click) {
 here.title=this.clickTooltip
 if (!inline) here.style.display="block";
 here.setAttribute("href","javascript:;");
 here.onclick=function(event)
 { config.macros.QOTD.showNextItem(this); }
 }
 if (config.options["txtQOTD_"+cookie]!=undefined) next=parseInt(config.options["txtQOTD_"+cookie]);
 here.setAttribute("nextItem",next);
 config.macros.QOTD.showNextItem(here);
 if (delay) {
 here.title=click?this.timerClickTooltip:this.timerTooltip
 here.onmouseover=function(event)
 { clearTimeout(this.ticker); };
 here.onmouseout=function(event)
 { this.ticker=setTimeout("config.macros.QOTD.tick('"+this.id+"')",this.getAttribute("delay")); };
 here.ticker=setTimeout("config.macros.QOTD.tick('"+here.id+"')",delay);
 }
 },
 tick: function(id) {
 var here=document.getElementById(id); if (!here) return;
 config.macros.QOTD.showNextItem(here);
 here.ticker=setTimeout("config.macros.QOTD.tick('"+id+"')",here.getAttribute("delay"));
 },
 showNextItem:
 function (here) {
 // hide containing slider panel (if any)
 var p=here.parentNode;
 if (p.className=="sliderPanel") p.style.display = "none"
 // get a new quote
 var index=here.getAttribute("nextItem"); 
 var items=here.getAttribute("list").split("\n----\n");
 if (index<0||index>=items.length) index=0;
 if (here.getAttribute("random")=="true") index=Math.floor(Math.random()*items.length);
 var txt=items[index];
 // re-render quote display element, and advance index counter
 removeChildren(here); wikify(txt,here);
 index++; here.setAttribute("nextItem",index);
 var cookie=here.getAttribute("cookie");
 if (cookie.length) {
 config.options["txtQOTD_"+cookie]=index.toString();
 saveOptionCookie("txtQOTD_"+cookie);
 }
 // redisplay slider panel (if any)
 if (p.className=="sliderPanel") {
 if(anim && config.options.chkAnimate)
 anim.startAnimating(new Slider(p,true,false,"none"));
 else p.style.display="block";
 }
 },
 getImageFileList: function(cwd) { // returns HR-separated list of image files
 function isImage(fn) {
 var ext=fn.substr(fn.length-3,3).toLowerCase();
 return ext=="jpg"||ext=="gif"||ext=="png";
 }
 var files=[];
 if (config.browser.isIE) {
 cwd=cwd.replace(/\//g,"\\");
 // IE uses ActiveX to read filesystem info
 var fso = new ActiveXObject("Scripting.FileSystemObject");
 if(!fso.FolderExists(cwd)) return [];
 var dir=fso.GetFolder(cwd);
 for(var f=new Enumerator(dir.Files); !f.atEnd(); f.moveNext())
 if (isImage(f.item().path)) files.push("[img[%0]]".format(["file:///"+f.item().path.replace(/\\/g,"/")]));
 } else {
 // FireFox (mozilla) uses "components" to read filesystem info
 // get security access
 if(!window.Components) return;
 try { netscape.security.PrivilegeManager.enablePrivilege("UniversalXPConnect"); }
 catch(e) { alert(e.description?e.description:e.toString()); return []; }
 // open/validate directory
 var file=Components.classes["@mozilla.org/file/local;1"].createInstance(Components.interfaces.nsILocalFile);
 try { file.initWithPath(cwd); } catch(e) { return []; }
 if (!file.exists() || !file.isDirectory()) { return []; }
 var folder=file.directoryEntries;
 while (folder.hasMoreElements()) {
 var f=folder.getNext().QueryInterface(Components.interfaces.nsILocalFile);
 if (f instanceof Components.interfaces.nsILocalFile)
 if (isImage(f.path)) files.push("[img[%0]]".format(["file:///"+f.path.replace(/\\/g,"/")]));
 }
 }
 return files.join("\n----\n");
 }
}
//}}}
/%
!info
|Name|ReplaceTiddlerTitle|
|Source|http://www.TiddlyTools.com/#ReplaceTiddlerTitle|
|Version|2.0.0|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
|~CoreVersion|2.1|
|Type|transclusion|
|Description|replace tiddler's title text with other content - may include wiki syntax|
Usage:
<<<
{{{
<<tiddler .ReplaceTiddlerTitle with: [[new title text]]>>
}}}
*text can include wiki-syntax formatting (even links and macros!)
*all double-quotes must be preceded by backslash (e.g., {{{[[He said, \"like this\"]]}}})
*if the text contains any macros that use //evaluated parameters//, the closing {{{}} }}}sequence in those parameters must be backslash-quoted (e.g., {{{[[<<someMacro {{...eval param...}\}>>]]}}})
<<<
!end
!show
<<tiddler {{
	var here=story.findContainingTiddler(place); if (here) {
		var nodes=here.getElementsByTagName("*");
		for (var i=0; i<nodes.length; i++) if (hasClass(nodes[i],"title"))
			{ removeChildren(nodes[i]); wikify("$1",nodes[i]); break; }
	}
'';}}>>
!end
%/<<tiddler {{'.ReplaceTiddlerTitle##'+('$1'=='$'+'1'?'info':'show')}} with: [[$1]]>>
/*
|Name|SinglePageModePlugin|
|Source|http://www.TiddlyTools.com/#SinglePageModePlugin|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
*/
//{{{
version.extensions.SinglePageModePlugin= {major: 2, minor: 9, revision: 7, date: new Date(2010,11,30)};
//}}}
//{{{
config.paramifiers.SPM = { onstart: function(v) {
 config.options.chkSinglePageMode=eval(v);
 if (config.options.chkSinglePageMode && config.options.chkSinglePagePermalink && !config.browser.isSafari) {
 config.lastURL = window.location.hash;
 if (!config.SPMTimer) config.SPMTimer=window.setInterval(function() {checkLastURL();},1000);
 }
} };
//}}}
//{{{
if (config.options.chkSinglePageMode==undefined)
 config.options.chkSinglePageMode=false;
if (config.options.chkSinglePagePermalink==undefined)
 config.options.chkSinglePagePermalink=true;
if (config.options.chkSinglePageKeepFoldedTiddlers==undefined)
 config.options.chkSinglePageKeepFoldedTiddlers=false;
if (config.options.chkSinglePageKeepEditedTiddlers==undefined)
 config.options.chkSinglePageKeepEditedTiddlers=false;
if (config.options.chkTopOfPageMode==undefined)
 config.options.chkTopOfPageMode=false;
if (config.options.chkBottomOfPageMode==undefined)
 config.options.chkBottomOfPageMode=false;
if (config.options.chkSinglePageAutoScroll==undefined)
 config.options.chkSinglePageAutoScroll=false;
//}}}
//{{{
config.SPMTimer = 0;
config.lastURL = window.location.hash;
function checkLastURL()
{
 if (!config.options.chkSinglePageMode)
 { window.clearInterval(config.SPMTimer); config.SPMTimer=0; return; }
 if (config.lastURL == window.location.hash) return; // no change in hash
 var tids=decodeURIComponent(window.location.hash.substr(1)).readBracketedList();
 if (tids.length==1) // permalink (single tiddler in URL)
 story.displayTiddler(null,tids[0]);
 else { // restore permaview or default view
 config.lastURL = window.location.hash;
 if (!tids.length) tids=store.getTiddlerText("DefaultTiddlers").readBracketedList();
 story.closeAllTiddlers();
 story.displayTiddlers(null,tids);
 }
}
if (Story.prototype.SPM_coreDisplayTiddler==undefined)
 Story.prototype.SPM_coreDisplayTiddler=Story.prototype.displayTiddler;
Story.prototype.displayTiddler = function(srcElement,tiddler,template,animate,slowly)
{
 var title=(tiddler instanceof Tiddler)?tiddler.title:tiddler;
 var tiddlerElem=story.getTiddler(title); // ==null unless tiddler is already displayed
 var opt=config.options;
 var single=opt.chkSinglePageMode && !startingUp;
 var top=opt.chkTopOfPageMode && !startingUp;
 var bottom=opt.chkBottomOfPageMode && !startingUp;
 if (single) {
 story.forEachTiddler(function(tid,elem) {
 // skip current tiddler and, optionally, tiddlers that are folded.
 if ( tid==title
 || (opt.chkSinglePageKeepFoldedTiddlers && elem.getAttribute("folded")=="true"))
 return;
 // if a tiddler is being edited, ask before closing
 if (elem.getAttribute("dirty")=="true") {
 if (opt.chkSinglePageKeepEditedTiddlers) return;
 // if tiddler to be displayed is already shown, then leave active tiddler editor as is
 // (occurs when switching between view and edit modes)
 if (tiddlerElem) return;
 // otherwise, ask for permission
 var msg="'"+tid+"' is currently being edited.\n\n";
 msg+="Press OK to save and close this tiddler\nor press Cancel to leave it opened";
 if (!confirm(msg)) return; else story.saveTiddler(tid);
 }
 story.closeTiddler(tid);
 });
 }
 else if (top)
 arguments[0]=null;
 else if (bottom)
 arguments[0]="bottom";
 if (single && opt.chkSinglePagePermalink && !config.browser.isSafari) {
 window.location.hash = encodeURIComponent(String.encodeTiddlyLink(title));
 config.lastURL = window.location.hash;
 document.title = wikifyPlain("SiteTitle") + " - " + title;
 if (!config.SPMTimer) config.SPMTimer=window.setInterval(function() {checkLastURL();},1000);
 }
 if (tiddlerElem && tiddlerElem.getAttribute("dirty")=="true") { // editing... move tiddler without re-rendering
 var isTopTiddler=(tiddlerElem.previousSibling==null);
 if (!isTopTiddler && (single || top))
 tiddlerElem.parentNode.insertBefore(tiddlerElem,tiddlerElem.parentNode.firstChild);
 else if (bottom)
 tiddlerElem.parentNode.insertBefore(tiddlerElem,null);
 else this.SPM_coreDisplayTiddler.apply(this,arguments); // let CORE render tiddler
 } else
 this.SPM_coreDisplayTiddler.apply(this,arguments); // let CORE render tiddler
 var tiddlerElem=story.getTiddler(title);
 if (tiddlerElem&&opt.chkSinglePageAutoScroll) {
 // scroll to top of page or top of tiddler
 var isTopTiddler=(tiddlerElem.previousSibling==null);
 var yPos=isTopTiddler?0:ensureVisible(tiddlerElem);
 // if animating, defer scroll until after animation completes
 var delay=opt.chkAnimate?config.animDuration+10:0;
 setTimeout("window.scrollTo(0,"+yPos+")",delay); 
 }
}
if (Story.prototype.SPM_coreDisplayTiddlers==undefined)
 Story.prototype.SPM_coreDisplayTiddlers=Story.prototype.displayTiddlers;
Story.prototype.displayTiddlers = function() {
 // suspend single/top/bottom modes when showing multiple tiddlers
 var opt=config.options;
 var saveSPM=opt.chkSinglePageMode; opt.chkSinglePageMode=false;
 var saveTPM=opt.chkTopOfPageMode; opt.chkTopOfPageMode=false;
 var saveBPM=opt.chkBottomOfPageMode; opt.chkBottomOfPageMode=false;
 this.SPM_coreDisplayTiddlers.apply(this,arguments);
 opt.chkBottomOfPageMode=saveBPM;
 opt.chkTopOfPageMode=saveTPM;
 opt.chkSinglePageMode=saveSPM;
}
//}}}
/*{{{*/
@media print {#mainMenu {display: none ! important;}}
@media print {#topMenu {display: none ! important;}}
@media print {#sidebar {display: none ! important;}}
@media print {#messageArea {display: none ! important;}} 
@media print {#toolbar {display: none ! important;}}
@media print {.header {display: none ! important;}}
@media print {.tiddler .subtitle {display: none ! important;}}
@media print {.tiddler .toolbar {display; none ! important; }}
@media print {.tiddler .tagging {display; none ! important; }}
@media print {.tiddler .tagged {display; none ! important; }}
/*}}}*/
/*
|Name|WikifyPlugin|
|Source|http://www.TiddlyTools.com/#WikifyPlugin|
|Author|Eric Shulman|
|License|http://www.TiddlyTools.com/#LegalStatements|
!!!!!Code
*/
//{{{
version.extensions.WikifyPlugin= {major: 1, minor: 1, revision: 4, date: new Date(2009,3,29)};
config.macros.wikify={
	handler: function(place,macroName,params,wikifier,paramString,tiddler) {
		var fmt=params.shift();
		var values=[];
		var out="";
		if (!fmt.match(/\%[0-9]/g) && params.length) // format has no markers, just join all params with spaces
			out=fmt+" "+params.join(" ");
		else { // format param has markers, get values and perform substitution
			while (p=params.shift()) values.push(this.getFieldReference(place,p));
			out=fmt.format(values);
		}
		if (macroName=="wikiCalc") out=eval(out).toString();
		wikify(out.unescapeLineBreaks(),place,null,tiddler);
	},
	getFieldReference: function(place,p) { // "slicename::tiddlername" or "fieldname@tiddlername" or "fieldname"
		if (typeof p != "string") return p; // literal non-string value... just return it...
		var parts=p.split(config.textPrimitives.sliceSeparator);
		if (parts.length==2) {// maybe a slice reference?
			var tid=parts[0]; var slice=parts[1];
			if (!tid || !tid.length || tid=="here") { // no target (or "here"), use containing tiddler
				tid=story.findContainingTiddler(place);
				if (tid) tid=tid.getAttribute("tiddler")
				else tid="SiteSlices"; // fallback for 'non-tiddler' areas (e.g, header, sidebar, etc.)
			}
			var val=store.getTiddlerSlice(tid,slice); // get tiddler slice value
		}
		if (val==undefined) {// not a slice, or slice not found, maybe a field reference?
			var parts=p.split("@");
			var field=parts[0];
			if (!field || !field.length) field="checked"; // missing fieldname, fallback: checked@tiddlername
			var tid=parts[1];
			if (!tid || !tid.length || tid=="here") { // no target (or "here"), use containing tiddler
				tid=story.findContainingTiddler(place);
				if (tid) tid=tid.getAttribute("tiddler")
				else tid="SiteFields"; // fallback for 'non-tiddler' areas (e.g, header, sidebar, etc.)
			}
			var val=store.getValue(tid,field);
		}
		// not a slice or field, or slice/field not found... return value unchanged
		return val===undefined?p:val;
	}
}
//}}}
//{{{
// define alternative macroName for triggering pre-rendering call to eval()
config.macros.wikiCalc=config.macros.wikify;
//}}}
<<forEachTiddler where 'tiddler.tags.containsAll(["$1"])' sortBy 'tiddler.title.toUpperCase()' descending write '" [["+tiddler.title+"]] \"Consulter ["+tiddler.title+"]\" [["+tiddler.title+"]] "' begin '"<<tabs tAutoTab "' end '">"+">"' none '"////"'>>
<<forEachTiddler where 'tiddler.tags.containsAll(["$1","$2"])' sortBy 'tiddler.title.toUpperCase()' descending write '"# [["+tiddler.title+"]] \n"'>><<forEachTiddler where 'tiddler.tags.containsAll(["$1","$2"])' sortBy 'tiddler.title.toUpperCase()' descending write '" [["+tiddler.title+"]] \"Consulter ["+tiddler.title+"]\" [["+tiddler.title+"]] "' begin '"<<tabs tAutoTab "' end '">"+">"' none '"//Aucun élément pour le moment//"'>>
^^<<forEachTiddler where 'tiddler.tags.containsAny(["$1"])' write '""' end 'count' none '"0"' >>^^ +++*[»] <<forEachTiddler where 'tiddler.tags.containsAny(["$1"])' sortBy 'tiddler.title.toUpperCase()' descending write '"[["+tiddler.title+"]] —•— "'>>=== 
<<forEachTiddler where 'tiddler.tags.containsAll(["$1"])' sortBy 'tiddler.title.toUpperCase()' descending write '"# [["+tiddler.title+"]]\n"' begin '""' end '""' none '"* Aucune publication\n\n"'>>
//{{{
config.options.chkAnimate=false;
config.options.txtUserName='CSAfr';
config.options.txtBackupFolder='.CSAfr';
config.options.chkOpenInNewWindow=true;
config.options.chkInsertTabs=true;
config.options.txtMaxEditRows="30"
config.views.editor.defaultText='...';
config.options.chkGenerateAnRssFeed=false;
config.options.chkBackstage=false;
config.messages.tiddlerLinkTooltip="→ %0";
config.messages.externalLinkTooltip="→ Lien %0";
config.options.chkHideSiteTitles=true;
config.macros.list.missing.prompt="Articles orphelins : ";
config.macros.search.prompt="Recherche sur ce site";
config.macros.search.successMsg="%1 : %0 articles trouvés";
config.macros.search.failureMsg="%1 : Aucun article trouvé";
config.macros.search.label="Recherche";
config.views.wikified.tag.labelNoTags="pas de mot-clé";
config.views.wikified.tag.labelTags="mot-clé: ";
config.views.wikified.tag.openTag="Détailler le mot-clé '%0'";
config.views.wikified.tag.tooltip="Afficher les articles avec le mot-clé '%0'";
config.views.wikified.tag.openAllText="Ouvrir tous les articles avec le mot-clé '%0'";
//}}}
//{{{
// Misc Plug-ins
merge(config.views.wikified,{
 dateFormat: "0DD.0MM.YYYY",
});
merge(config.macros.search,{ label: "", prompt: "Moteur de recherche local",});
config.options.chkSnapshotHTMLOnly=false;
config.options.chkCopyTiddlerDate=false;
// TiddlyTools
//ToggleRightSidebar
config.options.chkShowRightSidebar=false;
// DisableWikiLinks
config.options.chkDisableWikiLinks=true;
config.options.chkAllowLinksFromShadowTiddlers=true;
config.options.chkDisableNonExistingWikiLinks=true;
// SinglePageMode
// config.options.chkSinglePageMode=true;
// config.options.chkTopOfPageMode=true;
// config.options.chkBottomOfPageMode=true;
config.options.chkSinglePageAutoScroll=true;
config.options.chkSinglePagePermalink=false;
// ConfirmExit
config.options.chkAlwaysConfirmExit=true;
config.options.chkSaveOnExit=true;
// Breadcrumbs
config.options.chkShowBreadcrumbs=true;
config.options.txtBreadcrumbsLimit=8;
config.options.chkReorderBreadcrumbs=true;
config.options.txtBreadcrumbsCrumbSeparator=" ►";
config.options.chkBreadcrumbsSave=false;
config.options.chkShowStartupBreadcrumbs=false;
config.options.chkBreadcrumbsReverse=false;
config.options.chkBreadcrumbsLimitOpenTiddlers=false;
config.options.chkBreadcrumbsHideHomeLink=false;
//}}}
//{{{
// TWadmin-SingleTiddler:Yes
config.options.chkSinglePageMode=true;
// config.options.chkSinglePageMode=false;
config.options.chkTopOfPageMode=true;
config.options.chkBottomOfPageMode=false;
// TWadmin-RO
readOnly=true;
config.options.chkHttpReadOnly=true;
showBackstage=false;
merge(config.shadowTiddlers,{ ToolbarCommands: '|~ViewToolbar|closeTiddler|\n|~EditToolbar|+saveTiddler -cancelTiddler deleteTiddler|',});
// TWadmin-RW
// readOnly=false;
// config.options.chkHttpReadOnly=false;
// showBackstage=false;
//}}}
/*{{{*/
body {font-size:.70em;font-family:Verdana,times,serif; margin:0; padding:0;}
.toolbar {text-align:left; font-size:.7em;}
/* StyleSheet IMG */
img {border:2px solid [[ColorPalette::Background]];}
/* StyleSheetHeader */
.headerShadow {position:relative; padding:0.5em 0em 1em 1em; left:-1px; top:-1px;}
.headerForeground {position:absolute; padding:0.5em 0em 1em 1em; left:0px; top:0px;}
.headerShadow .right { position: absolute; top: 0; }
.headerShadow .right { right: 0; }
.headerForeground .right { display: none; }
/* InlineTabs */
.tabSelected{ font-weight:bold; font-size:125%; color:[[ColorPalette::PrimaryDark]]; background:[[ColorPalette::TertiaryPale]]; border-left:2px solid [[ColorPalette::PrimaryMid]]; border-top:2px solid [[ColorPalette::PrimaryLight]]; border-right:2px solid [[ColorPalette::PrimaryMid]]; border-bottom-style:2px solid [[ColorPalette::PrimaryMid]]; }
.tabContents {color:[[ColorPalette::PrimaryDark]]; background:[[ColorPalette::Background]]; border:2px solid [[ColorPalette::PrimaryMid]];}
/* StyleSheetFirstLetter */
.firstletter{ float:left; width:0.6em; font-size:250%; font-family:times,arial; line-height:60%; color:#00f !important; background:inherit !important; }
.firstletterC{ float:center; width:0.6em; font-size:250%; line-height:60%; color:#00f !important; background:inherit !important; }
.FirstLetter{ width:0.6em; font-size:150%; font-family:times,arial; line-height:60%; !important; background:inherit !important; }
/* StyleSheetTableList */
.viewer ul {margin-top: 0; margin-bottom: 0;}
.viewer {text-align: justify;}
.viewer th {background:[[ColorPalette::TertiaryPale]]; color:[[ColorPalette::PrimaryMid]];}
/* Alignement */
.floatleft { display:block;text-align:left; }
.floatL { display:block;text-align:left; }
.floatright { display:block;text-align:right; }
.floatR { display:block;text-align:right; }
.floatcenter { display:block;text-align:center; }
.floatC { display:block;text-align:center; }
.wideTable{width:100%}
.Table100{width:100%}
.Table98{width:98%}
/* NestedSlidersPlugin */
.floatingPanel { z-index:700; padding:1em; margin:0em; border:1px solid; -moz-border-radius:1em; font-size:8pt; text-align:left; }
.floatingPanel hr { margin:2px 0 1px 0; padding:0; }
#sidebarOptions .sliderPanel { margin:0; padding:0; font-size:1em; background:transparent; }
#sidebarOptions .sliderPanel a { font-weight:normal; }
#sidebarOptions .sliderPanel blockquote { margin:0;padding:0;margin-left:1em; border-left:1px dotted; padding-left:1em }
.selected .floatingPanel .button,
.selected .floatingPanel a:link,
.selected .floatingPanel a:hover,
.selected .floatingPanel a:visited,
.floatingPanel .button,
.floatingPanel a:link,
.floatingPanel a:hover,
.floatingPanel a:visited { color:[[ColorPalette::PrimaryDark]] !important; }
.QOTD { color:#00f !important; background:inherit !important; }
/* displays the list of a tiddler's tags horizontally. used in ViewTemplate */
.horizTag li.listTitle { display:none }
.horizTag li { display: inline; font-size:90%; }
.horizTag ul { display:inline; margin:0px; padding:0px;}
.viewer td { vertical-align: top; }
.viewer th { vertical-align: top; }
.viewer dl { margin: 0; }
/*}}}*/
[[Accueil]]
[img(400px,4px)[i/BluePixel.gif]]
[img(200px,auto)[i/Email-CSA_FR.png]]
<<tiddler .ToggleLeftSidebar>>•<<tiddler .ToggleTitleSubTitle>>•<<tiddler Categories>>
[img(200px,1px)[i/BluePixel.gif]]
[img(150px,auto)[i/ForumSecuriteAtCloud.jpg][2019.02.23 - Forum Securité@Cloud 2019]]
^^[[20 & 21 mars 2019|2019.02.23 - Forum Securité@Cloud 2019]]^^
[[Cloud Computing World Expo|2019.02.23 - Forum Securité@Cloud 2019]]
----
__Références__
[[Cloud Controls Matrix]]
[img(100px,auto)[CCM|iCSA/CCM_logo.png][Cloud Controls Matrix]]
----
[img(150px,auto)[i/ForumSecuriteAtCloud.jpg][2019.02.23 - Forum Securité@Cloud 2019]]
^^[[20 & 21 mars 2019|2019.02.23 - Forum Securité@Cloud 2019]]^^
[[Cloud Computing World Expo|2019.02.23 - Forum Securité@Cloud 2019]]
----
[img[Lien vers le compte Twitter du Chapitre Français|i/Twitter_icon.png][http://twitter.com/cloudsaFR]]
[[@CloudsaFR|http://twitter.com/cloudsaFR]]
----
[img[Lien vers l'espace Slack du Chapitre Français|i/Slack_icon.png][https://csafr.slack.com/]][img[Lien vers l'espace Slack du Chapitre Français|i/Slack_icon2.png][https://csafr.slack.com/]][[csafr.slack.com|https://csafr.slack.com/]]
<<tiddler [[Contact au Salon 2019.03]]>>
----

Rejoignez-nous

<<tiddler [[LinkedIN]]>>

<<tiddler [[Slack]]>>
<<QOTD RolledHeadlines 9000 noclick norandom>>
<<QOTD RolledNotices 5000 noclick norandom>>
@@display:none;<<tiddler .ToggleRightSidebar>>@@{{floatL{__[[Accueil]]__ @@color:#00F;<html><i class="fa fa-home" aria-hidden="true"></i></html>@@
^^1^^ __[[Présentation|Présentation du Chapitre Français de la Cloud Security Alliance]]__ @@color:#00F;<html><i class="fa fa-chalkboard-teacher" aria-hidden="true"></i></html>@@
^^2^^ __[[Actualités]]__ @@color:#00F;<html><i class="fa fa-exclamation-circle" aria-hidden="true"></i></html>@@
^^3^^ __[[Blog]]__ @@color:#00F;<html><i class="fa fa-blog" aria-hidden="true"></i></html>@@
^^4^^ __[[Publications]]__ @@color:#00F;<html><i class="fa fa-book" aria-hidden="true"></i></html>@@
^^5^^ __[[Veille Web]]__ @@color:#00F;<html><i class="fa fa-eye" aria-hidden="true"></i></html>@@
^^6^^ __[[Newsletters]]__ @@color:#00F;<html><i class="fa fa-pencil-alt" aria-hidden="true"></i></html>@@
^^7^^ __[[Références]]__ @@color:#00F;<html><i class="fa fa-book-reader" aria-hidden="true"></i></html>@@
^^8^^ __[[Outils]]__ @@color:#00F;<html><i class="fa fa-tools" aria-hidden="true"></i></html>@@
[img(100px,1px)[i/BluePixel.gif]]
[img[LinkedIN|i/In.png][LinkedIN]][img[Slack|i/Slack_icon2.png][Slack]][img[Twitter|i/Twitter_icon.png][Twitter]]
^^→ [[Contact]][img(100px,1px)[i/BluePixel.gif]]^^<<search Recherche>>[img(100px,1px)[i/BluePixel.gif]]<<tiddler HeadlinesRoll>>[img(100px,1px)[i/BluePixel.gif]]
^^→ [[Historique du site|Historique]]^^}}}
<!--{{{-->
<link rel='stylesheet' href='font-awesome/css/font-awesome.min.css' />
<!-- link rel='alternate' type='application/rss+xml' title='RSS' href='index.xml' -->
<!--}}}-->
<!--{{{-->
<div class='header' role='banner' macro='gradient vert [[ColorPalette::PrimaryLight]] [[ColorPalette::PrimaryDark]]'>
<div class='headerShadow'>
<span class='siteTitle' refresh='content' tiddler='SiteTitle'></span>
<img src="i/FR.jpg" align="right">
<img src="i/cloud-security-alliance-2.png" align="right">
<a href="https://cloudsecurityalliance.fr/go/j2bs/" target="_blank"><img src="iCSA/SecuCloud2019.jpg" align="right"></a>
<span class='siteSubtitle' refresh='content' tiddler='SiteSubtitle'></span>
</div>
<div class='headerForeground'>
<span class='siteTitle' refresh='content' tiddler='SiteTitle'></span>&nbsp;
<span class='siteSubtitle' refresh='content' tiddler='SiteSubtitle'></span>&nbsp;
</div>
</div>
<div id='mainMenu' role='navigation' refresh='content' tiddler='MainMenu'></div>
<div id='sidebar'>
<div id='sidebarOptions' role='navigation' refresh='content' tiddler='SideBarOptions'></div>
<div id='sidebarTabs' role='complementary' refresh='content' force='true' tiddler='SideBarTabs'></div>
</div>
<div id='displayArea' role='main'>
<div id='messageArea'></div>
<div style="text-align:center"><span class='HeaderNews' refresh='content' tiddler='HeaderNews'></span></div>
<div id='tiddlerDisplay'></div>
<div style="text-align:center"><span class='FooterNews' refresh='content' tiddler='FooterDisclaimer'></span></div>
</div>
<!--}}}-->
~~Chapitre Français~~
Cloud Security Alliance
[[myCSS]]
<!--{{{-->
<div class='toolbar' macro='toolbar [[ToolbarCommands::ViewToolbar]]'></div>
<div class='title' macro='view title'></div>
<!-- <div class='subtitle'> <span macro='view modifier link'></span> <span macro='view modified date'></span> &#x2022; <div class='horizTag' macro='tags'> &#x2022; (<span macro='message views.wikified.createdPrompt'></span> <span macro='view created date'></span> <span macro='view tags'></span> </div> -->
<!-- <div class='tagging' macro='tagging'></div> -->
<!-- <div class='tagged' macro='tags'></div> -->
<!-- <div class='subtitle'> <div class='horizTag' macro='tags'></div> --> </div>
<div class='viewer' macro='view text wikified'></div>
<div class='viewer' macro='tiddler ReplaceDoubleClick'></div>
<div class='tagClear'></div>
<!--}}}-->
 • <<tiddler .ToggleRightSidebar>> • +++*[missing]<<list missing>>===+++*[orphans]<<list orphans>>===+++*[shadowed]<<list shadowed>>===+++*[all]<<list all>>===+++*[tags]<<allTags excludeLists>>=== • 
• +++*[Actu+Blog+Publ+Salon+Sonde] <<tiddler fxTag2Tabs with: Actu","Blog","Publ","Salon","Sond >>=== •
• +++*[__Admin] <<tiddler fxTag2Tabs with: __Admin>><<tiddler f1Tag2Tabs with: __Admin>> === • +++*[__AdminRW] <<tiddler fxTag2Tabs with: __AdminRW>><<tiddler f1Tag2Tabs with: __AdminRW>> === • +++*[__Custom] <<tiddler fxTag2Tabs with: __Custom>><<tiddler f1Tag2Tabs with: __Custom>> === • +++*[__NewsLetter] <<tiddler fxTag2Tabs with: __NewsLetter>><<tiddler f1Tag2Tabs with: __NewsLetter>> === • +++*[__Publ] <<tiddler fxTag2Tabs with: __Publ>><<tiddler f1Tag2Tabs with: __Publ>> === • +++*[_Admin] <<tiddler fxTag2Tabs with: _Admin>><<tiddler f1Tag2Tabs with: _Admin>> === • +++*[__Web] <<tiddler fxTag2Tabs with: __Web>><<tiddler f1Tag2Tabs with: __Web>> === • +++*[Actu] <<tiddler fxTag2Tabs with: Actu>><<tiddler f1Tag2Tabs with: Actu>> === • +++*[Alias] <<tiddler fxTag2Tabs with: Alias>><<tiddler f1Tag2Tabs with: Alias>> === • +++*[AWS] <<tiddler fxTag2Tabs with: AWS>><<tiddler f1Tag2Tabs with: AWS>> === • +++*[Blockchain] <<tiddler fxTag2Tabs with: Blockchain>><<tiddler f1Tag2Tabs with: Blockchain>> === • +++*[Blog] <<tiddler fxTag2Tabs with: Blog>><<tiddler f1Tag2Tabs with: Blog>> === • +++*[CCM] <<tiddler fxTag2Tabs with: CCM>><<tiddler f1Tag2Tabs with: CCM>> === • +++*[CCSK] <<tiddler fxTag2Tabs with: CCSK>><<tiddler f1Tag2Tabs with: CCSK>> === • +++*[Crypto] <<tiddler fxTag2Tabs with: Crypto>><<tiddler f1Tag2Tabs with: Crypto>> === • +++*[DevOps] <<tiddler fxTag2Tabs with: DevOps>><<tiddler f1Tag2Tabs with: DevOps>> === • +++*[ERP] <<tiddler fxTag2Tabs with: ERP>><<tiddler f1Tag2Tabs with: ERP>> === • +++*[Incidents] <<tiddler fxTag2Tabs with: Incidents>><<tiddler f1Tag2Tabs with: Incidents>> === • +++*[IoT] <<tiddler fxTag2Tabs with: IoT>><<tiddler f1Tag2Tabs with: IoT>> === • +++*[Medical] <<tiddler fxTag2Tabs with: Medical>><<tiddler f1Tag2Tabs with: Medical>> === • +++*[Misc] <<tiddler fxTag2Tabs with: Misc>><<tiddler f1Tag2Tabs with: Misc>> === • +++*[NIST] <<tiddler fxTag2Tabs with: NIST>><<tiddler f1Tag2Tabs with: NIST>> === • +++*[Pano] <<tiddler fxTag2Tabs with: Pano>><<tiddler f1Tag2Tabs with: Pano>> === • +++*[PCIDSS] <<tiddler fxTag2Tabs with: PCIDSS>><<tiddler f1Tag2Tabs with: PCIDSS>> === • +++*[Presse] <<tiddler fxTag2Tabs with: Presse>><<tiddler f1Tag2Tabs with: Presse>> === • +++*[Publ] <<tiddler fxTag2Tabs with: Publ>><<tiddler f1Tag2Tabs with: Publ>> === • +++*[RGPD] <<tiddler fxTag2Tabs with: RGPD>><<tiddler f1Tag2Tabs with: RGPD>> === • +++*[Salon] <<tiddler fxTag2Tabs with: Salon>><<tiddler f1Tag2Tabs with: Salon>> === • +++*[SDP] <<tiddler fxTag2Tabs with: SDP>><<tiddler f1Tag2Tabs with: SDP>> === • +++*[Sond] <<tiddler fxTag2Tabs with: Sond>><<tiddler f1Tag2Tabs with: Sond>> === • +++*[T0D0] <<tiddler fxTag2Tabs with: T0D0>><<tiddler f1Tag2Tabs with: T0D0>> === • +++*[Tags] <<tiddler fxTag2Tabs with: Tags>><<tiddler f1Tag2Tabs with: Tags>> === • +++*[Threats] <<tiddler fxTag2Tabs with: Threats>><<tiddler f1Tag2Tabs with: Threats>> === • +++*[Vuln] <<tiddler fxTag2Tabs with: Vuln>><<tiddler f1Tag2Tabs with: Vuln>> === 
[>img(200px,auto)[i/cloud-security-alliance.png][https://www.cloudsecurityalliance.fr]]Bienvenue sur le ''[[site Web|https://CloudSecurityAlliance.FR]]'' du [[Chapitre français|CSA-FR]] de la [[Cloud Security Alliance]]. Vous y trouverez :
# une [[Présentation du Chapitre Français de la Cloud Security Alliance]] @@color:#00F;<html><i class="fa fa-chalkboard-teacher" aria-hidden="true"></i></html>@@
# les [[Actualités]] @@color:#00F;<html><i class="fa fa-exclamation-circle" aria-hidden="true"></i></html>@@ et communiqués de presse de la Cloud Security Alliance et de notre Chapitre Français
# les [[Articles de blog|Blog]] @@color:#00F;<html><i class="fa fa-blog" aria-hidden="true"></i></html>@@ publiés par la Cloud Security Alliance et notre Chapitre Français
# les [[Publications]] @@color:#00F;<html><i class="fa fa-book" aria-hidden="true"></i></html>@@ et outils de la Cloud Security Alliance, comme "[[Cloud Controls Matrix]]" et le "[[Security Guidance for Critical Areas of Focus in Cloud Computing|Groupe de Travail - Security Guidance]]"
# une [[Veille Web]] @@color:#00F;<html><i class="fa fa-eye" aria-hidden="true"></i></html>@@ avec plusieurs mises à jour par semaine et les derniers articles et rapports liés à la sécurité du Cloud
# des [[Newsletters]] @@color:#00F;<html><i class="fa fa-pencil-alt" aria-hidden="true"></i></html>@@ qui sont maintenant hebdomadaires
# des [[Références]] @@color:#00F;<html><i class="fa fa-book-reader" aria-hidden="true"></i></html>@@ et des sites avec indication des documents et de podcasts les plus pertinents liés à la sécurité du Cloud
# des [[Outils]] @@color:#00F;<html><i class="fa fa-tools" aria-hidden="true"></i></html>@@ et des utilitaires, ainsi que des tableaux de bords pour assurer ou suivre la disponibilité des environnements Cloud
Pour suivre notre Chapitre, vous pouvez aussi rejoindre notre groupe sur [[LinkedIN]]. /%
[<img(auto,70px)[i/ForumSecuCloud2019.png][2019.02.23 - Forum Securité@Cloud 2019]][<img(auto,70px)[i/CCWE-2019.png][2019.02.23 - Forum Securité@Cloud 2019]][img(500px,1px)[i/BluePixel.gif]]
Venez nous rencontrer : ''jeudi 21 mars 2019 matin''
au ''Forum Securité@Cloud'' dans le cadre du Salon ''Cloud Computing World Expo''.
Enregistrement sur : [[cloudsecurityalliance.fr/go/j2bs/|https://cloudsecurityalliance.fr/go/j2bs/]] ^^(portail eveos.com)^^
[img(500px,1px)[i/BluePixel.gif]]%/ <<tiddler [[Diffusions 2019]]>>
Catégories : [[CAIQ]] • [[CCM]] • [[CCSK]] • [[Cryptographie]] • [[ERP]] • [[Incidents|Publications - Incidents]] • [[IoT]] • [[Menaces]] • [[Panorama]] • [[RGPD|Publications - RGPD]] • [[Santé|Publications - Santé]] • [[SDP]] • [[STAR]] • [[Vulnérabilités]] •
!Le [[Chapitre Français|CSA-FR]] de la [[Cloud Security Alliance]]
[>img(200px,auto)[i/cloud-security-alliance.png]]
Le [[Chapitre français|CSA-FR]] de la [[Cloud Security Alliance]] a été créé en décembre 2010 par ''[[Olivier Caleff|https://www.linkedin.com/in/caleff]]'' et ''[[Pierre Vacherand|https://www.linkedin.com/in/pierrevacherand/]]''.
Après un bon début, le [[Chapitre français|CSA-FR]] a tourné au ralenti entre 2013 et 2017.
Les activités se sont concentrées autour de participations et contributions à des événements de la [[Cloud Security Alliance]] en Europe, à des participations dans des groupes de travail de la [[Cloud Security Alliance]], et à une participation très active dans le domaine de la formation (voir ci-dessous)
En 2018, les activités reprennent avec :
* La participation à deux salons (Mars et Novembre 2018)
* La poursuite des partenariats pour les activités de formation
* L'animation du groupe LinkedIn : https://www.linkedin.com/groups/3758242
* La préparation de la relance des réunions des membres du [[Chapitre français|CSA-FR]]
__Contact :__ https://CloudSecurityAlliance.fr et [img(200px,auto)[i/Email-CSA_FR.png]]
!Les partenariats
[>img(200px,auto)[i/ISEP-FC.jpg]]
Depuis 2012, le [[Chapitre français|CSA-FR]] de la [[Cloud Security Alliance]] a établi un partenariat en matière de formation avec l'[[ISEP Formation Continue|https://www.isep.fr/masteres-specialises/]] et assure notamment l'enseignement de la partie "Sécurité du Cloud" dans le cadre du Mastère Spécialisé [[Expertise Cloud Computing|https://formation-continue.isep.fr/cloud-computing/]].
La 7^^ème^^ promotion commencera son cursus en Septembre 2019.
[>img(200px,auto)[i/cloud-security-alliance.png]]La [[Cloud Security Alliance]] (CSA) est une organisation à but non lucratif qui a pour mission :
* de promouvoir de bonnes pratiques en matière d'assurance de la sécurité dans le Cloud Computing
* de fournir des formations sur les utilisations du Cloud Computing pour aider à sécuriser toutes les autres formes d'informatique
La [[Cloud Security Alliance]] est dirigée par une vaste coalition de praticiens de l'industrie, d'entreprises, d'associations et d'autres intervenants clés.
[img(200px,1px)[i/BluePixel.gif]]
__Historique__
Les enjeux et opportunités du cloud computing ont fait l'objet d'une attention particulière en 2008 au sein de la communauté de la sécurité de l'information.
Lors du forum CISO de l'ISSA à Las Vegas, en novembre 2008, le concept de d'une Alliance pour la sécurité du Cloud Computing ([[Cloud Security Alliance]]) a vu le jour. Après une présentation des tendances émergentes par ''[[Jim Reavis|https://www.linkedin.com/in/jimreavis/]]'', dont un appel à l'action pour la sécurisation du cloud computing, ''Jim Reavis'' et ''[[Nils Puhlmann|https://www.linkedin.com/in/npuhlmann/]]'' ont présenté la mission et la stratégie initiales de la CSA. Une série de réunions organisationnelles avec des chefs de file de l'industrie au début de décembre 2008 a officialisé la fondation de la CSA.
Le travail de sensibilisation auprès de la communauté de la sécurité de l'information pour créer un support de travail initial en vue de la Conférence RSA 2009 a donné lieu à des échanges entre des dizaines de bénévoles pour la recherche, l'auteur, la rédaction et la révision du premier livre blanc.
[img(200px,1px)[i/BluePixel.gif]]
__Mission__
Promouvoir l'utilisation des meilleures pratiques pour fournir une assurance de sécurité dans le Cloud Computing, et fournir de l'éducation sur les utilisations du Cloud Computing pour aider à sécuriser toutes les autres formes d'informatique.
[img(200px,1px)[i/BluePixel.gif]]
__Communication__
* Le site Web de la [[Cloud Security Alliance]] est : https://www.CloudSecurityAlliance.org
* Le flux Twitter de la [[Cloud Security Alliance]] est https://twitter.com/cloudsa 
{{floatC{[img[i/Email-CSA_FR.png]]
[img[i/Cloud_Question.png]]
}}}

[img(auto,70px)[i/ForumSecuCloud2019.png][2019.02.23 - Forum Securité@Cloud 2019]][img(auto,70px)[i/CCWE-2019.png][2019.02.23 - Forum Securité@Cloud 2019]]
[img(290px,1px)[i/BluePixel.gif]]
Venez nous rencontrer : ''jeudi 21 mars 2019 matin''

au ''Forum Securité@Cloud''
dans le cadre du Salon ''Cloud Computing World Expo''.

Enregistrement sur : [[cloudsecurityalliance.fr/go/j2bs/|https://cloudsecurityalliance.fr/go/j2bs/]]
^^(redirection vers le portail du site eveos.com)^^
[img(290px,1px)[i/BluePixel.gif]]
| !@@font-size:125%;Mars 2019@@ — dernière mise à jour le @@font-size:125%; mars@@ | ! |[img[i/SecuCloud2019.png][2019.02.23 - Forum Securité@Cloud 2019]]|
|@@color:#00F;<html><i class="fa fa-eye fa-2x" aria-hidden="true"></i></html>@@ __@@color:#009;font-size:112%;''[[Veille Web Mars 2019|2019.03 - Veille Web]]''@@__ 

__''Actualités, Blog, Publications et Veille "Sécurité du Cloud" — Mars 2019''__ <<tiddler fxTag2List with: 201903 >> | <<tiddler NoticeRoll>> |~| | !@@font-size:125%;Février 2019@@ | !@@font-size:125%;Janvier 2019@@ |~| |__''Actualités, Blog, Publications et Veille "Sécurité du Cloud" — Février 2019''__ <<tiddler fxTag2List with: 201902 >> |__''Actualités, Blog, Publications et Veille "Sécurité du Cloud" — Janvier 2019''__ <<tiddler fxTag2List with: 201901 >> |~| |>| !Les archives de 2018 et des années précédentes se trouvent @@font-size:125%;[[ici|Diffusions 2018]]@@ |~|
|!@@font-size:125%;Décembre 2018@@ |!@@font-size:125%;Novembre 2018@@ |
|__''[[Veille Web Décembre 2018|2018.12.31 - Veille Web]]''__ 

__''Actualités Décembre 2018''__
<<tiddler fxTag2List with: Actu","201812 >> __''Blog Décembre 2018''__
<<tiddler fxTag2List with: Blog","201812 >> __''Publications Décembre 2018''__
<<tiddler fxTag2List with: Publ","201812 >>|__''[[Veille Web Novembre 2018|2018.11.30 - Veille Web]]''__

__''Actualités Novembre 2018''__
<<tiddler fxTag2List with: Actu","201811 >> __''Blog Novembre 2018''__
<<tiddler fxTag2List with: Blog","201811 >> __''Publications Novembre 2018''__
<<tiddler fxTag2List with: Publ","201811 >>| |!@@font-size:125%;Octobre 2018@@ |!@@font-size:125%;Septembre 2018@@ | |__''[[Veille Web Octobre 2018|2018.10.31 - Veille Web]]''__

__''Actualités Octobre 2018''__
<<tiddler fxTag2List with: Actu","201810 >> __''Blog Octobre 2018''__
<<tiddler fxTag2List with: Blog","201810 >> __''Publications Octobre 2018''__
<<tiddler fxTag2List with: Publ","201810 >>|__''[[Veille Web Septembre 2018|2018.09.30 - Veille Web]]''__

__''Actualités Septembre 2018''__
<<tiddler fxTag2List with: Actu","201809 >> __''Blog Septembre 2018''__
<<tiddler fxTag2List with: Blog","201809 >> __''Publications Septembre 2018''__
<<tiddler fxTag2List with: Publ","201809 >>| |!@@font-size:125%;Août 2018@@ |!@@font-size:125%;Juillet 2018@@ | |__''[[Veille Web Août 2018|2018.08.31 - Veille Web]]''__

__''Actualités Août 2018''__
<<tiddler fxTag2List with: Actu","201808 >> __''Blog Août 2018''__
<<tiddler fxTag2List with: Blog","201808 >> __''Publications Août 2018''__
<<tiddler fxTag2List with: Publ","201808 >>|__''[[Veille Web Juillet 2018|2018.07.31 - Veille Web]]''__

__''Actualités Juillet 2018''__
<<tiddler fxTag2List with: Actu","201807 >> __''Blog Juillet 2018''__
<<tiddler fxTag2List with: Blog","201807 >> __''Publications Juillet 2018''__
<<tiddler fxTag2List with: Publ","201807 >>| |!@@font-size:125%;Juin 2018@@ |!@@font-size:125%;Mai 2018@@ | |__''[[Veille Web Juin 2018|2018.06.30 - Veille Web]]''__

__''Actualités Juin 2018''__
<<tiddler fxTag2List with: Actu","201806 >> __''Blog Juin 2018''__
<<tiddler fxTag2List with: Blog","201806 >> __''Publications Juin 2018''__
<<tiddler fxTag2List with: Publ","201806 >>|__''[[Veille Web Mai 2018|2018.05.31 - Veille Web]]''__

__''Actualités Mai 2018''__
<<tiddler fxTag2List with: Actu","201805 >> __''Blog Mai 2018''__
<<tiddler fxTag2List with: Blog","201805 >> __''Publications Mai 2018''__
<<tiddler fxTag2List with: Publ","201805 >>| |!@@font-size:125%;Avril 2018@@ |!@@font-size:125%;Mars 2018@@ | |__''[[Veille Web Avril 2018|2018.04.30 - Veille Web]]''__

__''Actualités Avril 2018''__
<<tiddler fxTag2List with: Actu","201804 >> __''Blog Avril 2018''__
<<tiddler fxTag2List with: Blog","201804 >> __''Publications Avril 2018''__
<<tiddler fxTag2List with: Publ","201804 >>|__''[[Veille Web Mars 2018|2018.03.31 - Veille Web]]''__

__''Actualités Mars 2018''__
<<tiddler fxTag2List with: Actu","201803 >> __''Blog Mars 2018''__
<<tiddler fxTag2List with: Blog","201803 >> __''Publications Mars 2018''__
<<tiddler fxTag2List with: Publ","201803 >>| |!@@font-size:125%;Février 2018@@ |!@@font-size:125%;Janvier 2018@@ | |__''[[Veille Web Février 2018|2018.02.28 - Veille Web]]''__

__''Actualités Février 2018''__
<<tiddler fxTag2List with: Actu","201802 >> __''Blog Février 2018''__
<<tiddler fxTag2List with: Blog","201802 >> __''Publications Février 2018''__
<<tiddler fxTag2List with: Publ","201802 >>|__''[[Veille Web Janvier 2018|2018.01.31 - Veille Web]]''__

__''Actualités Janvier 2018''__
<<tiddler fxTag2List with: Actu","201801 >> __''Blog Janvier 2018''__
<<tiddler fxTag2List with: Blog","201801 >> __''Publications Janvier 2018''__
<<tiddler fxTag2List with: Publ","201801 >>|
|Historique des principaux changements du site|c
||!Mise à jour bi-hebdomadaire du site |→ [[lien|Accueil]]|
|>|!|>||
| Février 2019|Annonce de la participation au Salon ''Forum Securité@Cloud 2019'' et détails +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[2019.02.23 - Forum Securité@Cloud 2019]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|2019.02.23 - Forum Securité@Cloud 2019]]| |~|Compléments dans les [[Références]] avec le ''CISA'' et ''Horizon 2020'' en complément de l'''ANSSI'', de l'''ISO'' et du ''NIST''|→ [[lien|Références]]| | Janvier 2019|Editorial 2019 +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[2019.01.01 - Editorial]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|2019.01.Blog]]| |~|Ajout d'un article sur la formation [[CCSK]] +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[2019.01.24 - CCSK la formation à suivre]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|2019.01.24 - CCSK la formation à suivre]]| |~|Ajout d'un moteur de recherche +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
Le moteur de recherche permet de rechercher dans la plupart des articles de ce site.
<<search Recherche>>
[img(200px,1px)[i/BluePixel.gif]]=== || |~|Ajout de l'article sur le programme [[STAR]] +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[STAR]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|STAR]]| | Décembre 2018|Ajout d'un raccourcisseur d'URL / réducteur de lien +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
Les lien raccourcis commencent par ''cloudsecurityalliance.fr / go /''
[img(200px,1px)[i/BluePixel.gif]] ===|| | Novembre 2018|Ajout d'une Veille Web/revue de presse|→ [[lien|Veille Web]]| | Octobre 2018|Lien d'inscription au Salon ''Cloud & Cyber Security'', novembre 2018 +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[2018.10.17 - Salon Cloud & Cyber Security Novembre 2018]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|2018.10.17 - Salon Cloud & Cyber Security Novembre 2018]]| | Août 2018|Annonce de la participation au Salon ''Cloud & Cyber Security'', novembre 2018 +++*[»] [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[2018.08.01 - Salon Cloud & Cyber Security Novembre 2018]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|2018.08.01 - Salon Cloud & Cyber Security Novembre 2018]]| | Juillet 2018|Annonce du renouvellement du partenariat avec l'ISEP Formation Continue +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[2018.07.02 - ISEP Mastere Spécialisé Cloud]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|2018.07.02 - ISEP Mastere Spécialisé Cloud]]| |>|!|>|| | Mars 2018|Annonce de la participation au Salon ''Forum Securité@Cloud'', mars 2018 +++*[»]> [img(200px,1px)[i/BluePixel.gif]]
<<tiddler [[2018.03.01 - Forum Securité@Cloud 2018]]>>
[img(200px,1px)[i/BluePixel.gif]] === |→ [[lien|2018.03.01 - Forum Securité@Cloud 2018]]| |1^^er^^ Mars 2018|!Réouverture du site |→ [[lien|Actualités]]|
[img(100px,1px)[i/BluePixel.gif]][img[i/In.png][https://www.linkedin.com/groups/3758242]] [img(100px,1px)[i/BluePixel.gif]]

Lien vers le groupe ''LinkedIN'' du [[Chapitre Français|Présentation du Chapitre Français de la Cloud Security Alliance]] de la [[Cloud Security Alliance]]
:→ https://www.linkedin.com/groups/3758242
[>img(200px,auto)[i/cloud-security-alliance.png]]Le [[Chapitre Français|Présentation du Chapitre Français de la Cloud Security Alliance]] de la [[Cloud Security Alliance]] est une association formée pour faire la promotion des meilleures pratiques de sécurité au sein des infrastructures Cloud Computing.
Il se charge notamment :
* d'adapter certains documents de la Cloud Security Alliance aux spécificités françaises (notamment réglementaires)
* de favoriser les meilleures pratiques de sécurité auprès des fournisseurs de Cloud Public français et au sein des Entreprises qui batissent des Clouds Privés
* de publier de nouvelles recommandations de sécurité relatives au Cloud Computing
* de traduire certains documents de la Cloud Security Alliance en français
* de mener des actions pour former et évangéliser autour de la notion de la sécurité du Cloud Computing
* de participer à la communauté des chapitres européens regroupés sous l'appellation "CSA EMEA"[>img(200px,auto)[i/CSA-EMEA.png]]
* d'établir des relations avec des journalistes et des groupes de travail similaires autour du Cloud Computing et de la Sécurité
* de participer à tout type d'événements ou de conférences liés à la sécurité du Cloud Computing
[img(200px,1px)[i/BluePixel.gif]]
<html><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i></html> [>img(200px,auto)[i/ISEP-FC.jpg]]
Depuis 2012, le [[Chapitre français|CSA-FR]] de la Cloud Security Alliance a établi un partenariat en matière de formation avec l'[[ISEP Formation Continue|https://www.isep.fr/masteres-specialises/]] et assure notamment l'enseignement de la partie "Sécurité du Cloud" dans le cadre du ''Mastère Spécialisé ® [[Expertise Cloud Computing|https://formation-continue.isep.fr/cloud-computing/]]''.

[img(200px,1px)[i/BluePixel.gif]]
Pour tout renseignement, contactez nous à l'adresse suivante : ''&#8238;rf.ecnaillaytirucesduolc@ofni&#8236;''
Le site de la [[Cloud Security Alliance]] est http://www.CloudSecurityAlliance.org 
[img(100px,1px)[i/BluePixel.gif]][img[Lien vers l'espace Slack du Chapitre Français|i/Slack_icon.png][https://csafr.slack.com/]][img[Lien vers l'espace Slack du Chapitre Français|i/Slack_icon2.png][https://csafr.slack.com/]] [img(100px,1px)[i/BluePixel.gif]]

Lien vers l'espace ''Slack'' du [[Chapitre Français|Présentation du Chapitre Français de la Cloud Security Alliance]] de la Cloud Security Alliance
:→ https://csafr.slack.com
[img(100px,1px)[i/BluePixel.gif]][img[Lien vers le compte Twitter du Chapitre Français|i/Twitter_icon.png][https://twitter.com/cloudsaFR]] [img(100px,1px)[i/BluePixel.gif]]

Lien vers le flux Twitter du [[Chapitre Français|Présentation du Chapitre Français de la Cloud Security Alliance]] de la [[Cloud Security Alliance]]
:→ https://twitter.com/cloudsaFR

[img(100px,1px)[i/BluePixel.gif]][img[Lien vers le compte Twitter du Chapitre Français|i/Twitter_icon.png][https://twitter.com/cloudsaFR]] [img(100px,1px)[i/BluePixel.gif]]

__Autres flux Twitter à suivre :__
* Flux de la [[Cloud Security Alliance]]
:→ https://twitter.com/cloudsa
* Flux ''CSACloudbytes''
:→ https://twitter.com/hashtag/CSACloudbytes

__Autres #Hashtag à suivre :__
* #CloudSecurity
:→ https://twitter.com/hashtag/Cloudsecurity
^^À noter : après avoir cliqué sur un onglet, le temps de recherche dans la base peut aller jusqu'à ''2 secondes''^^<<tiddler f1Tag2Tabs with: _VeilleM>>
^^À noter : après avoir cliqué sur un onglet, le temps de recherche dans la base peut aller jusqu'à ''2 secondes''^^
<<tiddler f2Tag2Tabs with: _VeilleM 201903>>
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2019.03.18|HelpNet Security|[[Cryptojacking of businesses’ cloud resources still going strong|https://www.helpnetsecurity.com/2019/03/18/cryptojacking-cloud-resources/]]|Attacks|
|2019.03.18|//Fugue//|![[12 Ways Cloud Upended IT Security (And What You Can Do About It)|https://www.fugue.co/blog/12-ways-cloud-upended-it-security-and-what-you-can-do-about-it]]|Misc|
|2019.03.18|Container Journal|[[Happy Sixth Birthday, Docker!|https://containerjournal.com/2019/03/18/happy-sixth-birthday-docker/]]|Docker|
|2019.03.18|Security Boulevard|[[Simplifying Security in the Cloud|https://securityboulevard.com/2019/03/simplifying-security-in-the-cloud/]]|BestPractices|
|2019.03.18|//Slack//|[[La gestion des clés de chiffrement en entreprise est désormais disponible avec Enterprise Grid de Slack|https://slackhq.com/la-gestion-des-cles-de-chiffrement-en-entreprise-est-desormais-disponible-avec-enterprise-grid-de-slack]]|Encrypt|
|2019.03.18|CBR Online|↪ [[Slack Says You Can Now “Bring Your Own” Encryption Key|https://www.cbronline.com/news/slack-security-encryption]]|Encrypt|
|>|!|>||
|2019.03.16|//JumpCloud//|[[AD DS Replacement|https://jumpcloud.com/blog/ad-ds-replacement/]]|ActiveDirectory|
|>|!|>||
|2019.03.15|Container Journal|[[A Year of Kubernetes: Navigating Treacherous Waters|https://containerjournal.com/2019/03/15/a-year-of-kubernetes-navigating-treacherous-waters/]]|Containers Kubernetes|
|2019.03.15|Security Discovery|[[A legal analytics company exposed passwordless database with sensitive documents|https://securitydiscovery.com/a-legal-analytics-company-exposed-passwordless-database-with-sensitive-documents/]]|DataLeak|
|2019.03.15|Bleeping Computer|↪ [[257K Legal Documents Leaked By Unprotected Elasticsearch Server|https://www.bleepingcomputer.com/news/security/257k-legal-documents-leaked-by-unprotected-elasticsearch-server/]]|DataLeak|
|2019.03.16|//GBHackers on Security//|↪ [[250,000 Sensitive Legal Documents Leaked Online via Unprotected Elasticsearch Cluster|https://gbhackers.com/legal-documents-leaked-online/]]|DataLeak|
|2019.03.15|Solutions review|[[5 Things to Look For in a Cloud Service Level Agreement|https://solutionsreview.com/cloud-platforms/5-things-to-look-for-in-a-cloud-service-level-agreement/]]|SLA|
|2019.03.15|//FireEye//|[[Dissecting a NETWIRE Phishing Campaign's Usage of Process Hollowing|https://www.fireeye.com/blog/threat-research/2019/03/dissecting-netwire-phishing-campaign-usage-of-process-hollowing.html]]|Attacks|
|2019.03.15|//JumpCloud//|[[Migrating LDAP to the Cloud|https://jumpcloud.com/blog/migrate-ldap-cloud/]]|Authenticate|
|2019.03.15|//ProdataKey//|[[Cloud-Based Access Control: The Cyber Pitch|https://www.securityinfowatch.com/access-identity/access-control/hosted-managed-access-control/article/21069034/cloudbased-access-control-the-cyber-pitch]]|AccessControls|
|2019.03.15|//Whistic//|[[The Evolution of Risk Management|https://blog.whistic.com/the-evolution-of-risk-management-6cc07d95aeb7]]|Risks|
|>|!|>||
|2019.03.14|//Proofpoint//|![[Threat actors leverage credential dumps, phishing, and legacy email protocols to bypass MFA and breach cloud accounts worldwide|https://www.proofpoint.com/us/threat-insight/post/threat-actors-leverage-credential-dumps-phishing-and-legacy-email-protocols]]|Reports Attacks|
|2019.03.14|BleepingComputer|↪ [[Multi-Factor Auth Bypassed in Office 365 and G Suite IMAP Attacks|https://www.bleepingcomputer.com/news/security/multi-factor-auth-bypassed-in-office-365-and-g-suite-imap-attacks/]]|Reports Attacks|
|2019.03.14|Global Security Mag[>img[i/flag_fr.png]]|↪ [[Une étude Proofpoint révèle une augmentation de 65% des attaques d’applications cloud au 1er trimestre 2019|http://www.globalsecuritymag.fr/Une-etude-Proofpoint-revele-une,20190314,85381.html]]|Reports Attacks|
|2019.03.15|Solutions Numériques[>img[i/flag_fr.png]]|↪ [[Cyberattaques : Office 365 et Google G Suite de plus en plus visés|https://www.solutions-numeriques.com/cyberattaques-office-365-et-google-g-suite-de-plus-en-plus-vises/]]|Reports Attacks|
|2019.03.15|Security Week|↪ [[Hackers Bypass MFA on Cloud Accounts via IMAP Protocol|https://www.securityweek.com/hackers-bypass-mfa-cloud-accounts-imap-protocol]]|Reports Attacks|
|2019.03.14|The Korea Herald|![[Samsung SDS to bolster cloud security with ‘homomorphic encryption‘|http://www.koreaherald.com/view.php?ud=20190314000697]]|Encrypt|
|2019.03.14|//Google//|[[Disable SMS or voice codes for 2-Step Verification for more secure accounts|https://gsuiteupdates.googleblog.com/2019/03/more-control-over-2-step-verification-security-phone-sms.html]]|Authenticate GCP|
|2019.03.15|Security Week|↪ [[G Suite Admins Can Now Disable Phone 2-SV|https://www.securityweek.com/g-suite-admins-can-now-disable-phone-2-sv]]|Authenticate GCP|
|2019.03.14|//Microsoft//|[[Simplifying your environment setup while meeting compliance needs with built-in Azure Blueprints|https://azure.microsoft.com/en-us/blog/simplifying-your-environment-setup-while-meeting-compliance-needs-with-built-in-azure-blueprints/]]|Azure Compliance|
|2019.03.14|//Radware//|[[Security Pros and Perils of Serverless Architecture|https://blog.radware.com/security/2019/03/security-pros-and-perils-of-serverless-architecture/]]|Serverless|
|2019.03.14|//PaloAlto Networks//|[[How to Stay Secure in a Multi-Cloud Environment|https://researchcenter.paloaltonetworks.com/2019/03/stay-secure-multi-cloud-environment/]]|MultiCloud|
|2019.03.14|//Rapid7//|[[Forrester Tech Tide for Detection and Response: Is 2019 the Year of Convergence?|https://blog.rapid7.com/2019/03/14/forrester-tech-tide-for-detection-and-response-is-2019-the-year-of-convergence/]]|Detect Respond|
|2019.03.14|//Threatstack//|[[How to Achieve Full Stack, Multi-Cloud Security Observability|https://www.threatstack.com/blog/how-to-achieve-full-stack-multi-cloud-security-observability]]|MultiCloud|
|2019.03.14|//Netskope//|[[The Common Myths of AWS Security|https://www.netskope.com/blog/the-common-myths-of-aws-security]]|AWS|
|>|!|>||
|2019.03.13|Journal du Net[>img[i/flag_fr.png]]|[[Pourquoi ne faut-il pas mettre tous ses œufs dans le même cloud ?|https://www.journaldunet.com/solutions/expert/70755/pourquoi-ne-faut-il-pas-mettre-tous-ses--ufs-dans-le-meme-cloud.shtml]]|MultiCloud|
|2019.03.13|//Nuageo//[>img[i/flag_fr.png]]|[[Sur la route de la SOA|https://www.nuageo.fr/2019/03/route-soa/]]|Gouvernance|
|2019.03.13|Tao Security|![[Thoughts on Cloud Security|https://taosecurity.blogspot.com/2019/03/thoughts-on-cloud-security.html]]|Governance|
|2019.03.13|Dark Reading|[[Enterprise Cloud Infrastructure a Big Target for Cryptomining Attacks|https://www.darkreading.com/attacks-breaches/enterprise-cloud-infrastructure-a-big-target-for-cryptomining-attacks/d/d-id/1334146]]|Report|
|2019.03.14|//AlienVault//|[[Making it Rain - Cryptocurrency Mining Attacks in the Cloud|https://www.alienvault.com/blogs/labs-research/making-it-rain-cryptocurrency-mining-attacks-in-the-cloud/]]|Report|
|2019.03.13|CBR Online|[[Google Outage Resolved After Major Global Wobble|https://www.cbronline.com/news/google-outage]]|Outage|
|2019.03.13|IT Security News|[[e-Crime & Cybersecurity Congress: Cloud Security Fundamentals|https://www.itsecuritynews.info/e-crime-cybersecurity-congress-cloud-security-fundamentals/]]|Panel|
|2019.03.13|TEISS|[[How to protect sensitive cloud environments from persistent insider threats|https://www.teiss.co.uk/people/how-to-protect-sensitive-cloud-environments-from-persistent-insider-threats/]]|InsiderThreats|
|2019.03.13|Semperis|![[Hybrid Identity Protection comes in many shapes; Meet Azure AD Connect Health|https://www.semperis.com/blog/hybrid_identity_protection_comes_in_many_shapes/]]|AzureAD|
|>|!|>||
|2019.03.12|TechWire Asia|[[How do you manage cybersecurity in a multi-cloud environment?|https://techwireasia.com/2019/03/how-do-you-manage-cybersecurity-in-a-multi-cloud-environment/]]|MultiCloud|
|2019.03.12|//Symantec//|[[Take No Ransomware Prisoners with Office 365|https://www.symantec.com/blogs/product-insights/take-no-ransomware-prisoners-office-365]]|Report O365|
|2019.03.12|Dark Reading|[[The 12 Worst Serverless Security Risks|https://www.darkreading.com/cloud/the-12-worst-serverless-security-risks/a/d-id/1334079]]|CSA Serverless|
|2019.03.12|//Google//|[[Exploring container security: four takeaways from Container Security Summit 2019|https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-four-takeaways-from-container-community-summit-2019]]|Containers|
|2019.03.12|//Druva//|[[Next Gen DR In The Cloud – The Power of SaaS with Druva|https://www.druva.com/blog/next-gen-dr-in-the-cloud-the-power-of-saas-with-druva/]]|Recover|
|2019.03.12|//ParkMyCloud//|[[15 AWS Best Practices for 2019|https://www.parkmycloud.com/blog/aws-best-practices/]]|BestPractices|
|2019.03.12|//JumpCloud//|![[Can you Migrate On-Prem Domain Controllers to the Cloud?|https://jumpcloud.com/blog/on-prem-domain-controller-to-the-cloud/]]|ActiveDirectory|
|>|!|>||
|2019.03.11|//Adversis//|[[Pandora's Box: Another New Way to Leak All Your Sensitive Data|https://www.adversis.io/research/pandorasbox]]|DataLeak|
|2019.03.11|Apple Insider|↪ [[Confidential Apple files exposed to public in misconfigured Box account|https://appleinsider.com/articles/19/03/11/confidential-apple-files-exposed-to-public-in-misconfigured-box-account]]|DataLeak|
|2019.03.11|Techcrunch|↪ [[Corporate data stored on Box exposed by employees sharing public links|https://techcrunch.com/2019/03/11/data-leak-box-accounts/]]|DataLeak|
|2019.03.12|GBHackers On Security|↪ [[Box Data Leak – Terabytes of Data Exposed from Companies Using cloud based Box Accounts|https://gbhackers.com/box-data-leak/]]|DataLeak|
|2019.03.11|Netorks World|[[Software-defined perimeter brings trusted access to multi-cloud applications, network resources|https://www.networkworld.com/article/3359363/software-defined-perimeter-brings-trusted-access-to-multi-cloud-applications-network-resources.html]]|CSA SDP|
|2019.03.11|//Apptega//|[[SOC 2 Audit Explained For SaaS Companies|https://blog.apptega.com/soc2-audit-4-saas]]|Audit|
|2019.03.11|//Checkpoint//|![[Cuckoo SandBox on AWS|https://research.checkpoint.com/cuckoo-system-on-aws/]]|Analyze|
|2019.03.11|//Security Intelligence//|[[Security Considerations for Whatever Cloud Service Model You Adopt|https://securityintelligence.com/security-considerations-for-whatever-cloud-service-model-you-adopt/]]|Governance|
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2019.03.09|BetaNews|[[2019 predictions #2 and #3 -- A Virtual Private Cloud (VPC) shakeout and legal trouble for AWS|https://betanews.com/2019/03/09/2019-predictions-2-and-3/]]|Predictions AWS|
|>|!|>||
|2019.03.08|Les Echos[>img[i/flag_fr.png]]|[[Opinion - Quelles questions se poser avant de signer un contrat SaaS ?|https://www.lesechos.fr/idees-debats/cercle/cercle-193651-opinion-quelles-questions-se-poser-avant-de-signer-un-contrat-saas-2250702.php]]|Contract|
|2019.03.08|Forbes|[[The Top Five Cybersecurity Strategies For Cloud|https://www.forbes.com/sites/forbestechcouncil/2019/03/08/the-top-five-cybersecurity-strategies-for-cloud/]]|Governance|
|2019.03.08|Citrix|![[Citrix investigating unauthorized access to internal network|https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/]]|APT Attack|
|2019.03.08|//Resecurity//|!↪ [[Supply Chain – The Major Target of Cyberespionage Groups|https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/]]|APT Attack|
|2019.03.08|//ThreatPost//|↪ [[Citrix Falls Prey to Password-Spraying Attack|https://threatpost.com/citrix-password-spraying/142649/]]|APT Attack|
|2019.03.10|Forbes|↪ [[Why The Citrix Breach Matters -- And What To Do Next|https://www.forbes.com/sites/kateoflahertyuk/2019/03/10/citrix-data-breach-heres-what-to-do-next/]]|APT Attack|
|2019.03.10|CGR Online|↪ [[Citrix Data Breach: Were “Iranians” or “International Cyber Criminals” to Blame?|https://www.cbronline.com/news/citrix-data-breach]]|APT Attack|
|2019.03.16|Forbes|!↪ [[Who Is Resecurity, The Mysterious Firm That Blamed Iran For The Citrix Hack?|https://www.forbes.com/sites/kateoflahertyuk/2019/03/15/who-is-resecurity-the-mysterious-firm-that-named-the-group-allegedly-behind-the-citrix-hack/]]|APT Attack|
|2019.03.08|BankInfoSecurity|[[Highlights of RSA Conference|https://www.bankinfosecurity.com/interviews/highlights-rsa-conference-2019-i-4266]]|CSA Conference|
|>|!|>||
|2019.03.07|Les Echos[>img[i/flag_fr.png]]|[[Opinion - Le cloud dans le secteur des services financiers : les trois clés de la conformité|https://www.lesechos.fr/idees-debats/cercle/cercle-193643-opinion-le-cloud-dans-le-secteur-des-services-financiers-les-trois-cles-de-la-conformite-2250430.php]]|Compliance|
|2019.03.07|Le Comptoir Sécu[>img[i/flag_fr.png]]|![[Retour d’expérience sur le déploiement de l’authentification multifacteur Microsoft en entreprise|https://www.comptoirsecu.fr/blog/2019-03-13-retour-experience-mfa/]]|Authenticate|
|2019.03.07|LeMagIT[>img[i/flag_fr.png]]|[[Les outils de sécurité des conteneurs étendent leur périmètre fonctionnel|https://www.lemagit.fr/actualites/252459025/Les-outils-de-securite-des-conteneurs-etendent-leur-perimetre-fonctionnel]]|Containers|
|2019.03.07|GBHackers on Security|[[Tips and Practical Guidance for Getting Started AWS Lambda with Best Security Practices|https://gbhackers.com/aws-lambda/]]|BestPractices AWS|
|2019.03.07|//Trendmicro//|![[New SLUB Backdoor Uses GitHub, Communicates via Slack|https://blog.trendmicro.com/trendlabs-security-intelligence/new-slub-backdoor-uses-github-communicates-via-slack/]]|Attacks|
|2019.03.07|Bleeping Computer|↪ [[New SLUB Backdoor Uses Slack, GitHub as Communication Channels|https://www.bleepingcomputer.com/news/security/new-slub-backdoor-uses-slack-github-as-communication-channels/]]|Attacks|
|2019.03.08|SecurityWeek|[[Slack, GitHub Abused by New SLUB Backdoor in Targeted Attacks|https://www.securityweek.com/slack-github-abused-new-slub-backdoor-targeted-attacks]]|Attacks|
|2019.03.07|//Google//|[[Leading security companies use Google Cloud to deliver Security-as-a-Service|https://cloud.google.com/blog/products/identity-security/leading-security-companies-use-google-cloud-to-deliver-security-as-a-service]]|SaaS|
|2019.03.07|//Aqua//|[[Mitigating the Kubernetes API Server Patch Permission DoS Vulnerability (CVE-2019-1002100)|https://blog.aquasec.com/kubernetes-vulnerability-cve-2019-1002100]]|Kubernetes Vulnerabilities|
|2019.03.07|//Fugue//|[[DevSecOps: What is it, and Where to Start|https://www.fugue.co/blog/devsecops-what-is-it-and-where-to-start]]|DevSecOps|
|>|!|>||
|2019.03.06|Cloud Magazine[>img[i/flag_fr.png]]|[[Les points clés pour sécuriser le Cloud hybride, efficacement, facilement et au bon coût|https://www.cloudmagazine.fr/avis-expert/les-points-cles-pour-securiser-le-cloud-hybride-efficacement-facilement-et-au-bon-cout]]|HybridCloud|
|2019.03.06|IT Security News|[[Unified SecOps Investigation for Hybrid Environments|https://www.itsecuritynews.info/unified-secops-investigation-for-hybrid-environments/]]|HybridCloud|
|2019.03.06|DZone|[[Secure Cloud Access: a Beginner's Guide to Cloud Security|https://dzone.com/articles/secure-cloud-access-a-beginners-guide-to-cloud-sec]]|.|
|2019.03.06|CIO|[[Multi-cloud security the next billion-dollar frontier|https://www.csoonline.com/article/3355238/multi-cloud-security-the-next-billion-dollar-frontier.html]]|MultiCloud|
|2019.03.06|//Google//|![[Admin Insider: top questions (and answers) on data security in G Suite|https://cloud.google.com/blog/products/g-suite/admin-insider-top-questions-and-answers-on-data-security-in-g-suite]]|Monitor|
|2019.03.06|//Google//|[[New file checksum feature lets you validate data transfers between HDFS and Cloud Storage|https://cloud.google.com/blog/products/storage-data-transfer/new-file-checksum-feature-lets-you-validate-data-transfers-between-hdfs-and-cloud-storage]]|Integrity|
|2019.03.06|//LogRythm//|[[Detecting and Preventing Auto Forwarding and Phishing Attacks in Office 365|https://logrhythm.com/blog/detecting-and-preventing-auto-forwarding-and-phishing-attacks-in-office-365/]]|Phishing|
|2019.03.06|Telecompaper|[[Cloud Security Alliance debuts IoT controls framework, accompanying guide|https://www.telecompaper.com/news/cloud-security-alliance-debuts-iot-controls-framework-accompanying-guide--1283523]]|CSA IoT|
|>|!|>||
|2019.03.05|JdN[>img[i/flag_fr.png]]|[[Stratégie cloud first : opportunités et défis|https://www.journaldunet.com/solutions/expert/70693/strategie-cloud-first---opportunites-et-defis.shtml]]|Stratégie|
|2019.03.05|//Microsoft//|![[Microsoft Security Intelligence Report Volume 24|https://info.microsoft.com/ww-landing-M365-SIR-v24-Report-eBook.html]]|Report Attacks|
|2019.03.05|Digitaltrends|↪ [[Microsoft Security reports a massive increase in malicious phishing scams|https://www.digitaltrends.com/computing/microsoft-security-massive-increase-phishing-scams/]]|Reports Attacks|
|2019.03.06|BleepingComputer|↪ [[Microsoft Sees 250% Phishing Increase, Malware Decline by 34%|https://www.bleepingcomputer.com/news/security/microsoft-sees-250-percent-phishing-increase-malware-decline-by-34-percent/]]|Report Attacks|
|2019.03.05|SecurityBoulevard|[[How Large Enterprises are Securing the Cloud [Q&A with Richard Stiennon]|https://securityboulevard.com/2019/03/how-large-enterprises-are-securing-the-cloud-qa-with-richard-stiennon-author-of-secure-cloud-transformation/]]|.|
|2019.03.05|//Security Intelligence//|[[How to Accelerate Your Cloud IAM Adoption|https://securityintelligence.com/how-to-accelerate-your-cloud-iam-adoption/]]|IAM|
|2019.03.05|Infosecurity Magazine|[[https://www.infosecurity-magazine.com/news/csasummit-ten-cloud-1-1-1-1/|#CSASummit: Ten Years of Cloud Brought Risk, Regulations and Reliability]]|CSA Conference|
|2019.03.05|BankInfoSecurity.com|[[Digital Transformation Needs Security Transformation, Too|https://www.bankinfosecurity.com/digital-transformation-needs-security-transformation-too-a-12110]]]|CSA|
|2019.03.05|Xinhua|[[Int’l cybersecurity organization eyes closer cooperation with China|http://www.xinhuanet.com/english/2019-03/05/c_137871421.htm]]|CSA Cooperation|
|>|!|>||
|2019.03.04|Blaze Security|[[Analysing a massive Office 365 phishing campaign|https://bartblaze.blogspot.com/2019/03/analysing-massive-office-365-phishing.html]]|O365 Phishing|
|2019.03.04|HelpNet Security|[[How cloud storage providers can preempt cyber attacks with business continuity|https://www.helpnetsecurity.com/2019/03/04/cloud-storage-providers-business-continuity/]]|BCP|
|2019.03.04|HelpNet Security|↪ [[IT teams are struggling with network infrastructure challenges caused by the cloud|https://www.helpnetsecurity.com/2019/03/04/network-infrastructure-challenges-caused-by-the-cloud/]]|Report|
|2019.03.04|Container Journal|[[New Storage Challenges Emerge as Container Adoption Increases|https://containerjournal.com/2019/03/04/new-storage-challenges-emerge-as-container-adoption-increases-2/]]|Container|
|2019.03.04|CyberArk|![[The Route to Root: Container Escape Using Kernel Exploitation|https://www.cyberark.com/threat-research-blog/the-route-to-root-container-escape-using-kernel-exploitation/]]|Container Vulnerabilities|
|2019.03.04|APWG|[[Phishing Attack Trends Report - 4Q 2018|http://docs.apwg.org/reports/apwg_trends_report_q4_2018.pdf]] (pdf)|Report|
|2019.03.05|HelpNet Security|↪ [[Phishers shift efforts to attack SaaS and webmail services|https://www.helpnetsecurity.com/2019/03/05/apwg-phishing-q4-2018/]]|Report|
|2019.03.06|TEISS|[[Spam-based phishing campaigns declined in 2018 but attacks on SaaS users rose|https://www.teiss.co.uk/threats/phishing-saas-webmail-users/]]|Report|
|2019.03.04|//Trendmicro//|[[A Look Back at the 2018 Security Landscape|https://blog.trendmicro.com/a-look-back-at-the-2018-security-landscape/]]|Report|
|2019.03.04|//Trendmicro//|↪ [[Caught in the Net: Unraveling the Tangle of Old and New Threats|https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/unraveling-the-tangle-of-old-and-new-threats]]([[rapport|https://documents.trendmicro.com/assets/rpt/rpt-unraveling-the-tangle-of-old-and-new-threats.pdf]] pdf)|Report|
|2019.03.04|//Trendmicro//|[[Protecting against the next wave of advanced threats targeting Office 365 – Trend Micro Cloud App Security 2018 detection results and customer examples|https://blog.trendmicro.com/protecting-against-the-next-wave-of-advanced-threats-targeting-office-365-trend-micro-cloud-app-security-2018-detection-results-and-customer-examples/]]|Report|
|2019.03.04|//Trendmicro//|↪ [[Trend Micro Cloud App Security Report 2018: Advanced Defenses for Advanced Email Threats|https://www.trendmicro.com/vinfo/hk-en/security/research-and-analysis/threat-reports/roundup/advanced-defenses-for-advanced-email-threats]]|Report|
|>|!|>||
|2019.03.02|NOZ|[[Bodycam-Bilder auf Amazon-Servern gespeichert|https://www.noz.de/deutschland-welt/politik/artikel/1668207/bodycam-bilder-auf-amazon-servern-gespeichert]]|DataLeak|
|2019.03.04|SecurityAffairs|↪ [[German police storing bodycam footage on Amazon servers|https://securityaffairs.co/wordpress/81935/digital-id/german-police-bodycam-amazon-servers.html]]|DataLeak|
|>|!|>||
|2019.03.01|BetaNews|[[Red Hat teams up with Microsoft, Google Cloud and AWS to launch OperatorHub.io, a registry for finding Kubernetes Operators|https://betanews.com/2019/03/01/red-hat-microsoft-operatorhub-kubernetes-operators/]]|Kubernetes|
|2019.03.01|VMblog|[[Errors to Avoid When Visualizing Your Cloud Infrastructure|http://vmblog.com/archive/2019/03/01/errors-to-avoid-when-visualizing-your-cloud-infrastructure.aspx]]|Inventory|
|2019.03.01|TechRepublic|[[Using your Office 365 Secure Score|https://www.techrepublic.com/article/using-your-office-365-secure-score/#ftag=RSS56d97e7]]|o365|
|2019.03.01|//OVH//|[[Federate your Private Cloud with your Active Directory|https://www.ovh.com/fr/blog/federate-your-private-cloud-with-your-active-directory/]]|Authentication|
|2019.03.01|TechHQ|[[Tread carefully on the cloud with ERP|https://techhq.com/2019/03/tread-carefully-on-the-cloud-with-erp/]]|CSA|
|>|!|>||
|2019.02.11|MITRE CVE|//Opencontainers runc ^^[[CVE-2019-5736|https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736]] Local Command Execution Vulnerability^^//|CVE-2019-5736|
|2019.03.01|//TrendMicro//|↪ [[Exposed Docker Control API and Community Image Abused to Deliver Cryptocurrency-Mining Malware|https://blog.trendmicro.com/trendlabs-security-intelligence/exposed-docker-control-api-and-community-image-abused-to-deliver-cryptocurrency-mining-malware/]]|CVE-2019-5736|
|2019.03.04|//Imperva//|!↪ [[Hundreds of Vulnerable Docker Hosts Exploited by Cryptocurrency Miners|https://www.imperva.com/blog/hundreds-of-vulnerable-docker-hosts-exploited-by-cryptocurrency-miners/]]|CVE-2019-5736|
|2019.03.04|Bleeping Computer|↪ [[Vulnerable Docker Hosts Actively Abused in Cryptojacking Campaigns|https://www.bleepingcomputer.com/news/security/vulnerable-docker-hosts-actively-abused-in-cryptojacking-campaigns/]]|CVE-2019-5736|
|2019.03.04|//Threatpost//|↪ [[Container Escape Hack Targets Vulnerable Linux Kernel|https://threatpost.com/container-escape-hack-targets-vulnerable-linux-kernel/142407/]]|CVE-2019-5736|
|2019.03.05|ZDnet|↪ [[Exposed Docker hosts can be exploited for cryptojacking attacks|https://www.zdnet.com/article/exposed-docker-hosts-can-be-used-in-cryptocurrency-mining/]]|Attack CVE|
|2019.03.05|SecurityAffairs|↪ [[Hundreds of Docker Hosts compromised in cryptojacking campaigns|https://securityaffairs.co/wordpress/81981/hacking/docker-hosts-cryptojacking-campaigns.html]]|CVE-2019-5736|
|2019.03.05|//BSSI//[>img[i/flag_fr.png]]|↪ [[Escape from a Docker container: Explanation of the last patched vulnerability on docker < 18.09.2 (CVE-2019-5736)|https://blog.bssi.fr/escape-from-a-docker-container-explanation-of-the-last-patched-vulnerability-on-docker-18-09-2-cve-2019-5736/]]|CVE-2019-5736|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Mars 2019]]>>
^^À noter : après avoir cliqué sur un onglet, le temps de recherche dans la base peut aller jusqu'à ''2 secondes''^^
<<tiddler fxTag2Tabs with: _VeilleM","201902>>
|!Février|!Sources|!Titres et Liens|!Mots clés|
|2019.02.28|Security Boulevard|[[Cloud Requires a New Approach to Security|https://securityboulevard.com/2019/02/cloud-requires-a-new-approach-to-security/]]|.|
|2019.02.28|//Microsoft//|![[Announcing new cloud-based technology to empower cyber defenders|https://blogs.microsoft.com/blog/2019/02/28/announcing-new-cloud-based-technology-to-empower-cyber-defenders/]]|Azure|
|2019.02.28|//Microsoft//|↪ [[Introducing Microsoft Azure Sentinel, intelligent security analytics for your entire enterprise|https://azure.microsoft.com/en-us/blog/introducing-microsoft-azure-sentinel-intelligent-security-analytics-for-your-entire-enterprise/]]|Azure Manage|
|2019.02.28|Bleeping Computer|↪ [[Microsoft Announces Azure Sentinel and Threat Experts Cloud-Based Tech|https://www.bleepingcomputer.com/news/security/microsoft-announces-azure-sentinel-and-threat-experts-cloud-based-tech/]]|Azure Manage|
|2019.02.28|Security Week|↪ [[Microsoft Unveils New Azure, Windows Defender ATP Tools|https://www.securityweek.com/microsoft-unveils-new-azure-windows-defender-atp-tools]]|Azure Manage|
|2019.02.28|ZDnet|↪ [[Microsoft's new cloud security tools aim to reduce alert fatigue|https://www.zdnet.com/article/microsofts-new-cloud-security-tools-aim-to-reduce-alert-fatigue/]]|Azure Manage|
|2019.02.28|DarkReading|↪ [[Microsoft Debuts Azure Sentinel SIEM, Threat Experts Service|https://www.darkreading.com/cloud/microsoft-debuts-azure-sentinel-siem-threat-experts-service/d/d-id/1334005]]|Azure Manage|
|2019.03.02|StockNews Press|↪ [[Microsoft unveils new cloud-based enterprise security tools|http://stocknewspress.com/2019/03/02/microsoft-unveils-new-cloud-based-enterprise-security-tools.html]]|Azure Manage|
|2019.02.28|RedmondChannel|↪ [[Microsoft Releases Previews for New Cloud Security Services|https://rcpmag.com/blogs/scott-bekker/2019/02/microsoft-new-cloud-security-services.aspx]]|Azure Manage|
|2019.02.28|//Microsoft//|![[Announcing Microsoft Threat Experts|https://www.microsoft.com/security/blog/2019/02/28/announcing-microsoft-threat-experts/]]|Hunt|
|2019.02.28|//DivvyCloud//|[[State of Enterprise Cloud and Container Adoption and Security|https://divvycloud.com/blog/resource/cloudreport2019/]]|Report|
|2019.02.28|//DivvyCloud//|↪ [[2019 State of Enterprise Cloud and Container Adoption and Security Report|https://divvycloud.com/blog/resource/cloudreport2019/]] ([[rapport (pdf)|https://divvycloud.com/wp-content/uploads/2019/02/DivvyCloud-2019-Cloud-Report.pdf]])|Report|
|2019.03.01|VMblog|↪ [[DivvyCloud Releases State of Enterprise Cloud and Container Adoption and Security Report|http://vmblog.com/archive/2019/03/01/divvycloud-releases-state-of-enterprise-cloud-and-container-adoption-and-security-report.aspx]]|Report|
|2019.02.26|//Firemon//|[[FireMon State of Hybrid Cloud Security Survey|https://www.firemon.com/resources/press-releases/firemon-state-of-hybrid-cloud-security-survey/]] ([[rapport|https://www.firemon.com/2019-state-of-hybrid-cloud-security]])|Report|
|2019.03.04|Security Boulevard|↪ [[Survey Finds Greater Appreciation of DevSecOps Value|https://securityboulevard.com/2019/03/survey-finds-greater-appreciation-of-devsecops-value/]]|Report|
|2019.02.26|BetaNews|↪ [[The cloud moves too fast for security say 60 percent of security pros|https://betanews.com/2019/02/26/cloud-too-fast-for-security/]]|Report|
|2019.02.28|HelpNet Security|↪ [[Cloud business initiatives accelerating faster than security teams’ ability to secure them|https://www.helpnetsecurity.com/2019/02/28/cloud-business-initiatives-security/]]|Report|
|2019.03.01|DarkReading|↪ [[Security Pros Agree: Cloud Adoption Outpaces Security|https://www.darkreading.com/cloud/security-pros-agree-cloud-adoption-outpaces-security/d/d-id/1334013]]|Report|
|2019.02.28|//Veriflow//|[[Veriflow-Sponsored Survey Finds 97 Percent of Companies Have Problems with Deploying and Managing Public Clouds|https://www.veriflow.net/press/veriflow-sponsored-survey-finds-97-percent-of-companies-have-problems-with-deploying-and-managing-public-clouds/]] ([[rapport|https://www.veriflow.net/is-the-public-cloud-hiding-business-risk-in-plain-sight/]])|Report|
|2019.02.28|BetaNews|↪ [[97 percent of companies struggle to deploy and manage public clouds|https://betanews.com/2019/02/28/companies-public-cloud-struggle/]]|Report|
|2019.02.28|//Google//|[[Exploring container security: How DroneDeploy achieved ISO-27001 certification on GKE|https://cloud.google.com/blog/products/identity-security/exploring-container-security-how-dronedeploy-achieved-iso-27001-certification-on-gke]]|Container|
|>|!|>||
|2019.02.27|Security Discovery|[[Dow Jones Risk Screening Watchlist Exposed Publicly in a Major Data Breach|https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly/]]|DataLeak|
|2019.02.27|TechCrunch|↪ [[Dow Jones’ watchlist of 2.4 million high-risk individuals has leaked|https://techcrunch.com/2019/02/27/dow-jones-watchlist-leak/]]|DataLeak|
|2019.02.28|Security Week|↪ [[Dow Jones Watchlist Found Exposed to Open Internet|https://www.securityweek.com/dow-jones-watchlist-found-exposed-open-internet]]|DataLeak|
|2019.02.27|Bleeping Computer|[[Outlook and Microsoft Account Phishing Emails Utilize Azure Blob Storage|https://www.bleepingcomputer.com/news/security/outlook-and-microsoft-account-phishing-emails-utilize-azure-blob-storage/]]|Azure Attacks|
|2019.02.27|//Rightscale//|[[Cloud Computing Trends: 2019 State of the Cloud Survey|https://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2019-state-cloud-survey]] ([[rapport|https://info.flexerasoftware.com/SLO-WP-State-of-the-Cloud-2019]])|Report|
|2019.02.27|AWS Insider|↪ [[Cloud Report Sees Microsoft Azure 'Reduce the AWS Lead'|https://awsinsider.net/articles/2019/02/27/cloud-report.aspx]]|Report|
|2019.02.28|Solutions Review|↪ [[Cloud Users Are Wasting 35% of Their Cloud Spending|https://solutionsreview.com/cloud-platforms/cloud-users-are-wasting-35-of-their-cloud-spending/]]|Report|
|2019.03.01|VMblog|↪ [[RightScale 2019 State of the Cloud Report from Flexera Identifies Cloud Adoption Trends|http://vmblog.com/archive/2019/02/27/rightscale-2019-state-of-the-cloud-report-from-flexera-identifies-cloud-adoption-trends.aspx]]|Report|
|2019.02.27|//Optiv Security//|[[Enterprise Attitudes to Cybersecurity|https://www.optiv.com/explore-optiv-insights/downloads/enterprise-attitudes-cybersecurity]] ([[rapport (pdf)|https://www.optiv.com/sites/default/files/2019-02/Optiv%20-%20Final%20UK%20Research%20Report_022719.pdf]])|Report|
|2019.02.28|VMblog|↪ [[Companies Stuck in Continuously Reactive Cybersecurity Response Cycle, Optiv Security Report Finds|http://vmblog.com/archive/2019/02/28/companies-stuck-in-continuously-reactive-cybersecurity-response-cycle-optiv-security-report-finds.aspx]]|Report|
|2019.02.27|//Zscaler//|[[Find out what’s hiding in encrypted traffic|https://info.zscaler.com/whitepaper-ssl-traffic-threats]]|Report|
|2019.02.27|//BusinessWire//|↪ [[Zscaler Releases Semi-Annual Cloud Security Insights Report|https://www.businesswire.com/news/home/20190227005219/en/]]|Report|
|2019.02.27|VMblog|↪ [[Zscaler Releases Semi-Annual Cloud Security Insights Report|http://vmblog.com/archive/2019/02/27/zscaler-releases-semi-annual-cloud-security-insights-report.aspx]]|Report|
|2019.02.27|//Cloudflare//|[[Out of the Clouds and into the weeds: Cloudflare’s approach to abuse in new products|https://blog.cloudflare.com/out-of-the-clouds-and-into-the-weeds-cloudflares-approach-to-abuse-in-new-products/]]|.|
|2019.02.27|//Google//|[[OpenVPN: Enabling access to the corporate network with Cloud Identity credentials|https://cloud.google.com/blog/topics/partners/openvpn-enabling-access-to-the-corporate-network-with-cloud-identity-credentials]]|Identity VPN|
|2019.03.03|GBHackers On Security|↪ [[OpenVPN – Google Cloud Allowing Remote users to Connect to Your Corporate Network & Apps over VPN|https://gbhackers.com/openvpn-google-cloud/]]|Identity VPN|
|2019.02.27|SDxCentral|[[Meta Networks Expands NaaS Software-Defined Perimeter SDxCentral|https://www.sdxcentral.com/articles/news/meta-networks-expands-naas-software-defined-perimeter/2019/02/]]|CSA|
|2019.02.27|StateTech Magazine|[[The Cloud Certifications State and Local Government Employees Need|https://statetechmagazine.com/article/2019/02/cloud-certifications-state-and-local-government-employees-need-perfcon]]|CSA Certification|
|2019.02.27|//Puresec//|[[AWS Security Best Practices for API Gateway|https://www.puresec.io/blog/aws-security-best-practices-for-api-gateway]]|AWS BestPractices|
|>|!|>||
|2019.02.26|//Eclypsium//|![[The Missing Security Primer for Bare Metal Cloud Services|https://eclypsium.com/2019/01/26/the-missing-security-primer-for-bare-metal-cloud-services/]] ([[rapport|https://eclypsium.com/wp-content/uploads/2019/02/The-Missing-Security-Primer-for-Bare-Metal-Cloud-Services.pdf]])|Report CloudBorne|
|2019.02.25|PSIRT IBM|↪ [[Vulnerability involving IBM Cloud Baseboard Management Controller (BMC) Firmware|https://www.ibm.com/blogs/psirt/vulnerability-involving-ibm-cloud-baseboard-management-controller-bmc-firmware/]]|CloudBorne|
|2019.02.26|Security Week|↪ [[Hackers Can Plant Backdoors on Bare Metal Cloud Servers: Researchers|https://www.securityweek.com/hackers-can-plant-backdoors-bare-metal-cloud-servers-researchers]]|CloudBorne|
|2019.02.26|Bleeping Computer|↪ [[Hackers Backdoor Cloud Servers to Attack Future Customers|https://www.bleepingcomputer.com/news/security/hackers-backdoor-cloud-servers-to-attack-future-customers/]]|CloudBorne|
|2019.02.26|Dark Reading|↪ [['Cloudborne': Bare-Metal Cloud Servers Vulnerable to Attack|https://www.darkreading.com/cloud/cloudborne-bare-metal-cloud-servers-vulnerable-to-attack/d/d-id/1333969]]|CloudBorne|
|2019.03.04|//Threatpost//|↪ [[‘Cloudborne’ IaaS Attack Allows Persistent Backdoors in the Cloud|https://threatpost.com/cloudborne-iaas-attack-cloud/142223/]]|CloudBorne|
|2019.02.26|Solutions Review|[[7 Cloud Storage Security Risks You Need to Know About|https://solutionsreview.com/cloud-platforms/7-cloud-storage-security-risks-you-need-to-know-about/]]|Risks|
|2019.02.26|//Talos / Cisco //|[[Cisco Talos Honeypot Analysis Reveals Rise in Attacks on Elasticsearch Clusters|https://blog.talosintelligence.com/2019/02/cisco-talos-honeypot-analysis-reveals.html]]|Attacks|
|2019.02.27|SecurityWeek|↪ [[Elasticsearch Clusters Under Attack From Multiple Hacking Groups|https://www.securityweek.com/elasticsearch-clusters-under-attack-multiple-hacking-groups]]|Attacks|
|2019.02.26|//BusinessWire//|[[NETSCOUT Highlights Dawn of the TerrorBit Era|https://www.businesswire.com/news/home/20190226005707/en/NETSCOUT-Highlights-Dawn-TerrorBit-Era]]|Report|
|2019.02.26|//Netscout//|↪ [[NETSCOUT Threat Intelligence Report - Dawn of the Terrorbit Era|https://www.netscout.com/threatreport/]]|Attacks|
|2019.02.26|//Netscout//|↪ [[NETSCOUT Threat Intelligence Report - Dawn of the Terrorbit Era|https://www.netscout.com/sites/default/files/2019-02/SECR_001_EN-1901%20-%20NETSCOUT%20Threat%20Intelligence%20Report%202H%202018.pdf]] (pdf)|Attacks|
|2019.02.26|//Radware//|[[Mitigating Cloud Attacks With Configuration Hardening|https://blog.radware.com/security/cloudsecurity/2019/02/mitigating-cloud-attacks-with-configuration-hardening/]]|Harden|
|2019.02.28|Cloud Magazine[>img[i/flag_fr.png]]|↪ [[Les fournisseurs de services Cloud sont assaillis de cyberattaques|https://www.cloudmagazine.fr/actualites/les-fournisseurs-de-services-cloud-sont-assaillis-de-cyberattaques-7811]]|Attacks|
|2019.02.28|GlobalSecurityMag[>img[i/flag_fr.png]]|↪ [[Les fournisseurs de services Cloud sont assaillis de cyberattaques|http://www.globalsecuritymag.fr/NETSCOUT-Worldwide-Infrastructure,20190226,84819.html]]|Attacks|
|2019.02.26|Enterprise Digitalization|[[How To Have A Secure Cloud|https://www.enterprisedigi.com/cloud/articles/secure-cloud-transformation]]|Transformation|
|2019.02.26|//JumpCloud//|[[Overview of Azure® Active Directory|https://jumpcloud.com/blog/azure-active-directory-overview/]]|Azure|
|>|!|>||
|2019.02.25|//Cloudflare//|[[Logpush: the Easy Way to Get Your Logs to Your Cloud Storage|https://blog.cloudflare.com/cloudflare-logpush-the-easy-way-to-get-your-logs-to-your-cloud-storage/]]|.|
|>|!|>||
|2019.02.22|Silicon[>img[i/flag_fr.png]]|[[5 points clés pour sécuriser le Cloud hybride|https://www.silicon.fr/avis-expert/5-points-cles-pour-securiser-le-cloud-hybride]]|HybridCloud|
|2019.02.22|//Ikoula//[>img[i/flag_fr.png]]|[[PC personnel vs Cloud : pourquoi un data center protège mieux vos données des malwares|https://www.numerama.com/tech/443336-pc-personnel-vs-cloud-pourquoi-un-data-center-protege-mieux-vos-donnees-des-malwares.html]]|.|
|2019.02.22|TheRegister|[[Trust the public cloud Big Three to make non-volatile storage volatile|https://www.theregister.co.uk/2019/02/22/azure_nvme_flash_drives_hyperv_virtual_machines/]]|Trust|
|>|!|>||
|2019.02.21|NIST|![[SP 1800-4, Mobile Device Security: Cloud and Hybrid Builds|https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security/cloud-hybrid]]|NIST|
|2019.02.22|MeriTalk|↪ [[NIST Release Guidance for Enterprise Mobile Security|https://www.meritalk.com/articles/nist-release-guidance-for-enterprise-mobile-security/]]|NIST|
|2019.02.24|American Security Today|↪ [[NIST Guide to ‘Mobile Device Security: Cloud and Hybrid Builds’ Now Live|https://americansecuritytoday.com/nist-guide-to-mobile-device-security-cloud-and-hybrid-builds-now-live/]]|NIST|
|2019.02.21|Helpnet Security|[[How are businesses facing the cybersecurity challenges of increasing cloud adoption?|https://www.helpnetsecurity.com/2019/02/21/enterprise-cloud-adoption-security/]]|.|
|2019.02.21|Dark Reading|[[Human Negligence to Blame for the Majority of Insider Threats|https://www.darkreading.com/threat-intelligence/human-negligence-to-blame-for-the-majority-of-insider-threats-/d/d-id/1333937]]|.|
|2019.02.21|//Druva//|[[Future Proofing with Cloud Backup|https://www.druva.com/blog/future-proofing-with-cloud-backup/]]|.|
|2019.02.21|//Google//|[[Re-thinking federated identity with the Continuous Access Evaluation Protocol|https://cloud.google.com/blog/products/identity-security/re-thinking-federated-identity-with-the-continuous-access-evaluation-protocol]]|.|
|2019.02.21|ITworld|[[Moving ERP to the cloud? Expect delays|https://www.itworld.com/article/3342616/enterprise-resource-planning/moving-erp-to-the-cloud-expect-delays.html]]|CSA ERP|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Février 2019]]>>
|!Février|!Sources|!Titres et Liens|!Mots clés|
|2019.02.20|Container Journal|[[New Storage Challenges Emerge as Container Adoption Increases|https://containerjournal.com/2019/02/20/new-storage-challenges-emerge-as-container-adoption-increases/]]|.|
|2019.02.20|HelpNet Security|[[Baffle releases a data protection solution for serverless cloud workloads|https://www.helpnetsecurity.com/2019/02/20/baffle-data-protection-solution/]]|.|
|2019.02.20|Tech republic|[[Best practices for handling gaps in cloud security|https://www.techrepublic.com/article/best-practices-for-handling-gaps-in-cloud-security/]]|.|
|2019.02.20|Medium|[[Threat Hunting in the cloud with Azure Notebooks: supercharge your hunting skills using Jupyter and KQL|https://medium.com/@maarten.goet/threat-hunting-in-the-cloud-with-azure-notebooks-supercharge-your-hunting-skills-using-jupyter-8d69218e7ca0]]|.|
|2019.02.20|//Radware//|[[Excessive Permissions are Your #1 Cloud Threat|https://blog.radware.com/applicationdelivery/cloudcomputing/2019/02/excessive-permissions-are-your-1-cloud-threat/]]|Authenticate Protect|
|2019.02.20|FCW|[[DHS looks to overhaul data centers, move to cloud|https://fcw.com/articles/2019/02/20/dhs-cloud-rfi-johnson.aspx]]|.|
|2019.02.20|//Oracle// & //KPMG//|![[Business-Critical Cloud Adoption Growing yet Security Gaps Persist, Report Says|https://www.oracle.com/corporate/pressrelease/threat-report-2019-022019.html]]|.|
|2019.02.20|//Oracle// & //KPMG//|↪ [[Business-Critical Cloud Adoption Growing yet Security Gaps Persist, Report Says|https://www.oracle.com/cloud/cloud-threat-report-2019-form.html]]|.|
|2019.02.20|DarkReading|↪ [[As Businesses Move Critical Data to Cloud, Security Risks Abound|https://www.darkreading.com/cloud/as-businesses-move-critical-data-to-cloud-security-risks-abound/d/d-id/1333924]]|.|
|2019.02.20|Tech republic|↪ [[How to help CISOs understand their role in cloud security|https://www.techrepublic.com/article/how-to-help-cisos-understand-their-role-in-cloud-security/]]|.|
|2019.02.20|Solutions Review|↪ [[Oracle and KMPG Report Cloud Security Confusion for Enterprises|https://solutionsreview.com/cloud-platforms/oracle-and-kmpg-report-cloud-security-confusion-for-enterprises/]]|.|
|2019.02.20|Security Week|↪ [[Firms Moving Sensitive Data to Cloud, But Security Still a Problem: Oracle|https://www.securityweek.com/firms-moving-sensitive-data-cloud-security-still-problem-oracle]]|.|
|2019.02.22|LinkedIn|↪ [[90% of CISOs Struggling with SaaS Security Playbooks, New Report Finds|https://www.linkedin.com/pulse/90-cisos-struggling-saas-security-playbooks-new-report-greg-jensen/]]|.|
|2019.02.20|//Checkpoint//|![[Report: Cloud, Mobile and IoT as Weakest Links|https://blog.checkpoint.com/2019/02/20/report-cloud-mobile-and-iot-as-weakest-links/]]|Report|
|2019.02.21|Cloud Magazine[>img[i/flag_fr.png]]|↪ [[Les déploiements dans le Cloud et sur mobiles sont les maillons les plus faibles des réseaux d'entreprise|https://www.cloudmagazine.fr/actualites/les-deploiements-dans-le-cloud-et-sur-mobiles-sont-les-maillons-les-plus-faibles-des-reseaux-7799]]|Report|
|2019.02.21|Informatique News[>img[i/flag_fr.png]]|↪ [[Cloud, mobile, IoT, cryptomonnaie… vecteurs de menaces|https://www.informatiquenews.fr/cloud-mobile-iot-cryptomonnaie-vecteurs-de-menaces-60443]]|Report|
|2019.02.21|CBR Online|↪ [[1 in 3 IT Professionals Unaware of the Cloud Shared Responsibility Model|https://www.cbronline.com/news/shared-responsibility-model-cloud]]|Report|
|2019.02.20|//Radware//|[[Excessive Permissions are Your #1 Cloud Threat|https://blog.radware.com/applicationdelivery/cloudcomputing/2019/02/excessive-permissions-are-your-1-cloud-threat/]]|.|
|2019.02.20|//Tripwire//|[[AWS System Manager And The Dangers of Default Permissions|https://www.tripwire.com/state-of-security/security-data-protection/cloud/aws-system-manager-default-permissions/]]|.|
|2019.02.20|//Google//|[[Cloud Services Platform -- bringing hybrid cloud to you|https://cloud.google.com/blog/products/gcp/cloud-services-platform-bringing-hybrid-cloud-to-you]]|.|
|2019.02.20|//Dtex//|![[2019 Insider Threat Intelligence Report|https://dtexsystems.com/2019-insider-threat-intelligence-report/]]|Report|
|2019.02.20|BetaNews|↪ [[Employees and contractors expose information online in 98 percent of organizations|https://betanews.com/2019/02/20/employees-contractors-expose-information/]]|Report|
|2019.02.22|Helpnet Security|↪ [[Exposure of sensitive data via cloud applications and services increases 20%|https://www.helpnetsecurity.com/2019/02/22/sensitive-data-in-cloud-applications-and-services/]]|Report|
|>|!|>||
|2019.02.19|Les Echos[>img[i/flag_fr.png]]|[[Opinion - Les plateformes de cloud public ne sont pas étanches !|https://www.lesechos.fr/idees-debats/cercle/cercle-193032-opinion-les-plateformes-de-cloud-public-ne-sont-pas-etanches-2246092.php]]|.|
|2019.02.19|Security Intelligence|[[Lessons from the Encryption Front Line: Core Components in the Cloud|https://securityintelligence.com/lessons-from-the-encryption-front-line-core-components-in-the-cloud/]]|.|
|2019.02.19|eWeek|[[Pulse Secure Adds Software Defined Perimeter to Secure Access Platform|https://www.eweek.com/security/pulse-secure-adds-software-defined-perimeter-to-secure-access-platform]]|.|
|2019.02.19|Container Journal|[[Securing Container Images in the DevOps World|https://containerjournal.com/2019/02/19/securing-container-images-in-the-devops-world/]]|.|
|2019.02.19|BR Online|[[Microsoft Teams Down: Enterprise Software Goes “Oops! Something Went Wrong”|https://www.cbronline.com/news/microsoft-teams-down]]|.|
|2019.02.19|//Outpost24//|[[Top 7 things to get right in hybrid Cloud security|https://outpost24.com/blog/top-7-things-to-get-right-in-hybrid-Cloud-security]]|.|
|2019.02.19|//PaloAlto Networks//|[[Destination Cloud: Start Secure, Stay Secure With the Latest VM-Series Enhancements|https://researchcenter.paloaltonetworks.com/2019/02/destination-cloud-start-secure-stay-secure-latest-vm-series-enhancements/]]|.|
|2019.02.19|//Avanian//|[[The NoRelationship Attack Bypasses Office 365 Email Attachment Security|https://www.avanan.com/resources/the-norelationship-attack-bypasses-office-365]]|.|
|2019.02.19|//TreatStack//|[[How to Identify Threats Within Your Docker Containers|https://www.threatstack.com/blog/how-to-identify-threats-within-your-docker-containers]]|.|
|2019.02.19|//Zscaler//|[[IT administrators must stop hugging appliances and embrace cloud security|https://www.zscaler.com/blogs/corporate/it-administrators-must-stop-hugging-appliances-and-embrace-cloud-security]]|.|
|2019.02.19|//Microsoft Azure//|[[Six tips for securing identity in the cloud|https://blogs.msdn.microsoft.com/azuregov/2019/02/19/six-tips-for-securing-identity-in-the-cloud/]]|.|
|2019.02.19|eWeek|[[Pulse Secure Adds Software Defined Perimeter to Secure Access Platform|https://www.eweek.com/security/pulse-secure-adds-software-defined-perimeter-to-secure-access-platform]]|CSA|
|>|!|>||
|2019.02.18|SBwire|[[Cyber Security Market to Flourish and Reach USD 180.77 Billion in 2021|http://www.sbwire.com/press-releases/cyber-security-market/release-1150259.htm]]|.|
|2019.02.18|BetaNews|[[How enterprises can cut the risk of cloud vendor lock in [Q&A]|https://betanews.com/2019/02/18/enterprise-cloud-vendor-lock-in-qa/]]|.|
|2019.02.18|//BH Consulting//|![[AWS Cloud: Proactive Security and Forensic Readiness – part 5|http://bhconsulting.ie/aws-incident-response/]]|.|
|2019.02.18|//Pika//|[[AWS S3 Batch Operations: Beginner’s Guide|https://medium.com/poka-techblog/aws-s3-batch-operations-beginners-guide-9573017f18db]]|AWS|
|>|!|>||
|2019.02.15|APNIC|![[Reins to the cloud|https://blog.apnic.net/2019/02/15/reins-to-the-cloud/]]|.|
|2019.02.15|Container Journal|[[5 Key Considerations for Managed Kubernetes|https://containerjournal.com/2019/02/15/5-key-considerations-for-managed-kubernetes/]]|.|
|2019.02.15|MIT Tech News|[[Cybersecurity Expert Stiennon’s Latest Book: Secure Cloud Transformation|https://mitechnews.com/cyber-defense/cybersecurity-expert-stiennons-latest-book-secure-cloud-transformation/]]|.|
|2019.02.15|//Divvy//|[[Creating a Cloud Security Strategy with Culture and Technology|https://divvycloud.com/blog/cloud-security-culture-technology/]]|.|
|2019.02.15|//BusinessWire//|[[Global Security as a Service (SaaS) Market Outlook to 2023 - ResearchAndMarkets.com|https://www.businesswire.com/news/home/20190215005358/en/Global-Security-Service-SaaS-Market-Outlook-2023]]|.|
|>|!|>||
|2019.02.14|CSC UK|[[Securing Office 365 with better configuration|https://www.ncsc.gov.uk/blog-post/securing-office-365-better-configuration]]|O365 BestPractices|
|2019.02.14|TechnoFAQ|![[Cloud Computing Business – Automated Cyber Attacks Are The Next Big Threat|https://technofaq.org/posts/2019/02/cloud-computing-business-automated-cyber-attacks-are-the-next-big-threat/]]|.|
|2019.02.14|HelpNet Security|[[Most companies anticipate a critical breach in 2019, CISOs need to prioritize threats|https://www.helpnetsecurity.com/2019/02/14/anticipate-a-critical-breach/]]|.|
|2019.02.14|GigaOM|[[Isn’t It Time to Rethink Your Cloud Strategy?|https://gigaom.com/2019/02/14/isnt-it-time-to-rethink-your-cloud-strategy/]]|.|
|2019.02.14|Solutions Review|[[Cloud Washing: How to Spot It and How to Avoid It|https://solutionsreview.com/cloud-platforms/cloud-washing-how-to-spot-it-and-how-to-avoid-it/]]|.|
|2019.02.14|CIS|![[CIS Controls Companion Guide for the Cloud Now Available|https://www.cisecurity.org/press-release/cis-controls-companion-guide-for-cloud-now-available/]]|.|
|2019.02.14|CIS|↪ [[CIS Controls™ Cloud Companion Guide|https://www.cisecurity.org/white-papers/cis-controls-cloud-companion-guide/]] [[version 7 (pdf)|https://cdn2.hubspot.net/hubfs/2101505/CIS%20Controls%20Cloud%20Companion%20Guide.pdf]]|.|
|2019.02.14|//Armor//|[[Head in the Clouds: Security-as-a-Service|https://www.armor.com/blog/head-clouds-security-service/]]|.|
|2019.02.14|//CloudPassage//|[[Best Practices for Securing Azure Compute|https://blog.cloudpassage.com/2019/02/14/securing-azure-compute/]]|.|
|>|!|>||
|2019.02.13|CloudMagazine[>img[i/flag_fr.png]]|[[Transformation digitale : ne verrouillez pas votre entreprise sur un Cloud|https://www.cloudmagazine.fr/avis-expert/transformation-digitale-ne-verrouillez-pas-votre-entreprise-sur-un-cloud]]|.|
|2019.02.13|Infosec Institute|[[5 Key Cloud Security Use Cases|https://resources.infosecinstitute.com/5-key-cloud-security-use-cases/]]|.|
|2019.02.13|Tech Republic|[[How to create a home office VPN server with Microsoft Azure|https://www.techrepublic.com/article/how-to-create-a-home-office-vpn-server-with-microsoft-azure/]]|.|
|2019.02.13|//Fugue//|[[Automated Remediation Scripts vs. Self-Healing Infrastructure: Two Approaches to Cloud Security|https://www.fugue.co/blog/automated-remediation-scripts-vs.-self-healing-infrastructure-two-approaches-to-cloud-security]]|.|
|2019.02.13|//TrendMicro//|[[The Cloud in 2019: Current Uses and Emerging Risks|https://blog.trendmicro.com/the-cloud-in-2019-current-uses-and-emerging-risks/]]|.|
|>|!|>||
|2019.02.12|CloudMagazine[>img[i/flag_fr.png]]|[[CyberArk publie son nouveau rapport CISO View sur le DevOps|https://www.cloudmagazine.fr/actualites/cyberark-publie-son-nouveau-rapport-ciso-view-sur-le-devops-7781]]|.|
|2019.02.12|MeriTalk|[[Why Cyber Security and Cloud Computing Personnel Should Be BFFs|https://www.meritalk.com/why-cyber-security-and-cloud-computing-personnel-should-be-bffs/]]|.|
|2019.02.12|Security Boulevard|[[DevOps Chat: DisruptOps: SecurityOps, Disrupted – RSAC Edition|https://securityboulevard.com/2019/02/devops-chat-disruptops-securityops-disrupted-rsac-edition/]]|.|
|2019.02.12|TMC News|[[Disaster Recovery as a Service (DRaaS) Market Overview, Growth, Opportunities and Development 2023|https://www.tmcnet.com/usubmit/2019/02/12/8898815.htm]]|.|
|2019.02.12|//ParkMyCloud//|[[The Cloud Waste Killer Manifesto: A Vow To Bring Down Cloud Computing Cost|https://www.parkmycloud.com/blog/cloud-computing-cost/]]|.|
|>|!|>||
|2019.02.11|MITRE CVE|!Opencontainers runc [[CVE-2019-5736|https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736]] Local Command Execution Vulnerability|CVE-2019-5736|
|2019.02.11|Infosecurity Magazine|↪ [[AWS Issues Alert for Multiple Container Systems|https://www.infosecurity-magazine.com/news/aws-issues-alert-for-multiple/]]|CVE-2019-5736|
|2019.02.12|//Threatlist//|[[Major Container Security Flaw Threatens Cascading Attacks|https://threatpost.com/container-security-flaw-runc/141737/]]|CVE-2019-5736|
|2019.02.12|//TrendMicro//|↪ [[Attacking Containers and runC|https://blog.trendmicro.com/attacking-containers-and-runc/]]|CVE-2019-5736|
|2019.02.12|Security Boulevard|↪ [[Container Escape Vulnerability Puts Cloud Infrastructure at Risk|https://securityboulevard.com/2019/02/container-escape-vulnerability-puts-cloud-infrastructure-at-risk/]]|CVE-2019-5736|
|2019.02.12|Security Week|↪ [[Container Escape Flaw Hits AWS, Google Cloud, Linux Distros|https://www.securityweek.com/container-escape-flaw-hits-aws-google-cloud-linux-distros]]|CVE-2019-5736|
|2019.02.19|SecurityWeek|↪ [[Exploit Code Published for Recent Container Escape Vulnerability|https://www.securityweek.com/exploit-code-published-recent-container-escape-vulnerability]]|CVE-2019-5736|
|2019.02.28|PSIRT IBM|↪ [[IBM Cloud Private is affected by an issue with runc used by Docker|https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-cloud-private-is-affected-by-an-issue-with-runc-used-by-docker/]]|CVE-2019-5736|
|2019.02.11|Journal du Net[>img[i/flag_fr.png]]|[[Institutions financières : Protection dans le cloud et déchiffrement HTTPS|https://www.journaldunet.com/solutions/expert/70549/institutions-financieres---protection-dans-le-cloud-et-dechiffrement-https.shtml]]|.|
|2019.02.11|CloudTech|[[How to tackle the multi-cloud security challenge|https://www.cloudcomputing-news.net/news/2019/feb/11/how-tackle-multi-cloud-security-challenge/]]|.|
|2019.02.11|CIS|[[CIS Controls™ Cloud Companion Guide and Public Call for IoT Companion Guide|https://www.cisecurity.org/blog/cis-controls-cloud-companion-guide-public-call-iot-companion-guide/]]|.|
|2019.02.11|Government technology|[[Akron, Ohio, Eyes Move to Cloud-Based System Post-Attack|http://www.govtech.com/computing/Akron-Ohio-Eyes-Move-to-Cloud-Based-System-Post-Attack.html]]|.|
|2019.02.11|IT Brief New Zealand|[[Microsoft launches bot service for healthcare sector|https://itbrief.co.nz/story/microsoft-launches-bot-service-for-healthcare-sector]]|.|
|2019.02.11|//McAfee//|![[The Exploit Model of Serverless Cloud Applications|https://securingtomorrow.mcafee.com/business/cloud-security/the-exploit-model-of-serverless-cloud-applications/]]|.|
|>|!|>||
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Février 2019]]>>
|!Février|!Sources|!Titres et Liens|!Mots clés|
|2019.02.10|Government Technology|[[To Understand IoT Security: Look to the Clouds|http://www.govtech.com/blogs/lohrmann-on-cybersecurity/to-understand-iot-security-look-to-the-clouds.html]]|.|
|2019.02.10|//Firegen Analytics//|![[Mapping of On-Premises Security Controls vs Major Cloud Providers Version 3|http://www.firegenanalytics.com/downloads/mapping_on_prem_cloud_v3.pdf]]|.|
|2019.02.15|Trade Arabia|[[Prioritizing security in a multi-cloud world|http://www.tradearabia.com/news/REAL_350879.html]]|CSA|
|>|!|>||
|2019.02.08|Journal du Net[>img[i/flag_fr.png]]|![[Comment le cloud et la mobilité perturbent 30 ans d'histoire en matière de réseau et de sécurité ?|https://www.journaldunet.com/solutions/expert/70537/comment-le-cloud-et-la-mobilite-perturbent-30-ans-d-histoire-en-matiere-de-reseau-et-de-securite.shtml]]|.|
|2019.02.08|HelpNet Security|[[Infosec pros believe data isn't secure in the cloud, despite desire for mass adoption|https://www.helpnetsecurity.com/2019/02/08/infosec-pros-believe-data-isnt-secure-in-the-cloud/]]|.|
|2019.02.08|ComputerWeekly.com|![[A guide to choosing cloud-based security services|https://www.computerweekly.com/feature/A-guide-to-choosing-cloud-based-security-services]]|.|
|2019.02.08|Tech Republic|[[How to create and deploy a virtual machine in Microsoft Azure|https://www.techrepublic.com/article/how-to-create-and-deploy-a-virtual-machine-in-microsoft-azure/]]|.|
|2019.02.08|//McAfee//|[[Cloud Security Risks– It’s not black and white|https://www.skyhighnetworks.com/cloud-security-blog/cloud-security-risks-its-not-black-and-white/]]|Risks|
|2019.02.08|//Bit Defender//|[[40% of Organizations Will Adopt Biometric SaaS Authentication by 2022, Gartner Predicts|https://businessinsights.bitdefender.com/40-of-organizations-will-adopt-biometric-saas-authentication-by-2022-gartner-predicts]]|.|
|2019.02.08|//PaloAlto Networks//|[[8 AWS Security Best Practices to Mitigate Risk|https://researchcenter.paloaltonetworks.com/2019/02/8-aws-security-best-practices-mitigate-risk/]]|AWS BestPractices|
|>|!|>||
|2019.02.07|Journal du Net[>img[i/flag_fr.png]]|[[Cloud : stockage, confidentialité et sécurité|https://www.journaldunet.com/solutions/expert/70530/cloud---stockage--confidentialite-et-securite.shtml]]|.|
|2019.02.07|The Straits Times|[[Japan government plans to strengthen cyber defences by certifying cloud storage services|https://www.straitstimes.com/asia/east-asia/japan-government-plans-to-strengthen-cyber-attack-defences-by-certifying-cloud]]|.|
|2019.02.07|//Blackblaze//|[[What’s the Diff: Hot and Cold Data Storage|https://www.backblaze.com/blog/whats-the-diff-hot-and-cold-data-storage/]]|.|
|2019.02.07|//Google Cloud//|[[Exploring container security: Encrypting Kubernetes secrets with Cloud KMS|https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-encrypting-kubernetes-secrets-with-cloud-kms]]|.|
|2019.02.07|//Security Intelligence//|[[Moving to the Hybrid Cloud? Make Sure It’s Secure by Design|https://securityintelligence.com/moving-to-the-hybrid-cloud-make-sure-its-secure-by-design/]]|.|
|2019.02.07|//PaloAlto Networks//|[[8 AWS Security Best Practices to Mitigate Risk|https://researchcenter.paloaltonetworks.com/2019/02/8-aws-security-best-practices-mitigate-risk/]]|.|
|>|!|>||
|2019.02.06|Visma|![[Intelligence report recognises Visma’s contribution to illuminate threats and protect organisations from cyberespionage|https://www.visma.com/press-releases/intelligence-report-visma/]]|Attacks APT|
|2019.02.06|Reuters|↪ [[China hacked Norway's Visma to steal client secrets: investigators|https://www.reuters.com/article/us-china-cyber-norway-visma/china-hacked-norways-visma-to-steal-client-secrets-investigators-idUSKCN1PV141]]|Attacks APT|
|2019.02.06|//RecordedFuture//|!↪ [[APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign|https://www.recordedfuture.com/apt10-cyberespionage-campaign/]]|Attacks APT|
|2019.02.06|//RecordedFuture//|↪ [[APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign|https://go.recordedfuture.com/hubfs/reports/cta-2019-0206.pdf]] (pdf)|Attacks APT|
|2019.02.06|//RecordedFuture//|↪ [[Appendix A -- Indicators of Compromise|https://go.recordedfuture.com/hubfs/reports/cta-2018-0206-iocs.csv]] (.csv)|Attacks APT|
|2019.02.06|//RecordedFuture//|↪ [[Appendix C -- Yara Rules|https://go.recordedfuture.com/hubfs/reports/cta-2019-0206-yara-rules.yar]] (.yar)|Attacks APT|
|2019.02.06|//RecordedFuture//|↪ [[Appendix E -- MITRE ATT&CK Mapping|https://go.recordedfuture.com/hubfs/mitre-attack-mapping.pdf]] (pdf)|Attacks APT|
|2019.02.06|SecurityWeek|↪ [[Chinese Hackers Spy on U.S. Law Firm, Major Norwegian MSP|https://www.securityweek.com/chinese-hackers-spy-us-law-firm-major-norwegian-msp]]|Attacks APT|
|2019.02.06|NordicNews|↪ [[Intelligence report recognises threats from cyberespionage|https://nnews.no/intelligence-report-recognises-threats-from-cyberespionage/]]|Attacks APT|
|2019.02.07|Siècle Digital|↪ [[La Chine aurait hacké le groupe norvégien Visma pour voler des informations clients|https://siecledigital.fr/2019/02/07/la-chine-aurait-hacke-le-groupe-norvegien-visma-pour-voler-des-informations-clients/]]|Attacks APT|
|2019.02.11|TechHQ|↪ [[What can we learn from Visma’s cybersecurity breach?|https://techhq.com/2019/02/what-can-we-learn-from-vismas-cybersecurity-breach/]]|Attacks APT|
|2019.02.12|Duo|!↪ [[APT Groups Moving Down the Supply Chain|https://duo.com/decipher/apt-groups-moving-down-the-supply-chain]]|Attacks APT|
|2019.02.20|Security Week|↪ [[Supply Chain Attacks Nearly Doubled in 2018: Symantec|https://www.securityweek.com/supply-chain-attacks-nearly-doubled-2018-symantec]]|Attacks APT|
|2019.02.21|//ESET//|↪ [[Criminal hacking hits Managed Service Providers: Reasons and responses|https://www.welivesecurity.com/2019/02/19/criminal-hacking-hits-managed-service-providers-reasons-responses/]]|Attacks APT|
|2019.02.06|//Microsoft//|![[Azure Stack datacenter integration - Publish endpoints|https://docs.microsoft.com/en-us/azure/azure-stack/azure-stack-integrate-endpoints]]|Harden|
|2019.02.06|BusinessWire|[[New Report Reveals IT and Cybersecurity Leaders Are Not Confident In Their Organizations’ Ability To Protect Data In The Cloud|https://www.businesswire.com/news/home/20190206005412/en/New-Report-Reveals-Cybersecurity-Leaders-Confident-Organizations%E2%80%99]]|Report|
|2019.02.06|//Digital Guardian//|↪ [[ESG Report - Trends in Cloud Data Security: The Data Perimeter of Hybrid Clouds|https://info.digitalguardian.com/analyst-report-esg-2019-trends-in-cloud-security.html]]|Report|
|2019.02.06|//Fugue//|[[Cloud Infrastructure Drift: The Good, the Bad, and The Ugly|https://www.fugue.co/blog/cloud-infrastructure-drift-the-good-the-bad-and-the-ugly]]|Architecture|
|2019.02.06|ComputerWeekly.com|[[What is CIO best practice when it comes to cloud security?|https://www.computerweekly.com/news/252457129/What-is-CIO-best-practice-when-it-comes-to-cloud-security]]|Governance|
|2019.02.06|Security Boulevard|[[Kick-start your cloud security: The Facts (Infographic)|https://securityboulevard.com/2019/02/kick-start-your-cloud-security-the-facts-infographic/]]|.|
|2019.02.06|BetaNews|[[Failover clustering in the Azure cloud: Understanding the options|https://betanews.com/2019/02/06/failover-clustering-in-the-azure-cloud/]]|Azure|
|2019.02.06|eWeek|[[Google Set to Advance Confidential Computing With Asylo Project|https://www.eweek.com/cloud/google-set-to-advance-confidential-computing-with-asylo-project]]|.|
|2019.02.06|//FireOaks Strategies//|[[Automate the Creation and Export of EC2 Volume Images (3/3)|https://fireoakstrategies.com/automate-the-creation-and-export-of-ec2-volume-images/]]|.|
|2019.02.06|//ThreatStack//|[[21 Developers & Docker Experts Reveal the Biggest Mistakes People Make When Switching to Docker Containers|https://www.threatstack.com/blog/21-developers-docker-experts-reveal-the-biggest-mistakes-people-make-when-switching-to-docker-containers]]|.|
|>|!|>||
|2019.02.05|Le Devoir[>img[i/flag_fr.png]]|[[Québec confiera le stockage de ses données informatiques au privé|https://www.ledevoir.com/politique/quebec/547082/quebec-confiera-le-stockage-de-ses-donnees-informatiques-au-prive]]|.|
|2019.02.05|DarkReading|[[Mitigating the Security Risks of Cloud-Native Applications|https://www.darkreading.com/cloud/mitigating-the-security-risks-of-cloud-native-applications/a/d-id/1333773]]|.|
|2019.02.05|InfoWorld|[[The cloud’s weakest security links aren’t where you're looking|https://www.infoworld.com/article/3331363/cloud-migration-checklist-the-3-key-areas-to-focus-on.html]]|.|
|2019.02.05|TEISS|![[How to secure your move to the multi-cloud|https://www.teiss.co.uk/process/how-to-secure-your-move-to-the-multi-cloud/]]|.|
|2019.02.05|CNCF|[[How Uber Monitors 4,000 Microservices|https://www.cncf.io/blog/2019/02/05/how-uber-monitors-4000-microservices/]]|.|
|2019.02.05|//Blackblaze//|[[How Cloud-Based MAMs Can Make End-to-End Cloud Workflows a Reality|https://www.backblaze.com/blog/how-to-migrate-mam-to-cloud/]]|.|
|2019.02.05|//Microsoft Azure//|[[Best practices to consider before deploying a network virtual appliance|https://azure.microsoft.com/en-us/blog/best-practices-to-consider-before-deploying-a-network-virtual-appliance/]]|.|
|2019.02.05|//SSH.com//|[[5 ways to bypass PAM|https://blog.ssh.com/5-ways-to-bypass-pam]]|.|
|2019.02.05|//PaloAlto Networks//|[[The Hole in Your Container Security Strategy|https://researchcenter.paloaltonetworks.com/2019/02/the-hole-in-your-container-security-strategy/]]|.|
|>|!|>||
|2019.02.04|DarkReading|[[IoT Security's Coming of Age Is Overdue|https://www.darkreading.com/attacks-breaches/iot-securitys-coming-of-age-is-overdue/a/d-id/1333756]]|.|
|2019.02.04|//Summit Route//|![[Lateral movement between AWS accounts - Abusing trust relationships|https://summitroute.com/blog/2019/02/04/lateral_movement_abusing_trust/]]|.|
|2019.02.04|DarkReading|[[Researchers Devise New Method of Intrusion Deception for SDN|https://www.darkreading.com/cloud/researchers-devise-new-method-of-intrusion-deception-for-sdn/d/d-id/1333781]]|.|
|2019.02.04|DevOps.com|![[Cloud Waste To Hit Over $14 Billion in 2019|https://devops.com/cloud-waste-to-hit-over-14-billion-in-2019/]]|.|
|2019.02.04|Inside Cybersecurity|[[Former BSI official DiMaria gears up to promote Cloud Security Alliance’s STAR program|https://insidecybersecurity.com/daily-news/former-bsi-official-dimaria-gears-promote-cloud-security-alliances-star-program]]|.|
|2019.02.04|New Gen Apps|[[5 Big Data and Cloud Security concerns to watch out for in 2019|https://www.newgenapps.com/blog/5-big-data-and-cloud-security-concerns-in-2019]]|.|
|2019.02.04|Solutions Reviews|[[Container Security: 4 Basic Principles You Should Follow|https://solutionsreview.com/cloud-platforms/container-security-4-basic-principles-you-should-follow/]]|.|
|>|!|>||
|2019.02.03|//CloudSploit//|[[The Need for Security-Specific Applications|https://blog.cloudsploit.com/the-need-for-security-specific-applications-da87f22d6f3e]]|.|
|>|!|>||
|2019.02.01|Inside Cybersecurity|[[Cloud security group calls for clarity in GDPR guidance on requirements, role of regulators|https://insidecybersecurity.com/daily-news/cloud-security-group-calls-clarity-gdpr-guidance-requirements-role-regulators]]|.|
|2019.02.01|HelpNet Security|[[Safeguarding your data from human error and phishing attacks with the cloud|https://www.helpnetsecurity.com/2019/02/01/safeguarding-your-data-from-human-error/]] (3/3)|Misc|
|2019.02.01|Security Boulevard|[[Sensitive Data is Safer in the Cloud|https://securityboulevard.com/2019/02/sensitive-data-is-safer-in-the-cloud/]]|.|
|>|!|>||
|2019.02|ResearchGate|![[Security validation testing environment in the cloud|https://www.researchgate.net/publication/331233683_Security_validation_testing_environment_in_the_cloud]]|Test|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Février 2019]]>>
^^À noter : après avoir cliqué sur un onglet, le temps de recherche dans la base peut aller jusqu'à ''2 secondes''^^
<<tiddler fxTag2Tabs with: _VeilleM","201901>>
|!Janvier|!Sources|!Titres et Liens|!Mots clés|
|2019.01.31|//AlienVault//|[[APT10 Group Targets Multiple Sectors, But Seems to Really Love MSSPs|https://www.alienvault.com/blogs/security-essentials/apt10-group-targets-multiple-sectors-but-seems-to-really-love-mssps]]|Attacks APT|
|2019.01.31|DevOps.com|[[Salt Security Unveils Platform to Secure APIs|https://devops.com/salt-security-unveils-platform-to-secure-apis/]]|.|
|>|!|>||
|2019.01.30|Bobsguide|[[Banks must decompose legacy “ball of mud” to grab cloud opportunity|https://www.bobsguide.com/guide/news/2019/Jan/30/banks-must-decompose-legacy-ball-of-mud-to-grab-cloud-opportunity/]]|.|
|2019.01.30|Security Boulevard|[[Software Defined Perimeter – a Modern VPN with Traditional Challenges|https://securityboulevard.com/2019/01/software-defined-perimeter-a-modern-vpn-with-traditional-challenges/]]|.|
|2019.01.30|DarkReading|[[Rubrik Data Leak is Another Cloud Misconfiguration Horror Story|https://www.darkreading.com/cloud/rubrik-data-leak-is-another-cloud-misconfiguration-horror-story/d/d-id/1333767]]|.|
|2019.01.30|CloudTech|[[Understanding Kubernetes today: Misconceptions, challenges and opportunities|https://www.cloudcomputing-news.net/news/2019/jan/30/understanding-kubernetes-today-misconceptions-challenges-and-opportunities/]]|.|
|2019.01.30|//Fugue//|[[Top Tips for Preventing Cloud Misconfiguration|https://www.fugue.co/blog/top-tips-for-preventing-cloud-misconfiguration]]|BestPractices|
|>|!|>||
|2019.01.29|//Microsoft Azure//|[[Azure Site Recovery: Disaster Recovery as a Service (DRaaS) for Azure, by Azure|https://azure.microsoft.com/en-us/blog/azure-site-recovery-disaster-recovery-as-service-for-azure/]]|.|
|2019.01.29|Info Security Newspaper|[[Microsoft 365 service error causes Outlook and Exchange disruption|https://www.securitynewspaper.com/2019/01/29/microsoft-365-service-error-causes-outlook-and-exchange-disruption/]]|.|
|>|!|>||
|2019.01.28|Tech Republic|[[How to become a cloud engineer: A cheat sheet|https://www.techrepublic.com/article/how-to-become-a-cloud-engineer-a-cheat-sheet/]]|.|
|2019.01.28|//Blackblaze//|[[What’s the Diff: DAM vs MAM|https://www.backblaze.com/blog/whats-the-diff-dam-vs-mam/]]|.|
|>|!|>||
|2019.01.26|//NCC Group//|[[Xendbg: A Full-Featured Debugger for the Xen Hypervisor|https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2019/january/xendbg-a-full-featured-debugger-for-the-xen-hypervisor/]]|.|
|>|!|>||
|2019.01.25|CloudMagazine[>img[i/flag_fr.png]]|[[IoT : quand le constructeur ferme, tout ferme !|https://www.cloudmagazine.fr/actualites/iot-quand-le-constructeur-ferme-tout-ferme-7745]]|.|
|2019.01.25|ComputerWeekly|[[A cloud compliance checklist for the GDPR age|https://www.computerweekly.com/feature/A-cloud-compliance-checklist-for-the-GDPR-age]]|.|
|2019.01.25|HelpNet Security|[[Vulnerable cloud infrastructure experiencing increasing attacks|https://www.helpnetsecurity.com/2019/01/25/cloud-infrastructure-attacks/]]|.|
|2019.01.25|TechnoFAQ|[[Top Trends in Cloud Security to Look Out in 2019|https://technofaq.org/posts/2019/01/top-trends-in-cloud-security-to-look-out-in-2019/]]|.|
|2019.01.25|CloudTech|[[Exploring specific security pain points with enterprise cloud adoption|https://www.cloudcomputing-news.net/news/2019/jan/25/exploring-specific-security-pain-points-enterprise-cloud-adoption/]]|.|
|2019.01.25|CBR Online|[[Microsoft Office 365 Outage: Day Two as Enterprise User Grumbles Grow|https://www.cbronline.com/news/microsoft-office-365-outage]]|.|
|2019.01.25|//ThreatStack//|[[50+ Best Cloud and Cloud Security Certifications|https://www.threatstack.com/blog/50-best-cloud-and-cloud-security-certifications]]|.|
|>|!|>||
|2019.01.24|CBR Online|[[Microsoft Office 365 Down (Again): Mailbox Database Infrastructure Blamed|https://www.cbronline.com/news/microsoft-office-365-down]]|.|
|2019.01.24|CloudTech|[[Do cryptographic keys belong in the cloud?|https://www.cloudcomputing-news.net/news/2019/jan/24/do-cryptographic-keys-belong-cloud/]]|.|
|2019.01.24|//Netskope//|[[Targeted Attacks Abusing Google Cloud Platform Open Redirection|https://www.netskope.com/blog/targeted-attacks-abusing-google-cloud-platform-open-redirection]]|.|
|2019.01.24|//Securonix//|[[Detecting Persistent Cloud Infrastructure/Hadoop/YARN Attacks Using Security Analytics: Moanacroner, XBash, and Others|https://www.securonix.com/securonix-threat-research-detecting-persistent-cloud-infrastructure-hadoop-yarn-attacks-using-security-analytics-moanacroner-xbash-and-others/]]|.|
|2019.01.24|BetaNews|↪ [[Automated attacks target cloud infrastructure|https://betanews.com/2019/01/24/automated-attacks-cloud-infrastructure/]]|Report Attacks|
|2019.01.24|//Lacework//|[[Your etcd is Showing: Thousands of Clusters Open to the Internet|https://www.lacework.com/etcd-thousands-of-clusters-open/]]|.|
|2019.01.24|//Puresec//|![[Serverless & The Evolution In Cloud Security, FaaS vs. IaaS|https://www.puresec.io/blog/serverless-and-the-evolution-in-cloud-security]]|Serverless|
|>|!|>||
|2019.01.23|//Oodrive//[>img[i/flag_fr.png]]|[[SecNumCloud : la qualification des prestataires de services Cloud de confiance|https://www.oodrive.fr/blog/securite/secnumcloud-la-qualification-des-prestataires-de-services-cloud-de-confiance/]]|.|
|2019.01.23|ZDnet|[[Australian government gives Amazon Web Services protected level certification|https://www.zdnet.com/article/australian-government-gives-amazon-web-services-protected-level-certification/]]|AWS Compliance|
|2019.01.23|OnLine Theat|[[The "Microsoft Office 365 Recovery Details Threat" Phishing Scam|https://www.onlinethreatalerts.com/article/2019/1/23/the-microsoft-office-365-recovery-details-threat-phishing-scam/]]|Attacks|
|2019.01.23|//Armor//|[[Armor Detects and Neutralizes 681 Million Cyberattacks Launched at its Cloud Customers in 2018|https://www.armor.com/threat-intelligence/armor-detects-neutralizes-cyberattacks/]]|Report Attacks|
|2019.01.24|DarkReading|↪ ![[Cloud Customers Faced 681M Cyberattacks in 2018|https://www.darkreading.com/attacks-breaches/cloud-customers-faced-681m-cyberattacks-in-2018/d/d-id/1333721]]|Report Attacks|
|2019.01.23|//Alcide//|[[Breaching the Cyber Defenses of Cloud Deployments with DNS Tunneling|https://blog.alcide.io/breaching-the-cyber-defenses-of-cloud-deployments-with-dns-tunneling]]|.|
|2019.01.30|//Fugue//|[[The Shared Responsibility Model and How it Affects Your Cloud Security|https://www.fugue.co/blog/the-shared-responsibility-model-and-how-it-affects-cloud-security]]|BestPractices|
|>|!|>||
|2019.01.22|//Blackblaze//|[[Backblaze Hard Drive Stats for 2018|https://www.backblaze.com/blog/hard-drive-stats-for-2018/]]|.|
|2019.01.22|//MacAfee//|[[When Sharing isn’t Caring – Secure Your Cloud Collaboration|https://www.skyhighnetworks.com/cloud-security-blog/when-sharing-isnt-caring-secure-your-cloud-collaboration/]]|.|
|>|!|>||
|2019.01.21|HelpNet Security|[[Beware the man in the cloud: How to protect against a new breed of cyberattack|https://www.helpnetsecurity.com/2019/01/21/mitc-attack/]]|Attacks|
|2019.01.21|ZDnet|[[Online casino group leaks information on 108 million bets, including user details|https://www.zdnet.com/article/online-casino-group-leaks-information-on-108-million-bets-including-user-details/]]|DataLeak|
|2019.01.21|//Zscaler//|[[Using SDP as an alternative to VPN: 6 questions admins often ask|https://www.zscaler.com/blogs/corporate/using-sdp-alternative-vpn-6-questions-admins-often-ask]]|SDP|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Janvier 2019]]>>
|2019.01.18|HelpNet Security|[[Protecting privileged access in DevOps and cloud environments|https://www.helpnetsecurity.com/2019/01/18/protecting-privileged-access/]]|.|
|2019.01.18|DarkReading|[[8 Tips for Monitoring Cloud Security|https://www.darkreading.com/threat-intelligence/8-tips-for-monitoring-cloud-security/d/d-id/1333666]]|.|
|>|!|>||
|2019.01.17|Les Echos[>img[i/flag_fr.png]]|[[Cloud hybride : la sécurité en question|https://www.lesechos.fr/idees-debats/cercle/cercle-191176-opinion-cloud-hybride-la-securite-en-question-2237111.php]]|HybridCloud|
|2019.01.17|CESIN [>img[i/flag_fr.png]]|[[4ème édition du baromètre annuel du CESIN - Analyse exclusive de la cybersécurité des grandes entreprises françaises|https://www.cesin.fr/actu-4eme-edition-du-barometre-annuel-du-cesin.html]]|.|
|2019.01.22|SD-Magazine[>img[i/flag_fr.png]]|![[Disponibilité des services Cloud : le Cesin met en garde les dirigeants d’entreprises et prône la cyber-résilience|https://sd-magazine.com/securite-numerique-cybersecurite/disponibilite-des-services-cloud-le-cesin-met-en-garde-les-dirigeants-dentreprises-et-prone-la-cyber-resilience]]|.|
|2019.01.30|InformatiqueNews[>img[i/flag_fr.png]]|[[Le CESIN prône la cyber-résilience|https://www.informatiquenews.fr/le-cesin-prone-la-cyber-resilience-60032]]|Resilience|
|2019.02.26|CloudComputing.FR[>img[i/flag_fr.png]]|↪ [[Cloud : le Cesin met en garde les dirigeants d'entreprises|https://www.cloudmagazine.fr/actualites/cloud-le-cesin-met-en-garde-les-dirigeants-dentreprises-7803]]|.|
|2019.01.17|Solutions Review|[[The Top 6 Cloud Security Vendors to Watch in 2019|https://solutionsreview.com/cloud-platforms/the-top-6-cloud-security-vendors-to-watch-in-2019/]]|.|
|2019.01.17|Continuity Central|[[Cyber security incidents and misconceptions both increase as critical ERP systems migrate to the cloud|https://www.continuitycentral.com/index.php/news/technology/3640-cyber-security-incidents-and-misconceptions-both-increase-as-critical-erp-systems-migrate-to-the-cloud]]|.|
|2019.01.17|eWeek|[[Report Looks at Security Misconceptions of Moving ERP to Cloud|https://www.eweek.com/security/report-looks-at-security-misconceptions-of-moving-erp-to-cloud]]|Report|
|2019.01.17|cloudTech|[[Enterprises more confident with cloud than ever – but still concern over security issues|https://www.cloudcomputing-news.net/news/2019/jan/17/enterprises-more-confident-cloud-ever-still-concern-over-security-issues/]]|.|
|2019.01.14|//Threatpost//|[[Cryptomining Malware Uninstalls Cloud Security Products|https://threatpost.com/cryptomining-malware-uninstalls-cloud-security-products/140959/]]|.|
|2019.01.17|//ParkMyCloud//|[[Cloud Container Services Comparison|https://www.parkmycloud.com/blog/cloud-container-services-comparison/]]|Containers|
|2019.01.17|//Palo Alto//|[[Malware Used by “Rocke” Group Evolves to Evade Detection by Cloud Security Products|https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/]]|.|
|2019.01.17|CloudTech|[[Enterprises more confident with cloud than ever – but still concern over security issues|https://www.cloudcomputing-news.net/news/2019/jan/17/enterprises-more-confident-cloud-ever-still-concern-over-security-issues/]]|.|
|2019.01.17|//Microsoft//|[[Microsoft Azure DevOps Bounty Program|https://www.microsoft.com/en-us/msrc/bounty-azure-devops]]|Azure|
|2019.01.17|//Microsoft//|↪ [[Announcing the Microsoft Azure DevOps Bounty program|https://blogs.technet.microsoft.com/msrc/2019/01/17/azure-devops-bounty-program/]]|Azure|
|2019.01.17|CBR Online|↪ [[Microsoft Bug Bounty Programme Expands to Azure DevOps|https://www.cbronline.com/news/microsoft-bug-bounty]]|Azure|
|2019.01.17|DarkReading|↪ [[Microsoft Launches New Azure DevOps Bug Bounty Program|https://www.darkreading.com/vulnerabilities-and-threats/microsoft-launches-new-azure-devops-bug-bounty-program/d/d-id/1333678]]|Azure|
|>|!|>||
|2019.01.16|InfoWorld|[[ERP cloud migration and its complexities|https://techhq.com/2019/01/erp-cloud-migration-and-its-complexities/]]|.|
|2019.01.16|UberKnowledge|[[Communities, GDPR Opportunities and Security in IoT|https://www.uberknowledge.com/jim-reavis-ceo-and-co-founder-of-cloud-security-alliance/]]|.|
|2019.01.16|TheLastWatchdog|[[What your company should know about addressing Kubernetes security|https://www.lastwatchdog.com/guest-essay-what-all-companies-should-know-about-securing-kubernetes/]]|Kubernetes|
|2019.01.16|//ThreatStack//|![[AWS Security Readiness Checklist|https://www.threatstack.com/blog/aws-security-readiness-checklist]]|AWS|
|2019.01.16|//Simlane//|[[New year, new security - Part 2: Cloud computing use cases|https://swimlane.com/blog/new-year-new-security-cloud/]]|.|
|>|!|>||
|2019.01.15|ZDNet.fr[>img[i/flag_fr.png]]|[[5 priorités à observer pour bien choisir et déployer son offre de services cloud|https://www.zdnet.fr/actualites/5-priorites-a-observer-pour-bien-choisir-et-deployer-son-offre-de-services-cloud-39879293.htm]]|.|
|2019.01.15|Solutions Review|[[Gartner’s 2019 Magic Quadrant for Cloud Management Platforms: Key Takeaways|https://solutionsreview.com/cloud-platforms/gartners-2019-magic-quadrant-for-cloud-management-platforms-key-takeaways/]]|.|
|2019.01.15|InfoWorld|[[What you must know about moving ERP to the cloud|https://www.infoworld.com/article/3332926/cloud-computing/what-you-must-know-about-moving-erp-to-the-cloud.html]]|.|
|2019.01.15|Medium|[[Securing Kubernetes on Microsoft Azure: are your container doors wide open?|https://medium.com/@maarten.goet/securing-kubernetes-on-microsoft-azure-are-your-container-doors-wide-open-bb6e879cec5d]]|Azure Kubernetes|
|2019.01.15|BW BusinessWorld|[[Cybersecurity Incidents and Misconceptions Increase as Critical ERP Systems Migrate to Clouds|http://bwcio.businessworld.in/article/Cybersecurity-Incidents-and-Misconceptions-Increase-as-Critical-ERP-Systems-Migrate-to-Clouds/15-01-2019-166127]]|Incidents ERP|
|>|!|>||
|2019.01.14|IoT Innovator|[[Cloud Security Alliance Study Reveals Rise in Cybersecurity Incidents and Misconceptions as Critical ERP Systems Migrate to Clouds|http://iotinnovator.com/cloud-security-alliance-study-reveals-rise-in-cybersecurity-incidents-and-misconceptions-as-critical-erp-systems-migrate-to-clouds/]]|Incidents ERP|
|2019.01.14|//BitDefender//|![[Container Security Incidents to Rise in 2019 as Companies Knowingly Deploy Vulnerable Containers|https://businessinsights.bitdefender.com/container-security-incidents-to-rise-in-2019-as-companies-knowingly-deploy-vulnerable-containers]]|Report Container|
|2019.01.14|Security Week|[[Security Expectations and Mis-Conceptions in Migrating ERP to the Cloud|https://www.securityweek.com/security-expectations-and-mis-conceptions-migrating-erp-cloud]]|ERP|
|2019.01.14|HelpNet Security|[[Most organizations are migrating data for ERP apps to the cloud|https://www.helpnetsecurity.com/2019/01/14/migrating-data-for-erp-apps-to-the-cloud/]]|ERP|
|2019.01.14|Diginomica|[[Cloud ERP taking off but confusion persists around security and control topics|https://diginomica.com/2019/01/14/cloud-erp-taking-off-but-confusion-persists-around-security-and-control-topics/]]|.|
|2019.01.14|Health Data Mgmt|[[How to address the skills gap in cloud security|https://www.healthdatamanagement.com/opinion/addressing-the-skills-gap-in-cloud-security-professionals]]|.|
|2019.01.14|Cloud Tech|[[Cloud Security Alliance: Cloud ERP making waves but caution persists around security|https://www.cloudcomputing-news.net/news/2019/jan/14/cloud-security-alliance-cloud-erp-making-waves-caution-persists-around-security/]]|.|
|2019.01.14|TechBizWeb|[[Security Expectations and Mis-Conceptions in Migrating ERP to the Cloud|https://techbizweb.com/security-expectations-and-mis-conceptions-in-migrating-erp-to-the-cloud/]]|.|
|2019.01.14|//Threatpost//|[[Hack Allows Escape of Play-with-Docker Containers|https://threatpost.com/hack-allows-escape-of-play-with-docker-containers/140831/]]|Docker|
|2019.01.14|//FireOaks//|[[Is it time to ‘spin down’ some of your virtual machines?|https://fireoakstrategies.com/virtual-machine-retirement-time/]]|.|
|>|!|>||
|2019.01.12|Security Affairs|[[Z-WASP attack: hackers used Zero-Width spaces to bypass Office 365 protections |https://securityaffairs.co/wordpress/79791/hacking/z-wasp-attack-phishing.html]]|.|
|>|!|>||
|2019.01.11|CSA|[[New Cloud Security Alliance Study Finds Cybersecurity Incidents and Misconceptions Both Increase as Critical ERP Systems Migrate to Clouds|https://cloudsecurityalliance.fr/go/j1bc/]] ([[rapport|https://cloudsecurityalliance.fr/go/j1bt/]])|Misc|
|2019.01.11|ITworld|↪ [[Moving ERP to the cloud? Expect delays|https://www.itworld.com/article/3342616/moving-erp-to-the-cloud-expect-delays.html]]|.|
|2019.01.11|DevOps|[[New Cloud Security Alliance Study Finds Cybersecurity Incidents and Misconceptions Both Increase as Critical ERP Systems Migrate to Clouds|https://devops.com/new-cloud-security-alliance-study-finds-cybersecurity-incidents-and-misconceptions-both-increase-as-critical-erp-systems-migrate-to-clouds/]]|.|
|2019.01.11|Politico|[[Incoming NASS leader rejects Democrats’ election security bill|https://www.politico.com/newsletters/morning-cybersecurity/2019/01/11/incoming-nass-leader-rejects-democrats-election-security-bill-476912]]|.|
|2019.01.11|Health Data Mgmt|[[Concern for security of data in the cloud worries IT execs|https://www.healthdatamanagement.com/news/concern-for-security-of-data-in-the-cloud-worries-it-execs]]|.|
|2019.01.11|eWeek|[[The Security Challenges of Moving ERP to the Cloud|http://www.eweek.com/security/the-security-challenges-of-moving-erp-to-the-cloud]]|.|
|2019.01.11|Dark Reading|[[Who Takes Responsibility for Cyberattacks in the Cloud?|https://www.darkreading.com/vulnerabilities---threats/who-takes-responsibility-for-cyberattacks-in-the-cloud/d/d-id/1333637]]|.|
|2019.01.11|Tech Republic|[[69% of enterprises moving business-critical applications to the cloud|https://www.techrepublic.com/article/69-of-enterprises-moving-business-critical-applications-to-the-cloud/]]|.|
|2019.01.11|//McAfee//|[[The Shifting Risk Profile in Serverless Architecture|https://securingtomorrow.mcafee.com/business/cloud-security/the-shifting-risk-profile-in-serverless-architecture/]]|Serverless|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Janvier 2019]]>>
|!Janvier|!Sources|!Titres et Liens|!Mots clés|
|2019.01.10|eSecurity Planet|[[7 Tips for Container and Kubernetes Security|https://www.esecurityplanet.com/applications/tips-for-container-and-kubernetes-security.html]]|Container Kubernetes|
|2019.01.10|Tech Target|[[What is a software-defined perimeter, and do I need it?|https://searchnetworking.techtarget.com/answer/What-is-a-software-defined-perimeter-and-do-I-need-it]]|.|
|2019.01.10|CBR Online|[[Azure Storage, Virtual Machines, API Apps Drop Offline in the South UK|https://www.cbronline.com/news/azure-uk-outage]]|Outage|
|2019.01.10|//Divvy//|[[Securing Your Microsoft Azure Environment|https://divvycloud.com/blog/securing-microsoft-azure-environment/]]|Azure|
|2019.01.10|//BitDefender//|[[Hybrid Clouds Bring New Complexities - and Security Risks|https://businessinsights.bitdefender.com/hybrid-clouds-bring-new-complexities-and-security-risks]]|.|
|>|!|>||
|2019.01.09|DarkReading|[[Security at the Speed of DevOps: Maturity, Orchestration, and Detection|https://www.darkreading.com/vulnerabilities---threats/security-at-the-speed-of-devops-maturity-orchestration-and-detection/a/d-id/1333583]]|DevOps|
|2019.01.09|ContainerJournal|![[Effective Container Security Requires a Holistic View|https://containerjournal.com/2019/01/09/effective-container-security-requires-a-holistic-view/]]|.|
|2019.01.09|//Avanian//|[[Z-WASP Vulnerability Used to Phish Office 365 and ATP|https://www.avanan.com/resources/zwasp-microsoft-office-365-phishing-vulnerability]]|.|
|>|!|>||
|2019.01.08|HostingAdvice|[[Solving Tomorrow’s Problems Today: How the Cloud Security Alliance is Furthering Best Practices in Cloud Computing|https://www.hostingadvice.com/blog/cloud-security-alliance-delivers-best-practices-in-cloud-computing/]]|.|
|2019.01.08|CoudTech|[[Four cloud security predictions for 2019: Containerisation, load balancers, and more|https://www.cloudcomputing-news.net/news/2019/jan/08/four-cloud-security-predictions-2019-containerisation-load-balancers-and-more/]]|.|
|2019.01.08|Security Boulevard|[[Moving to a Cloud Service? Don’t Ditch Your Security Pros|https://securityboulevard.com/2019/01/moving-to-a-cloud-service-dont-ditch-your-security-pros/]]|.|
|2019.01.08|TechnoFAQ|[[How Cloud Computing and Data Protection Saves Your Business Data?|https://technofaq.org/posts/2019/01/how-cloud-computing-and-data-protection-saves-your-business-data/]]|.|
|2019.01.08|//LastLine//|[[Cloud Data Security – 5 Attacks to Watch for in 2019|https://www.lastline.com/blog/cloud-data-security-5-attacks-to-watch-for-in-2019/]]|.|
|>|!|>||
|2019.01.07|SecurityBoulevard|[[Adapting Security Response for Cloud Workloads|https://securityboulevard.com/2019/01/adapting-security-response-for-cloud-workloads/]]|.|
|2019.01.07|AWS Insider|[[2018 Ends with One More AWS Exposed Data Mishap|https://awsinsider.net/articles/2019/01/07/security-mishap.aspx]]|.|
|2019.01.07|//AlienVault//|[[Security Issues and Monitoring in AWS (2/4): Data Exfiltration in AWS|https://www.alienvault.com/blogs/security-essentials/data-exfiltration-in-aws-part-2-of-series]]|.|
|2019.01.07|//Tripwire//|![[60% of Organizations Suffered a Container Security Incident in 2018, Finds Study|https://www.tripwire.com/state-of-security/devops/organizations-container-security-incident/]] et le [[rapport (pdf)|https://www.tripwire.com/solutions/devops/tripwire-dimensional-research-state-of-container-security-report/]]|Rapport Containers|
|2019.01.07|//BusinessWire//|![[Tripwire Study: 60 Percent of Organizations Experienced Container Security Incidents in 2018|https://www.businesswire.com/news/home/20190107005045/en/Tripwire-Study-60-Percent-Organizations-Experienced-Container]]|Report containers|
|2019.01.07|//Threatpost//|↪ [[ThreatList: Container Security Lags Amidst DevOps Enthusiasm|https://threatpost.com/threatlist-container-security/140614/]]|Report|
|2019.01.07|//Gartner//|[[G00369275: Magic Quadrant for Cloud Management Platforms|https://www.gartner.com/doc/3897466]]|Report Manage|
|2019.01.07|//Gartner//|[[G00369278: Critical Capabilities for Cloud Management Platforms|https://www.gartner.com/doc/3897663/critical-capabilities-cloud-management-platforms]]|Report Manage|
|2019.02.22|Solutions Review|↪ [[2019 Gartner Critical Capabilities for Cloud Management Platforms: Key Takeaways|https://solutionsreview.com/cloud-platforms/2019-gartner-critical-capabilities-for-cloud-management-platforms-key-takeaways/]]|.|
|>|!|>||
|2019.01.04|//Microsoft//|[[Contextualizing Attacker Activity within Sessions in Exchange Online|https://blogs.technet.microsoft.com/exchange/2019/01/04/contextualizing-attacker-activity-within-sessions-in-exchange-online/]]|Detect|
|2019.01.07|RedmondChannel|[[Microsoft Adds Attack-Detection Capability to Exchange Online|https://rcpmag.com/articles/2019/01/07/attack-detection-exchange-online.aspx]]|Detect|
|2019.01.04|Security Boulevard|[[Kick-start your cloud security: your complete guide to cybersecurity|https://securityboulevard.com/2019/01/kick-start-your-cloud-security-your-complete-guide-to-cybersecurity/]]|.|
|2019.01.04|Security Boulevard|[[E-Discovery in Cloud Initiating New Compliance and Security Issues|https://securityboulevard.com/2019/01/adapting-security-response-for-cloud-workloads/]]|eDiscovery|
|2019.01.04|Security Boulevard|[[E-Discovery in Cloud: Security Issue and Compliance Gaps|https://securityboulevard.com/2019/01/e-discovery-in-cloud-security-issue-and-compliance-gaps/]]|eDiscovery|
|>|!|>||
|2019.01.03|Tech Republic|[[Security is the no. 1 IT barrier to cloud and SaaS adoption|https://www.techrepublic.com/article/security-is-the-no-1-it-barrier-to-cloud-and-saas-adoption/]]|.|
|2019.01.03|//ParkMycloud//|[[$14.1 Billion in Cloud Spending to be Wasted in 2019|https://www.parkmycloud.com/blog/cloud-spending/]]|.|
|2019.01.03|//ThreatStack//|[[Docker Security Tips & Best Practices|https://www.threatstack.com/blog/docker-security-tips-best-practices]]|.|
|>|!|>||
|2019.01.02|CloudMagazine[>img[i/flag_fr.png]]|[[Nouvelles priorités en matière de cybersécurité La sécurité du cloud deviendra rapidement la priorité n°1 des responsables informatiques|https://www.cloudmagazine.fr/actualites/nouvelles-priorites-en-matiere-de-cybersecurite-la-securite-du-cloud-deviendra-rapidement-la-7700]]|.|
|2019.01.02|KrebsOnSecurity|[[Cloud Hosting Provider DataResolution.net Battling Christmas Eve Ransomware Attack|https://krebsonsecurity.com/2019/01/cloud-hosting-provider-dataresolution-net-battling-christmas-eve-ransomware-attack/]]|Attacks|
|2019.01.04|Info Security Newspaper|↪ [[Cloud service provider’s servers infected with ransomware|https://www.securitynewspaper.com/2019/01/04/cloud-service-providers-servers-infected-with-ransomware/]]|Attacks|
|2019.01.04|Security Week|↪ [[Ransomware Attack Against Hosting Provider Confirms MSPs Are Prime Targets|https://www.securityweek.com/ransomware-attack-against-hosting-provider-confirms-msps-are-prime-targets]]|Attacks|
|2019.01.08|MalwareBytes|↪ [[Ryuk ransomware attacks businesses over the holidays|https://blog.malwarebytes.com/cybercrime/malware/2019/01/ryuk-ransomware-attacks-businesses-over-the-holidays/]]|Attacks|
|2019.01.02|ContainerJournal|[[Using Crypto Anchors to Thwart Container Security Breaches|https://containerjournal.com/2019/01/02/using-crypto-anchors-to-thwart-container-security-breaches/]]|.|
|2019.01.02|CBR Online|[[Containers, Culture, and Real Digital Transformation Goals|https://www.cbronline.com/opinion/containerisation-digital-transformation]]|.|
|2019.01.02|//MacAfee//|[[Cloud Computing Security Risks Breakdown|https://www.skyhighnetworks.com/cloud-security-blog/cloud-computing-security-risks-breakdown/]] ([[rapport|https://info.skyhighnetworks.com/WPCloudAdoptionRiskReport2019_BannerCloud-MFE.html]]))|Report Risks|
|>|!|>||
|2019.01.01|Network Computing|[[7 out of 10 businesses moving more to the cloud despite security fears|http://www.btc.co.uk/Articles/index.php?mag=Networking&page=compDetails&link=9333]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Janvier 2019]]>>

Voir les [[archives de la Veille Web|Veille.201x.Archives]]

<<tiddler f1Tag2Tabs with: _Veille1x>>
<<tiddler f1Tag2Tabs with: _Veille18>>
|!Décembre|!Sources|!Titres et Liens|!Mots clés|
|2018.12.28|Dark Reading|[[Start Preparing Now for the Post-Quantum Future|https://www.darkreading.com/perimeter/start-preparing-now-for-the-post-quantum-future/a/d-id/1333517]]|.|
|2018.12.28|ContainerJournal|[[Best of 2018: Top 9 Kubernetes Settings You Should Check to Optimize Security|https://containerjournal.com/2018/12/28/top-9-kubernetes-settings-you-should-check-to-optimize-security/]]|.|
|>|!|>||
|2018.12.27|GlobalSecurityMag[>img[i/flag_fr.png]]|[[La disponibilité est un outil essentiel pour les fournisseurs de services cloud|http://www.globalsecuritymag.fr/La-disponibilite-est-un-outil,20181227,83147.html]]|.|
|2018.12.27|//Cyware//|[[Hackers using Google Cloud to hack into banks and financial firms in the US and UK |https://cyware.com/news/hackers-using-google-cloud-to-hack-into-banks-and-financial-firms-in-the-us-and-uk-c93f8542/]]|.|
|2018.12.27|BetaNews|[[The elements of cybersecurity hygiene and secure networks (2/2)|https://betanews.com/2018/12/27/the-elements-of-cybersecurity-hygiene-and-secure-networks-part-2/]]|.|
|>|!|>||
|2018.12.26|Acumin|[[12 Days of Christmas- Day 2 – Top LinkedIn Groups for Cyber Security|https://www.acumin.co.uk/news/12-days-of-christmas-day-2-top-linkedin-groups-for-cyber-security/4992/]]|.|
|>|!|>||
|2018.12.21|BleepingComputer|[[Historic APT10 Cyber Espionage Group Breached Systems in Over 12 Countries|https://www.bleepingcomputer.com/news/security/historic-apt10-cyber-espionage-group-breached-systems-in-over-12-countries/]]|Attacks APT|
|2018.12.21|ZDnet[>img[i/flag_fr.png]]|[[Un quart des données des entreprise désormais dans le cloud|https://www.zdnet.fr/actualites/un-quart-des-donnees-des-entreprise-desormais-dans-le-cloud-39878421.htm]]|Report|
|2018.12.21|//Lacework//|[[Is Your Cloud Giving or Receiving This Holiday Season?|https://www.lacework.com/cloud-security-holiday/]]|.|
|>|!|>||
|2018.12.20|CBR Online|[[Cloud Predictions: What Industry Thinks for 2019|https://www.cbronline.com/opinion/industry-cloud-predictions]]|Predictions|
|2018.12.20|Wired|[[How China’s Elite Hackers Stole the World’s Most Valuable Secrets|https://www.wired.com/story/doj-indictment-chinese-hackers-apt10/]]|Attacks APT|
|2018.12.20|//Lacework//|[[My Mom is Sick and Tired of Your Weak S3 Bucket Policies|https://www.lacework.com/my-mom-is-sick-and-tired-of-your-weak-s3-bucket-policies/]]|.|
|>|!|>||
|2018.12.19|Globb Security[>img[i/flag_fr.png]]|[[Voici les tendances de la cybersécurité en 2019|http://globbsecurity.fr/voici-les-tendances-la-cybersecurite-2019-45011/]]|.|
|2018.12.19|Security Week|[[Cybercriminals Host Malicious Payloads on Google Cloud Storage|https://www.securityweek.com/cybercriminals-host-malicious-payloads-google-cloud-storage]]|.|
|2018.12.19|TechRepublic|[[Attackers are using cloud services to mask attack origin and build false trust|https://www.techrepublic.com/article/attackers-are-using-cloud-services-to-mask-attack-origin-and-build-false-trust/]]|.|
|2018.12.19|Infosec Institute|[[Deep Packet Inspection in the Cloud|https://resources.infosecinstitute.com/deep-packet-inspection-in-the-cloud/]]|.|
|2018.12.19|ZDnet|[[This business email scam spreads Trojans through Google Cloud storage|https://www.zdnet.com/article/this-business-email-scam-spreads-trojans-through-google-cloud-storage/]]|Attacks|
|2018.12.19|//Menlo Security//|[[A "JAR" Full of Problems for Financial Services Companies|https://www.menlosecurity.com/blog/a-jar-full-of-problems-for-financial-services-companies]]|.|
|2019.12.27|GBHackers on Security|↪ [[Hackers Host Malicious payloads on Google Cloud Storage to Bypass Security System|https://gbhackers.com/google-cloud-storage/]]|Attcks GCP|
|2019.12.19|//Security Intelligence//|[[Enterprise Security: Cloud-y With a Chance of Data Breaches|https://securityintelligence.com/cloud-security-with-a-chance-of-data-breaches/]]|DataLeak Monitor|
|2018.12.19|//Google Cloud//|[[Exploring container security: Let Google do the patching with new managed base images|https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-let-google-do-the-patching-with-new-managed-base-images]]|.|
|2018.12.19|//Netskope//|[[Top 6 Questions to Ask Your Cloud DLP Vendor: Protecting Sensitive|https://www.netskope.com/blog/cloud-dlp-vendor-question-1-sensitive-data]]|.|
|>|!|>||
|2018.12.18|CoinDesk|[[Amazon Plays Its Own Game with Enterprise Blockchain|https://www.coindesk.com/amazon-plays-its-own-game-with-enterprise-blockchain]]|.|
|2018.12.18|HelpNet Security|[[Warding off security vulnerabilities with centralized data|https://www.helpnetsecurity.com/2018/12/18/warding-off-security-vulnerabilities/]] (2/3)|Misc|
|2018.12.18|//Puresec//|[[OWASP 'ServerlessGoat': A Vulnerable Demo Serverless Application|https://www.puresec.io/blog/serverless-goat-launch]]|Serveless Test|
|>|!|>||
|2018.12.17|//SummitRoute//|![[flAWS 2 challenge|https://summitroute.com/blog/2018/12/07/flaws2/]]|.|
|2018.12.17|//StackRox//|[[6 Container Security Best Practices You Should Be Following|https://www.stackrox.com/post/2018/12/6-container-security-best-practices-you-should-be-following/]]|.|
|>|!|>||
|2018.12.14|Security Boulevard|![[What is Cloud Workload Security?|https://securityboulevard.com/2018/12/what-is-cloud-workload-security/12/]]|.|
|2018.12.14|Inverse|[[Tech Predictions 2019: Microsoft’s xCloud Blows Away PlayStation Now|https://www.inverse.com/article/51636-microsoft-s-xcloud-launches-and-it-blows-away-playstation-now]]|Prediction|
|2018.12.14|//Cyren//|![[Office 365 Top Brand Targeted by Phishing Kits in 2018|https://www.cyren.com/blog/articles/phishing-as-a-service-comes-of-age]]|Attacks|
|2018.12.21|Security Week|↪ [[Office 365, Outlook Credentials Most Targeted by Phishing Kits|https://www.securityweek.com/office-365-outlook-credentials-most-targeted-phishing-kits]]|Attacks|
|>|!|>||
|2018.12.13|SANS ISC|![[Phishing Attack Through Non-Delivery Notification|https://isc.sans.edu/forums/diary/Phishing+Attack+Through+NonDelivery+Notification/24412/]]|O365 Phishing|
|2018.12.17|//Tripwire//|↪ [[Office 365 Phishing Attack Using Fake Non-Delivery Notifications|https://www.tripwire.com/state-of-security/security-awareness/office-365-phishing-attack-using-fake-non-delivery-notifications/]]|O365 Phishing|
|2018.12.13|//Fugue//|[[Automated Remediation for Cloud Misconfiguration: Three Different Approaches|https://www.fugue.co/blog/automated-remediation-for-cloud-misconfiguration-three-different-approaches]]|BestPractices|
|2018.12.13|//Security Intelligence//|[[Overcoming the Cloud Security Compliance Conundrum|https://securityintelligence.com/overcoming-the-cloud-security-compliance-conundrum/]]|.|
|2018.12.13|//UpGuard//|[[Black Box, Red Disk: How Top Secret NSA and Army Data Leaked Online|https://www.upguard.com/breaches/cloud-leak-inscom]]|.|
|2018.12.13|//Zscaler//|[[2019 Will See Cybercriminals Eye Opportunities in Cryptocurrency and IoT to Launch Their Attacks|https://www.zscaler.com/blogs/research/2019-will-see-cybercriminals-eye-opportunities-cryptocurrency-and-iot-launch-their-attacks]]|Predictions|
|>|!|>||
|2018.12.12|TheStreet|[[How Microsoft Got Its Groove Back, Surpassing Apple and Amazon in Market Cap|https://www.thestreet.com/technology/microsoft-most-valuable-public-company-again-14807944]]|.|
|2018.12.12|BetaNews|[[The elements of cybersecurity hygiene and secure networks (1/2)|https://betanews.com/2018/12/12/elements-of-cybersecurity-hygienethe-fundamentals-of-network-security/]]|.|
|2018.12.12|//Security Intelligence//|[[Continuous Compliance Eases Cloud Adoption for Financial Services Firms|https://securityintelligence.com/continuous-compliance-eases-cloud-adoption-for-financial-services-firms/]]|.|
|>|!|>||
|2019.12.11|DarkReading|[[49% of Cloud Databases Left Unencrypted|https://www.darkreading.com/perimeter/49--of-cloud-databases-left-unencrypted/d/d-id/1333462]]|.|
|2018.12.11|//Palo Alto//|![[Unit 42 Cloud Security Trends and Tips|https://unit42.paloaltonetworks.com/unit-42-cloud-security-trends-tips/]]|.|
|2018.12.11|ContainerJournal|[[The Ultimate Guide to Container Security|https://containerjournal.com/2018/12/11/the-ultimate-guide-to-container-security/]]|.|
|2018.12.11|Medium|![[Securing your Azure environment: what can we learn from the Marriott hack?|https://medium.com/@maarten.goet/securing-your-azure-environment-what-can-we-learn-from-the-marriott-hack-64707eb9b020]]|.|
|>|!|>||
|2018.12.10|//Alcide//|[[How to Improve Your Kubernetes Security?|https://blog.alcide.io/kubernetes-security]]|.|
|2019.12.10|//FireEye//|[[Take Control of Cloud-Based Email Security with Smart Custom Rules|https://www.fireeye.com/blog/products-and-services/2018/12/take-control-of-cloud-based-email-security-with-smart-custom-rules.html]]|Protect|
|2019.12.10|//Microsoft//|[[Updates to Azure AD Terms of Use functionality within conditional access|https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Updates-to-Azure-AD-Terms-of-Use-functionality-within/ba-p/294822]]|ActiveDirectory|
|2018.12.10|//Google Cloud//|[[Exploring container security: How containers enable passive patching and a better model for supply chain security|https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-how-containers-enable-passive-patching-and-a-better-model-for-supply-chain-security]]|.|
|2018.12.10|//Google Cloud//|[[Exploring container security: This year, it’s all about security. Again|https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-this-year-its-all-about-security-again]]|.|
|>|!|>||
|2018.12.09|Forbes|[[IOT & VPN Trends To Look Forward To In 2019 For Both Enterprises & Average Web Users|https://www.forbes.com/sites/maciejduraj/2018/12/09/iot-vpn-trends-to-look-forward-to-in-2019-for-both-enterprises-average-web-users/#7dc99d6d6e92]]|.|
|>|!|>||
|2018.12.07|Globb Security[>img[i/flag_fr.png]]|[[Sécurité Cloud: voici les 12 menaces à ne pas oublier|http://globbsecurity.fr/securite-cloud-voici-les-12-menaces-ne-pas-oublier-44635/]]|.|
|>|!|>||
|2018.12.06|AWS Insider|[[New AWS Security Hub Shows Alerts, Compliance Info|https://awsinsider.net/articles/2018/12/06/security-hub.aspx]]|.|
|2018.12.06|//Blackblaze//|[[Breaking the Cycle of Archive Migrations With B2 Cloud Storage|https://www.backblaze.com/blog/cloud-data-archiving/]]|.|
|2018.12.06|//McAfee//|[[Extending Security to the Public Cloud is the Easy Part|https://securingtomorrow.mcafee.com/business/extending-security-to-the-public-cloud-is-the-easy-part/]]|.|
|>|!|>||
|2018.12.05|//Microsoft//|[[Azure Container Service Will Retire on January 31, 2020|https://azure.microsoft.com/en-us/updates/azure-container-service-will-retire-on-january-31-2020/]]|Azure Container|
|2018.12.14|Recdmond Channel|↪ [[Microsoft Dropping Azure Container Service in 2020|https://rcpmag.com/articles/2018/12/14/microsoft-dropping-azure-container-service.aspx]]|Azure Container|
|2018.12.05|CBR Online|[[Google to Amazon: We’ll See Your Security Hub and Raise You a Command Centre|https://www.cbronline.com/news/google-cloud-security]]|.|
|2018.12.05|//Threatpost//|[[Kubernetes Flaw is a “Huge Deal,” Lays Open Cloud Deployments|https://threatpost.com/kubernetes-flaw-is-a-huge-deal-lays-open-cloud-deployments/139636/]]|Kubernetes|
|2018.12.14|//Lacework//|↪ [[Kubernetes CVE-2018-1002105|https://www.lacework.com/kubernetes-vulnerability/]]|CVE Kubernetes|
|2018.12.05|//Google//|[[Cloud Security Command Center is now in beta and ready to use|https://cloud.google.com/blog/products/identity-security/cloud-security-command-center-is-now-in-beta]]|GCP Monitor|
|2018.12.05|//Alcide//|[[The Evolution of Serverless (1/2): From Containers to Functions|https://blog.alcide.io/the-evolution-of-serverless-from-microservices-to-containers-to-functions-part-1-0]]|.|
|>|!|>||
|2018.12.04|Techrati|[[Kubernetes security flaw allows hackers to infiltrate backend servers|https://techerati.com/the-stack-archive/cloud/2018/12/04/kubernetes-security-flaw-allows-hackers-to-infiltrate-backend-servers/]]|.|
|2018.12.04|//Blackblaze//|[[LTO Versus Cloud Storage Costs - the Math Revealed|https://www.backblaze.com/blog/lto-versus-cloud-storage/]] ([[tableur|https://f001.backblazeb2.com/file/Backblaze_Blog/Backblaze-LTO-Calculator-Public-Nov2018.xlsx]])|Misc|
|2018.12.04|//Portworx//|[[2018 Annual Container Adoption Survey|https://portworx.com/wp-content/uploads/2018/12/Portworx-Container-Adoption-Survey-Report-2018.pdf]] (pdf)|Misc|
|2018.12.03|SecurityWeek|↪ [[Elasticsearch Instances Expose Data of 82 Million U.S. Users|https://www.securityweek.com/elasticsearch-instances-expose-data-82-million-us-users]]|.|
|2018.12.04|//Fugue//|[[Why the Time Has Come to Address Cloud Misconfiguration with Automated Remediation|https://www.fugue.co/blog/why-the-time-has-come-to-address-cloud-misconfiguration-with-automated-remediation]]|BestPractices|
|>|!|>||
|2018.12.03|HSJ|[[Supplier faces 'big penalties' after huge NHS email shutdown|https://www.hsj.co.uk/technology-and-innovation/exclusive-supplier-faces-big-penalties-after-huge-nhs-email-shutdown/7023950.article]]|Outage|
|2018.12.04|HSJ|↪ [[NHS Email Suffers Complete Outage: Accenture Facing Heavy Fines|https://www.cbronline.com/news/nhs-email-outage]]|Outage|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Décembre 2018]]>>
|!Novembre|!Sources|!Titres et Liens|!Mots clés|
|2018.11.30|HelpNet Security|[[The fundamentals of network security and cybersecurity hygiene|https://www.helpnetsecurity.com/2018/11/30/cybersecurity-hygiene/]] (1/3)|Misc|
|2018.11.30|Infosec Institute|[[Honeypots in the Cloud|https://resources.infosecinstitute.com/honeypots-in-the-cloud/]]|.|
|>|!|>||
|2018.11.28|CIS|[[Using a Hardened Container Image for Secure Applications in the Cloud|https://www.cisecurity.org/blog/using-hardened-container-image-secure-applications-cloud/]]|Container|
|2018.11.28|CBR Online|![[Did Amazon Just Kill Tape Storage?|https://www.cbronline.com/news/glacier-deep-archive]]|Storage|
|2018.11.28|CBR Online|[[Deja Vu All Over Again: Microsoft in Fresh MFA Meltdown|https://www.cbronline.com/news/microsoft-mfa-meltdown]]|Outage|
|2018.11.28|Netflix|[[Netflix Information Security: Preventing Credential Compromise in AWS|https://medium.com/netflix-techblog/netflix-information-security-preventing-credential-compromise-in-aws-41b112c15179]]|AWS Netflix|
|2018.11.28|//UpGuard//|![[S3 Security Is Flawed By Design|https://www.upguard.com/blog/s3-security-is-flawed-by-design]]|.|
|2018.11.28|//AlienVault//|[[Security Issues and Monitoring in AWS (1/4): IAM and Common Abuses in AWS|https://www.alienvault.com/blogs/security-essentials/iam-and-common-abuses-in-aws]]|AWS Monitor|
|2018.11.28|//HackenProof//|[[New Data Breach exposes 57 million records|https://blog.hackenproof.com/industry-news/new-data-breach-exposes-57-million-records/]]|DataLeak|
|2018.11.28|//Threatpost//|[[Leaky AWS Storage Bucket Spills Military Secrets, Again|https://threatpost.com/leaky-aws-storage-bucket-spills-military-secrets-again/129021/]]|DataLeak AWS|
|>|!|>||
|2018.11.27|The Register|[[Microsoft reveals terrible trio of bugs that knocked out Azure, Office 362.5 multi-factor auth logins for 14 hours|https://www.theregister.co.uk/2018/11/27/microsoft_azure_outage_postmortem/]]|Outage|
|2018.11.27|AWS Insider|[[AWS Adds Options To Move Data to Its Cloud|https://awsinsider.net/articles/2018/11/27/aws-adds-data-transfer-options.aspx]]|AWS|
|2018.11.27|//Blackblaze//|[[What’s the Diff: NAS vs SAN|https://www.backblaze.com/blog/whats-the-diff-nas-vs-san/]]|.|
|2018.11.27|//Zscaler//|[[Three reasons why SDP is replacing the VPN|https://www.zscaler.com/blogs/corporate/three-reasons-why-sdp-replacing-vpn]]|SDP|
|>|!|>||
|2018.11.26|Security Boulevard|[[Building a Multi-Cloud Strategy? Be Sure to Address the Security and Management Challenges|https://securityboulevard.com/2018/11/building-a-multi-cloud-strategy-be-sure-to-address-the-security-and-management-challenges/]]|.|
|>|!|>||
|2018.11.23|//Threatpost//|[[ThreatList: One-Third of Firms Say Their Container Security Lags|https://threatpost.com/threatlist-container-security-lagging/139304/]]|Container|
|>|!|>||
|2018.11.22|//StackRox//|[[Must-Have Capabilities When Evaluating Container Security Solutions|https://www.stackrox.com/post/2019/01/must-have-capabilities-when-evaluating-container-security-solutions/]]|.|
|>|!|>||
|2018.11.21|IT Business Edge|[[ERP Faces New Security Threats|https://www.itbusinessedge.com/blogs/infrastructure/erp-faces-new-security-threats.html]]|.|
|2018.11.21|Infosec Institute|[[Developments Around Cloud TAP Capability|https://resources.infosecinstitute.com/developments-around-cloud-tap-capability/]]|.|
|2018.11.21|//Lacework//|[[Next Generation Firewall is Your Grandfather’s Generation in the Cloud|https://www.lacework.com/next-generation-firewall-your-grandfathers-cloud/]]|.|
|>|!|>||
|2018.11.20|CIS|[[New CIS Benchmark for Google Cloud Computing Platform|https://www.cisecurity.org/blog/new-cis-benchmark-for-google-cloud-computing-platform/]]|Google|
|>|!|>||
|2018.11.19|Host Review|[[Cloud Security Alliance’s CCSK Wins Cyber Defense Global Award for Leader Cybersecurity Training|https://www.hostreview.com/news/181119-cloud-security-alliances-ccsk-wins-cyber-defense-global-award-for-leader-cybersecurity-training]]|.|
|2018.11.19|CBR Online|![[Azure Down, Office 365 Down: Users “Reaching for Torches and Pitchforks”|https://www.cbronline.com/news/azure-down-office-355-down]]|Outage|
|2018.11.19|The Register|[[Microsoft confirms: We fixed Azure by turning it off and on again. PS: Office 362 is still borked|https://www.theregister.co.uk/2018/11/19/microsoft_azure_office_outage_latest/]]|Outage|
|2018.11.20|CBR Online|↪ [[Redis Overload to Blame for 17-Hour Azure MFA Login Crisis|https://www.cbronline.com/news/azure-mfa-redis]]|Outage|
|2018.11.19|CBR Online|[[Cloudy, with a Chance of Overspend|https://www.cbronline.com/feature/cloud-overspend-survey]]|.|
|>|!|>||
|2018.11.16|InfoSec Institut|[[The Cloud Browser|https://resources.infosecinstitute.com/the-cloud-browser/]]|.|
|2018.11.16|//Kromtech//|[[Australian Broadcasting Corporation Exposed Sensitive Data Online|https://kromtech.com/blog/security-center/australian-broadcasting-corporation-exposed-sensitive-data-online]]|.|
|2018.11.16|AWS Insider|[[AWS Adds Controls To Block Public Access to S3|https://awsinsider.net/articles/2018/11/16/aws-public-access-to-s3.aspx]]|.|
|2018.11.16|//Nutanix//|[[Enterprise Cloud Index - 2018 Edition|https://www.nutanix.com/enterprise-cloud-index/docs/enterprise-cloud-index.pdf]] (pdf)|Misc|
|>|!|>||
|2018.11.15|TechRepublic|[[The top 5 myths about cloud-based security|https://www.techrepublic.com/article/the-top-5-myths-about-cloud-based-security/]]|.|
|2018.11.15|//Amazon//|[[Amazon S3 Block Public Access – Another Layer of Protection for Your Accounts and Buckets|https://aws.amazon.com/blogs/aws/amazon-s3-block-public-access-another-layer-of-protection-for-your-accounts-and-buckets/]]|.|
|>|!|>||
|2018.11.14|Security Week|[[Misconfiguration a Top Security Concern for Containers|https://www.securityweek.com/misconfiguration-top-security-concern-containers]]|.|
|2018.11.14|//Threatpost//|[[Permissions Flaw Found on Azure AD Connect|https://threatpost.com/permissions-flaw-found-azure-ad-connect/129170/]]|Azure ActiveDirectory|
|2018.11.14|//StackRox//|[[Survey Says … Security Tops the List of Container Strategy Concerns|https://www.stackrox.com/post/2018/11/survey-says-security-tops-the-list-of-container-strategy-concerns/]]|.|
|2018.11.14|//StackRox//|[[StackRox Report: Misconfigurations and Runtime Security Top Enterprise Concerns in Containers and Kubernetes Deployments|https://www.stackrox.com/press-releases/2018/11/stackrox-report-misconfigurations-and-runtime-security-top-enterprise-concerns-in-containers-and-kubernetes-deployments/]]|.|
|>|!|>||
|2018.11.13|//Aqua//|[[Serverless Security: The Importance of FaaS Risk Assessment|https://blog.aquasec.com/serverless-security-faas-risk-assessment]]|.|
|2018.11.13|//Avanian//|[[5 Signs of a Compromised Account|https://www.avanan.com/resources/5-signs-of-a-compromised-account]]|.|
|2018.12.13|//Gartner//|[[Predicts 2019: Identity and Access Management|https://www.gartner.com/doc/3895045]]|.|
|2019.02.08|//BitDefender//|↪ [[40% of Organizations Will Adopt Biometric SaaS Authentication by 2022, Gartner Predicts|https://businessinsights.bitdefender.com/40-of-organizations-will-adopt-biometric-saas-authentication-by-2022-gartner-predicts]]|.|
|>|!|>||
|2018.11.09|ITweb|[[How to manage and secure your digital workplace|https://www.itweb.co.za/content/VgZeyqJAPaVMdjX9]]|.|
|2018.11.09|//Security Intelligence//|[[How Can Companies Move the Needle on Enterprise Cloud Security Risks and Compliance?|https://securityintelligence.com/how-can-companies-move-the-needle-on-enterprise-cloud-security-risks-and-compliance/]]|.|
|>|!|>||
|2018.11.08|//Blackblaze//|[[Modern Storage Workflows in the Age of Cloud|https://www.backblaze.com/blog/cloud-based-video-production-workflows/]]|.|
|2018.11.08|//Sysdig//|[[29 Docker security tools compared|https://sysdig.com/blog/20-docker-security-tools/]]|.|
|2018.11.08|//Avanian//|[[How to Find and Quarantine Emails from Compromised Accounts in Office 365|https://www.avanan.com/resources/how-to-find-and-quarantine-emails-from-compromised-accounts-in-office-365]]|.|
|2018.11.08|//Radware//|[[Protecting Applications in a Serverless Architecture|https://blog.radware.com/security/2018/11/protecting-applications-in-a-serverless-architecture/]]|Serverless|
|>|!|>||
|2018.11.07|//Alcide//|[[The Evolution of Serverless (2/2): From Microservices to Containers|https://blog.alcide.io/the-evolution-of-serverless-from-microservices-to-containers-to-functions-part-1]]|.|
|>|!|>||
|2018.11.06|Tech Republic|[[75% of organizations are buying more security tools to keep up with cloud in 2019|https://www.techrepublic.com/article/75-of-organizations-are-buying-more-security-tools-to-keep-up-with-cloud-in-2019/]]|.|
|2018.11.06|//Nuageo//[>img[i/flag_fr.png]]|[[Donnez de l’éclat à vos données : valorisez-les|https://www.nuageo.fr/2018/11/valorisez-vos-donnees/]]|.|
|2018.11.06|//Alcide//|[[2018 Report: The State of Securing Cloud Workload|https://get.alcide.io/alcide-survey-cloud-security-2018]]|.|
|>|!|>||
|2018.11.05|//Securonix//|[[Detecting Phishing and Account Compromise in Office 365|https://www.securonix.com/detecting-phishing-and-account-compromise-in-office-365/]]|.|
|2018.11.05|//Lacework//|[[A Cybersecurity Three Pointer: How Basketball Explains Risk in the Cloud|https://www.lacework.com/how-basketball-explains-risk-in-the-cloud/]]|.|
|>|!|>||
|2018.11.04|CBR Online|[[NHS Email Suffers Complete Outage: Accenture Facing Heavy Fines|https://www.cbronline.com/news/nhs-email-outage]]|.|
|>|!|>||
|2018.11.02|Petri|[[Paul Thurrott’s Short Takes: November 2|https://www.petri.com/paul-thurrotts-short-takes-november-2]]|.|
|2018.11.02|//Google Cloud//|[[Exploring container security: running and connecting to HashiCorp Vault on Kubernetes|https://cloud.google.com/blog/products/identity-security/exploring-container-security-running-and-connecting-to-hashicorp-vault-on-kubernetes]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Novembre 2018]]>>
|!Octobre|!Sources|!Titres et Liens|!Mots clés|
|2018.10.31|CloudTech|[[Why it’s time to fight back against cyber risk to cloud computing and virtual machines|https://www.cloudcomputing-news.net/news/2018/oct/31/why-cyber-risk-cloud-computing-virtual-machines/]]|.|
|2018.10.30|CBR Online|[[Microsoft Admits to Fresh Office 365 Issues|https://www.cbronline.com/news/office-365-down]]|.|
|2018.10.30|//Securosis//|[[Building a Multi-cloud Logging Strategy: Issues and Pitfalls|https://securosis.com/blog/building-a-multi-cloud-logging-strategy-issues-and-pitfalls]]|.|
|2018.10.29|//Pika//|[[Detecting Plaintext Passwords in Google Drive|https://medium.com/poka-techblog/detecting-plaintext-passwords-in-google-drive-21a10ec9ce9]]|Prevent DataLeak|
|2018.10.29|//MacAfee//|[[5 Key Findings from 2019 Cloud Adoption and Risk Report|https://www.skyhighnetworks.com/cloud-security-blog/5-key-findings-from-2019-cloud-adoption-and-risk-report/]]|.|
|2018.10.23|//PR Newswire//|[[DataCore's "The State of Software-Defined, Hyperconverged and Cloud Storage" Market Survey Reveals that Storage Availability and Avoiding Vendor Lock-in Remain Top Concerns for IT Professionals|https://www.prnewswire.com/news-releases/datacores-the-state-of-software-defined-hyperconverged-and-cloud-storage-market-survey-reveals-that-storage-availability-and-avoiding-vendor-lock-in-remain-top-concerns-for-it-professionals-300736120.html]] ([[Rapport|https://www.datacore.com/document/state-of-sds-hci-cloud-storage-seventh-annual/]])|Report|
|2018.10.23|//Aqua//|[[“Thin OS” Security for Container Hosts|https://blog.aquasec.com/thin-os-container-security]]|.|
|2018.10.21|TechnoFAQ|[[How Cloud Hosting Around the World Faces Security Challenges|https://technofaq.org/posts/2018/10/how-cloud-hosting-around-the-world-faces-security-challenges/]]|.|
|2018.10.20|//Securosis//|[[Building a Multi-cloud Logging Strategy: Introduction|https://securosis.com/blog/building-a-multi-cloud-logging-strategy-introduction]]|.|
|2018.10.19|//Avanian//|[[How to Monitor Successful Logins to Office 365 Coming from Outside the US|https://www.avanan.com/resources/monitor-successful-logins-to-o365-from-outside-us]]|.|
|2018.10.17|//Lacework//|[[Anatomy of a Redis Exploit|https://www.lacework.com/anatomy-of-a-redis-exploit/]]|.|
|2018.10.16|//Blackblaze//|[[Hard Drive Stats for Q3 2018: Less is More|https://www.backblaze.com/blog/tag/hard-drive-stats/]]|.|
|2018.10.12|TechnoFAQ|[[Why The Cloud Is Your Best Backup System|https://technofaq.org/posts/2018/10/why-the-cloud-is-your-best-backup-system/]]|.|
|2018.10.10|The CyberWire Podcast|[[Stormy weather in the Office 365 cloud|https://thecyberwire.com/podcasts/cw-podcasts-rs-2018-10-20.html]]|Outage|
|2018.10.10|//Threatpost//|[[Innovative Phishing Tactic Makes Inroads Using Azure Blob|https://threatpost.com/innovative-phishing-tactic-makes-inroads-using-azure-blob/138183/]]|Azure Phishing|
|2018.10.10|//Alcide//|[[Micro-segmentation for Better Cloud Security|https://blog.alcide.io/micro-segmentation-for-better-cloud-security]]|.|
|2018.10.09|disrupt:Ops|[[How S3 Buckets Become Public, and the Fastest Way to Find Yours|https://disruptops.com/how-s3-buckets-become-public-and-the-fastest-way-to-find-yours/]]|.|
|2018.10.09|//Threatpost//|[[How Shared Pools of Cloud Computing Power Are Changing the Way Attackers Operate|https://threatpost.com/how-shared-pools-of-cloud-computing-power-are-changing-the-way-attackers-operate/138108/]]|.|
|2018.10.09|//Outpost24//|[[Top 5 Cloud security issues and how to fix them|https://outpost24.com/blog/top-5-cloud-security-issues-and-how-to-fix-them]]|.|
|2018.10.09|//Lacework//|[[The New Security Stack: While old school security vendors are trying to buy their way into relevance, it’s still not making organizations any safer|https://www.lacework.com/the-new-cybersecurity-stack-power-of-one/]]|.|
|2018.10.05|CSA UK|![[Cloud Security Governance Approaches|http://www.cloudsecurityalliance.org.uk/blog/cloudsecuritygovernanceapproaches]]|Governance|
|2018.10.05|//MacAfee//|[[Skyhigh Uncovers ‘KnockKnock,’ a Widespread Attack on Office 365 Corporate Email Accounts|https://www.skyhighnetworks.com/press/skyhigh-uncovers-knockknock-a-widespread-attack-on-office-365-corporate-email-accounts/]]Attack O365|
|2018.10.05|//MacAfee//|↪ [[Skyhigh Networks Reveals Sophisticated Cyber Attack Campaign on Enterprise Office 365 Users|https://www.skyhighnetworks.com/press/skyhigh-networks-reveals-sophisticated-cyber-attack-campaign-on-enterprise-office-365-users/]]Attack O365|
|2018.12.17|//Tripwire//|↪ [['KnockKnock': New Attack on Office 365 Discovered|https://www.tripwire.com/state-of-security/featured/knockknock-new-attack-on-office-365-discovered/]]|Attack O365|
|2018.10.05|//Netskope//|[[Phishing in the public cloud: You’ve been served|https://www.netskope.com/blog/phishing-in-the-public-cloud]]|Taacks|
|2018.10.05|//Sensors techForum//|↪ [[Phishing Attack Exploits Azure Blob to Be Secured by Microsoft SSL|https://sensorstechforum.com/phishing-attack-azure-blob-microsft-sll/]]|Attacks|
|2018.10.03|//Fugue//|[[The Cost of Cloud Misconfiguration Whack-a-Mole|https://www.fugue.co/blog/2018-10-04-the-cost-of-cloud-misconfiguration-whack-a-mole.html]]|Configuration|
|2018.10.03|//Fugue//|↪ [[Cloud Infrastructure Misconfiguration Survey Report|https://resources.fugue.co/cloud-infrastructure-misconfiguration-report]]|Report Configuration|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Octobre 2018]]>>
|!Septembre|!Sources|!Titres et Liens|!Mots clés|
|2018.09.24|//Summit Route//|![[Investigating malicious AMIs|https://summitroute.com/blog/2018/09/24/investigating_malicious_amis/]]|InsiderThreat|
|2018.09.24|//Alcide//|[[4 Steps to a Secured Serverless Deployment: Gartner’s Security Considerations and Best Practices for Securing Serverless PaaS Report|https://blog.alcide.io/4-steps-secured-serverless-deployment-gartner-security-considerations-best-practices-securing-serverless-paas-report]]|Serverless|
|2018.09.19|//McAfee//|[[The Top 3 Reasons to Integrate DLP with a Cloud Access Security Broker (CASB)|https://securingtomorrow.mcafee.com/business/data-security/the-top-3-reasons-to-integrate-dlp-with-a-cloud-access-security-broker-casb/]]|DLP CASB|
|2018.09.19|//Zscaler//|[[The latest cloud hosting service to serve malware|https://www.zscaler.com/blogs/research/latest-cloud-hosting-service-serve-malware]]|Malware|
|2018.09.19|//Lacework//|[[This is How to Optimize CloudTrail to Improve the Security of Your AWS Environment|https://www.lacework.com/optimize-cloudtrail-to-improve-aws-environment-security/]]|AWS|
|2018.09.18|TEISS|[[Unsecured cloud database nearly compromised 445 million customer records|https://www.teiss.co.uk/threats/cloud-database-data-breach/]]|DataLeak|
|2018.09.18|//RedLock//|[[AWS Security Tips: Understanding Access Controls in Amazon S3|https://redlock.io/blog/aws-security-tips-understanding-access-controls-amazon-s3]]|AWS|
|2018.09.17|//ThreatStack//|![[50 Best Cloud Security Podcasts|https://www.threatstack.com/blog/50-best-cloud-security-podcasts]]|Podcasts|
|2018.09.11|RedmondChannel|[[Microsoft's Cloud Outage Postmortem: What Went Wrong in Texas|https://rcpmag.com/articles/2018/09/11/microsoft-cloud-outage-postmortem.aspx]]|Outage Azure|
|2018.09.11|//RedLock//|[[13 Cloud Security Statistics To Know In 2019 (With 9 Best Practices)|https://redlock.io/blog/13-cloud-security-statistics-to-know-in-2019-with-9-best-practices]]|.|
|2018.09.09|disrupt:Ops|[[(DevSec)Ops vs. Dev(SecOps)|https://disruptops.com/devsecops-vs-devsecops/]]|DevSecOps|
|2018.09.09|disrupt:Ops|[[What Security Managers Need to Know About Amazon S3 Exposures (2/2)|https://disruptops.com/what-security-managers-need-to-know-about-amazon-s3-exposures-2-2/]]|AWS|
|2018.09.08|Infosec Institute|[[Cloud Based IDS and IPS Solutions|https://resources.infosecinstitute.com/cloud-based-ids-and-ips-solutions/]]|IDS IPS|
|2018.09.07|//Microsoft//|[[Azure AD Conditional Access support for blocking legacy auth is in Public Preview!|https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-AD-Conditional-Access-support-for-blocking-legacy-auth-is/ba-p/245417]]|Authenticate|
|2018.09.06|//ThreatStack//|[[Create a Security Risk Assessment for Containers in 5 Steps|https://www.threatstack.com/blog/create-a-security-risk-assessment-for-containers-in-5-steps]]|Container Assess|
|2018.09.04|RedmondChannel|[[Microsoft Cloud Services Stumble After Outage Hits Texas Datacenter|https://rcpmag.com/articles/2018/09/04/microsoft-cloud-outage-datacenter.aspx]]|Outage Azure|
|2018.09.04|ThousandEyes|[[The Building Blocks of SaaS are Also Risks|https://blog.thousandeyes.com/the-building-blocks-of-saas-are-also-risks/]]|SaaS|
|2018.12.04|//Blackblaze//|[[LTO versus Cloud Storage: Choosing the Model That Fits Your Business|https://www.backblaze.com/blog/lto-vs-cloud-storage-vs-hybrid/]]|.|
|2018.09.03|TechnoFAQ|[[Tools for Encrypting Your Files In Cloud Storage|https://technofaq.org/posts/2018/09/tools-for-encrypting-your-files-in-cloud-storage/]]|Encrypt|
|2018.09.03|//UpGuard//|[[What Are Cloud Leaks?|https://www.upguard.com/blog/what-are-cloud-leaks]]|DataLeak|
|2018.09.03|//UpGuard//|[[Why Do Cloud Leaks Matter?|https://www.upguard.com/blog/why-do-cloud-leaks-matter]]|DataLeak|
|2018.09.03|//Aqua//|[[Report by Gartner Highlights Maturing Options for Securing Containers|https://blog.aquasec.com/gartner-report-securing-containers]]|Containers|
|2018.09.01|Network Computing|[[Moving recovery to the cloud|http://www.btc.co.uk/Articles/index.php?mag=Networking&page=compDetails&link=9126]]|Recover|
|2018.09.01|//Poka//|![[Privilege escalation in the Cloud: From SSRF to Global Account Administrator|https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6]]|Vulnerabilities|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Septembre 2018]]>>
|!Août|!Sources|!Titres et Liens|!Mots clés|
|2018.08.30|//Lastline//|![[Dark Clouds on the Horizon: Understanding Cloud Storage Data Theft and How to Prevent It|https://www.lastline.com/blog/dark-clouds-on-the-horizon-understanding-cloud-storage-data-theft-and-how-to-prevent-it/]]|Prevent|
|2018.08.27|Medium|[[AWS Slurp Github Takeover|https://medium.com/@SweetRollBandit/aws-slurp-github-takeover-f8c80b13e7b5]]|.|
|2018.08.27|//MacAfee//|[[AWS Security Configuration Checklist|https://www.skyhighnetworks.com/cloud-security-blog/aws-security-configuration-checklist/]]|AWS BestPractices|
|2018.08.23|//Aqua//|[[Securing Serverless: Persistent Security for Ephemeral Environments|https://blog.aquasec.com/securing-serverless-persistent-security-for-ephemeral-environments]]|.|
|2018.08.21|SecTor|[[How A Map of the Cloud Leaked Online|https://sector.ca/how-a-map-of-the-cloud-leaked-online/]]|DataLeak|
|2018.08.21|//RedLock//|![[What You Must Know About AWS Security|https://redlock.io/blog/what-you-must-know-about-aws-security]]|.|
|2018.08.20|//MacAfee//|[[7 Reasons Why Microsoft Warns Against Proxy-Based CASBs for Office 365|https://www.skyhighnetworks.com/cloud-security-blog/7-reasons-why-microsoft-warns-against-proxy-based-casbs-for-office-365/]]|O365 CASB|
|2018.08.20|//MacAfee//|[[CASB RFP Template: 200+ Common Questions Enterprises Are Asking|https://www.skyhighnetworks.com/cloud-security-blog/casb-rfp-template-free-download/]] ([[document|https://info.skyhighnetworks.com/Cloud-Access-Security-Broker-Request-for-Proposal-Template_BannerCloud-MFE.html]])|.|
|2018.08.16|disrupt:Ops|[[What Security Managers Need to Know About Amazon S3 Exposures (1/2)|https://disruptops.com/what-security-managers-need-to-know-about-amazon-s3-exposures/]]|.|
|2018.08.15|Gartner|![[Gartner Survey Says Cloud Computing Remains Top Emerging Business Risk|https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-says-cloud-computing-remains-top-emerging-business-risk]]|Report|
|2018.08.15|//MacAfee//|[[Kube-hunter - an open source tool for Kubernetes penetration testing|https://blog.aquasec.com/kube-hunter-kubernetes-penetration-testing]]|.|
|2018.08.14|//RedLock//|[[How to Effectively Manage Multi-Cloud Security Challenges|https://redlock.io/blog/how-to-effectively-manage-multi-cloud-security-challenges]]|.|
|2013.08.13|//Threatpost//|[[GoDaddy Leaks ‘Map of the Internet’ via Amazon S3 Cloud Bucket Misconfig|https://threatpost.com/godaddy-leaks-map-of-the-internet-via-amazon-s3-cloud-bucket-misconfig/135009/]]|DataLeak|
|2018.08.10|//Microsoft//|![[Enhance security and simplify network integration with Extension Host on Azure Stack|https://azure.microsoft.com/en-us/blog/extension-host-coming-to-azure-stack/]]|Harden|
|2018.08.14|RedmondChannel|↪ [[Microsoft Shrinks Azure Stack's Attack Surface|https://rcpmag.com/blogs/scott-bekker/2018/08/microsoft-azure-stack-attack-surface.aspx]]|Harden|
|2018.08.09|//Microsoft//|[[Why you need a cloud access security broker in addition to your firewall |https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Why-you-need-a-cloud-access-security-broker-in-addition-to-your/ba-p/250062]]|CASB|
|2018.08.09|//UpGuard//|[[Public Domain: How Configuration Information For the World's Largest Domain Name Registrar Was Exposed Online|https://www.upguard.com/breaches/public-domain-how-configuration-information-for-the-worlds-largest-domain-name-registrar-was-exposed-online]]|.|
|2018.08.09|Engadget|↪ [[Amazon AWS error exposes info on 31,000 GoDaddy servers|https://www.engadget.com/2018/08/09/amazon-aws-error-exposes-31-000-godaddy-servers/]]|.|
|2018.08.09|//Zscaler//|[[Proxy-based security: a pillar of the cloud-first architecture|https://www.zscaler.com/blogs/corporate/proxy-based-security-pillar-cloud-first-architecture]]|Architecture|
|2018.08.13|SecurityWeek|↪ [[Amazon S3 Bucket Exposed GoDaddy Server Information|https://www.securityweek.com/amazon-s3-bucket-exposed-godaddy-server-information]]|.|
|2018.08.07|//Alcide//|[[Cloud Security - Learning the Basics (3/3)|https://blog.alcide.io/cloud-security-learning-basics]]|
|2018.08.02|//ThreatStack//|![[50 Best Cloud Security Training Resources|https://www.threatstack.com/blog/50-best-cloud-security-training-resources]]|.|
|2018.08.02|//Google//|![[Container Security with Maya Kaczorowski|https://www.gcppodcast.com/post/episode-140-container-security-with-maya-kaczorowski/]] (podcast : [[mp3|https://eps-dot-gcppodcast.appspot.com/dl/Google.Cloud.Platform.Podcast.Episode.140.mp3]] ou pdf)|Containers Podcast|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Août 2018]]>>
|!Juillet|!Sources|!Titres et Liens|!Mots clés|
|2018.07.31|//Summit Route//|[[AWS Security Pillar Whitepaper updates|https://summitroute.com/blog/2018/07/31/aws_security_pillar_whitepaper_updates/]]|AWS|
|2018.07.26|Gartner|[[The Data Center is Dead|https://blogs.gartner.com/david_cappuccio/2018/07/26/the-data-center-is-dead/]]|.|
|2018.07.26|//Alcide//|[[Cloud Network Management and Security (2/3)|https://blog.alcide.io/cloud-network-management-and-security]]|Manage|
|2018.07.26|//ThreatStack//|[[Why Kubernetes is Not a Silver Bullet|https://www.threatstack.com/blog/why-kubernetes-is-not-a-silver-bullet]]|Kubernetes|
|2018.07.25|//Lacework//|[[I Just Looked at 2 Billion Cloud Events. Here’s What I Found|https://www.lacework.com/lacework-trial-2-billion-cloud-events/]]|Manage|
|2013.07.24|//Threatpost//|[[Apache, IBM Patch Critical Cloud Vulnerability|https://threatpost.com/apache-ibm-patch-critical-cloud-vulnerability/134341/]]|Vulnerabilities|
|2018.07.24|//Blackblaze//|[[Hard Drive Stats for Q2 2018|https://www.backblaze.com/blog/hard-drive-stats-for-q2-2018/]]|Reliability|
|2018.07.24|//Lastline//|[[Malscape Snapshot: Malicious Activity in the Office 365 Cloud|https://www.lastline.com/blog/malspam-malscape-snapshot-malicious-activity-in-the-office-365-cloud/]]|Attacks|
|2018.07.19|Infosec Institute|[[AWS Cloud Security for Beginners (1/2)|https://resources.infosecinstitute.com/aws-cloud-security-for-beginners-part-1/]]|AWS|
|2018.07.19|Infosec Institute|[[AWS Cloud Security for Beginners (2/2)|https://resources.infosecinstitute.com/aws-cloud-security-for-beginners-part-2/]]|AWS|
|2018.07.18|Kubernetes|[[11 Ways (Not) to Get Hacked|https://kubernetes.io/blog/2018/07/18/11-ways-not-to-get-hacked/]]|Kubertenes|
|2017.07.17|IntrusionTruth|[[Who was behind this unprecedented Cyber attack on Western infrastructure?|https://intrusiontruth.wordpress.com/2018/07/17/who-was-behind-this-unprecedented-cyber-attack-on-western-infrastructure/]]|Attacks APT|
|2018.07.17|Infosec Institute|[[AWS Security Monitoring Checklist (2/2)|https://resources.infosecinstitute.com/aws-security-monitoring-checklist-part-2/]]|AWS Monitor|
|2018.07.16|//Sysdig//|[[Docker image scanning – How to implement open source container security (2/2)|https://sysdig.com/blog/container-security-docker-image-scanning/]]|Docker|
|2018.07.12|//Sysdig//|[[Runtime container security – How to implement open source container security (1/2)|https://sysdig.com/blog/oss-container-security-runtime/]]|Docker|
|2018.07.11|//Google//|![[VirusTotal with Emi Martínez|https://www.gcppodcast.com/post/episode-135-virus-total-with-emi-martinez/]] (podcast [[mp3|https://eps-dot-gcppodcast.appspot.com/dl/Google.Cloud.Platform.Podcast.Episode.135.mp3]] ou pdf)|VirusTotal Podcast|
|2018.07.11|//Avanian//|[[What is a Cloud Access Security Broker (CASB)?|https://www.avanan.com/resources/what-is-a-casb]]|CASB|
|2018.07.09|freecodeCamp|![[A friendly introduction to Kubernetes|https://medium.freecodecamp.org/a-friendly-introduction-to-kubernetes-670c50ce4542]]|Kubernetes|
|2018.07.05|//Outposr24//|[[How can security teams handle hybrid cloud infrastructure security?|https://outpost24.com/blog/How-can-security-teams-handle-hybrid-cloud-infrastructure-security]]|Hybrid|
|2018.07.04|//Alcide//|[[Cloud Security and the Shared Responsibility Model (1/3)|https://blog.alcide.io/cloud-security-and-the-shared-responsibility-model]]|Governance|
|2018.07.02|Infosec Institute|[[AWS Security Monitoring Checklist|https://resources.infosecinstitute.com/aws-security-monitoring-checklist/]]|AWS Monitor|
|2018.07.02|//Lacework//|[[Security Can’t Start Until Multi-Factor Authentication is Turned On|https://www.lacework.com/security-cant-start-until-multi-factor-authentication-is-turned-on/]]|Authenticate|
|2018.07.01|Network Computing|[[Multi-cloud simplicity|www.btc.co.uk/Articles/index.php?mag=Networking&page=compDetails&link=8995]]|MultiCloud|
|2018.07.01|Solutions Review|[[How to Keep Your Cloud Safe From Cypto Attacks|https://solutionsreview.com/cloud-platforms/cloud-crypto-attacks/]]|Attacks|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Juillet 2018]]>>
|!Juin|!Sources|!Titres et Liens|!Mots clés|
|2018.06.27|Wired|[[Marketing Firm Exactis Leaked a Personal Info Database With 340 Million Records|https://www.wired.com/story/exactis-database-leak-340-million-records/]]|.|
|2018.06.29|SecurityWeek|↪ [[Massive Breach at Data Broker Exactis Exposes Millions of Americans|https://www.securityweek.com/massive-breach-data-broker-exactis-exposes-millions-americans]]|.|
|2018.06.27|//StackRox//|[[Continuous Security - More on Gartner’s CARTA Model|https://www.stackrox.com/post/2018/06/continuous-security-more-on-gartners-carta-model/]]|.|
|2018.06.26|//RedLock//|[[The Business Case for Cloud Threat Defense|https://redlock.io/blog/business-case-cloud-threat-defense]]|.|
|2018.06.21|//NCC Group//|[[Principal Mapper: Advanced and Automated AWS IAM Evaluation|https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2018/june/principal-mapper-advanced-and-automated-aws-iam-evaluation/]]|.|
|2018.06.20|Security Week|[[Researchers Find 21,000 Exposed Container Orchestration Systems|https://www.securityweek.com/researchers-find-21000-exposed-container-orchestration-systems]]|.|
|2018.06.20|//Alcide//|[[AWS Security Best Practices|https://blog.alcide.io/aws-security-best-practices]]|.|
|2018.06.19|//StackRox//|[[Gartner on Continuous Security - the Model|https://www.stackrox.com/post/2018/06/gartner-on-continuous-security-the-model/]]|.|
|2013.06.18|//Threatpost//|[[22K Open, Vulnerable Containers Found Exposed on the Net|https://threatpost.com/22k-open-vulnerable-containers-found-exposed-on-the-net/132898/]]|Container DataLeak|
|2018.06.13|//Alcide//|[[Cloud Security Challenges - Takeaways from Gartner's Security & Risk Management Summit|https://blog.alcide.io/gartners-security-summit-cloud-security-challenges]]|.|
|2018.06.12|//Security Intelligence//|[[Ransomware Recovery: Maintain Control of Your Data in the Face of an Attack|https://securityintelligence.com/ransomware-recovery-maintain-control-of-your-data-in-the-face-of-an-attack/]]|.|
|2018.06.12|//Kromtech//|![[Cryptojacking invades cloud. How modern containerization trend is exploited by attackers|https://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackers]]|Docker Cryptojacking|
|2013.07.13|//Threatpost//|↪ [[Malicious Docker Containers Earn Cryptomining Criminals $90K|https://threatpost.com/malicious-docker-containers-earn-crypto-miners-90000/132816/]]|Docker Cryptojacking|
|2018.06.08|//Kromtech//|[[WeightWatchers Exposure: a Simple, yet Powerful, Lesson in Cloud Security|https://kromtech.com/blog/security-center/weightwatchers-exposure-a-simple-yet-powerful-lesson-in-cloud-security]]|DataLeak|
|2018.06.05|//SecludIT//[>img[i/flag_fr.png]]|[[Comprendre les défis de sécurité de la transformation numérique|https://secludit.com/blog/securite-transformation-numerique/]]|.|
|2018.06.04|//Outpost24//|[[How to ensure a secure migration to AWS, Azure and Docker|https://outpost24.com/blog/How-to-ensure-a-secure-migration-to-AWS-Azure-and-Docker]]|.|
|2018.06.04|//Sysdig//|[[Implementing Docker/Kubernetes runtime security|https://sysdig.com/blog/docker-runtime-security/]]|
|2018.06.01|//ThreatStack//|![[50 Essential Cloud Security Blogs for IT Professionals and Cloud Enthusiasts|https://www.threatstack.com/blog/50-essential-cloud-security-blogs-for-it-professionals-and-cloud-enthusiasts]]|.|
|2013.06.01|//Threatpost//|[[Public Google Groups Leaking Sensitive Data at Thousands of Orgs|https://threatpost.com/public-google-groups-leaking-sensitive-data-at-thousands-of-orgs/132455/]]|DataLeak|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Juin 2018]]>>
|!Mai|!Sources|!Titres et Liens|!Mots clés|
|2018.05.30|//Kromtech//|[[Honda leaked personal information from its Honda Connect App|https://kromtech.com/blog/security-center/honda-leaked-personal-information-from-its-honda-connect-app]]|.|
|2018.05.30|//Kromtech//|[[Contractor for Universal Music Group exposes internal credentials|https://kromtech.com/blog/security-center/contractor-for-universal-music-group-exposes-internal-credentials]]|.|
|2018.05.29|//Sysdig//|[[2018 Docker Usage Report|https://sysdig.com/blog/2018-docker-usage-report/]]|.|
|2018.05.27|Infosec Institute|[[Using Cloud Infrastructure to Gain Privacy and Anonymity|https://resources.infosecinstitute.com/using-cloud-infrastructure-to-gain-privacy-and-anonymity/]]|.|
|2018.05.25|SafeControls|[[Do you consider security when buying a SaaS subscription?|https://safecontrols.blog/2018/05/25/do-you-consider-security-when-buying-a-saas-subscription/]]|.|
|2018.05.24|Cloud Industry Forum|[[What’s all the FaaS about?|https://www.cloudindustryforum.org/content/whats-all-faas-about]]|.|
|2018.05.23|//Sysdig//|[[Auditing container activity – A real example with wget and curl using Sysdig Secure|https://sysdig.com/blog/auditing-container-activity/]]|.|
|2018.05.21|//Security Intelligence//|[[Spotlight Your Data Within Shadow IT|https://securityintelligence.com/spotlight-your-data-within-shadow-it/]]|.|
|2013.05.18|//Threatpost//|[[Misconfigured Reverse Proxy Servers Spill Credentials|https://threatpost.com/misconfigured-reverse-proxy-servers-spill-credentials/132085/]]|.|
|2018.05.17|Infosec Institute|[[Secure Your Buckets|https://resources.infosecinstitute.com/secure-your-buckets/]]|.|
|2018.05.16|//Security Intelligence//|[[Bumper to Bumper: Detecting and Mitigating DoS and DDoS Attacks on the Cloud, Part 2|https://securityintelligence.com/bumper-to-bumper-detecting-and-mitigating-dos-and-ddos-attacks-on-the-cloud-part-2/]]|.|
|2018.05.15|//Duo Labs//|![[Beyond S3: Exposed Resources on AWS|https://duo.com/blog/beyond-s3-exposed-resources-on-aws]]|AWS Vulnerabilities|
|2018.05.11|Infosec Institute|[[Rise of the Rogue Cloud: The Fundamental Security Mistake Enterprises Make and How to Correct It|https://resources.infosecinstitute.com/rise-rogue-cloud-fundamental-security-mistake-enterprises-make-correct/]]|.|
|2018.05.11|//Google Cloud//|[[Exploring container security: Isolation at different layers of the Kubernetes stack|https://cloud.google.com/blog/products/gcp/exploring-container-security-isolation-at-different-layers-of-the-kubernetes-stack]]|.|
|2018.05.10|//Security Intelligence//|[[Cut Through the Fog: Improve Cloud Visibility to Identify Shadow IT|https://securityintelligence.com/cut-through-the-fog-improve-cloud-visibility-to-identify-shadow-it/]]|.|
|2018.05.09|//Alcide//|[[Has Olympus Fallen? Cloud Operations & Data Center Vulnerabilities in the Age of Kubernetes|https://blog.alcide.io/has-olympus-fallen-dealing-with-data-center-vulnerabilities-in-the-age-of-kubernetes]]|.|
|2018.05.03|//Google Cloud//|[[Exploring container security: Using Cloud Security Command Center (and five partner tools) to detect and manage an attack|https://cloud.google.com/blog/products/gcp/exploring-container-security-using-cloud-security-comma]]|.|
|2018.05.02|//Alcide//|[[Top Containerization Tools for AWS Deployment|https://blog.alcide.io/top-containerization-tools-for-aws-deployment]]|.|
|2018.05.01|//Lacework//|[[Containers in the Cloud: From Top Hazards to First-Class Cloud Security Citizen|https://www.lacework.com/containers-in-the-cloud-from-top-hazards-to-first-class-cloud-security-citizen/]]|.|
|2018.05.01|//Blackblaze//|[[Hard Drive Stats for Q1 2018|https://www.backblaze.com/blog/hard-drive-stats-for-q1-2018/]]|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Mai 2018]]>>
|!Avril|!Sources|!Titres et Liens|!Mots clés|
|2018.04.30|//UpGuard//|[[Why Do Cloud Leaks Happen?|https://www.upguard.com/blog/why-do-cloud-leaks-happen]]|DataLeak|
|2018.04.30|//UpGuard//|[[How Can Cloud Leaks Be Prevented?|https://www.upguard.com/blog/how-can-cloud-leaks-be-prevented]]|DataLeak|
|2013.04.23|//Cloudflare//|[[What CloudFlare Logs|https://blog.cloudflare.com/what-cloudflare-logs/]]|.|
|2017.04.27|US-CERT|[[Alert (TA17-117A) - Intrusions Affecting Multiple Victims Across Multiple Sectors|https://www.us-cert.gov/ncas/alerts/TA17-117A]] (mise à jour le 20 décembre 2018)|Attacks APT|
|2017.04.27|US-CERT|↪ [[IR-ALERT-MED-17-093-01C - Intrusions Affecting Multiple Victims Across Multiple Sectors|https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01C-Intrusions_Affecting_Multiple_Victims_Across_Multiple_Sectors.pdf]] (pdf)|Attacks APT|
|2017.04.27|US-CERT|↪ [[IR-ALERT-MED-17-093-01C - Indicators of compromise|https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01C.xlsx]] (xlsx)|Attacks APT|
|2017.04.27|US-CERT|↪ [[IR-ALERT-MED-17-093-01C - Indicators of compromise|https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01-C.XML]] (xml - STIX)|Attacks APT|
|2013.04.27|//Security Intelligence//|[[Bumper to Bumper: Detecting and Mitigating DoS and DDoS Attacks on the Cloud, Part 1|https://securityintelligence.com/bumper-to-bumper-detecting-and-mitigating-dos-and-ddos-attacks-on-the-cloud-part-1/]]|.|
|2013.04.26|//Google Cloud//|[[Exploring container security: Running a tight ship with Kubernetes Engine 1.10|https://cloud.google.com/blog/products/gcp/exploring-container-security-running-a-tight-ship-with-kubernetes-engine-1-10]]|.|
|2013.04.24|//Sysdig//|[[Securing Kubernetes components: kubelet, Kubernetes etcd and Docker registry – Kubernetes security guide (3/4)|https://sysdig.com/blog/kubernetes-security-kubelet-etcd/]]|.|
|2013.04.23|//Cloudflare//|[[What CloudFlare Logs|https://blog.cloudflare.com/what-cloudflare-logs/]]|.|
|2013.04.18|//Threatpost//|[[Cloud Credentials: New Attack Surface for Old Problem|https://threatpost.com/cloud-credentials-new-attack-surface-for-old-problem/131304/]]|.|
|2013.04.18|//Accenture//|[[Gaining ground on the cyber attacker|https://www.accenture.com/us-en/insights/security/2018-state-of-cyber-resilience-index]] ([[rapport|https://www.accenture.com/t20180416T134038Z__w__/us-en/_acnmedia/PDF-76/Accenture-2018-state-of-cyber-resilience.pdf]], [[Infographie|https://www.accenture.com/t20180719T034642Z__w__/us-en/_acnmedia/PDF-82/Accenture-Security-2018-State-of-Cyber-Resilience-Infographic.pdf]])|.|
|2013.04.18|//FireEye//|[[An Anatomy of a Public Cloud Compromise|https://www.fireeye.com/blog/executive-perspective/2018/04/anatomy-of-a-public-cloud-compromise.html]] (→ rapport [[PDF|https://www.fireeye.com/content/dam/collateral/en/wp-public-cloud-security.pdf]])|.|
|2013.04.18|//Security Intelligence//|[[When Nobody Controls Your Object Stores - Except You|https://securityintelligence.com/when-nobody-controls-your-object-stores-except-you/]]|.|
|2013.04.18|//Google Cloud//|[[Exploring container security: Protecting and defending your Kubernetes Engine network|https://cloud.google.com/blog/products/gcp/exploring-container-security-protecting-and-defending-your-kubernetes-engine-network]]|.|
|2013.04.17|GigaMon|[[How to Achieve a Consistent Security Posture Even with a Multi-Cloud Strategy|https://blog.gigamon.com/2018/04/17/achieve-consistent-security-posture-even-multi-cloud-strategy/]]|.|
|2013.04.16|//Security Intelligence//|[[Nearly 4 in 10 IT Professionals Struggle to Detect and Respond to Cloud Security Incidents|https://securityintelligence.com/news/nearly-4-in-10-it-professionals-struggle-to-detect-and-respond-to-cloud-security-incidents/]]|.|
|2013.04.14|//Oracle//|![[Oracle and KPMG Cloud Threat Report, 2018|http://www.oracle.com/us/dm/oraclekpmgcloudthreatreport2018-4437566.pdf]] (pdf)|
|2013.04.12|//Google Cloud//|[[Exploring container security: Digging into Grafeas container image metadata|https://cloud.google.com/blog/products/gcp/exploring-container-security-digging-into-grafeas-container-image-metadata]]|.|
|2013.04.12|//Digital Shadows//|[[Misconfigured FTP, SMB, Rsync, and S3 Buckets Exposing 1.5 Billion Files|https://info.digitalshadows.com/FileSharingDataExposureResearch-HomePage.html]]|Report DataLeak|
|2013.04.09|//Cylance//|[[How to Properly Secure Data|https://threatvector.cylance.com/en_us/home/how-to-properly-secure-data-stored-in-the-cloud.html]]|.|
|2016.04.08|SecurityWeek|![[Cloud App Security - Microsoft's Very Own CASB|https://www.securityweek.com/cloud-app-security-microsofts-very-own-casb]]|CASB|
|2013.04.08|Purple Squad Security|Podcast : [[Episode 26 – DFIR in the Cloud with Jonathon Poling|https://purplesquadsec.com/podcast/episode-26-dfir-in-the-cloud-with-jonathon-poling/]]|.|
|2013.04.07|//CloudSploit//|[[CloudSploit Compliance Scanning Scans AWS Infrastructure for Compliance with Privacy Standards|https://blog.cloudsploit.com/cloudsploit-compliance-scanning-scans-aws-infrastructure-for-compliance-with-privacy-standards-f5847a9d5440]]|.|
|2013.04.05|//Google Cloud//|[[Exploring container security: Node and container operating systems|https://cloud.google.com/blog/products/gcp/exploring-container-security-node-and-container-operating-systems]]|.|
|2013.04.04|//Sysdig//|[[Kubernetes security context, security policy, and network policy – Kubernetes security guide (2/4)|https://sysdig.com/blog/kubernetes-security-psp-network-policy/]]|.|
|2013.04.04|//Sysdig//|[[Kubernetes RBAC and TLS certificates – Kubernetes security guide (1/4)|https://sysdig.com/blog/kubernetes-security-rbac-tls/]]|.|
|2013.04.04|//Sysdig//|[[Kubernetes security guide (0/4)|https://sysdig.com/blog/kubernetes-security-guide/]]|
|2017.04.03|//PwC// & //BAE Systems//|[[Operation Cloud Hopper|https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html]]|Attacks APT|
|2017.04.03|//PwC// & //BAE Systems//|↪ [[Operation Cloud Hopper|https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf]] (pdf)|Attacks APT|
|2017.04.03|//PwC// & //BAE Systems//|↪ [[Operation Cloud Hopper - Annex A: Indicators of Compromise|https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-indicators-of-compromise-v2.2.pdf]] (pdf)|Attacks APT|
|2017.04.03|//PwC// & //BAE Systems//|↪ [[Operation Cloud Hopper - Annex B: Technical Annex|https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf]] (pdf)|Attacks APT|
|2018.04.02|Remondhannel|[[Azure Availability Zones Come to Microsoft's Cloud Datacenters|https://rcpmag.com/articles/2018/04/02/azure-availability-zones-microsoft.aspx]]|Availability|
|2013.04.02|//Securosis//|[[Complete Guide to Enterprise Container Security|https://securosis.com/blog/complete-guide-to-enterprise-container-security-new-paper]] ([[pdf|https://securosis.com/assets/library/reports/Securosis_BuildingContainerSecProgram_2018.pdf]])|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Avril 2018]]>>
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2018.03.30|infosec Buzz News|[[2018 Cloud Security Report Released Today|https://www.informationsecuritybuzz.com/expert-comments/2018-cloud-security-report-released-today/]]|.|
|2018.03.29|//Google Cloud//|[[Exploring container security: An overview|https://cloud.google.com/blog/products/gcp/exploring-container-security-an-overview]]|.|
|2018.03.27|Gartner|[[Is the Cloud Secure?|https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/]]|.|
|2018.03.27|//BusinessWire//|[[New Cloud Security Report Reveals Rising Cybersecurity Concerns and Lack of Expertise|https://www.businesswire.com/news/home/20180327005304/en/New-Cloud-Security-Report-Reveals-Rising-Cybersecurity]]|.|
|2018.03.20|//MacAfee//|[[73 Azure Security Best Practices Everyone Must Follow|https://www.skyhighnetworks.com/cloud-security-blog/73-azure-security-best-practices/]] ([[document|http://info.skyhighnetworks.com/WP_Definitive-Guide-to-Azure-Security_BannerCloud-MFE.html]])|AWS BestPractices|
|2018.03.15|Question Sécu|[[Le monde change : brève réflexion sur le(s) Cloud(s), l’automatisation et l’avenir des pentesteurs|https://questionsecu.fr/cloud-automatisation-pentesteurs/]]|.|
|2018.03.14|//Kromtech//|[[Walmart jewelry partner exposed 1.3 million customer details|https://kromtech.com/blog/security-center/walmart-jewelry-partner-exposed-millions-customer-details]]|.|
|2018.03.13|Medium|![[Analysis of a Kubernetes hack - Backdooring through kubelet|https://medium.com/handy-tech/analysis-of-a-kubernetes-hack-backdooring-through-kubelet-823be5c3d67c]]|.|
|2018.03.08|GigaMon & //Intellyx//|[[The Pros and Cons of Public Cloud Flow Logs (4/4)|https://blog.gigamon.com/2018/03/08/pros-cons-public-cloud-flow-logs/]]|.|
|2018.03.08|//StackRox//|[[Detecting Docker Exploits and Vulnerabilities - Your How-to Guide|https://www.stackrox.com/post/2018/03/breaking-bad-detecting-real-world-container-exploits/]]|.|
|2018.03.08|//Duo Labs//|![[Introducing: CloudTracker, an AWS CloudTrail Log Analyzer|https://duo.com/blog/introducing-cloudtracker-an-aws-cloudtrail-log-analyzer]]|Tools AWS|
|2018.03.03|//Lacework//|[[Survey Highlights Top Four Trends in Cloud Security Adoption|https://www.lacework.com/survey-highlights-top-four-trends-in-cloud-security-adoption/]] ([[Rapport|https://info.lacework.com/hurwitz-survey-shows-security-automation-key-to-public-cloud-protection]])|.|
|2018.03.01|//Lacework//|[[Building Bridges from Security to Development (4/4)|https://www.lacework.com/context-is-king-building-bridges-between-devops-and-security-part-iv-2/]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Mars 2018]]>>
|!Février|!Sources|!Titres et Liens|!Mots clés|
|2018.02.28|GigaMon & //Intellyx//|[[The Multi-Cloud and Hybrid IT Security Challenge (3/4)|https://blog.gigamon.com/2018/02/28/multi-cloud-hybrid-security-challenge/]]|.|
|2018.02.28|//Heptio//|[[On Securing the Kubernetes Dashboard|https://blog.heptio.com/on-securing-the-kubernetes-dashboard-16b09b1b7aca]]|.|
|2018.02.15|//HTTPCS//[>img[i/flag_fr.png]]|![[Etude d’impact – Configuration AWS Buckets Amazon S3|https://blog.httpcs.com/etude-dimpact-configuration-aws-buckets-amazon-s3/]]|AWS|
|2018.02.15|//HTTPCS//|![[Impact Study: Amazon S3 Buckets Configuration|https://blog.httpcs.com/en/impact-study-amazon-s3-buckets-configuration/]]|AWS|
|2018.03.01|//Bitdefender//|↪ [[1 in 50 Publicly Readable Amazon Buckets Are Also Writable – And That’s a Data Disaster Waiting to Happen|https://businessinsights.bitdefender.com/amazon-buckets-writable-data-disaster]]|AWS|
|2018.02.21|GigaMon & //Intellyx//|[[Closing the Cloud Security Gap by Breaking Down Silos (2/4)|https://blog.gigamon.com/2018/02/21/closing-cloud-security-gap-breaking-silos/]]|.|
|2018.02.20|//RedLock//|[[[Lessons from the Cryptojacking Attack at Tesla|https://redlock.io/blog/cryptojacking-tesla]]]|Report Attacks|
|2018.02.19|//Odaseva//|[[Security Series Part 1 : Enhance your Odaseva Security by Adding IP Access Restrictions|https://www.odaseva.com/blog/security-series-part-1-enhance-odaseva-security-adding-ip-access-restrictions/]]|.|
|2018.02.16|//MacAfee//|[[Open AWS S3 Bucket Exposes Private Data of Thousands of FedEx Customers|https://www.skyhighnetworks.com/cloud-security-blog/reduce-aws-s3-bucket-data-exposures-with-the-right-protection/]]|DataLeak AWS|
|2018.02.15|//SecludIT//[>img[i/flag_fr.png]]|[[7 conseils pour sécuriser son Cloud hybride rapidement|https://secludit.com/blog/7-conseils-securiser-son-cloud-hybride/]]|.|
|2018.02.15|//Kromtech//|[[FedEx Customer Records Exposed|https://kromtech.com/blog/security-center/fedex-customer-records-exposed]]|.|
|2018.02.15|//Aqua//|[[Cryptocurrency Miners Abusing Containers: Anatomy of an (Attempted) Attack|https://blog.aquasec.com/cryptocurrency-miners-abusing-containers-anatomy-of-an-attempted-attack]]|.|
|2018.02.12|Security Week|[[Thousands More Personal Records Exposed via Misconfigurations|https://www.securityweek.com/thousands-more-personal-records-exposed-misconfigurations]]|.|
|2018.02.12|GigaMon & //Intellyx//|[[Cloud Security Pitfall: Understanding the Shared Responsibility Mode (1/4)|https://blog.gigamon.com/2018/02/12/cloud-security-pitfall-understanding-shared-responsibility-model/]]|.|
|2018.02.12|//Microsoft//|[[Cyber resilience for the modern enterprise|https://cloudblogs.microsoft.com/microsoftsecure/2018/02/12/cyber-resilience-for-the-modern-enterprise/]]|.|
|2018.02.09|//Odaseva//|[[Top Data Governance Predictions for 2018|https://www.odaseva.com/blog/top-data-governance-predictions-2018/]]|.|
|2018.02.08|Security Week|[[Malware is Pervasive Across Cloud Platforms: Report|https://www.securityweek.com/malware-pervasive-across-cloud-platforms-report]]|.|
|2018.02.07|//Bitglass//|[[Bitglass Report: Microsoft SharePoint, Google Drive, and Majority of AV Engines Fail to Detect New Ransomware Variant|https://globenewswire.com/news-release/2018/02/07/1335286/0/en/Bitglass-Report-Microsoft-SharePoint-Google-Drive-and-Majority-of-AV-Engines-Fail-to-Detect-New-Ransomware-Variant.html]]|Ransomware|
|2018.02.08|//Threatpost//|↪ [[Gojdue Variant Eludes Microsoft, Google Cloud Protection, Researchers Say|https://threatpost.com/gojdue-variant-eludes-microsoft-google-cloud-protection-researchers-say/129837/]]|Ransomware|
|2018.02.08|//MacAfee//|[[Must-Have CASB Capability When Evaluating Vendors|https://www.skyhighnetworks.com/cloud-security-blog/must-have-casb-capability-when-evaluating-vendors/]] ([[document|http://info.skyhighnetworks.com/WP-Gartner-CASB-Magic-Quadrant-2017_BannerCloud-MFE.html]])|.|
|2018.02.07|//Security Intelligence//|[[Architecting Segmentation Defense in the Cloud|https://securityintelligence.com/architecting-segmentation-defense-in-the-cloud/]]|.|
|2018.02.06|//Threatpost//|[[Leaky Amazon S3 Bucket Exposes Personal Data of 12,000 Social Media Influencers|https://threatpost.com/leaky-amazon-s3-bucket-exposes-personal-data-of-12000-social-media-influencers/129810/]]|DataLeak AWS|
|2018.02.02|//Security Intelligence//|[[Cloud Security Is a Moving Target|https://securityintelligence.com/cloud-security-is-a-moving-target/]]|.|
|2018.02.01|//Blackblaze//|[[Backblaze Hard Drive Stats for 2017|https://www.backblaze.com/blog/hard-drive-stats-for-2017/]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Février 2018]]>>
|!Janvier|!Sources|!Titres et Liens|!Mots clés|
|2018.01.31|//Ikoula//|[[RGPD et les fournisseurs d’infrastructures de Cloud : il est bon d’être français|https://blog.ikoula.com/fr/RGPD-et-le-cloud]]|.|
|2018.01.26|//Securosis//|[[Wrangling Backoffice Security in the Cloud Age (2/2)|https://securosis.com/blog/wrangling-backoffice-security-in-the-cloud-age-part-2]]|.|
|2018.01.24|//Securosis//|[[Wrangling Backoffice Security in the Cloud Age (1/2)|https://securosis.com/blog/wrangling-backoffice-security-in-the-age-of-cloud]]|.|
|2018.01.24|//Securosis//|[[Container Security 2018: Logging and Monitoring|https://securosis.com/blog/container-security-2018-logging-and-monitoring]]|.|
|2018.01.23|//Lacework//|[[Building Bridges from Security to Development (3/4)|https://www.lacework.com/visibility-a-technical-chauffeur-of-data-part-iii/]]|.|
|2018.01.22|//Securosis//|[[Container Security 2018: Runtime Security Controls|https://securosis.com/blog/container-security-2018-runtime-security-controls]]|.|
|2018.01.22|//Krmtech//|[[HBO database exposure|https://kromtech.com/blog/security-center/hbo-database-exposure]]|.|
|2018.01.21|Purple Squad Security|Podcast : [[Episode 17 – A Look At The Treacherous Twelve From The CSA|https://purplesquadsec.com/podcast/episode-17-look-treacherous-twelve-csa/]]|.|
|2018.01.18|//Kromtech//|[[Kromtech releases Key Inspector, free tool to check your SSH keys|https://kromtech.com/blog/security-center/kromtech-releases-key-inspector-free-tool-to-check-your-ssh-keys]]|.|
|2018.01.17|//McAfee//|[[Office 365 Security Use Case #4: Detect Compromised Accounts and Insider/Privileged User Threats|https://www.skyhighnetworks.com/cloud-security-blog/office-365-security-for-a-casb-detect-compromised-accounts-and-insider-privileged-user-threats/]]|O365 Detect|
|2018.01.17|//Security Intelligence//|[[Lacking Cloud Security Policies Leave 60 Percent of Data at Risk|https://securityintelligence.com/news/lacking-cloud-security-policies-leave-60-percent-of-data-at-risk/]]|.|
|2018.01.17|//Lacework//|[[Building Bridges from Security to Development (2/4)|https://www.lacework.com/building-bridges-from-security-to-development-part-2/]]|.|
|2018.01.16|//Security Intelligence//|[[Meeting Identity and Access Management Challenges in the Era of Mobile and Cloud|https://securityintelligence.com/meeting-identity-and-access-management-challenges-in-the-era-of-mobile-and-cloud/]]|.|
|2018.01.15|//Securosis//|[[Container Security 2018: Securing Container Contents|https://securosis.com/blog/container-security-2018-securing-container-contents]]|.|
|2018.01.11|//Securosis//|[[Container Security 2018: Build Pipeline Security|https://securosis.com/blog/container-security-2018-build-pipeline-security]]|.|
|2018.01.09|//Securosis//|[[Container Security 2018: Threats and Concerns|https://securosis.com/blog/container-security-2018-threats-and-concerns]]|.|
|2018.01.08|//Sysdig//|[[Making sense of Meltdown/Spectre|https://sysdig.com/blog/making-sense-of-meltdown/]]|.|
|2018.01.07|//Securosis//|[[Building a Container Security Program 2018: Introduction|https://securosis.com/blog/building-a-container-security-program-2018-intro]]|.|
|2018.01.05|//Securosis//|![[How Cloud Security Managers Should Respond to Meltdown and Spectre|https://securosis.com/blog/how-cloud-security-managers-should-respond-to-meltdown-and-spectre]]|.|
|2018.01.02|//SysDig//|[[Fishing for Miners – Cryptojacking Honeypots in Kubernetes|https://sysdig.com/blog/detecting-cryptojacking/]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Janvier 2018]]>>
Les archives sont organisées par année, de 2018 à 2011.
<<tiddler f1Tag2Tabs with: _Veille17>>
|!Décembre|!Sources|!Titres et Liens|!Mots clés|
|2017.12.22|//Kromtech//|[[Massive Trove of Medical Records Potentially Exposed|https://kromtech.com/blog/security-center/massive-trove-of-medical-records-potentially-exposed]]|DataLeak|
|2017.12.17|//Lacework//|[[Bridging the Gap Between Security and DevOps (1/4)|https://www.lacework.com/bridging-the-gap-between-security-and-devops-part-i-2/]]|DevOps|
|2017.12.15|//Odaseva//|![[A Four-Step Approach to Data Backup, Recovery and Business Continuity|https://www.odaseva.com/blog/four-step-approach-data-backup-recovery-business-continuity/]]|BCP DRP|
|2017.12.15|CSA UK|![[O365 Identity Article|http://www.cloudsecurityalliance.org.uk/blog/guestpost-francescocipollone]]|Azure o365|
|2017.12.08|//Ikoula//|[[Cloud : les 10 points à vérifier avant de choisir votre partenaire|https://blog.ikoula.com/fr/Cloud-10-points]]|Controls|
|2017.12.07|//McAfee//|[[How Enterprises Remediate AWS S3 Buckets Exposed to GhostWriter|https://www.skyhighnetworks.com/cloud-security-blog/how-enterprises-remediate-aws-s3-buckets-exposed-to-ghostwriter/]]|AWS Protect|
|2017.12.07|//Outpost24//|[[Cloud monitoring: 7 tips to follow absolutely|https://outpost24.com/blog/cloud-monitoring-7-tips]]|Monitoring|
|2017.12.07|//StackRox//|[[Containers, security, and compliance in the financial sector: putting it all together|https://www.stackrox.com/post/2017/12/containers-security-and-compliance-in-the-financial-sector-putting-it-all-together/]]|Container|
|2017.12.05|The Register|[[Good news: Unsecured Amazon Web Services S3 bucket discovery just got easier|https://www.theregister.co.uk/2017/12/05/unsecured_s3_bucket_discovery_tools/]]|Detection AWS|
|2017.12.01|SC Magazine|[[Stanford University server exposes data of 10,000 staffers|https://www.scmagazine.com/home/network-security/stanford-university-server-exposes-data-of-10000-staffers/]]|DataLeak|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Décembre 2017]]>>
|!Novembre|!Sources|!Titres et Liens|!Mots clés|
|2017.11.29|//MacAfee//|[[Eight Security Capabilities You Need to Protect Your Amazon Web Services Infrastructure|https://www.skyhighnetworks.com/cloud-security-blog/eight-security-capabilities-you-need-to-protect-your-amazon-web-services-infrastructure/]]|AWS Protect|
|2017.11.28|//Talos / Cisco //|[[ROKRAT Reloaded|https://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html]]|Malware|
|2017.11.27|//Nuageo//[>img[i/flag_fr.png]]|[[RGPD en pratique : un règlement pour relancer la confiance ?|https://www.nuageo.fr/2017/11/rgpd-relancer-la-confiance/]]|GDPR|
|2017.11.27|//Sysdig//|[[Kubernetes Security: How to harden internal kube-system services (4/4)|https://sysdig.com/blog/kubernetes-security-harden-kube-system/]]|Kubernetes|
|2017.11.17|Forrester|[[The Forrester Wave™: Identity-As-A-Service, Q4 2 017|https://www.idaptive.com/sites/default/files/resources/downloads/The%20Forrester%20Wave%E2%84%A2_%20Identity-As-A-Service%2C%20Q4%202017.pdf]]|Report|
|2017.11.16|//Kromtech//|[[Australian Broadcasting Corporation Exposed Sensitive Data Online|https://kromtech.com/blog/security-center/australian-broadcasting-corporation-exposed-sensitive-data-online]]|DataLeak|
|2017.11.14|//MacAfee//|[[How to Eliminate your AWS GhostWriter Exposure by Understanding S3 Bucket Permissions|https://www.skyhighnetworks.com/cloud-security-blog/how-to-eliminate-your-aws-ghostwriter-exposure-by-understanding-s3-bucket-permissions/]]|AWS Protect|
|2017.11.02|SC Magazine|[[Another misconfigured Amazon S3 server leaks data of 50,000 Australian employees|https://www.scmagazine.com/home/network-security/another-misconfigured-amazon-s3-server-leaks-data-of-50000-australian-employees/]]|AWS DataLeak|
|2017.11.01|//MacAfee//|[[Skyhigh Discovers GhostWriter: MITM Exposure In Cloud Storage Services|https://www.skyhighnetworks.com/cloud-security-blog/skyhigh-discovers-ghostwriter-a-pervasive-aws-s3-man-in-the-middle-exposure/]]|Attacks|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Novembre 2017]]>>
|!Octobre|!Sources|!Titres et Liens|!Mots clés|
|2017.10.30|Jericho Forum|![[The Jericho Cloud Cube Model|https://cloudman.fr/2017/10/30/the-jericho-cloud-cube-model/]]|Governance|
|2017.10.26|//Kromtech//|[[Securing Rsync|https://kromtech.com/blog/security-center/securing-rsync]]|Tools|
|2017.10.24|AWS Insider|[[Researchers Launch Open Source Tool To Protect Amazon S3 Buckets|https://awsinsider.net/articles/2017/10/24/kromtech-tool-to-protect-amazon-s3.aspx]]|AWS AWS|
|2017.10.23|Medium|[[How We Built an Intrusion Detection System on AWS using Open Source Tools|https://medium.com/vtion-ai/how-we-built-an-intrusion-detection-system-on-aws-using-open-source-tools-8b755e965d54]]|AWS Detection|
|2017.10.10|Solutions Review|[[What’s Holding Cloud Security Back?|https://solutionsreview.com/cloud-platforms/whats-holding-cloud-security-back/]]|.|
|2017.10.10|//Nuageo//[>img[i/flag_fr.png]]|[[La confiance à l’ère du digital : c’est pas Byzance !|https://www.nuageo.fr/2017/10/confiance-a-lere-digital-cest-byzance/]]|Trust|
|2017.10.10|//Kromtech//|[[Kromtech Security Center Releases S3 Inspector for Amazon S3 Users|https://kromtech.com/blog/security-center/kromtech-security-center-releases-s3-inspector-for-amazon-s3-users]]|AWS Tools|
|2017.10.06|//Microsoft//|![[The cloud powers greater cyber resilience|https://blogs.microsoft.com/on-the-issues/2017/10/06/cloud-powers-greater-cyber-resilience/]]|Resilience|
|2017.10.06|//Skyhigh Networks//|[[Skyhigh Discovers Ingenious New Attack Scheme on O365 System Accounts|https://www.skyhighnetworks.com/cloud-security-blog/skyhigh-discovers-ingenious-new-attack-scheme-on-office-365/]]|Attack O365|
|2017.10.04|//StackRox//|[[Why a move to containers means a giant leap forward for incident response|https://www.stackrox.com/post/2017/10/why-a-move-to-containers-means-a-giant-leap-forward-for-incident-response/]]|Container Incident|
|2017.10.05|//RedLock//|[[RedLock Report Indicates Data Breaches in the Cloud Will Continue to Rise|https://redlock.io/news/redlock-report-indicates-data-breaches-cloud-will-continue-rise]]|Report|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Octobre 2017]]>>
|!Septembre|!Sources|!Titres et Liens|!Mots clés|
|2017.09.22|//Kromtech//|[[Protect your S3 bucket in a right way|https://kromtech.com/blog/security-center/protect-your-s3-bucket-in-a-right-way]]|AWS|
|2017.09.22|//Kromtech//|[[Verizon Wireless Employee Exposed Confidential Data Online|https://kromtech.com/blog/security-center/verizon-wireless-employee-exposed-confidential-data-online]]|DataLeak|
|2017.09.21|//StackRox//|[[Clearing the enterprise’s path to the public cloud with container security|https://www.stackrox.com/post/2017/09/clearing-the-enterprises-path-to-the-public-cloud-with-container-security/]]|Container|
|2017.09.10|//Microsoft//|Livre Blanc [[Advancing cyber resilience with cloud computing|https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWeEwf]]|Resilience|
|2017.09.08|//Outpost24//|[[Improve Security of Docker, Containers, and Microservices|https://outpost24.com/blog/Improve-Security-Docker-Containers-Microservices]]|Container Docker|
|2017.09.07|//Outpost24//|[[The Google Cloud Platform security|https://outpost24.com/blog/the-google-cloud-platform-security]]|Google|
|2017.09.02|Accounting Today|[[What happened at Cloudnine|https://www.accountingtoday.com/opinion/the-tech-take-what-happened-at-cloudnine]]|Attacks|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Septembre 2017]]>>
|!Août|!Sources|!Titres et Liens|!Mots clés|
|2017.08.29|CSA UK|[[Cloud integration and portability|http://www.cloudsecurityalliance.org.uk/blog/cloudintegrationandportability]]|Portability|
|2017.08.29|//Blackblaze//|[[Hard Drive Stats for Q2 2017|https://www.backblaze.com/blog/hard-drive-failure-stats-q2-2017/]]|Reliability|
|2017.08.24|//Outpost24//|[[Top 10 Microsoft Azure security best practices|https://outpost24.com/blog/top-10-microsoft-azure-best-security-practices]]|AWS|
|2017.08.23|//Microsoft//|[[Microsoft’s perspective on cyber resilience|https://cloudblogs.microsoft.com/microsoftsecure/2017/08/23/microsoft-perspective-on-cyber-resilience/]]|Resilience|
|2017.08.18|Techrepublic|[[Microsoft cloud cybersecurity attacks up 300% in last year, report says|https://www.techrepublic.com/article/microsoft-cloud-cybersecurity-attacks-up-300-in-last-year-report-says/]]|Report|
|2017.08.17|//StackRox//|[[CSI: Container Edition - forensics in the age of containers|https://www.stackrox.com/post/2017/08/csi-container-edition-forensics-in-the-age-of-containers/]]|Container Forensics|
|2017.08.10|//StackRox//|[[Hardening Docker Containers With Docker Security Best Practices|https://www.stackrox.com/post/2017/08/hardening-docker-containers-and-hosts-against-vulnerabilities-a-security-toolkit/]]|Docker Hardening|
|2017.08.08|//StackRox//|[[Protecting against containerized web app attacks|https://www.stackrox.com/post/2017/08/protecting-against-containerized-web-app-attacks/]]|Attacks|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Août 2017]]>>
|!Juillet|!Sources|!Titres et Liens|!Mots clés|
|2017.07.27|//CloudSploit//|[[Introducing: S3 Security Visualizer|https://blog.cloudsploit.com/introducing-s3-security-visualizer-9f0c9df1073e]]|AWS Tools|
|2017.07.20|//Skyhighnetworks//|[[Skyhigh Discovers Super Sneaky Brute Force Attack on High-Value O365 Accounts|https://www.skyhighnetworks.com/cloud-security-blog/skyhigh-discovers-a-targeted-brute-force-attack-on-enterprise-customers/]]|Attack O365|
|2017.07.06|//CloudSploit//|[[The Importance of Continual Auditing in the Cloud|https://blog.cloudsploit.com/the-importance-of-continual-auditing-in-the-cloud-8d22e0554639]]|Audit|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Juillet 2017]]>>
|!Mai|!Sources|!Titres et Liens|!Mots clés|
|2017.06.07|SecurityWeek|[[Popular Chat Platforms Can Serve as C&C Servers: Researchers|https://www.securityweek.com/popular-chat-platforms-can-serve-cc-servers-researchers]]|.|
|2017.06.07|//Trendmicro//|[[How Cybercriminals Can Abuse Chat Platform APIs as C&C Infrastructures|https://documents.trendmicro.com/assets/wp/wp-how-cybercriminals-can-abuse-chat-platform-apis-as-cnc-infrastructures.pdf]]|Report|

<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Juin 2017]]>>
|!Mai|!Sources|!Titres et Liens|!Mots clés|
|2017.05.30|//Secursis//|[[DLP in the Cloud|https://securosis.com/blog/dlp-in-the-cloud]]|DLP|
|2017.05.23|//Outpost24//|[[Docker Vulnerabilities, Failures and Issues|https://outpost24.com/blog/docker-vulnerabilities-failures-and-issues]]|Docker|
|2017.05.19|IT Security Expert|[[How to Stay Safe in the Cloud |https://blog.itsecurityexpert.co.uk/2017/05/how-to-stay-safe-in-cloud.html]]|.|
|2017.05.09|//Blackblaze//|[[Hard Drive Stats for Q1 2017|https://www.backblaze.com/blog/hard-drive-failure-rates-q1-2017/]]|Reliability|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Mai 2017]]>>
|!Avril|!Sources|!Titres et Liens|!Mots clés|
|2017.04.13|Infosec Institute|[[Attacking the Cloud|https://resources.infosecinstitute.com/attacking-the-cloud/]]|Attacks|
|2017.04.04|//Nuageo//[>img[i/flag_fr.png]]|![[Construire un écosystème de confiance dans le Cloud|https://www.nuageo.fr/2017/04/ecosysteme-confiance-cloud/]]|Trust|
|2017.04.04|//Microsoft//|[[Shared Responsibilities for Cloud Computing|https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91]] ([[pdf|https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91/file/153019/2/Shared%20Responsibilities%20for%20Cloud%20Computing%20(2017-04-03).pdf]]) |Governance|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Avril 2017]]>>
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2017.03.09|//Outpost24//|[[The 3 Main Security Risks in IaaS Cloud|https://outpost24.com/blog/3-main-security-risks-in-IaaS-cloud]]|Risks IaaS|
|2017.03.08|//Nuageo//[>img[i/flag_fr.png]]|![[Black-out AWS : le Cloud au ras-du-sol ?|https://www.nuageo.fr/2017/03/black-out-aws-cloud-ras-sol/]]|AWS Outage|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Mars 2017]]>>
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2017.02.23|//Cloudflare//|![[Incident report on memory leak caused by Cloudflare parser bug|https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/]]|CloudBleed Vulnerabilities|
|2017.02.27|//Skyhigh Networks//|↪ [[Cloudbleed: This Time, We Were Ready|https://www.skyhighnetworks.com/cloud-security-blog/cloudbleed-this-time-we-were-ready/]]|CloudBleed|
|2017.03.03|//Skyhigh Networks//|↪ [[Cloudbleed Technical Analysis|https://www.skyhighnetworks.com/cloud-security-blog/cloudbleed-technical-analysis/]]|CloudBleed|
|2017.02.11|//Microsoft//|[[Data Classification for Cloud Readiness|https://gallery.technet.microsoft.com/Data-Classification-for-51252f03]] ([[rapport (pdf)|https://gallery.technet.microsoft.com/Data-Classification-for-51252f03/file/172083/1/Data%20Classification%20for%20Cloud%20Readiness%20(2017-04-11).pdf]])|Governance|
|2017.02.07|//Microsoft//|[[Microsoft Azure Responses to CSA Consensus Assessments Initiative Questionnaire|https://gallery.technet.microsoft.com/Azure-Responses-to-CSA-46034a11]] ([[pdf|https://gallery.technet.microsoft.com/Azure-Responses-to-CSA-46034a11/file/155556/1/Azure%20Responses%20to%20CSA%20CAIQ%20301.pdf]])|Azure CAIQ|
|2017.02.07|//Microsoft//|[[Microsoft Azure Security Response in the Cloud|https://gallery.technet.microsoft.com/Azure-Security-Response-in-dd18c678]] ([[pdf|https://gallery.technet.microsoft.com/Azure-Security-Response-in-dd18c678/file/150826/4/Microsoft%20Azure%20Security%20Response%20in%20the%20cloud.pdf]])|Azure Incidents|
|2017.02.07|//Microsoft//|[[13 Effective Security Controls for ISO 27001 Compliance|https://gallery.technet.microsoft.com/13-Effective-Security-72447e11]] ([[pdf|https://gallery.technet.microsoft.com/13-Effective-Security-72447e11/file/155885/1/13%20Effective%20Security%20Controls%20for%20ISO%2027001%20Compliance.pdf]])|Compliance|
|2017.02.07|//Microsoft//|[[14 Cloud Security Controls for UK cloud Using Microsoft Azure|https://gallery.technet.microsoft.com/14-Cloud-Security-Controls-670292c1]]|Azure Controls|
|2017.02....|ComputerWeekly|[[Why Azure developers need security skills|https://www.computerweekly.com/opinion/Why-Azure-developers-need-security-skills]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Février 2017]]>>
|!Janvier|!Sources|!Titres et Liens|!Mots clés|
|2017.01.31|//Blackblaze//|[[Backblaze Hard Drive Stats for 2016|https://www.backblaze.com/blog/hard-drive-benchmark-stats-2016/]]|Reliability|
|2017.01.12|//Skyhigh Networks//|[[The Science of Detecting Insider Threats in the Cloud|https://www.skyhighnetworks.com/cloud-security-blog/the-science-of-detecting-insider-threats-in-the-cloud/]]|InsiderThreat Detect|
|2017.01.04|Medium|[[Dockerfile security tuneup|https://medium.com/microscaling-systems/dockerfile-security-tuneup-166f1cdafea1]]|Docker|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - Avril 2017]]>>
|!Décembre|!Sources|!Titres et Liens|!Mots clés|
|2016.12.22|//Skyhigh Networks//|[[How to Detect a Data Exfiltration Threat in a Custom App|https://www.skyhighnetworks.com/cloud-security-blog/how-to-detect-a-data-exfiltration-threat-in-a-custom-app/]]|Detect|
|2016.12.15|//Tripwire//|[[Phishing Attack Uses Punycode to Try to Steal Office 365 Credentials|https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/phishing-attack-uses-punycode-to-try-to-steal-office-365-business-credentials/]]|O365 Attack|
|!Novembre|!Sources|!Titres et Liens|!Mots clés|
|2016.11.15|//Blackblaze//|[[Hard Drive Stats for Q3 2016: Less is More|https://www.backblaze.com/blog/hard-drive-failure-rates-q3-2016/]]|Reliability|
|2016.11.15|//MacAfee//|[[8 criteria to ensure you select the right cloud service provider|https://www.cloudindustryforum.org/content/8-criteria-ensure-you-select-right-cloud-service-provider]]|Assessment|
|2016.11.13|//Skyhigh Networks//|![[How to Detect Ransomware Attacking your Cloud Data Repositories|https://www.skyhighnetworks.com/cloud-security-blog/how-to-detect-ransomware-attacking-your-cloud-data-repositories/]]|Ransomware Detect|
|!Octobre|!Sources|!Titres et Liens|!Mots clés|
|2016.10.13||[[2016 IOUG Cloud Security Survey|http://www.ioug.org/d/do/6857]]|Report|
|!Septembre|!Sources|!Titres et Liens|!Mots clés|
|2016.09.22|//Odaseva//|[[In the New Cloud Economy, Big Data Rules and Business Continuity is the Newest Superhero|https://www.odaseva.com/blog/big-data-rules-business-continuity-newest-superhero/]]|BCP|
|!Août|!Sources|!Titres et Liens|!Mots clés|
|04|//MacAfee//|[[17 Security Criteria to Look at When Evaluating a Cloud Service|https://www.skyhighnetworks.com/cloud-security-blog/17-security-criteria-to-look-at-when-evaluating-a-cloud-service/]] ([[document|https://info.skyhighnetworks.com/Cloud-Service-Security-Assessment-Checklist-MFE.html]])|Assessment|
|2016.08.02|//Blackblaze//|[[Hard Drive Stats for Q2 2016|https://www.backblaze.com/blog/hard-drive-failure-rates-q2-2016/]]|Reliability|
|!Juillet|!Sources|!Titres et Liens|!Mots clés|
|2016.07.22|//4D//|[[Should your Company Trust the Public Cloud?|https://www.4d-dc.com/insight/trust-the-public-cloud]]|Trust|
|!Juin|!Sources|!Titres et Liens|!Mots clés|
|2016.06.23|Medium|![[Dockerized Pwnage|https://medium.com/@omercnet/dockerized-pwnage-f4cacecfb129]]|Docker|
|2016.06.07|Infosec Institute|[[Data Sanitization for Cloud Storage|https://resources.infosecinstitute.com/data-sanitization-for-cloud-storage/]]|Sanitization|
|!Mai|!Sources|!Titres et Liens|!Mots clés|
|2016.05.17|//Blackblaze//|[[One Billion Drive Hours and Counting: Q1 2016 Hard Drive Stats|https://www.backblaze.com/blog/hard-drive-reliability-stats-q1-2016/]]|Reliability|
|2016.05.10|Docker|[[Docker Security Scanning safeguards the container content lifecycle|https://blog.docker.com/2016/05/docker-security-scanning/]]|Docker|
|2016.05.05|GigaMon|[[Bringing More Security to OpenStack Clouds with Tap as a Service|https://blog.gigamon.com/2016/05/05/bringing-security-openstack-clouds-tap-service/]]|.|
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2016.03.07|//Skyhigh Networks//|[[620 Cloud Services Still Vulnerable to DROWN One Week After Disclosure|https://www.skyhighnetworks.com/cloud-security-blog/620-cloud-services-still-vulnerable-to-drown-one-week-after-disclosure/]]|Vulnerability DROWN|
|2016.03.01|Silicon.fr[>img[i/flag_fr.png]]|[[Drown : la faille qui met en danger un tiers des serveurs HTTPS|https://www.silicon.fr/drown-faille-danger-tiers-serveurs-https-140674.html]]|Vulnerability DROWN|
|2016.03.01|OpenSSL|[[An OpenSSL User’s Guide to DROWN|https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/]]|Vulnerability DROWN|
|2016.03....|ComputerWeekly|[[Are cloud users worrying about nothing when it comes to data sovereignty?|https://www.computerweekly.com/opinion/Are-cloud-users-worrying-about-nothing-when-it-comes-to-data-sovereignty]]|.|
|!Février|!Sources|!Titres et Liens|!Mots clés|
|2016.02.16|//Blackblaze//|[[Hard Drive Reliability Review for 2015|https://www.backblaze.com/blog/hard-drive-reliability-q4-2015/]]|Reliability|
|!Janvier|!Sources|!Titres et Liens|!Mots clés|
|2016.01.14|KrebsOnSecurity|[[Ransomware a Threat to Cloud Services, Too|https://krebsonsecurity.com/2016/01/ransomware-a-threat-to-cloud-services-too/]]|Attacks|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - 2016]]>>
|!Décembre|!Sources|!Titres et Liens|!Mots clés|
|2015.12.30|Infosec Institute|[[Cloud Computing: Attack Vectors and Counter Measures|https://resources.infosecinstitute.com/cloud-computing-attacks-vectors-and-counter-measures/]]|.|
|2015.12.22|Infosec Institute|[[Deep Packet Inspection in Cloud Containers|https://resources.infosecinstitute.com/deep-packet-inspection-in-cloud-containers/]]|.|
|2015.12.16|MITRE CVE|!DROWN attack [[CVE-2016-0800|https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0800]] Local Command Execution Vulnerability|CVE-2016-0800 DROWN|
|2015.12...|DROWN Attack|↪ [[DROWN Attack web site|https://drownattack.com/]]|CVE-2016-0800 DROWN|
|2015.12...|Wikipedia[>img[i/flag_fr.png]]|↪ [[DROWN|https://fr.wikipedia.org/wiki/DROWN]]|CVE-2016-0800 DROWN|
|2015.12...|Wikipedia|↪ [[DROWN attack|https://en.wikipedia.org/wiki/DROWN_attack]]|CVE-2016-0800 DROWN|
|!Novembre|!Sources|!Titres et Liens|!Mots clés|
|2015.11.20|Infosec Institute|[[Security Vulnerabilities in Cloud Applications|https://resources.infosecinstitute.com/security-vulnerabilities-in-cloud-applications/]]|.|
|!Octobre|!Sources|!Titres et Liens|!Mots clés|
|2015.10.28|Infosec Institute|[[Analyzing the Internals of Cloud Applications|https://resources.infosecinstitute.com/analyzing-the-internals-of-cloud-applications/]]|.|
|2015.10.26|Infosec Institute|[[SecureDB Offers Encryption as a Service|https://resources.infosecinstitute.com/analyzing-the-internals-of-cloud-applications/]]|.|
|2015.10.19|RedZone Podcast|[[An Insider’s Look at the Security of Microsoft Azure – Assume the Breach!|https://soundcloud.com/theredzonepodcast/an-insaciders-look-at-the-security-of-microsoft-azure-assume-the-breach-episode-28]] (podcast)|.|
|2015.10.14|//Blackblaze//|[[What Can 49,056 Hard Drives Tell Us? Hard Drive Reliability Stats for Q3 2015|https://www.backblaze.com/blog/hard-drive-reliability-q3-2015/]]|.|
|!Septembre|!Sources|!Titres et Liens|!Mots clés|
|2015.09.15|Infosec Institute|[[Establishing a Secure IPSec Connection to the Cloud Server|https://resources.infosecinstitute.com/establishing-a-secure-ipsec-connection-to-cloud-server/]]|.|
|!Août|!Sources|!Titres et Liens|!Mots clés|
|2015.08.25|Jumploud|[[Requirements for a Good Cloud Directory|https://jumpcloud.com/blog/requirements-cloud-directory/]]|Directory|
|!Juillet|!Sources|!Titres et Liens|!Mots clés|
|2015.07.28|//Blackblaze//|[[Hard Drive Reliability Stats for Q2 2015|https://www.backblaze.com/blog/hard-drive-reliability-stats-for-q2-2015/]]|.|
|!Mai|!Sources|!Titres et Liens|!Mots clés|
|2015.05.21|//Blackblaze//|[[Hard Drive Reliability Stats for Q1 2015|https://www.backblaze.com/blog/hard-drive-reliability-q1-2015/]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - 2015]]>>
|!Octobre|!Sources|!Titres et Liens|!Mots clés|
|2014.10....|ComputerWeekly|[[Security Think Tank: Seven strategies for limiting cloud data leakage|https://www.computerweekly.com/opinion/Security-Think-Tank-Seven-strategies-for-limiting-cloud-data-leakage]]|DataLeaks|
|!Novembre|!Sources|!Titres et Liens|!Mots clés|
|2013.11.12|//Blackblaze//|[[How long do disk drives last?|https://www.backblaze.com/blog/how-long-do-disk-drives-last/]]|Reliability|
|!Octobre|!Sources|!Titres et Liens|!Mots clés|
|2013.10.10|Netflix|[[Introducing Chaos to C*|http://techblog.netflix.com/2013/10/introducing-chaos-to-c.html]]|Netflix Resilience|
|!Septembre|!Sources|!Titres et Liens|!Mots clés|
|2013.09.25|//Orange Business Service//[>img[i/flag_fr.png]]|[[CSA STAR Certification - un label de sécurité pour le cloud|https://www.orange-business.com/fr/blogs/securite/cloud-computing/csa-star-certification-un-label-de-securite-pour-le-cloud]]|[[STAR]]|
|!Mai|!Sources|!Titres et Liens|!Mots clés|
|2013.05.20|Netflix|[[Conformity Monkey - Keeping your cloud instances following best practices|http://techblog.netflix.com/2013/05/conformity-monkey-keeping-your-cloud.html]]|Netflix|
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2013.03.27|//Rapid7//|[[There's a Hole in 1,951 Amazon S3 Buckets|https://blog.rapid7.com/2013/03/27/open-s3-buckets/]]|AWS Bucket DataLeak|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - 2013]]>>
|!Octobre|!Sources|!Titres et Liens|!Mots clés|
|2012.10.29|Netflix|[[Post-mortem of October 22, 2012 AWS degradation|http://techblog.netflix.com/2012/10/post-mortem-of-october-222012-aws.html]]|Netflix|
|!Juilet|!Sources|!Titres et Liens|!Mots clés|
|2012.07.30|Netflix|[[Chaos Monkey Released Into The Wild|http://techblog.netflix.com/2012/07/chaos-monkey-released-into-wild.html]]|Netflix|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - 2012]]>>
|!Mai|!Sources|!Titres et Liens|!Mots clés|
|25|Digi.Ninja|[[Analysing Amazon's Buckets|https://digi.ninja/blog/analysing_amazons_buckets.php]]|AWS|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - 2011]]>>
|!Mars|!Sources|!Titres et Liens|!Mots clés|
|2010.03...|ComputerWeekly|[[Jericho Forum: Self-assessment guide (1/2)|https://www.computerweekly.com/video/Jericho-Forum-Self-assessment-guide]]|.|
|2010.03...|ComputerWeekly|[[Jericho Forum: Cloud computing (2/2)|https://www.computerweekly.com/video/Jericho-Forum-Cloud-computing]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - 2010]]>>
|!Avril|!Sources|!Titres et Liens|!Mots clés|
|2009.04.17|ZDnet|[[Jericho Forum offers cloud security tips|https://www.zdnet.com/article/jericho-forum-offers-cloud-security-tips/]]|.|
|2009.04.17|Jericho Forum|[[Securely Collaborating in the Clouds|https://www.youtube.com/watch?v=2Hq9FEqUntI]] (vidéo)]]|.|
<<tiddler .ReplaceTiddlerTitle with: [[Veille Web - 2009]]>>
!Les nouveautés de la semaine du 18 au 24 mars 2019 - https://CloudSecurityAlliance.fr
# [>img[i/FR.jpg]][>img[i/cloud-security-alliance-2.png]]
** +++*[Détails »]> <<tiddler [[]]>>=== 
!Veille Web
La [[Veille Web]] avec une cinquantaine de liens, dont :
* ...
!Agenda
* ...
!Contacts
Rejoignez nous sur [[Slack]] (si vous êtes déjà membre de notre groupe sur [[LinkedIN]])
!"A Decade of Vision"
[>img(150px,auto)[iCSA/ACKSITC.png]]Article de blog publié le 18 mars 2019 — Rédigé par Katalin Jakucs, PR Manager & Chief Storyteller, Tresorit
<<<
//En migrant les données vers le Cloud, les entreprises peuvent bénéficier d'une évolutivité, d'une facilité d'utilisation, d'une collaboration et d'une mobilité accrues, ainsi que d'importantes économies de coûts. Le Cloud peut être très attrayant pour les experts du sujet, dans la mesure où ils n'ont plus à investir dans la construction et la maintenance de leur propre infrastructure. Cependant, le Cloud engendre également des défis en matière de sécurité de l'information.
Étant donné que dans le Cloud la densité de données est beaucoup plus élevée que dans le cas d'un stockage local, le Cloud offre une plus grande surface d'attaque.//
[...]
//En conclusion, même si les données stockées sont cryptées chez un prestataire de stockage dans le Cloud, c'est le type de cryptage et les méthodes de gestion des clés qui importent. Vos documents, mais aussi vos clés doivent être conservés en lieu sûr. La cryptographie à clé publique combinée à des algorithmes de chiffrement symétriques puissants est un moyen standard et éprouvé qui permet de partager des documents avec d'autres personnes sans que le prestataire de stockage ou un tiers n'ait accès à vos fichiers. Cherchez des solutions qui vous permettent d'utiliser vos propres clés matérielles ou celles qui ne permettent pas de réinitialiser les mots de passe, un bon signe que le prestataire n'aura pas accès à vos clés. C'est la seule façon de s'assurer que les données sont protégées contre les atteintes à la protection des données.//
<<<
__Liens :__
* &rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/03/18/are-cryptographic-keys-safe-cloud/]] sur le blog de la CSA
!Les nouveautés de la semaine du 11 au 17 mars 2019
# [>img[i/FR.jpg][https://CloudSecurityAlliance.fr]][>img[i/cloud-security-alliance-2.png][https://CloudSecurityAlliance.fr]]Synthèse des présentations données lors du CSA Summit en début de semaine (2/2)
** +++*[Détails »]> <<tiddler [[2019.03.12 - CSA Summit Recap Part 2: CSP & CISO Perspective]]>>=== 
!Veille Web
La [[Veille Web]] avec une cinquantaine de liens, dont :
* Un rapport de //Proofpoint// mentionnant notamment la réutilisation d'une (ancienne) technique par des acteurs malveillants pour accéder à des comptes //O365// ou //G-Suite// : IMAP.
* Du ''chiffrement homomorphique'' par //Samsung//, ''Azure AD Connect Health'' par //Semperis//, //Box// comme source de ''fuite de données'' par //Adversis//, ''Cuckoo SandBox'' sur //AWS//...
* Des réflexions de ''Richard Bejtlich'' (//Tao Security//)
!Agenda
* Jeudi prochain : conférence gratuite ''Forum Securité@Cloud 2019'' dans le cadre du salon "Cloud Computing World Expo" les 20 et 21 mars 2019, avec notamment 
l'animation de la matinée du jeudi 21 mars sur le thème "''Cyber-résilience ou comment faire face à l’accélération des menaces de sécurité dans le Cloud ?''" * Inscription sur [[cloudsecurityalliance.fr/go/j2bs/|https://cloudsecurityalliance.fr/go/j2bs/]] ** +++*[Détails »]> <<tiddler [[2019.02.23 - Forum Securité@Cloud 2019]]>>=== !Autres * Ouverture d'un sondage "''2019 Cloud Security Research''" par le groupe //Information Security// sur LinkedIn, //Delta Risk//, //Cybersecurity Insiders// ** +++*[Détails »]> <<tiddler [[2019.03.14 - Sondage '2019 Cloud Security Research']]>>=== * Mise à jour de l'article "Références / OWASP" !Contacts Rejoignez nous sur [[Slack]] (si vous êtes déjà membre de notre groupe sur [[LinkedIN]])
!Participez au sondage '2019 Cloud Security Research'
[>img(300px,auto)[i/2019CloudSecuritSurveyDeltaRisk.jpg]]Le groupe LinkedIn +++*[Information Security Community]> Lien → https://www.linkedin.com/groups/38412/ ===, la société +++*[Delta Risk]> Delta Risk est une société américaine fondée en 2007 qui fournit des services de sécurité dns le Cloud dont du //SOC-as-a-Service//. 
Lien → https://deltarisk.com/ === et le site d'information +++*[Cybersecurity Insiders]> Lien → https://www.cybersecurity-insiders.com/ === se sont associés pour lancer une étude sur les tendances en matière de sécurité du Cloud. Le questionnaire compte une soixantaine de questions. Les résultats complets seront transmis à ceux qui y répondent et communiquent un email pour les recevoir. Pour vous y préparer et estimer la durée nécessaire pour répondre, les questions sont disponibles +++*[ici]> Les questions sont réparties en 9 catégories :// * __Welcome__ :1. How concerned are you about the security of public clouds? :2. Did your organization experience a public cloud related security incident in the last 12 months? :3. If yes, what type of incident was it? * __Cloud Security Risk__ :4. How confident are you in your organization’s cloud security posture? :5. What are your biggest cloud security concerns? :6. Compared to traditional, on-prem IT environments, would you say the risk of security breaches in a public cloud environment is? :7. Are public cloud apps / SaaS (such as Salesforce and Office 365) more or less secure than on-premises applications? :8. What cloud IaaS provider(s) do you currently use or plan to use in the future? :9. What are your biggest operational, day-to-day headaches trying to protect cloud workloads? :10. What do you see as the biggest security threats in public clouds? :11. Has your organization ever been hacked in the cloud? * __Cloud Services__ :12. Which of the following cloud SaaS services are currently deployed in your organization? :13. What services & workloads is your organization deploying in the cloud? :14. What types of corporate information do you store in the cloud? :15. How many active cloud IaaS provider accounts are currently in use in your organization? :16. What security capabilities have you deployed in the cloud? :17. How do you protect data in the cloud? * __Cloud Security Technologies__ :18. How well do your traditional network security tools / appliances work in cloud environments? :19. What are the main drivers for considering cloud-based security solutions? :20. What are the main barriers to migrating to cloud-based security solutions? :21. Which part of the cloud compliance process is the most challenging? :22. If you secure your workloads (VMs and container instances) on-prem, how important is continuous compliance when they migrate to the cloud? * __Cloud Adoption__ :23. What is your organization's state of adoption of cloud computing? :24. What is your primary cloud deployment strategy? :25. How has cloud computing delivered on the promised benefits for your organization? :26. What overall benefits have you already realized from your cloud deployment? :27. What are the biggest barriers holding back cloud adoption in your organization? :28. Which of the following security controls would most increase your confidence in adopting public clouds? :29. When moving to the cloud, how do you handle your changing security needs? :30. What surprises did you uncover that may slow/stop cloud adoption? * __Cloud Vendors__ :31. Which of the following platforms do you think provides sufficient native cloud security controls and services? :32. How satisfied are you with your current cloud security vendor? :33. How likely is your organization to deploy a new cloud security solution within the next 12 months? :34. What are the main reasons why you would consider switching to a new cloud security vendor? :35. What do you look for in your cloud security provider? :36. What criteria do you consider most important when evaluating a cloud security solution? :37. Which of the following cloud security solutions are you currently using or plan to use in the near future? :38. What features do you find most useful in a cloud security solution? :39. What billing model do you prefer? * __Budget Trends__ :40. How is your cloud security budget changing in the next 12 months? :41. If the budget for your security program will increase, indicate by what percentage? :42. What percentage of your IT security budget is allocated to cloud security? :43. What is the data leakage vector that you find most concerning for your organization? :44. What does your organization do for securing cloud data on employees’ personal devices? :45. Which of the following cloud activities do you have visibility into? :46. What anti-malware tool does your organization currently use to secure cloud data? :47. What are your cloud security priorities for your company this year? :48. Do you integrate your DevOps toolchain into your cloud deployments? :49. Do you deploy containers? :50. How do you source cloud security? :51. How do you secure containers? * __Training and Certifications__ :52. How would you rate your team’s overall security readiness? :53. What percentage of your employees would benefit from security training and/or certification for their job? :54. How effective is your current security training program? :55. How valued by your employer are the following certifications (regardless of whether or not you have these security certifications)? :56. Which of the following topic areas would you find most valuable for ongoing training and education to be successful in your current role? :57. What are the most important security skills required in your organization? :58. What forms of security training does your organization provide? :59. Does your organization provide incentives for security training and certification? * __Demographics__ :60. What is your job title? :61. What department do you work in? :62. How many employees work at your company in total (worldwide)? :63. What industry is your company in? :64. What security certifications do you hold? :65. Email Address (optionnel) :66. First Name (optionnel) :67. Last Name :68. Job Title :69. Organization :70. Please add any other feedback you would like to share with us :71. Would you like to be contacted regarding cloud security solutions? // === __Liens :__ * Annonce du sondage → [[cloudsecurityalliance.fr/go/j3ea/|https://cloudsecurityalliance.fr/go/j3ea/]] * Lien vers le sondage → [[cloudsecurityalliance.fr/go/j3es/|https://cloudsecurityalliance.fr/go/j3es/]]
!"//Sommet de la CSA (2) : la problématique des prestataires Cloud et des RSSI//"
Article de blog publié le 12 mars 2019 — Rédigé par Elisa Morrison, Marketing Intern, Cloud Security Alliance
<<<
Retour sur les autres présentations et les problématiques des prestataires Cloud et des RSSI ;
* "''Can you trust your eyes? Context as the basis for “Zero Trust” systems''" par Jason Garbis +++*[Présentation »]> Lien de téléchargement →  https://cloudsecurityalliance.org/artifacts/can-you-trust-your-eyes === 
:[...]
* "''Securing Your IT Transformation to the Cloud''" par Jay Chaudhry, Bob Varnadoe, and Tom Filip +++*[Présentation »]> Lien de téléchargement →  https://cloudsecurityalliance.org/artifacts/securing-your-it-transformation === 
:[...]
* Table ronde "''Ten Years in the Cloud''"
>La responsabilité de protéger les consommateurs et les entreprises s'est considérablement accrue. Entre-temps, le rôle du RSSI est en train de changer - ses responsabilités englobent désormais à la fois les utilisateurs et l'entreprise. Les RSSI sont confrontés à des défis car les outils existants ne se transposent pas toujours dans le Cloud. Il faut maintenant lier la valeur du programme de sécurité aux activités des entreprises, et la fonction de sécurité a changé, surtout en matière de soutien. À la lumière de ces changements, les intervenants de la table ronde ont mis en évidence les 5 thèmes suivants dans leur bilan des 10 dernières années de Cloud.
>• Identité en tant que nouveau périmètre. Comment pouvons-nous identifier les gens qui sont ce qu'ils prétendent être ?
>• Le DevOps est critique pour la sécurité, car il permet d'intégrer la sécurité dans l'application, mais c'est aussi un risque car l'implémentation est plus rapide et il y a plus de développeurs.
>• S'assurer que la sécurité est vraiment intégrée dans le code. Les itérations en temps réel nécessitent une sécurité codifiée.
>• Menaces et protection des données. Cette question figure sur la liste des choses à faire sur le plan législatif dans de nombreux états américains. C'est comparable à l'intérêt généré par la protection de la vie privée dans les services financiers et dans le secteur de la santé.
>• L'industrie de la sécurité dans son ensemble nous laisse tous tomber. Elle ne résout pas les problèmes en temps réel. A mesure que les logiciels deviennent plus complexes, ils génèrent toujours plus de complexité. Pour cette raison, il est nécessaire de penser orchestration.	
* "''Finally! Cloud Security for Unmanaged Devices… for All Apps''" par Nico Popp +++*[Présentation »]> Lien de téléchargement →  https://cloudsecurityalliance.org/artifacts/symantec === 
:[...]
* "''Lessons from the Cloud''" par David Cass +++*[Présentation »]> Lien de téléchargement →  https://cloudsecurityalliance.org/artifacts/lessons-from-the-cloud === 
> Le Cloud est un moyen de parvenir à une fin et cette fin nécessite que les entreprises se transforment vraiment. Cela est d'autant plus vrai que les régulateurs s'attendent à un niveau élevé de contrôle dans un environnement Cloud. Ci-dessousles principaux points à retenir :
>• Le Cloud a un impact sur la stratégie et la gouvernance, depuis la stratégie, les contrôles, la surveillance, la mesure et la gestion de l'information jusqu'aux aspects de communication externe.
>• Le Cloud d'entreprise nécessite une approche programmatique avec les données au centre et les contrôles natifs sy cantonnent. Le Cloud est un périple, t non pas qu'un changement technologique.
>• L'élaboration d'une stratégie de sécurité dans le Cloud nécessite la prise en compte de la consommation de services, IaaS, PaaS, et SaaS. Il est également important de garder à l'esprit que le Cloud n'est pas qu'une démarche de l'informatique.
* "''Security Re-Defined''" par Jason Clark et Bob Schuetter +++*[Présentation »]> Lien de téléchargement →  https://cloudsecurityalliance.org/artifacts/security-redefined/ === 
:[...]
* "''Blockchain Demo : OpenCPE''" +++*[Présentation »]> Lien de téléchargement →  https://cloudsecurityalliance.org/artifacts/blockchain-demo === 
:[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/03/12/csa-summit-recap-part-2-csp-ciso/]] sur le blog de la CSA
!Les nouveautés de la semaine à consulter sur notre site CloudSecurityAlliance.fr
# [>img[i/FR.jpg]][>img[i/cloud-security-alliance-2.png]]Synthèse des présentations données lors du CSA Summit en début de semaine (1/2)
** +++*[Détails »]> <<tiddler [[2019.03.08 - CSA Summit Recap Part 1: Enterprise Perspective]]>>=== 
# Publication des présentations données lors du CSA Summit en début de semaine
** +++*[Détails »]> <<tiddler [[2019.03.05 - Présentations faites au CSA Summit]]>>=== 
# Annonce et publication d'un Référentiel de Contrôle Sécurité pour l'IoT et de son guide associé
** +++*[Détails »]> <<tiddler [[2019.03.05 - Guide et Référentiel de Contrôle Sécurité pour l'IoT]]>>
[img(200px,1px)[i/BluePixel.gif]]<<tiddler [[2019.03.05 - CSA Guide and IoT Security Controls Framework]]>> === 
!Veille Web
La [[Veille Web]] consolide des articles, documents et rapports publiés en source ouverte depuis la dernière newsletter, avec notamment :
* Une compromission chez Citrix (APT), une porte dérobée qui utilise Slack et Github pour communiquer, 
* La publication du 24^^ème^^ "Security Intelligence Report" de Microsoft et son volet Cloud
* Les suites de l'exploitation de la vulnérabilité "//runc//" / CVE-2019-5736
!Agenda
* Conférence gratuite ''Forum Securité@Cloud 2019'' dans le cadre du salon "Cloud Computing World Expo" les 20 et 21 mars 2019, avec notamment 
l'animation de la matinée du jeudi 21 mars sur le thème "''Cyber-résilience ou comment faire face à l’accélération des menaces de sécurité dans le Cloud ?''" * Inscription sur [[cloudsecurityalliance.fr/go/j2bs/|https://cloudsecurityalliance.fr/go/j2bs/]] ** +++*[Détails »]> <<tiddler [[2019.02.23 - Forum Securité@Cloud 2019]]>>=== !Contacts Rejoignez nous sur [[Slack]] (si vous êtes déjà membre de notre groupe sur [[LinkedIN]])
!"//Sommet de la CSA (1) : la problématique des entreprises//"
Article de blog publié le 8 mars 2019 — Rédigé par Elisa Morrison, Marketing Intern, Cloud Security Alliance
<<<
Le 10^^ème^^ anniversaire de la CSA et la [[remise des prix de la Décennie de l'excellence|2019.03.05 - A Decade of Vision]] ont donné à ce Sommet du CSA (CSA Summit) un sentiment d'accomplissement qui est de bon augure, mais qui incite également la communauté de la CSA à poursuivre sa quête de l'excellence.

Le thème commun était le " voyage vers le Cloud " et soulignait comment les organismes peuvent non seulement aller plus vite, mais aussi réduire les coûts durant ce périple. Le Sommet de cette année a également abordé l'avenir de la protection de la vie privée et des technologies de rupture, et a présenté les plus récentes initiatives de la CSA en ce qui concerne Blockchain, l'IoT. La première partie de ce résumé du Sommet de la CSA présente les sessions du Sommet axées sur la problématique des entreprises.
[...][>img(300px,auto)[iCSA/3-sensitive.png]]
Les présentations données sont les suivantes :
* "''Securing Your IT Transformation to the Cloud''" par Jay Chaudhry, Bob Varnadoe, et  Tom Filip
:[...]
* "''The Future of Privacy: Futile or Pretty Good?''" par Jon Callas
:[...]
* "''From GDPR to California Privacy''" par Kevin Kiley
:[...]
* "''Building an Award-Winning Cloud Security Program''" par Pete Chronis et Keith Anderson
:[...]
* "''Case Study: Behind the Scenes of MGM Resorts’ Digital Transformation''" par Rajiv Gupta et Scott Howitt
:[...]
* "''Taking Control of IoT''" par Hillary Baron
:[...]
* Table ronde "''The Approaching Decade of Disruptive Technologies''"
:[...]
* "''CISO Guide to Surviving an Enterprise Cloud Journey''" par Andy Kirkland, Starbucks
> Il y a cinq ans, le Directeur de la Sécurité de l'Information de Starbucks, Andy Kirkland, recommandait de ne pas aller dans le Cloud par mesure de précaution. Depuis, Starbucks a migré vers le Cloud et a beaucoup appris en cours de route. Vous trouverez ci-dessous un aperçu des conseils de survie de Starbucks à l'intention des entités qui veulent survivre à une migration dans le Cloud :
>• Établir des définitions de la charge de travail pour comprendre les critères
>• Utiliser des contrôles normalisés à l'échelle de l'entreprise
>• Offrir une formation en sécurité aux technologues
>• Disposer d'un triage des incidents de sécurité adapté à votre fournisseur de Cloud Computing
>• Établir de la visibilité sur l'efficacité des contrôles de sécurité dans le Cloud.
>• Définir le processus d'amélioration de la sécurité pour permettre à la sécurité de prendre de l'ampleur
* Table ronde "''CISO Counterpoint''"
> Au cours de cette table ronde, des RSSI de premier plan ont discuté de leurs expériences en matière d'adoption du Cloud pour les applications d'entreprise. Jerry Archer, le CSO de Sallie Mae, a décrit leur parcours d'adoption du Cloud comme une avance pas à pas sur le chemin de la réussite "nibbling our way to success". Ils ont commencé par migrer dans le Cloud des petits éléments. En maintenant des échanges constants avec les régulateurs, il n'y a pas eu de surprises lors de la migration vers le Cloud. Maintenant, ils n'ont plus de biens matériels. D'autres éléments à retenir sont qu'en 2019, les conteneurs ont évolué et que l'on voit maintenant : la sécurité des braises, les arbitrages des charges et RAIN (Refracting Artificial Intelligence Networks).
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/03/08/csa-summit-recap-part-1/]] sur le blog de la CSA
!"//CCSK Success Stories: From an Information Systems Security Manager//"
[>img(150px,auto)[iCSA/CCSKtraining.png]]Article de blog publié le 7 mars 2019 —
<<<
__''Retour d'expérience sur le [[CCSK]] : le point de vue d'un RSSI''__
Troisième partie d'une série de blogs sur la formation à la sécurité dans le Cloud, avec l'interview Paul McAleer, un ancien militaire qui est actuellement directeur de la sécurité des systèmes d'information chez Novetta Solutions, une société d'analyse de données. Il a passé plusieurs certifications ([[CCSK]], CISSP, CISSP, CISM et CAP)
[...]
//Question : Quelle est la partie du [[CCSK]] la plus pertinente dans votre travail et pourquoi ?
C'est le sujet de la gestion de la conformité et du contrôle (Compliance and Audit Management), qui était dans le domaine 4 du Guide CSA v3. Je pense que ce domaine est plus lié à mon expérience professionnelle que tout autre domaine en raison de mes activités liées à la conformité du Cloud au moment où j'ai passé ma certification. C'est clairement de cette partie que j'en ai retiré le plus, avec des problématiques liées à la gestion des risques d'entreprise, à la conformité et aux contrôles, ainsi qu'à la gouvernance d'entreprise. Le domaine de la gestion de l'information et de la sécurité des données était également un domaine très pertinent pour mes activités.//
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/03/07/issm-ccsk-success-stories/]] sur le blog de la CSA
&rArr; Lire la première partie +++*[ici]> <<tiddler [[2018.11.19 - CCSK Success Stories]]>> === et la seconde+++*[la]> <<tiddler [[2019.01.24 - CCSK Success Stories: From the Financial Sector]]>> === 
!"Présentations faites au CSA Summit en mars 2019"
Les présentations sont disponibles en téléchargement, soit de façon unitaire, soit sous la forme d'un paquet au format "zip" de 70 Mo.
Il s'agit de :
* "''Blockchain Demo''" par Kurt Seifried, Chief Blockchain Officer, Cloud Security Alliance
* "''Lessons from the Cloud''" par David Cass, Chief Information Security Officer Cloud and SaaS Operations & Global Partner Cloud Security Services, IBM
* "''Finally! Cloud Security for Unmanaged Devices…for All Apps''" par Nico Popp, Senior Vice President Information Protection, Symantec
* "''CSA STAR: The Leading Cloud Trust and Accountability Program''" par Daniele Cattaddu, Chief Technology Officer, CSA
* "''Taking Control of IoT''' par Hillary Baron, Research Analyst, CSA
* "''Case Study: Behind the Scenes of MGM Resorts’ Digital Transformation''" par Rajiv Gupta, Senior Vice President, Cloud Security Business Unit, McAfee & Scott Howitt, Senior Vice President & Chief Information Security Officer, MGM Resorts International
* "''From GDPR to California Privacy: Managing Cloud Vendor Risk''" par Kevin Kiley, Vice President of Sales & Business Development, OneTrust
* "''Securing your IT Transformation to the Cloud''" par Jay Chaudhry, CEO and Founder of Zscaler & Bob Varnadoe, CISO at NCR & Tom Filip, Director of Global Security Architecture, Kellogg Company
* "''Can you trust your eyes? Context as the basis for “Zero Trust” systems''" par Jason Garbis, Vice President of Cybersecurity Products, Cyxtera
* "''Security Re-Defined: How Valvoline Went to the Cloud to Transform its Security Program and Accelerate Digital Transformation''" par Jason Clark, Chief Strategy Officer, Netskope & Bob Schuetter, Chief Information Security Officer, Valvoline
__Liens :__
* &rArr; lien de téléchargement [[cloudsecurityalliance.fr/go/j35C|https://cloudsecurityalliance.fr/go/j35C]]
!"Cloud Security Alliance Debuts Internet of Things (IoT) Controls Framework and Accompanying Guide"
[>img(250px,auto)[iCSA/IoTSCF+G.jpg]]Annonce du 4 mars 2019 — Rédigé par Jim Reavis, Co-founder and CEO, Cloud Security Alliance
<<<
La Cloud Security Alliance (CSA) annonce la publication du "Référentiel de Contrôle IoT" ("//IoT Controls Framework//"), le premer de ce genre pour la CSA. Il présente les contrôles de sécurité de base nécessaires à l'atténuation de nombreux risques associés à un système IoT dans un environnement confronté à des menaces diverses.
Créé par le groupe de travail "IoT Working Group", ce nouveau référentiel est complété par un "Guide d'Usage du Référentiel de Contrôle de l'IoT" ("//Guide to the CSA Internet of Things (IoT) Controls Framework//") qui fournit les éléments de contexte pour évaluer et mettre en oeuvre un environnement IoT qui comporte divers types de composants connectés, de services Cloud, et de technologies de communication.

Avec la mise en œuvre de systèmes IoT de plus en plus complexes, définis par l'ENISA comme "un ou plusieurs écosystèmes cyberphysiques de capteurs passifs et actifs interconnectés, qui permettent une prise de décision intelligente" ("//cyber-physical ecosystem[s] of interconnected sensors and actuators, which enables intelligent decision making//"), il est nécessaire de fournir des directives claires pour identifier les contrôles de sécurité appropriés et les affecter à certains des composants. Ces derniers sont constitués notamment de capteurs passifs ou actifs simples, de dispositifs périmétriques ou embarqués, d'appareils ou applications mobiles, de dispositifs intermédiaires sur site, de passerelles Cloud et d'applications et de services Cloud. 
[...] 
<<<
__Liens :__
* &rArr; Lire [[la suite|https://www.cloudsecurityalliance.org/articles/csa-debuts-iot-controls-framework-and-guide/]] sur le [[site de la Cloud Security Alliance|https://blog.cloudsecurityalliance.org/]]
* &rArr; Les deux documents mentionnés : [[le Référentiel et le Guide|2019.03.05 - CSA Guide and IoT Security Controls Framework]]
!"CSA IoT Security Controls Framework" and "CSA Guide to the IoT Security Controls Framework"
[>img(250px,auto)[iCSA/IoTSCF+G.jpg]]__"''CSA IoT Security Controls Framework''"__
<<<
//The Internet of Things (IoT) Security Controls Framework introduces the base-level security controls required to mitigate many of the risks associated with an IoT system that incorporates multiple types of connected devices, cloud services, and networking technologies. The IoT Security Controls Framework provides utility across many IoT domains from systems processing only “low-value” data with limited impact potential, to highly sensitive systems that support critical services. The Framework also helps users identify appropriate security controls and allocate them to specific components within their IoT system.//
<<<
__"''CSA Guide to the IoT Security Controls Framework''"__
<<<
//The Internet of Things (IoT) Security Controls Framework introduces the base-level security controls required to mitigate many of the risks associated with an IoT system that incorporates multiple types of connected devices, cloud services, and networking technologies. The IoT Security Controls Framework provides utility across many IoT domains from systems processing only “low-value” data with limited impact potential, to highly sensitive systems that support critical services. The Framework also helps users identify appropriate security controls and allocate them to specific components within their IoT system.//
<<<
__Liens :__
* &rArr; Lire [[la suite|https://www.cloudsecurityalliance.org/articles/csa-debuts-iot-controls-framework-and-guide/]] sur le [[site de la Cloud Security Alliance|https://blog.cloudsecurityalliance.org/]]
* &rArr; Téléchargement du référentiel : [[cloudsecurityalliance.fr/go/j35f|https://cloudsecurityalliance.fr/go/j35f]] (inscription nécessaire pour accéder au document au format .xlsx)
* &rArr; Téléchargement du guide : [[cloudsecurityalliance.fr/go/j35g|https://cloudsecurityalliance.fr/go/j35g]] (inscription nécessaire pour accéder au document au format .pdf)
!"A Decade of Vision"
[>img(150px,auto)[iCSA/10-years.png]]Article de blog publié le 4 mars 2019 — Rédigé par Jim Reavis, Co-founder and CEO, Cloud Security Alliance
<<<
Le développement d'une organisation prospère et durable dépend de nombreux facteurs : des services de qualité, une vision du marché, l'orientation, l'exécution, le bon timing, et peut-être une petite dose de chance. Pour la Cloud Security Alliance, qui célèbre aujourd'hui son 10^^ème^^ anniversaire, j'ajouterais un autre élément : des gens qui croyent en votre projet.

Bien que nous ayons eu quelques sceptiques, nous avons eu plus de soutiens qui nous ont aidés à réaliser notre vision et nous ont permis d'être l'une des plus importantes associations mondiales de sécurité de l'information. C'est l'occasion pour nous de rendre hommage à trois de ces soutiens, qui sont là depuis le tout début et qui sont toujours restés très liés à la CSA. Je fais référence à nos trois PDG fondateurs [...] Philippe Courtot, PDG de Qualys, [...] Jay Chaudhry, PDG de  Zscaler, [...] Phil Dunkelberger, PDG de Nok Nok Labs, alors dirigeant de PGP Corporation. 
[...] 
<<<
__Liens :__
* &rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/03/05/decade-vision/]] sur le blog de la CSA
* &rArr; Lire [[le communiqué de presse associé|https://www.cloudsecurityalliance.org/articles/csa-announces-decade-of-vision-leadership-award-winners/]]
!"Cloud Security Alliance and Internet Security Conference Sign Memorandum of Understanding"
<<<
//The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining and raising awareness of best practices to help ensure a secure cloud computing environment, today entered into a Memorandum of Understanding with the Internet Security Conference. CSA Co-founder and CEO Jim Reavis and Mrs. Han Xiao, Secretary General of Internet Security Conference (ISC), penned the agreement during a ceremony that took place as part of the CSA Summit today.//
[...]
//As part of the agreement—and at the invitation of the Internet Security Conference (ISC), one of the most insightful high-profile events on network security in Asia-Pacific and worldwide—the CSA will host a CSA Summit co-located with the ISC event in Beijing on Aug. 21-22, 2019. Founded in 2013, the ISC has been successfully held for six years, during which time it has been well recognized, supported and participated by governments, think tanks, business executives, academia, industry influences and technical elites.//
[...] 
<<<
__Liens :__
* &rArr; Lire [[le communiqué de presse associé|https://www.cloudsecurityalliance.org/articles/csa-and-internet-security-conference-sign-memorandum-of-understanding/]]
!Les nouveautés de la semaine à consulter sur notre site CloudSecurityAlliance.fr
# [>img[i/FR.jpg]][>img[i/cloud-security-alliance-2.png]]Publication d'un tableau de correspondance entre les controles de sécurité internes et dans le Cloud : synthèse comparative avec les offres AWS, Azure, Google, Oracle, IBM et Alibaba
** +++*[Détails »]> <<tiddler [[2019.03.01 - Correspondances entre les controles de sécurité internes et dans le Cloud]]>>=== 
# Annonce et publication par le CSA et Whistic de "''CAIQ Lite''"
** +++*[Détails »]> <<tiddler [[2019.03.01 - Présentation de 'CAIQ Lite']]>>=== 
# Publication par le CSA du document "''STAR Continuous Technical Guidance''"
** +++*[Détails »]> <<tiddler [[2019.02.27 - STAR Continuous Technical Guidance]]>>=== 
# Appel à commentaires lancé sur le document "//''Cloud Penetration Testing Guidance''//". La date de clôture est fixée au 25 mars 2019
** +++*[Détails »]> Le lien de téléchargement du document à commenter → [[cloudsecurityalliance.fr/go/j32c|https://cloudsecurityalliance.fr/go/j32c]]
//This document aims to be a guide for conducting penetration testing on cloud services. The document outlines important aspects such as the scoping of cloud penetration tests, test objectives and legal considerations. The document is a complementary guidance document that should be used in conjunction with existing infrastructure and web application testing frameworks.// === 
# Mise à jour de l'article sur la compromission de ''Visma'', prestataire Cloud norvégien
** +++*[Détails »]> <<tiddler [[2019.02.16 - Compromission de Visma, prestataire Cloud en Norvège]]>>=== 
# Publication d'un document "Cloud Application Security Architecture Overview" de juillet 2017 
** +++*[Détails »]> Ce document est le fruit du travail d'un membre du groupe de travail [[SDP]], et compare les aspects IAM entre AWS, GGP et Azure
Extrait :
//This is an informative overview of Cloud AppSec Componentry by SDP WG volunteer Nya Murray. It includes a detailed comparison of IAM across AWS, GCP, and Azure.
The purpose is to provide an overview of the configuration of cloud application security components across cloud infrastructure, comprising software, hosting and network. 
This report is intended to provide a comprehensive end-to-end view of cloud application security configuration comprising web applications for mobile devices and PCs to application services and microservices deployed to public clouds. 
The report considers cloud applications in the context of public cloud SaaS (Software as a Service), PaaS (Platform as a Service) and IaaS (Infrastructure as a Service) software, hosting and network security measures. 
Microsoft Azure, Amazon AWS, and Google Cloud services are considered in this review, although the information pertains equally to IBM Bluemix, Salesforce and Oracle Cloud. 
This overview is taken within the security context that enterprise technology infrastructure is increasingly targeted towards hybrid cloud deployments. (Hybrid cloud uses a mix of on-premises, private cloud and third-party, public cloud services with orchestration between the environments).//
Liens :
* Explication de contexte de ce document → [[cloudsecurityalliance.fr/go/j33g|https://cloudsecurityalliance.fr/go/j33g]]
* Téléchargement du document (accessible après en avoir demandé l'accès) → [[cloudsecurityalliance.fr/go/j33d|https://cloudsecurityalliance.fr/go/j33d]]
=== 
!Veille Web
La [[Veille Web]] consolide des articles, documents et rapports publiés en source ouverte depuis la dernière newsletter
* Ajout de nombreux liens collectés lors de la semaine écoulée
* Plusieurs liens complémentaires ajoutés pour les mois précédents
!Agenda
* "''CSA Summit''" le lundi 4 mars 2019 à San Francisco, dans le cadre de la "RSA Conference 2019"
* Conférence gratuite ''Forum Securité@Cloud 2019'' dans le cadre du salon "Cloud Computing World Expo" les 20 et 21 mars 2019, avec notamment 
l'animation de la matinée du jeudi 21 mars sur le thème "''Cyber-résilience ou comment faire face à l’accélération des menaces de sécurité dans le Cloud ?''" ** +++*[Détails »]> <<tiddler [[2019.02.23 - Forum Securité@Cloud 2019]]>>=== !Contacts Rejoignez nous sur [[Slack]] (si vous êtes déjà membre de notre groupe sur [[LinkedIN]])
!"Introducing CAIQ-Lite"
[>img(200px,auto)[iCSA/CAIQ-LITE-whitepaper.png]]Article de blog publié le 1^^er^^ mars 2019 — par Dave Christiansen, Marketing Director, Whistic
<<<
La [[Cloud Security Alliance]] et ''Whistic'' ont le plaisir de publier la version bêta de ''CAIQ-Lite'', un nouveau référentiel pour l'évaluation des prestataires de Cloud.
[<img(200px,auto)[iCSA/CAIQLite.jpg]]Le ''CSA'' et la société ''Whistic'' ont identifié le besoin d'un questionnaire d'évaluation plus léger que le [[CAIQ]] afin de s'adapter à l'évolution des modèles d'approvisionnement Cloud et de permettre aux professionnels de la cybersécurité de communiquer plus facilement avec les prestataires Cloud.
''CAIQ-Lite'' a ainsi été développé pour répondre aux exigences d'un environnement de cybersécurité de plus en plus dynamique, où l'appropriation de la méthode devient primordiale dans la démarche de sélection d'un prestataire.

Le but initial était d'élaborer un questionnaire efficace contenant 100 questions au maximum : mission réussie puisque ''CAIQ-Lite'' n'en contient que 73 questions, au lieu des 295 questions du [[CAIQ]], tout en maintenant la représentation des 16 domaines de contrôle originaux présents dans la Matrice [[CCM]] 3.0.1.
Il a pour base les contributions et commentaires des membres de la ''CSA'', des clients de la société ''Whistic'', ainsi que d'un panel de centaines de professionnels de la sécurité de l'information. La travaux de recherche sur lesquels se base l'algorithme propriétaire de notation de la société ''Whistic'' ont été utilisés dans le cadre du processus final de sélection des questions pour ''CAIQ-Lite''.

Nous attendons avec impatience les commentaires de la communauté sur ''CAIQ-Lite'', que les membres de la CSA peuvent consulter gratuitement sur le site de la société ''Whistic'', ainsi que sur celui de la ''CSA''. La version actuelle sera améliorée au cours des 12 prochains mois, en tenant compte des commentaires de la communauté. De plus, tous les membres du programme CSA STAR qui ont déjà un ''CAIQ'' bénéficieront automatiquement d'un ''CAIQ-Lite'' généré pour eux sur la plateforme Whistic.

Pour en savoir plus : cliquez sur les liens ci-dessous pour accéder au livre blanc complet, contenant plus de détails sur la création et le déploiement de ce nouveau questionnaire sur les services Cloud. 
<<<
&rArr; Lire l'[[article original|https://cloudsecurityalliance.fr/go/j31b]] sur le blog de la ''CSA''
&rArr; Lire le [[communiqué de presse|https://cloudsecurityalliance.fr/go/j31p]] sur le site de la ''CSA''
&rArr; Accéder au [[document complet|https://cloudsecurityalliance.fr/go/j31w]] sur le site de la société Whistic
!"CSA and Whistic Unveil Streamlined Consensus Assessments Initiative Questionnaire (CAIQ)"
[>img(200px,auto)[iCSA/CAIQ-LITE-whitepaper.png]]Article de blog publié le 1^^er^^ mars 2019 — par Dave Christiansen, Marketing Director, Whistic
<<<
The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining and raising awareness of best practices to help ensure a secure cloud computing environment, and Whistic, the Complete Vendor Security Assessment Platform, today announced the beta release of a Lite version of CSA’s Consensus Assessments Initiative Questionnaire (CAIQ). The new, streamlined version of CAIQ, named CAIQ-Lite, was developed by Whistic in conjunction with CSA and combines data from an independent research panel of hundreds of Information Security professionals, Whistic customer feedback, and CSA member feedback. The project will allow companies throughout the world to more easily use CSA’s industry-leading thought leadership in their cloud vendor security assessments. CSA and Whistic are soliciting community feedback on the project throughout the coming year.

The beta version of CAIQ-Lite released today represents every security control domain from the original questionnaire in a shorter, 73 question format. Citing the increased focus on cloud vendor security and the need for organizations worldwide to perform a significantly higher volume of assessments on a growing population of cloud vendors, Whistic and CSA worked together to develop a Lite version that focused more on accessibility and ease of use for both cloud vendors and the enterprises performing the vendor security risk assessments.

As a part of this beta release, Whistic will make a self-assessment version of CAIQ-Lite available in its vendor security software platform free of charge to all CSA corporate members. Whistic CEO Nick Sorensen said, “In addition to the offer for CSA members, we are excited to accompany this announcement with an offer to assist any cloud vendor in converting their existing CAIQ to the new CAIQ-Lite format by leveraging the technology inside our vendor security platform. We encourage both cloud vendors and enterprises to take advantage of this opportunity and to begin using CAIQ-Lite today.” He further said, “The shared vision among Whistic and CSA on this initiative has always been making the industry-leading research behind CAIQ more accessible to more companies throughout the world. We feel like this streamlined version, along with the ability to leverage the questionnaire in the Whistic Vendor Security Platform, is a giant leap forward in achieving that goal.”
<<<
&rArr; Lire [[le communiqué de presse|https://www.prnewswire.com/news-releases/cloud-security-alliance-and-whistic-unveil-streamlined-consensus-assessments-initiative-questionnaire-caiq-300805126.html]]
&rArr; Lire l'+++*[article du blog] <<tiddler [[2019.03.01 - Présentation de 'CAIQ Lite']]>>
!"Mapping of On-Premises Security Controls vs. Major Cloud Providers"
Un graphique de synthèse a été publié par +++*[Adrian Grigorof] profil LinkedIN → https://www.linkedin.com/in/adrian-grigorof/ === et +++*[Marius Mocanu] profil LinkedIN → https://www.linkedin.com/in/mmocanu/ ===. 
<<<
La migration d'applications hébergées en interne vers le Cloud est invariablement suivie de la transposition des fonctions de contrôles de sécurité vers leurs équivalents Cloud.
Cependant, la légitime séparation entre ces contrôles tend à s'estomper dans le Cloud, avec des chevauchements de fonctionnalités,qui sont parfois proposées à différents niveaux.
Le tableau ci-dessous présente une vue de haut niveau des contrôles de sécurité dans le cloud qui pourraient être utilisés pour reproduire chacune des fonctionnalités que l'on trouve en interne.
<<<
[>img(600px,auto)[i/MOPSC_MCP.png]]Le tableau permet de comparer les 6 offres suivantes :
* AWS, Azure, Google, Oracle, IBM et Alibaba.
Les 27 fonctions intégrées dans le tableau sont les suivantes :
# Firewall & ACLs
# IPS/IDS
# Web Application Firewall (WAF)
# SIEM & Log Analytics"
# Antimalware
# Data Loss Prevention (DLP)
# Key Management
# Encryption At Rest
# DDoS Protection
# Email Protection
# SSL Decryption Reverse Proxy
# Endpoint Protection
# Certificate Management
# Container Security
# Identity and Access Management
# Privileged Access Management (PAM)
# Multi-Factor Authentication
# Centralized Logging - Auditing
# Load Balancer
# LAN
# WAN
# VPN
# Governance Risk and Compliance Monitoring
# Backup and Recovery
# Vulnerability Assessment
# Patch Management
# Change Management

Des versions plus lisibles sont disponibles :
* au format HTML → [[cloudsecurityalliance.fr/go/j31m|https://cloudsecurityalliance.fr/go/j31m]] (avec liens cliquables)
* au format PDF → [[cloudsecurityalliance.fr/go/j31f|https://cloudsecurityalliance.fr/go/j31f]]
* au format SVG → [[cloudsecurityalliance.fr/go/j31v|https://cloudsecurityalliance.fr/go/j31v]]
!"//Cornerstone Capabilities of Cloud Access Security Brokers//"
[>img(100px,auto)[iCSA/TGPOCASB.png]]^^Bien que publié le 14 mars 2019 sur le blog de la CSA, cet article l'a déjà été le 2 janvier 2019 sur le site de la société Bitglass.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/03/14/cornerstone-capabilities-of-cloud-access-security-brokers/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/cornerstone-capabilities-casb]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Education: A Cloud Security Investigation (CSI)//"
[>img(100px,auto)[iCSA/Education.jpg]]^^Bien que publié le 5 mars 2019 sur le blog de la CSA, cet article l'a déjà été le 21 janvier 2019 sur le site de la société Bitglass.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/03/05/education-cloud-security-investigation/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/education-cloud-security-investigation-csi]].^^
[img(200px,1px)[i/BluePixel.gif]]




!STAR Continuous Technical Guidance - Obtaining Certification
[>img(150px,auto)[iCSA/star-technical-guidance-thumb.png]]
<<<
ABOUT CSA STAR CONTINUOUS
STAR Continuous is a continuous compliance assessment program for cloud services and an integral component of the CSA STAR Program. The program gives CSPs the opportunity to align their security validation capabilities with cloud security compliance and certification on an ongoing basis. STAR Continuous specifies the necessary activities and conditions for the continuous auditing of the cloud service over a defined set of security requirements, covering aspects from governance to infra- structure, and requiring the cloud service to define necessary processes that will be executed during the validation of controls within the scope of assessment. The program promotes trust by ensuring that a cloud service’s necessary activities and conditions are continuously met by through continuous auditing, such as through the operationalization of security and privacy requirements.
[...]
<<<
__Liens :__
* &rArr; https://cloudsecurityalliance.org/artifacts/star-continuous-technical-guidance/ 
!Forum Securité@Cloud : Keynote et animation de la matinée "Cyber-Résilience et Menaces Cloud"
__Paris le 23 février 2019 :__[>img(auto,180px)[i/20190321-KeyNote.png]]
 
Dans le cadre du partenariat avec le Salon ''Cloud Computing World Expo'', le [[Chapitre Français de la Cloud Security Alliance|Présentation du Chapitre Français de la Cloud Security Alliance]] animera la matinée du ''Forum Securité@Cloud'' le ''jeudi 21 mars 2019 au matin''.

Le thème retenu pour cette matinée est "''Cyber-résilience ou comment faire face à l’accélération des menaces de sécurité dans le Cloud ?''". Elle comprendra 3 temps forts :
# ''9h30'' : "Keynote d'ouverture" sur le thème "''Face aux attaques, la cyber-résilience par le Cloud ?''"
# ''10h00'' : Animation de la table ronde "''Cloud hybride : enjeux, exigence de sécurité et résilience''"
# ''11h15'' : Animation de la table ronde "''Attaques contre les données dans le Cloud : comment s’en prémunir ?''"
Lieu : Paris, Porte de Versailles, Hall 5.2

Informations complémentaires dans la partie [[Actualités|Actu.2019.02]] de ce site au fur et à mesure, ainsi que sur Twitter : [[@CloudsaFR|https://twitter.com/CloudsaFR]] et [[@ForumSecuCloud|https://twitter.com/forumsecucloud]]
[img(200px,1px)[i/BluePixel.gif]]
Vous pouvez dès à présent vous enregistrer : [[cloudsecurityalliance.fr/go/j2bs/|https://cloudsecurityalliance.fr/go/j2bs/]] (redirection sur le portail sur le portail "eveos.com").
[img(200px,1px)[i/BluePixel.gif]]
!Compromission du prestataire Cloud Visma en Norvège
[>img(250px,auto)[i/VismaNO.png]]La société Visma a annoncé début février 2019 avoir fait l'objet d'une attaque informatique.
D'après les informations disponibles à ce jour :
# Visma, société privée norvégienne créée en 1996 dont le siège est basé à Oslo, compte 800.000 clients, principalement en Scandinavie, mais aussi au Benelux, en Europe Centrale et de l'Est. Elle fournit des services de comptabilité, de ressources humaines et d'autres logiciels en ligne en mode SaaS, et de Cloud.
# Les attaquants auraient tenté de pénétrer dans les systèmes d'information de Visma, mais auraient été détectés très tôt, faisant échouer la tentative d'intrusion.
# Ces attaques se seraient étalées sur une période d'un an, entre novembre 2017 et septembre 2018.
# Le Visma CSIRT (//Visma Corporate Security Incident Response Team//) collaboré avec son //Product Security Operations Center// (PSOC), l'agence nationale de sécurité norvégienne (//NSM NorCERT//) et la police norvégienne. +++*[Détails »]> 
Déclaration de Espen Johansen, "Operations and Security Manager" de Visma :
//«As a general rule, we always report cyber attacks to the police – it is our responsibility as a corporation and our responsibility towards our clients. We are very thankful for the guidance and advice from NSM NorCERT, Police (PST), and other cooperating parties in this case. We urge all organisations to explore the opportunities that are available in CERT cooperation.»// 
cf. Article publié sur le site "NordicNews" : voir "Webographie" ci-dessous === # Les sociétés qui ont réalisé les investigations, //RecordedFuture// et //Rapid7//, attribuent cette attaque au groupe d'attaquants ''APT10'' / ''CloudHopper'', avec attribution à la Chine, même si cette dernière a affirmé à plusieurs reprises qu'elle ne se livrait pas à des cyberattaques. # ''Le rapport d'analyse a été publié : sa lecture est recommandée'' (voir "Webographie" ci-dessous). # Visma a préféré attendre que les investigations fournissent des éléments factuels sur les auteurs de l'attaque avant de communiquer sur l'attaque. !A noter ''Ce genre d'attaque contre des prestataires de services, notamment Cloud, est une réalité depuis plusieurs années''. Même si ce type d'attaques ne commence que maintenant à être médiatisé, les entreprises et leurs prestataires doivent augmenter leur niveau de vigilance. La démarche consiste notamment : # à établir ou à renforcer les relations et la coopération client/prestataire sur les aspects de sécurité # à établir une cartographie des prestataires, et des accès au système d'information # à mettre en place des mesures de surveillance en s'appuyant sur les nombreux "IOC" (Indicators of Compromise) disponibles # à se rapprocher et à partager avec les autorités ou les agences de cyber-sécurité. !Webographie avec éléments de contexte |>|>|!2019| |!Fév.|Source|Titre (et lien)| |2019.02.21|//ESET//|[[Criminal hacking hits Managed Service Providers: Reasons and responses|https://www.welivesecurity.com/2019/02/19/criminal-hacking-hits-managed-service-providers-reasons-responses/]]| |2019.02.20|Security Week|[[Supply Chain Attacks Nearly Doubled in 2018: Symantec|https://www.securityweek.com/supply-chain-attacks-nearly-doubled-2018-symantec]]| |2019.02.12|Duo|![[APT Groups Moving Down the Supply Chain|https://duo.com/decipher/apt-groups-moving-down-the-supply-chain]]| |2019.02.11|TechHQ|[[What can we learn from Visma’s cybersecurity breach?|https://techhq.com/2019/02/what-can-we-learn-from-vismas-cybersecurity-breach/]]| |2019.02.07|Siècle Digital|[[La Chine aurait hacké le groupe norvégien Visma pour voler des informations clients|https://siecledigital.fr/2019/02/07/la-chine-aurait-hacke-le-groupe-norvegien-visma-pour-voler-des-informations-clients/]]| |2019.02.06|SecurityWeek|[[Chinese Hackers Spy on U.S. Law Firm, Major Norwegian MSP|https://www.securityweek.com/chinese-hackers-spy-us-law-firm-major-norwegian-msp]]| |2019.02.06|NordicNews|[[Intelligence report recognises threats from cyberespionage|https://nnews.no/intelligence-report-recognises-threats-from-cyberespionage/]]| |2019.02.06|Reuters|[[China hacked Norway's Visma to steal client secrets: investigators|https://www.reuters.com/article/us-china-cyber-norway-visma/china-hacked-norways-visma-to-steal-client-secrets-investigators-idUSKCN1PV141]]| |2019.02.06|//RecordedFuture//|![[APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign|https://www.recordedfuture.com/apt10-cyberespionage-campaign/]]| |2019.02.06|//RecordedFuture//|[[APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign|https://go.recordedfuture.com/hubfs/reports/cta-2019-0206.pdf]] (pdf)| |2019.02.06|//RecordedFuture//|[[Appendix A -- Indicators of Compromise|https://go.recordedfuture.com/hubfs/reports/cta-2018-0206-iocs.csv]] (.csv)| |2019.02.06|//RecordedFuture//|[[Appendix C -- Yara Rules|https://go.recordedfuture.com/hubfs/reports/cta-2019-0206-yara-rules.yar]] (.yar)| |2019.02.06|//RecordedFuture//|[[Appendix E -- MITRE ATT&CK Mapping|https://go.recordedfuture.com/hubfs/mitre-attack-mapping.pdf]] (pdf)| |2019.02.06|Visma|![[Intelligence report recognises Visma’s contribution to illuminate threats and protect organisations from cyberespionage|https://www.visma.com/press-releases/intelligence-report-visma/]]| |!Jan.|Source|Titre (et lien)| |2019.01.31|//AlienVault//|[[APT10 Group Targets Multiple Sectors, But Seems to Really Love MSSPs|https://www.alienvault.com/blogs/security-essentials/apt10-group-targets-multiple-sectors-but-seems-to-really-love-mssps]]| |>|>|!2018| |Déc.|Source|Titre (et lien)| |2018.12.21|BleepingComputer|[[Historic APT10 Cyber Espionage Group Breached Systems in Over 12 Countries|https://www.bleepingcomputer.com/news/security/historic-apt10-cyber-espionage-group-breached-systems-in-over-12-countries/]]| |2018.12.20|Wired|[[How China’s Elite Hackers Stole the World’s Most Valuable Secrets|https://www.wired.com/story/doj-indictment-chinese-hackers-apt10/]]| |!Jui.|Source|Titre (et lien)| |2017.07.17|IntrusionTruth|[[Who was behind this unprecedented Cyber attack on Western infrastructure?|https://intrusiontruth.wordpress.com/2018/07/17/who-was-behind-this-unprecedented-cyber-attack-on-western-infrastructure/]]| |>|>|!2017| |!Avr.|Source|Titre (et lien)| |2017.04.27|US-CERT|[[Alert (TA17-117A) - Intrusions Affecting Multiple Victims Across Multiple Sectors|https://www.us-cert.gov/ncas/alerts/TA17-117A]] (mise à jour le 20 décembre 2018)| |2017.04.27|US-CERT|[[IR-ALERT-MED-17-093-01C - Intrusions Affecting Multiple Victims Across Multiple Sectors|https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01C-Intrusions_Affecting_Multiple_Victims_Across_Multiple_Sectors.pdf]] (pdf)| |2017.04.27|US-CERT|[[IR-ALERT-MED-17-093-01C - Indicators of compromise|https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01C.xlsx]] (xlsx)| |2017.04.27|US-CERT|[[IR-ALERT-MED-17-093-01C - Indicators of compromise|https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01-C.XML]] (xml - STIX)| |2017.04.03|//PwC// & //BAE Systems//|[[Operation Cloud Hopper|https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html]]| |2017.04.03|//PwC// & //BAE Systems//|[[Operation Cloud Hopper|https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf]] (pdf)| |2017.04.03|//PwC// & //BAE Systems//|[[Operation Cloud Hopper - Annex A: Indicators of Compromise|https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-indicators-of-compromise-v2.2.pdf]] (pdf)| |2017.04.03|//PwC// & //BAE Systems//|[[Operation Cloud Hopper - Annex B: Technical Annex|https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf]] (pdf)|
!"CCM Mapping Workpackage Template"
[>img(150px,auto)[iCSA/ccm-new.png]]Ce document (format .xlsx) est un accompagnement de la matrice [[CCM]].
Il s'agit d'un modèle de correspondance entre la [[CCM]] et ce que les intervenants utlisent comme référentiels sécurité.
__Lien de téléchargement :__
→ https://cloudsecurityalliance.org/artifacts/ccm-mapping-workpackage-template/

Les sondages et appels à commentaires dont les clôtures sont très proches sont les suivants :
* Sondage "Cloud Hybride" (clôture d'ici à la fin février 2018) 
* Sondage "Menaces 2018" (clôture d'ici à la fin février 2018) 
* Appel à commentaires : "//Preparing for the Quantum Threat with Hybrid Cryptography//" (clôture le 22 février 2019)
* Appel à commentaires : "//Preparing Enterprises for the Quantum Computing Cybersecurity Threats//" (clôture le 5 mars 2019)
<<tabs tSondComment "Cloud Hybride" "" [[2019.02.12 - Sondage 'Cloud Hybride']] "Menaces 2018" "" [[2019.01.21 - Sondage Menaces : Relance]] "Quantum Threat with Hybrid Cryptography" "" [[2019.02.13 - Appels à Commentaires 'Quantum Threat with Hybrid Cryptography']] "Quantum Cyber Threats" "" [[2019.02.13 - Appels à Commentaires 'Quantum Computing Cybersecurity Threats']]>>
!"Preparing Enterprises for the Quantum Computing Cybersecurity Threats"
L'appel à commentaires sur ce document sera clos le 5 mars 2019
> //Quantum computing, while expected to help make many advancements, will also break the existing asymmetric-key cryptosystems, thus endangering our security infrastructure. While it is uncertain whether such a computer will live up to the hype, the emerging cybersecurity threats it brings should be addressed now even though such a machine may not emerge for another decade or so. This document describes an overview of quantum computing, the impact on cryptography, and steps to start preparing for the quantum threat today.//
* Sondage → [[cloudsecurityalliance.fr/go/j2dm/|https://cloudsecurityalliance.fr/go/j2dm/]] 
!"Preparing for the Quantum Threat with Hybrid Cryptography"
L'appel à commentaires sur ce document sera clos le 22 février 2019
> //Focus of this document is on four hybrid cryptographic schemes which provide both classical security of classical crypto and the quantum security of a quantum-safe system. This document will also provide a background on quantum security and an overview of hybrid schemes.//
* Sondage → [[cloudsecurityalliance.fr/go/j2dy/|https://cloudsecurityalliance.fr/go/j2dy/]] 
!Sondages "Cloud Hybride" : "//Hybrid Cloud Market Survey//"
Derniers jours pour répondre à ce sondage de la [[Cloud Security Alliance]]
<<<
//Provide your input to help update the challenges, security strategies and concerns in the cloud environment for 2019. This survey takes 8 minutes to complete.
The goal of this survey is to better understand the current state of hybrid cloud and multi-cloud environments including challenges, security strategies, and security concerns.
Win a prize: 1 - Ring Wifi Doorbell -- 2 - CCSK Test Token -- 3 - $100 Amazon Gift Cards//
<<<
* Lien vers le sondage : [[cloudsecurityalliance.fr/go/j2eH|https://cloudsecurityalliance.fr/go/j2eH]]
* Pour vous préparer, voici la liste des 19 questions //en anglais// telles que posées dans le sondage
** +++[Détails »]> <<tiddler [[2019.02.12 - Sondage 'Cloud Hybride' - Questions]]>>=== 
//[img(200px,1px)[i/BluePixel.gif]]
//+++*[1. Which public cloud platforms does your organization use?]> Amazon Web Services (AWS) -- Microsoft Azure -- Google Cloud Platform -- Alibaba Cloud -- IBM cloud -- Oracle cloud -- Unsure -- None -- Other === 
+++*[2. Which private cloud platforms does your organization use?]> VMware NSX -- OpenStack -- Cisco ACI -- Unsure -- None -- Other === 
+++*[3. What percentage of your workloads does your organization currently run in the public cloud in production?]> We do not deploy any workloads in the cloud -- 1-20% -- 21-40% -- 41%-60% -- 61%-80% -- 81%-100% -- Don’t know === 
+++*[4. By the end of the year 2020, What percentage of your workloads do you anticipate your organization will be running in the public cloud in production?]> We will not deploy any workloads in the cloud -- 1-20% -- 21-40% -- 41%-60% -- 61%-80% -- 81%-100% -- Don’t know === 
+++*[5. Which team is responsible for managing security in the public cloud] IT Operations -- Cloud team within the IT department -- Information Security -- Application Owners / Developers / DevOps -- Managed Service Provider -- CISO -- Not sure -- Other ===
+++*[6. What concerns does your organization encounter when adopting a public cloud platform?]> Security concerns -- Legal concerns -- Regulatory compliance -- Data loss and leakage risks -- Integration with the rest of our IT environment -- Lack of expertise to manage the cloud environment -- Lack of staff to manage the cloud environment -- Visibility into resources in the cloud environment -- Cost -- Migration of applications to the cloud -- Other === 
+++*[7. Please rate each of these security concerns with regards to applications running in the public cloud?]> Sensitive customer / personal data leakage -- Outages due to denial of service (DoS) attacks -- Data corruption, service defacement -- Unauthorized access -- Resource abuse (e.g. crypto-mining) -- Infiltration into more sensitive areas in the network (in the cloud or on-prem) -- Other === 
+++*[8. Please rate the level of challenge each item poses in managing security in the public cloud?]> Managing a multi-cloud environment -- Managing both cloud and on-prem environments -- Lack of visibility into the entire cloud estate -- Proactively detecting misconfigurations and security risks -- Compliance and preparing for audits -- Troubleshooting connectivity issues -- Lack of expertise in cloud-native security constructs -- Understanding which team is responsible for cloud security === 
+++*[9. What network security controls do you currently use to secure your public cloud deployments?]> Cloud provider’s native security controls (e.g. Security Groups, Network ACLs) -- Cloud provider’s additional security controls (e.g. Azure Firewall, AWS WAF) -- Virtual editions of traditional firewalls (e.g. Palo Alto Networks, Check Point, Barracuda) deployed in the cloud environment -- Host based enforcement -- Don’t know -- Other === 
+++*[10. Do you currently manage security as part of your application orchestration process in your public cloud environment?]> Yes -- No -- Don’t know === 
+++*[11. What do you use to manage security as part of your application orchestration process in your public cloud environment?]> Orchestration and configuration management tools (eg. Terraform, Ansible, Chef, Puppet, Jenkins) -- Cloud native tools (e.g. AWS CloudFormation) -- Home-grown scripts leveraging cloud vendor’s APIs -- Don’t know -- Other === 
+++*[12. How do you detect and manage risks and vulnerabilities in your cloud environment?]> Cloud provider risk assessment service (Trusted Advisor, Azure Security Center) -- Designated 3rd party cloud security tool(s) -- Generic risk or vulnerability assessment tool -- We don’t use a designated cloud security tool -- Other === 
+++*[13. Did your organization experience a cloud-related security incident in the last 12 months?]> Yes -- No -- Not sure -- Can’t disclose === 
+++*[14. Has your organization experienced a network or application outage in the last year?]> Yes -- No -- Not sure === 
+++*[15. What was the main contributor to your network or application outage in the last year?]> Faults, errors, or discards in network devices -- Device configuration changes -- Operational human errors and mismanagement of devices -- Link failure caused due to fibre cable cuts or network congestion -- Power outages -- Server hardware failure -- Security attacks such as denial of service (DoS) -- Failed software and firmware upgrade or patches -- Incompatibility between firmware and hardware device -- Not sure -- Other === 
+++*[16. If you experienced a network or application outage, how long did it last before it was restored to normal operation?]> Less than 1 hour -- 1 to 3 hours -- 3 to 5 hours -- A working day -- Longer than one working day -- Longer than a week === 
+++*[17. What is the size of your organization?]> 1-50 employees -- 51-500 employees -- 501-1,000 employees -- 1,001-2,000 employees -- 2,001-5000 employees -- 5,001-10,000 employees -- 10,000+ employees === 
+++*[18. Please select the option that best reflects your companies Industry?]> IT and technology -- Telecommunications -- Manufacturing and production -- Health, Pharmaceuticals, and Biotech -- Financial services -- Retail, distribution and transport -- Business and professional services -- Energy, oil/gas and utilities -- Construction and property -- Public sector -- Other === 
+++*[19. Please select your location?]> Asia -- Latin/Southern America -- Eastern Europe -- European Union -- Middle East -- North America -- Australia === 
+++*[20. What is your primary role?]> Information Security -- Network Operations -- Compliance Officer -- Cloud Operations/Architect -- Cloud Security Officer -- Application Architect/Owner -- Data Center Architect -- DevOps Engineer/Manager -- CISO -- CIO -- Other ===
//
!The 12 Most Critical Risks for Serverless Applications
[>img(150px,auto)[iCSA/12-Critical-Risks.png]]Le document "//The 12 Most Critical Risks for Serverless Applications//" a pour objectif la sensibilisation et la formation.
Ce rapport a été conçu et développé par des experts du domaine et des chercheurs en sécurité avec des compétences couvrant les domaines de la sécurité, du Cloud, et des architectures sans serveur (//serverless//)."
<<<
//The "12 Most Critical Risks for Serverless Applications" 2019 document is meant to serve as a security
awareness and education guide. This report was curated and maintained by top industry practitioners
and security researchers with vast experience in application security, cloud, and serverless architectures.
As many organizations are still exploring serverless architectures or just taking their first steps in the
serverless world, Cloud Security Alliance (CSA) believes this guide is critical for their success in building
robust, secure and reliable applications.
Cloud Security Alliance Israel urges all organizations to adopt the best practices highlighted in this
document, and use it during the process of designing, developing and testing serverless applications to
minimize security risks.
This document will be maintained and enhanced periodically based on input from the community, as
well as research and analysis developed from the most common serverless architecture risks.
Lastly, while this document enumerates what are believed to be the current top risks specific to
serverless architectures, it is not a complete listing of all the threats. Readers are encouraged to follow
other industry standards related to secure software design and development.//
<<<
__Liens de téléchargement :__
→ https://cloudsecurityalliance.org/artifacts/the-12-most-critical-risks-for-serverless-applications 
!The 12 Most Critical Risks for Serverless Applications
[>img(150px,auto)[iCSA/12-Critical-Risks.png]]Article de blog publié le 11 février 2019 — Rédigé par Sean Heide, CSA Research et Ory Segal, CSA Israel.
<<<
Lors de la conception et de l'implémentation d'un environnement sans serveur pour une entreprise, il est nécessaire de prendre en compte plusieurs risques fondamentaux. En effet, il s'agit de s'assurer que l'architecture intègre les contrôles appropriés en matière de mesures de sécurité, et que comment développer un programme visant à assurer la longévité des applications. Bien qu'il s'agisse d'une liste de 12 risques considérés comme les plus fréquents, il ne faut pas perdre de vue que d'autres risques potentiels doivent aussi être pris en compte.
Les architectures sans serveur (également appelées "//FaaS//" ou "//Function as a Service//") permettent aux entreprises de créer et de déployer des logiciels et des services sans avoir à maintenir ou à provisionner de serveurs physiques ou virtuels.
[...]
La liste, classée par ordre de criticité décroissante, est la suivante :
* SAS-1: "//Function Event Data Injection//"
* SAS-2: "//Broken Authentication//"
* SAS-3: "//Insecure Serverless Deployment Configuration//"
* SAS-4: "//Over-Privileged Function Permissions & Roles//"
* SAS-5: "//Inadequate Function Monitoring and Logging//"
* SAS-6: "//Insecure Third-Party Dependencies//"
* SAS-7: "//Insecure Application Secrets Storage//"
* SAS-8: "//Denial of Service & Financial Resource Exhaustion//"
* SAS-9: "//Serverless Business Logic Manipulation//"
* SAS-10: "//Improper Exception Handling and Verbose Error Messages//"
* SAS-11: "//Obsolete Functions, Cloud Resources and Event Triggers//"
* SAS-12: "//Cross-Execution Data Persistency//"
[...]
<<<
__Liens :__
* &rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/11/critical-risks-serverless-applications/]] sur le blog de la CSA
* &rArr; Téléchargement du rapport "[[The 12 Most Critical Risks for Serverless Applications|https://cloudsecurityalliance.org/artifacts/the-12-most-critical-risks-for-serverless-applications]]"
!Partenariat avec le Salon "[[Cloud Computing World Expo|http://www.cloudcomputing-world.com/security]]", à Paris les 20 et 21 mars 2019
__Paris le 7 février 2019 :__[>img(auto,100px)[i/ForumSecuriteCloud-2019.png]][>img(auto,100px)[i/CCWE-2019.png]]
 
Le [[Chapitre Français de la Cloud Security Alliance|Présentation du Chapitre Français de la Cloud Security Alliance]] a le plaisir de vous annoncer que le partenariat avec le Salon ''Cloud Computing World Expo'' est renouvellé en 2019.
:→ https://cloudcomputing-world.com/security/
Lieu : Paris, Porte de Versailles, Hall 5.2

Dans ce cadre :
* il participe au comité de programme et d'organisation des conférences ''Forum Sécurité@Cloud''
* il animera la matinée du ''Forum Sécurité@Cloud'' le jeudi 21 mars 2019 sur le thème suivant :
:"''Cyber-résilience : comment faire face à l’accélération des menaces par rapport au Cloud ? -- Cyberattaques – Continuité – Résilience''"
* il fera la présentation d'introduction du jeudi 22 mars 2018 à 9h30
* il animera deux tables rondes à 10h15 et à 11h30

Informations complémentaires dans la partie [[Actualités|Actu.2019.02]] de ce site au fur et à mesure, ainsi que sur Twitter : [[@CloudsaFR|https://twitter.com/CloudsaFR]] et [[@ForumSecuCloud|https://twitter.com/forumsecucloud]]
[img(200px,1px)[i/BluePixel.gif]]
Vous pouvez dès à présent vous enregistrer sur le lien suivant : [[cloudsecurityalliance.fr/go/j2bs/|https://cloudsecurityalliance.fr/go/j2bs/]]
[img(200px,1px)[i/BluePixel.gif]]
!Interview : "Démystifions DevSecOps"
[>img(150px,auto)[iCSA/TwoGears.jpg]]Article de blog publié le 7 février 2019 —
<<<
La sécurité doit faire partie intégrante de la feuille de route de DevOps. Doug Cahill, de l'+++*[Enterprise Strategy Group] → http://www.esg-global.com/ 
===, montre la voie à suivre. Le sujet de la sécurité est bien placé dans les préoccupations IT à mesure que les entreprises se lance dans la transformation numérique. Et en même temps, DevOps, une méthodologie qui applique des principes d'agilité et de simplicité au développement logiciel, est également une priorité absolue. Le problème est que les deux stratégies d'entreprise ne sont souvent pas alignées. Nous avons récemment discuté avec Doug Cahill, analyste sénior et directeur de groupe chez //Enterprise Strategy Group//, pour connaître son point de vue sur l'importance de l'approche DevSecOps ainsi que sur la façon de réoutiller les acteurs pour qu'ils adoptent ce nouveau principe [...] <<< &rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/07/deciphering-devsecops/]] sur le blog de la CSA
!The Future of Healthcare
[>img(200px,auto)[iCSA/The_Future_of_Healthcare.png]]Bien que publié en date du 4 février 2019, le document lui-même et daté du 26 juillet 2018.
<<<
//Globally the Healthcare Industry is a significant component of any country’s infrastructure. In sheer market size, the health care market in the United States of America is the largest in the world. The size of the market means that there is unequaled purchasing power, demand, and opportunity for innovation. In contrast, by structure, reimbursement systems, regulation, issues of access, and complexity it is one of the most opaque.//
<<<
__Lien de téléchargement :__
→ https://cloudsecurityalliance.org/artifacts/the-future-of-healthcare/
!"//Five Years of the GitHub Bug Bounty Program!"//
[>img(100px,auto)[iCSA/octocat-detective-1024x504.png]]^^Bien que publié le 28 février 2019 sur le blog de la CSA, cet article l'a déjà été le 19 février 2019 sur le site de GitHub.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/28/five-years-github-bug-bounty-program/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://github.blog/2019-02-19-five-years-of-the-github-bug-bounty-program/]].^^

!"//Bitglass Security Spotlight: Breaches Expose Millions of Emails, Texts, and Call Logs//"
[>img(100px,auto)[iCSA/news-icon.png]]^^Bien que publié le 25 février 2019 sur le blog de la CSA, cet article l'a déjà été le 14 janvier 2019 sur le site de la société Bitglass.
<<<
Les principales informations cybersécurité de ces dernières semaines sont :
* Des vulnérabilités en cybersécurité constatées dans le système de missiles américain
* Facebook partage des données d'utilisateurs privés avec Amazon, Netflix et Spotify
* Des données personnelles d'employés de la NASA ont été exposés
* Des ressortissants chinois accusés d'avoir piraté les principales bases de données d'entreprises américaines
* Des plaintes déposées par des employés de la Silicon Valley ont été exposés via le réseau social Blind
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/25/dod-facebook-nasa/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/dod-facebook-nasa]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Rocks, Pebbles, Shadow IT//"
[>img(100px,auto)[iCSA/Selection-of-stones-used-in-construction.jpg]]^^Bien que publié le 19 février 2019 sur le blog de la CSA, cet article l'a déjà été le 11 décembre 2018 sur le site de la société Bitglass.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/19/rocks-pebbles-shadow-it/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/rocks-pebbles-shadow-it]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Rethinking Security for Public Cloud//"
[>img(100px,auto)[iCSA/GettyImages-1031054922-1.jpg]]^^Bien que publié le 13 février 2019 sur le blog de la CSA, cet article l'a déjà été le 17 décembre 2018 sur le site de la société Symantec.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/13/rethinking-security-public-cloud/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.symantec.com/blogs/product-insights/rethinking-security-public-cloud]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Bitglass Security Spotlight: Financial Services Facing Cyberattacks//"
[>img(100px,auto)[iCSA/hacker-hoodie.jpg]]^^Bien que publié le 12 février 2019 sur le blog de la CSA, cet article l'a déjà été le 12 décembre 2018 sur le site de la société Bitglass.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/12/financial-services-facing-cyberattacks/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/bss-financial-cyberattacks]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//SaaS Apps and the Need for Specialized Security//"
[>img(100px,auto)[iCSA/cdci.jpg]]^^Bien que publié le 8 février 2019 sur le blog de la CSA, cet article l'a déjà été le 19 décembre 2018 sur le site de la société Bitglass.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/08/saas-apps-and-the-need-for-specialized-security/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/saas-apps-specialized-security]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Bitglass Security Spotlight: Breaches Expose Millions of Emails, Texts, and Call Logs//"
[>img(100px,auto)[iCSA/news-icon.png]]^^Bien que publié le 5 février 2019 sur le blog de la CSA, cet article l'a déjà été le 28 janvier 2019 sur le site de la société Bitglass.
<<<
Les principales informations cybersécurité de ces dernières semaines sont :
* 773 million email accounts published on hacking forum
* Unprotected FBI data and Social Security numbers found online
* Millions of texts and call logs exposed on unlocked server
* South Korean Defense Ministry breached by hackers
* Ransomware forces City Hall of Del Rio to work offline
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/02/05/breaches-expose-millions-emails-texts-call-logs/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/bss-breaches-expose-emails-texts-call-logs]].^^
[img(200px,1px)[i/BluePixel.gif]]
!Sondage SANS et CSA sur la sécurité du Cloud
[>img(400px,auto)[iCSA/SANS2019_CloudSurvey.jpg]]La [[Cloud Security Alliance]] et le ''SANS Institute'' vous invitent à participer au sondage (''maintenant clos'')
:"''State of Cloud Security''"
* Sondage → --[[cloudsecurityalliance.fr/go/j1pS/|https://cloudsecurityalliance.fr/go/j1pS/]]--
[img(200px,1px)[i/BluePixel.gif]]
Pour vous préparer, voici la liste des 26 questions //en anglais// classées en 6 catégories ://
* +++*[Introduction]>
* 1. Does your organization use or work with cloud services? By responding to this question, you accept the terms of the privacy policy.
=== 
* +++*[Tell Us About You and Your Organization]>
* 2. What is your organization's primary industry?
* 3. What is the size of the workforce at your organization, including employees, contractors and consultants?
* 4. What is your primary role in your organization, whether as an employee or contractor?
* 5. In what countries or regions does your organization have operations?
* 6. In what country or region is your primary corporate headquarters? Select the best answer
=== 
* +++*[Characteristics of Your Use of Cloud Computing]>
* 7. What applications do you have in the public cloud?
* 8. How many public cloud providers do you use for business, communications, security, work sharing and other operations?
* 9. Are you currently using any of the following to handle end user cloud applications and multicloud scenarios?
=== 
* +++*[Concerns, Risk and Governance]>
* 10. Are you currently storing any of the following sensitive or regulated (compliance-related) data in the public cloud?
* 11. Have privacy regulations such as the General Data Protection Regulation (GDPR) impacted your organization’s existing or planned cloud strategy?
* 12. What are your organization’s major concerns related to the use of public cloud for business apps? What major concerns were actually realized in the past 12 months?
* 13. Has your organization experienced an incident or actual breach with the past 12 months involving your public cloud applications and/or data?
* 14. What was involved in the attack(s)?
=== 
* +++*[Security in the Cloud]>
* 15. Do you currently have cloud security and governance policies in place?
* 16. Which of the following technologies have you successfully implemented to protect sensitive data and access in your public cloud environment(s), whether internally managed and/or in the form of Security-as-a-Service?
* 17. Are you currently leveraging cloud provider APIs to access and automate security controls within your cloud environments?
* 18. For what types of security controls and functions are you using cloud provider APIs?
* 19. Which of the following security technologies have you been able to integrate between your in-house environment and public cloud? Which are you planning on integrating within the next 12 months?
* 20. Which of the following security technologies have you successfully implemented with a single vendor product or control in both your in-house environment and public cloud? Which are you planning on implementing in the next 12 months?
* 21. How are you are leveraging IAM capabilities and tools for the cloud?
* 22. Which of the following automation and orchestration tools are you leveraging to aid in security controls implementation or processes?
=== 
* +++*[Auditing and Assessing]>
* 23. What types of audit and security reports from your cloud providers do you find the most useful? 
* 24. Are you able to perform regular penetration tests of your public cloud assets and data?
* 25. What challenges have you faced in adapting your IR and forensics analysis to the cloud?
* 26. Cloud computing is a dynamic field. Please briefly share any thoughts about trends in cloud computing and the methodologies, tools and techniques that will be needed to improve the security of cloud environments. === //
!CCSK : Certificate of Cloud Security Knowledge
Le [[CCSK]] - [[Certificate of Cloud Security Knowledge|CCSK]] - est une certification crée par Cloud Security Alliance, qui a pour but de valider la compétence d’un individu dans le domaine de la sécurité dans le Cloud. C’est une certification "//vendor neutral//", c’est-à-dire que les compétences validées par le [[CCSK]] s’appliquent à tous les Clouds (AWS, Azure, Google, et tous les autres). Le [[CCSK]] est reconnu sur tous les continents et fait partie des meilleures certifications cloud depuis déjà plusieurs années.
La version actuelle du [[CCSK]] - version 4 - est disponible depuis fin décembre 2017 et donc se trouve être la certification la plus à jour dans le domaine de la sécurité dans le cloud.

Le [[CCSK]] couvre 2 catégories de domaines:
# des domaines d’ordre stratégique: les questions de gouvernance, risque, compliance, la démarcation des responsabilités entre le fournisseur et l’utilisateur cloud, le RGPD, les audits, le Cloud Control Matrix, ...
# des domaines d’ordre technique et opérationnel: la virtualization, les infrastructures container et serverless, la fédération des identités , les contrôles d’accès, le single-sign-on, le cryptage/chiffrement des données et la gestion des clés, devops et devsecops, le big data, la gestion des incidents, ...

C’est une gamme de domaines assez large, et c’est précisement ce qui fait la particularité du [[CCSK]], sa difficulté et aussi sa valeur. Il est en effet peu fréquent de trouver des individus ayant une bonne compréhension des aspects stratégiques et opérationels qui impactent la sécurité des données et des applications qui résident dans le cloud. Ceux qui possèdent cette compétence sont très demandés et l’expansion du cloud entretient et renforce cette demande.

{{floatC{[img(600px,auto)[iCSA/Training_Banner.jpg]]}}}
Pour obtenir le [[CCSK]], il faut passer un examen qui comporte 60 questions, dure 90 minutes et est "//open book//" - ce qui veut dire qu’on peut consulter des documents pendant l’examen, mais ça ne le rend pas plus facile pour autant, les questions sont suffisamment compliquées pour rendre l’examen difficile même dans ces conditions.

Pour se préparer au [[CCSK]], il y a 2 options :
* soit on peut télécharger un "//self study kit//" sur le site Cloud Security Alliance et se préparer à l’examen soi-même (c’est possible pour ceux qui ont déjà une solide expérience du cloud et ont une motivation et une discipline suffisantes pour se préparer en solo). Le "//self study kit//" contient tous les documents nécessaires à la préparation de l’examen.
:→ https://cloudsecurityalliance.org/education/ccsk/#_prepare
* soit on peut aussi suivre une formation plus officielle, organisée par un ''CCSK Authorized Instructor''.

Dans ce dernier cas, deux formules sont proposées:
# la formation ''CCSK Foundation'' dure 2 jours et couvre toute la théorie nécessaire à la préparation de l’examen
# la formation ''CCSK Plus'' dure 3 jours, couvre tout le ''CCSK Foundation'' (décrit plus haut), et contient en plus une série de travaux pratiques et exercices sur le Cloud AWS, afin de renforcer la compréhension des aspects théoriques nécessaires à la préparation de l’examen. ''CCSK Plus'' est la formation la plus demandée, les personnes qui souhaitent obtenir le [[CCSK]] choisissent très souvent cette formule.
La liste des ''CCSK Authorized Instructors'' est disponible :
:→ https://cloudsecurityalliance.org/education/#_instructors

Les formations sont généralement dispensées en Anglais, mais elles pourront dorénavant aussi l'être en Français maintenant qu'un premier Français est devenu ''CCSK Authorized Instructor''.
{{floatC{[img(600px,auto)[iCSA/CCSK_banner.jpg]]}}}La sécurité est un aspect essentiel du Cloud, au même titre que la performance et le coût, et il est important de bien comprendre les étapes et les éléments nécessaires à la sécurisation des données et applications qui y résident. Le [[CCSK]] vous permet de développer et prouver votre compétence dans ce domaine, il vous aide aussi à prendre les bonnes décisions dans les projets et les missions faisant appel à l’utilisation du Cloud, comme par exemple le transfert d’une infrastructure IT dans le Cloud ou encore le dévelopement d’une architecture IT directement dans le Cloud.

Le [[CCSK]] s’adresse à toutes les personnes qui sont impliquées dans le Cloud ou impactées par le Cloud, aussi bien d’un point de vue technique (architectures et composants techniques des solutions Cloud, ...) que d’un point de vue moins technique (gestion du risque, conformité aux régulations, responsabilités juridiques dans l’environnement Cloud, ...).

Si vous vous reconnaissez dans ces catégories, le [[CCSK]] est fortement recommandé, il vous permettra de naviguer plus rapidement et plus efficacement dans l’environnement du Cloud.
[img(200px,1px)[i/BluePixel.gif]]
Article rédigé par ''Guillaume Boutisseau'', ''CCSK Authorized Instructor''
:→ https://cloudsecurityalliance.org/certificates/ccsk/ccsk-ttt-Guillaume-Boutisseau.pdf 
!"//CCSK Success Stories: From the Financial Sector//"
[>img(150px,auto)[iCSA/CCSKtraining.png]]Article de blog publié le 24 janvier 2019 —
<<<
__''Retour d'expérience sur le [[CCSK]] : dans le secteur Finances''__
Deuxième partie d'une série de blogs sur la formation à la sécurité dans le Cloud axé sur le secteur Finances.
John C. Checco est président émérite de la "New York Metro InfraGard Members Alliance", ainsi qu'un professionnel de la sécurité de l'information qui propose son expertise dans divers secteurs. John est également pompier volontaire et formateur, romancier amateur, et donneur de sang.
[...]
//Question : quels sont vos recommendations pour ceux qui envisagent de suivre la formation [[CCSK]] ?
J'ai quatre conseils à donner :
# Ayez une expérience concrète avant de tenter une certification... les médecins, les infirmières, les architectes et les ingénieurs sont tenus d'en avoir, alors pourquoi pas les professionnels de la sécurité de l'information ?
# Prenez l'habitude d'apprendre quelque chose chaque jour... tout savoir devient obsolète, pas l'intelligence.
# Évitez les raccourcis, comme les formations accélérées, c'est une cure d'ignorance.
# Restez humble, gardez l'esprit ouvert et écoutez avant de parler... les choses évoluent, alors ce que vous saviez être juste aujourd'hui peut ne plus l'être demain. Personne ne souhaite avoir la réputation de "CIA" (non pas "Confidentiality / Integrity / Availability", mais "Certifié, Ignorant et Arrogant").
//
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/01/24/ccsk-success-stories-financial-sector/]] sur le blog de la CSA
&rArr; Lire la première partie +++*[ici]> <<tiddler [[2018.11.19 - CCSK Success Stories]]>> === 
!Sondage "Top Threats" : derniers jours ! 
La [[Cloud Security Alliance]] a lancé en novembre 2018 un sondage conçu par le [[Groupe de Travail - Top Threats]] pour déterminer uelles sont les menaces perçues par la communauté Cloud.
Ce sondage comporte 19 questions et thèmes à évaluer sur une échelle de "0" et "10". Il prend environ 6 minutes à compléter.
Ce sera grâce à vos contributions que nous pourrons finaliser notre travail au sein du [[Groupe de Travail - Top Threats]] et de rédiger le prochain rapport "Top Threats 2018" de la [[Cloud Security Alliance]].
Un tirage au sort parmi les participants ayant rempli complètement le sondage permettra de gagner des bons Amazon et un jeton pour passer la certification [[CCSK]].
Le sondage sera bientôt clos, alors ne tardez pas !
* Sondage → [[cloudsecurityalliance.fr/go/j1ls/|https://cloudsecurityalliance.fr/go/j1ls/]]

Pour vous préparer, voici la liste des 19 questions //en anglais// telles que posées dans le sondage ://
* 1. Misconfiguration and Inadequate Change Control +++*[exemples »]>Misconfigurations such as exposing S3 buckets === 
* 2. Insufficient Identity, Credential, Access and Key Management +++*[exemples »]>Lack of scalable identity access management systems === 
* 3. Metastructure and Applistructure Failures +++*[exemples »]>Poor implementation of SSO or APIs leading to data breaches === 
* 4. Insider Threat +++*[exemples »]>Malicious or accidental insider threats === 
* 5. System Vulnerabilities +++*[exemples »]>DirtyCow Linux Privilege escalation vulnerability === 
* 6. IoT Botnets +++*[exemples »]>IoT botnets used to launch large scale DDoS attacks === 
* 7. Limited Cloud Visibility Usage +++*[exemples »]>Ability to monitor configuration and policy controls of cloud assets across organization === 
* 8. Hybrid Cloud Exposure +++*[exemples »]>Attacker using public cloud to pivot into on-prem environment === 
* 9. Weak Control Plane +++*[exemples »]>Granular application-layer access and privilege management controls === 
* 10. Shared Technology Vulnerabilities +++*[exemples »]>VENOM vulnerability allowing VM sandbox escape === 
* 11. Supply Chain Security +++*[exemples »]>Security of IaaS provider of a SaaS provider === 
* 12. Abuse and Nefarious Use of Cloud Services +++*[exemples »]>Attackers using cloud storage to exfiltrate data === 
* 13. Malware and Malicious Code +++*[exemples »]>ransomware using cloud storage as attack vector === 
* 14. Denial of Service +++*[exemples »]>Cloud outages === 
* 15. Data Breaches +++*[exemples »]>Unauthorized disclosure of information like personal health information === 
* 16. Cloud Provider Compromise +++*[exemples »]>Code Spaces === 
* 17. Account Hijacking +++*[exemples »]>Stealing access tokens allowing the attacker to gain access to cloud account === 
* 18. Lack of Cloud Security Architecture and Strategy +++*[exemples »]>Lift and shift of controls from on-prem into a cloud environment leading to security gaps === 
* 19. Insecure Interfaces and APIs +++*[exemples »]>API key leakage such as posting on Github === //
!Mise à jour des annexes de la Cloud Controls Matrix (CCM)
[>img(150px,auto)[iCSA/ccm-new.png]]La [[Cloud Security Alliance]] avait lancé en novembre 2018 un appel à commentaires sur 2 annexes de la [[Cloud Controls Matrix|Publications - Cloud Controls Matrix]] ([[CCM]]) V3.0.1 pour les normes suivantes :
# ISO/IEC 27002:2013, ISO/IEC 27017:2015 et ISO/IEC 27018:2014.
# Office fédéral allemand de la sécurité de l'information (BSI) : Cloud Computing Compliance Controls Catalogue (C5) 
Le résultat est maintenant disponible sous la forme de deux documents :
* Document "//CCM v3.0.1 Addendum - ISO 27002 27017 27018 v1.1//"
** Annonce → [[cloudsecurityalliance.fr/go/j1i7/|https://cloudsecurityalliance.fr/go/j1i7/]]
** Fichier XLSX → [[cloudsecurityalliance.fr/go/j1i8/|https://cloudsecurityalliance.fr/go/j1i8/]]
* Document "//CCM v3.0.1 Addendum - BSI Germany C5 v1//"
** Annonce → [[cloudsecurityalliance.fr/go/j1ib/|https://cloudsecurityalliance.fr/go/j1ib/]]
** Fichier XLSX → [[cloudsecurityalliance.fr/go/j1ic/|https://cloudsecurityalliance.fr/go/j1ic/]]
Ces documents contiennent :
* une équivalence entre les normes susmentionnées et la [[Cloud Controls Matrix|Publications - Cloud Controls Matrix]] (exemple : quel(s) contrôle(s) dans la CCM correspond(ent) à chaque contrôle donné dans la norme ISO 27017),
* une analyse des écarts,
* les contrôles de réduction des écarts (les annexes à proprement parlé).
__Liens de téléchargement :__ voir ci-dessus.
!La Commission Européenne lance 2 consultations publiques
Tous les acteurs sont invités à faire part de leurs commentaires et de leurs réflexions sur ces deux thèmes importants.
# ''SWIPO'' qui traite de la libre circulation des données non personnelles
** Le groupe de travail des parties prenantes sur la commutation et le portage des données dans le nuage (ou //SWIPO// ppour "Cloud Switching and Porting Data" Stakeholder Working Group) a lancé une consultation publique sur le code de conduite pour le SaaS (//Software-as-a-Service//)
** Dans le cadre du règlement sur la libre circulation des données non personnelles, la Commission européenne a encouragé l'élaboration, sur une base autorégulatrice, d'un code de conduite pour le transfert et le portage des données dans le Cloud.
# ''CSPCERT'' sur les certifications pour la sécurité du Cloud
** Les 2 documents à consulter au préalable :
### "//''CSP Cert Milestone 1: Security Requirements''//" 
**** Lien court → [[cloudsecurityalliance.fr/go/j1h1/|https://cloudsecurityalliance.fr/go/j1h1/]]
### "//''CSP Cert Milestone 2: Conformity Assessment Methodologies''//"
**** Lien court → [[cloudsecurityalliance.fr/go/j1h2/|https://cloudsecurityalliance.fr/go/j1h2/]]
** [>img(300px,auto)[iCSA/CSPCERT_logo.jpg]]Le site de référence pour suivre les évolutions → https://www.cspcert.eu
** Annonce d'un rapport "//Regulating cloud computing in Europe: new study considers the options for certification schemes//" de la Commission Européenne en novembre 2018 :
*** Lien court → [[cloudsecurityalliance.fr/go/ib9a/|https://cloudsecurityalliance.fr/go/ib9a/]]
** Rapport "//Certification Schemes for Cloud Computing//"
*** Lien court → [[cloudsecurityalliance.fr/go/ib9a/|https://cloudsecurityalliance.fr/go/ib9r/]]
** Annonce "//ENISA Cloud Certification Schemes Metaframework//" de l'ENISA en janvier 2015
*** Lien court → [[cloudsecurityalliance.fr/go/f1ta/|https://cloudsecurityalliance.fr/go/f1ta/]]
** La bilan ENISA "CCSL - the Cloud Certification Schemes List" et "CCSM - the Cloud Certification Schemes Metaframework" de janvier 2015
*** Lien court → [[cloudsecurityalliance.fr/go/f1tw/|https://cloudsecurityalliance.fr/go/f1tw/]]
Attention : les délais pour répondre sont ''très courts'' :
* Date limite SWIPO : ''jeudi 31 janvier 2019 à 23h59''
** Lien court : [[cloudsecurityalliance.fr/go/j1hs/|https://cloudsecurityalliance.fr/go/j1hs/]]
** A noter : pour répondre à ce questionnaire il est nécessaire de s'authentifier avec un compte Gmail ...
* Date limite CSPCERT : ''dimanche 3 février 2019 à 23h59''
** Lien court : [[cloudsecurityalliance.fr/go/j1hc/|https://cloudsecurityalliance.fr/go/j1hc/]]
** Le "//Questionnaire for the Open Consultation of the European Cloud Security Certification framework proposed by the CSP Certification Stakeholder Group//" contient 5 catégories de questions +++*[Détails »]> Les catégories sont ://
# Block 1: About your profile
# Block 2: Landscape on certification Schemes, Standards and Best Practices
# Block 3: Requirements to be fulfilled by a Cloud Security certification framework
# Block 4: Conformity Assessments
# Block 5: Feedback on the Milestone 1 and Milestone 2 documents of the CSPCERT Group
// === 
C'est l'occasion de promouvoir deux des travaux de la [[Cloud Security Alliance]] :
* la [[Cloud Controls Matrix|Publications - Cloud Controls Matrix]] ([[CCM]]),
* le programme [[CSA STAR]].

''Le participation de chacun d'entre vous à ces consultations sera donc très appréciée.''
Le mail original transmis par la Commission Européenne est le suivant
<<<
|@@backgroundColor:#eee;//<<tiddler [[2019.01.17 - Consultations de la Commission Européenne - 2]]>>//@@ |
<<<
Subject: Launch of public consultations on cloud self-regulation
Dear cloud stakeholders,
As we stand at the start of the New Year, I would like to wish all of you a prosperous 2019.
This email intends to draw your attention to two public consultations that are currently open for your input. They both concern the ongoing self-regulatory work of the DSM cloud stakeholder working groups related to the implementation of the Free Flow of non-personal Data Regulation https://eur-lex.europa.eu/eli/reg/2018/1807/oj : SWIPO (on the porting of data and the switching between cloud service providers) and CSPCERT (on cloud security certification). 
 
1. SWIPO Public consultation on the SaaS Code of Conduct (''deadline: 31 January, 23:59hrs'') 
For the consultation and relevant documents click here: https://swipo.page.link/SaaS-pc
The SWIPO WG is developing codes of conduct on data portability, to facilitate easier switching between cloud service providers and on-premise systems, thereby reducing vendor lock-in. This work has been mandated by Article 6 in the Free flow of non-personal data Regulation. The work has been ongoing since 17 April 2018 and should be completed by 29 November 2019.
SWIPO currently consists of two sub-WGs: one working on Infrastructure-as-a-Service (IaaS) cloud services and the other one on Software-as-a-Service (SaaS) cloud services. 
2. CSPCERT Public consultation on Milestone 1 and Milestone 2 (''deadline: 3 February, 23:59hrs'')
For the consultation and relevant documents click here: https://ec.europa.eu/eusurvey/runner/cspcertconsultation
The CSPCERT WG, which was created on 12 December 2017, is exploring the possibility of developing a European Cloud Certification Scheme in the context of the Cybersecurity Act. The objective of this WG is to come up with a recommendation that will be submitted to ENISA (the European Cybersecurity agency) and the European Commission. Both the European Commission and ENISA are closely monitoring the process so that input can be taken into account along the way.
The CSPCERT WG has developed a three-stage working process with the objective of reaching different ‘milestones’. The present public consultation considers milestone 1 and 2 on security requirements and conformity assessment methodologies, and will help the CSPCERT WG to reach its final objective of developing a recommendation for a European cloud security certification scheme.
Should you have not done so already, I strongly recommend taking part in the above public consultations. The participating stakeholders in SWIPO and CSPCERT have worked very hard to come to the documents that are now submitted to the broader constituency for their feedback. Of course, these results depend on certain strategic choices. Your opinion on this content will enable them validate their orientations, and improve their deliverables, which will result in better self-regulation for all cloud stakeholders in the EU.
The self-regulatory process
Both WGs consist of stakeholders with relevant legal, technical and economical expertise and professional experience. Among the participants, there are users, providers and relevant public and supervisory authorities. Efforts are made to maintain a continuous balance between participation of the demand and supply side, as well as SMEs and big market actors in the cloud value chain. 
Would you like to join SWIPO or CSPCERT? Membership is free, inclusive and open to all. Please contact my colleague Witte Wijsmuller at witte point wijsmuller at ec point europa point eu and he will be able to direct you further.
!"New Cloud Security Alliance Study Finds Cybersecurity Incidents and Misconceptions Both Increase as Critical ERP Systems Migrate to Clouds"
__D'après le communiqué de presse [[Cloud Security Alliance]] du 11 janvier 2019__ : [[lien|https://cloudsecurityalliance.org/articles/new-cloud-security-alliance-study-find-cybersecurity-incidents-and-misconceptions-both-increase-as-critical-erp-systems-migrate-to-the-cloud/]] [>img(200px,auto)[iCSA/TheImpactOfCloudOnERP.png]]
''ERP critiques migrés dans le Cloud : attention aux incidents de sécurité et aux mauvaises interprétation et compréhension''
La [[Cloud Security Alliance]] a publié les résultats de la première étude sur les applications ERP (Enterprise Resource Planning) et l'adoption du cloud. Elle traite de la préparation et de la migration vers le Cloud, des caractéristiques et des avantages obtenus, ainsi que des défis en matière de sécurité et de la confidentialité des systèmes ERP dans un environnement Cloud.
Selon l'étude :
* 69% des entreprises migrent les données des principales applications ERP vers le Cloud
* près de 90% des entreprises déclarent que ces applications sont essentielles pour l'entreprise
* plus de 50% des personnes interrogées s'attendent à une augmentation des incidents de sécurité dans le Cloud en 2019
En s'appuyant sur les trois principales préoccupations en matière de migration (le déplacement des données sensibles, le suivi de la sécurité et de la conformité), l'étude révèle que les attaquants évoluent eux aussi. 
Toutefois, plusieurs idées fausses émergent :
* Si 60% des personnes interrogées affirment que le fournisseur de services Cloud est responsable en cas de problème de sécurité, 77% considèrent qu'il incombe à l'entreprise elle-même de sécuriser ses applications ERP.
* Les tiers sont les moins tenus de rendre des comptes et de rendre des comptes.
* Cet écart de perception montre que les entreprises doivent s'approprier davantage leurs applications critiques tout en les migrant vers le cloud.
Pour John Yeoh, directeur de l'étude pour le ''CSA'', "//l'écosystème de l'informatique dans le Cloud évolue rapidement et les applications critiques, telles que les solutions ERP, sont déplacées vers des environnements Cloud. Avec ce changement, les entreprises commencent à explorer la question de savoir si un environnement Cloud pourrait atténuer les défis traditionnels auxquels sont normalement confrontées les applications critiques. [...] Comme le passage au cloud soulève ses propres défis en matière de sécurité et de protection de la vie privée, nous voulions fournir quelques points de repère concernant la myriade de questions entourant la migration et la sécurité dans le cloud.//"
Pour Juan Pablo Perez-Etchegoyen, responsable du groupe de travail "ERP Security" du ''CSA'', "//dans toute migration dans le Cloud, quel que soit le fournisseur, la sécurité doit être mise en oeuvre dès le début et en plusieurs phases tout au long du projet. Les entreprises sont préoccupées par le transfert de données sensibles d'un environnement à l'autre, puis par les implications en matière de sécurité et de conformité qui découlent de cette migration. Nos études ont démontré que la mise en oeuvre de la sécurité à chaque étape de la migration pourrait permettre aux clients d'économiser plus de cinq fois leurs coûts de mise en oeuvre//".
Parmi les autres principaux résultats de l'étude :
* On a plus tendance à migrer les applications critiques vers le cloud dans les zones Amérique (73%) et APAC (73%) que les pays de l'EMEA, où des réglementations telles que le RGPD ont eu une incidence sur les services cloud et les politiques des tiers.
* Les entreprises prennent des mesures supplémentaires pour protéger leurs applications ERP dans le cloud, notamment des contrôles d'identité et d'accès (68%), des pare-feux (63%) et des évaluations de sécurité (62%).
* Les modèles sur site ou //on-premise// (61%) sont les plus retenus, suivis du SaaS (41%), du IaaaS (23%) puis du PaaS (17%).
* Parmi les avantages du passage au Cloud Computing, sont cités : l'évolutivité avec les nouvelles technologies (65%), la réduction du coût de possession (61%) et les correctifs de sécurité et les mises à jour par le fournisseur (49%).
* A l'inverse, les obstacles cités sont : le transfert de données sensibles (65%), la sécurité (59%) et les problèmes de conformité (54%).
Cette étude est sponsorisée par la société ''Onapsis'', mais a été réalisée en toute neutralité comme le sont toujours les études du ''CSA''. Elle est basée sur les interviews de 199 managers, cadres dirigeants et collaborateurs d'entreprises américaines (49%), APAC (26%) et EMEA (25%).
Liens sur le site de la [[Cloud Security Alliance]] :
* Le communiqué de presse → [[cloudsecurityalliance.fr/go/j1ic/|https://cloudsecurityalliance.fr/go/j1bc/]]
* Le formulaire de téléchargement de l'étude → [[cloudsecurityalliance.fr/go/j1it/|https://cloudsecurityalliance.fr/go/j1bt/]]
!Publication : "Guideline on Effectively Managing Security Service in the Cloud"
__Extrait :__[>img(200px,auto)[iCSA/goemssitc.png]]
<<<
//Sur la base du modèle de la responsabilité partagée en matière de sécurité, les responsabilités spécifiques en matière de sécurité sont réparties entre le fournisseur de services dans le Cloud et le client pour les différentes architectures IaaS, PaaS et SaaS. Le cas échéant, les prestataires de services de sécurité dans le Cloud (SECaaS) sont aussi concernés.
Pour chaque type de responsabilités en matière de sécurité, une plusieurs fonctions ou fonctionnalités de sécurité sont définis pour la prendre en charge.
Ce document fournit des conseils sur la façon de remplir les contrôles Cloud (basés sur la [[CCM|Cloud Controls Matrix]]) en utilisant des produits de sécurité tiers et des services.
L'annexe A présente une étude de cas à l'aide d'exemples de produits ou de services disponibles (sans toutefois mentionner de fournisseurs) afin d'illustrer des exemples concrets.//
Le plan du document de 53 pages est le suivant :
# Synthèse
# //Security Role and Responsibility of CSPs, Security Service Providers, and Cloud Customers//
** //Shared Security Responsibility Model//
** //Common Security Responsibilities of CSPs and Cloud Customers//
** //IaaS//, //PaaS//, //SaaS//
** //Roles of Third-Party Security Service Providers//
# //Technical Requirements and Implementation Guide of Cloud Security Assurance Capabilities//
** //Responsibility Division of Security Technologies in Different Cloud Service Modes//
** //Security Technology Requirements and Implementation Measures for Cloud Service Systems//
** //Security Assurance Capabilities Offered by Third-Party Security Service Providers//
# Annexe A : //Building a Secure B2B Cloud Solution - A Case Study//
** //Requirement Analysis and Key Assumptions//
** //Cloud Security Solution Design//
<<<
__Lien :__
* Page de téléchargement → https://cloudsecurityalliance.org/artifacts/guideline-on-effectively-managing-security-service-in-the-cloud/ 
!1er janvier 2019 : Editorial
L'année calendaire qui s'ouvre verra le renouveau du chapitre français de la [[Cloud Security Alliance]].
!!Bilan 2018
En 2018, le chapitre français a participé :
* en mars : à la "Cloud Expo Europe" et plus particulièrement au cycle de conférence "Forum Securité@Cloud",
* en novembre : à la "Cloud Computing World Expo" et plus particulièrement au cycle de conférence associé avec une présentation et une animation d'une table ronde,
* à plusieurs groupes de travail de la [[Cloud Security Alliance]],
* à la poursuite des actions de formation dans le cadre du Mastère Spécialisé "Cloud Computing" de l'ISEP Formation Continue
* au lancement, à l'animation et à des formations dans le cadre du Mastère Spécialisé "Cyber Sécurité" de l'ISEP Formation Continue
!!Prévisions 2019
Pour 2019, Il y a déjà 3 dates à retenir :
* ''20 et 21 mars'' : "Cloud Computing World Expo" à Paris, Porte de Versailles.
** Pour en savoir plus : [[cloudsecurityalliance.fr/go/j113/|https://cloudsecurityalliance.fr/go/j113/]]
** Inscription : [[cloudsecurityalliance.fr/go/j2bs/|https://cloudsecurityalliance.fr/go/j2bs/]]
* ''18 au 21 novembre'' : "CSA EMEA Congress" à Berlin.
** Pour en savoir plus : [[cloudsecurityalliance.fr/go/j11B/|https://cloudsecurityalliance.fr/go/j11B/]]
* ''27 et 28 novembre'' : "Cloud Expo Europe" à Paris, Porte de Versailles.
** Pour en savoir plus : [[cloudsecurityalliance.fr/go/j12B/|https://cloudsecurityalliance.fr/go/j12B/]]
D'ors et déjà 2 actions sont prévues :
* La poursuite des actions d'animation et de formation dans les Mastères Spécialisés "Cloud Computing" et "Cyber Sécurité" dans le cadre de l'ISEP Formation Continue
* La réalisation d'un événement "Sécurité du Cloud" organisé par le Chapitre Français
Si vous souhaitez participer au renouveau du Chapitre Français, ou simplement découvrir les travaux de la [[Cloud Security Alliance]], contactez nous par [[email|Contact]], ou via [[LinkedIn|https://www.linkedin.com/groups/3758242]].
!"//Security Risks and Continuous Development Drive Push for DevSecOps//"
[>img(150px,auto)[iCSA/Dev-Drive-Push.jpg]]
^^Bien que publié le 31 janvier 2019 sur le blog de la CSA, cet article l'a déjà été le 20 novembre 2018 sur le site de la société Symantec.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2019/01/31/continuous-development-drive-push-devsecops/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.symantec.com/blogs/feature-stories/security-risks-and-continuous-development-drive-push-devsecops]].^^
[img(200px,1px)[i/BluePixel.gif]]



!"//Addressing the Skills Gap in Cloud Security Professionals//"
[>img(150px,auto)[iCSA/ccsk-target.jpg]]Article de blog publié le 17 décembre 2018 — Rédigé par Ryan Bergsma, Training Program Director, CSA
<<<
__''Remédier au manque de compétences des professionnels de la sécurité dans le Cloud''__
//L'une des leçons de mathématiques dont je me souviens toujours depuis mon enfance, est que si vous preniez un pièce et que la doubliez chaque jour pendant un mois, vous seriez millionnaire. Le calcul montre même que cela ne prendrait même pas un mois, mais 28 jours. Bien sûr, la plupart d'entre nous réalisons que ce serait presque impossible à réaliser dans la réalité (à moins d'avoir investi dans la bonne cryptomonnaie et au bon moment à l'automne et au début de l'hiver 2017). La raison pour laquelle cette vieille leçon de mathématiques me vient à l'esprit quand je pense au manque de compétences en sécurité informatique, et en particulier en sécurité dans le Cloud, est la loi de Moore.//
[...] //Plus d'éléments sur la formation à la sécurité du Cloud sont disponibles sur la page "Formation [[CCSK]]" ([[ici|https://cloudsecurityalliance.org/education/]]), ou sur la page gratuite de préparation au [[CCSK]] ([[ici|https://cloudsecurityalliance.org/education/ccsk/#_prepare]]).//
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/12/17/addressing-cloud-security-skills-gap/]] sur le blog de la CSA
La liste et les liens vers les présentaions traitant d'aspects sécurité lors de la conférence AWS re:Invent 2018 quis'est déroulée du 26 au 30 novebre 2018 à Las Vegas sont les suivants :
* __''AWS Services Security''__
** DEV349-R2 : [[Safeguard the Integrity of Your Code for Fast and Secure Deployments|https://www.slideshare.net/AmazonWebServices/safeguard-the-integrity-of-your-code-for-fast-and-secure-deployments-dev349r2-aws-reinvent-2018]]
** SEC397 : [[Introduction to AWS Security Hub|https://www.slideshare.net/AmazonWebServices/new-launch-introduction-to-aws-security-hub-sec397-aws-reinvent-2018]]
** CON366 : [[Introducing AWS Cloud Map|https://www.slideshare.net/AmazonWebServices/new-launch-introducing-aws-cloud-map-con366-aws-reinvent-2018]]
** GPSTEC402 : [[Understanding and Hardening the Attack Surface at the Edge|https://www.slideshare.net/AmazonWebServices/understanding-and-hardening-the-attack-surface-at-the-edge-gpstec402-aws-reinvent-2018]]
** ARC332 : [[Inventory and Patch Management Using AWS Systems Manager|https://www.slideshare.net/AmazonWebServices/inventory-and-patch-management-using-aws-systems-manager-arc332-aws-reinvent-2018]]
** CON317-R1 : [[Runtime Security across Kubernetes and AWS Fargate|https://www.slideshare.net/AmazonWebServices/runtime-security-across-kubernetes-and-aws-fargate-con317r1-aws-reinvent-2018]]
** STG304-S : [[Protecting Amazon EC2 Instances, Relational Databases, and NoSQL Workloads|https://www.slideshare.net/AmazonWebServices/protecting-amazon-ec2-instances-relational-databases-and-nosql-workloads-stg304s-aws-reinvent-2018]]
** CON303-R1 : [[Container Security and Avoiding the 2 A.M. Call|https://www.slideshare.net/AmazonWebServices/container-security-and-avoiding-the-2-am-call-con303r1-aws-reinvent-2018]]
** ENT213-S : [[Make Your Disaster Recovery Plan Resilient & Cost-Effective|https://www.slideshare.net/AmazonWebServices/make-your-disaster-recovery-plan-resilient-costeffective-ent213s-aws-reinvent-2018]]
** WIN307 : [[Security Best Practices for Microsoft Workloads|https://www.slideshare.net/AmazonWebServices/security-best-practices-for-microsoft-workloads-win307-aws-reinvent-2018]]
** CON316-R1 : [[Securing Container Workloads on AWS Fargate|https://www.slideshare.net/AmazonWebServices/securing-container-workloads-on-aws-fargate-con316r1-aws-reinvent-2018]]
** CON338-R1 : [[Kubernetes Clusters Security with Amazon EKS|https://www.slideshare.net/AmazonWebServices/kubernetes-clusters-security-with-amazon-eks-con338r1-aws-reinvent-2018]]
** SEC369-R1 : [[Securing Machine Learning Deployments for the Enterprise|https://www.slideshare.net/AmazonWebServices/securing-machine-learning-deployments-for-the-enterprise-sec369r1-aws-reinvent-2018]]
** SEC307-S : [[McAfee Skyhigh: Elevating Your AWS Security Posture|https://www.slideshare.net/AmazonWebServices/mcafee-skyhigh-elevating-your-aws-security-posture-sec307s-aws-reinvent-2018]]
** SEC319 : [[Meeting Enterprise Security Requirements with AWS Native Security Services|https://www.slideshare.net/AmazonWebServices/meeting-enterprise-security-requirements-with-aws-native-security-services-sec319-aws-reinvent-2018]]
** ANT392 : [[Security in Amazon Elasticsearch Service|https://www.slideshare.net/AmazonWebServices/security-in-amazon-elasticsearch-service-ant392-aws-reinvent-2018]]

* __''Governance''__
** SEC302 : [[How LogMeIn Automates Governance and Empowers Developers at Scale|https://www.slideshare.net/AmazonWebServices/how-logmein-automates-governance-and-empowers-developers-at-scale-sec302-aws-reinvent-2018]]
** SEC349-R1 : [[Governance at Scale|https://www.slideshare.net/AmazonWebServices/governance-at-scale-sec349r1-aws-reinvent-2018]]
** WPS204 : [[Building a Governance, Risk, and Compliance Strategy with AWS|https://www.slideshare.net/AmazonWebServices/building-a-governance-risk-and-compliance-strategy-with-aws-wps204-aws-reinvent-2018]]
** SEC336-R1 : [[Aligning to the NIST Cybersecurity Framework in the AWS Cloud|https://www.slideshare.net/AmazonWebServices/aligning-to-the-nist-cybersecurity-framework-in-the-aws-cloud-sec336r1-aws-reinvent-2018]]
** SEC350 : [[How Snap Accomplishes Centralized Security and Configuration Governance on AWS|https://www.slideshare.net/AmazonWebServices/how-snap-accomplishes-centralized-security-and-configuration-governance-on-aws-sec350-aws-reinvent-2018]]
** ENT350-R2 : [[AWS Landing Zone Deep Dive|https://www.slideshare.net/AmazonWebServices/aws-landing-zone-deep-dive-ent350r2-aws-reinvent-2018]]
** WPS206 : [[Executive Security Simulation Workshop|https://www.slideshare.net/AmazonWebServices/executive-security-simulation-workshop-wps206-aws-reinvent-2018]]
** ENT318 : [[Landing Zone Design: What to Do When Your Company Splits in Half|https://www.slideshare.net/AmazonWebServices/landing-zone-design-what-to-do-when-your-company-splits-in-half-ent318-aws-reinvent-2018]]

* __''Compliance''__
** LFS316 : [[Architecting for GxP Compliance in Life Sciences|https://www.slideshare.net/AmazonWebServices/architecting-for-gxp-compliance-in-life-sciences-lfs316-aws-reinvent-2018]]
** HLC302-S-i : [[Automating Compliance on AWS|https://www.slideshare.net/AmazonWebServices/automating-compliance-on-aws-hlc302si-aws-reinvent-2018]]
** GPSWS402 : [[Continuous Compliance for Modern Application Pipelines|https://www.slideshare.net/AmazonWebServices/continuous-compliance-for-modern-application-pipelines-gpsws402-aws-reinvent-2018]]
** SEC330 : [[Automating Compliance Certification with Automated Mathematical Proof|https://www.slideshare.net/AmazonWebServices/automating-compliance-certification-with-automated-mathematical-proof-sec330-aws-reinvent-2018pdf]]
** SEC206-R1 : [[GDPR Readiness and Management|https://www.slideshare.net/AmazonWebServices/gdpr-readiness-and-management-sec206r1-aws-reinvent-2018]]
** SEC317 : [[Set Up Compliance Automation Using AWS Management Tools|https://www.slideshare.net/AmazonWebServices/set-up-compliance-automation-using-aws-management-tools-sec317-aws-reinvent-2018]]
** ENT315-R1 : [[Automate & Audit Cloud Governance & Compliance in Your Landing Zone|https://www.slideshare.net/AmazonWebServices/automate-audit-cloud-governance-compliance-in-your-landing-zone-ent315r1-aws-reinvent-2018]]
** SEC205-R1 : [[Confidently Execute Your Cloud Audit: Expert Advice|https://www.slideshare.net/AmazonWebServices/confidently-execute-your-cloud-audit-expert-advice-sec205r1-aws-reinvent-2018]]

* __''Security / Network''__
** NET402 : [[AWS Transit Gateway and Transit VPCs - Reference Architectures for Many VPCs|https://www.slideshare.net/AmazonWebServices/new-launch-aws-transit-gateway-and-transit-vpcs-reference-architectures-for-many-vpcs-net402-aws-reinvent-2018]]
** SEC201-R1 : [[Security Framework Shakedown: Chart Your Journey with AWS Best Practices|https://www.slideshare.net/AmazonWebServices/security-framework-shakedown-chart-your-journey-with-aws-best-practices-sec201r1-aws-reinvent-2018]]
** SEC353-R1 : [[Keeping Secrets: Securing Your Data with AWS Cryptography|https://www.slideshare.net/AmazonWebServices/keeping-secrets-securing-your-data-with-aws-cryptography-sec353r1-aws-reinvent-2018]]
** NET306-R1 : [[Become an AWS VPN and AWS Direct Connect Expert|https://www.slideshare.net/AmazonWebServices/become-an-aws-vpn-and-aws-direct-connect-expert-net306r1-aws-reinvent-2018]]
** NET402 : [[Transit VPCs: Reference Architectures for Many VPCs|https://www.slideshare.net/AmazonWebServices/transit-vpcs-reference-architectures-for-many-vpcs-net402-aws-reinvent-2018]]
** SEC329 : [[AWS Encryption SDK: The Busy Engineer's Guide to Client-Side Encryption|https://www.slideshare.net/AmazonWebServices/aws-encryption-sdk-the-busy-engineers-guide-to-clientside-encryption-sec329-aws-reinvent-2018]]
** SEC203-R1 : [[A Practitioner's Guide to Securing Your Cloud (Like an Expert)|https://www.slideshare.net/AmazonWebServices/a-practitioners-guide-to-securing-your-cloud-like-an-expert-sec203r1-aws-reinvent-2018]]
** SEC325-R1 : [[Data Protection: Encryption, Availability, Resiliency, and Durability|https://www.slideshare.net/AmazonWebServices/data-protection-encryption-availability-resiliency-and-durability-sec325r1-aws-reinvent-2018]]
** [[Securing Your Customers Data From Day One - Startup Day|https://www.slideshare.net/AmazonWebServices/securing-your-customers-data-from-day-one-124305685]]
** SEC202-R1 : [[Top Cloud Security Myths - Dispelled!|https://www.slideshare.net/AmazonWebServices/top-cloud-security-myths-dispelled-sec202r1-aws-reinvent-2018]]
** SEC335-R1 : [[Configure Your Cloud to Make It Rain on Threats|https://www.slideshare.net/AmazonWebServices/configure-your-cloud-to-make-it-rain-on-threats-sec335r1-aws-reinvent-2018]]
** SEC313-S : [[A 360-Degree Cloud-Native Approach to Secure Your AWS Cloud Stack|https://www.slideshare.net/AmazonWebServices/a-360degree-cloudnative-approach-to-secure-your-aws-cloud-stack-sec313s-aws-reinvent-2018]]
** SEC337-R1 : [[Build a Vulnerability Management Program Using AWS for AWS|https://www.slideshare.net/AmazonWebServices/build-a-vulnerability-management-program-using-aws-for-aws-sec337r1-aws-reinvent-2018]]
** SEC312-S : [[The Perimeter is Dead. Long Live the Perimeters.|https://www.slideshare.net/AmazonWebServices/the-perimeter-is-dead-long-live-the-perimeters-sec312s-aws-reinvent-2018]]

* __''Incident Response  Monitoring''__
** SEC420-R1 : [[Protecting Game Servers Against DDoS Attacks|https://www.slideshare.net/AmazonWebServices/protecting-game-servers-against-ddos-attacks-sec420r1-aws-reinvent-2018]]
** DEV206-S : [[Security Observability: Democratizing Security in the Cloud|https://www.slideshare.net/AmazonWebServices/security-observability-democratizing-security-in-the-cloud-dev206s-aws-reinvent-2018]]
** SEC327 : [[AWS Security in Your Sleep: Build End-to-End Automation for IR Workflows|https://www.slideshare.net/AmazonWebServices/aws-security-in-your-sleep-build-endtoend-automation-for-ir-workflows-sec327-aws-reinvent-2018]]
** SEC359-R1 : [[A DIY Guide to Runbooks, Security Incident Reports, & Incident Response|https://www.slideshare.net/AmazonWebServices/a-diy-guide-to-runbooks-security-incident-reports-incident-response-sec359r1-aws-reinvent-2018]]
** GPSTEC304 : [[Supercharge GuardDuty with Partners: Threat Detection and Response at Scale|https://www.slideshare.net/AmazonWebServices/supercharge-guardduty-with-partners-threat-detection-and-response-at-scale-gpstec304-aws-reinvent-2018]]
** SEC405-R1 : [[Scalable, Automated Anomaly Detection with GuardDuty, CloudTrail, & Amazon SageMaker|https://www.slideshare.net/AmazonWebServices/scalable-automated-anomaly-detection-with-guardduty-cloudtrail-amazon-sagemaker-sec405r1-aws-reinvent-2018]]
** SEC416-R1 : [[How to Perform Forensics on AWS Using Serverless Infrastructure|https://www.slideshare.net/AmazonWebServices/how-to-perform-forensics-on-aws-using-serverless-infrastructure-sec416r1-aws-reinvent-2018]]
** CTD304-R : [[Secure Your Site: Use CDN Security Features to Protect Your Content & Infrastructure|https://www.slideshare.net/AmazonWebServices/secure-your-site-use-cdn-security-features-to-protect-your-content-infrastructure-ctd304r-aws-reinvent-2018]]
** SEC321-R1 : [[How Zocdoc Achieves Automatic Threat Detection & Remediation with Security as Code|https://www.slideshare.net/AmazonWebServices/how-zocdoc-achieves-automatic-threat-detection-remediation-with-security-as-code-sec321r1-aws-reinvent-2018]]
** SEC323-R1 : [[Augmenting Security Posture and Improving Operational Health with AWS CloudTrail|https://www.slideshare.net/AmazonWebServices/augmenting-security-posture-and-improving-operational-health-with-aws-cloudtrail-sec323r1-aws-reinvent-2018]]
** SEC389 : [[Detecting Credential Compromise in AWS|https://www.slideshare.net/AmazonWebServices/detecting-credential-compromise-in-aws-sec389-aws-reinvent-2018]]
** SEC331 : [[Find All the Threats: AWS Threat Detection and Remediation|https://www.slideshare.net/AmazonWebServices/find-all-the-threats-aws-threat-detection-and-remediation-sec331-aws-reinvent-2018]]

* __''Automation''__
** SEC357-R1 : [[Turner's Journey to Scale Securely on a Lean Budget|https://www.slideshare.net/AmazonWebServices/turners-journey-to-scale-securely-on-a-lean-budget-sec357r1-aws-reinvent-2018]]
** SEC311-S : [[AWS and Symantec: Cyber Defense at Scale|https://www.slideshare.net/AmazonWebServices/aws-and-symantec-cyber-defense-at-scale-sec311s-aws-reinvent-2018]]
** ANT209-S : [[Security Challenges and Use Cases in the Modern Application Build-and-Deploy Pipeline|https://www.slideshare.net/AmazonWebServices/security-challenges-and-use-cases-in-the-modern-application-buildanddeploy-pipeline-ant209s-aws-reinvent-2018]]
** SEC309-S : [[Moody's: Deploying Cloud-Native Architectures with Automation|https://www.slideshare.net/AmazonWebServices/moodys-deploying-cloudnative-architectures-with-automation-sec309s-aws-reinvent-2018]]
** SEC318 : [[How Verizon is Accelerating Cloud Adoption and Migration with the AWS Service Catalog Connector for ServiceNow|https://www.slideshare.net/AmazonWebServices/how-verizon-is-accelerating-cloud-adoption-and-migration-with-the-aws-service-catalog-connector-for-servicenow-sec318-aws-reinvent-2018]]
** CON321-R2 : [[Mythical Mysfits: DevSecOps with Docker and AWS Fargate|https://www.slideshare.net/AmazonWebServices/mythical-mysfits-devsecops-with-docker-and-aws-fargate-con321r2-aws-reinvent-2018]]
** SEC332-R1 : [[Adding the Sec to Your DevOps Pipelines|https://www.slideshare.net/AmazonWebServices/adding-the-sec-to-your-devops-pipelines-sec332r1-aws-reinvent-2018]]
** SEC391 : [[Inventory, Track, and Respond to AWS Asset Changes within Seconds at Scale|https://www.slideshare.net/AmazonWebServices/inventory-track-and-respond-to-aws-asset-changes-within-seconds-at-scale-sec391-aws-reinvent-2018]]
** SEC308-S : [[Orion Health CISO & Ops Unite for a Secure DevOps Practice|https://www.slideshare.net/AmazonWebServices/orion-health-ciso-ops-unite-for-a-secure-devops-practice-sec308s-aws-reinvent-2018]]
** ENT214-S : [[Autonomous DevSecOps: Five Steps to a Self-Driving Cloud|https://www.slideshare.net/AmazonWebServices/autonomous-devsecops-five-steps-to-a-selfdriving-cloud-ent214s-aws-reinvent-2018]]
** SEC395-R1 : [[Packetless Port Scanning: Automate DevSecOps with Amazon Inspector|https://www.slideshare.net/AmazonWebServices/packetless-port-scanning-automate-devsecops-with-amazon-inspector-sec395r1-aws-reinvent-2018]]
** ANT335-S : [[How to Automate Security Learning at Scale|https://www.slideshare.net/AmazonWebServices/how-to-automate-security-learning-at-scale-ant335s-aws-reinvent-2018]]
** SEC403 : [[Five New Security Automations Using AWS Security Services & Open Source|https://www.slideshare.net/AmazonWebServices/five-new-security-automations-using-aws-security-services-open-source-sec403-aws-reinvent-2018]]

* __''Identity''__
** SEC401-R1 : [[Mastering Identity at Every Layer of the Cake|https://www.slideshare.net/AmazonWebServices/mastering-identity-at-every-layer-of-the-cake-sec401r1-aws-reinvent-2018]]
** SEC324 : [[IAM for Enterprises: How Vanguard Matured IAM Controls to Support Micro Accounts|https://www.slideshare.net/AmazonWebServices/iam-for-enterprises-how-vanguard-matured-iam-controls-to-support-micro-accounts-sec324-aws-reinvent-2018]]
** FSV325 : [[How Nubank Automates Fine-Grained Security with IAM, AWS Lambda, and CI/CD|https://www.slideshare.net/AmazonWebServices/how-nubank-automates-finegrained-security-with-iam-aws-lambda-and-cicd-fsv325-aws-reinvent-2018]]
** SEC390-R1 : [[Unleash the Power of Temporary AWS Credentials (a.k.a. IAM roles)|https://www.slideshare.net/AmazonWebServices/unleash-the-power-of-temporary-aws-credentials-aka-iam-roles-sec390r1-aws-reinvent-2018]]
** SEC316-R1 : [[Become an IAM Policy Master in 60 Minutes or Less|https://www.slideshare.net/AmazonWebServices/become-an-iam-policy-master-in-60-minutes-or-less-sec316r1-aws-reinvent-2018pdf]]
** SEC320 : [[Policy Verification and Enforcement at Scale with AWS|https://www.slideshare.net/AmazonWebServices/policy-verification-and-enforcement-at-scale-with-aws-sec320-aws-reinvent-2018]]

* __''Serverless''__
** SRV314-R1 : [[Securing Serverless Applications and AWS Lambda|https://www.slideshare.net/AmazonWebServices/securing-serverless-applications-and-aws-lambda-srv314r1-aws-reinvent-2018]]
** SEC362-R1 : [[Best Practices for Securing Serverless Applications|https://www.slideshare.net/AmazonWebServices/best-practices-for-securing-serverless-applications-sec362r1-aws-reinvent-2018]]
** SRV306-R1 : [[Managing Identity Management, Authentication, & Authorization for Serverless Applications|https://www.slideshare.net/AmazonWebServices/repeat-1-managing-identity-management-authentication-authorization-for-serverless-applications-srv306r1-aws-reinvent-2018]]
** SRV319-R1 : [[Security & Compliance for Modern Serverless Applications|https://www.slideshare.net/AmazonWebServices/security-compliance-for-modern-serverless-applications-srv319r1-aws-reinvent-2018]]
** API317-R2 : [[Securing Data in Serverless Applications and Messaging Services|https://www.slideshare.net/AmazonWebServices/securing-data-in-serverless-applications-and-messaging-services-api317r2-aws-reinvent-2018]]
** SEC322-R1 : [[Using AWS Lambda as a Security Team|https://www.slideshare.net/AmazonWebServices/using-aws-lambda-as-a-security-team-sec322r1-aws-reinvent-2018]]
[>img(200px,auto)[iCSA/streamlining-it.png]]__Streamlining Vendor IT Security and Risk Assessments__
<<<
//A perspective on standards-based assurance of Cloud Providers.//
<<<
__Lien de téléchargement :__
→ https://cloudsecurityalliance.org/artifacts/streamlining-vendor-it-security-and-risk-assessments/
!"//Development of Cloud Security Guidance, with Mapping MY PDPA Standard to CCM Control Domains//"
[>img(150px,auto)[iCSA/ccm-new.png]]Article de blog publié le 6 décembre 2018 — Rédigé par Ekta Mishra, Research Analyst/APAC, Cloud Security Alliance
<<<
__''Guide sur la sécurité dans le Cloud, avec correspondance entre la norme PDPA (Malaisie) et la Cloud Controls Matrix (CCM)''__
//La [[Cloud Controls Matrix]] (CCM) fournit un cadre de contrôle qui permet de bien appréhender les concepts et principes de sécurité alignés sur les directives de la Cloud Security Alliance dans 13 domaines. Les fondements de la CCM reposent sur ses correspondantes avec d'autres normes, règlements et cadres de contrôle de sécurité (ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum et NERC CIP...//
[...]
//Le Commissaire malaisien à la protection des données personnelles a publié le "Personal Data Protection Standards 2015" (ou "Normes de protection des données personnelles 2015"), qui sont entrées en vigueur le 23 décembre 2015. Pour les personnes concernées, c'est-à-dire toute personne qui "traite" et "contrôle ou autorise le traitement de données à caractère personnel dans le cadre de transactions commerciales" (donc toute personne ou société qui traite des données à caractère personnel dans le cadre de ses activités, également appelée "utilisateurs de données"), ces normes constituent un nouveau palier de conformité et imposent des responsabilités supplémentaires à ces utilisateurs, en plus de celles définies par la loi malaisienne de protection des données personnelles 2010 ("PDPA").//
[...]
Lien externe : [[Personal Data Protection Standards 2015|http://www.pdp.gov.my/index.php/en/akta-709/standard]] de Malaisie.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/12/06/mapping-pdpa-standard-ccm-control-domains/]] sur le blog de la CSA
!La Cloud Security Alliance et OneTrust publient un outil gratuit "Vendor Risk Management Tool" pour les membres de la CSA.
__Seattle, le 4 décembre 2018.__ [>img(250px,auto)[iCSA/onetrust.png]]
Aujourd'hui, la [[Cloud Security Alliance]] (''CSA'') et [[OneTrust|https://onetrust.com/]] ont lancé un outil gratuit de gestion du risque fournisseur ("Vendor Risk Management" ou "VRM") pour automatiser le cycle de vie du risque fournisseur afin de le rendre conforme au ''GDPR'', au ''CCPA'' ("California Consumer Privacy Act") et à d'autres cadres règlementaires portant sur la confidentialité et la sécurité. La ''CSA'' a choisi OneTrust, la plateforme technologique de gestion de la protection de la vie privée la plus importante et la plus utilisée, pour l'évaluation des risques des fournisseurs et l'automatisation de la conformité. 
L'outil est prérempli de modèles reproduisant les meilleures pratiques de la ''CSA'' n matière de sécurité dans le Cloud, d'assurance de la protection de la vie privée et de conformité, y compris la [[Cloud Controls Matrix|Publications - Cloud Controls Matrix]] ([[CCM]]), le ''Consensus Assessments Initiative Questionnaire'' ([[CAIQ]]) et ''GDPR Code of Conduct''. Il est ainsi possible de s'appuyer sur des modèles existants ou créer des évaluations personnalisées des fournisseurs selon les besoins.
[>img(250px,auto)[iCSA/CSA+OneTrust_VRM.png]]L'outil ''CSA-OneTrust VRM'' automatise l'ensemble du cycle de vie de la gestion des fournisseurs, notamment :
* Intégration et rupture avec des fournisseurs
* Sélection des fournisseurs
* Remplir les caractéristiques des fournisseurs et surveiller leur cycle de vie de gestion des risques
* Tenir à jour les informations à des fins de comptabilité et de conformité.
L'outil est alimenté par ''Vendorpedia''™ par ''OneTrust'', une base de données sur la confidentialité et la sécurité de plus de 4.000 fournisseurs qui alimente automatiquement les évaluations des fournisseurs à partir des informations les plus récentes.
L'outil est librement accessible [[ici|https://www.onetrust.com/csa-vrm]]
Le communiqué de presse est disponible [[ici|https://cloudsecurityalliance.org/articles/csa-and-onetrust-launch-free-vendor-risk-management-tool/]] sur le site de la Cloud Security Alliance.
!"//Typical Challenges in Understanding CCSK and CCSP: Technology Architecture//"
[>img(150px,auto)[iCSA/ccsk-1-300x300.jpg]]Article de blog publié le 3 décembre 2018 — Rédigé par Peter HJ van Eijk, Head Coach and Cloud Architect, ClubCloudComputing.com
<<<
__''Les challenges pour comprendre le [[CCSK]] et le CCSP : l'architecture technologique''__
//Alors que le Cloud Computing devient de plus en plus courant, nombreux sont ceux qui cherchent à obtenir une certification en sécurité dans le Cloud. Parce que j'enseigne pour la préparation aux deux certifications les plus populaires — le "Certificate of Cloud Security Knowledge" ([[CCSK]]) de la [[Cloud Security Alliance]] (CSA), et le "Certified Cloud Security Professional" (CCSP) de l'ISC^^2^^ — nombreux sont ceux que je vois travailler pour réussir ces examens.
Mes étudiants viennent d'horizons très divers, chacun apportant ses propres expériences qui teintent sa compréhension de la façon dont le Cloud est géré et contrôlé. [...]
C'est pourquoi l'architecture technologique est si importante pour les personnes moins techniques. Et cela explique aussi pourquoi c'est difficile. L'ensemble des connaissances nécessaires au [[CCSK]] se concentre spécifiquement sur la façon dont l'architecture de la technologie du Cloud a un impact sur sa gestion, en particulier sur la gestion des risques, et cela en fait un excellent outil pour constituer des équipes efficaces dans l'adoption du Cloud.//
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/12/03/understanding-ccsk-ccsp-technology-architecture/]] sur le blog de la CSA
!"//Keeping Your Boat Afloat with a Cloud Access Security Broker//"
^^Bien que publié le 7 décembre 2018 sur le blog de la CSA, cet article l'a déjà été le 5 novembre 2018 sur le site de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/12/07/keep-boat-afloat-casb/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/boat-afloat-casb]].^^
[img(200px,1px)[i/BluePixel.gif]]
[>img(200px,auto)[iCSA/Blockchain-DLT.png]]__Blockchain DLT Use Cases__
<<<
//Thanks to the rise in popularity of Bitcoin cryptocurrency, the innovative technologies of Blockchain and other systems of distributed ledger technology (DLT) have proven their ability to increase security of data during transactions and provide immutable long-term data storage.//
<<<
__Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/blockchain-dlt-use-cases/
!"//Weigh in on the Cloud Control Matrix Addenda//"
[>img(200px,auto)[iCSA/ccm-mapping-methodology.png]]Article de blog publié le 23 novembre 2018 — Rédigé par le [[Cloud Controls Matrix]]
<<<
__''Appel à commentaires sur la CCM avant le 20 décembre 2018''__
//La [[Cloud Security Alliance]] lance un appel à commentaires sur 2 annexes de la [[Cloud Controls Matrix|Publications - Cloud Controls Matrix]] pour les normes suivantes :
* Office fédéral allemand de la sécurité de l'information (BSI) : Cloud Computing Compliance Controls Catalogue (C5) 
** [[Page d'explication|https://cloudsecurityalliance.org/artifacts/ccm-c5/]] sur le site de la [[Cloud Security Alliance]] "CCM Addendum - C5" → 
** [[Document à remplir|https://docs.google.com/spreadsheets/d/1fpgXcvn4A0W68C1webxTZ4epqCsZbdcggqTWoy7J5ug/edit?usp=sharing]] sur Google Sheets avec 4 onglets : "Introduction", "C5", "CCM", "Terminology"
* ISO/IEC 27002, ISO/IEC 27017 et ISO/IEC 27018.
** [[Page d'explication|https://cloudsecurityalliance.org/artifacts/ccm-iso/]] sur le site de la [[Cloud Security Alliance]] "CCM Addendum - ISO/IEC 27002, 27017, 27018" 
** [[Document à remplir|https://docs.google.com/spreadsheets/d/12g5oVb9tOlfBU_ky9xErcvNz0P5A2oQPd4MHuMk4VD4/edit?usp=sharing]] sur Google Sheets avec 4 onglets : "Introduction", "ISO", "CCM", "Terminology"
Ces documents contiennent donc :
* une équivalence entre les normes susmentionnées et la [[Cloud Controls Matrix|Publications - Cloud Controls Matrix]] (exemple : quel(s) contrôle(s) dans la CCM correspond(ent) à chaque contrôle donné dans la norme ISO 27017),
* une analyse des écarts,
* les contrôles de réduction des écarts (les annexes à proprement parlé).
Il est demandé de se concentrer sur le contenu du document, en faisant abstraction des éventuels commentaires éditoriaux sur la grammaire, le formatage, etc.
La date limite pour transmettre des commentaires est le ''20 décembre 2018''.//
<<<
&rArr; Lire [[l'original|https://blog.cloudsecurityalliance.org/2018/11/20/cloud-control-matrix-addenda/]] sur le blog de la CSA 
!"//Voice Your Opinion on the New Top Threats to Cloud Computing//"
[>img(150px,auto)[iCSA/topthreats-deepdivecover.png]]Article de blog publié le 20 novembre 2018 — Rédigé par le [[Groupe de Travail - Top Threats]]
<<<
__''Exprimez votre opinion sur les nouvelles menaces qui pèsent sur le Cloud Computing''__
//Le [[Groupe de Travail - Top Threats]] de la [[Cloud Security Alliance]] publie un sondage pour la prochaine version du rapport sur les principales menaces sur le Cloud. 19 types de problèmes de sécurité ont été séletionnés, depuis des problèmes récurrents tels que les failles de sécurité, les interfaces et API non sécurisées, jusqu'à de nouveaux problèmes tels que la faiblesse des plan de contrôle. 
Il s'agit de déterminer la perception de l'industrie quant aux enjeux les plus importants. La durée pour remplir ce sondage de 26 questions est inférieure à 10 minutes.
Lien vers le sondage sur le site SurveyMonkey [[ici|https://www.surveymonkey.com/r/MQ553TW]]. Le sondage est ouvert jusqu'au ''20 décembre 2018''.//
<<<
&rArr; Lire [[l'original|https://blog.cloudsecurityalliance.org/2018/11/20/opinion-cloud-computing-top-threats/]] sur le blog de la CSA
!"//CCSK Success Stories: Cloud Security Training from a CTO’s Perspective//"
[>img(200px,auto)[iCSA/CCSKtraining.png]]Article de blog publié le 19 novembre 2018.
__''Retour d'expérience sur le [[CCSK]] : la formation Cloud Security Training vue par un Directeur Technique''__
<<<
Lancement d'une série sur la formations à la sécurité dans le Cloud avec Cory Cowgill, le vice-président et directeur technique de ''Fusion Risk Management'', qui a une longue expérience dans le développement logiciel et plusieurs certifications dont "Salesforce System Architect and Application Architect", "Amazon Web Services Solution Architect", et "Cloud Security Alliance Certificate of Cloud Security Knowledge" ([[CCSK]]). [...]
//Qu'est-ce qui vous a conduit au [[CCSK]] ?//
* La recherche et le travail avec la [[CCM]] ([[Cloud Controls Matrix]]) m'ont mené au [[CCSK]]. Je passe ma vie à apprendre, et j'ai donc décidé de passer l'examen que j'ai réussi récemment et j'ai trouvé qu'une grande partie du contenu était directement applicable et utile. Je le recommande à tous les professionnels de la sécurité informatique. Il fournit un ensemble de principes complets et objectifs qui sont d'une valeur inestimable en matière de sécurité. Le document [[CSA Security Guidance v4|Groupe de Travail - Security Guidance]] sera désormais une lecture obligatoire pour tous mes ingénieurs dans notre entreprise.
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/11/19/ccsk-success-stories-cto-perspective/]] sur le blog de la CSA
!"//AWS Cloud: Proactive Security and Forensic Readiness – Part 4//"
[>img(300px,auto)[iCSA/data-protection-1200x480.jpg]]Article de blog publié le 19 novembre 2018 — Rédigé par Neha Thethi, Information Security Analyst, BH Consulting
<<<
__''Cloud AWS : Contrôles de détection dans AWS (4^^ème^^ partie)''__
Les contrôles de sécurité peuvent être techniques ou administratifs. Une approche de sécurité à plusieurs niveaux pour protéger les actifs et l'infrastructure de l'information d'une organisation devrait comprendre des contrôles préventifs, des contrôles de détection et des contrôles de correction.
Il existe des contrôles préventifs pour éviter que la menace ne puisse exploiter des vulnérabilités. Il y a des contrôles de détection pour déterminer si la menace a affectivement frappé nos systèmes. Il existe des contrôles correctifs pour atténuer les effets de la menace qui se manifeste.
Cet article concerne les contrôles de détection au sein d'AWS Cloud. 
Il s'agit du quatrième article d'une série de cinq qui fournit une liste de contrôle pour la sécurité proactive et l'état de préparation à l'analyse forensique dans un environnement Cloud Amazon.
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/11/16/aws-cloud-proactive-security-forensic-readiness-2/]] sur le blog de la CSA
Lien original : http://bhconsulting.ie/data-protection-aws/ 
!Cloud Controls Matrix v3.0.1 (mise à jour du 12.11.2018)
[>img(100px,auto)[iCSA/CSA-CCMv3.jpg]]__Extrait :__
> //This initiative aims to develop a research whitepaper, focusing on building up a cloud security services management platform. This whitepaper will serve as a guideline for cloud service providers to secure its cloud platform and provide cloud security services to cloud users, for cloud users to select security qualified cloud service providers, for security vendors to develop their cloud-based security products and services.//
__Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/guideline-on-effectively-managing-security-service-in-the-cloud/



!"//Cloud Threat Report: Emotet, Dridex, Mylobot Malware Activity – Week of 11/26//"
^^Bien que publié le 30 novembre 2018 sur le blog de la CSA, cet article l'a déjà été le 27 novembre 2018 sur le site de la société TRU*STAR
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/11/30/cloud-threat-report-week-11-26/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.trustar.co/blog/cloud-threat-report-emotet-dridex-mylobot-malware-activity]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Bitglass Security Spotlight: US Government Breaches Abound//"
^^Bien que publié le 30 novembre 2018 sur le blog de la CSA, cet article l'a déjà été le 7 novembre 2018 sur le site de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/11/30/bitglass-security-spotlight-us-govt-breaches/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/bss-us-gov-breaches-abound]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//How to Do the Impossible and Secure BYOD//"
^^Bien que publié le 26 novembre 2018 sur le blog de la CSA, cet article l'a déjà été le 15 novembre 2018 sur le site de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/11/26/impossible-secure-byod/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/the-impossible-securing-byod]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Fixing Your Mis-Deployed NGFW//"
[>img(70px,auto)[iCSA/Firewall.png]]^^Bien que publié le 23 novembre 2018 sur le blog de la CSA, cet article l'a déjà été le 29 août 2018 sur le site de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/11/23/fixing-mis-deployed-ngfw/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/fixing-your-mis-deployed-ngfw]].^^
Ce court article, rédigé par Rich Campagna de la société Bitglass, mérite d'être lu.
[img(200px,1px)[i/BluePixel.gif]]

!"//Seven Reasons Why Proxy-based CASBs Are Required for Office 365//"
^^Bien que publié le 9 novembre 2018 sur le blog de la CSA, cet article l'a déjà été le 21 août 2018 sur le site de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/11/08/proxy-based-casbs-required-office-365/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/7-reasons-why-proxy-based-casbs-are-required-for-office-365]].^^
[>img(200px,auto)[iCSA/guidelines.png]]__Guideline on Effectively Managing Security Service in the Cloud__
<<<
//The Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) Working Group has released a minor update for the CCM v3.0.1. This update incorporates mappings to IEC 62443-3-3 and BSI Compliance Controls Catalogue (C5).//
<<<
__Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/blockchain-dlt-use-cases/
!Salon ''Cloud & Cyber Security Paris'' les 27 et 28 novembre 2018
[img[i/CCSEP201811.jpg]]
__Paris, le 17 octobre 2018.__
Les inscriptions sont maintenant ouvertes pour le Salon ''Cloud & Cyber Security Paris'' : --{{{cloudexpoeurope.fr/csa-ccse}}}--
Le Salon ''Cloud & Cyber Security Paris'' est un salon réservé aux experts de la Sécurité du Cloud qui se tiendra :
{{floatC{
les ''mardi 27 et mercredi 28 novembre 2018 à Paris Porte de Versailles'' (Hall 3)
}}}
4 bonnes raisons de visiter le salon ''Cloud & Cyber Security Paris''
# __Rencontrer__ plus de 150 fournisseurs nationaux et internationaux.
# __Assister__ aux prises de parole de 250 experts dans un programme de conférence recouvrant l’actualité du secteur, dont des dizaines d’études de cas et des tables rondes. Des experts issus des plus grandes entreprises françaises, du secteur public, de PME et des prestataires de services viendront partager leurs expériences.
# __Consolider__ votre réseau et __construire__ des relations avec les acteurs du marché et découvrez les technologies de demain.
# __Optimiser__ votre temps et aborder tous vos objectifs technologiques en un seul lieu.
En suivant le lien ci-dessous, vous pouvez déjà obtenir votre invitation gratuite qui vous donnera accès aux évènements co-organisés ''Cloud Expo Europe Paris'' et ''Data Centre World Paris''.

Le Chapitre Français de la [[Cloud Security Alliance]] fera une intervention le ''mardi 27 novembre 2018 de 15h45 à 16h10''.
!"//Guideline on Effectively Managing Security Service in the Cloud//"
[>img(200px,auto)[iCSA/guidelines.png]]Article de blog publié le 16 octobre 2018 —Dr. Kai Chen, Director of Cybersecurity Technology, Huawei Technologies Co. Ltd.
<<<
//Le marché du cloud computing est en pleine croissance. Abordable, efficace et évolutif, le cloud computing reste la meilleure solution pour la plupart des entreprises, et il est encourageant de constater que le nombre de clients déployant des services cloud va toujours croissant.
Depuis le début du déploiement du cloud, la sécurité des services cloud en a été l'une des principales préoccupations.
Pour faire face à ce problème, diverses organisations ont consenti d'énormes efforts dans les normes de sécurité des services Cloud et dans la recherche des bonnes pratiques pour l'élaboration et la mise en application. Grâce aux efforts des fournisseurs de services dans le Cloud (CSP), la sécurité des services dans les nuages a atteint un niveau acceptable. Mais du point de vue des clients du cloud, il manque encore quelque peu de bonnes pratiques sur la façon de sécuriser leurs services cloud. 
La disponibilité de ces bonnes pratiques peut être particulièrement utile pour les petites et moyennes entreprises (PME) qui sont constamment confrontées à des pénuries de ressources en sécurité informatique. C'est dans cette optique que le groupe de travail sur la gestion des services de sécurité en nuage (CSSM, ou "Cloud Security Services Management") a élaboré la "Directive pour une gestion efficace des services de sécurité dans le Cloud" ("Guideline on Effectively Managing Security Service in the Cloud") qui s'applique aux différents modèles de déploiement Cloud, qu'ils soient privés, publics, hybrides ou communautaires.//
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/10/16/guideline-managing-cloud-security-service/]] sur le blog de la CSA ou sur le site du [[chapitre Asie-Pacifique|https://www.csaapac.org/cssm.html]].

[img(200px,1px)[i/BluePixel.gif]]
La page du groupe de travail "Cloud Security Services Management" est : https://cloudsecurityalliance.org/working-groups/cloud-security-services-management/
__Traduction de la synthèse du document__
<<<
//Sur la base du modèle de la responsabilité partagée en matière de sécurité, les responsabilités spécifiques en matière de sécurité sont réparties entre le fournisseur de services dans les nuages et le client dans le déploiement de services dans les nuages différents (IaaS, PaaS et SaaS, par exemple) et, le cas échéant, les fournisseurs de services de sécurité dans le Cloud et l'offre SecaaS (Security-as-a-Service) pour les plates-formes cloud. Pour chaque responsabilité en matière de sécurité, il y a une ou plusieurs fonctions ou éléments de sécurité définis pour la traiter. Ce document fournit des conseils sur la façon de remplir les contrôles de cloud computing (basés sur la CCM) en utilisant des produits et des services de sécurité tiers. L'annexe A présente une étude de cas à l'aide d'exemples de solutions disponibles dans le commerce (aucun fournisseur n'étant référencé) afin d'illustrer de façon pratique des cas significatifs d'utilisation sur l'applicabilité de ces fonctions de sécurité.//
<<<
!"//How Can the Financial Industry Innovate Faster?//"
[>img(200px,auto)[iCSA/shutterstock_25667818.jpg]]Article de blog publié le 15 octobre 2018 — Rédigé par Peter HJ van Eijk, Head Coach and Cloud Architect, ClubCloudComputing.com
<<<
__''Comment le secteur financier peut-il innover plus rapidement ?''__
//Comment le secteur financier peut-il innover plus rapidement ? Pourquoi les personnes non techniques doivent-elles comprendre un minimum ce qu'est la technologie du Cloud ?
Imaginez ce cas d'école où Davinci serait une société qui fournit une solution SaaS aux banques pour le traitement des demandes de prêts classiques et de prêts hypothécaires. Davinci exploite son propre logiciel sur une plate-forme Amazon AWS, et un nombre important de grands fournisseurs de prêts hypothécaires dépendent de ce service. Comme on peut l'imaginer, le processus d'approbation de prêt implique beaucoup de données personnelles et financières, qui font peser d'énormes risque énorme dupoint de vue de la protection de la vie privée. Cela soulève la question de savoir qui va s'occuper de ces risques spécifiques ainsi que des autres.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/10/15/how-can-financial-industry-innovate-faster/]] sur le blog de la CSA 
!"//CCSK in the Wild: Survey of 2018 Certificate Holders//"
[>img(200px,auto)[iCSA/ccsk-1-150x150.jpg]]Article de blog publié le 9 octobre 2018 — Rédigé par
<<<
__''CCSK : Sondage 2018 parmi les certifiés''__
//Même si de plus en plus d'entreprises migrent vers le cloud, on se demande toujours dans quelle mesure ces services cloud sont sécurisés. Selon un article de Forbes, "66 % des professionnels de l'informatique affirment que la sécurité est leur plus grande préoccupation lorsqu'ils adoptent une stratégie de cloud computing".
Alors que vous vous lancez dans votre quête pour combler ce manque de compétences, vous pourriez apprendre beaucoup de la façon dont d'autres professionnels ont utilisé les certifications pour élargir et valider leurs connaissances sur le Cloud. Dans cet article, nous allons découvrir à quoi sert le [[CCSK]] ("Certificate of Cloud Security Knowledge"). La première étape est un sondage auprès des certifiés [[CCSK]] pour savoir comment leur certificat avait un impact sur leur emploi, leur carrière et leur perfectionnement professionnel en général. Un résumé des résultats du sondage, des offres d'emploi et des témoignages est présenté ci-dessous.
Les sujets abordés dans cet article sont :
* Résultats du sondage
* Le [[CCSK]] dans les offres d'emploi
* Quelques témoignages
//[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/10/09/2018-ccsk-certificate-holders-survey/]] sur le blog de la CSA
!"//Software-Defined Perimeter Architecture Guide Preview (4/4)//"
[>img(200px,auto)[iCSA/cyber-security-3400657__340.jpg]]Article de blog publié le 8 octobre 2018 — Rédigé par Jason Garbis, Vice President/Secure Access Products, Cyxtera Technologies Inc.
<<<
__''Aperçu du guide sur l'architecture du Software-Defined Perimeter (SDP) -- article 4/4''__
//Dans les trois derniers articles sur ce sujet, nous avons donné un aperçu du "Software-Defined Perimeter (SDP) Architecture Guide", les concepts de base du SDP et un résumé des avantages du SDP. Dans ce dernier article, nous présenterons un modèlede gouvernance du SDP, et conclurons par quelques réflexions finales.
Bien qu'un système SDP soit techniquement responsable de l'autorisation ou de l'interdiction de la circulation des paquets entre deux systèmes, sa valeur réelle - et l'opportunité réelle qu'il représente en tant qu'architecture émergente - est de définir un modèle de gouvernance qui aligne la gestion des identités et l'accès aux applications avec le niveau du réseau. C'est-à-dire, permettre aux organisations d'élaborer des politiques qui déterminent quelles identités - humaines ou systémiques - devraient être autorisées à accéder à quels services cibles et dans quelles conditions. Et pour finir, d'avoir la capacité de faire appliquer cela en empêchant tout accès au niveau réseau par des utilisateurs non autorisés.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/10/08/sdp-architecture-guide-preview-part-4/]] sur le blog de la CSA
!"//Bitglass Security Spotlight: Veeam, Mongo Lock, Password Theft, Atlas Quantum & the 2020 Census//"
^^Bien que publié le 31 octobre 2018 sur le blog de la CSA, cet article est constitué de 2 articles publiés les 1er octobre et 19 septembre 2018 sur le site de la société Lacework
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/10/31/cybersecurity-headlines-2020-census/]] ou les deux [[articles|https://www.bitglass.com/blog/bss-atlas-quantum-2020-census]] [[originaux|https://www.bitglass.com/blog/bss-veeam-mongo-lock-password-theft]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//POC the CASB//"
[>img(100px,auto)[iCSA/Rock_the_CASB.png]]^^Bien que publié le 19 octobre 2018 sur le blog de la CSA, cet article l'a déjà été le 17 septembre 2018 sur le site de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/10/29/poc-casb/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://blog.cloudsecurityalliance.org/2018/10/29/poc-casb/]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Bitglass Security Spotlight: Yale, LifeLock, SingHealth, Malware Evolving & Reddit Breached//"
^^Bien que publié le 25 octobre 2018 sur le blog de la CSA, cet article est constitué de 2 articles publiés les 4 septembre et 20 aout 2018 sur le site de la société Lacework
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/10/25/bitglass-cybersecurity-headlines/]] ou les deux [[articles|https://www.bitglass.com/blog/bss-yale-lifelock-singhealth]] [[originaux|https://www.bitglass.com/blog/bss-malware-evolving-reddit-breached]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//In Europe, Cloud Is the New Default//"
[>img(100px,auto)[iCSA/raiders_EMEA_Cloud_Adoption.png]]^^Bien que publié le 19 octobre 2018 sur le blog de la CSA, cet article l'a déjà été le 27 août 2018 sur le site de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/10/19/in-europe-cloud-is-new-default/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/in-europe-cloud-is-the-new-default]]^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Office 365 Security: It Takes Two to Tango//"
[>img(80px,auto)[iCSA/cq5dam.web.png]]^^Bien que publié le 17 octobre 2018 sur le blog de la CSA, cet article l'a déjà été le 24 septembre 2018 sur le site de la société Lacework
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/10/17/office-365-security-takes-two-tango/]] ou [[l'original|https://www.symantec.com/blogs/feature-stories/office-365-security-it-takes-two-tango]].^^
[img(200px,1px)[i/BluePixel.gif]]


!"//CVE and Cloud Services, Part 2: Impacts on Cloud Vulnerability and Risk Management//"
[>img(200px,auto)[iCSA/102643738.png]]Article de blog publié le 28 septembre 2018 — Rédigé par Victor Chin, Research Analyst, Cloud Security Alliance, et Kurt Seifried, Director of IT, 
<<<
__''CVE et services Cloud, deuxième partie : Impacts sur la vulnérabilité du cloud et la gestion des risques''__
//Ce deuxième article de la série traite de la vulnérabilité des services Cloud et des tendances en matière de gestion des risques par rapport au système CVE (Common Vulnerability and Exposures). Dans l'article précédent, nous avons parlé de la Règle d'inclusion 3 (INC3) et de la façon dont elle affecte le comptage des vulnérabilités des services cloud. Ici, nous examinerons plus en détail comment l'exclusion des vulnérabilités des services dans le Cloud affecte la sécurité des entreprises et la gestion des risques.//
[...]
//Les 3 points abordés sont :
* les vulnérabilités traditionnelles et la gestion des risques
* le défis pour les clients des services cloud
* les lacunes dans le système CVE
Dans le prochain article nous examinerons comment d'autres acteurs clés sont affectés par les lacunes de la gestion de la vulnérabilité des services cloud.//
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/09/28/cve-impacts-cloud-vulnerability-risk-management/]] sur le blog de la CSA 
!La Cloud Security Alliance ouvre un siège européen et un Centre d'Excellence RGPD à Berlin
[>img(300px,auto)[iCSA/gdpr-headquarters.jpg][https://gdpr.cloudsecurityalliance.org/emea/]]__Berlin, le 27 septembre 2018__
La [[Cloud Security Alliance]] annonce l'ouverture d'un siège européen et d'un Centre d'Excellence RGPD.
Ils seront ouverts à Berlin, d'ici à la fin de l'année 2018.
L'équipe européenne sera composée dans un premier temps de :
* Linda Strick : "Managing Director"
* Stephanie Köhl : "Project Officer"
La déclaration de Jim Reavis, CEO de la [[Cloud Security Alliance]] :
<<<
//We have seen strong growth in our enterprise members throughout Europe, most notably in the financial services sector. We also are collaborating closely with several national governments on critical, national cloud-security standards. In addition, CSA’s research in developing a GDPR Code of Conduct and related best practices has put us in the forefront of the industry in assisting both customers and cloud providers in addressing this critical regulation. In order to meet CSA’s continued growth in this region, we are expanding our presence in Europe and will use this base for coordination of all of our events, chapters and enterprise outreach throughout the continent.//
<<<
Le communiqué de presse "''Cloud Security Alliance Establishes New European Headquarters, GDPR Center of Excellence in Berlin''" est disponible [[ici|https://cloudsecurityalliance.org/media/press-releases/cloud-security-alliance-establishes-new-european-headquarters-gdpr-center-of-excellence-in-berlin/]]
|>|>|>|>|>|>| !Des informations complémentaires sont disponibles sur le site : https://gdpr.cloudsecurityalliance.org/emea/ |
| [img[i/emea_on.png]] | [img[i/home_on.png]] | [img[i/resources_on.png]] | [img[i/news_on.png]] | [img[i/pr_on.png]] | [img[i/glossary_on.png]] | [img[i/wg_on.png]] |
| [[Siège EMEA|https://gdpr.cloudsecurityalliance.org/emea]] | [[RGPD|https://gdpr.cloudsecurityalliance.org/]] | [[Ressources|https://gdpr.cloudsecurityalliance.org/resources]] | [[Actualités|https://gdpr.cloudsecurityalliance.org/news]] | [[Public Registry|https://gdpr.cloudsecurityalliance.org/public-registry]] | [[Glossaire|https://gdpr.cloudsecurityalliance.org/glossary]] | [[Advisory Board|https://gdpr.cloudsecurityalliance.org/emea-advisory-board]] |
!Participation au Salon ''Cloud & Cyber Security Paris'' les 27 et 28 novembre 2018
[>img(100px,auto)[i/CCSEP_201811.jpg]]
Le Chapitre Français de la [[Cloud Security Alliance]] participera au Salon ''Cloud & Cyber Security Paris''.
Les dates du salon sont les suivantes : les ''mardi 27 et mercredi 28 novembre 2018 à Paris Porte de Versailles'' (Hall 3)
L'intervention aura lieu le ''mardi 27 novembre 2018 de 15h45 à 16h10''.
En suivant le lien ci-dessous, vous pouvez obtenir une invitation gratuite qui donne accès aux deux évènements suivants :
* ''Cloud Expo Europe Paris''
* ''Data Centre World Paris''
!"//Recommendations for IoT Firmware Update Processes: Addressing complexities in a vast ecosystem of connected devices//"
[>img(150px,auto)[iCSA/IoT-Firmware-Update-Processes.png]]Article de blog publié le 20 septembre 2018 — Rédigé par Sabri Khemissa, IT-OT-Cloud Cybersecurity Strategist,Thales
__''Recommandations pour les processus de mise à jour de micrologiciel dans l'IoT : Comment faire face aux complexités d'un vaste écosystème d'appareils connectés''__
<<<
//Traditionnellement, la mise à jour d'un logiciel pour les actifs informatiques comporte trois étapes : l'analyse, la mise à jour et la distribution de la mise à jour - un processus qui se déroule généralement en dehors des heures de bureau. Généralement, ces mises à jour recourent à des contrôles cryptographiques (signatures numériques) pour protéger l'intégrité et l'authenticité du logiciel. Cependant, l'Internet des objets (IoT), avec son vaste écosystème d'appareils connectés déployés dans de nombreux environnements, introduit plusieurs niveaux de complexité qui rendent nécessaire la réingénierie des processus.
Par exemple, les développeurs ne peuvent ignorer le fait que leurs systèmes IoT s'intègrent dans un système complexe et ils doivent réfléchir à la manière dont il peut être mis à jour en toute sécurité tout en coexistant avec d'autres composants. Quant à ceux qui sont chargés de la mise en œuvre, ils doivent tenir compte de l'ensemble du système (et de sa complexité), y compris des contraintes spécifiques de chaque composante IoT.
Pour compliquer encore un peu plus la tâche, il y a de nombreuses variantes dans les systèmes IoT qui requièrent des mises à jour logicielles et firmware. Par exemple, certains systèmes IoT sont souvent en mouvement et nécessitent des téléchargements relativement importants, comme les véhicules connectés. D'autres systèmes IoT, comme les appareils intelligents pour la domotique et le bâtiment, sont plus statiques. Quoi qu'il en soit, les facteurs associés à la saturation du réseau pendant les téléchargements vers des centaines, voire des milliers de périphériques doivent être pris en compte. L'impact de l'échec des mises à jour de firmware sur les consommateurs est tout aussi important.
''Atténuer les attaques avec les directives de mise à jour de micrologiciel de l'IoT.''
Pour aider les entreprises à naviguer dans ce contexte complexe, le Groupe de travail sur l'IoT de la CSA a compilé un ensemble de recommandations clés pour établir un processus de mise à jour sécuritaire et évolutif de l'IoT. Son dernier rapport, "Recommendations for IoT Firmware Update Processes", propose 10 lignes directrices pour les mises à jour de firmware et de logiciels IoT qui peuvent être entièrement ou partiellement intégrées. Chacune de ces 10 suggestions peut être adaptée et conçue pour des mises à jour de firmware qui reconnaissent les contraintes, dépendances et risques uniques associés au contexte de l'IoT et aux systèmes complexes. Ces recommandations s'adressent non seulement aux développeurs et aux implémenteurs, mais aussi aux fournisseurs qui doivent concevoir des solutions tenant compte de la sécurité.
L'espoir du Groupe de travail est qu'en s'attaquant à ce processus, les vecteurs d'attaque qui peuvent être exploités par les pirates informatiques seront réduits. Vous pouvez lire le rapport complet pour avoir une idée plus précise des défis à relever et un ensemble de bonnes pratiques pour les surmonter.//
<<<
&rArr; Lire [[l'article en anglais|https://blog.cloudsecurityalliance.org/2018/09/20/recommendations-iot-firmware-update-processes/]] sur le blog de la CSA
&rArr; Lien pour télécharger le rapport sur le site de la [[Cloud Security Alliance]] : https://cloudsecurityalliance.org/download/iot-firmware-update-processes/ 
[>img(200px,auto)[iCSA/IoT-Firmware-Update-Processes.png]]__Publication d'un guide de recommendations sur les processus de mises à jour de firmaware pour l'IoT__
Ce rapport 10 lignes directrices pour les mises à jour de firmware et de logiciels IoT :
<<<
//1. Backup the current working configuration of IoT device before applying an update.
2. Rollbacks should be supported; however, older images should not be reloaded without 
vendor authorization.
3. System design should allow administrators to schedule updates to their devices to avoid 
network saturation and limit unintended downtime.
4. Vendors should support configuration options by system administrators in support of 
automatic updates.
5. One component must manage updates of multiple microcontrollers that compose IoT devices.
6. Update strategy, differential or complete image should be adapted to the bandwidth constraint.
7. Updates should be authenticated and integrity protected from end-to-end.
8. Verification signing keys storage must be secured.
9. Provide a recovery procedure to cover update failure.
10. Ensure a long-term support contract by vendors.//
<<<
__Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/iot-firmware-update-processes/
/% https://downloads.cloudsecurityalliance.org/assets/research/internet-of-things/recommendations-for-iot-firmware-update-processes.pdf %/
!"//PCI Compliance for Cloud Environments: Tackle FIM and Other Requirements with a Host-Based Approach//"
[>img(100px,auto)[iCSA/pci-compliance-for-cloud-environments.jpg]]^^Bien que publié le 19 septembre 2018 sur le blog de la CSA, cet article l'a déjà été le 16 août 2018 sur le site de la société Lacework
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/09/19/pci-compliance-cloud-host-based-approach/]] ou [[l'original|https://www.lacework.com/pci-compliance-for-cloud-environments-tackle-fim-and-other-requirements-with-a-host-based-approach/]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Pwned Passwords – Have Your Credentials Been Stolen?//"
[>img(100px,auto)[iCSA/pwned.png]]^^Bien que publié le 14 septembre 2018 sur le blog de la CSA, cet article l'a déjà été le 15 août 2018 sur le blog de la société Bitglass
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/09/14/pwned-passwords-stolen-credentials/]] ou [[l'original|https://www.bitglass.com/blog/pwnd-passwords-credentials]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//Avoiding Holes in Your AWS Buckets//"
[>img(100px,auto)[iCSA/avoiding-holes-in-your-s3-buckets.png]]^^Bien que publié le 7 septembre 2018 sur le blog de la CSA, cet article l'a déjà été le 12 avril 2018 sur le site Infosec Island
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/09/07/avoiding-holes-in-your-aws-buckets/]] ou [[l'original|http://www.infosecisland.com/blogview/25056-Avoiding-Holes-in-Your-AWS-Buckets.html]].^^
Cet article, rédigé par Sanjay Kalra de la société Lacework, mérite d'être lu.
[img(200px,1px)[i/BluePixel.gif]]

!"//US CLOUD Act Drives Adoption of Cloud Encryption//"
[>img(100px,auto)[iCSA/US-Cloud.png]]^^Bien que publié le 5 septembre 2018 sur le blog de la CSA, cet article l'a déjà été le 12 juillet 2018 sur le blog de la société Bitglass
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/09/05/us-cloud-act-drives-cloud-encryption/]] ou [[l'original|https://www.bitglass.com/blog/us-cloud-act-drives-adoption-of-cloud-encryption]].^^
[img(200px,1px)[i/BluePixel.gif]]


!//NIST SP 1800-19A -- Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments -- Volume A: Executive Summary (Prelim. Draft 1)//
[>img(150px,auto)[i/NIST.gif]]Article publié le 23 août 2018.
Le NIST a publié un appel à commentaires sur la synthèse managériale d'un document portant sur les pratiques de sécurité dans un environnement VMware en Cloud hybride IaaS.
Les commentaires sont à transmettre avant le 30 septembre 2018.
&rArr; Pour les détails, consultez la page dédiée [[ici|https://csrc.nist.gov/publications/detail/sp/1800-19a/draft]] ou directement le document [[ici|https://www.nccoe.nist.gov/sites/default/files/library/sp1800/tc-hybrid-sp1800-19a-preliminary-draft.pdf]].
__Résumé :__
<<<
//Cloud services can provide organizations the opportunity to increase their flexibility, availability, resiliency, and scalability, which they can use in turn to increase security, privacy, efficiency, responsiveness, innovation, and competitiveness.
The core impediments to an organization’s broader adoption of cloud technologies are the ability to protect its information and virtual assets in the cloud, and to have sufficient visibility so it can conduct oversight and ensure that it (and its cloud provider) are complying with applicable laws and business practices.
The National Cybersecurity Center of Excellence (NCCoE) at NIST built a laboratory environment using commercial off-the-shelf technology and cloud services to safeguard the security and privacy of an organization’s applications and data being run within or transferred between private and hybrid/public clouds.
The full NIST Cybersecurity Practice Guide being developed for this project will demonstrate how organizations can implement trusted compute pools in order to enforce and monitor their security and privacy policies on their cloud workloads and meet compliance requirements as specified in NIST Special Publication 800-53 and the Cybersecurity Framework.//
<<<
__Mots clés :__
<<<
//Cloud Computing -- Cybersecurity -- Infrastructure as a Service (IaaS) -- Security and Privacy Policies -- Virtualization //
<<<
__Auteurs :__
<<<
//Donna Dodson (NIST), Daniel Carroll (Dell/EMC), Gina Scinta (Gemalto), Hemma Prafullchandra (HyTrust), Harmeet Singh (IBM), Raghuram Yeluri (Intel), Tim Shea (RSA), Carlos Phoenix (VMware)//
<<<
!"//Software-Defined Perimeter Architecture Guide Preview (2/4)//"
[>img(200px,auto)[iCSA/cyber-security-3400657__340.jpg]]Article de blog publié le 23 août 2018 — Rédigé par Jason Garbis, Vice President/Secure Access Products, Cyxtera Technologies Inc.
<<<
__''Aperçu du guide sur l'architecture du Software-Defined Perimeter (SDP) -- article 2/4''__
//Dans ce deuxième article, nous nous concentrons sur la section "Scénarios SDP" du document, qui présente brièvement les principaux scénarios pour le SDP, explique pourquoi les organisations devraient envisager d'adopter le SDP, et énumère les avantages que le SDP offre dans ce cas.
Cette section est, par conception, concise. Nous sommes passionnés par le SDP et la sécurité des réseaux, et nous pourrions écrire un roman entier sur ce sujet (dans lequel notre héros, l'architecte de la sécurité des réseaux Reavis Macdonald, utilise le SDP pour vaincre un adversaire malveillant et sauver son organisation d'une amende RGPD record ! Malheureusement, notre rédacteur en chef nous assure qu'une telle histoire ne serait pas un bestseller, et que notre guide d'architecture devrait également revoir le concept de briéveté...
Dans cet article, nous avons choisi d'étudier plusieurs scénarios et de les commenter ://
# Scénario 1: //Identity-Driven Network Access Control//
# Scénario 2: //Network Microsegmentation//
# Scénario 3: //Secure Remote Access (VPN Alternative)//
# Scénario 4: //Third-party User Access//
# Scénario 5: //Enabling Secure Transition to IaaS Cloud Environments//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/08/23/sdp-architecture-guide-preview-part-2/]] sur le blog de la CSA 
!"//Software-Defined Perimeter Architecture Guide Preview (3/4)//"
[>img(200px,auto)[iCSA/cyber-security-3400657__340.jpg]]Article de blog publié le 18 août 2018 — Rédigé par Jason Garbis, Vice President/Secure Access Products, Cyxtera Technologies Inc.
<<<
__''Aperçu du guide sur l'architecture du Software-Defined Perimeter (SDP) -- article 3/4''__
//Dans ce troisième article qui donne un aperçu du prochain guide sur l'architecture SDP, nous nous concentrons sur la section "Core SDP Concepts" du document, qui présente les principes sous-jacents de DSP, et dans laquelle nous en expliquons les avantages. Dans le tableau ci-dessous, nous énumérons cinq catégories, et pour chacune d'elles, nous en expliquons plusieurs aspects ://
# Scénario 1: //Information/Infrastructure Hiding//
# Scénario 2: //Mutual Two-way Encrypted Connections//
# Scénario 3: //SDP and the Need-to-Know Access Model//
# Scénario 4: //Dynamic Firewall//
# Scénario 5: //Application Layer Access//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/09/18/sdp-architecture-guide-preview-part-3/]] sur le blog de la CSA 
!"//CVE and Cloud Services, Part 1: The Exclusion of Cloud Service Vulnerabilities//"
[>img(500px,auto)[iCSA/CVE1.png]]Article de blog publié le 13 août 2018 — Rédigé par Kurt Seifried, Director of IT, Cloud Security Alliance and Victor Chin, Research Analyst, Cloud Security Alliance
<<<
__''CVE et services Cloud, première partie : L'exclusion des vulnérabilités des services cloud''__
//Le processus de gestion des vulnérabilités est traditionnellement soutenu par un écosystème en équilibre parfois incertain, qui comprend des parties prenantes telles que les chercheurs en sécurité, les entreprises et les fournisseurs. Au cœur de cet écosystème se trouve le système CVE d'Identification Commune des Vulnérabilités et des Expositions (CVE). Pour se voir attribuer un numéro de vulnérabilité CVE, certains critères doivent être remplis. Ces derniers temps, ces critères ont commencé à poser des problèmes, car ils excluent les vulnérabilités de certaines catégories de services informatiques qui deviennent de plus en plus courantes.
Cet article est le premier d'une série qui explorera les défis et les opportunités de la gestion des vulnérabilités en relation avec l'adoption croissante des services cloud.//
[...]
* //Vulnérabilités et expositions communes : CVE est une liste d'enregistrement, chacun contenant un numéro d'identification, une description et au moins une référence publique pour les vulnérabilités de elles mêmes publiques//
[...]
* //CVE et gestion des vulnérabilités : Le système CVE est la cheville ouvrière du processus de gestion des vulnérabilités, car son utilisation et son adoption généralisées permettent l'interopérabilité des différents services et processus métier.//
[...]
* //Règles et limites de l'inclusion CVE : La décision d'attribuer un numéro d'identifiant à une vulnérabilité est régie par les règles d'inclusion.//
[...]
* //Conclusion de cette première partie : La Cloud Security Alliance et le conseil d'administration de CVE explorent actuellement des solutions aux points évoqués ci-dessus.
L'une des premières tâches consiste à obtenir les commentaires des acteurs de l'industrie au sujet d'une éventuelle modification de INC3 pour tenir compte des vulnérabilités qui ne sont pas contrôlées par le client. Un tel changement mettrait officiellement les vulnérabilités des services cloud dans le champ d'application du système CVE. Cela permettrait non seulement de suivre correctement les vulnérabilités, mais aussi d'associer des informations importantes à une vulnérabilité liée.
Veuillez nous faire savoir ce que vous pensez d'un changement à INC3 et l'impact qui en résulterait sur l'écosystème de gestion des vulnérabilités//
[...]
//Les commentaires à envoyer à l'adresse "cve-services-feedback at cloudsecurityalliance point org"//
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/08/13/cve-cloud-services-part-1/]] sur le blog de la CSA
!"Top Threats to Cloud Computing: Deep Dive"
__''Description :''__[>img(auto,150px)[iCSA/top-threats-to-cloud-computing-deep-dive.png]]
Ce document identifie les principaux risques de sécurité dans le Cloud, et comment ils s'intègrent dans une analyse de sécurité plus poussée, en s'appuyant sur 9 cas concrêts.
Le "''Top Threats to Cloud Computing: Deep Dive''" est une étude de cas qui fournit plus de détails sur l'architecture, la conformité, les risques et les mesures d'atténuation pour chacune des menaces et vulnérabilités identifiées dans le document "''Treacherous 12 : Top Threats to Cloud Computing''" paru en 2016.
Jon-Michael C. Brook, coprésident du groupe de travail de la CSA sur les menaces et directeur de la sécurité, du Cloud & Privacy at Guide Holdings a ainsi déclaré: "//Bien que ces cas concrêts aient permis aux responsables cybersécurité de mieux communiquer avec leurs dirigeants et leurs pairs, ils n'ont pas fourni assez de détails sur la façon dont tout s'articule du point de vue de l'analyse sécurité. Ce nouveau rapport aborde ces limitations et offre des détails supplémentaires et des informations réutilisables qui identifient où et comment les principales menaces s'inscrivent dans une analyse sécurité plus poussée. Il fournit également une compréhension claire de la façon dont les leçons, les mesures d'atténuation et les concepts peuvent être appliqués dans des scénarios rencontrés au quotidien.//"
Les 9 cas étudiés sont les suivants :
|!Cas|!Menaces concernées |
|LinkedIn |Data Breaches; Insufficient Identity, Credential and Access Management; Account Hijacking; Denial of Service; Shared Technology Vulnerabilities |
|MongoDB |Data Breaches; Insufficient Identity, Credential and Access Management; Insecure Interfaces and APIs; Malicious Insiders; Data Loss |
|Dirty Cow |Insufficient Identity, Credential and Access Management; System Vulnerabilities |
|Zynga |Data Breaches; Insufficient Identity, Credential and Access Management; Malicious Insiders |
|Net Traveler |Data Breaches; Advanced Persistent Threats; Data Loss |
|Yahoo! |Data Breaches; Data Loss; Insufficient Due Diligence |
|Zepto |Data Breaches; Data Loss; Abuse and Nefarious Use of Cloud Services |
|DynDNS |Insufficient Identity, Credential and Access Management; Denial of Service |
|Cloudbleed |Data Breaches; Shared Technology Vulnerabilities |
[img(100px,1px)[i/BluePixel.gif]]
|



Chacun des cas est présenté sous la forme d'un tableau de référence et d'un exposé détaillé.

Le document présente ensuite les domaines recommandés de la matrice de contrôle du Cloud ([[CCM|Groupe de Travail - Cloud Controls Matrix]]), triés selon la fréquence à laquelle les contrôles à l'intérieur des domaines sont pertinents comme contrôle d'atténuation.

Les mesures d'atténuation et de contrôle applicables aux neuf cas étudiés couvrent 13 des 16 domaines de la matrice [[CCM|Groupe de Travail - Cloud Controls Matrix]].|[<img(600px,auto)[iCSA/top-threats-case-study.png]]| [img(100px,1px)[i/BluePixel.gif]] __Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-deep-dive/
!"//California’s CCPA Brings EU Data Privacy to the US//"
[>img(100px,auto)[iCSA/ccpa.png]]^^Bien que publié le 27 août 2018 sur le blog de la CSA, cet article l'a déjà été le 2 juillet 2018 sur le blog de la société Bitglass
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/08/27/ccpa-brings-eu-data-privacy-us/]] ou [[l'original|https://www.bitglass.com/blog/californias-ccpa-brings-eu-data-privacy-to-the-us]].^^
[img(200px,1px)[i/BluePixel.gif]]

!"//EU GDPR vs US: What Is Personal Data?//"
[>img(100px,auto)[iCSA/CASB-personal-data.jpg]]^^Bien que publié le 20 août 2018 sur le blog de la CSA, cet article l'a déjà été le 11 juin 2018 sur le blog de la société Bitglass
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/08/20/eu-gdpr-vs-us-what-is-personal-data/]] ou [[l'original|https://www.bitglass.com/blog/eu-gdpr-vs-us-what-is-personal-data]].^^
[img(200px,1px)[i/BluePixel.gif]]


!"//Software-Defined Perimeter Architecture Guide Preview (1/4)//"
[>img(200px,auto)[iCSA/cyber-security-3400657__340.jpg]]Article de blog publié le 31 juillet 2018 — Rédigé par Jason Garbis, Vice President/Secure Access Products, Cyxtera Technologies Inc.
<<<
__''Aperçu du guide sur l'architecture du Software-Defined Perimeter (SDP) -- article 1/4''__
//Le Groupe de travail ''Software-Defined Perimeter'' (SDP) a été fondé il y a cinq ans, avec pour mission de promouvoir et d'évangéliser une nouvelle architecture plus sécurisée pour la gestion de l'accès des utilisateurs aux applications. Depuis la publication initiale de la spécification SDP, nous avons été témoins d'une adoption et d'une sensibilisation croissantes dans l'ensemble de l'industrie. En tant que praticiens, vendeurs, évangélistes et guides, nous (en tant que groupe de travail du SDP) avons beaucoup appris sur le SDP dans la pratique, et nous voulions capturer et partager cette connaissance.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/07/31/software-defined-perimeter-architecture-preview-part-1/]] sur le blog de la CSA 
!OWASP Secure Medical Devices Deployment Standard
[>img(200px,auto)[iCSA/OWASP_Secure_Medical_Devices_Deployment_Standard_7.18.18.png]]Le 7 août 2018, publication d'une mise à jour du guide sur le déploiement sécurisé des dispositifs médicaux.
Ce rapport comprend des sections mises à jour sur les achats et les contrôles des mécanismes, ainsi que sur les directives de la FDA (//Food and Drug Administration// américaine).
La [[Cloud Security Alliance]] et l'''OWASP (//Open Web Application Security Project//)'' ont publié la deuxième version du document ''OWASP Secure Medical Device Deployment Standard'', mise à jour pour le déploiement sécurisé des dispositifs médicaux dans un établissement de santé.
Parmi les nombreuses améliorations, à noter : la section sur les contrôles des achats en ce qui a trait aux vérifications et à l'évaluation de la sécurité, à l'évaluation des facteurs relatifs à la vie privée et aux contrôles d'évaluation de soutien.
Selon Christopher Frenz, chef de projet de l'OWASP :
> "//Trop de dispositifs de sécurité réseau actuels ne sont toujours pas déployés dans un souci de sécurité, exposant les fournisseurs de soins de santé et leurs patients à des atteintes à la protection des données au mieux et à des conséquences négatives potentielles pour la santé au pire. Avec les logiciels de rançon et les botnets ciblant les dispositifs IoT, il est plus essentiel que jamais que les dispositifs soient développés et déployés avec la sécurité à l'esprit ", a déclaré , auteur de l'article original.//"
Selon Hillary Baron, gestionnaire du programme de recherche de la [[Cloud Security Alliance]] :
> "//La croissance des dossiers médicaux électroniques et des appareils sur réseau a permis aux fournisseurs de soins de santé d'améliorer leur niveau de service et l'efficacité avec laquelle ils fournissent des soins. Cependant, cette même interconnexion a ouvert une boîte de Pandore de questions de sécurité concernant les anciens systèmes et les appareils de soins de santé qui n'ont pas été conçus en tenant compte de la sécurité. Nous espérons que ce document fournit une feuille de route claire pour les organisations de soins de santé qui cherchent à s'assurer que les dispositifs et systèmes médicaux à travers l'organisation suivent les meilleures pratiques en matière de sécurité de l'IT.//"
Le rapport, auquel le Groupe de travail de la CSA sur l'Internet des objets (IoT), a fourni des commentaires et des contributions importantes, dans des domaines tels que :
* Contrôle des achats : Vérifications/évaluations de la sécurité, évaluation des facteurs relatifs à la vie privée et soutien à l'évaluation ;
* Défenses du périmètre : Firewalls, Network Intrusion Detection/Prevention System (NIDS/NIPS), et Proxy Server/Web Filters ;
* Contrôles de sécurité du réseau : Segmentation du réseau, pare-feu interne, réseau interne IDS/IPS, serveurs syslog, surveillance des logs, analyse des vulnérabilités et dolines DNS.
* Contrôles de sécurité des appareils : Modifier les informations d'identification par défaut, verrouillage des comptes, activation du transport sécurisé, copies de rechange du firmware/logiciel, sauvegarde de la configuration des périphériques, configurations de base, chiffrement du stockage, différents comptes utilisateurs, restriction de l'accès à l'interface de gestion, mécanismes de mise à jour, surveillance de la conformité et sécurité physique ;
* Sécurité de l'interface et de la station centrale : Renforcement du système d'exploitation, transport crypté et sécurité des messages - normes de sécurité HL7 v3 ;
* Tests de sécurité : Essais d'intrusion ; et
* Intervention en cas d'incident : Plan d'intervention en cas d'incident et incidents fictifs.
__Annonce :__
→ https://cloudsecurityalliance.org/media/press-releases/csa-owasp-issue-updated-guidance-for-secure-medical-%e2%80%a8device-deployment/
__Lien de téléchargement :__
→ https://cloudsecurityalliance.org/artifacts/owasp-secure-medical-devices-deployment-standard/
!Salon ''Cloud & Cyber Security Paris'' les 27 et 28 novembre 2018
[>img(250px,auto)[i/CCSEP_201811.jpg]]__Paris, le 1^^er^^ août 2018.__
Le Chapitre Français de la [[Cloud Security Alliance]] annonce un partenariat avec le Salon ''Cloud & Cyber Security Paris''.
Le Salon ''Cloud & Cyber Security Paris'' est un salon réservé aux experts de la Sécurité du Cloud qui se tiendra :
{{floatC{les ''mardi 27 et mercredi 28 novembre 2018 à Paris Porte de Versailles'' (Hall 3)}}}
4 bonnes raisons de visiter le salon ''Cloud & Cyber Security Paris''
# __Rencontrer__ plus de 150 fournisseurs nationaux et internationaux.
# __Assister__ aux prises de parole de 250 experts dans un programme de conférence recouvrant l’actualité du secteur, dont des dizaines d’études de cas et des tables rondes. Des experts issus des plus grandes entreprises françaises, du secteur public, de PME et des prestataires de services viendront partager leurs expériences.
# __Consolider__ votre réseau et __construire__ des relations avec les acteurs du marché et découvrez les technologies de demain.
# __Optimiser__ votre temps et aborder tous vos objectifs technologiques en un seul lieu.
En suivant le lien ci-dessous, vous pouvez déjà obtenir votre invitation gratuite qui vous donnera accès aux évènements co-organisés ''Cloud Expo Europe Paris'' et ''Data Centre World Paris''.

Le Chapitre Français de la [[Cloud Security Alliance]] fera une intervention le ''mardi 27 novembre 2018 de 15h45 à 16h10''.
!"//Convincing Organizations to Say “Yes to InfoSec”//"
[>img(200px,auto)[iCSA/cyber-security-2765707_640-300x200.jpg]]Article de blog publié le 20 juillet 2018 — Rédigé par Jon-Michael C. Brook, Principal, Guide Holdings, LLC
<<<
__''Convaincre les organisations de dire "oui à la sécurité de l'information".''__
//La sécurité, la cause de tous les maux? La première moitié de ma carrière, je l'ai passée dans les services de l'état, et nous sommes toujours apparus comme ceux qui ne disaient que "non", tuant dans l'oeuf la plupart des initiatives avant même qu'elles ne commencent. 
La plupart du temps, les risques l'emportaient sur les avantages, et à moins qu'il n'y ait un commanditaire à un niveau hiérarchue élevé, comme le PDG ou un membre du Comité Drecteur, les demandes étaient rejettées.
Plus récemment, en réponse à un "non" de l'équipe sécurité, le service informatique a lancé plusieurs projets de type "Shadow IT". Les gens ont commencé à utiliser des systèmes informatiques dans le cloud avec un paiement à la consommation via une carte de crédit d'entreprise. Résultat : des projets ont été lancés, développés et déployés rapidement, avant même que quiconque dans l'équipe sécurité ne puisse avoir un mot à dire.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/07/20/reshaping-value-of-security/]] sur le blog de la CSA 
!"//Avoiding Cyber Fatigue in Four Easy Steps//"
[>img(200px,auto)[iCSA/coffee-office-worker-300x200.jpg]]Article de blog publié le 12 juillet 2018 — Rédigé par Jon-Michael C. Brook, Principal, Guide Holdings, LLC
<<<
__''Éviter la cyberfatigue en quatre étapes simples''__
//L'épuisement lié aux cyber-alertes.
Dans le domaine de la cybersécurité, c'est inévitable. Chaque jour, il y aura une nouvelle divulfation, un nouveau piratage, un nouveau titre accrocheur pour le dernier rebondissement d'une d'attaque précédente. En tant que praticien de 23 ans, l'épuisement professionnel est un phénomène réel et, malheureusement, il se produit par vagues.
Vous suivrez avec attention les toutes dernières nouvelles pendant des mois. Prenez ne serait-ce que quelques semaines de congés au mauvais moment de l'année, peut-être aux alentours d'une des grandes conférences sur la sécurité (par exemple RSA ou Blackhat/DEF CON), et vous pourriez avoir à ramer pendant 6 semaines pour rattraper votre retard. Tout le monde a une opinion, et s'il l'on n'est pas aux premières loges, il devient difficile de séparer le bon grain de l'ivraie. Comment pouvez-vous éviter, ou du moins réduire, le risque de ne pas pouvoir répondre à la prochaine question d'un RSSI tout en conservant un sentiment d'être sain de corps et d'esprit ?
Quel est le point de non-retour au delà duquel, la quête du savoir se transforme en spirale infinie ?//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/07/12/four-easy-steps-to-avoiding-cyber-fatigue/]] sur le blog de la CSA 
!"//Methodology for the Mapping of the Cloud Controls Matrix//"
[>img(150px,auto)[iCSA/ccm-mapping-methodology-231x300.png]]Article de blog publié le 9 juillet 2018 — Rédigé par Victor Chin, Research Analyst, Cloud Security Alliance
<<<
__''Méthodologie pour la cartographie de la matrice des contrôles CCM''__
//La [[Cloud Controls Matrix]] (CCM) de la [[Cloud Security Alliance]] (CSA) fournit des principes fondamentaux de sécurité pour guider les vendeurs et les clients du Cloud Computing qui cherchent à évaluer le risque global de sécurité d'un service Cloud.
Pour réduire la charge de travail dans l'industrie des services dans le Cloud, le programme CCM comprend également des équivalence avec d'autres cadres de l'industrie tels que l'ISO 27001 de l'ISO/IEC, le SP 800-53 du NIST (National Institute of Standards and Technology), et l'American Institute of Certified Public Accountants (AICPA) Trust Services Criteria (TSC) Trust Services (TSC).//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/07/09/methodology-for-mapping-the-cloud-controls-matrix/]] sur le blog de la CSA
Ce nouveau document est disponible ici : https://cloudsecurityalliance.org/download/ccm-mapping-methodology/

/% https://downloads.cloudsecurityalliance.org/assets/research/cloud-controls-matrix/ccm-mapping-methodology.pdf %/ 
!"Methodology for the Mapping of the Cloud Controls Matrix""[>img(200px,auto)[iCSA/ccm-mapping-methodology.png]]
__''Introduction''__//
The objective of this document was to create design- and guideline-yielding repeatable mapping consistency, providing continuity for members and volunteers who seek to support the CCM framework and its activities.
This document describes the CSA CCM mapping process, which aims to fulfill four primary functions:
1. Provide clarity and transparency regarding the CSA CCM Working Group’s mapping approach, guidelines and naming conventions;
2. Encourage process review and improvement suggestions by the CSA community;
3. Yield a valuable reference for organizations -- especially those seeking to benefit from and contribute to interoperable efforts by mapping their frameworks to the CCM;
4. Improve assessor criteria understanding and interpretation of all mapping processes through criteria mapping exercises.
//[...]
__''Conclusion''__//
This Methodology for the CSA CCM Mapping Project document was created to provide more clarity
on the mapping process. Subject matter included details on typical mapping strategies -- such as the creation of work packages, outlining different gaps and identifying naming references -- to ensure that CCM mappings are machine-readable and consistent.
This document will be published with downloadable sample work packages that can be used as a reference for future mapping projects. CSA will continue updating and improving this document as CCM matures, so please feel free to send any feedback to research-support@cloudsecurityalliance.org.//
__Lien :__
:→ Lien : https://cloudsecurityalliance.org/download/ccm-mapping-methodology/
!Mastère Spécialisé® "Cloud Computing" : poursuite du partenariat avec l'ISEP Formation Continue [>img(auto,100px)[i/ISEP-FC.jpg]]
__Paris, le 2 juillet 2018__
Pour la 7^^ème^^ année consécuritve, le partenariat est reconduit entre l'[[ISEP Formation Continue|https://formation-continue.isep.fr/]] et la [[Cloud Security Alliance]].
Le Chapitre français de la [[Cloud Security Alliance]] assure ainsi les cours sur la sécurité du Cloud Computing, et la gestion d'un projet "sécurité du Cloud".

__Planning :__
* Date de début de formation : octobre 2017
* Date de fin de formation : juin 2018
* Soutenances de thèses : janvier 2019
* Remise des diplômes : mars 2019
Toutes les informations sont disponibles sur le site ISEP Formation Continue : https://formation-continue.isep.fr/cloud-computing/

__Contacts et pour recevoir la documentation et le dossier d'inscription pour ce Mastère :__
* Mme Aïcha ABDAT, Assistante administrative ISEP Formation Continue
** Téléphone : 01 49 54 52 59
** Adresse : 10, rue de Vanves, 92130 Issy-les-Moulineaux
** email : ''&#8238;rf.pesi@tadba.ahcia&#8236;''
** Web : https://formation-continue.isep.fr/cloud-computing/

__Labels & accréditations :__
* Le Mastère Spécialisé® est ''labellisé par la CGE (Conférence des Grandes Ecoles) depuis 2012''.
* Il est inscrit au ''RNCP (Registre National des Certifications Professionnelles)'' depuis janvier 2015 ; en conséquence, __il est éligible au financement par les OPCA et les Fongecif__.
** Code RNCP [[21792|http://www.rncp.cncp.gouv.fr/grand-public/visualisationFiche?format=fr&fiche=21792]]
* Il est inscrit au CPF sous le n° 145653.
** Le Mastère est donc éligible au compte personnel de formation(CPF), et peut être partiellement ou totalement financé.
* Il est inscrit au CNCP (Commission Nationale de la Certification Professionnelle). 

__Contexte de l'enseignement :__
* La formation s'étale sur une période de dix mois d'octobre à juin.
* Le rythme est celui de l’alternance :
** 2 jours de cours les semaines concernées : les jeudis / vendredis ou les vendredis / samedis.
** Des périodes de congés sont prévues en adéquation avec les congés scolaires.
** Elle permet de maintenir une activité professionnelle en temps partagé en parallèle.

{{floatC{
<html><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i></html>@@color:#00F;<html><i class="fa fa-graduation-cap fa-3x" aria-hidden="true"></i></html>@@
}}}
!"//What Is a CASB?//"
[>img(200px,auto)[iCSA/CASB_cartoon_Man-300x169.png]]Article de blog publié le 16 juillet 2018 — Rédigé par Dylan Press, Director of Marketing, Avanan
<<<
__''CASB, kesako ?''__
//Email est devenu le premier vecteur d'attaque. La prse de contrôle de compte est devenue la première cible d'attaque.
Un CASB est le meilleur moyen de se protéger contre ces menaces.
Gartner a d'abord défini le terme //Cloud Access Security Broker// (CASB) en 2011, lorsque la plupart des applications informatiques étaient hébergées dans le centre informatique et que peu d'entreprises faisaient confiance au cloud. La plupart des services en ligne étaient principalement destinés aux consommateurs. À l'époque, les produits du CASB étaient conçus pour assurer la visibilité de ce qu'on appelait le Shadow IT et limiter l'accès des utilisateurs à des services Cloud non autorisés.
Aujourd'hui, les entreprises ont adopté le cloud, remplaçant un grand nombre de leurs applications internalisées par le mode "Software as a Service" (SaaS) ou transférant une grande partie de leur informatique vers des fournisseurs d'infrastructure (IaaS) comme Amazon ou Azure. Au lieu de limiter l'accès, les CASB ont évolué pour protéger les données hébergées dans le Cloud et fournir des niveaux de contrôles de sécurité dignes de ce nom afin que les enteprises puissent incorporer le SaaS et l'IaaS dans leur architecture de sécurité existante.
Les CASB fournissent quatre services de sécurité primaires : Visibilité, sécurité des données, protection contre les menaces et conformité. Lorsque vous comparez les solutions de CASB, vous devez d'abord vous assurer qu'elles répondent à vos besoins dans chacune de ces catégories.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/07/16/what-is-a-casb/]] sur le blog de la CSA
__Avertissement :__ bien que publié sur le site de la [[Cloud Security Alliance]], cet article a été rédigé par un tiers de la société Avanan
!"//Cloud Migration Strategies and Their Impact on Security and Governance//"
[>img(150px,auto)[iCSA/102643738.png]]^^Bien que publié le 29 juin 2018 sur le blog de la CSA, cet article l'a déjà été le 27 mars 2018 sur le site CloudTweaks.com
Il a été rédigé par Peter HJ van Eijk, Head Coach and Cloud Architect, ClubCloudComputing.com
<<<
__''Les stratégies de migration dans le Cloud et leur impact sur la sécurité et la gouvernance''__
//Même si les migrations dans le Cloud public se font dans des contextes différents, je vois trois approches principales. Chacune d'entre elles a des implications techniques et de gouvernance très différentes.
Trois approches de la migration des nuages//
# //Approche "lift and shift", principalement IaaS//
# //Adoption de solutions SaaS//
# //Architecture Cloud native, de type PaaS//
[...]
<<<
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/06/29/cloud-migration-strategies-impact-on-security-governance/]] ou [[l'original|https://cloudtweaks.com/2018/03/cloud-migration-strategies-and-their-impact-on-security-and-governance/]].^^
!"//Top Security Tips for Small Businesses//"
[>img(150px,auto)[iCSA/95.png]]Article de blog publié le 27 juin 2018 — Rédigé par Jon-Michael C. Brook, Principal, Guide Holdings, LLC
<<<
__''Recommandations sécurité pour les petites entreprises''__
//La plupart des petites entreprises adoptent des offres de Cloud Computing, qu'il s'agisse de SaaS comme Quickbooks ou Salesforce, ou même de louer des ressources dans Amazon Web Services ou Azure de Microsoft, dans un environnement de type IaaS. Elles bénéficient ainsi d'une assistance informatique digne des grandes entreprises, y compris des niveaux de service qu'une petite entreprise ne pourrait jamais avoir, comme la sécurité des locaux ou la protection contre les pannes électriques avec une fiabilité de 99,999%.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/27/top-security-tips-small-businesses/]] sur le blog de la CSA
!"//Updated CCM Introduces Reverse Mappings, Gap Analysis//"
[>img(200px,auto)[iCSA/CCM-new.png]]Article de blog publié le 26 juin 2018 — Rédigé par Sean Cordero, VP Cloud Strategy, Netskope 
<<<
__''Mise à jour de la [[Cloud Controls Matrix]] (CCM) avec tables de correspondances inversées et mesure d'écart''__
//Depuis son introduction en 2010, la [[Cloud Controls Matrix]] (CCM) de la [[Cloud Security Alliance]] est à la pointe quad il s'agit d'évaluer les fournisseurs de services cloud (CSP). La matrice de contrôle CCM offre aux fournisseurs (CSP) et aux consommateurs (utilisateurs) de Cloud Computing, un ensemble homogène de contrôles pour mesurer l'état de préparation et de maturité sécurité. Il continue d'être la norme utilisée pour mesurer, évaluer et informer les acteurs de la sécurité sur les bonnes pratiques pour sécuriser les services dans le Cloud.
Conformément à l'engagement de la [[Cloud Security Alliance]] d'oeuvrer à l'amélioration de la sécurité et de la confiance dans l'univers du Cloud, cette évolution de la [[Cloud Controls Matrix]] intègre les contrôles ISO/IEC 27017:2015, ISO/IEC 27018:2014 et ISO/IEC 27002:2013, et introduit à la fois une nouvelle approche pour l'élaboration de la [[Cloud Controls Matrix]], et une approche actualisée pour incorporer les nouvelles normes de l'industrie de la sécurité.
Les deux autres objectifs définis par le Groupe de travail de la CCM sont les tables de correspondances inversées (ou matrice inversée) et la mesure d'écart.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/26/ccm-iso-reverse-mapping/]] sur le blog de la CSA
__Autres liens :__
* https://cloudsecurityalliance.org/group/cloud-controls-matrix/#_overview
* https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1-iso-reverse-mapping
!"Cloud Controls Matrix (CCM) v3.0.1 ISO Reverse Mapping"
__''Description :''__[>img(150px,auto)[iCSA/CCM-new.png]]
//This latest expansion to the CCM incorporates the ISO/IEC 27017:2015:2015 and ISO/IEC 27018:20147:2015 and ISO/IEC 27002:2013 controls, introduces a new approach to the development of the CCM, and an updated approach to incorporate new industry control standards.//
__Liens :__
* Annonce → https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1-iso-reverse-mapping
* Matrice inversée → https://downloads.cloudsecurityalliance.org/assets/research/cloud-controls-matrix/CCM-ISO_Reverse_Mapping_and_Gap_Analysis_FINAL.xlsx 
!"//Cybersecurity Trends and Training Q and A//"
[>img(150px,auto)[iCSA/security-2337429_640.png]]Article de blog publié le 22 juin 2018 — Rédigé par Jon-Michael C. Brook, Principal, Guide Holdings, LLC
<<<
__''Questions/Réponses sur les tendances et les aspects de formation cybersécurité''__
//
Q: Why is it important for organizations and agencies to stay current in their cybersecurity training? A: Changes accelerate in technology. There’s an idea called Moore’s Law, named after Gordon Moore working with Intel, that the power of a micro-chip doubles every 18 months. When combined with the virtualization […]
Question : Pourquoi est-il important pour les entreprises et les entités gouvernementales de rester à jour dans leur formation en cybersécurité ?
R : Les changements s'accélèrent dans la technologie. Il y a une idée appelée loi de Moore, du nom de Gordon Moore qui travaillait pour Intel, selon laquelle la puissance d'un microprocesseur double tous les 18 mois.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/22/cybersecurity-trends-training-q-and-a/]] sur le blog de la CSA
!"//Cybersecurity Certifications That Make a Difference//"
[>img(150px,auto)[iCSA/programming-3432058_640.jpg]]Article de blog publié le 14 juin 2018 — Rédigé par Jon-Michael C. Brook, Principal, Guide Holdings, LLC
<<<
__''Les certifications en cybersécurité qui font la différence''__
//L'industrie de la sécurité est en sous-effectif. Et de beaucoup. Les précédentes estimations de l'Institut Ponemon suggèrent jusqu'à 50% des postes de cybersécurité ne sont pas pourvus. Soixante-dix pour cent des organisations manquent de personnel et 58% déclarent avoir du mal à retenir les candidats qualifiés.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/14/cybersecurity-certifications-make-a-difference/]] sur le blog de la CSA
!"//Firmware Integrity in the Cloud Data Center//"
[>img(150px,auto)[iCSA/firmware-usethis.png]]Article de blog publié le 12 juin 2018 — Rédigé par John Yeoh, Research Director/Americas, Cloud Security Alliance 
<<<
__''Intégrité du firmware dans le Cloud Data Center''__
//Nous vous annonçons que le dernier rapport de la [[Cloud Security Alliance]] intitulé "Firmware Integrity in the Cloud Data Center" est disponible. Les principaux fournisseurs de services dans le Cloud (CSP) et les acteurs des centres de calcul partagent leurs réflexions sur la construction d'une infrastructure Cloud en utilisant des serveurs sécurisés.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/12/firmware-integrity-cloud-data-center/]] sur le blog de la CSA
__Page de téléchargement du rapport :__ https://cloudsecurityalliance.org/download/firmware-integrity-in-the-cloud-data-center 
!"//New Software-Defined Perimeter Glossary Sheds Light on Industry Terms//"
[>img(150px,auto)[iCSA/SDP-Glossary_Cover.png]]Article de blog publié le 12 juin 2018 — Rédigé par Shamun Mahmud, Research Analyst, Cloud Security Alliance 
<<<
__''Le nouveau glossaire du SDP éclaire les termes de l'industrie''__
//Le groupe de travail sur le Software Defined Perimeter (SDP) de la [[Cloud Security Alliance]] a créé un glossaire sur les termes et définitions dans les architectures SDP, car le SDP a évolué depuis la création du groupe de travail en 2014.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/12/software-defined-perimeter-glossary/]] sur le blog de la CSA
__Page de téléchargement du glossaire :__ https://cloudsecurityalliance.org/download/software-defined-perimeter-glossary 
[>img(200px,auto)[iCSA/firmware-usethis.png]]__Firmware Integrity in the Cloud Data Center__
<<<
//This paper presents the point of view from key stakeholders in datacenter development regarding how to build cloud infrastructure using secure servers and in order to enable customers to trust the cloud provider’s infrastructure at the hardware/firmware level. In general, security of a cloud server at the firmware level is comprised of two equally important aspects – integrity and quality of the firmware code.//
<<<
__Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/firmware-integrity-in-the-cloud-data-center/
[>img(200px,auto)[iCSA/SDP-glossary.png]]__Software Defined Perimeter Glossary__
<<<
//The Software Defined Perimeter (SDP) Glossary is a reference document that brings together SDP related terms and definitions from various professional resources. The terms and supporting information in the SDP glossary cover a broad range of areas, including the components of SDP and common supporting technologies.//
<<<
__Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-glossary/ 
!"//Continuous Monitoring in the Cloud//"
[>img(150px,auto)[iCSA/lock-3216823_640.jpg]]Article de blog publié le 11 juin 2018 — Rédigé par Michael Pitcher, Vice President, Technical Cyber Services, Coalfire Federal
<<<
__''Contrôle continue dans le Cloud''__
//J'ai récemment pris la parole lors du sommet fédéral de la [[Cloud Security Alliance]] sur le thème "//Continuous Monitoring / Continuous Diagnostics and Mitigation (CDM) Concepts in the Cloud//". Comme le gouvernement américain a commencé à migrer vers le Cloud, il devient de plus en plus important d'assurer que les objectifs de contrôle continu sont bien atteints.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/11/continuous-monitoring-in-the-cloud/]] sur le blog de la CSA
!"//Cybersecurity and Privacy Certification from the Ground Up//"
[>img(200px,auto)[iCSA/dsgvo-3415444_640-300x200.jpg]]Article de blog publié le 4 juin 2018 — Rédigé par Daniele Catteddu, CTO, Cloud Security Alliance
<<<
__''Cybersécurité et protection de la vie privée : bâtissons une certification''__
//La loi européenne sur la cybersécurité (European Cybersecurity Act), proposée en 2017 par la Commission européenne, est le plus récent des documents de gouvernance adoptés et/ou proposés par les gouvernements du monde entier, chacun avec notamment l'intention de clarifier les certifications en matière de cybersécurité pour divers produits et services.
La raison pour laquelle les certifications cybersécurité et plus récemment, de protection de la vie privée, sont si importantes est assez évidente : elles représentent un véhicule de confiance et servent à fournir une assurance quant au niveau de sécurité qu'une solution pourrait fournir. Ils représentent, du moins en théorie, un mécanisme simple par lequel les organisations et les individus peuvent prendre des décisions rapides et fondées sur les risques sans avoir besoin de comprendre pleinement les spécifications techniques du service ou du produit qu'ils achètent.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/04/cybersecurity-and-privacy-certification-from-the-ground-up/]] sur le blog de la CSA
__A noter :__ un sondage est ouvert par la [[Cloud Security Alliance]]jusqu'au 2 juillet 2018
Lien : https://www.surveymonkey.com/r/csacertification 
!"//Cloud Security Trailing Cloud App Adoption in 2018//"
[>img(200px,auto)[iCSA/Screen-Shot-2018-05-14-at-4.18.12-PM.png]]^^Bien que publié le 6 juin 2018 sur le blog de la CSA, cet article l'a déjà été le 30 mai 2018 sur le blog de la société Bitglass^^
<<<
__''La sécurité à la traîne de l'adoption des applications dans le Cloud en 2018''__
//Au cours des dernières années, le Cloud Computing a attiré un nombre important d'entreprises avec ses promesses d'augmentation de la productivité, d'amélioration de la collaboration et de réduction des frais généraux informatiques. Au fur et à mesure que de plus en plus d'entreprises migrent vers le Cloud, de plus en plus d'outils Cloud voient le jour.
Dans son quatrième rapport sur l'adoption du Cloud, Bitglass présente son "état du Cloud en 2018". Comme on pouvait s'y attendre, les entreprises adoptent de plus en plus de solutions de Cloud que précédemment. Toutefois, elles n'utilisent pas les principaux outils de sécurité dans Cloud.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/06/cloud-security-trailing-cloud-app-adoption-in-2018/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/cloud-security-trailing-cloud-apps]].
Lien vers le rapport en anglais "Cloud Adoption: 2018 War" (inscription obligatoire): https://pages.bitglass.com/FY18BR-CloudAdoption_LP.html
__Avertissement :__ Le rapport a été rédigé par la société Bitglass et non par la [[Cloud Security Alliance]].
!"//Five Cloud Migration Mistakes That Will Sink a Business//"
[>img(200px,auto)[iCSA/success-259710_640-300x180.jpg]]Article de blog publié le 5 juin 2018 — Rédigé par Jon-Michael C. Brook, Principal, Guide Holdings, LLC
<<<
__''Cinq erreurs de migration dans le Cloud qui feront couler une entreprise''__
//Aujourd'hui, avec la popularité croissante du Cloud Computing, il existe une multitude de ressources pour les entreprises qui envisagent ou qui sont en train de migrer leurs données vers le Cloud. Des listes de contrôle aux meilleures pratiques, Internet regorge de conseils. Mais qu'en est-il de ce que vous ne devriez pas faire ? Le meilleur des plans peut mal tourner, et il en est de même dans le cas d'une migration dans le Cloud... à moins que vous n'évitiez ces 5 erreurs courantes :
* "Le fournisseur de services cloud (Cloud Service Provider) fera tout."
* "La cryptographie est la solution à tout : la protection des données au repos et en transit fonctionne de la même manière dans le Cloud."
* "L'authentification par défaut de mon fournisseur de services cloud est suffisante."
* "Pour migrer dans le Cloud, il suffit de prendre tout ce qui est en place en interne et de le déplacer."
* "Bien évidemment, nous sommes conformes."
//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/06/05/five-cloud-migration-mistakes-that-will-sink-a-business/]] sur le blog de la CSA
[img(200px,1px)[i/BluePixel.gif]]
!"//Microsoft Workplace Join Part 2: Defusing the Security Timebomb//"
/%[>img(50px,auto)[iCSA/Risk-on-Black-Golden-Watch-Face-with-Watch-Mechanism.-Full-Frame-Closeup.jpg]]%/^^Bien que publié le 13 juin 2018 sur le blog de la CSA, cet article l'a déjà été le 30 avril 2018 sur le blog de la société Bitglass
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/06/13/microsoft-workplace-join-defusing-the-security-timebomb/]] ou [[l'original|https://www.bitglass.com/blog/microsoft-workplace-join-part-2-defusing-security-timebomb]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Microsoft Workplace Join Part 1: The Security Timebomb//"
/%[>img(50px,auto)[iCSA/Risk-on-Black-Golden-Watch-Face-with-Watch-Mechanism.-Full-Frame-Closeup.jpg]]%/^^Bien que publié le 8 juin 2018 sur le blog de la CSA, cet article l'a déjà été le 25 avril 2018 sur le blog de la société Bitglass
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/06/08/microsoft-workplace-join-part-1-the-security-timebomb/]] ou [[l'original|https://www.bitglass.com/blog/microsoft-workplace-join-part-1-security-timebomb]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Prepare to Take (and Ace) the [[CCSK]] Exam at Infosecurity Europe//"
[>img(300px,auto)[iCSA/ccsk-transparent-flat-300x160.png]]Article de blog publié le 31 mai 2018 — Rédigé par Ryan Bergsma, Training Program Director, Cloud Security Alliance
<<<
__''Préparez-vous à passer (et réussir) la certification examen [[CCSK]] à Infosecurity Europe''__
//Petite devinette.
J'ai été qualifié de "mère de toutes les certifications de sécurité en informatique dans le Cloud" par __CIO Magazine__. __Search Cloud Security__ a déclaré que j'étais une "bonne alternative de certification de sécurité dans le Cloud pour un professionnel de la sécurité de novice à intermédiaire, et qui s'intéresse à la sécurité dans le loud". Enfin __Certification Magazine__ m'a classé au premier rang de l'enquête sur les salaires en 2016.
Qui suis-je ?//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/31/prepare-to-take-ace-the-ccsk-certification-exam/]] sur le blog de la CSA
!"CCSK Certification vs AWS Certification – A Definitive Guide"
[>img(300px,auto)[iCSA/ccsk-transparent-flat-300x160.png]]Article de blog publié le 28 mai 2018 — Rédigé par Graham Thompson, CCSK, CCSP, CISSP, Authorized Trainer, Intrinsec Security
<<<
__''Certifications [[CCSK]] ou AWS, éléments de comparaison''__
//On m'a récemment demandé de comparer les certifications [[CCSK]] et AWS, et mon avis sur celle qui devrait être tentée par quelqu'un qui cherche à se lancer dans la sécurité du Cloud. Cet article tente de répondre à la question "quelle certification Cloud est la plus adaptée à votre cas". Je vous donnerai un aperçu des deux certifications, des formations existates, des examens, puis je conclurai par quelques réflexions sur la certification qui pourrait vous convenir.//
[...]
<<<
⇒ Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/28/ccsk-certification-vs-aws-certification-a-definitive-guide/]] sur le blog de la CSA 
!"//What If the Cryptography Underlying the Internet Fell Apart?//"
[>img(150px,auto)[iCSA/PQC-cover2-233x300.png]]Article de blog publié le 23 mai 2018 — Rédigé par Roberta Faux, Director of Research, Envieta
<<<
__''Quel serait l'impact si la cryptographie sur laquelle Internet est basé, venait à s'effondrer ?''__
//Sans le chiffrement utilisé pour sécuriser les mots de passe pour se connecter à des services comme Paypal, Gmail ou Facebook, un utilisateur est vulnérable aux attaques. La sécurité en ligne devient un élément fondamental de la vie au XXIe siècle. Une fois l'informatique quantique établie, toutes les clés secrètes que nous utilisons pour sécuriser notre vie en ligne sont en danger.
Le Groupe de travail sur la sécurité quantique de la CSA (//Quantum-Safe Security Working Group//) a rédigé une nouvelle publication sur l'avenir de la cryptographie. Ce document, "//The State of Post-Quantum Cryptography//", a pour but d'aider les dirigeants d'entreprises non techniques à comprendre l'impact des ordinateurs quantiques sur l'infrastructure de sécurité d'aujourd'hui.
Parmi les sujets abordés, mentionnons :
* Qu'est-ce que la cryptographie post-quantum ?
* Briser la cryptographie à clé publique
* Echange de clés et signatures numériques
* Quantum Safe Alternative
* Planification de la transition vers un avenir avec cryptographie quantique.
//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/23/what-if-the-cryptography-underlying-the-internet-fell-apart/]] sur le blog de la CSA
!"The State of Post-Quantum Cryptography"
[>img(150px,auto)[iCSA/PQC-cover2-233x300.png]]
> //Most people pay little attention to the lock icon on their browser’s address bar that signifies a secure connection called HTTPS. This connection establishes secure communications by providing authentication of the website and web server as well as encryption of communications between the client and server. If the connection is not secure, then a user may be vulnerable to malicious exploits such as malware injection, hijacking of financial transactions or stealing the user’s private information.//
__Liens :__
* Annonce et téléchargement (après inscription)
:→ https://cloudsecurityalliance.org/download/the-state-of-post-quantum-cryptography/ 
!"//Bitglass Security Spotlight: Twitter, PyRoMine, & Stresspaint//"
[>img(150px,auto)[iCSA/Businessman-holding-a-newspaper-while-having-breakfast-in-his-kitchen.jpg]]^^Bien que publié le 31 mai 2018 sur le blog de la CSA, cet article l'a déjà été sur le blog de la société Bitglass^^
<<<
__''Synthèse sécurité de Bitglass : Twitter, PyRoMine et Stresspaint''__
//Voici les arthicles sur la cybersécurité de ces dernières semaines ://
* Twitter expose des informations d'identification de ses utilisateurs en clair.
* le maliciel PyRoMine fait du cryto-minage de Monero et désactive des fonctions de sécurité chez ses victimes 
* le maliciel Stresspaint fait la chasse aux identifiants Facebook.
* le maliciel MassMiner fait lui aussi du cryto-minage
* l'organisation "Access Group Education Lending" a été compromise
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/31/bitglass-security-spotlight-twitter-pyromine-stresspaint/]] sur le blog de la CSA
[img(200px,1px)[i/BluePixel.gif]]
!"//How ChromeOS Dramatically Simplifies Enterprise Security//"
[>img(100px,auto)[iCSA/chrome.png]]^^Bien que publié le 28 mai 2018 sur le blog de la CSA, cet article l'a déjà été le 3 mai 2018 sur le blog de la société Bitglass
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/05/25/how-chromeos-dramatically-simplifies-enterprise-security/]] ou [[l'original|https://www.bitglass.com/blog/chrome-os-security-with-casb]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Surprise Apps in Your CASB PoC//"
[>img(100px,auto)[iCSA/casb-surprise-apps.png]]^^Bien que publié le 21 mai 2018 sur le blog de la CSA, cet article l'a déjà été le 4 avril 2018 sur le blog de la société Bitglass^^
<<<
__''Des applications surprises pour votre PoC CASB !''__
//Alors qu'il n'existe que depuis cinq ans, le marché du Cloud Access Security Broker (CASB) connaît son deuxième changement majeur dans l'utilisation. Les premiers CASBs qui ont été lancés sur le marché en 2013-2014 ont principalement fourni une visibilité à l'informatique en "Shadow IT". L'intérêt pour cette capacité à améliorer la visibilité a rapidement diminué en faveur de la protection des données (et plus tard de la protection contre les menaces) pour les applications SaaS autorisées et reconnues comme Office 365 et Box - ce fut le premier changement majeur sur le marché du CASB.
Le deuxième grand changement, celui que nous subissons actuellement, ne remplace pas ce cas d'utilisation, mais s'y ajoute. Au fur et à mesure que les équipes informatiques et de sécurité se sont familiarisées avec les applications ans le Cloud comme Office 365, l'entreprise a répondu par une demande accrue d'applications. Parfois cela signifie se traduit par d'autres applications SaaS, et parfois par plus d'applications personnalisées ou des progiciels qui migrent vers le cloud. Quoi qu'il en soit, ce qui a commencé comme un ensemble relativement restreint et bien défini d'applications a explosé en une demande beaucoup plus importante au cours de la dernière année et ne montre aucun signe de ralentissement - c'est le deuxième grand changement et nous le constatons dans toutes les industries et dans toutes les organisations de toutes tailles.//
[...]
<<<
&rArr; Lire la suite [[sur le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/05/25/how-chromeos-dramatically-simplifies-enterprise-security/]] ou [[l'original|https://www.bitglass.com/blog/surprise-app-casb-poc]].
[img(200px,1px)[i/BluePixel.gif]]
!"//baseStriker: Office 365 Security Fails To Secure 100 Million Email Users//"
[>img(350px,auto)[iCSA/baseStriker-wbase.png]]^^Bien que publié le 19 mai 2018 sur le blog de la CSA, cet article l'a déjà été le 8 mai 2018 sur le blog de la société Avanan^^
Rédigé par Yoav Nathaniel, Customer Success Manager, Avanan
<<<
__''BaseStriker : Office 365 Security ne parvient pas à sécuriser 100 millions d'utilisateurs d'emails''__
//Nous avons récemment découvert ce qui pourrait être la plus grande faille de sécurité d'Office 365 depuis la création du service. Contrairement aux attaques similaires qui peuvent être analysées puis bloquées, l'exploitation de cette vulnérabilité permet aux hackers de contourner complètement les mécanismes de sécurité de Microsoft, y compris ses services avancés comme ATP (//Advanced Threat Protection//) Safe Links, etc.
Le nom "baseStriker" fait référence à la méthode utilisée par les pirates pour tirer parti de cette vulnérabilité : décomposer et déguiser un lien malveillant en utilisant une balise HTML appelée balise <base> URL.
Jusqu'à présent, nous n'avons vu que des exploitations de cette vulnérabilité dans le cadre d'attaques de phishing, mais elle peut également permettre de distribuer des rançongiciels, des malwares et d'autres contenus malveillants.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/10/basestriker-office-365-security-fails-to-secure-100-million-email-users/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.avanan.com/resources/basestriker-vulnerability-office-365]]
[img(200px,1px)[i/BluePixel.gif]]
!"//Majority of Australian Data Breaches Caused by Human Error//"
[>img(200px,auto)[iCSA/map-1-300x151.png]]^^Bien que publié le 18 mai 2018 sur le blog de la CSA, cet article l'a déjà été le 16 avril 2018 sur le blog de la société Bitglass^^
<<<
__''La majorité des atteintes à la protection des données en Australie causées par une erreur humaine''__
//Il n'y a pas si longtemps, la première violation du projet de loi sur la protection de la vie privée ([[Privacy Amendment Bill|http://parlinfo.aph.gov.au/parlInfo/download/legislation/ems/r5747_ems_ed12b5bb-d3b3-4a6a-9536-53bb459a00df/upload_pdf/6000003.pdf]]) du Commissariat à l'information de l'Australie (//Office of the Australian Information Commissioner// : "OAIC") a été rendue publique. L'OAIC est de retour et vient de publier avec son premier rapport trimestriel sur les atteintes à la protection des données à déclaration obligatoire ([[Quarterly Statistics Report of Notifiable Data Breaches|https://www.oaic.gov.au/resources/privacy-law/privacy-act/notifiable-data-breaches-scheme/quarterly-statistics/Notifiable_Data_Breaches_Quarterly_Statistics_Report_January_2018__March_.pdf]]). Bien que le rapport n'offre pas beaucoup de détails, il met en évidence quelques tendances intéressantes.
La statistique la plus notable est que parmi les 63 atteintes signalées au cours du premier trimestre, la majorité d'entre elles (51 %) était le résultat d'une "erreur humaine". Selon l'OAIC, la catégorie "erreur humaine" peut intégrer la "divulgation par inadvertance, par exemple par l'envoi d'un document contenant des renseignements personnels au mauvais destinataire". Il semble que trop peu d'organisations australiennes contrôlent des choses comme le partage avec des tiers, même si le partage (et beaucoup d'autres activités potentiellement à risques) peut être contrôlé assez facilement avec un Cloud Access Security Broker (CASB).//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/18/majority-of-australian-data-breaches-caused-by-human-error/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/australian-oaic-human-error-breaches]].
[img(200px,1px)[i/BluePixel.gif]]
!"//Bitglass Security Spotlight : LinkedIn, Vector et AWS//"
[>img(150px,auto)[iCSA/Businessman-holding-a-newspaper-while-having-breakfast-in-his-kitchen.jpg]]^^Bien que publié le 17 mai 2018 sur le blog de la CSA, cet article l'a déjà été le 9 mai 2018 sur le blog de la société Bitglass^^
<<<
__''Synthèse sécurité de Bitglass : LinkedIn, Vector et AWS''__
//Voici les arthicles sur la cybersécurité de ces dernières semaines ://
* Une faille de sécurité sur LinkedIn (fonction //AutoFill//) expose les données des utilisateurs
** https://www.securityweek.com/linkedin-vulnerability-allowed-user-data-harvesting
* Une application de Vector (société énergétique néo-zélandaise) révèle les informations de clients
** https://www.msn.com/en-nz/money/company-news/personal-information-leaked-by-vector-app/ar-AAwlF7X
* Une mauvaise configuration de LocalBlox rend accessible des informations sur les utilisateurs de LocalBlox
** https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/
* PowerHammer, un logiciel malveillant de démonstration qui exfiltre les données au travers des cables électriques
** https://www.securityweek.com/hackers-can-stealthily-exfiltrate-data-power-lines
* Les applications bancaires considérées comme étant les moins sécurisées
** https://www.zdnet.com/article/bank-sites-and-web-apps-are-most-vulnerable-to-hackers/
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/17/bitglass-security-spotlight-linkedin-vector-and-aws/]] sur le blog de la CSA
[img(200px,1px)[i/BluePixel.gif]]
!"//Orbitz: Why You Can’t Secure Data in the Dark//"
[>img(100px,auto)[iCSA/cloudplug.jpg]]^^Bien que publié le 11 mai 2018 sur le blog de la CSA, cet article l'a déjà été le 22 mars 2018 sur le blog de la société Bitglass^^
<<<
__''Orbitz : Pourquoi l'on ne peut pas sécuriser les données sans visibilité''__
//Le 1^^er^^ mars 2018, Orbitz a découvert qu'un acteur malveillant avait peut-être pu voler des informations sur l'une de ses plates-formes. La plate-forme compromise hébergeait des informations sur les clients d'Orbitz (la filiale d'Expedia spécialisée dans la réservation de voyages en ligne) telles que les adresses postales, les numéros de téléphone, les adresses électroniques, les noms complets, ainsi que des détails d'environ 900.000 cartes de paiement.
Cette incident met en évidence la lutte quotidienne à laquelle de nombreuses entreprises sont confrontées.
En termes simples, les entreprises ne peuvent pas se permettre de sécuriser leurs données sans visibilité. En l'absence d'une visibilité complète, il est presque impossible de protéger les informations sensibles : vous ne pouvez pas vous défendre contre des menaces que vous ne pouvez pas voir. Lorsque les entreprises ne parviennent pas à mettre en oeuvre une journalisation automatique et complète de tous les événements impliquant les données de l'entreprise, difficile de dire que les incidents sont une fatalité.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/11/orbitz-why-you-cant-secure-data-in-the-dark/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/orbitz-why-you-cant-secure-data-in-the-dark]].
[img(200px,1px)[i/BluePixel.gif]]
!"//One Simple Way to Avoid 57 Percent of Breaches//"
[>img(200px,auto)[iCSA/patches.jpg]]^^Bien que publié le 8 mai 2018 sur le blog de la CSA, cet article l'a déjà été le 9 avril 2018 sur le blog de la société Bitglass^^
<<<
__''Une façon simple d'éviter 57% des atteintes à la vie privée''__
//J'ai récemment eu vent d'une enquête auprès de 3.000 professionnels de la cybersécurité commandée par la société "ServiceNow" et l'institut "Ponemon". Devinez quelle est l'une des premières statistiques qui m'a sauté aux yeux ?
"//57 % des victimes d'atteinte à la protection des données ont déclaré qu'elles ont été atteintes en raison d'une vulnérabilité non corrigée connue.//"
Du grand n'importe quoi !
Et ce nombre massif de brèches dues à l'absence de correctifs de vulnérabilité survient malgré le fait que les entreprises interrogées passent 321 heures par semaine, soit environ 8 ETPs, dans le processus de réponse aux vulnérabilités.
Donc, en moyenne, huit personnes en quête d'un processus manuel, et qui sont toujours en retard, ce qui fait que la majorité des fuites de données sont le résultat de vulnérabilités ''CONNUES'' pour lesquelles ''IL Y A UN CORRECTIF'' ?//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/08/one-simple-way-to-avoid-57-percent-of-breaches/]] sur le blog de la CSA
[img(200px,1px)[i/BluePixel.gif]]
[>img(150px,auto)[iCSA/Healthcare-Technology-How-Tech-Is-Changing-the-Patient-Physician-Relationship-300x204.jpg]]^^Bien que publié le 1er mai 2018 sur le blog de la CSA, cet article l'a déjà été le 19 mars 2018 sur le blog de la société Bitglass^^
<<<
__''Les arguments en faveur des CASBs : le secteur de la santé''__
//Au cours des deux dernières années, les Cloud Access Security Brokers (CASBs) sont passés d'une technologie naissante et à peine connue, à la norme //de facto// pour la sécurisation du cloud public dans toutes les secteurs verticaux. Au début, il est difficile de dessiner des modèles entre les industries, mais une fois que vous avez quelques centaines de déploiements d'entreprise sous votre ceinture, il devient très intéressant d'observer comment les organisations d'une industrie utilisent la même technologie (CASBs) d'une manière complètement différente des organisations d'une autre industrie.
Je suis en train de créer une série d'articles pour traiter certaines des principales différences dans l'utilisation des CASBs. Pour commencer, le secteur de la santé.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/05/01/the-case-for-casb-healthcare/]] sur le blog de la CSA
!"//CCSK vs CCSP: An Unbiased Comparison//"
[>img(150px,auto)[iCSA/CCSP-Triangle-1.png]]Article de blog publié le 24 avril 2018 — Rédigé par Graham Thompson, CCSK, CCSP, CISSP, Authorized Trainer, Intrinsec Security
<<<
__''CCSK ou CCSP: une comparaison impartiale''__
//CCSK vs CCSP - On me pose souvent deux questions chaque fois que quelqu'un découvre que je suis instructeur pour les cours [[CCSK]] de la Cloud Security Alliance et ceux du CCSP de l'(ISC)^^2^^ :
# "Quelle est la différence entre les deux certifications ?"
# "L'examen [[CCSK]] est-il difficile ?" .... C'est très difficile, mais on en reparlera plus tard !
Dans cet article, je vais identifier les différences entre deux des certifications de sécurité dans le Cloud les plus respectées de l'industrie, à savoir le [[CCSK]] et le CCSP. Nous espérons qu'après lecture de cet article, vous saurez quelle certification correspondra le mieux à vos objectifs professionnels. Je ne pense pas être subjectif dans la mesure où j'enseigne les deux cours depuis un certain temps. En effet, j'ai donné le premier cours [[CCSK]] public en marge du cours initial de formation de formateurs à San Jose. Pour ce qui est du CCSP, j'ai participé à l'élaboration de ce cours. Je pense donc être objectif dans ma comparaison entre ces deux cours.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/24/ccsk-vs-ccsp-an-unbiased-comparison//]] sur le blog de la CSA
!"//GDPR Is Coming: Will the Industry Be Ready?//"
[>img(150px,auto)[iCSA/GDPR_Prep-232x300.png]]Article de blog publié le 20 avril 2018 — Rédigé par Jervis Hui, Senior Product Marketing Manager, Netskope
<<<
__''Le RGPD arrive : l'industrie sera-t-elle prête ?''__
//Avec l'imminence du 25 mai 2018, date de mise en conformité de GDPR, Netskope a travaillé avec la Cloud Security Alliance (CSA) pour sonder les professionnels de l'IT et de la sécurité en vue de la publication du rapport récemment publié et qui concerne la préparation et les défis de RGPD. D'après l'un des rapports "Netskope Cloud Reports", seulement 25% de tous les services cloud à travers le SaaS et le IaaS sont prêts pour RGPD. Et avec l'omniprésence du cloud et des services Web, les entreprises font face à des défis de taille rien qu'avec le SaaS, l'IaaS et le Web, sans parler de la myriade d'autres questions qu'elles doivent aborder pour le GDPR.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/20/gdpr-is-coming-will-the-industry-be-ready//]] sur le blog de la CSA
&rArr; Télécharger le rapport sur https://cloudsecurityalliance.org/download/gdpr-preparation-and-awareness-survey-report/ (lien [[direct|https://downloads.cloudsecurityalliance.org/assets/research/gdpr/GDPR_Survey.pdf]])
!"A Day Without Safe Cryptography"
[>img(200px,auto)[iCSA/SafeCrypto-cover-234x300.png]]
> //Over the past fifty years, the digital age has sparked the creation of a remarkable infrastructure through which a nearly infinite variety of digital transactions and communications are executed, enabling businesses, education, governments, and communities to thrive and prosper. Millions of new devices are connecting to the Internet, creating, processing, and transferring digital information in greater volumes and with greater velocity than ever imagined.//
__Liens :__
* Annonce et téléchargement (après inscription)
:→ https://cloudsecurityalliance.org/artifacts/a-day-without-safe-cryptography/ 
!"//Imagine a Day Without Safe Cryptography//"
[>img(150px,auto)[iCSA/SafeCrypto-cover-234x300.png]]Article de blog publié le 19 avril 2018 — Rédigé par Jeffrey Ritter, Visiting Fellow, Kellogg College, University of Oxford
<<<
__''Imaginez une journée sans une cryptographie de confiance''__
//Tout professionnel de la sécurité, à un moment ou à un autre (ou à plusieurs reprises), se heurte à l'opposition de sa Direction face à l'évolution de la technologie. Nous savons tous que toute innovation technologique exige des adaptations dans les services de sécurité, en introduisant de nouveaux coûts liés aux changements d'équipements, aux services de tiers et aux ressources humaines. Nous savons aussi, quels que soient les nouveaux risques liés à la nouvelle technologie, que les cadres supérieurs veulent avoir l'assurance que toute nouvelle dépense produira des résultats efficaces. Aussi souvent, le résultat final est que l'entreprise bloque, reporte les dépenses et décide de mieux évaluer la gravité des risques.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/19/imagine-a-day-without-safe-cryptography//]] sur le blog de la CSA
&rArr; Télécharger le rapport sur https://cloudsecurityalliance.org/download/a-day-without-safe-cryptography (lien [[direct|https://downloads.cloudsecurityalliance.org/assets/research/quantum-safe-security/A_Day_without_Safe_Cryptography.pdf]])
[>img(200px,auto)[iCSA/GDPR_Prep-232x300.png]]__''GDPR Preparation and Awareness Survey Report''__
<<<
//Cloud computing, the Internet of Things, Artificial Intelligence, and other new technologies allow businesses to have better customer engagement, more access to data, and powerful analytical tools. Providers are racing to bring these technologies to the enterprise and users are anxious to take advantage of their benefits.//
<<<
__Lien de téléchargement :__ https://cloudsecurityalliance.org/artifacts/gdpr-preparation-and-awareness-survey-report/
[>img(200px,auto)[iCSA/Cloud-CISC-1.png]]__''Introduction''__
<<<
//''No organization is immune from cyber attack.'' Malicious actors collaborate with skill and agility, effectively moving from target to target at a breakneck pace. New attacks are directed at dozens of companies within the first 24 hours and hundreds within a few days.
A few years ago, visibility into the threat environment was essential if cybersecurity was to have any hope of being preventive. Today, visibility into what is coming next is critical to simply staying alive.
Sophisticated organizations, particularly cloud providers, know that the difference between a minor incident and massive breach lies in their ability to quickly detect, contain, and mitigate an attack. As increasing their speed of response has grown into a top priority, cloud providers are increasingly participating in programs that allow them to exchange information on cyber events with others in the industry. Sometimes known as threat intelligence exchange or cyber incident exchange, these programs enable cloud providers to share cyber event information with others who may be experiencing the same issue or at risk for the same type of attack. 
There is no denying that cyber security information sharing has in the past been of somewhat limited value for security teams. While this was due in part to past legal and cultural obstacles to the free exchange of cyber threat data, the primary challenge was the manual and reactive design of legacy information sharing programs. These programs were more focused on sharing information about cyber security incidents after the threat was vetted, scrubbed and mitigated more as a public service to others than a tool to support rapid incident response. While this data served a purpose and had a place, as the speed and number of attacks increased, its value was diminished and information sharing was not widely adopted outside of a few critical infrastructure sectors. 
Fast forward to today’s security environment and the exchange of information about cyber incidents is practically unrecognizable from the information sharing programs of the past. As Security Operations Centers (SOCs) and Computer Security Incident Response Teams (CSIRTs) have matured, new tools and technologies in threat intelligence, data analytics and security incident management have created new opportunities for faster and actionable threat intelligence exchange. Incident data -- more accurately described as suspicious event data -- can now be rapidly shared and analyzed across teams, tools and even companies as part of the immediate response process. In fact, it can be said that if an organization waits to share information until they have an “incident”, they’ve waited too long. Now the focus is on sharing suspicious event data as soon as it is identified, which materially speeds remediation and provides an early and actionable warning to those not yet affected.
The positive impact of this new model for threat intelligence exchange was demonstrated during the Wannacry Crisis in May 2017. Though the first reports of infection originated in Spain on May 12, the UK and Scotland were hit far harder by the malware. This was due in large part to the Spanish Government’s incident response scheme for critical infrastructures, such as warnings from the National Cryptology Centre, which quickly identified the malware and its vectors, provided mitigation tools, and encouraged organizations to share this information. Spanish companies were able to quickly protect themselves against Wannacry even as the malware continued to spread in other countries. Threat intelligence spread by the United Kingdom’s National Cyber Security Centre (NCSC) to understand and share the best mitigation guidance provided the eventual killswitch to the Wannacry virus.
Cloud providers haa unique role to play in threat intelligence exchange because they not only own and manage a massive amount of the world’s IT infrastructure, but they also operate some of the most advanced CSIRTs/SOCs seen in the technology world. Due to this investment, they are arguably in the best position to operationalize shared intelligence to defend their systems. Further, because they can do this at scale and involve a significant part of the industry in the effort, they have a tangible opportunity to help level the playing field with malicious actors. CSA also has initiatives underway to help its members do both. 
This paper, the first in a series, provides a framework to help corporations seeking to participate in threat intelligence exchange programs that enhance their event data and incident response capabilities. It is primarily written for corporations beginning to explore, or who have already begun, the exchange of cyber security event data. It is designed to be helpful to security teams with both emerging and mature internal threat intelligence capabilities. In fact, any organization with at least one person dedicated to threat intelligence should consider participation in an exchange to enhance its own data. To this end, this paper will provide high- level practical guidance to support companies in three key areas:
• Connecting with sharing partners and exchange platforms that best meet their needs
• Identifying the capabilities and business requirements that will form the foundation for a value-driven threat intelligence exchange program
• Understanding the basics of the exchange process so they can efficiently share event data they are seeing and more efficiently operationalize any intelligence they collect
The guidance in this paper was developed by members of the Cloud Security Alliance (CSA) working group on cyber incident sharing. The work has been instrumental to the design, development, and operation of the Cloud-CISC (Cloud Cyber Incident Sharing Center), a threat intelligence exchange platform for CSA members. The recommendations are based largely on the lessons learned through the development and operation of Cloud-CISC, as well as individual experiences in managing threat intelligence programs for large companies. Some common challenges identified through this work include:
1. Organizations that struggle to understand their internal event data have difficulty determining what event data to share.
2. Even when threat intelligence is provided by others, its value is often limited because it is delivered in an email format that cannot be easily integrated into the response process.
3. Organizations want the means to scale laterally to other sectors and vertically within their supply chains.
4. Perhaps most surprising, the motive for sharing is not necessarily helping others, but rather to provide better support for internal response capabilities.
The intent for this paper is to directly address these challenges and help establish a basic framework of key considerations for those getting started with threat intelligence exchange. 
We hope to work with others in the industry to further develop this guidance and define the associated best practices to make threat intelligence exchange a valuable resource and community for all organizations facing increasing threats from cyber attacks.//
<<<
[...]
<<<
__''Etapes suivantes :''__
''A Call to Action''
CSA believes any company that uses threat intelligence will tangibly benefit from the external exchange of threat intelligence data. No longer are companies being asked to risk their reputations, assets or customers by participating in one-way directional sharing of cyber security information with little return for them. It is time to embrace a new approach.
Because the cloud industry is already taking advantage of many advanced technologies that support threat intelligence exchange and has such a unique and large footprint across the IT infrastructure, there is a real opportunity to make threat intelligence sharing pervasive. Our commitment to the industry is to continue to provide a value-driven threat intelligence exchange for our members and support them in their efforts to participate by developing and publishing relevant guidance and best practices. While the cloud community is our first priority, we believe our efforts will serve as a model for those across the IT landscape seeking to derive value from threat intelligence exchange.
This paper is only the first in a series of planned efforts to provide that guidance and enable new users of threat intelligence exchange to benefit from the lessons learned from with those who already walked the path. We ask those across the community to provide feedback on our work to date and contribute to our ongoing effort by sharing best practices and lessons learned. 
Finally, we call on all corporate CSA members to join Cloud-CISC. Our industry cannot afford to let another year pass working in silos while malicious actors collaborate against us. It is time to level the playing field, and perhaps even gain an advantage.//
<<<
!"//Building a Foundation for Successful Cyber Threat Intelligence Exchange: A New Guide from CSA//"
[>img(150px,auto)[iCSA/Cloud-CISC-1.png]]Article de blog publié le 16 avril 2018 — Rédigé par Brian Kelly, Co-chair/Cloud Cyber Incident Sharing Center (CISC) Working Group, et CSO/Rackspace
<<<
__''Building a Foundation for Successful Cyber Threat Intelligence Exchange: A New Guide from CSA''__
//No organization is immune from cyber attack. Malicious actors collaborate with skill and agility, moving from target to target at a breakneck pace. With new attacks spreading from dozens of companies to a few hundred within a matter of days, visibility into...//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/16/building-a-foundation-for-successful-cyber-threat-intelligence-exchange-a-new-guide-from-csa/]] sur le blog de la CSA



[>img(200px,auto)[iCSA/State_of_Cloud-2018.png]]__''State of Cloud Security Report 2018''__
__''Introduction''__
<<<
//Innovators and early adopters have been using cloud for years taking advantage of the quicker deployment, greater scalability, and cost saving of services. The growth of cloud computing continues to accelerate offering more solutions with added features and benefits, including security. In the age of information digitalization and innovation, enterprise users must keep pace with consumer demand and new technology solutions ensuring they can meet both baseline capabilities and security requirements.
This paper provides insights into some of the latest cloud practices and technologies enterprise information security practitioners must be aware of as IT and sensitive data extends beyond the traditional corporate perimeter. Providers, regulators, and the enterprise must cooperate to establish baseline security requirements across these services. Understanding the use of cloud and related technologies along with the roles and responsibilities of data security and ownership up front will improve the procurement and long term management of these services.
//[...]
__''Conclusion''__//
Technology is moving faster than the business’ set of skills to adopt them. As organizations react to this demand to stay competitive, secure adoption of these technologies becomes an even greater challenge. With cloud and new IT technologies, the supply chain ecosystem needs to collaborate so that large enterprises and regulators can understand how to securely adopt new technologies and new features on existing provider technologies. Each party must play a role in securing customer data and sharing best practices for secure operations.
Education and awareness still needs to improve around provider services and new technologies for the enterprise. Small-scale adoption projects need to be shared so that security challenges and patterns can be adopted to scale with the business and across industry verticals. This skills gap, particularly around cloud and newer IT technologies, needs to be met by the industry through partnership and collaboration between all parties of the cyber ecosystem.//
<<<
!"//Speeding the Secure Cloud Adoption Process//"
[>img(100px,auto)[iCSA/State_of_Cloud-2018.png]]Article de blog publié le 16 avril 2018 — Rédigé par Vinay Patel, Chair, CSA Global Enterprise Advisory Board, et Managing Director, Citigroup
<<<
__''Speeding the Secure Cloud Adoption Process''__
//Innovators and early adopters have been using cloud for years, taking advantage of the quicker deployment, greater scalability, and cost saving of services. The growth of cloud computing continues to accelerate, offering more solutions with added features and benefits, and with proper...//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/16/speeding-the-secure-cloud-adoption-process/]] sur le blog de la CSA
!"//Cloud Security and Compliance Is a Shared Responsibility//"
[>img(200px,auto)[iCSA/iStock-467764145.jpg]]Article de blog publié le 12 avril 2018 — Rédigé par Gail Coury, Chief Information Security Officer, Oracle
<<<
__''Cloud Security and Compliance Is a Shared Responsibility''__
//Cloud Organizations around the world are ramping up to comply with the European Union’s General Data Protection Regulation (GDPR), which will be enforced beginning on May 25, 2018, and each must have the right people, processes and technology in place to comply or else potentially face litigation and heavy...//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/12/cloud-security-and-compliance-is-a-shared-responsibility/]] sur le blog de la CSA
!"//The “Ronald Reagan” Attack Allows Hackers to Bypass Gmail’s Anti-phishing Security//"
[>img(200px,auto)[iCSA/reagan.png]]Article de blog publié le 2 avril 2018 — Rédigé par Yoav Nathaniel, ‎Customer Success Manager, Avanan
<<<
__''The “Ronald Reagan” Attack Allows Hackers to Bypass Gmail’s Anti-phishing Security''__
//We started tracking a new method hackers use to bypass Gmail’s SPF check for spear-phishing. The hackers send from an external server, the user sees an internal user (For example, your CEO) and Gmail’s SPF-check, designed to indicate the validity of the sender, shows “SPF-OK.” Why are we calling this “The Ronald Reagan” Attack...//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/02/the-ronald-reagan-attack-allows-hackers-to-bypass-gmails-anti-phishing-security/]] sur le blog de la CSA
!"//Are Traditional Security Tools Dead?//"
[>img(150px,auto)[iCSA/cloud_hard.png]]^^Bien que publié le 26 avril 2018 sur le blog de la CSA, cet article l'a déjà été le 16 mars 2018 sur le blog de la société Bitglass^^
<<<
__''Les outils de sécurité traditionnels ont-ils encore un avenir?''__
//Lors de l'évaluation des différentes options en matière de sécurité, les RSSI et les architectes sécurité recherchent toujours la solution qui minimisera les coûts et les frais d'administration et d'exploitation tout en maximisant la protection des données. Au plus haut niveau, les entreprises se sont appuyées sur les outils traditionnels comme moyen de protection des données à long terme, mais au fur et à mesure de l'adoption des applications Cloud, ces outils sont de plus en plus considérés comme inefficaces, incapables de répondre aux besoins d'une entreprise en perpétuelle évolution avec un parc croissant d'applications Cloud et de terminaux non gérés capables d'accéder à ces applications.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/04/26/are-traditional-security-tools-dead/]] sur le blog de la CSA
&rArr; Télécharger le rapport Bitglass sur https://pages.bitglass.com/CloudHard_LP.html
[img(200px,1px)[i/BluePixel.gif]]
!"//The Early Bird Gets the Virus//"
Bien que publié le 9 avril 2018 sur le blog de la CSA, cet article l'a déjà été le 5 mars 2018 sur le blog de la société Bitglass
⇒ Lire la suite sur [[le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/04/09/the-early-bird-gets-the-virus/]] ou [[l'original|https://www.bitglass.com/blog/early-bird-gets-virus]].
[img(200px,1px)[i/BluePixel.gif]]
!"//Australia’s First OAIC Breach Forecasts Grim GDPR Outcome//"
Bien que publié le 4 avril 2018 sur le blog de la CSA, cet article l'a déjà été le 16 mars 2018 sur le blog de la société Bitglass
⇒ Lire la suite sur [[le blog de la CSA|https://blog.cloudsecurityalliance.org/2018/04/04/australias-first-oaic-breach-forecasts-grim-gdpr-outcome/]] ou [[l'original|https://www.bitglass.com/blog/aus-oaic-breach-and-gdpr]].
[img(200px,1px)[i/BluePixel.gif]]
!"//AWS Cloud: Proactive Security and Forensic Readiness – Part 3//"
[>img(300px,auto)[iCSA/data-protection-1200x480.jpg]]Article de blog publié le 27 mars 2018 — Rédigé par Neha Thethi, Information Security Analyst, BH Consulting
<<<
__''Cloud AWS : Sécurité proactive et préparation à l'analyse forensique (3^^ème^^ partie)''__
Il s'agit du troisième article d'une série de cinq qui fournit une liste de contrôle pour la sécurité proactive et l'état de préparation à l'analyse forensique dans un environnement Cloud Amazon. Il traite de la protection des données dans AWS.
La protection des données est un sujet très important dans les entreprises et chaud dans les organisations qui traitent les données personnelles des personnes physiques dans l'UE, car l'échéance du règlement général de l'UE sur la protection des données (GDPR) approche à grands pas.
AWS ne fait pas exception. L'entreprise fournit à ses clients des services et des ressources pour les aider à se conformer aux exigences du RGPD qui peuvent s'appliquer à leurs activités. Il s'agit notamment des contrôles d'accès aux données, des outils de surveillance et de journalisation, du chiffrement, de la gestion des clés, de la capacité de vérification et de la conformité aux normes de sécurité informatique. En outre, AWS a publié plusieurs livres blancs sur la protection de la vie privée, y compris certains spécifiques à certains pays.
Cet article va au delà de la protection des données personnelles. Ci-dessous, vous trouverez une liste de contrôle sur la protection des informations stockée dans AWS, statiques ou en transit, sur la protection des clés de chiffrement, la suppression des données sensibles et la compréhension des demandes d'accès aux données.
La liste de contrôle concerne les points suivants :
* Comment protégez-vous les données statiques ?
* Comment protégez-vous les données statiques dans Amazon S3 ?
* Comment protégez-vous les données statiques dans Amazon EBS ?
* Comment protégez-vous les données statiques dans Amazon RDS ?
* Comment protégez-vous les données statiques dans Amazon Glacier ?
* Comment protégez-vous les données statiques dans Amazon DynamoDB ?
* Comment protégez-vous les données statiques dans Amazon EMR ?
* Comment protégez-vous les données en transit ?
* Comment gérez-vous et protégez-vous vos clés de chiffrement ?
* Comment vous assurez-vous que les Amazon Machine Images (AMI) personnalisées sont sécurisées et exemptes de données sensibles avant leur publication pour usage interne (privé) ou externe (public) ?
* Comprenez-vous qui a le droit d'accéder à vos données stockées dans AWS ?
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/27/aws-cloud-proactive-security-and-forensic-readiness-part-3/]] sur le blog de la CSA
Lien original : http://bhconsulting.ie/data-protection-aws/ 
!"//34 Cloud Security Terms You Should Know//"
[>img(300px,auto)[iCSA/cloud-security-101.png]]Article de blog publié le 23 mars 2018 — Rédigé par Dylan Press, Directeur Marketing, Avanan
<<<
__''34 termes liés à la sécurité du Cloud que vous devriez connaître''__
Nous espérons que vous vous en servirez comme référence, mais aussi pour votre équipe et pour la formation de votre entreprise. Imprimez [[le document associé|https://www.avanan.com/hubfs/docs/34-Cloud-Security-Terms.pdf]] et affichez le !
Comment pouvez-vous correctement rechercher une solution de sécurité dans le Cloud, si vous ne comprenez pas ce que vous lisez ? Nous avons toujours cru que la sécurité dans les nuages devait être simple, c'est pourquoi nous avons créé Avananan. Dans le but de simplifier encore plus, nous avons créé un glossaire de 34 termes de sécurité dans le Cloud communément mal compris, et ce qu'ils signifient.
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/23/34-cloud-security-terms-you-should-know/]] sur le blog de la CSA
!"//AWS Cloud: Proactive Security and Forensic Readiness – Part 2//"
[>img(300px,auto)[iCSA/defense-in-depth.jpg]]Article de blog publié le 13 mars 2018 — Rédigé par Neha Thethi, Information Security Analyst, BH Consulting
<<<
__''Cloud AWS : Sécurité proactive et préparation à l'analyse forensique (2^^ème^^ partie)''__
Il s'agit du deuxième d'une série de cinq articles qui fournit une liste de contrôle pour la sécurité proactive et l'état de préparation judiciaire dans l'univers du Cloud Amazon (AWS). Cet article concerne la protection de votre infrastructure virtuelle au sein d'AWS.
La protection de toute infrastructure informatique nécessite une approche de défense en couches ou en profondeur. Les couches sont généralement divisées en couches physique, réseau (périmètrique et interne), système (ou hôte), application et données. Dans un environnement //Infrastructure as a Service// (IaaS), AWS est responsable de la sécurité "du" Cloud, y compris le périmètre physique, le matériel, le traitement logiciel, le stockage et la mise en réseau, tandis que les clients sont responsables de la sécurité "dans" le Cloud ou sur les couches au-dessus de l'hyperviseur. [...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/13/aws-cloud-proactive-security-forensic-readiness-part-2/]] sur le blog de la CSA
__''En compléments ;''__
* Le premier article de la série est sur : http://bhconsulting.ie/aws-cloud-proactive-security-forensic-readiness-five-part-best-practice/
* Le second article de la série est sur : http://bhconsulting.ie/infrastructure-level-protection-aws/
* La troisième partie est sur le site : http://bhconsulting.ie/data-protection-aws/
!Conférences au [[Forum Securité@Cloud|http://www.cloudcomputing-world.com/security]] le jeudi 22 mars 2018
__Paris le 1^^er^^ mars 2018 :__[>img(300px,auto)[i/ForumSecuriteCloud-2018.png]]
La [[Cloud Security Alliance]] fera la présentation d'introduction le jeudi 22 mars 2018 à 14h15 et participera à une table ronde à 15h15 lors de la conférence [[Forum Securité@Cloud|http://www.cloudcomputing-world.com/security]] à Paris, Porte de Versailles.
* Forum Sécurité@Cloud : http://www.cloudcomputing-world.com/security
** Flux Twitter : https://twitter.com/forumsecucloud
* ''F10 : Panorama des attaques dans le Cloud'' +++*[»]>
!F10 : Panorama des attaques dans le Cloud.
Y-a-t-il des rançongiciels dans le Cloud ? A quels types d'attaques devons-nous nous préparer ?
__Intervenant :__
* Olivier CALEFF - co-fondateur du Chapter français de la [[Cloud Security Alliance]]
=== 
* ''F12 : Comment réagir face à une attaque ?'' (Table ronde) +++*[»]>
!F12 : Comment réagir face à une attaque ?
Quelles mesures doit-on prendre avant et après une attaque ? Quels sont les organismes qui vont pouvoir vous aider ? Quelles conséquences vis-à-vis des clients et des fournisseurs ?
__Participants à la table ronde :__
* __Animateur :__ Olivier CALEFF -- co-fondateur du Chapter français de la [[Cloud Security Alliance]]
* Mahault BONNET-MADIN -- responsable partenariats au CSIRT-PJ
* Adrienne CHARMET -- chargée de mission, Cybermalveillance.gouv.fr
* Michel JUVIN -- expert en cybersécurité, CESIN
* Christophe MARAIS -- capitaine de police, chef adjoint du CSIRT-PJ
=== 
[img(200px,1px)[i/BluePixel.gif]]
!Partenariat avec le salon [[Cloud Computing World Expo|http://www.cloudcomputing-world.com/]] les 21 et 22 mars 2018 à Paris, Porte de Versailles
[>img(100px,auto)[i/CloudComputingWorld.jpg]]
La [[Cloud Security Alliance]] est partenaire de la [[Cloud Computing World Expo|http://www.cloudcomputing-world.com/]]

!"//Saturday Security Spotlight: Cryptomining, AWS, and O365//"
[>img(150px,auto)[iCSA/Businessman-holding-a-newspaper-while-having-breakfast-in-hi.jpg]]^^Bien que publié le 29 mars 2018 sur le blog de la CSA, cet article l'a déjà été précédemment sur le blog de la société Bitglass
<<<
__''Plein feu dominical sur la sécurité : Cryptomining, AWS, and Office365''__
Voici les principaux articles sur la cybersécurité de ces dernières semaines:
* Le minage malveillant de monnaies virtuelles, la première des activités cybercriminelles
* De nouveaux détails émergent sur les //buckets// AWS mal sécurisés
* Le rançongiciel Data Keeper commence à se répandre
* Office 365 utilisé dans des attaques récentes de phishing de masse
* SgxSpectre attaque les enclaves Intel SGX
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/29/saturday-security-spotlight-cryptomining-aws-and-o365/]] sur le blog de la CSA^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Are Healthcare Breaches Down Because of CASBs?//"
[>img(150px,auto)[iCSA/chart.jpg]]^^Bien que publié le 19 mars 2018 sur le blog de la CSA, cet article l'a déjà été précédemment sur le blog de la société Bitglass
<<<
__''Les atteintes aux données de santé sont-elles en baisse à cause des CASBs''__
Bitglass vient de publier son quatrième rapport annuel sur les atteintes au secteur de la santé (//Healthcare Breach Report//). Il porte sur les fuites de données de santé en 2017 et compare le taux de ces fuites aux années précédentes. Il y a une surprise cette année avec la chute importante du volume des fuites et de l'ampleur de chaque attaque. Notre équipe de chercheurs a entrepris de découvrir le pourquoi.
Notre rapport annuel sur le secteur de la santé est fondé sur les atteintes à la vie privée issues du ministère américain de la Santé et des Services Sociaux. Le gouvernement américain exige que tous les organismes de santé et leurs affiliés divulguent publiquement les fuites qui affectent au moins 500 personnes.
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/19/healthcare-breaches-casbs/]] sur le blog de la CSA^^
[img(200px,1px)[i/BluePixel.gif]]
!"//You Are the Weakest Link -- Goodbye//"
[>img(150px,auto)[iCSA/close-up-of-a-broken-chain-and-a-paper-clip-on-white-background-300x151.jpg]]^^Bien que publié le 14 mars 2018 sur le blog de la CSA, cet article l'a déjà été précédemment sur le blog de la société Bitglass.
<<<
__''Vous êtes le maillon faible -- Au revoir.''__
La sécurité dans le nuage est une préoccupation majeure pour l'entreprise moderne. Heureusement, à condition que les organisations fassent preuve de diligence raisonnable lorsqu'elles évaluent les outils de sécurité, le stockage de données dans le Cloud peut être encore plus sûr que le stockage de données dans les locaux de l'entreprise. 
Cependant, cela nécessite le déploiement d'une variété de solutions pour sécuriser les données statiques, sécuriser l'accès aux données, sécuriser les appareils mobiles et non gérés, se défendre contre les logiciels malveillants, détecter les applications non autorisées dans le Cloud (shadow IT), et plus encore. Dans ce contexte d'adoption effrénée des outils de sécurité, les entreprises oublient souvent de soutenir le maillon le plus faible de leur chaîne de sécurité, leurs utilisateurs. [...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/14/weakest-link-goodbye/]] sur le blog de la CSA^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Securing the Internet of Things: Devices & Networks//"
^^[>img(150px,auto)[iCSA/weigand-wedding-300x126.jpg]]Bien que publié le 12 mars 2018 sur le blog de la CSA, cet article l'a déjà été précédemment sur le blog de la société Entrust Datacard.
<<<
__''Sécuriser l'Internet des objets: les appareils et les réseaux''__
L'Internet des objets (IoT) est en train de changer la prodution industrielle pour le meilleur.
Avec les données provenant de milliards d'appareils connectés et de trillions de capteurs, les opérateurs de la chaîne d'approvisionnement et de la prodution industrielle profitent de nouveaux avantages. Il faut penser amélioreration de l'efficacité et flexibilité pour des modèles d'affaires potentiels. Mais comme l'IoT joue un rôle plus important dans toutes les industries, la sécurité doit être une priorité absolue. Voici un aperçu des quatre principaux défis à relever avant de réaliser les avantages d'une connectivité accrue.
__''Réduire les risques''__
Atténuer les risques ne doit pas toujours se faire aux dépens de la disponibilité et de la fiabilité. [...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/12/securing-internet-things-devices-networks/]] sur le blog de la CSA^^
!"//Zero-Day in the Cloud -- Say It Ain't So//"
^^[>img(150px,auto)[iCSA/Businessman-hand-working-with-a-Cloud-Computing-diagram-on-t.jpg]]Bien que publié le 9 mars 2018 sur le blog de la CSA, cet article l'a déjà été le 21 février 2018 sur le blog de la société Bitglass
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/09/zero-day-cloud-say-aint/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/zero-day-cloud]].
<<<
__''Des vulnérabilités //zéro-day// dans le Cloud... Dites moi que ce n'est pas vrai''__
Les vulnérabilités "//zéro day//" sont des failles de sécurité informatique ou logicielle inconnues du public, en particulier de ceux qui souhaitent combler ces failles, comme les fournisseurs de logiciels vulnérables.
Pour beaucoup de membres de la communauté de la sécurité informatique, le terme "//zéro day//" est synonyme de correctif de sécurité ou de mise à jour des systèmes. Prenons, par exemple, le monde des éditeurs de logiciels anti-programmes malveillants. Il y a ceux dont les solutions utilisent des signatures ou des codes de hachage pour se défendre contre les menaces. Leurs produits reçoivent en entrée un logiciel malveillant, l'analysent dans différents systèmes, font peut-être analyser le fichier par un humain, puis génèrent une signature. [...]
<<<
^^[img(200px,1px)[i/BluePixel.gif]]
!"//Saturday Security Spotlight: Tesla, FedEx, & the White House//"
^^[>img(150px,auto)[iCSA/Businessman-holding-a-newspaper-while-having-breakfast-in-hi.jpg]]Bien que publié le 8 mars 2018 sur le blog de la CSA, cet article l'a déjà été précédemment sur le blog de la société Bitglass.
<<<
__''Plein feu dominical sur la sécurité : Tesla, FedEx et la Maison-Blanche''__
Voici les principaux articles sur la cybersécurité de ces dernières semaines:
* Tesla a été piraté et utilisé pour extraire la cryptocurrence
* FedEx expose les données des clients dans une erreur de configuration AWS
* La Maison-Blanche publie un rapport sur la cybersécurité
* Le SEC classe la connaissance d'infractions non annoncées dans la catégorie des informations privilégiées.
* Plus de données d'Equifax volées que ce que l'on croyait initialement
__Tesla a été piraté et utilisé pour extraire de la cryptocurrence__
En ciblant une instance Tesla de Kubernetes, la console d'administration open-source de Google pour les applications cloud, les pirates ont pu infiltrer la société. Les attaquants ont ensuite obtenu des informations d'identification sur l'environnement AWS de Tesla, ont accédé à des informations propriétaires et ont commencé à exécuter des scripts pour générer de la cryptomonnaie en utilisant la puissance de calcul de Tesla. [...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/08/saturday-security-spotlight-tesla-fedex-white-house/]] sur le blog de la CSA^^
[img(200px,1px)[i/BluePixel.gif]]
!"//FedRAMP – Three Stages of Vulnerability Scanning and their Pitfalls//"
^^[>img(150px,auto)[iCSA/FedRamp-300x169.jpg]]Bien que publié le 7 mars 2018 sur le blog de la CSA, cet article l'a aussi été le 14 mars 2018 sur le blog de la société Schellman.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/07/fedramp-three-stages-vulnerability-scanning-pitfalls/]] sur le blog de la CSA ou [[l'original|https://www.schellman.com/blog/fedramp-three-stages-of-vulnerability-scanning-and-their-pitfalls]]
<<<
__''FedRAMP -- Les trois étapes de l'analyse des vulnérabilités et leurs pièges''__
Bien que l'analyse des vulnérabilités ne soit qu'une des exigences de contrôle de FedRAMP, c'est en fait l'un des pièges les plus fréquents en termes d'impact sur une autorisation d'exploitation (ATO : //Authorization To Operate//), car les exigences de FedRAMP attendent des fournisseurs de services cloud (CSP : //Cloud Service provider//) qu'ils aient un programme de gestion des vulnérabilités mature. Un CSP doit avoir les personnes adaptées, les bons processus et les bonnes technologies en place et doit faire preuve de maturité pour les trois. Les CSPs qui ont plus de facilité avec les exigences d'analyse des vulnérabilités suivent une approche similaire, qui peut être mieux articulée en décomposant les attentes en trois étapes. [...]
<<<
— Rédigé par Matt Wilgus, Responsable de l'entité, Évaluation des menaces et de la vulnérabilité, Schellman & Co. — 
^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Securing the Internet of Things: Connected Cars//"
^^[>img(150px,auto)[iCSA/CarSmile-300x126.jpg]]Bien que publié le 5 mars 2018 sur le blog de la CSA, cet article l'a déjà été le 18 octobre 2018 sur le site de la société Entrust Datacard
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/05/securing-internet-things-connected-cars/]] sur le blog de la CSAou [[l'original|https://www.entrustdatacard.com/blog/2017/october/securing-the-internet-of-things---connected-cars]].
<<<
__''Sécuriser l'Internet des objets: Voitures connectées''__
Le déploiement de la sécurité et de la sûreté dans la conception automobile va bien au-delà des essais de collision.
D'ici 2022, on s'attend à ce que le marché mondial de l'Internet des Objets (IoT) dans le secteur automobile atteigne 82,79 milliards de dollars, et les constructeurs se précipitent sur cette opportunité. Bien que les calculateurs embarqués et les technologies réseaux existent depuis les années 1980, l'avènement de la connectivité ouvre un éventail de nouvelles options pour les constructeurs automobiles. De la détection avancée des collisions et des diagnostics prédictifs aux systèmes de divertissement qui chargent les mélodies préférées du conducteur dès qu'il s'assied, les voitures connectées sont prêtes à améliorer l'expérience du consommateur. [...]
<<<
^^
[img(200px,1px)[i/BluePixel.gif]]
!"//CASBs and Education’s Flight to the Cloud//"
^^[>img(150px,auto)[iCSA/higher_education-grey-1-300x206.jpg]]Bien que publié le 1er mars 2018 sur le blog de la CSA, cet article l'a déjà été le 16 février 2018 sur le blog de la société Bitglass.
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/03/01/casbs-educations-flight-cloud/]] sur le blog de la Cloud Security Alliance ou [[l'original|https://www.bitglass.com/blog/casbs-and-educations-flight-to-the-cloud]]
<<<
__''L'envol des CASBs et du monde de l'éducation dans le Cloud''__
Le Cloud fait de plus en plus partie intégrante des entreprises qui recherchent productivité et flexibilité. Pour l'enseignement supérieur, le Cloud permet la création de cours en ligne, la collaboration dynamique sur des documents de recherche, etc. Comme de nombreux services cloud comme la [[G Suite|https://www.bitglass.com/g-suite-security]] sont offerts gratuitement aux établissements d'enseignement, l'adoption est encore plus simple. Toutefois, dans tous les cas d'utilisation multiple en éducation, des solutions de sécurité complètes doivent être utilisées pour protéger les données où qu'elles se trouvent. [...]
<<<
^^
!Réactivation du serveur Web du chapitre français de la [[Cloud Security Alliance]]
[>img(200px,auto)[i/cloud-security-alliance.png]]Après plusieurs mois d'arrêt, le serveur Web du [[Chapitre français|CSA-FR]] de la [[Cloud Security Alliance]] sera remis en ligne pour le 1^^er^^ mars 2018.
Les nuages se lèvent, les travaux sont terminés, le site va de nouveau être actif !
Le lien à ajouter à vos favoris : https://www.cloudsecurityalliance.fr


!"//AWS Cloud: Proactive Security and Forensic Readiness – Part 1//"
[>img(200px,auto)[iCSA/417070-cropped.jpg]]Article de blog publié le 11 décembre 2017 — Rédigé par Neha Thethi, Information Security Analyst, BH Consulting
<<<
__''Gestion des identités et des accès dans AWS — Première partie 1''__
//This is the first in a five-part blog series that provides a checklist for proactive security and forensic readiness in the AWS cloud environment. This post relates to identity and access management in AWS.
In a recent study by Dashlane regarding password strength, AWS was listed as an organization that supports weak password rules. However, AWS has numerous features that enable granular control for access to an account’s resources by means of the Identity and Access Management (IAM) service. IAM provides control over who can use AWS resources (authentication) and how they can use those resources (authorization).
The following list focuses on limiting access to, and use of, root account and user credentials; defining roles and responsibilities of system users; limiting automated access to AWS resources; and protecting access to data stored in storage buckets – including important data stored by services such as CloudTrail.//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2017/12/11/aws-cloud-proactive-security-forensic-readiness-part-1/]] sur le blog de la CSA
&rArr;Lien original : http://bhconsulting.ie/identity-access-management-aws/ 
!"//AWS Cloud: Proactive Security & Forensic Readiness//"
[>img(200px,auto)[iCSA/417070-cropped.jpg]]Article de blog publié le 1^^er^^ décembre 2017 -- Rédigé par Neha Thethi, Information Security Analyst, BH Consulting
<<<
__''Sécurité proactive et niveau de préparation à l'analyse forensique dans AWS''__
//This post kicks off a series examining proactive security and forensic readiness in the AWS cloud environment. 
In a time where cyber-attacks are on the rise in magnitude and frequency, being prepared during a security incident is paramount. This is especially crucial for organisations adopting the cloud for storing confidential or sensitive information.
This blog is an introduction to a five-part blog series that provides a checklist for proactive security and forensic readiness in the AWS cloud environment.
__Cyber-attack via third party services__
A number of noteworthy information security incidents and data breaches have come to light recently that involve major organisations being targeted via third-party services or vendors. Such incidents are facilitated in many ways, such as a weakness or misconfiguration in the third-party service, or more commonly, a failure to implement or enable existing security features.//
[...]
__Five-part best practice checklist__
//The blog series will offer the following five-part best practice checklists, for proactive security and forensic readiness in AWS Cloud.//
# //Identity and Access Management in AWS//
# //Infrastructure Level Protection in AWS//
# //Data Protection in AWS//
# //Detective Controls in AWS//
# //Incident Response in AWS//
[...]
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2017/12/01/aws-cloud-proactive-security-forensic-readiness/]] sur le blog de la CSA
&rArr;Lien original : http://bhconsulting.ie/aws-cloud-proactive-security-forensic-readiness-five-part-best-practice/ 
!"Top Threats to Cloud Computing Plus: Industry Insights"
__''Description :''__[>img(150px,auto)[iCSA/2017-top-threats-12.jpg]]
Exemples de 21 incidents de sécurité lié au Cloud Computing, et utilisation du modèle ''STRIDE'' de Microsoft 
* S → //''S''poofing identity// → Usurpation d'identité
* T → //''T''ampering with data// → Altération de données
* R → //''R''epudiation// → Répudiation
* I → //''I''nformation Disclosure// → Divulgation d'information
* D → //''D''enial of service// → Déni de service
* E → //''E''levation of privilege// → Élévation de privilèges
__Liens :__
* Annonce → https://cloudsecurityalliance.org/download/top-threats-cloud-computing-plus-industry-insights/
* Document PDF → https://downloads.cloudsecurityalliance.org/assets/research/top-threats/treacherous-12-top-threats.pdf
* Le modèle ''STRIDE'' → https://social.technet.microsoft.com/wiki/contents/articles/51078.comprendre-le-modele-stride-fr-fr.aspx
!"Cloud Controls Matrix (CCM) v3.0.1"
__''Description :''__[>img(150px,auto)[iCSA/CCM-new.png]]
//The CCM, the only meta-framework of cloud-specific security controls, mapped to leading standards, best practices and regulations. CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to cloud computing. CCM is currently considered a de-facto standard for cloud security assurance and compliance.//
__Lien :__
:→ https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/ 
!"CCSK v4 Exam Preparation Kit"
__''Description :''__[>img(200px,auto)[iCSA/ccsk-transparent-flat-300x160.png]]
Le paquet d'autoformation ("//CCSKv4_Exam_Preparation_Kit.zip//", 2,3 Mo) est constitué de 4 documents au format PDF :
# "read-me-first.pdf" : 1 page de Foire aux Questions
# "ccsk-prep-guide.pdf" : 6 pages de présentation et de liens
# "ccsk_v4_sample_questions.pdf" : 1 page d'exemples de questions posées lors de l'examen
# "Cloud Computing Security Risk Assessment.pdf" : le document "Cloud Computing - Benefits, risks and recommendations for information security" de l'ENISA (125 pages)

__Liens de téléchargement :__
* Accueil → https://cloudsecurityalliance.org/artifacts/ccskv4_exam_prep_kit
* Lien direct → https://cloudsecurityalliance.org/download/artifacts/ccskv4_exam_prep_kit/ 
!"CCSK v3 Exam Preparation Kit"
__''Description :''__[>img(200px,auto)[iCSA/ccsk-transparent-flat-300x160.png]]
Le paquet d'autoformation ("//CCSK_Exam_Preparation_Kit.zip//", 1,8 Mo) est constitué de 3 documents au format PDF :
# "01-CCSK_Preparation_Guide.pdf" : 4 pages de présentation et de liens
# "02-CCSK_Sample_Questions.pdf" : 1 page d'exemples de questions posées lors de l'examen
# "03-Cloud_Computing_Security_Risk_Assessment.pdf" : le document "Cloud Computing - Benefits, risks and recommendations for information security" de l'ENISA (125 pages)

__Liens de téléchargement :__
* Accueil → https://cloudsecurityalliance.org/artifacts/ccsk_exam_prep_kit
* Lien direct → https://cloudsecurityalliance.org/download/artifacts/ccsk_exam_prep_kit/ 
!"The Treacherous Twelve Cloud Computing Top Threats in 2016"
__''Description :''__[>img(150px,auto)[iCSA/2016-treacherous-twelve-top-threats.jpg]]
Ajout de 3 nouvelles menaces critiques pour 2016 :
* 1. //Data Breaches//
* 2. //Weak Identity, Credential and Access Management// (Nouveau)
* 3. //Insecure APIs//
* 4. //System and Application Vulnerabilities// (Nouveau)
* 5. //Account Hijacking//
* 6. //Malicious Insiders//
* 7. //Advanced Persistent Threats (APTs)// (Nouveau)
* 8. //Data Loss//
* 9. //Insufficient Due Diligence//
* 10. //Abuse// and Nefarious Use //of Cloud Services//
* 11. //Denial of Service//
* 12. //Shared Technology Issues//
__Liens :__
* Annonce → https://cloudsecurityalliance.org/download/the-treacherous-twelve-cloud-computing-top-threats-in-2016/
* Document PDF → https://downloads.cloudsecurityalliance.org/assets/research/top-threats/Treacherous-12_Cloud-Computing_Top-Threats.pdf 
|[img(150px,auto)[iCSA/CSA-StateCloud2016.jpg]]|* Date : 27 février 2016 
* Page de téléchargement : https://cloudsecurityalliance.org/download/state-of-cloud-security-2016/
* Lien direct : https://downloads.cloudsecurityalliance.org/assets/board/CSA-GEAB-State-of-Cloud-Security-2016.pdf |
!The State of Enterprise Resource Planning Security in the Cloud
__Publication du 7 février 2018 :__
Lien : https://cloudsecurityalliance.org/download/enterprise-resource-planning-security-in-the-cloud/
[img(150px,auto)[iCSA/ERP_Security_CSA.jpg][https://cloudsecurityalliance.org/download/enterprise-resource-planning-security-in-the-cloud/]]
!"//Cloud Security Alliance Releases New Cloud Controls Matrix v3.0.1 and Consensus Assessments Initiative Questionnaire v3.0.1//" -- 2014
<<<
[>img(100px,auto)[iCSA/CCM+CAIQ-v301.jpg]]//__''Two De Facto Industry Standards Now Aligned with One-to-One Mapping to Allow for Smarter Decisions by Cloud Consumers and More Transparency for Cloud Providers''__
The CCM is currently considered a de-facto standard for cloud security assurance and compliance.
The Cloud Security Alliance (CSA) today announced the release of significant updates to two de facto industry standards, the Cloud Controls Matrix (CCM) Version v3.0.1 and the Consensus Assessments Initiative Questionnaire (CAIQ) v3.0.1.
With the updates, the CSA has completed a major milestone in the alignment between the Security Guidance for Critical Areas of Focus in Cloud Computing v3, CCM, and CAIQ.
“With the release of the new CAIQ and CCM, alongside a strong migration path to CSA’s Security, Trust & Assurance Registry, we have intentionally created a much needed one-stop-shop in the cloud provider assessment process,” says Jim Reavis, CEO of the CSA. “This will allow cloud providers to be more transparent in the baseline assessment process, helping accelerate the implementation process where cloud consumers will be able to make smart, efficient decisions. We expect the new versions to have an enormous and positive impact on the cloud industry.” Together the CCM v3.0.1 and CAIQ v3.0.1 allow for greater efficiencies and transparency in the cloud assessment and implementation process.
[>img(300px,auto)[iCSA/CCM+CAIQ-Download-v301.jpg]]Additionally, the new guidance documents will serve as a seamless transition point to those providers wishing to submit to the CSA Security, Trust & Assurance Registry (STAR), a free, publicly accessible registry that documents the security controls provided by various cloud computing offerings.
Specifically, CAIQ v3.0.1 realigns CAIQ questions to CCM v3.0.1 control domains and the CSA’s Guidance for Critical Areas of Focus in Cloud Computing v3.0. It also maps the CAIQ questions to the latest compliance requirements found in the CCM v3.0.1. In both documents, redundancies have been reduced and language rewritten for clarity of intent, STAR enablement, and Standards Development Organization alignment. Additionally, CCM v3.0.1 contains new or updated mappings in all 16 domain control areas.//
<<<
Lien → https://cloudsecurityalliance.org/articles/csa-releases-new-ccm-caiq-v3-0-1/ 
!"//Cloud Controls Matrix (CCM) v3//" -- 2013
__''Description :''__[>img(150px,auto)[iCSA/CCM-new.png]]
//The CCM is currently considered a de-facto standard for cloud security assurance and compliance.//
__Lien :__
:→ https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3/ 
!"The Notorious Nine: Cloud Computing Top Threats in 2013"
__''Synthèse :''__[>img(150px,auto)[iCSA/2013-notorious-nine.jpg]]
Identification de 9 menaces critiques pour 2013 :
* 1. //Data Breaches//
* 2. //Data Loss//
* 3. //Account Hijacking//
* 4. //Insecure APIs//
* 5. //Denial of Service//
* 6. //Malicious Insiders//
* 7. //Abuse of Cloud Services//
* 8. //Insufficient Due Diligence//
* 9. //Shared Technology Issues//
__Liens :__
* Annonce → https://cloudsecurityalliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013/
* Document PDF → https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf 
''CSA'' [[STAR]] est un programme ou une méthodologie visant à l'assurance de la sécurité dans le Cloud. [[STAR]] englobe les principes clés de ''transparence, de vérification rigoureuse et d'harmonisation des normes''. Le programme [[STAR]] offre de nombreux avantages, notamment des indications sur les bonnes pratiques et la validation de la posture de sécurité des offres de cloud computing.
Le sigle [[STAR]] signifie "//__''S''__ecurity, __''T''__rust and __''A''__ssurance __''R''__egistry//".
Sur le site du ''CSA'', toutes les informations sont regroupées [[ici|https://cloudsecurityalliance.fr/go/STAR/]].
<<tabs tSTAR 'Présentation' '' [[STAR##Intro]] 'Registre' '' [[STAR##Registre]] 'Évaluation et Certification' '' [[STAR##EvalCert]]>>
/%
!Intro
[>img(450px,auto)[iCSA/OCF-1.png]]''CSA'' [[STAR]] se compose de trois niveaux d'assurance :
# Auto-évaluation
# Certification par une tierce partie
# Audit continu

Ces 3 niveaux d'assurance du ''CSA'' [[STAR]] sont basés sur :
  # [[CCM]] : la matrice de contrôle ** La [[CCM]], le seul métacadre de contrôles de sécurité propres au Cloud, s'appuie sur des normes, des bonnes pratiques et des règlements. Il s'agit de fournir la structure, les détails et la clarté nécessaires en matière de sécurité de l'information adaptée au Cloud. La [[CCM]] est actuellement considérée comme une norme de fait pour l'assurance de la sécurité et de la conformité dans le Cloud.
  # [[CAIQ]] : le questionnaire de l'anitiative d'évaluation par consensus ** La [[CAIQ]] est basée sur la [[CCM]] et propose un questionnaire à réponses fermées (Oui/Non) que des consommateurs cloud ou des auditeurs Cloud peuvent poser à des prestataires Cloud afin de leur conformité à la [[CCM]].
  # Le ''Code de conduite'' de la CSA sur la conformité au RGPD ** Ce ''Code de conduite'' est un outil créé en collaboration avec des experts de l'industrie et des représentants des autorités nationales de protection des données de l'UE pour aider les organisations à se conformer au RGPD. Ce ''Code de conduite'' intègre toutes les exigences qu'un fournisseur de services Cloud doit satisfaire pour se conformer au RGPD. ** Lien → https://gdpr.cloudsecurityalliance.org/resource/csa-code-of-conduct-for-gdpr-compliance/ !Registre L'une des caractéristiques essentielles du programme [[STAR]] est son ''registre'' (//registry//) qui documente les contrôles de sécurité et de confidentialité fournis par les offres de Cloud. Ce ''registre'' accessible à tous et a été conçu pour permettre aux utilisateurs de services Cloud d'évaluer leurs prestataires de services Cloud, les prestataires de sécurité et les sociétés de services, de conseil ou d'évaluation afin de faire les meilleurs choix d'approvisionnement. Sur le site du ''CSA'', toutes les informations sur le ''registre'' sont regroupées [[ici|https://cloudsecurityalliance.fr/go/STARr/]]. [>img(400px,auto)[iCSA/STAR-Registry.jpg][https://cloudsecurityalliance.fr/go/STARr/]]En termes de statistiques sur le registre, il y avait au 1^^er^^ janvier 2019 : * 450 entités différents sont enregistrées, dont : ** 406 entités au Niveau 1 "//Self-Assessment//" ** 7 entités au Niveau 2 "//Attestation//" ** 56 entités au Niveau 2 "//Certification//" ** 10 entités au Niveau 2 "//Evaluation C-STAR//" * 26 entités ont au moins 2 qualifications d'assurance, dont : ** 3 entités ont au moins 3 qualifications d'assurance : *** +++*[Dropbox]> Enregistré depuis Juillet 2014 → https://cloudsecurityalliance.org/registry/dropbox-inc/ ===, +++*[Microsoft]> Enregistré depuis Mars 2012 → https://cloudsecurityalliance.org/registry/microsoft/ === et +++*[Ribose]> Enregistré depuis Octobre 2013 → https://cloudsecurityalliance.org/registry/ribose/ === !EvalCert En termes d'évaluations et de certification CSA STAR[>img(450px,auto)[iCSA/ocf-2.png]] Le découpage de [[STAR]] se fait en 3 niveaux d'assurance : * Niveau 1 → Auto-évaluation ** Auto-évaluation ''CSA'' [[STAR]], ou ** Auto-évaluation du ''Code de conduite'' du ''CSA'' sur le RGPD * Niveau 2 → Certification par une tierce partie ** Attestation ''CSA'' [[STAR]], ** Certification ''CSA'' [[STAR]], ou ** Évaluation ''C-STAR'' * Niveau 3 → Audit continu ** //CSA [[STAR]] Continuous// (actuellement en cours de développement) __''Niveau 1 : Auto-évaluation CSA STAR / //Self-Assessment//''__ L'autoévaluation ''CSA'' [[STAR]] est une offre gratuite qui documente les contrôles de sécurité fournis par diverses offres Cloud, aidant ainsi les utilisateurs à évaluer la sécurité des prestataires qu'ils utilisent ou envisagent d'utiliser. Les prestataires de services Cloud soumettent : * soit un questionnaire [[CAIQ]] dûment rempli * soit un rapport sur la conformité à la [[CCM]] Ces informations sont ensuite rendues publiques, ce qui favorise la transparence de l'industrie et donne une visibilité sur les pratiques de sécurité spécifiques des prestataires. ** Lien → https://cloudsecurityalliance.org/star/self-assessment/ __''Niveau 1 : Auto-évaluation du ''Code de conduite'' du ''CSA'' sur le RGPD''__ L'auto-évaluation du Code consiste en la publication volontaire de deux documents sur le registre [[STAR]] : * //Code of Conduct Statement of Adherence// ** Lien → https://gdpr.cloudsecurityalliance.org/resource/pla-code-of-conduct-statement-of-adherence-self-assessment/ * //Self-assessment results based on the PLA Code of Practice (CoP) Template - Annex 1// ** Lien → https://gdpr.cloudsecurityalliance.org/resource/coc-gdpr-annex-1-compliance-assessment-template/ Les frais d'enregistrement et de publication s'élèvent à 1.495 Euros. Un certificat de Conformité valable pendant 1 an est alors délivré. L'autoévaluation doit être révisée chaque fois qu'il y a un changement aux politiques ou aux pratiques de l'entreprise concernant le service évalué. ** Lien → https://cloudsecurityalliance.org/star/self-assessment/ __''Niveau 2 : Attestation CSA STAR''__ L'attestation ''CSA'' [[STAR]] est le fruit d'une collaboration entre la ''CSA'' et l'AICPA qui vise à fournir des lignes directrices aux CPA (//Chartered Professional Accountant// ou //Compyables Agréé//) afin qu'ils puissent mener des missions //SOC// 2 selon les critères de l'AICPA (//Trust Service Principles//, //AT 101//) et de la [[CCM]]. L'attestation [[STAR]] prévoit des évaluations indépendantes et rigoureuses des prestataires de services Cloud par des tierces parties. ** Lien → https://cloudsecurityalliance.org/star/attestation/ __''Niveau 2 : Certification CSA STAR''__ La certification ''CSA'' [[STAR]] est une évaluation indépendante et rigoureuse de la sécurité d'un fournisseur de services Cloud. La certification, technologiquement neutre, s'appuie sur les exigences de la norme ISO/IEC 27001:2013 sur les systèmes de management ainsi que sur la [[CCM]]. ** Lien → https://cloudsecurityalliance.org/star/certification/ __''Niveau 2 : Évaluation C-STAR''__ L'évaluation ''C-STAR'' est une évaluation indépendante effectuée par une tierce partie d'un prestataire de services Cloud pour le marché Chinois élargi (//Greater China//). Elle a pour but d'harmoniser les bonnes pratiques de la CSA avec les normes nationales chinoises. L'évluation ''C-STAR'' tire parti des exigences de la norme GB/T 22080-2008 sur les systèmes de gestion ainsi que de la matrice [[CCM]] et de 29 contrôles connexes sélectionnés parmi les normes GB/T 22239-2008 et GB/Z 28828-2012. ** Lien → https://cloudsecurityalliance.org/star/c-star/ __''Niveau 3 : Surveillance permanente CSA STAR / //''CSA'' [[STAR]] Continuous//''__ Actuellement en cours de développement, la ''surveillance permanente'' ''CSA'' [[STAR]] permet d'automatiser les pratiques de sécurité actuelles des fournisseurs de Cloud. //''CSA'' [[STAR]] Continuous// sera basé sur une évaluation ou un audit en continu de critères de sécurité pertinents, et sera basé sur : * [[CCM]] : Cloud Controls Matrix * CTP : Cloud Trust Protocol * A6 : CloudAudit Les fournisseurs publient leurs pratiques de sécurité conformément à la mise en forme et aux spécifications du ''CSA'', et les clients et les fournisseurs d'outils peuvent récupérer et présenter cette information dans divers contextes. ** Lien → https://cloudsecurityalliance.org/star/continuous/ !Ressources Les principales ressources à consulter sont les suivantes : # Le site "STARwatch" [>img(200px,auto)[iCSA/STARwatch.png]] ** ''STARWatch'' est une application SaaS qui permet de gérer la conformité aux exigences du ''CSA''' [[STAR]]. ** ''STARWatch'' fournit le contenu de la ''Cloud Controls Matrix'' ([[CCM]]) et du ''Consensus Assessments Initiative Questionnaire'' ([[CAIQ]]) sous la forme d'une base de données. ** Site STARwatch → https://star.watch/en ** Communiqué de presse de l'annonce de STARwatch en février 2017 &rrarr:https://cloudsecurityalliance.org/articles/cloud-security-alliance-announces-general-availability-of-starwatch-cloud-security-management-application/ # Document : "''STAR Continuous Technical Guidance''"[>img(100px,auto)[iCSA/star-technical-guidance-thumb.png]] ** Date : 27 février 2019 ** Lien → https://cloudsecurityalliance.org/artifacts/star-continuous-technical-guidance/ # Document : "''Streamlining Vendor IT Security and Risk Assessments''"[>img(100px,auto)[iCSA/streamlining-it.png]] ** Date : 8 décembre 2018 ** Lien → https://cloudsecurityalliance.org/artifacts/streamlining-vendor-it-security-and-risk-assessments/ # Document : "''CSA STAR Certification Intake Form''" ** Date : 7 juin 2018 ** Lien → https://cloudsecurityalliance.org/artifacts/csa-star-certification/ # Blog : "What You Need to Know About Changes to the STAR Program" ** Date : 9 mai 2017 ** Lien → https://blog.cloudsecurityalliance.org/2017/05/09/need-know-changes-star-program/ # Document : "''Guidelines for CPAs Providing CSA STAR Attestation v2''"[>img(100px,auto)[iCSA/Guidelines_for_CPAs_Providing_CSA_STAR_Attestation_v2.jpg]] ** Date : 20 mars 2017 ** Lien → https://cloudsecurityalliance.org/artifacts/guidelines-for-cpas-providing-csa-star-attestation-v2/ # Blog : "''3-2-1, Takeoff. The STARWatch Cloud Security Management Application Has Launched''" ** Date : 13 février 2017 ** Lien → https://blog.cloudsecurityalliance.org/2017/02/13/3-2-1-takeoff-starwatch-cloud-security-management-application-launched/ # Blog : "''Standardizing Cloud Security with CSA STAR Certification''" ** Date : 14 décembre 2016 ** Lien → https://blog.cloudsecurityalliance.org/2016/12/14/standardizing-cloud-security-csa-star-certification/ # Document : "''STAR Overview''"[>img(100px,auto)[iCSA/star-overview.jpg]] ** Date : 20 avril 2015 ** Lien → https://cloudsecurityalliance.org/download/star-overview-pdf/ !Contacts * Pour toute information générale : starwatch-support (at) cloudsecurityalliance point org * ''CSA'' [[STAR]] Certification Auditors: https://cloudsecurityalliance.org/star/certification/#_auditors * ''CSA'' [[STAR]] Attestation Auditors: https://cloudsecurityalliance.org/star/attestation/#_auditors !end %/
<<tabs tCAIQ 'Présentation' '' [[CAIQ##Intro]] 'CAIQ-Lite' '' [[CAIQ##CAIQ-Lite]] 'Actualités' '' [[CAIQ##Actu]] 'Blog' '' [[CAIQ##Blog]] 'Publications' '' [[CAIQ##Publ]]>>
/%
!Intro
[>img[iCSA/CSAcai.png]]L'un des principaux obstacles à l'adoption du Cloud est le manque de transparence des contrôles de sécurité.
La ''Cloud Security Alliance Consensus Assessments Initiative'' (''CAI'') a été lancée pour effectuer des recherches, créer des outils et créer des partenariats avec l'industrie afin de permettre l'évaluation du Cloud. Nous nous concentrons sur la fourniture de moyens acceptés par l'industrie pour documenter les contrôles de sécurité existants dans les offres de type IaaS, PaaS et SaaS, en assurant la transparence des contrôles de sécurité.
Cet effort de conception est intégré à d'autres projets des partenaires de recherche de la [[Cloud Security Alliance]] et les appuiera.
Les 2 livrables actuels de la ''CAI'' sont :
* ''CAIQ''
* ''CAIQ-Lite''

__Liens :__
→ https://cloudsecurityalliance.org/working-groups/consensus-assessments/
→ https://cloudsecurityalliance.org/download/consensus-assessments-initiative-questionnaire-v3-0-1/
→ https://cloudsecurityalliance.org/download/artifacts/consensus-assessments-initiative-questionnaire-v3-0-1/
!CAIQ-Lite
<<tiddler [[2019.03.01 - Présentation de 'CAIQ Lite']]>>
!Actu
<<tiddler f2Tag2Tabs with: CAIQ Actu>>
!Blog
<<tiddler f2Tag2Tabs with: CAIQ Blog>>
!Publ
<<tiddler f2Tag2Tabs with: CAIQ Publ>>
!end
%/
<<tabs tCCM 'Présentation' '' [[Groupe de Travail - Cloud Controls Matrix]] 'Actualités' '' [[CCM##Actu]] 'Blog' '' [[CCM##Blog]] 'Publications' '' [[CCM##Publ]]>>
/%
!Actu
<<tiddler f2Tag2Tabs with: CCM Actu>>
!Blog
<<tiddler f2Tag2Tabs with: CCM Blog>>
!Publ
<<tiddler f2Tag2Tabs with: CCM Publ>>
!end
%/
<<tabs tCCSK 'Présentation' '' [[CCSK - Présentation]] 'Actualités' '' [[CCSK##Actu]] 'Blog' '' [[CCSK##Blog]] 'Publications' '' [[CCSK##Publ]]>>
/%
!Actu
<<tiddler f2Tag2Tabs with: CCSK Actu>>
!Blog
<<tiddler f2Tag2Tabs with: CCSK Blog>>
!Publ
<<tiddler f2Tag2Tabs with: CCSK Publ>>
!end
%/
<<tiddler [[Groupe de Travail - Cloud Controls Matrix]]>>
<<tiddler f1Tag2Tabs with: Crypto>>
<<tiddler f1Tag2Tabs with: ERP>>
<<tiddler f1Tag2Tabs with: IoT>>
<<tiddler f1Tag2Tabs with: Threats>>
<<tiddler f1Tag2Tabs with: Pano>>
<<tiddler f1Tag2Tabs with: SDN>>
<<tiddler f1Tag2Tabs with: Vuln>>
!Le groupe de travail "Application Containers and Microservices" a besoin de vous !
[>img(150px,auto)[iCSA/microservices.png][https://cloudsecurityalliance.org/group/containerization/]]La [[Cloud Security Alliance]] recherche des bénévoles pour participer à l'élaboration et la rédaction d'un livre blanc sur les bonnes pratiques et les défis en matière de sécurisation des conteneurs et des micro-services.
Si vous êtes intéressés, veuillez vous inscrire au groupe de travail sur la page du Groupe de Travail [[ici|https://cloudsecurityalliance.org/group/containerization/]].
__''Extrait :''__
> //The Cloud Security Alliance is launching the Application Containers and Microservices (ACM) Working Group. The CSA ACM Working Group previously work with the National Institute of Standards and Technology (NIST) ACM Working Group to provide research, guidance, and best practices for the secure use of application containers and microservices.//
[...]
> //The mission of the CSA Application Containers and Microservices working group is to conduct research on the security of application containers and microservices and publish guidance and best practices for the secure use of application containers and microservices.//
!Certificate of Cloud Security Knowledge [>img(400px,auto)[iCSA/CCSK_banner.jpg]]

Le ''Certificate of Cloud Security Knowledge'' ou ''CCSK'' est une certification qui permet :
# de valider vos compétences acquises grâce à votre expérience en matière de sécurité Cloud
# de démontrer vos connaissances techniques, vos compétences et vos capacités à développer efficacement un programme holistique de sécurité Cloud par rapport aux normes
# de vous différencier des autres candidats sur le marché en pleine croissance de la sécurité Cloud
# d'accéder à des ressources professionnelles précieuses, comme des outils, du réseautage et des échanges d'idées avec vos pairs.
Depuis fin 2017, la version du [[CCSK]] est : ''CCSK v4''.
|Table98|k
|!Nous vous communiquerons plus d'information sur l'organisation de formations CCSK en France dans le courant du premier trimestre 2019|
[img(200px,1px)[i/BluePixel.gif]]
Dans l'intervalle, nous vous invitons à consulter l'article ci-dessous "[[CCSK : la formation à suivre|2019.01.24 - CCSK la formation à suivre]]" rédigé par ''Guillaume Boutisseau'', premier ''CCSK Authorized Instructor'' français.
<<<
<<tiddler [[2019.01.24 - CCSK la formation à suivre]]>>
<<<
[img(200px,1px)[i/BluePixel.gif]]
[>img(500px,auto)[iCSA/DownloadCSA.jpg]]La page de téléchargement générale de tous les documents de la [[Cloud Security Alliance]] est la suivante : https://cloudsecurityalliance.org/download/
Parmi la centaine de documents publiés par la [[Cloud Security Alliance]], plusieurs font office de référence ou doivent être connus, parmi lesquels :
# ''Security Guidance for Critical Areas of Focus in Cloud Computing'' +++*[Détails »]>
|<<tiddler "Groupe de Travail - Security Guidance">> |
=== 

# ''Cloud Controls Matrix'' +++*[Détails »]> |<<tiddler "Groupe de Travail - Cloud Controls Matrix">> | ===

# ''Cloud Computing Top Threats'' +++*[Détails »]> |<<tiddler "Groupe de Travail - Top Threats">> | ===

# ''Mitigating Risk'' +++*[Détails »]> [>img(200px,auto)[iCSA/CSA-MitigatingRisk.jpg]] ** Date : 17 août 2016 ** Page de téléchargement : https://cloudsecurityalliance.org/download/mitigatingrisk/ (après inscription) ===

# ''State of Cloud Security'' +++*[Détails »]> |<<tiddler "Publications - Situation">> | ===

# ''Security Considerations for Private vs. Public Clouds'' +++*[Détails »]> [>img(200px,auto)[iCSA/CSA-ConsiderationsPrivatePublicClouds.png]] ** Date : 15 juin 2015 ** Page de téléchargement : https://cloudsecurityalliance.org/download/security-considerations-for-private-vs-public-clouds/ (après inscription) ===
Les différents groupes de travail de la [[Cloud Security Alliance]] sont :
|[[Big Data|https://cloudsecurityalliance.org/group/big-data/]] |[[Blockchain/Distributed Ledger|https://cloudsecurityalliance.org/group/blockchain/]] |[[CloudAudit|https://cloudsecurityaliance.org/group/cloudaudit/]] |
|[[CloudCISC|https://cloudsecurityalliance.org/group/cloudcisc/]] |[[Cloud Component Specifications|https://cloudsecurityalliance.org/group/cloud-component-specifications/]] |!→ [[Cloud Controls Matrix]] +++*[»] [img(350px,auto)[iCSA/WG-CCM.jpg][Groupe de Travail - Cloud Controls Matrix]]=== |
|[[Cloud Data Center Security|https://cloudsecurityalliance.org/group/cloud-data-center-security/]] |[[Cloud Data Governance|https://cloudsecurityalliance.org/group/cloud-data-governance/]] |[[Cloud Security Services Management|https://cloudsecurityalliance.org/group/cloud-security-services-management/]] |
|[[CloudTrust|https://cloudsecurityalliance.org/group/cloudtrust/]] |[[CloudTrust Protocol|https://cloudsecurityalliance.org/group/cloudtrust-protocol/]] |[[Cloud Vulnerabilities|https://cloudsecurityalliance.org/group/cloud-vulnerabilities/]] |
|[[Consensus Assessments (CAI)|https://cloudsecurityalliance.org/group/consensus-assessments/]] |[[Containers and Microservices|https://cloudsecurityalliance.org/group/containerization/]] |[[Enterprise Architecture|https://cloudsecurityalliance.org/group/enterprise-architecture/]] |
|[[ERP Security|https://cloudsecurityalliance.org/group/enterprise-resource-planning/]] |[[Financial Services Stakeholder|https://cloudsecurityalliance.org/group/financial-services-stakeholder-platform/]] |[[Health Information Management|https://cloudsecurityalliance.org/group/health-information-management/]] |
|[[Incident Management and Forensics|https://cloudsecurityalliance.org/group/incident-management-and-forensics/]] |[[Innovation|https://cloudsecurityalliance.org/group/innovation/]] |[[International Standardization Council|https://cloudsecurityalliance.org/isc/]] +++*[»] [img(350px,auto)[iCSA/WG-ISC.jpg]]=== |
|[[Internet of Things (IoT)|https://cloudsecurityalliance.org/group/internet-of-things/]] |[[Legal|https://cloudsecurityalliance.org/group/legal/]] |[[Mobile|https://cloudsecurityalliance.org/group/mobile/]] |
|[[Open API|https://cloudsecurityalliance.org/group/open-api/]] |[[Open Certification Framework (OCF)|https://cloudsecurityalliance.org/group/open-certification/]] |[[Privacy Level Agreement (PLA)|https://cloudsecurityalliance.org/group/privacy-level-agreement/]] |
|[[Quantum-safe Security (QSS)|https://cloudsecurityalliance.org/group/quantum-safe-security/]] |[[SaaS Governance|https://cloudsecurityalliance.org/group/saas-governance/]] |[[Security as a Service (SecaaS)|https://cloudsecurityalliance.org/group/security-as-a-service/]] |
|!→ [[Security Guidance|Groupe de Travail - Security Guidance]] +++*[»] [img(350px,auto)[iCSA/moving-domains.jpg][Groupe de Travail - Security Guidance]]=== |[[Software Defined Perimeter (SDP)|https://cloudsecurityalliance.org/group/software-defined-perimeter/]] |[[Telecom|https://cloudsecurityalliance.org/group/telecom/]] |
|!→ [[Top Threats|Groupe de Travail - Top Threats]] +++*[»] [img[iCSA/TopThreats_logo.png][Groupe de Travail - Top Threats]]=== |[[Virtualization|https://cloudsecurityalliance.org/group/virtualization/]] |
[img[iCSA/WG-CCM.jpg]]
La ''Cloud Controls Matrix'' ([[CCM]]) de la [[Cloud Security Alliance]] est spécialement conçue pour décliner les principes fondamentaux de sécurité afin de guider les fournisseurs d'énergie cloud et d'aider les clients potentiels à évaluer le risque global de sécurité de ces fournisseurs.
La [[CCM]] de la CSA fournit un cadre de contrôle qui permet une meilleure compréhension des concepts et des principes de sécurité qui sont alignés en 13 domaines sur les directives de la [[Cloud Security Alliance]].
Les fondements de la [[CCM]] reposent sur sa relation avec d'autres normes, règlements et cadres de contrôle de sécurité acceptés par l'industrie, tels que ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum et NERC CIP. Elle permet ainsi de fournir une orientation de contrôle interne pour les attestations de rapports de contrôle.
En tant que cadre, la ''Cloud Controls Matrix'' fournit la structure, les détails et la clarté nécessaires en matière de sécurité de l'information adaptée à l'industrie du Cloud Computing.
La [[CCM]] :
* met particulèrement l'accent sur les exigences de contrôle de la sécurité de l'information,
* réduit et identifie les menaces et les vulnérabilités liées au Cloud Computing,
* fournit une sécurité normalisée et une gestion du risque opérationnel,
* cherche à normaliser les attentes en matière de sécurité, la taxonomie et la terminologie du Cloud Computing, et les mesures de sécurité mises en œuvre.
__Liens :__
* Sur ce site, les différents articles et liens vers les publications +++*[Détails »]
<<tiddler CCM>> === 
* La page du groupe de travail ''Cloud Controls Matrix'' : https://cloudsecurityalliance.org/group/cloud-controls-matrix/
* La page de téléchargement de la ''Cloud Controls Matrix'' : https://cloudsecurityalliance.org/group/cloud-controls-matrix/#_downloads
* Le lien direct vers la version 3.0.1 de la ''Cloud Controls Matrix'' publiée le 03.10.2017 : [[CSA_CCM_v.3.0.1-09-01-2017_FINAL.xlsx|https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/]]
* Le lien direct vers la matrice inversée de la version 3.0.1 de la ''Cloud Controls Matrix'' publiée le 26.06.2018 : [[CSA_CCM_v.3.0.1-09-01-2017_FINAL.xlsx|https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/]]
* Le lien direct ver le document sur la méthodologie pour les équivalences de la ''Cloud Controls Matrix'' publiée le 9 juillet 2018 : [[Methodology for the Mapping of the Cloud Controls Matrix|https://cloudsecurityalliance.org/download/ccm-mapping-methodology/]]
[img(701px,auto)[iCSA/guidance-v4-header.jpg]]
Le document "Guide de sécurité pour les domaines critiques de l'informatique dans le Cloud Computing" (//Security Guidance for Critical Areas of Focus in Cloud Computing//) de la [[Cloud Security Alliance]] en est à quatrième version. Il a été conçu sur les versions précédentes (v1 et v2 en 2009, v3 en 2011), des actions de recherche spécifiques, la participation des membres de le Cloud Securitty Alliance, des groupes de travail et des experts de l'industrie au sein de notre communauté. Cette version intègre les avancées dans le Cloud, la sécurité et les technologies de support, réfléchit sur les pratiques réelles de sécurité dans le Cloud, intègre les derniers projets de recherche de la [[Cloud Security Alliance]] et offre des conseils pour les technologies connexes.
L'objectif de la quatrième version du guide ''Security Guidance for Critical Areas of Focus in Cloud Computing'' est à la fois de fournir des conseils et être source d'inspiration pour soutenir les objectifs métiers tout en gérant et en atténuant les risques associés à l'adoption de la technologie du Cloud Computing.
__Liens :__
* La page de présentation du document ''Security Guidance for Critical Areas of Focus in Cloud Computing''
** https://cloudsecurityalliance.org/group/security-guidance/
* La page de téléchargement du document ''Security Guidance for Critical Areas of Focus in Cloud Computing'' version 4 publié le 26.07.2017
** https://cloudsecurityalliance.org/download/security-guidance-v4/ (nécessite une inscription)
* Document "Security Guidance v4.0 ''Info Sheet''" du 26.07.''2017'' :
** https://cloudsecurityalliance.org/download/security-guidance-v4-info-sheet/
* Document "New Security Guidance for Early Adopters of the IoT" du 20.04.2015 :
** https://cloudsecurityalliance.org/download/new-security-guidance-for-early-adopters-of-the-iot/
* Document "Security Guidance for Critical Areas of Focus in Cloud Computing ''V3.0''" du 14.11.''2011'' :
** https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/
* Document "Security Guidance for Critical Areas of Focus in Cloud Computing ''V2.0''" du 02.12.''2009'' :
** https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v2-0/
* Document "Security Guidance for Critical Areas of Focus in Cloud Computing ''V1.0''" du 01.04.''2009'' :
** https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v1-0/
[img(701px,auto)[iCSA/moving-domains.jpg]]
[>img(160px,auto)[iCSA/TopThreats_logo.png]]
Le groupe de travail de la [[Cloud Security Alliance]] sur les principales menaces (//Top Threats//) a pour objet fournir la vision éclairée des experts des risques, des menaces et des vulnérabilités sur la sécurité dans le Cloud.
Il s'agit de permettre une bonne compréhension de cette problématique de sécurité afin de pouvoir prendre des décisions en toute connaissance de cause, en matière de gestion des risques et de stratégies d'adoption du Cloud Computing.
Le groupe de travail a déjà publié plusieurs documents. Le prochain devrait être publié mi 2019.
<<tiddler f1Tag2Tabs with: Threats>>
Liste des newsletters publiées en 2019 :<<forEachTiddler where 'tiddler.tags.containsAll(["News"])' sortBy 'tiddler.title.toUpperCase()' descending write '"# [["+tiddler.title+"]] \n"'>>
Liens vers des tableaux de l'état de services Cloud, et vers des listes d'outils disponibles sur GitHub ou sur d'autres sites, et ayant trait à la sécurité du cloud.
<<tabs tOutils 'Etat des Services Cloud' '' [[Outils##EtatServices]] 'GitHub' '' [[Outils##GitHub]] 'Sites de reference' '' [[Outils##Sites]] 'Autres' '' [[Outils##Autres]]>>
/%
!EtatServices
|!CSP|!Etat|![[DownDetector|https://downdetector.com/companies]]|![[Outage.report|https://outage.report/companies]]|
|!Amazon|http://status.aws.amazon.com/|[[aws-amazon-web-services|https://downdetector.com/status/aws-amazon-web-services]]||
|!Amazon Cloudwatch|[[cloudwatch|http://aws.amazon.com/cloudwatch/]]||
|!Azure|https://azure.microsoft.com/fr-fr/status/|[[windows-azure|https://downdetector.com/status/windows-azure/]]||
|↪ historique|https://azure.microsoft.com/en-us/status/history/|[[windows-azure/archive|https://downdetector.com/status/windows-azure/archive/]]||
|!Basecamp|https://status.basecamp.com/|||
|!BitBucket.com|http://status.bitbucket.org/|[[bitbucket|https://downdetector.com/status/bitbucket]]||
|!Box|http://status.box.com/|[[box|https://downdetector.com/status/box]]|[[box|https://outage.report/box]]|
|!Facebook|https://developers.facebook.com/status/|[[facebook|https://downdetector.com/status/facebook]]|[[facebook|https://outage.report/facebook]]|
|!GitHub|https://status.github.com/|[[github|https://downdetector.com/status/github]]||
|!Google|http://www.google.com/appsstatus#hl=fr&v=status|[[google-cloud|https://downdetector.com/status/google-cloud]]||
|!iCloud||[[icloud|https://downdetector.com/status/icloud]]||
|!Office365|http://status.office365.com/|[[office-365|https://downdetector.com/status/office-365]]||
|!OneDrive|https://downdetector.com/status/onedrive|[[onedrive|https://downdetector.com/status/onedrive]]||
|!Outlook||[[outlook|https://downdetector.com/status/outlook]]|[[outlook|https://outage.report/outlook]]|
|!Outscale|https://status.outscale.com/|||
|!OVH|https://www.ovh.com/fr/community/status/||[[ovh|https://outage.report/ovh]]|
|!Rackspace|https://status.rackspace.com/|[[rackspace|https://downdetector.com/status/rackspace]]||
|!Salesforce|http://trust.salesforce.com/trust/status/|[[salesforcecom|https://downdetector.com/status/salesforcecom]]|[[salesforcecom|https://outage.report/salesforcecom]]|
|!Sharepoint Online||[[sharepoint|https://downdetector.com/status/sharepoint]]|
|!Slack|https://status.slack.com/|[[slack|https://downdetector.com/status/slack]]|[[slack|https://outage.report/slack]]|
|!Slack|https://status.slack.com/|[[slack|https://downdetector.com/status/slack]]|[[slack|https://outage.report/slack]]|
|!Slack|https://status.slack.com/|[[slack|https://downdetector.com/status/slack]]|[[slack|https://outage.report/slack]]|
|!Slack|https://status.slack.com/|[[slack|https://downdetector.com/status/slack]]|[[slack|https://outage.report/slack]]|
|!Slack|https://status.slack.com/|[[slack|https://downdetector.com/status/slack]]|[[slack|https://outage.report/slack]]|
|>|!|
|>|Tableaux de bords consolidés|
|!Cloud Harmony|https://cloudharmony.com/status|||
!GitHub
|>|>|!@@color:#f00;font-size:125%;Cette liste est fournie à titre INFORMATIF, INDICATIF et à des fins de SENSIBILISATION. 
Les outils en faisant partie ne sont NI avalisés, NI recommandés, NI conseillés par les auteurs de cet article, qui se DÉGAGENT de TOUTE RESPONSABILITÉ quant au téléchargement et l'utilisation de ces outils.@@|~| |>|>|!Listes d'outils sécurité non commerciaux et disponibles sur GitHub| |[[Aardvark|https://github.com/Netflix-Skunkworks/aardvark]]|Netflix|Multi-account AWS IAM Access Advisor API | |[[AWSBucketDump|https://github.com/jordanpotti/AWSBucketDump/]]|jordanpotti|Security Tool to Look For Interesting Files in S3 Buckets | |[[aws-inventory|https://github.com/nccgroup/aws-inventory]]|NCC Group|Discover resources created in an AWS account| |[[AWS-recipes|https://github.com/nccgroup/AWS-recipes]]|NCC Group|A number of Recipes for AWS | |[[azucar|https://github.com/nccgroup/azucar]]|NCC Group|Security auditing tool for Azure environments| |[[Bucket Sstream|https://github.com/eth0izzle/bucket-stream]]|eth0izzle|Find interesting Amazon S3 Buckets by watching certificate transparency logs| |[[Chaos Monkey|https://github.com/Netflix/chaosmonkey]]|Netflix|Resiliency tool that helps applications tolerate random instance failures.| |[[Cloud Inquisitor|https://github.com/RiotGames/cloud-inquisitor]]|RiotGames|Enforce ownership and data security within AWS| |[[Cloud Security Suite|https://github.com/SecurityFTW/cs-suite]]|SecurityFTW|Tool for Auditing AWS & GCP Infrastructure| |[[cloudgoat|https://github.com/RhinoSecurityLabs/cloudgoat]]|RhinoSecurity|A "''Vulnerable'' by Design" AWS infrastructure setup tool| |![[cloud-mapper|https://github.com/duo-labs/cloudmapper]]|Duo Labs|Tool for analyzing environments| |[[CloudSploit scans|https://github.com/cloudsploit/scans]]|CloudSploit|AWS security scanning checks| |![[cloudtracker|https://github.com/duo-labs/cloudtracker]]|Duo Labs|Tool for finding over-privileged IAM users and roles by comparing CloudTrail logs with current IAM policies| |[[ConMachi|https://github.com/nccgroup/ConMachi]]|NCC Group|Container Blackbox Security Auditing Tool: enumerates security configuration from within the target container| |[[Cuckoo-AWS|https://github.com/CheckPointSW/Cuckoo-AWS]]|Checkpoint|Extension to Cuckoo Sandbox project which adds support to AWS and enables running emulations on auto-scaling infrastructure| |[[dvca|https://github.com/m6a-UdS/dvca]]|//m6a-UdS//|Damn ''Vulnerable'' Cloud Application| |[[DVSA|https://github.com/OWASP/DVSA]]|OWASP|Damn ''Vulnerable'' Serverless Application| |[[Edda|https://github.com/Netflix/edda]]|Netflix|Service to track changes in your cloud| |[[Falco|https://github.com/falcosecurity/falco]]|FalcoSecurity|Container Native Runtime Security| |[[GCPBucketBrute|https://github.com/RhinoSecurityLabs/GCPBucketBrute]]|RhinoSecurity|Script to enumerate Google Storage buckets, determine what access you have to them, and determine if they can be privilege escalated| |[[G-Scout|https://github.com/nccgroup/G-Scout]]|NCC Group|Google Cloud Platform Security Tool | |[[Gorsair|https://github.com/Ullaakut/Gorsair]]|Ullaakut|Tool to remotely access the exposed Docker API of vulnerable Docker containers| |[[GRR|https://github.com/google/grr]]|Google|GRR Rapid Response is an incident response framework focused on remote live forensics| |[[Key Inspector|https://github.com/kromtech/key-inspector]]|Kromtech|Fast and easy to use tool that allows to check your AWS and SSH Keys for encryption and file permissions settings| |[[kube-auto-analyzer|https://github.com/nccgroup/kube-auto-analyzer]]|NCC Group|Kubernetes Auto Analyzer| |[[kube-bench|https://github.com/aquasecurity/kube-bench]]|AquaSecurity|Checks whether Kubernetes is deployed according to security best practices| |[[kube-hunter|https://github.com/aquasecurity/kube-hunter]]|AquaSecurity|Hunt for security weaknesses in Kubernetes clusters| |[[nimbostratus|https://github.com/andresriancho/nimbostratus]]|Andres Riancho|Tools for fingerprinting and exploiting Amazon cloud infrastructures | |[[nimbostratus-target|https://github.com/andresriancho/nimbostratus-target]]|Andres Riancho|A target infrastructure you can use for running the nimbostratus tools| |[[Pacu|https://github.com/RhinoSecurityLabs/pacu]]|RhinoSecurity|The AWS Exploitation Framework, Designed For Testing The Security Of Amazon Web Services Environments| |[[PandorasBox|https://github.com/adversis/PandorasBox]]|Adversis|Quick audit of Public Box files and folders| |[[PMapper|https://github.com/nccgroup/PMapper]]|NCC Group|A tool for quickly evaluating IAM permissions in AWS| |![[Prowler|https://github.com/toniblyx/prowler]]|toniblyx|AWS Security Best Practices Assessment, Auditing, Hardening and Forensics Readiness Tool| |[[Repokid|https://github.com/Netflix/Repokid]]|Netflix|AWS Least Privilege for Distributed, High-Velocity Deployment| |[[s3-Inspector|https://github.com/kromtech/s3-inspector]]|Kromtech|Tool to check AWS S3 bucket permissions| |[[S3Scanner|https://github.com/sa7mon/S3Scanner]]|sa7mon|A tool to find open S3 buckets and dump their contents| |[[Scout2|https://github.com/nccgroup/Scout2]]|NCC Group|Security auditing tool for AWS environments| |[[Security Monkey|https://github.com/Netflix/security_monkey]]|Netflix|Monitors AWS, GCP, OpenStack, and GitHub orgs for assets and their changes over time| |[[Serverless-Goat|https://github.com/OWASP/Serverless-Goat]]|OWASP|A ''vulnerable'' serverless application demonstrating common serverless security flaws| |[[Simian Army|https://github.com/Netflix/SimianArmy]]|Netflix|Resiliency tool that helps applications tolerate random instance failures| |[[Sysdig|https://github.com/draios/sysdig]]|draios|Linux system exploration and troubleshooting tool with first class support for containers| |[[Sysdig Inspect|https://github.com/draios/sysdig-inspect]]|draios|A powerful opensource interface for container troubleshooting and security investigation| |[[Teh S3 Bucketeers|https://github.com/tomdev/teh_s3_bucketeers/]]|tomdev|S3 Buckets enumeration| |[[Turbinia|https://github.com/google/turbinia]]|Google|Automation and Scaling of Digital Forensics Tools in the Cloud| |[[xendbg|https://github.com/nccgroup/xendbg]]|NCC Group|A feature-complete reference implementation of a modern Xen VMI debugger| |[[Zeus|https://github.com/DenizParlak/Zeus]]|DenizParlak|AWS Auditing & Hardening Tool| |>|>|!@@color:#f00;font-size:125%;Cette liste est fournie à titre INFORMATIF, INDICATIF et à des fins de SENSIBILISATION.
Les outils en faisant partie ne sont NI avalisés, NI recommandés, NI conseillés par les auteurs de cet article, qui se DÉGAGENT de TOUTE RESPONSABILITÉ quant au téléchargement et l'utilisation de ces outils.@@|~| !Sites |>|!Listes de sites de références| |>|!@@color:#f00;font-size:125%;Cette liste est fournie à titre INFORMATIF, INDICATIF et à des fins de SENSIBILISATION.
Les sites qui y sont mentionnés ne sont NI avalisés, NI recommandés, NI conseillés par les auteurs de cet article, qui se DÉGAGENT de TOUTE RESPONSABILITÉ quant à la consultation ou l'usage de ces sites.@@|~| |>|!Kubernetes| |[[OperatorHub|https://www.operatorhub.io/]]|Home for the Kubernetes community to share Operators| |>|!@@color:#f00;font-size:125%;Cette liste est fournie à titre INFORMATIF, INDICATIF et à des fins de SENSIBILISATION.
Les sites qui y sont mentionnés ne sont NI avalisés, NI recommandés, NI conseillés par les auteurs de cet article, qui se DÉGAGENT de TOUTE RESPONSABILITÉ quant à la consultation ou l'usage de ces sites.@@|~| !Autres |>|>|!@@color:#f00;font-size:125%;Cette liste est fournie à titre INFORMATIF, INDICATIF et à des fins de SENSIBILISATION.
Les outils en faisant partie ne sont NI avalisés, NI recommandés, NI conseillés par les auteurs de cet article, qui se DÉGAGENT de TOUTE RESPONSABILITÉ quant au téléchargement et l'utilisation de ces outils.@@|~| |>|>|!Listes de __challenges__ de sécurité liés au Cloud ou d'environnement de tests volontairement __vulnérables__| |![[cloudgoat|https://github.com/RhinoSecurityLabs/cloudgoat]]|RhinoSecurity|A "''Vulnerable'' by Design" AWS infrastructure setup tool| |[[dvca|https://github.com/m6a-UdS/dvca]]|//m6a-UdS//|Damn ''Vulnerable'' Cloud Application| |[[DVSA|https://github.com/OWASP/DVSA]]|OWASP|Damn ''Vulnerable'' Serverless Application| |![[Flaws|https://summitroute.com/blog/2017/02/26/flaws_challenge/]]|Scott Piper|The first [[flaws.cloud|http://flaws.cloud/]] challenge (with hints)| |![[Flaws2|https://summitroute.com/blog/2017/02/26/flaws_challenge/]]|Scott Piper|The second [[flaws2.cloud|http://flaws2.cloud/]] challenge (Attacker and Defender profiles)| |[[Serverless-Goat|https://github.com/OWASP/Serverless-Goat]]|OWASP|A ''vulnerable'' serverless application demonstrating common serverless security flaws| |>|>|!Listes d'autres outils de sécurité non commerciaux| |[[Bucket Finder|https://digi.ninja/files/bucket_finder_1.1.tar.bz2]]|Diji.Ninja|Simple tool which requires a wordlist to go off and check each word to see if that bucket name exists in the Amazon's S3 system.| |>|>|!@@color:#f00;font-size:125%;Cette liste est fournie à titre INFORMATIF, INDICATIF et à des fins de SENSIBILISATION.
Les outils en faisant partie ne sont NI avalisés, NI recommandés, NI conseillés par les auteurs de cet article, qui se DÉGAGENT de TOUTE RESPONSABILITÉ quant au téléchargement et l'utilisation de ces outils.@@|~| !end %/
<<forEachTiddler where 'tiddler.tags.containsAll(["_PublM"])' sortBy 'tiddler.title.toUpperCase()' descending write '" [["+tiddler.title+"]] \"view ["+tiddler.title+"]\" [["+tiddler.title+"]] "' begin '"<<tabs tAutoTab \'Documents\' \'\' \'Documents\' \'Groupes de Travail\' \'\' \'Groupes de Travail\' "' end '">"+">"' none '"////"'>><<tiddler .ReplaceTiddlerTitle with: Publications>>
<<tiddler .ReplaceTiddlerTitle with: [[Publications - Mars 2019]]>><<tiddler f2Tag2Tabs with: Publ 201903>>
<<tiddler .ReplaceTiddlerTitle with: [[Publications - Février 2019]]>><<tiddler f2Tag2Tabs with: Publ 201902>>
<<tiddler .ReplaceTiddlerTitle with: [[Publications - Janvier 2019]]>><<tiddler f2Tag2Tabs with: Publ 201901>>
<<tiddler .ReplaceTiddlerTitle with: [[Publications par thèmes]]>><<tabs tPubl 'Cloud Controls Matrix' 'Cloud Controls Matrix' 'Publications - Cloud Controls Matrix' 'Blockchain' 'Blockchain' 'Publications - Blockchain' 'IoT' 'IoT' 'Publications - IoT' 'Santé' 'Santé' 'Publications - Santé' 'Menaces' 'Menaces' 'Publications - Menaces' 'Cryptographie' 'Cryptographie' 'Publications - Cryptographie' 'RGPD' 'RGPD' 'Publications - RGPD' 'Incidents' 'Incidents' 'Publications - Incidents' 'Panorama' 'Panorama de la Sécurité' 'Publications - Panorama' 'ERP' 'ERP' 'Publications - ERP' >>
!"Using Blockchain Technology to Secure the Internet of Things"
Publication du 13 février 2018
Lien : https://cloudsecurityalliance.org/download/using-blockchain-technology-to-secure-the-internet-of-things/ 
[img(150px,auto)[iCSA/Using_BlockChain_Technology_to_Secure_the_Internet_of_Things.png][https://cloudsecurityalliance.org/download/a-day-without-safe-cryptography/]] 
[img(200px,1px)[i/BluePixel.gif]]
!"Blockchain/Distributed Ledger Working Group Glossary"
Publication du 15 décembre 2017
Lien : https://cloudsecurityalliance.org/download/blockchaindistributed-ledger-working-group-glossary/
[img(150px,auto)[iCSA/blockchain-distributed-ledger-glossary.png][https://cloudsecurityalliance.org/download/blockchaindistributed-ledger-working-group-glossary/]]
<<tiddler .ReplaceTiddlerTitle with: [[Publications - Blockchain]]>>
Publications de la [[Cloud Security Alliance]] qui concernent la [[Cloud Controls Matrix]].
[img(400px,1px)[i/BluePixel.gif]]<<tiddler f2Tag2Tabs with: CCM Publ>><<tiddler .ReplaceTiddlerTitle with: [[Publications - Cloud Controls Matrix (CCM)]]>>
Publications de la [[Cloud Security Alliance]] qui concernent la [[Cryptographie]].
<<tiddler Cryptographie>><<tiddler .ReplaceTiddlerTitle with: [[Publications - Cryptographie]]>>
Les publications de la [[Cloud Security Alliance]] qui concernent les [[ERP]].
[img(400px,1px)[i/BluePixel.gif]]<<tiddler f2Tag2Tabs with: ERP Publ>><<tiddler .ReplaceTiddlerTitle with: [[Publications - ERP]]>>
!"Best Practices for Cyber Incident Exchange"
|!16 avril 2018|!Lien : https://cloudsecurityalliance.org/download/best-practices-for-cyber-incident-exchange/ |
|[img(150px,auto)[iCSA/Cloud-CISC-1.png][ https://cloudsecurityalliance.org/download/best-practices-for-cyber-incident-exchange/]] |<<tiddler [[2018.04.16 - Best Practices Cyber Incident Exchange]]>> |
<<tiddler .ReplaceTiddlerTitle with: [[Publications - Incidents de Sécurité]]>>
Les publications de la [[Cloud Security Alliance]] qui concernent l'[[IoT]].
[img(400px,1px)[i/BluePixel.gif]]<<tiddler f2Tag2Tabs with: IoT Publ>><<tiddler .ReplaceTiddlerTitle with: [[Publications - Internet des Objets et Objects Connectés]]>>
Publications de la [[Cloud Security Alliance]] qui concernent l domainemédical et de la santé.
[img(400px,1px)[i/BluePixel.gif]]<<tiddler f2Tag2Tabs with: Medical Publ>><<tiddler .ReplaceTiddlerTitle with: [[Publications - Médical et Santé]]>>
Les publications de la [[Cloud Security Alliance]] qui concernent les [[Menaces]].
[img(400px,1px)[i/BluePixel.gif]]<<tiddler f2Tag2Tabs with: Threats Publ>><<tiddler .ReplaceTiddlerTitle with: [[Publications - Menaces]]>>
Les publications de la [[Cloud Security Alliance]] qui dressent un [[Panorama]] ou un bilan de la sécurité du Cloud Computing.
[img(400px,1px)[i/BluePixel.gif]]<<tiddler f2Tag2Tabs with: Pano Publ>><<tiddler .ReplaceTiddlerTitle with: [[Publications - Panorama]]>>
!"GDPR Preparation and Awareness Survey Report"
Publication du 17 avril 2018
Lien : https://cloudsecurityalliance.org/download/gdpr-preparation-and-awareness-survey-report/ 
[img(150px,auto)[iCSA/GDPR_Prep-232x300.png][https://cloudsecurityalliance.org/download/gdpr-preparation-and-awareness-survey-report/]]
<<tiddler .ReplaceTiddlerTitle with: [[Publications - GDPR]]>>
!"State of Cloud Security Report" 2018
|!16 avril 2018 |!Lien : https://cloudsecurityalliance.org/download/state-of-cloud-report/ |
|[img(150px,auto)[iCSA/State_of_Cloud-2018.png][https://cloudsecurityalliance.org/download/state-of-cloud-report/]]|<<tiddler [[2018.04.16 - State of Cloud Security Report 2018]]>>|
!"State of Cloud Security Report" 2016
|!27 février 2016 |!Lien : https://cloudsecurityalliance.org/download/state-of-cloud-security-2016 |
|[img(150px,auto)[iCSA/CSA-StateCloud2016.jpg][https://cloudsecurityalliance.org/download/state-of-cloud-security-2016/]]|<<tiddler [[2016.02.27 - State of Cloud Security Report 2016]]>>|
/%
downloads.cloudsecurityalliance.org__assets__board__CSA-GEAB-State-of-Cloud-Security-2016.pdf
%/<<tiddler .ReplaceTiddlerTitle with: [[Publications - Situation]]>>
<<tiddler f1Tag2Tabs with: _ActuM>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Mars 2019]]>><<tiddler f2Tag2Tabs with: Actu 201903>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Février 2019]]>><<tiddler f2Tag2Tabs with: Actu 201902>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Janvier 2019]]>><<tiddler f2Tag2Tabs with: Actu 201901>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Décembre 2018]]>><<tiddler f2Tag2Tabs with: Actu 201812>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Octobre 2018]]>><<tiddler f2Tag2Tabs with: Actu 201810>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Septembre 2018]]>><<tiddler f2Tag2Tabs with: Actu 201809>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Août 2018]]>><<tiddler f2Tag2Tabs with: Actu 201808>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Juillet 2018]]>><<tiddler f2Tag2Tabs with: Actu 201807>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Mars 2018]]>><<tiddler f2Tag2Tabs with: Actu 201803>>
<<tiddler .ReplaceTiddlerTitle with: [[Actualités - Janvier 2018]]>><<tiddler f2Tag2Tabs with: Actu 201801>>
<<tiddler f1Tag2Tabs with: _BlogM>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Mars 2019]]>><<tiddler f2Tag2Tabs with: Blog 201903>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Février 2019]]>><<tiddler f2Tag2Tabs with: Blog 201902>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Janvier 2019]]>><<tiddler f2Tag2Tabs with: Blog 201901>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Année 2018]]>><<tiddler f1Tag2Tabs with: _Blog18>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Décembre 2018]]>><<tiddler f2Tag2Tabs with: Blog 201812>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Novembre 2018]]>><<tiddler f2Tag2Tabs with: Blog 201811>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Octobre 2018]]>><<tiddler f2Tag2Tabs with: Blog 201810>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Septembre 2018]]>><<tiddler f2Tag2Tabs with: Blog 201809>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Août 2018]]>><<tiddler f2Tag2Tabs with: Blog 201808>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Juillet 2018]]>><<tiddler f2Tag2Tabs with: Blog 201807>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Juin 2018]]>><<tiddler f2Tag2Tabs with: Blog 201806>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Mai 2018]]>><<tiddler f2Tag2Tabs with: Blog 201805>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Avril 2018]]>><<tiddler f2Tag2Tabs with: Blog 201804>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Mars 2018]]>><<tiddler f2Tag2Tabs with: Blog 201803>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Février 2018]]>>
!"//Saturday Security Spotlight: Malware, AWS, and US Defense//"
[>img(150px,auto)[iCSA/Businessman-holding-a-newspaper-while-having-breakfast-in-hi.jpg]]^^Bien que publié le 26 février 2019 sur le blog de la CSA, cet article l'a déjà été le 17 février 2018 sur le site de la société Bitglass.
<<<
__''Plein feu dominical sur la sécurité : Malware, AWS, et le Ministère de la Défense américain''__
Voici les principaux articles sur la cybersécurité de ces dernières semaines:
* le logiciel malveillant AndroRAT espionne les utilisateurs Android
* les Smart TV facilement piratables
* l'outil BuckHacker trouve des données non sécurisées dans les //buckets// AWS
* la divulgation de données de Octoly expose les données personnelles de stars des médias sociaux
* Les pirates russes ciblent les sous-traitants du Ministère de la Défense américain.
__le logiciel malveillant AndroRAT espionne les utilisateurs Android__
Un nouveau type de logiciel malveillant ciblant les périphériques Android donne aux pirates informatiques un contrôle étendu sur les téléphones des utilisateurs. La menace permet aux malveillants d'utiliser les microphones des appareils (pour enregistrer de l'audio), les caméras (pour prendre des photos) et les fichiers (pour voler de l'information). Cela pose bien évidemment un grand problème de confidentialité pour tous les utilisateurs d'Android du monde.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/26/saturday-security-spotlight-malware-aws-us-defense/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/sss-malware-aws-us-defense]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Unmanaged Device Controls, External Sharing, and Other Real CASB Use Cases//"
[>img(150px,auto)[iCSA/hands-coffee-smartphone-technology-300x200.jpg]]^^Bien que publié le 23 février 2019 sur le blog de la CSA, cet article l'a déjà été le 12 février 2018 sur le site de la société Bitglass.
<<<
__''Contrôles de périphériques non gérés, partage externe et autres cas d'utilisation réels du CASB''__
Beaucoup de gens dans l'industrie de la sécurité ont entendu parler des CASB (//Cloud Access Security Brokers// ou courtiers en sécurité d'accès au nuage) comme étant les solutions de référence pour la protection des données et des menaces dans le Cloud. Mais où les CASB s'intègrent ils exactement ? Si vous possédez déjà un pare-feu NGFW (//Next Generation FireWall// : Pare-Feu de Nouvelle Génération) ou peut-être une solution de type passerelle Web sécurisée, pourquoi investir dans le déploiement d'un CASB?
Ci-dessous, nous vous présentons trois des cas d'utilisation les plus courants dans le monde réel pour un courtier en sécurité d'accès au Cloud.
__Partage externe__
La plupart des applications cloud ont une forme de contrôle de partage externe intégré. Peut-être un administrateur peut-il révoquer l'accès à certains documents, définir des permissions granulaires dans toute l'organisation ou bloquer le partage dans son ensemble.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/23/unmanaged-device-controls-external-sharing-real-casb-use-cases/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/real-world-casb-use-cases]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//A Home for CASB//"
[>img(150px,auto)[iCSA/A-home-for-CASB-300x161.png]]^^Bien que publié le 21 février 2019 sur le blog de la CSA, cet article l'a déjà été le 2 février 2018 sur le site de la société Cedrus
<<<
__''Un positionnement organisationnel pour les CASB''__
Au cours des 18 derniers mois, j'ai travaillé sur le CASB sous une forme ou une autre, y compris:
* des vidéos architecturales et techniques éducatives
* des demandes d'assistance pour une demande de proposition (RFP : //Request for Proposal//)
* des présentations avant-vente et des démos
* des maquettes et des Preuve des Concepts (PoC : //Proof Of Concept//)
* des mises en œuvre
* des opération de construction er des transitions
J'ai découvert des choses intéressantes en travaillant avec des fournisseurs, des clients et notre propre personnel technique de sécurité au sein de la société Cedrus. L'une d'entre elles concerne le modèle de propriété. Il n' y a pas de cartographie avec relations bi-directionnelles lorsque vous comparez les fonctionnalités de la solution CASB aux structures des organisations qui les déploient. Il semble qu'il y ait un manque de placement organisationnel, un foyer permanent lorsqu'il s'agit du CASB.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/21/a-home-for-casb/]] sur le blog de la CSA ou [[l'original|https://cedrus.digital/a-home-for-casb/]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Malware P.I. – Odds Are You’re Infected//"
[>img(150px,auto)[iCSA/br-malware-pi-thumb-300x232.png]]^^Bien que publié le 19 février 2019 sur le blog de la CSA, cet article l'a déjà été le 7 février 2018 sur le site de la société Bitglass.
<<<
In Bitglass’ latest report, Malware P.I., the Next-Gen CASB company uncovered startling information about the rate of malware infection amongst organizations. Additionally, experiments with a new piece of zero-day malware yielded shocking results. Here is a glimpse at some of the outcomes.
Nearly half of organizations have malware in one of their cloud apps
While the cloud endows organizations with great flexibility, efficiency, and collaboration, cloud apps and personal devices accessing corporate data can inadvertantly house and spread malware. However, this does not mean that operating in the cloud is inherently more dangerous than the traditional way of doing things.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/19/malware-p-odds-youre-infected/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/malware-pi-odds-are-youre-infected]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Agentless Mobile Security: No More Tradeoffs//"
[>img(150px,auto)[iCSA/Triangle-300x173.png]]^^Bien que publié le 15 février 2019 sur le blog de la CSA, cet article l'a déjà été le 27 janvier 2018 sur le site de la société Bitglass.
<<<
Have you ever seen a “Pick two out of three” diagram? They present three concepts and force individuals to select the one that they see as the least important. The tradeoffs between convenience, privacy, and security serve as a perfect example of a “Pick two” situation for many mobile security solutions. 
Industries have seen massive growth in the number of personal devices that touch sensitive information, resulting in a need to secure data as it is accessed by these endpoints. Various solutions have been adopted by many companies, but all tend to fall into the classic “Pick two” scenario. 
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/15/agentless-mobile-security-no-tradeoffs/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/agentless-mobile-security-no-more-tradeoffs]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Saturday Security Spotlight: Military, Apps, and Threats//"
[>img(150px,auto)[iCSA/Businessman-holding-a-newspaper-while-having-breakfast-in-hi.jpg]]^^Bien que publié le 12 février 2019 sur le blog de la CSA, cet article l'a déjà été le 3 février 2018 sur le site de la société Bitglass.
<<<
Here are the top cybersecurity stories of recent weeks:
* Fitness app exposes military bases
* Soldiers’ names revealed by app
* Google Play filled with fake apps
* Medical devices easily hacked
* The internet of things creates risk for the enterprise
Fitness app exposes military bases
Strava, the creators of a fitness tracking app, released heatmaps of its users’ movements. Unfortunately, this revealed the inner workings of military bases abroad by highlighting the movements of soldiers who use said app within their bases. Naturally, making this information publicly available raises questions of privacy and national security.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/12/saturday-security-spotlight-military-apps-threats/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/sss-military-apps-threats]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//Why Next-Gen Firewalls Can’t Replace CASBs//"
[>img(150px,auto)[iCSA/Server-hallway-in-the-sky-300x200.jpg]]^^Bien que publié le 7 février 2019 sur le blog de la CSA, cet article l'a déjà été le 1er février 2018 sur le site de la société Bitglass.
<<<
A security solution is only as good as the data it protects. Some solutions focus on data protection on the corporate network, others focus entirely on cloud data, and a select few enable security at access from any network.
Next-gen firewalls (NGFWs) are the traditional solution for many organizations looking to secure their corporate networks. They are effective at what they do, securing corporate network traffic by routing everything through on-premises appliances. As corporate data begins moving outside the corporate network, as it does with cloud and mobile, the NGFW can no longer provide protection.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/07/next-gen-firewalls-cant-replace-casbs/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/why-ngfws-cant-replace-casbs]].^^
[img(200px,1px)[i/BluePixel.gif]]
!"//EMV Chip Cards Are Working – That’s Good and Bad//"
[>img(150px,auto)[iCSA/emv-casb-300x134.jpg]]^^Bien que publié le 2 février 2019 sur le blog de la CSA, cet article l'a déjà été le 23 janvier 2018 sur le site de la société Bitglass.
<<<
For many years, credit card companies and retailers ruled the news headlines as victims of breaches. Why? Hackers’ profit motives lead them to credit card numbers as the quickest path to monetization. Appropriate data in hand and a working counterfeit card could be cranked out in seconds and used to purchase a laptop or TV at the local Walmart -- easy to fence in the local black market.
Sick of being the target, the payment card industry got smart about fraud detection, created a set of regulatory compliance requirements (PCI-DSS) and perhaps even more importantly, rolled out EMV “chip-and-pin” technologies, which are meant to reduce counterfeit card fraud by presenting a unique cryptographic code for each transaction -- much more difficult to duplicate than the static information embedded in the magnetic stripe of older cards.
<<<
&rArr; Lire [[la suite|https://blog.cloudsecurityalliance.org/2018/02/02/emv-chip-cards-working-thats-good-bad/]] sur le blog de la CSA ou [[l'original|https://www.bitglass.com/blog/emv-credit-card-security-casb]].^^
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Janvier 2018]]>>Aucun article n'est repris sur ce site pour le moment.
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Année 2017]]>>Seuls quelques articles ont été repris sur ce site pour le moment.
<<tiddler f2Tag2Tabs with: Blog 201712>>
<<tiddler .ReplaceTiddlerTitle with: [[Blog - Année 2016]]>>Aucun article n'est[[ |.]]repris sur ce site pour le moment.
Consultez directement le blog sur le site original : https://blog.cloudsecurityalliance.org/ ou sur le flux RSS https://blog.cloudsecurityalliance.org/feed/ 
Vous pouvez aussi consulter plusieurs autres sites de référence qui traitent de la sécurité du Cloud Computing. Vous en trouverez ci-dessous une liste ''non exhaustive''.
<<tabs tRéf 'ANSSI' '' [[Références##ANSSI]] 'CIS' '' [[Références##CIS]] 'ENISA' '' [[Références##ENISA]] 'Horizon 2020' '' [[Références##Horizon2020]] 'ISO' '' [[Références##ISO]] 'NIST' '' [[Références##NIST]] 'OWASP' '' [[Références##OWASP]] 'PCIDSS' '' [[Références##PCIDSS]] 'Podcasts' '' [[Références##Podcasts]] >>
/%
!ANSSI
<<tiddler Références-ANSSI>>
!CIS
<<tiddler Références-CIS>>
!ENISA
<<tiddler Références-ENISA>>
!Horizon2020
<<tiddler Références-Horizon2020>>
!ISO
<<tiddler Références-ISO>>
!NIST
<<tiddler Références-NIST>>
!OWASP
<<tiddler Références-OWASP>>
!PCIDSS
<<tiddler Références-PCIDSS>>
!Podcasts
<<tiddler Références-Podcasts>>
!end
%/
!ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information
[>img(auto,100px)[i/ANSSI.gif]]L’ANSSI a publié en 3 étapes (mentionnées par ordre chronologique inverse ci-dessous) un référentiel d’exigences applicables aux prestataires de services d’informatique en nuage (''SecNumCloud'') :

# __22 juin 2018 : "//''SecNumCloud évolue et passe à l’heure du RGPD''//"__
** Les nouvelles exigences en matière de protection des données à caractère personnel, suite à l’entrée en vigueur du RGPD, sont maintenant intégrées dans le référentiel
** Lien vers l'annonce [[sur le site de l'ANSSI|https://www.ssi.gouv.fr/actualite/secnumcloud-evolue-et-passe-a-lheure-du-rgpd/]]
** Lien vers le référentiel version 3.1 [[sur le site de l'ANSSI|https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.1_anssi.pdf]] 
  # __12 décembre 2016 : "//''SecNumCloud — La nouvelle référence pour les prestataires d’informatique en nuage de confiance''//"__ ** Le référentiel d’exigences évolue vers deux documents : *** un référentiel d'exigences du niveau « ''Essentiel'' » (anciennement ''Secure Cloud'') publié en français et en anglais, en version 3.0 et qui est daté du 8 décembre 2016. *** un référentiel d'exigences qui est censé être publié ultérieurement (sic) et contenant les exigences du niveau « ''Avancé'' » (anciennement ''Secure Cloud Plus'') ** Lien vers l'annonce [[sur le site de l'ANSSI|https://www.ssi.gouv.fr/actualite/secnumcloud-la-nouvelle-reference-pour-les-prestataires-dinformatique-en-nuage-de-confiance/]] /% référentiel version 3.0 : maintenant inaccessible www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.0_niveau_essentiel.pdf www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_synthese_niveau_essentiel.pdf %/
  # __en septembre 2014 : "//''Appel Public à Commentaires sur le Référentiel d'Exigences Applicables aux Prestataires de Services Sécurisés d'Informatique en Nuage''//".__ ** Une première version du référentiel (version 1.3 datée du 30.07.2014) a été mise en ligne dans le cadre d’un appel public à commentaires. Les observations, commentaires et propositions devaient être transmis pour le 3 novembre 2014. /% www.ssi.gouv.fr/actualite/appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-de-services-securises-dinformatique-en-nuage/ %/ [img(400px,4px)[i/BluePixel.gif]] La page de référence pour les "Prestataires de service d’informatique en nuage (SecNumCloud)" est accessible [[sur le site de l'ANSSI|https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/]]. Les "Prestataires de service d’informatique en nuage qualifiés" sont intégrés dans la "List des Produits et Services Qualifiés" * → https://www.ssi.gouv.fr/liste-produits-et-services-qualifies (pdf) En revanche, les "Prestataires de service d’informatique en nuage en cours de qualification" sont diretement indiqués sur [[sur le site de l'ANSSI|https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/]]. [img(400px,4px)[i/BluePixel.gif]]
!CIS : Center for Internet Security
[>img(300px,auto)[i/CIS.png]]Le CIS^^®^^ est le "Center for Internet Security, Inc.
Le CIS est une entité à but non lucratif s'appuyant sur la communauté informatique pour protéger les organisations privées et publiques contre les cybermenaces.
Plusieurs publications récententes concernent la thématique "Cloud et Sécurité".
[img(400px,1px)[i/BluePixel.gif]]
<<tabs tCIS 'Présentation' '' [[Références-CIS##CIS_Pres]] 'Annonces' '' [[Références-CIS##CIS_Ann]] 'Publications' '' [[Références-CIS##CIS_Publ]]>>
/%
!CIS_Pres
Le CIS développe deux standards reconnus en matières de bonnes pratiques :
* [img(100px,auto)[i/CIS_Controls.jpg]] le "CIS Controls™"
* [img(120px,auto)[i/CIS_Benchmarks.png]] le "CIS Benchmarks™"
Ces directives sont affinées au fur et à mesure, et sont vérifiées par les "CIS Communities", des communautés de professionnels expérimentés et bénévoles.
Le CIS propose aussi, sur abonnement, le "CIS Hardened Images™" qui sont des machines virtuelles préconfigurées pour fournir des environnements informatiques sécurisés, à la demande et évolutifs dans le cloud.
Le CIS héberge également le Multi-State Information Sharing and Analysis Center® (MS-ISAC®).
La mission du CIS consiste à :
* Identifier, développer, valider, promouvoir et soutenir les meilleures pratiques en matière de cyberdéfense
* Bâtir et animer des communautés pour créer un environnement de confiance dans le cyberespace
[img(400px,1px)[i/BluePixel.gif]]
!CIS_Ann
# 14.02.2019 : "//''CIS Controls Companion Guide for the Cloud Now Available''//"
** +++*[Détails »]> ⇒ https://www.cisecurity.org/press-release/cis-controls-companion-guide-for-cloud-now-available/
<<<
//"Working with an army of global adopters and cybersecurity experts, the CIS Controls team has created a new companion guide to help organizations break down and map the applicable CIS Controls and their implementation in cloud environments using consensus-developed best practices," said Tony Sager, CIS® Senior Vice President, and Chief Evangelist. "It’s another great example of the CIS Community model – sharing labor and ideas to create products that can help every enterprise conduct a security assessment and develop an improvement roadmap," he added.
''Cloud Challenge: Sharing the Responsibility''
One of the main challenges in applying best practices to cloud environments is the knowledge that these systems operate under different assumed security responsibilities than traditional on-premises environments. There is often a shared security responsibility between the user and the cloud provider. In the CIS Controls Cloud Companion Guide, CIS identifies who is responsible for cloud security tasks outlined in the CIS Controls that are specific to the service models:
* IaaS (Infrastructure as a Service)
* PaaS (Platform as a Service)
* SaaS (Software as a Service)
* FaaS (Function as a Service)
The guide also takes into consideration the special mission and business requirements found in cloud environments. It examines unique risks (vulnerabilities, threats, consequences, and security responsibilities) to cloud environments. These risks drive the priority of enterprise security requirements (e.g., availability, integrity, and confidentiality of data).
The CIS Controls Cloud Companion Guide will allow users to manage cloud deployments by tailoring the CIS Controls in the context of a specific IT/OT cloud environment.//
<<<
Lien : https://www.cisecurity.org/white-papers/cis-controls-cloud-companion-guide/ === 
  # 11.02.2019 : "//''CIS Controls™ Cloud Companion Guide''//" ** +++*[Détails »]> [>img(100px,auto)[i/CIS-Jcccg7.png]]"//''CIS Controls™ Cloud Companion Guide and Public Call for IoT Companion Guide''//" //Working with an army of global adopters and cybersecurity experts, the CIS Controls team created a cloud security companion guide to help secure cloud environments. This guide helps organizations break down and map the applicable CIS Controls and their implementation in cloud environments using consensus-developed best practices.// Lien de téléchargement direct ⇒ [[cloudsecurityalliance.fr/go/j2bc/|https://cloudsecurityalliance.fr/go/j2bc/]] (format .pdf) ===
  # 08.01.2019 : "//''CIS Hardened Images on Google Cloud Platform (GCP)''//" ** +++*[Détails »]> //__CIS hardened images on GCP__ All of these images are available on Google Cloud Platform. * Ubuntu Linux: CIS Ubuntu Linux 14.04 LTS Benchmark, CIS Ubuntu Linux 16.04 LTS Benchmark, CIS Ubuntu Linux 18.04 LTS Benchmark * CentOS Linux: CIS CentOS Linux 7 Benchmark, CIS CentOS Linux 6 Benchmark * Red Hat Linux: CIS Red Hat Enterprise Linux 7 Benchmark, CIS Red Hat Enterprise Linux 6 Benchmark * SUSE Linux: CIS SUSE Linux Enterprise 11 Benchmark, CIS SUSE Linux Enterprise 12 Benchmark * Microsoft Windows Server: CIS Microsoft Windows Server 2008 R2 Benchmark, CIS Microsoft Windows Server 2012 R2 Benchmark, CIS Microsoft Windows Server 2012 (non-R2) Benchmark, CIS Microsoft Windows Server 2016 RTM (Release 1607) Benchmark __CIS Google Cloud Platform Foundations Benchmark__ Anyone using GCP, regardless of whether CIS Hardened Images are used, should secure their environment with the CIS Google Cloud Platform Foundations Benchmark. The purpose of this CIS Benchmark is to provide prescriptive guidance about security configuration on GCP.// Link: https://www.cisecurity.org/benchmark/google_cloud_computing_platform/ ===
  # 10.12.2018 : "//''Call for participation: Help the CIS Controls Secure Mobile and Cloud Environments''//" ** +++*[Détails »]> //__Defending mobile and cloud environments__ Developing mobile and cloud technologies introduce technological and societal benefits. It also means that data and applications are distributed across multiple locations, many of which are not within the organization’s infrastructure. With all these threats, how can we get on track with a roadmap of fundamentals and guidance to measure and improve mobile and cloud security? Which defensive steps have the greatest value? The CIS Controls started as a grassroots activity over a decade ago to help organizations focus on the most fundamental and valuable cybersecurity actions. The CIS Controls are downloaded by thousands each year to help secure systems and data. Now, we’re bringing the trusted security of the CIS Controls to mobile and cloud environments with the CIS Controls Mobile Companion Guide and CIS Controls Cloud Companion Guide. These guides will break down and map the applicable CIS Controls and their implementation in mobile and cloud environments. __A community approach__ At CIS, we believe in community-driven, consensus-developed resources that help every organization improve its cyber defenses. That’s why we’re creating the CIS Controls Mobile Companion Guide and CIS Controls Cloud Companion Guide. In these documents, we’ll provide guidance on how to apply the security best practices found in CIS Controls Version 7 to any mobile or cloud environment from the user perspective. We’re excited to produce these guides, but we need your help. Are you an IT security expert or cloud technology super-user? Join our communities on CIS WorkBench. For each top-level CIS Control, we’ll discuss of how to interpret and apply the security recommendations in mobile and cloud environments. We’ll also examine any unique considerations or differences in applying the CIS Control to these systems as compared to more traditional IT environments. To get involved, join CIS WorkBench – our free community collaboration platform. Once you’ve registered, search for the CIS Controls cloud or mobile community to start contributing to the discussion. * CIS Controls Cloud Companion Guide Community ⇒ https://workbench.cisecurity.org/communities/80 * CIS Controls Mobile Companion Guide Community ⇒ https://workbench.cisecurity.org/communities/82 // ===
  # 29.11.2018 : "//''CIS Introduces its First Hardened Container Image for Secure Applications in the Cloud''//" ** +++*[Détails »]> //CIS® (Center for Internet Security, Inc.) today announced the availability of its first Hardened Container Image, now available on the newly launched Amazon Web Services Marketplace for Containers. CIS made the announcement in conjunction with the AWS re:Invent 2018 Conference in Las Vegas, where Amazon Web Services (AWS) announced the added support for software products that use Docker® containers. CIS Hardened Images™ are cloud-based images secured according to the proven configuration recommendations of the CIS Benchmarks™. The CIS Benchmarks are recognized as global standards and best practices for securing IT systems and data against cyber threats. The CIS Hardened Container Image reflects baseline requirements in accordance with applicable CIS Benchmarks to optimize systems running containers. AWS customers can now use the Amazon Elastic Container Service (Amazon ECS) console and AWS Marketplace for Containers website to discover, produce, and deploy container solutions – including the CIS Hardened Images. With today’s release, AWS Marketplace has extended its existing benefits and features to container products, with a rich discovery and search experience offering access to a curated catalog of trusted software from reputable vendors. “For the first time, we are making available a container version of our industry-leading CIS Benchmarks,” said Curtis Dukes, CIS Executive Vice President, Security Best Practices & Automation. “These images provide enterprises with greater flexibility and ease of deployment for securing their computing environments in the cloud.” Cloud-based container images have grown in popularity recently due to their portability, cost effectiveness, and ease of use. CIS is initially offering an Ubuntu® 16.04 LTS Server Container Image, which is available now on AWS at https://aws.amazon.com/marketplace/pp/B07KPP1YPF. // ===
  # 28.11.2018 : "//''Using a Hardened Container Image for Secure Applications in the Cloud''//" ** +++*[Détails »]> //CIS® is continuing to expand its cloud offerings with new CIS Hardened Images™ for containers. The CIS Hardened Image for Ubuntu 16.04 is the first hardened container image we'll release for use in a Docker container on AWS. Read on to learn more about the CIS hardening process and whether a hardened container image is right for your application. __Working Securely in the Cloud__ CIS Hardened Images have been available on AWS for several years and more recently on Azure and GCP. They are cloud-based images that are preconfigured according to the proven security recommendations of the CIS Benchmarks™. The CIS Benchmarks are recognized as global standards and best practices for securing IT systems and data against cyber threats. [...] Launch a CIS Hardened Image for Ubuntu 16.04 for Docker on AWS ⇒ https://aws.amazon.com/marketplace/pp/B07KPP1YPF // ===
  # 20.11.2018 : "//''New CIS Benchmark for Google Cloud Computing Platform''//" ** +++*[Détails »]> //The CIS Benchmarks™ community has been hard at work the past several months developing a new cloud benchmark: CIS Google Cloud Computing Platform Foundations Benchmark v1.0.0. This new benchmark can be used to help an organization build a set of security policies and processes to protect data and assets in Google Cloud Platform (GCP). Much like on-premises systems, cloud environments are configured by default for convenience over security. This means they should be “hardened” to protect organizations’ data. “Hardening” is the process of securing a technical system to benchmarks like the CIS Benchmarks. When applied, the recommended configuration settings in the CIS Benchmarks can help protect systems from common cyber threats and improve overall security posture. __Getting started__ The CIS Google Cloud Computing Platform Foundations Benchmark v1.0.0 is intended to serve as a guide to secure the Google Cloud Computing Platform environment. This new benchmark joins hundreds of CIS Benchmarks, covering everything from network and mobile devices to mail servers and operating systems. You can download the new benchmark in PDF format for free: Download the CIS Google Cloud Computing Platform Foundations Benchmark v.1.0.0 ⇒ https://learn.cisecurity.org/benchmarks __Benchmark details__ The Audit and Remediation sections within this CIS Benchmark have been developed to include both the console steps and Command Line Interface commands where applicable and available. The structure of this benchmark is similar to that of other cloud-based CIS Benchmarks (such as AWS Foundations and Microsoft Azure Foundations) to ensure equal coverage in benchmark recommendations for as many cloud providers as possible. Here is a brief glimpse of the sections covered in this CIS Benchmark: * Identity and Access Management * Logging and Monitoring configurations * Virtual Networking Security settings * Virtual Machine instance settings * Storage Security configuration * Cloud SQL Database Services settings * Kubernetes Engine configuration [...] Learn more & browse all CIS Hardened Images ⇒ https://www.cisecurity.org/hardened-images/ // ===
  !CIS_Publ Les pages à consulter qui concernent les domaines liés au Cloud et aux containers sont les suivants : * Amazon Web Services : https://www.cisecurity.org/benchmark/amazon_web_services ** CIS Benchmarks for Amazon Web Services Foundations v1.2.0 ** CIS Benchmark for Amazon Web Services Three-tier Web Architecture v1.0.0 * Docker : https://www.cisecurity.org/benchmark/docker ** CIS Benchmark for Docker Community Edition v1.1.0 ** CIS Benchmark for Docker 1.6 v1.0.0 ** CIS Benchmark for Docker 1.13.0 v1.0.0 ** CIS Benchmark for Docker 1.12.0 v1.0.0 ** CIS Benchmark for Docker 1.11.0 v1.0.0 * Google Cloud Computing Platform : https://www.cisecurity.org/benchmark/google_cloud_computing_platform ** CIS Benchmark for Google Cloud Platform Foundation v1.0.0 * Kubernetes : https://www.cisecurity.org/benchmark/kubernetes ** CIS Benchmarks for Kubernetes v1.4.0 ** CIS Benchmark for Kubernetes 1.6 v1.0.0 * Microsoft Azure : https://www.cisecurity.org/benchmark/azure ** CIS Benchmarks for Microsoft Azure Foundations v1.1.0 !end %/
  [img(400px,4px)[i/BluePixel.gif]]
!ENISA : //European Union Agency for Network and Information Security//
[>img(150px,auto)[i/ENISA.png]]L'ENISA a publié plusieurs documents pertinents sur la sécurité du Cloud, dont :
# ''"Towards secure convergence of Cloud and IoT"'' (septembre 2018)
** __Liens :__
*** Annonce → https://www.enisa.europa.eu/news/enisa-news/towards-secure-convergence-of-cloud-and-iot
*** Document → https://www.enisa.europa.eu/publications/towards-secure-convergence-of-cloud-and-iot/at_download/fullReport 
  # ''"Security aspects of virtualization"'' (février 2017) ** Annonce → https://www.enisa.europa.eu/publications/security-aspects-of-virtualization
  # ''"Exploring Cloud Incidents''" (juin 2016)/%[>img(100px,auto)[i/ENISA-ECI.png]]%/ ** A noter que ce document a été conçu en 2014 et tenait donc compte de l'état des connaissances à cette date. Il n'a cependant été publié qu'en 2016, ''sans mise à jour''. ** __Liens :__ *** Annonce → https://www.enisa.europa.eu/news/enisa-news/exploring-cloud-incidents *** Document → http://www.enisa.europa.eu/publications/exploring-cloud-incidents
  # ''"Good Practice Guide for securely deploying Governmental Clouds"'' (novembre 2015)/%[>img(100px,auto)[i/ENISA-GPGSDGC.png]]%/ ** __Liens :__ *** Document → https://www.enisa.europa.eu/publications/good-practice-guide-for-securely-deploying-governmental-clouds *** Annonce (février 2015) → https://www.enisa.europa.eu/news/enisa-news/the-steps-for-going-cloud-for-governments-and-public-administration *** Annexe (mars 2014) → https://www.enisa.europa.eu/topics/cloud-and-big-data/good-practice-guide-for-securely-deploying-governmental-clouds-annex
  # ''"Cloud Security Guide for SMEs"'' (avril 2015) ** +++*[Détails »]> //This guide wants to assist SMEs understand the security risks and opportunities they should take into account when procuring cloud services. This document includes a set of security risk, a set of security opportunities and a list of security...// === ** __Lien :__ *** Annonce → https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes
  # ''"ENISA Cloud Certification Schemes Metaframework"'' (janvier 2015) ** __Lien :__ https://www.enisa.europa.eu/media/press-releases/enisa-cloud-certification-schemes-metaframework
  # ''"New Schemes on the Cloud Certification List"'' (décembre 2014) ** __Lien :__ http://www.enisa.europa.eu/media/news-items/new-schemes-on-the-cloud-certification-list-1
  # ''"Cloud Standards, a preliminary report"'' (août 2014) ** __Liens :__ *** Rapport → https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf
  # ''"Incident Reporting for Cloud Computing"'' (décembre 2013)/%[>img(100px,auto)[i/ENISA-IRCC2.png]][>img(100px,auto)[i/ENISA-IRCC.png]%/ ** +++*[Détails »]> //The proposed NIS Directive mentions cloud computing explicitly. This is not surprising. Cloud infrastructures play an increasingly important role in the digital society. A large part of the EU’s Digital Agenda is the European cloud strategy which aims to speed up adoption of cloud computing for financial and economic benefits. ENISA has often underlined the security opportunities of cloud computing. In this report we analyse how cloud providers, customers in critical sectors, and government authorities can set up cloud security incident reporting schemes.// === ** __Liens:__ *** Annonce → https://www.enisa.europa.eu/publications/incident-reporting-for-cloud-computing/ *** Document → https://www.enisa.europa.eu/publications/incident-reporting-for-cloud-computing/at_download/fullReport # ''"Good Practice Guide for securely deploying Governmental Clouds"'' (novembre 2013) ** +++*[Détails »]> //In this report, ENISA identifies the Member States with operational government Cloud infrastructures and underlines the diversity of Cloud adoption in the public sector in Europe.// ===
  # ''"Certification in the EU Cloud Strategy"'' (novembre 2013) ** __Liens :__ *** Annonce → https://resilience.enisa.europa.eu/cloud-computing-certification/certification-in-the-eu-cloud-strategy *** Document PDF → https://resilience.enisa.europa.eu/cloud-computing-certification/certification-in-the-eu-cloud-strategy/at_download/fullReport
  # ''"Critical Cloud Computing -- A CIIP perspective on cloud computing services"'' (février 2013)/%[>img(100px,auto)[i/ENISA-CCC.png]]%/ ** +++*[Détails »]> //In this report we look at cloud computing from a Critical Information Infrastructure Protection (CIIP) perspective and we look at a number of scenarios and threats relevant from a CIIP perspective, based on a survey of public sources on uptake of...// === ** __Liens:__ *** Annonce → https://www.enisa.europa.eu/publications/critical-cloud-computing
  # ''"Procure Secure: A guide to monitoring of security service levels in cloud contracts''" (avril 2012)/%[>img(100px,auto)[i/ENISA-PSGMSSLCC.png]]%/ ** +++*[Détails »]> //Procurement of cloud computing services is an increasingly important task for governments and businesses across the EU - and information security is a key pain-point. A practical guide aimed at the procurement and governance of cloud services. This guide provides advice on questions to ask about the monitoring of security. The goal is to improve public sector customer understanding of the security of cloud...// === ** __Liens :__ *** http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/procure-secure-a-guide-to-monitoring-of-security-service-levels-in-cloud-contracts/ *** https://www.enisa.europa.eu/news/enisa-news/procure-secure-enisa2019s-new-guide-for-monitoring-cloud-computing-contracts
  # ''"Cloud Computing: Benefits, risks and recommendations for information security"'' (novembre 2009)/%[>img(100px,auto)[i/ENISA-CCBRRIS.png]]%/ ** +++*[Détails »]> //ENISA, supported by a group of subject matter expert comprising representatives from Industries, Academia and Governmental Organizations, has conducted, in the context of the Emerging and Future Risk Framework project, an risks assessment on cloud computing business model and technologies. The result is an in-depth and independent analysis that outlines some of the information security benefits and key security risks of cloud computing. The report provide also a set of practical recommendations.Produced by ENISA with contributions from a group of subject matter expert comprising representatives from Industry, Academia and Governmental Organizations, a risk assessment of cloud computing business model and technologies. This is an in-depth and independent analysis that outlines some of the information security benefits and key security risks of cloud computing. The report provide also a set of practical recommendations. It is produced in the context of the Emerging and Future Risk Framework project.// === ** __Liens :__ *** Annonce → https://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment/
  # ''"Survey and analysis of security parameters in cloud SLAs across the European public sector"'' (décembre 2011)/%[>img(100px,auto)[i/ENISA-SAPCSLAAEPS.png]]%/ ** +++*[Détails »]> //In the past, organizations would buy IT equipment (hardware or software) and manage it themselves. Today many organizations prefer to use cloud computing and outsourced IT services. The work of an organisation's IT officer has changed as a consequence: Instead of setting up hardware or installing.// === ** __Liens :__ *** Annonce →
  # ''"Security and Resilience in Governmental Clouds"'' (janvier 2011) ** +++*[Détails »]> //Cloud computing offers a host of potential benefits to public bodies, including scalability, elasticity, high performance, resilience and security together with cost efficiency. Understanding and managing risks related to the adoption and...// === ** __Lien :__ *** Annonce → https://www.enisa.europa.eu/publications/security-and-resilience-in-governmental-clouds
  # ''Cloud Computing Risk Assessment'': "''Cloud Computing: Benefits, risks and recommendations for information security''" (novembre 2009) ** +++*[Détails »]> //ENISA, supported by a group of subject matter expert comprising representatives from Industries, Academia and Governmental Organizations, has conducted, in the context of the Emerging and Future Risk Framework project, an risks assessment on cloud computing business model and technologies. The result is an in-depth and independent analysis that outlines some of the information security benefits and key security risks of cloud computing. The report provide also a set of practical recommendations. Produced by ENISA with contributions from a group of subject matter expert comprising representatives from Industry, Academia and Governmental Organizations, a risk assessment of cloud computing business model and technologies. This is an in-depth and independent analysis that outlines some of the information security benefits and key security risks of cloud computing. The report provide also a set of practical recommendations. It is produced in the context of the Emerging and Future Risk Framework project.// === ** __Lien :__ *** Annonce et téléchargement → https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment
  # ''"Cloud Computing Certification - CCSL and CCSM"'' ** Cadre de certification Cloud *** +++*[Détails »]> //''What is a cloud certification scheme?'' Before buying a cloud service, customers want to know if the service is secure and reliable. But cloud computing services are complex and built up from many different ICT components (cables, large data centers, software, etc), so it is hard for individual customers to check all the technical details by themselves. Cloud providers have many customers (this is the main idea of cloud computing) so if all customers would check their security requirements separately, then this would mean double work. If each customer would want to do an on-site audit, for example, there would be long cues at the gates of data centers. Now, the idea of a certification scheme is to check one basic set of security requirements, once for all customers. In this way certification can simplify the procurement of cloud services by customers. Note that certification schemes do not replace the need for customers to do due-diligence when procuring, rather certification is a way to simplify this process.// === ** ''CCSL - the Cloud Certification Schemes List'' *** +++*[Détails »]> //[>img(150px,auto)[i/CloudCertSchemesList.jpg]] CCSL - the Cloud Certification Schemes List - gives an overview of different existing certification schemes which could be relevant for cloud computing customers. CCSL also shows which are the main characteristics of each certification scheme. For example, CCSL answers questions like "which are the underlying standards?", "who issues the certifications", "is the cloud service provider audited?", "who audits?". CCSL provides links and references to each certification scheme for further reading.// === ** ''CCSM - the Cloud Certification Schemes Metaframework'' *** +++*[Détails »]> //[>img(150px,auto)[i/CloudCertSchemesMeta.jpg]] CCSM - the Cloud Certification Schemes Metaframework - is an extension of CCSL. It is a meta-framework of cloud certification schemes. The goal of the meta-framework is to provide a neutral high-level mapping from the customer's Network and Information Security requirements to security objectives in existing cloud certification schemes, which facilitates the use of existing certification schemes during procurement// === ** +++*[Outils »]> //To start using the tool, first select the "CCSM security objectives" which are relevant for you, then scroll down to see the matrix which maps to different certification schemes. Below the matrix you can print checklists and forms for use during procurement.// === ** +++*[Matrice »] |CCSM security objectives | Certified Cloud Service - TÜV Rheinland | CSA Attestation - OCF Level 2 | CSA Certification - OCF Level 2 | CSA Self Assessment - OCF Level 1 | EuroCloud Self Assessment | EuroCloud Star Audit Certification | ISO/IEC 27001 Certification | Leet Security Rating Guide | Service Organization Control (SOC) 2 | Service Organization Control (SOC) 3 | Cloud Industry Forum Code of Practice | |Information security policy | X | X | X | X | X | X | X | X | X | X | X | |Risk management | X | X | X | X | X | X | | X | X | X | X | |Security roles | X | X | X | X | X | X | X | X | X | X | X | |Security in Supplier relationships | X | X | X | X | X | X | X | X | X | X | X | |Background checks | X | X | X | X | | X | X | X | X | X | | |Security knowledge and training | X | X | X | X | X | X | X | X | X | X | X | |Personnel changes | X | X | X | X | | X | X | X | X | X | X | |Physical and environmental security | X | X | X | X | X | X | X | X | X | X | X | |Security of supporting utilities | X | X | X | X | | X | X | X | X | X | X | |Access control to network and information systems | X | X | X | X | X | X | X | X | X | X | X | |Integrity of network and information systems | X | X | X | X | X | X | X | X | X | X | X | |Operating procedures | X | X | X | X | | X | X | X | X | X | X | |Change management | X | X | X | X | | X | X | X | X | X | | |Asset management | X | X | X | X | | X | X | X | X | X | | |Security incident detection and response | X | X | X | X | X | X | X | X | X | X | | |Security incident reporting | X | X | X | X | X | X | X | X | X | X | | |Business continuity | X | X | X | X | X | X | X | X | X | X | X | |Disaster recovery capabilities | X | X | X | X | X | X | X | X | X | X | X | |Monitoring and logging policies | X | X | X | X | X | X | X | X | X | X | | |System tests | X | X | X | X | X | X | X | X | X | X | | |Security assessments | X | X | X | X | X | X | X | X | X | X | X | |Checking compliance | X | X | X | X | X | X | X | X | X | X | X | |Cloud data security | X | X | X | X | X | X | | X | X | X | X | |Cloud interface security | X | X | X | X | X | X | | X | X | X | X | |Cloud software security | X | X | X | X | X | X | X | X | X | X | X | |Cloud interoperability and portability | X | X | X | X | X | X | | X | X | X | X | |Cloud monitoring and log access | X | X | X | X | X | X | X | X | X | X | | === ** __Lien :__ *** Annonce → https://resilience.enisa.europa.eu/cloud-computing-certification *** Outils → https://resilience.enisa.europa.eu/cloud-computing-certification/list-of-cloud-certification-schemes/cloud-certification-schemes-metaframework
 
!Horizon 2020 : //CloudWATCH2 - Think Cloud Services for Government, Business and Research//
[>img(150px,auto)[i/Cloudwatch2.png]]
Le ''CloudWATCH2 Consortium'' était constitué de :
* Trust-IT Services → http://www.trust-itservices.com/
* Le e-Research Centre de l'Université d'Oxford → http://www.oerc.ox.ac.uk/
* La branche Européenne de la [[Cloud Security Alliance]]
* Strategic Blue → http://www.strategic-blue.com/
* ICT Legal Consulting → https://www.ictlegalconsulting.com/
Détails → http://www.cloudwatchhub.eu/cloudwatch2-think-cloud-services-government-business-and-research-0
[img(400px,1px)[i/BluePixel.gif]]
Les principales publications sont les suivantes :
# CloudWATCH2 - Security and Interoperability Standards Status Report (octobre 2017)
** Ce document fait un état des lieux des normes de sécurité et d'interopérabilité. Il comprend :
*** une liste des normes utilisées dans les projets du FP7 et du programme H2020,
*** les écarts identifiés en matière de normalisation
*** une liste des priorités recommandées pour les futurs efforts en matière de normalisation
** Il décrit également le niveau d'adoption des normes utilisées et les implémentations les plus courantes
** __Liens :__
*** Annonce → http://www.cloudwatchhub.eu/cloudwatch2-security-and-interoperability-standards-status-report
*** Rapport → http://www.cloudwatchhub.eu/sites/default/files/CloudWATCH2_Security-and-Interoperability-Standards-Status-Report.pdf 
  # CloudWATCH2: Risk-based decision making mechanisms for cloud service - Final report ** __Liens :__ *** Annonce → http://www.cloudwatchhub.eu/cloudwatch2-risk-based-decision-making-mechanisms-cloud-service-final-report *** Rapport → http://www.cloudwatchhub.eu/sites/default/files/CloudWATCH2_Risk-based-decision-making-mechanisms-for-cloud-services.pdf
  # CloudWATCH: Assessment of Cloud Profile interoperability testing ** __Liens :__ *** Annonce → http://www.cloudwatchhub.eu/cloudwatch-assessment-cloud-profile-interoperability-testing *** Rapport → http://www.cloudwatchhub.eu/sites/default/files/D4.4_Assessment-of-Cloud-Profile-interoperability-testing%20_vFinal_0.pdf
  # CloudWATCH: Final report on Cloud standards profile development (Update 1) ** __Liens :__ *** Annonce → http://www.cloudwatchhub.eu/cloudwatch-final-report-cloud-standards-profile-development-update-1 *** Rapport → http://www.cloudwatchhub.eu/sites/default/files/D4.3_Final-report-on-Cloud-standards-profile-development_vFinal-Update1_0.pdf
  # CloudWATCH: Legal Guide to the Cloud: How to protect personal data in cloud service contracts ** __Liens :__ *** Annonce → http://www.cloudwatchhub.eu/cloudwatch-legal-guide-cloud-how-protect-personal-data-cloud-service-contracts *** Rapport → http://www.cloudwatchhub.eu/sites/default/files/D3%205_Legal%20Guide%20to%20the%20Cloud_v1.0_Final_1.pdf
  # Cloud Certification Recommendations ** __Liens :__ *** Annonce → http://www.cloudwatchhub.eu/cloud-certifications *** Rapport → http://www.cloudwatchhub.eu/sites/default/files/CloudWATCH_Cloud_Certification_Recommendations_summary_March2015_web.pdf
  # CloudWATCH: Guidelines on how to protect personal data in cloud service contracts ** __Liens :__ *** Annonce → http://www.cloudwatchhub.eu/cloudwatch-guidelines-how-protect-personal-data-cloud-service-contracts *** Rapport → http://www.cloudwatchhub.eu/sites/default/files/Guidelines%20on%20how%20to%20protect%20personal%20data%20in%20cloud%20service%20contracts_0_0.pdf
!ISO : //International Standisation Organisation//
[>img(150px,auto)[i/ISO.jpg]]L'ISO a publié plusieurs standards sur le Cloud Computing dont :

* __''ISO/IEC 27017:2015 / ITU-T X.1631''__ : "Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage"
** Publication : décembre 2015
** L'ISO/IEC 27017:2015 fournit des directives sur la sécurité de l'information et pour l'utilisation de services dans le Cloud.
** Elle traite aussi des aspects de contrôle et fait le lien avec ceux de l'ISO/IEC 27002, tant pour les fournisseurs que pour les consommateurs d'énergie Cloud.
** Elle en ajoute d'autres spécifiques au Cloud avec des recommandations sur leur implémentation .
** +++*[Table des Matières »]>
# Introduction
# Portée
# Références normatives
# Termes et définitions
# Vue d'ensemble
# Politiques de sécurité de l'information
# Organisation de la sécurité de l'information
# Sécurité des ressources humaines
# Gestion d'actifs
# Contrôle d'accès
# Cryptographie
# Zones sécurisées
# Sécurité des opérations
# Sécurité de la communication
# Acquisition, développement et maintenance du système
# Relations avec les fournisseurs
# Gestion des incidents de sécurité de l'information
# Aspects de la sécurité de l'information dans la gestion de la continuité
# Conformité 
=== 
** __Liens :__
*** ISO → https://www.iso.org/fr/standard/43757.html (non encore disponible en français)

* __''ISO/IEC 27018:2019''__ "Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII"
** "Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds act-ing as PII processors" (Drft)
** Date de publication : janvier 2019
** Lien : https://www.iso.org/fr/standard/76559.html

* __''ISO/IEC 27036-4:2016''__ "Information technology -- Security techniques -- Information security for supplier relationships -- Part 4: Guidelines for security of cloud services"
** Date de publication : octobre 2016
** Lien : 

* __''ISO/IEC 19086-4:2019''__ : "Informatique en nuage -- Cadre de travail de l'accord du niveau de service -- Partie 4: Eléments de sécurité et de protection des PII"
** Date de publication : janvier 2019
** Lien : https://www.iso.org/fr/standard/68242.html

* __''ISO/IEC 19086-4:2019''__ : "Informatique en nuage -- Cadre de travail de l'accord du niveau de service -- Partie 4: Eléments de sécurité et de protection des PII"
** "Cloud computing -- Service level agreement (SLA) framework -- Part 4: Components of security and of protection of PII"

* __''ISO/IEC 17788''__ : "Cloud computing -- Overview and vocabulary"

* __''ISO/IEC 17789''__ : "Cloud computing – Reference architecture"

* __''TC46 Information and documentation''__ :
** __''ISO/DTR 22428''__ : "Information and documentation -- Records management in the cloud: Issues and concerns"

* __Autresdocument du ''JTC 1''__ :
** __''ISO/IEC CD 22123''__ : "Information Technology -- Cloud Computing -- Concepts and Terminology"
** __''ISO/IEC DIS 22624''__ : "Information Technology -- Cloud Computing -- Taxonomy based data handling for cloud services"
** __''ISO/IEC TR 22678:2019''__ : "Information Technology -- Cloud computing -- Guidance for policy development"
** __''ISO/IEC PDTS 23167''__ : "Information Technology -- Cloud Computing -- Common Technologies and Techniques"
** __''ISO/IEC TR 23186:2018''__ : "Information Technology -- Cloud computing -- Framework of trust for processing of multi-sourced data"
** __''ISO/IEC PDTR 23188''__ : "Information Technology -- Cloud computing -- Edge computing landscape"
!NIST : //National Institute of Standards and Technology//
[>img(150px,auto)[i/NIST.gif]]Les publications du NIST américain font office de référence dans de nombreux domaines dont l'informatique et la sécurité.
<<tabs tNIST 'Présentation' '' [[Références-NIST##NIST_Présentation]] 'SP 800' '' [[Références-NIST##NIST_SP800]] 'SP 1800' '' [[Références-NIST##NIST_SP1800]] 'SP 500' '' [[Références-NIST##NIST_SP500]] 'NISTR' '' [[Références-NIST##NIST_NISTR]] 'Divers' '' [[Références-NIST##NIST_Divers]]>>
/%
!NIST_Présentation
Les publications du NIST sont toutes accessibles depuis le portail du "//Computer Security Resource Center//" du NIST : https://csrc.nist.gov/

Elles sont regroupées en au moins 5 catégories :

# les ''SP 800'' : les "NIST Special Publication" 800-xxx
** Lien : https://csrc.nist.gov/publications/search?keywords-lg=800- 

# les ''SP 500'' : les "NIST Special Publication" 500-xxx ** Lien : https://csrc.nist.gov/publications/search?keywords-lg=500-

# les ''SP 1800'' : les "NIST Special Publication" 1800-xxx ** Lien : https://csrc.nist.gov/publications/search?keywords-lg=1800-

# les ''NIST IR'' : les "NIST Internal Reports" 5xxx, 6xxx, 7xxx, ou 8xxx ** Lien : https://csrc.nist.gov/publications/nistir

# les ''FIPS'' : les "Federal Information Processing Standards" xxx ** Aucune ne concerne directement la sécurité du Cloud ** Lien : https://csrc.nist.gov/publications/fips !NIST_SP800 Liste des documents SP 800 pertinents : # ''SP 800-190 -- "Application Container Security Guide" '' ** +++*[Détails »]> * __Date :__ 2017.09.25 * __Annonce :__ https://csrc.nist.gov/publications/detail/sp/800-190/final === ** __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf ou https://doi.org/10.6028/NIST.SP.800-190 # ''SP 800-180 -- "NIST Definition of Microservices, Application Containers and System Virtual Machines"'' ** +++*[Détails »]> * __Date :__ 2016.02.18 * __Lien :__ https://csrc.nist.gov/publications/detail/sp/800-180/draft === ** __Téléchargement :__ https://csrc.nist.gov/CSRC/media/Publications/sp/800-180/draft/documents/sp800-180_draft.pdf # ''SP 800-146 -- Cloud Computing Synopsis and Recommendations'' ** +++*[Détails »]> * __Date :__ 2012.05.29 * __Lien :__ http://www.nist.gov/itl/cloud-052912.cfm === ** __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-146.pdf ou https://doi.org/10.6028/NIST.SP.800-146 # ''SP 800-145 -- The NIST Definition of Cloud Computing'' ** +++*[Détails »]> * __Date :__ 2011.09.28 * __Lien :__ https://www.nist.gov/news-events/news/2011/10/final-version-nist-cloud-computing-definition-published === ** __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf ou https://doi.org/10.6028/NIST.SP.800-145 # ''SP 800-144 -- Guidelines on Security and Privacy in Public Cloud Computing'' ** +++*[Détails »]> * __Date :__ 2011.12.09 * __Lien :__ https://www.nist.gov/news-events/news/2012/01/nist-issues-cloud-computing-guidelines-managing-security-and-privacy === ** __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-144.pdf ou https://doi.org/10.6028/NIST.SP.800-144 # ''SP 800-125A -- Revision 1 (DRAFT) "Ensuring the Security of Virtualized Server Platforms Against Potential Threats'' ** +++*[Détails »]> * __Date :__ 2018.04.12 * __Annonce :__ https://csrc.nist.gov/News/2018/NIST-Releases-Draft-SP-800-125A-Rev-1 <<< //A virtualized server platform -- like a physical server platform -- needs to be protected against attacks from hackers who might want to steal information or take control of parts of the server. NIST is releasing a publication that addresses this issue by providing recommendations to ensure that the core software used in a virtual server, the hypervisor, remains secure against such attacks. Draft NIST Special Publication 800-125A Revision 1, Security Recommendations for Server-based Hypervisor Platforms, analyzes the potential threats to the secure execution of the functions of a hypervisor and provides a series of recommendations to provide assurance against such potential threats. The approach taken in this publication is to identify the baseline functions that a hypervisor performs, the tasks involved in each baseline function, the potential threats to the secure execution of the task, and the countermeasures that can provide assurance against exploitation of these threats in the form of security recommendations. In addition to these security recommendations, a recommendation for ensuring the overall integrity of all components of a hypervisor platform is also provided. The target audience for the security recommendations in this document are the Chief Security Officer (CSO) or the Chief Technology Officer (CTO) of an Enterprise IT department in a private enterprise or government agency who wants to develop a virtualization infrastructure, as well as managers of data centers who want to offer a virtualization infrastructure for hosting cloud offerings and who want to provide security assurance for that infrastructure to cloud service clients. It has been found that to deploy virtualized servers for high performance applications (e.g., big data, analytics etc.), other forms of device virtualization besides the “emulation” approach covered in this document are required. This publication captures these additional technologies for device virtualization, such as para-virtualization, passthrough and self-virtualizing hardware devices as well as associated security recommendations. Major content changes in this publication, which is a revision of NIST SP 800-125A, Security Recommendations for Hypervisor Deployment on Servers, can be found in Sections 1.1, 2.2.2 and 5.// <<< === ** __Lien :__ https://csrc.nist.gov/publications/detail/sp/800-125a/rev-1/draft # ''SP 800-125B -- "Security Recommendations for Deploying Hypervisors on Servers"'' ** +++*[Détails »]> * __Date :__ 2016.03.07 * __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-125B.pdf ou https://doi.org/10.6028/NIST.SP.800-125B === ** __Lien :__ https://csrc.nist.gov/publications/detail/sp/800-125a/final # ''SP 800-125A -- https://csrc.nist.gov/publications/detail/sp/800-125b/final'' ** +++*[Détails »]> * __Date :__ 2018.01.24 * __Annonce :__ https://csrc.nist.gov/News/2018/Security-Recommendations-for-Deploying-Hypervisors <<< //NIST has published Special Publication (SP) 800-125A, Security Recommendations for Hypervisor Deployment on Servers. A hypervisor is a collection of software modules that provides virtualization of hardware resources, enabling multiple computing stacks called Virtual Machines (VMs) to be run on a single physical host. The security recommendations in this document relate to ensuring the secure execution of baseline functions of the hypervisor, when deployed for the purpose of server virtualization (but not for other use cases such as embedded systems or desktops). Recommendations for secure configuration of a virtual network are dealt with separately in SP 800-125B.// <<< * __Lien SP 800-125B :__ https://csrc.nist.gov/publications/detail/sp/800-125b/final === ** __Lien :__ https://csrc.nist.gov/publications/detail/sp/800-125a/final # ''SP 800-125 -- "Guide to Security for Full Virtualization Technologies"'' ** +++*[Détails »]> * __Date :__ 2018.01.18 * __Annonce :__ https://www.nist.gov/news-events/news/2011/02/nist-issues-final-version-full-virtualization-security-guidelines === ** __Lien :__ https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-125.pdf ou https://doi.org/10.6028/NIST.SP.800-125 !NIST_SP1800 Liste des documents SP 1800 pertinents : # ''SP 1800-19A -- "Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments -- Volume A: Executive Summary" (Prelim. Draft 1)'' ** +++*[Détails »]> * __Date :__ 2018.08.24 * __Annonce :__ https://csrc.nist.gov/publications/detail/sp/1800-19a/draft <<< //The National Cybersecurity Center of Excellence (NCCoE) at NIST recognizes the need to address security and privacy challenges for the use of shared cloud services in hybrid cloud architectures, and has launched this project. This project is using commercially available technologies to develop a cybersecurity reference design that can be implemented to increase security and privacy for cloud workloads on hybrid cloud platforms. This project will demonstrate how the implementation and use of trusted compute pools not only will provide assurance that workloads in the cloud are running on trusted hardware and are in a trusted geolocation, but also will improve the protections for the data within workloads and flowing between workloads. This project will result in a NIST Cybersecurity Practice Guide - a publicly available description of the solution and practical steps needed to implement a cybersecurity reference design that addresses this challenge.// === <<< === * __Lien :__ https://www.nccoe.nist.gov/sites/default/files/library/sp1800/tc-hybrid-sp1800-19a-preliminary-draft.pdf # ''SP 1800-4 -- "Mobile Device Security: Cloud and Hybrid Builds"'' ** +++*[Détails »]> * __Date :__ 2019.02.21 ** __Site :__ https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security/cloud-hybrid * __Date :__ 2015.11.02 ** __Annonce :__ https://www.nist.gov/news-events/news/2015/11/nist-invites-comments-practice-guide-improving-mobile-device-security ** __Téléchargement :__ *** Présentation → https://nccoe.nist.gov/projects/building_blocks/mobile_device_security *** Document → https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-4.pdf === ** __Site :__ *** https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security/cloud-hybrid ** __Téléchargement :__ *** https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-4.pdf !NIST_SP500 Liste des documents SP 500 pertinents : # ''SP 500-325 -- Fog Computing Conceptual Model'' ** +++*[Détails »]> * __Date :__ 2018.03.19 * __Annonce :__ "NIST Releases Report on Fog Computing for Internet of Things Devices " <<< //An increasing number of people and organizations are using smart, interconnected devices, which form the so-called Internet of Things (IoT). This increase is fueled by the proliferation of mobile devices, smart sensors used to power electric grids, self-driving cars, and fitness trackers, and wireless sensors. All of these products are generating and accessing a growing amount of data that needs to be accessed more quickly and locally. Until recently, much of this data has been managed and stored through cloud computing, a centralized network of computers and servers connected together over the Internet. But access to data through the cloud can be slow at times, because the data needs to be transported to the cloud for processing, analysis and storage. An alternative to cloud computing is fog computing, a decentralized infrastructure in which data is accessed locally, which significantly reduces the amount of time it takes to access the data. In addition to fog computing, other concepts have been developed as alternatives to cloud computing, called mist computing, cloudlets, and edge computing. But no consensus exists on the distinction among these concepts. So NIST is releasing Special Publication 500-325, Fog Computing Conceptual Model, a report that presents the conceptual models of fog and mist computing and how they relate to cloud-based computing models for IoT. The report not only provides the conceptual models of fog computing and its subsidiary mist computing, but it also introduces the notion of a fog node and the nodes federation model, which is composed of both distributed and centralized clusters of fog nodes operating in harmony. The report is intended to serve as a means for broad comparisons of fog computing capabilities, service models, and deployment strategies, and to provide a baseline for discussion of what fog computing is and how it may be used.// <<< * __Lien :__ https://csrc.nist.gov/News/2018/Fog-Computing-for-Internet-of-Things-Devices === ** __Lien :__ https://csrc.nist.gov/publications/detail/sp/500-325/final # ''SP 500-299 (DRAFT) -- NIST Cloud Computing Security Reference Architecture'' ** +++*[Détails »]> * __Date :__ 2013.05 *__Synthèse :__ <<< //The purpose of this document is to define a NIST Cloud Computing Security Reference Architecture (NCC-SRA) -- a framework that: ## identifies a core set of Security Components that can be implemented in a Cloud Ecosystem to secure the environment, the operations, and the data migrated to the cloud; ## provides, for each Cloud Actor, the core set of Security Components that fall under their responsibilities depending on the deployment and service models; ## defines a security-centric formal architectural model that adds a security layer to the current NIST SP 500-292, "NIST Cloud Computing Reference Architecture"; ## provides several approaches for analyzing the collected and aggregated data. // <<< * __Lien :__ https://csrc.nist.gov/publications/detail/sp/500-299/draft === ** __Téléchargement :__ http://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/CloudSecurity/NIST_Security_Reference_Architecture_2013.05.15_v1.0.pdf !NIST_NISTR Liste des documents NISTR pertinents : # ''NISTIR 8176 -- Security Assurance Requirements for Linux Application Container Deployments'' ** +++*[Détails »]> * __Date :__ 2017.10.12 * __Annonce :__ https://csrc.nist.gov/News/2017/NIST-Releases-NISTIR-8176 <<< //Application containers are now slowly finding adoption in production environments due to agile deployment process, efficient resource utilization and availability of automation tools. At the same time, to ensure secure deployment, security guidelines and countermeasures have been proposed (Application Container Security Guide, NIST Special Publication 800-190) to cover various components of a container environment such as: Hardware, Host Operating System (OS), Container Runtime, Image, Registry and Orchestrator. To carry out these recommendations in the form of countermeasures, one or more security solutions are needed with defined metrics in the form of security assurance requirements. Linux (and its various distributions) being open-source and being the predominant host OS in the deployed container platforms, has sufficient reservoir of information to analyze the security impact of its various configuration options. The focus of this document is to derive the security assurance requirements for various security solutions for application containers hosted on Linux. The target audience includes system security architects and administrators who are responsible for the actual design and deployment of security solutions in enterprise infrastructures hosting containerized hosts.// <<< * __Lien :__ https://csrc.nist.gov/publications/detail/nistir/8176/final === ** __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf ou https://doi.org/10.6028/NIST.IR.8176 # ''NISTIR 8006 -- NIST Cloud Computing Forensic Science Challenges'' ** +++*[Détails »]> * __Date :__ 2014.06.23 * __Annonce :__ https://csrc.nist.gov/publications/detail/nistir/8006/draft <<< //This document summarizes the research performed by the members of the NIST Cloud Computing Forensic Science Working Group, and aggregates, categorizes and discusses the forensics challenges faced by experts when responding to incidents that have occurred in a cloud-computing ecosystem. The challenges are presented along with the associated literature that references them. The immediate goal of the document is to begin a dialogue on forensic science concerns in cloud computing ecosystems. The long-term goal of this effort is to gain a deeper understanding of those concerns (challenges) and to identify technologies and standards that can mitigate them.// <<< * __Synthèse :__ <<< //This document summarizes the research performed by the members of the NIST Cloud Computing Forensic Science Working Group, and aggregates, categorizes and discusses the forensics challenges faced by experts when responding to incidents that have occurred in a cloud-computing ecosystem. The challenges are presented along with the associated literature that references them. The immediate goal of the document is to begin a dialogue on forensic science concerns in cloud computing ecosystems. The long-term goal of this effort is to gain a deeper understanding of those concerns (challenges) and to identify technologies and standards that can mitigate them.// === <<< === ** __Téléchargement :__ https://csrc.nist.gov/CSRC/media/Publications/nistir/8006/draft/documents/draft_nistir_8006.pdf # ''NISTIR 7956 -- Cryptographic Key Management Issues & Challenges in Cloud Services'' ** +++*[Détails »]> * __Date :__ 2013.09.18 * __Synthèse :__ <<< //To interact with various services in the cloud and to store the data generated/processed by those services, several security capabilities are required. Based on a core set of features in the three common cloud services - Infrastructure as a Service (IaaS), Platform as a Service (PaaS) and Software as a Service (SaaS), we identify a set of security capabilities needed to exercise those features and the cryptographic operations they entail. An analysis of the common state of practice of the cryptographic operations that provide those security capabilities reveals that the management of cryptographic keys takes on an additional complexity in cloud environments compared to enterprise IT environments due to: (a) difference in ownership (between cloud Consumers and cloud Providers) and (b) control of infrastructures on which both the Key Management System (KMS) and protected resources are located. This document identifies the cryptographic key management challenges in the context of architectural solutions that are commonly deployed to perform those cryptographic operations.// <<< * __Lien :__ https://csrc.nist.gov/publications/detail/nistir/7956/final === ** __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7956.pdf ou https://doi.org/10.6028/NIST.IR.7956 # ''NISTIR 7904 -- Trusted Geolocation in the Cloud: Proof of Concept Implementation'' ** +++*[Détails »]> * __Date :__ 2015.12.10 * __Synthèse :__ <<< //This publication explains selected security challenges involving Infrastructure as a Service (IaaS) cloud computing technologies and geolocation. It then describes a proof of concept implementation that was designed to address those challenges. The publication provides sufficient details about the proof of concept implementation so that organizations can reproduce it if desired. The publication is intended to be a blueprint or template that can be used by the general security community to validate and implement the described proof of concept implementation. // <<< * __Auteurs :__ Michael Bartock (NIST), Murugiah Souppaya (NIST), Raghuram Yeluri (Intel), Uttam Shetty (Intel), James Greene (Intel), Steve Orrin (Intel), Hemma Prafullchandra (HyTrust), John McLeese (HyTrust), Karen Scarfone (Scarfone Cybersecurity) * __Lien :__ https://csrc.nist.gov/publications/detail/nistir/7904/final === ** __Téléchargement :__ https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.7904.pdf ou https://doi.org/10.6028/NIST.IR.7904 !NIST_Divers Dans cette rubrique, d'autres nouvelles ou publications dans le contexte du NIST # ''Présentation "Modeling and Mitigating the Insider Threat of Remote Administrators in Clouds"'' ** +++*[Détails »]> * __Date :__ 2018.07.10 * __Synthèse :__ <<< //As today’s cloud providers strive to attract customers with better services and less downtime in a highly competitive market, they increasingly rely on remote administrators including those from third party providers for fulfilling regular maintenance tasks. In such a scenario, the privileges granted for remote administrators to complete their assigned tasks may allow an attacker with stolen credentials of an administrator, or a dishonest remote administrator, to pose severe insider threats to both the cloud tenants and provider. In this paper, we take the first step towards understanding and mitigating such a threat. Specifically, we model the maintenance task assignments and their corresponding security impact due to privilege escalation. We then mitigate such impact through optimizing the task assignments with respect to given constraints. The simulation results demonstrate the effectiveness of our solution in various situations.// <<< * __Auteurs :__ Nawaf Alhebaishi (Concordia University), Lingyu Wang (Concordia University), Sushil Jajodia (George Mason University), and Anoop Singhal (NIST) * __Lien :__ https://csrc.nist.gov/publications/detail/conference-paper/2018/07/10/insider-threat-of-remote-administrators-in-clouds === ** __Téléchargement :__ https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=925918 !end %/
!OWASP - //Open Web Application Security Project//
[>img(auto,100px)[i/OWASP.png]]L'OWASP est une communauté oeuvrant pour la sécurité des applications Web. Elle publie des recommandations liées à la sécurisation Web ainsi que des méthodes et outils permettant de contrôler le niveau de sécurisation d'applications Web.
Les 6 projets les plus connus ou à connaître sont : 
  # "Top Ten OWASP" ** Objet : principales décliné depuis en différents contexte (Web, mobilité...)
  # "WebGoat" ** Objet : décliné depuis sous différents contextes (Web, Docker, ...)
  # "WebScarab" ** Objet : proxy utilisé lors de contrôles, d'audit, et de tests d'intrusion
  # "OWASP Testing Guide" ** Objet : document d'aide à l'évaluation d'un niveau de sécurité d'une application Web
  # "OWASP Code Review Guide" ** Objet : document d'aide à la revue de sécurité d'un code ** Page du projet → https://www.owasp.org/index.php/Code_Review_Guide_Frontispiece
  # "''OWASP Cloud Security Project''" ** Objet : //The OWASP Cloud Security project aims to help people secure their products and services running in the cloud by providing a set of easy to use threat and control BDD (Behaviour Driven Development) stories that pool together the expertise and experience of the development, operations, and security communities.// ** Page du projet → https://www.owasp.org/index.php/OWASP_Cloud_Security_Project ** Répertoire Github → https://github.com/owasp-cloud-security/owasp-cloud-security
  # "''OWASP Cloud-Native Application Security Top 10''" ** Objet : //The primary goal of this document is to provide assistance and education for organizations looking to adopt Cloud-Native Applications. The guide provides information about what are the most prominent security risks for Cloud-Native applications, the challenges involved, and how to overcome them.// ** Page du projet → https://www.owasp.org/index.php/OWASP_Cloud-Native_Application_Security_Top_10 ** Répertoire Github → https://github.com/OWASP/Cloud-Native-Application-Security-Top-10
  # "''OWASP Docker Top 10''" ** Page du projet → https://www.owasp.org/index.php/OWASP_Docker_Top_10 ** Répertoire Github → https://github.com/OWASP/Docker-Security
  # "OWASP Serverless Top 10" ** Objet : //OWASP Serverless Top 10 aims at educating practitioners and organizations about the consequences of the most common serverless application security vulnerabilities, as well as providing basic techniques to identify and protect against them.// ** Page du projet → https://www.owasp.org/index.php/OWASP_Serverless_Top_10_Project ** Répertoire Github → https://github.com/OWASP/Serverless-Top-10-Project
  # "OWASP Serverless Goat" ** Page du projet → https://www.owasp.org/index.php/OWASP_Serverless_Goat ** Répertoire Github → https://github.com/OWASP/Serverless-Goat
  # "OWASP Internet of Things Project" ** Page du projet → https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project ** Répertoire Github → https://github.com/scriptingxss/IoTGoat
  [img(400px,4px)[i/BluePixel.gif]]
|Table98|k
| [img(auto,50px)[i/Work.gif]] | !
Article en cours de rédaction | [img(auto,50px)[i/Work.gif]] | !PCI DSS - //Payment Card Industry Data Security Standard// [>img(auto,100px)[i/PCI.png]] __Quelques documents :__ * Information Supplement: ''PCI SSC Cloud Computing Guidelines'' (avril 2018) :→ https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf ** +++*[Table ds matières]> * 1. Introduction * 2. Cloud Overview * 3. Cloud Provider/Customer Relationships ** 3.1. Understanding Roles and Responsibilities ** 3.2. Roles and Responsibilities for Different Cloud Deployment Models ** 3.3. Responsibilities for Different Cloud Service Categories ** 3.4. Nested Service Provider Relationships * 4. PCI DSS Considerations ** 4.1. Understanding PCI DSS Responsibilities ** 4.2. PCI DSS Responsibilities for Different Cloud Service Categories ** 4.3. Understanding Responsibilities of Security as a Service (SECaaS) ** 4.4. Segmentation Considerations * *5. PCI DSS Compliance Challenges ** 5.1. What Does It Mean When a Provider States, "I Am PCI DSS Compliant"? ** 5.2. Verifying the Scopeof PCI DSS Validated Services and Components ** 5.3. Verifying PCI DSS Controls Managed by the Cloud Service Provider * 6. Security Considerations ** 6.1. Governance, Risk and Compliance ** 6.2. Facilities and Physical Security ** 6.3. Data Security Considerations ** 6.4. Incident Response and Forensic Investigation ** 6.5. Vulnerability Management * Appendix A: Sample PCI DSS Responsibilities for Different Cloud Service Categories * Appendix B: Sample Inventory * Appendix C: Sample PCI DSS Responsibility Management Matrix * Appendix D: PCI DSS Implementation Considerations * Appendix E: Technical Security Considerations ** E.1. Evolving Security Technologies ** E.2. Multi-tenancy ** E.3. Internet of Things and Fog Computing ** E.4. Software Defined Networking ** E.5. Intrusion Detection Systems (IDS)/Intrusion Prevention Systems (IPS) ** E.6. Hypervisor Access and Introspection ** E.7. Containers ** E.8. Virtual Desktop Infrastructure in the Cloud ** E.9. Elastic Resources Inventory and Control ** E.10. Data Encryption and Cryptographic Key Management ** E.11. Secure Cryptography Devices in the Cloud ** E.12. Change Detection for Cloud-based Systems ** E.13. Security of Software Interfaces and APIs ** E.14. Identity and Access Management ** E.15. Logging and Audit Trails === * Information Supplement: ''PCI DSS Virtualization Guidelines'' (juin 2011) :→ https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf ** +++*[Table ds matières]> * 1. Introduction * 2. Virtualization Overview * 3. Risks for Virtualized Environments ** 3.1. Vulnerabilities in the Physical Environment Apply in a Virtual Environment ** 3.2. Hypervisor Creates New Attack Surface ** 3.3. Increased Complexity of Virtualized Systems and Networks ** 3.4. More Than One Function per Physical System ** 3.5. Mixing VMs of Different Trust Levels ** 3.6. Lack of Separation of Duties ** 3.7. Dormant Virtual Machines ** 3.8. VM Images and Snapshots ** 3.9. Immaturity of Monitoring Solutions ** 3.10. Information Leakage between Virtual Network Segments ** 3.11. Information Leakage between Virtual Components * 4. Recommendations ** 4.1. General Recommendations ** 4.2. Recommendations for Mixed-Mode Environments ** 4.3. Recommendations for Cloud Computing Environments ** 4.4. Guidance for Assessing Risks in Virtual Environments * 5. Conclusion * 6. Acknowledgments * 7. Appendix –Virtualization Considerations for PCI DSS === [img(400px,4px)[i/BluePixel.gif]]
Quelques podcasts à suivre :
|Amazon|[[AWS Podcast|https://aws.amazon.com/podcasts/aws-podcast/]]|
|Google|[[Google Cloud Platform Podcast|https://www.gcppodcast.com/]]|
|Mcrosoft|[[Microsoft Cloud Show|http://feeds.microsoftcloudshow.com/microsoftcloudshowepisodes]]|
|SoundCloud|[[The Doppler Cloud Podcast|https://soundcloud.com/cloudtp]]|
Un article de //ThreatStack// qui en présente une cinquantaine :
|2018.09.17|//ThreatStack//|[[50 Best Cloud Security Podcasts|https://www.threatstack.com/blog/50-best-cloud-security-podcasts]]|Podcasts|