Archives de l’auteur : Valdes

Indice de Cybersécurité et de Cyber Bien-être

Au cours de l’année 2015, l’ITU (International Telecommunication Union) publiait un rapport d’étude intitulé : INDICE DE CYBERSÉCURITÉ DANS LE MONDE ET PROFILS DE CYBER BIEN-ÊTRE.
Le dit rapport est la fruit d’une collaboration entre l’ITU et l’entreprise ABI Research, société spécialisé en Intelligence de Marchés ; Trois années furent nécessaires entre le début des travaux pour l’étude sous-jacente jusque la publication des résultats via ce rapport. A la question de savoir en quoi consiste cette étude, les deux interventions suivantes nous en disent un peu plus :

« L’Indice de cybersécurité dans le monde (GCI) mesure le niveau de développement de chaque pays en matière de cybersécurité. Le GCI vise à fournir aux pays la motivation adéquate afin d’intensifier leurs efforts en matière de cybersécurité. L’objectif ultime est d’encourager une culture mondiale de la cybersécurité et de l’intégrer au cœur même des technologies de l’information et de la communication. » Brahima Sanou, Directeur Bureau de développement des télécommunications

« Le but du GCI est de mettre en place une méthode de mesure pour assurer, dans des conditions de sécurité et de sureté, l’innovation continue dans les activités technologiques et Internet. Un mélange de rigueur à la fois technologique, politique, juridique, organisationnelle et académique peut minimiser les dangers croissants liés à la criminalité pour des motifs politiques, financiers ou opportunistes. » Tim Archdeacon, Fondateur et CEO ABI Research

Concernant la méthodologie d’enquête, un questionnaire détaillé a été envoyé dans chacun des États membres de l’ITU ; un exemplaire de ce questionnaire figure dans le rapport. Notons que les données présentent dans ce rapport reflètent en réalité l’état des lieux au cours de l’année 2014.

Le TOP5 du classement mondial est occupé par les pays que sont :
Cyberwell-1WorldUne observation frappante est que sur chacun des 5 principaux critère étudiés, l’Afrique de en moyenne globale sort en dernière position comparé aux autres continents. Espérons que retard sera rattrapé au fil des différentes initiatives tant gouvernementales que privées qui sont entrain de prendre place sur le continent.
Cyberwell_Africa

Pour en venir au le cas particulier du Cameroun, nous notons qu’avec un indice de 0,412 il figure en 15e position sur le plan mondial, au même rang que d’autres pays comme la Kenya, l’Argentine, la Croatie et le Sri Lanka. Sur le plan continental, nous notons que le Cameroun figure en 5e position, les quatre premiers étant, respectivement, l’Ile Maurice, l’Ouganda, le Rwanda et le Nigeria.

Cyberwell_TOP5Africa

  • Les points positifs :
    – le Cameroun s’est doté de lois spécifiques à la Cybersécurité-Cybercriminalité
    – Nous avons un CERT/CIRT en charge de la gestion des incidents lié à l’informatique sur le plan National
    – Notre pays dispose d’une Agence Étatique (l’ANTIC – Agence Nationale des Technologies de l’Information et de la Communication) en charge de la coordination et de l’application de notre Stratégie de Sécurité dans les TIC.
    – l’Organisation de plusieurs séances de sensibilisation du public à la Cybersécurité par l’ANTIC
    – Le Renforcement des capacité du personnel technique en charge des problématique de Cybercriminalité et de Cybersécurité.
  • Les points à améliorer :
    – La Coopération, tant sur le plan national (Intra-agence et partenariat Public-Privée) que sur le plan International (excepté avec les pays membres de IMPACT de l’ITU)
    – Le Cameroun ne possède pas de structure spécifiquement dédiée à la protection des enfants en ligne et de mécanisme de report d’incidents relatifs à ce cas.
    – Nous n’avons aucune Agence gouvernementale ou organisme public certifié aux normes internationales de Cybersécurité

Concernant le point sur la coopération internationale, non mentionné dans l’étude, il est à noter que le Cameroun (ainsi que plusieurs pays Africains) est membre de l’Organisation panafricaine @AfricaCERT, et de ce fait, partage des informations avec les autres membres. De même, la Convention de l’Union Africaine sur la Cybersécurité, adoptée et en cours de ratification par les États membres, dans son Article 28, inclue aussi cette clause de partage d’information et d’assistance mutuelle entre les États membres.

Il serait intéressant de voir à quel niveau nous en sommes aujourd’hui et quelles sont les évolutions concrètes sur le terrain.

l’ITU ambitionne de produire chaque année, grâce aux remontés d’information des pays membres, une version de cette étude sur l’Indice de Cybersécurité et du Cyber Bien-être. Le rapport pour l’année 2015, faisant l’objet de cet article est disponible sur le site de l’ITU via le lien suivant : Indice Cybersécurité



Ai-je été piraté ?

Tout juste quelques jours plus tôt, on apprenait le piratage du site de rencontre en ligne « Adult Friend Finder ». Les Pirates ont à l’occasion emporté la base de données des utilisateurs contenant toutes les informations personnelles parmi lesquelles entre autres, les noms, emails, mots de passe, sexe et autres.
Ceci, bien que triste, n’est que l’un des événement, plus ou moins réguliers, qui se produisent sur Internet lorsqu’un fournisseur de contenu ou sa plateforme se fait pirater. Suite à ce genre d’incident, les plateformes victime ont l’obligation de notifier leurs utilisateurs et de réinitialiser leurs mots de passes de connexion ou tout du moins les inviter (contraindre ?) à la faire dès leur prochaine connexion.
Malheureusement, les statistiques démontrent que plusieurs utilisateurs partagent les même mots de passent entre plusieurs plateformes ; du coup, même après réinitialisation des identifiants chez le fournisseur piraté, les autres comptes de l’utilisateur, partageant le même couple login (généralement l’adresse mail) et mot de passe de l’utilisateur sont aussi à risque car les pirates ayant emporté la base de données complète (et pas toujours bien chiffrée) de l’hébergeur initial, peuvent très bien les tester chez un autre fournisseur. A ce moment il devient difficile pour l’utilisateur de tracer tout cela.
haveibeenpwned Afin d’aider dans cette mission, un acteur très actif de la communauté #Infosec, Troy Hunt, à mis sur pieds le service « I Have Been Pwned« , traduisible par « Ai-je été piraté ? « . Grace à cette plateforme il vous est possible de savoir si jamais votre adresse mail figure dans une liste (dump) d’identifiant dérobés lors du pirate d’un fournisseur de service ou une liste collectée sur internet en accès libre (généralement via le service pastebin ou autre). le but ici étant de vous inviter à prendre les actions nécessaires chez le fournisseur incriminé en premier lieu, mais aussi chez tous les autres fournisseurs utilisant cet email et dont vous utiliseriez le même mot de passe.

Pour se faire, il suffit de se connecter au site haveibeenpwned.com et d’entrer votre adresse mail dans la zone de recherche puis valider. Si jamais votre mail figure dans l’une des bases de données que le site possède, vous recevrez une notification avec quelques conseil d’usage pour les actions à entreprendre par la suite. Le site en question comporte au moment de l’écriture de ce texte une base de données d’un peu plus de 180 millions de comptes mail collectés suites aux dumps de 44 sites/plateformes web piratés et d’autre fuites de données sur Internet.

HIBP5

Notons que la plateforme vous permet aussi d’être informé en temps réel si jamais votre mail figure dans l’une des bases de données à venir ultérieurement. Pour cela, il vous suffit juste de cliquer sur le menu « Notify Me«  et de saisir votre mail dans le champs adéquat ainsi que le captcha puis valider. Un mail de vérification comportant un lien vous sera envoyé pour confirmation. Ainsi vous serez automatiquement informés si jamais la plateforme retrouve votre mail dans une des futures listes ou dumps qu’elle recevra.

Cerise sur le gâteau, le service offre aussi une option permettant aux Responsables d’Infrastructures d’effectuer une recherche sur leur domaine au complet, au lieu de le faire individuellement compte par compte. La possibilité d’être informé en cas d’un incident impliquant l’un des comptes sous votre domaine y est aussi offerte. Il est a préciser que pour des raisons évidentes de sécurité, cette option fait appel à un dispositif de vérification de propriété plus stricte, ceci ayant pour but que vous puissiez prouver que vous êtes effectivement Administrateur du domaine spécifié. Plusieurs options s’offrent à vous pour cette validation ; depuis la création d’un champ TXT sur votre domaine à la confirmation via des comptes mails spécifiques en passant par la modification du fichier texte de votre site web et la modification de l’en-tête de votre page principale pour y inclure une balise spécifique contenant le code a vérifier.

Remarque:
Le service « have I Been Pwned«  ne vous notifiera que des cas de brèches et fuites dont les informations utilisateurs sont remontées jusqu’à lui, du coup, bien que les mises à jours dessus soient assez rapides (à titre indicatif, les mails des utilisateurs du service Adult Friend Finder dont nous parlions en début de cet article sont déjà inclus dans la base de données) il est bien possible que qu’il n’ait pas toutes les information de brèches survenues dans le vaste univers (virtuel ?) qu’est Internet.

Tips :

Ceci est une raison de plus pour toujours activer les option d’authentification à multiples facteurs partout où cela est possible, car ainsi, même si un pirate a votre couple mail+password, il lui manquera toujours le second facteur d’authentification (qui peut être un PIN OTP, une reconnaissance vocale ou autre chose) et ainsi, ne pourra pas accéder à vos données (pas facilement en tout cas). De plus, il est toujours bon d’avoir des passphrases différentes pour chaque service en ligne afin d’éviter que le piratage de nos identifiants chez l’une n’ait d’impact sur nos autres activités en ligne.



NoLimitSecu : l’Infosec en détails

Bien souvent, au cours de la journée, ils nous arrive, lors de notre veille sur Internet, d’empiler des pages et des pages d’articles de prime abord intéressant, mais dont nous n’avons pas eu le temps nécessaire pour les parcourir en intégralité. Au bout de quelques jours, on se retrouve parfois à finalement devoir fermer les dites pages, soit à cause d’un reboot de la machine, soit pour économiser un peu de RAM, la précieuse RAM tellement convoitée par nos navigateurs (Chrome avec 50 onglets ouverts… ça craint !). C’est ainsi qu’on se voit passer à coté d’une explication assez détaillée d’un évènement majeur qui a eu lieu dans la scène #Infosec (notre principal champs de veille).

nolimitsecu_pic

A défaut de lire de longs articles (pas nécessairement assez clairs sur les sujets abordés) il est aussi possible de s’abonner à des Podcasts thématiques décortiquant l’actualité Tech avec l’appui d’Experts (…en général) afin de la présenter sous une forme plus digeste et de ce fait facilement assimilable pour la majorité. Entre autres, les Podcasts présentent aussi l’avantage de pouvoir être consultés sans monopoliser notre attention sur l’écran du PC/Mobile, donnant ainsi la possibilité de suivre son podcast en exerçant une autre activité (Le soir dans les 100 pas, en faisant vos courses, pendant la pause en mangeant au resto du coin,…). Mais voilà, presque tous les podcasts actuels sur la thématique de la Sécurité des Informations sont systématiquement en langue anglaise (ou autre), ce qui n’arrange pas vraiment ceux qui ne maitrisent pas la langue de Shakespeare. Dans cet univers, nous avons fait la découverte de  No Limit Secu qui est un podcast spécialement dédié à la Cyber Sécurité et qui à la particularité d’être en Français.

Internet-dataNo Limit Secu à vu passer, tour à tour, plusieurs Experts dans leurs branches, de la scène Cyber Sécurité francophone, venus partager de leur expérience pratique et édifier les auditeurs sur des sujets variés. C’est aussi l’occasion d’avoir des détails précis, de certains sujets qui ont fait l’actualité, mais dont on n’a pas nécessairement bien saisi la teneur sur le coup. Vous avez par exemple entendu parler de la faille Heartbleed ou de ShellShock mais ne savez toujours pas exactement de quoi il s’agit et ce qu’il en ressort ? No Limit Secu vous les explique de façon claire et concise. Avec des collègues/ami(e)s dernièrement vous avez débattu sur la possibilité d’avoir un « nouvel Internet » plus sûr/fiable que celui que nous utilisons actuellement et de comment y parvenir? No Limit Secu a aussi abordé la question « Faut-il rebooter Internet ?« . Un tour sur leur site et vous trouverez certainement votre compte. Sur Twitter : @NoLimitSecu

Notons que No Limit Secu n’est pas le premier Podcast orienté #Infosec en langue française ; bien avant lui, avait vu le jour « Le Comptoir Sécu«  qui est aussi une plateforme riche en enseignements le tout distillé sous forme de Podcasts en français ainsi que ZATAZ qui lui propose même une Web TV. Pour ceux que ça pourrait intéresser, en annexe, quelques Podcasts sur la Cyber Sécurité et cette fois ci en langue Anglaise.

Annexes :
Paul’s Security Weekly
Down the Security Rabbithole
SecuraBit
LiquidMatrix Podcast
OWASP 24/7

 

 

 

 

 



Kmer Digital Days, here we go…

Ce mois de Mai, le ciel de la capitale économique de notre pays abritera la première édition des Kmer Digital Days.

K-MER Digital Days est un projet initié par SKYLIZ CONNECT dont l’ambition est de réunir pendant trois journées différentes cibles (Entreprises, étudiants en cycle de formation marketing, communication et gestion d’entreprise, professeurs, responsables d’Ecole de commerce et / ou Universités) autour du thème central: « Le Marketing Digital » afin de les amener à découvrir les enjeux de la révolution du web 2.0 et tout ce qui a conduit à l’émergence d’un marketing digital.
Ces journées reparties entre conférences, débats, salons, expos, ateliers de réflexion et autres se tiendront du 15 au 17 Mai 2014 au Parcours Vita sis à Bonamoussadi – Douala. logotype1

Y sont vivement conviés tous les passionnés, acteurs et utilisateurs des Technologies de l’Information et de la Communication.
Les inscription sont déjà ouvertes et la participation à l’événement est gratuite pour tous ! Pour réserver son ticket, une seule adresse : http://www.eventbrite.fr/e/billets-k-mer-digital-days-10976084765 !

Cameroon Cyber Security, en sa qualité de Partenaire de l’événement, prendra part avec des Ateliers/Conférence sur les sujets de la Cybersécurité au cours de la journée du Samedi 17.
Le programme de nos activités en ce jours est le suivant :

  • Atelier 1 : « Scamming, Phishing… Comment se prémunir des Arnaques en ligne ? ». Comment identifier les différents mails et SMS d’arnaque qui sont généralement reçus et que faire par la suite.
  • Atelier 2 : « Personal Security 101 : la Sécurité au quotidien » où il sera notamment question des mesures de sécurité des donnés numériques dans les aspects courants de la vie de tout individu lambda, de la sauvegarde de son répertoire téléphonique au choix d’un mot de passe robuste en passant par quelques rappels sur la protection de la vie privé dans le numérique.
  • Conférence-débat: thème « L’e-Réputation ». Pour les entreprise comme pour les particulier, il sera question de montrer en quoi la protection de l’e-Réputation est importante pour toute entité.

kmerddkmerQRcode-01-01-335x367
Concernant l’événement global, le planning détaillé des 3 jours pendant lesquels il se tiendra est disponible sur le site à cette adresse : http://kmerdigitaldays.com/event/with-both-sidebar/ 

Notons qu’en prélude à cet événement, se tiendra aussi un Flash Mob, les 12 et 13 Mai toujours dans notre cité capitale. De plus, au cours de l’événement se tiendra un concours des Startup, donc pour ceux ayant des projets de Startup déjà opérationnel ou encours de lancement, bien vouloir vous y inscrire et postuler.

 



CyberSecurity Month, de quoi s’agit-il ?!

Nous voici rendus en plein dans le mois d’Octobre, comme à l’accoutumé, des messages et campagnes de sensibilisation fusent de diverses horizons concernant la sécurité des utilisateurs, entreprises et gouvernements en ligne.

october_cybersec

A titre Indicatif, ce mouvement a été lancé au États Unis d’Amériques depuis une dizaine d’années [1] et avec le temps s’est propagé dans plusieurs autres pays et entités comme ce fut le cas avec l’Union Européenne qui instaura elle aussi le mois d’Octobre pour l’occasion [2], ou encore la Norvège, le Canada [3], l’Afrique du Sud [4], le Japon [5] et bien d’autres… bref le moins qu’on puisse dire c’est que la mayonnaise semble avoir bien pris !

Ici au Cameroun, et c’est aussi le cas dans plusieurs autres pays d’Afrique, cette mouvance ne semble pas encore être effective.
A titre indicatif, rappelons qu’instaurer un mois pour la sensibilisation à la Cyber sécurité ne veut absolument pas dire que les autres autres mois de l’année on peut dormir les yeux fermés, juste que c’est une période où tous les acteurs de l’écosystème de la Cybersécurité s’unissent pour faire porter un message et atteindre le maximum de personnes, entreprises, entités et de réduire davantage le nombre de victimes d’actes de cybercriminalité.

Cela se manifeste par la production de supports de sensibilisation du public, comme ce fut par exemple le cas tout récemment pour le Chapitre Français de l’ISSA avec son projet #CitizenSec (http://t.co/vrbDUYk3WA), par la recrudescence des campagnes de sensibilisation en ligne comme en présentiel organisées par des acteurs économiques, des entités étatiques ou par des Organisations non-gouvernementales.

Au delà de l’aspect « mouvement d’ensemble » de la chose, il nous importe à tout un chacun de continuer à sensibiliser, former, éduquer notre entourage sur les sujets de Cyber sécurité notamment sur les basiques comme l’adoption d’une bonne hygiène Informatique [6] aux choses un peu plus complexes comme la protection des Infrastructures Critiques, en passant par des sujets tous aussi importants comme la protection de la vie privée en ligne, l’espionnage industriel, la sécurité des transactions financières, la lutte contre la Cybercriminalité

A cet effet l’initiative « AlertAfrica«  a mis à la disposition de tout un chacun des supports de sensibilisation et d’édification sur son site : http://alertafrica.com/games-and-videos/. Vous y trouverez quelques vidéos éducatives ainsi qu’une mini-bande dessinée intitulée : « CYBERVILLE », qui compte déjà 3 parutions à son actif !

« Be alert!!
You are already a target!
Don’t become a victim!! » ~ AlertAfrica

 Liens Utiles :

[1] Stay Safe Online
[
2] EU CyberSec Month
[3] CyberSec Month Canada
[4] South African Cyber Security Awareness Month
[5] CyberSecMonth Japan
[6] Exemple de Guide d’hygiène Informatique par l’ANSSI



Free Offensive Security Training Course

off_sec_banner3

Dans le cadre de notre programme de vulgarisation des supports de formation dans le but de renforcer les compétences techniques du maximum de personnes sur la scène locale, nous vous proposons en ce jour ce programme de formation issu de l’Université d’Etat de Floride, aux Etats Unis. Ce programme a été mis sur pied par deux éminents enseignants à savoir le Professeur Xiuwen Liu et le Professeur W. Owen Redwood. Cette formation a été dispensée au cours du printemps derniers et ses initiateurs ont promis de la mettre continuellement à jour pour une autre session dans la même Université l’année prochaine.

La formation, intitulée « Offensive Security » est disponible en langue anglaise et s’étend sur une période officielle de 15 semaines en moyenne, mais bien sûr, en fonction de vos aptitudes et affinités, rien ne vous empêche de suivre le programme complet en plus ou moins de temps que celui prévu.

Les motivations ayant poussé à la conception de ce cours, telles que données par ses auteurs sont :
“The vision of this class is to fill the common gaps left by most University level security courses, by giving students a deep technical perspective of how things are attacked and hacked. The motivation of teaching such subject material was twofold: primarily to produce skilled students geared to become penetration testers and/or incident responders; and secondarily to hopefully raise the bar for security courses (as there is a real dearth of skilled security professionals coming out of college)”

Ce qui répond grandement à notre besoin car plusieurs ici au Cameroun (et dans d’autres pays) ont eu à faire des cours à l’Université, généralement très concentrés sur les aspects théoriques de la cyber sécurité, ce qui est bien des fois insuffisant pour une insertion professionnelle réussie. Ce programme a donc en partie, pour objectif de combler ce vide et permettre de produire des Professionnels de la Cybersécurite capables de comprendre et d’appliquer les techniques de haut niveau pour résoudre des problèmes techniques potentiellement complexes.

Les supports de cours sont fournis sous forme de présentation téléchargeable au format de votre choix (PDF, PPTX, ODT,…). En plus pour chaque module de cours est disponible une vidéo d’une dure d’environ 1 heure de temps retraçant en « live » la présentation. A la fin de certains modules des exercices sont fournis afin d’évaluer les apprenants. Pour les étudiants de la dites institution, un projet de fin de cours est même disponible. Le programme détaillé de la formation est accessible par ici : Offensive Security Class Syllabus.

Course Objectives:
Upon successful completion of this course of study, the student will:

  •  Know how to identify software flaws discovered through binary and source code auditing
  • Know how to reverse engineer x86 binaries
  • Know how to exploit software flaws (such as injection flaws, buffer overflows)
  • Know how to perform network and host enumeration, as well as OS and service fingerprinting
  • Know how to perform network vulnerability analysis, penetration and post exploitation
  • Know how to effectively report and communicate all of the above flaws”

Tous les supports de formation ainsi que les exercices et les informations complémentaires sont disponibles sur le site de ses concepteurs à cette adresse : Offensive Security Class Website. Notons par ailleurs qu’il vous est possible de télécharger directement le fichier torrent contenant uniquement l’ensemble de toutes les vidéos de la formation (sans les diaporamas et les exercices)

Note : Les supports de cours étant essentiellement en anglais il est nécessaire d’avoir un certain niveau de compréhension de la langue pour pouvoir les suivre. Par ailleurs, nous vous conseillons de travailler avec ces supports en formant des groupes (amis, collègues, club Info/Sec) afin de vous motiver d’avantage et de vous entraider lors de l’apprentissage.



Réseaux Sociaux et Sécurité avec les étudiants de la FGI, Douala

Dans le cadre de ses activités de sensibilisation du public sur l’usage de manière sécurisée des Technologies de l’information et de la Communication, il s’est tenu le 10 Mai dernier dans l’enceinte de la Faculté de Génie Industriel (FGI) raccordée à l’Université de Douala un atelier de 2 heures et demi sur le thème « Réseaux Sociaux et Sécurité ». Cet atelier est le fruit d’un concours d’efforts volontaires ayant vu la participation du Club Informatique de la FGI dans la planification et la coordination ainsi que l’Administration de l’Université de Douala pour avoir permis que cette rencontre ait lieu dans son enceinte.

Vous trouverez ci-dessous la présentation passée ce jour. Lors de l’atelier, une question posée était de savoir comment protéger sa boite mail, comment savoir si quelqu’un d’autre a eu accès à sa boite et que faire en cas de piratage de son compte, le lien suivant est un précédent billet assez détaillé sur le sujet : Et si on parlait de nos boites mails?

Il est à noter que ce genre de rencontre vont s’étendre dans les établissements scolaires   avec le temps et nous appelons ainsi les différents Clubs Informatique/Sécurité des dits établissements à bien vouloir rentrer en contact avec nous pour planification, ceci par mail (contact@camcybersec.cm)  ou tout simplement en utilisant le formulaire de contact présent sur le site de l’Association : http://www.camcybersec.cm/contact/

La presentation est disponible en télechargement direct par ici : CamCyberSec_FGI_reseaux_sociaux_et_securite_version_1.1

et directement consultable en ligne par ici : 

 



CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 2 : Critical Information Infrastructures Protection Workshop

Following the first part of the return on the 3rd CTO Cybersecurity Forum (which is reachable here) in the afternoon of Thursday, April 25, there were two tracks of choice and ours was to participate in the workshop on the Critical Information Infrastructure Protection (CIIP) led by David POLLINGTON from Microsoft Security in partnership with FIRST (Forum for Incident Response and Security Teams).

From the outset, the master session insisted that while it is Microsoft, during the workshop there will be no sale of any product of the firm’s employment, but rather to share  State of the art and best practices for CIIP and what is being done at Microsoft to get there.

The workshop was divided into two parts:

  • Critical Infrastructure Protection: Concept and Continuum: on the definition and contours of the Critical Infrastructure (CI) concept.
  • A Framework for Critical Information Infrastructure Risk Management, which offered us a set of process dedicated to the identification and management of risks in our CIIs (Critical Information Infrastructures).

For this purpose, two books were given to us, each focusing on a part of the workshop.

Speaking about CIIP, we should already be able to differentiate what is Critique and what isn’t. The criticality notion is variable from one state to another, there are no fixed patterns on it. However, some areas are included in several Critical Infrastructures models / catalogs in the example of Energy, Finance, Water, Transport, Food, Public Safety, … The following figure shows an overview of the areas considered critical in some countries.

CII_Sectors_By_Countries

Nowadays, with almost all automated and interconnected systems, our critical or not infrastructures  depends more and more on IT. However, when it comes to CIIP, it is not only a protection against threat which IT is the vector, including cyber attacks, but all types of factors that undermine our infrastructures which that either the original example of Terrorist Attacks, Natural Disasters, Wars, and many other kind of chaotic situations.

Critical Infrastructures Protection is intimately linked to four key points to be implemented :

  • Trustworthy Policies and Plans

This trustworthy need to meet the following three criteria : Build and reinforce strong cooperative partnerships among stakeholders, be Adaptable and Scalable, responding to ongoing changes in threat profiles and Contains Milestones and metrics that track the progress of a Critical Infrastructures Protection Program.

  • Resilient Operations

Resilience in this case is the ability to be able to anticipate or protect against the risk/significant attacks and to minimize the duration and impact of the incident suffered. Critical Infrastructure Resilience allows not only to protect for the potential risks, but also and especially to be able to optimally manage to return to normal as soon as possible. This can not be done without regulars exercises to test incident response capabilities and it involves governments, vendors and enterprises working together to appropriately assess, mitigate and recover from attacks.

  •  Investment in Innovation

CIP must be constantly aware of latest sophisticated threats. Due to that, People, processes and technology must be considered when defining CIP practices, programs, education/training and Reaseach and Development.

  • Trusted Collaboration and Information Sharing

The first three criteria mentioned above, put together thanks to a good collaboration and information sharing among different stakeholders enable partners said.

The figure below shows the structure exploded of four key steps listed above and their subsets

CIP_Continium

Following these strategic axes for the Critical Infrastructure Protection (CIP) Microsoft has established a framework for comprehensive management of risk associated with these assets. This framework is divided into five consecutive steps defined as follows :

1.  Determine Risk Management scope

This phase will determine the appropriate well as the objectives and activities for the risk management scope. It will be done into three consecutive steps :
– Reaching stakeholder consensus on statement of mission and vision, it in determining what should be protected and why.
– State the specific security and resiliency goals, objectives and assurances
– Identify essential services

2.  Identify Critical Information Infrastructures functions

Relation_Between_CII_And_Cybersecurity Determining the Critical Information Infrastructure functions is the second stage of the CII Risk Management plan. This refers to the stakeholders to have an open debate on the criticality of assets and together define which Information Infrastructure elements, critical functions and key resources are necessary to deliver vital government services, economy, and to ensure public safety.

3.  Analyze Critical Function Value Chain and Interdependencies

Services, processes and core functions are not partitioned entities, but rather composed of several closely related sub-components that jointly enable an end objective, understanding the complexity and interdependence between value chain is not just used to analyze threats, vulnerabilities and consequences, but more importantly, identifies stakeholders and strategic suppliers of value chains involved. As an example, the figure below shows an overview of what this step can bring:

CII_Value_Chain

4.  Assess Critical Function Risk

This step focuses specifically on threats and vulnerabilities of critical functions. In terms of CII, the risk is function of threat, vulnerability and their consequences. This results in the equation:

Risk = ƒ(Threat, Vulnerability, Consequence)

In this equation:
Threat refers to any natural or Human factor
Vulnerability here means a weakness or failure which can be exploited by a threat
Consequence also called « Impact » refers to costs, losses or results from the successful exploitation of a vulnerability by a threat.

 5.  Prioritize and Treat Critical Function risk

Prioritize and deal with a continual and ongoing risks to critical functions of our infrastructures leads to four possibilities:
– Risk Mitigation, Mitigating the impact/effect of risk
– Risk Prevention
– Risk Transfer (in the case of insurance, for example)
– Risk Acceptance/Retention, whose means to accept the probability and impact of a particular risk.

At the end the trainer noted in caption that CII Risk Management is not a static state, but a Continuous Process lead by the culture of ongoing risk management activity throughout each phase of the CIP Continuum. It is on this score that ended this very informative workshop on Critical Information Infrastructures Protection.

After this, we will like to know: How many African Countries have already setup this types of Critical Information Infrastructures Risk Management Process? much more how many of them have only finish with the first step of this framework? What about Cameroon, are we aware about this? too much work need to be done, but it’s not too late!

 Sources :

1- Microsoft Trustworthy Computing : Critical Infrastructure Protection : Concepts and ContinuumGlobal Security Strategy and Diplomacy

2- Microsoft Trustworthy Computing : A Framework for Critical Information Infrastructure Risk ManagementGlobal Security Strategy and Diplomacy

 



CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 1

Last days, was held at the Palais des Congrès of Yaoundé 3rd Cybersecurity Forum organized by the Commonwealth Telecommunications Organisation (CTO). We had the opportunity to take part in this event with the assistance of the organizing committee of the CTO Event, who has kindly granted to the non-governmental organization working in the areas of Cybersecurity and Awareness of populations in Cameroon called « Cameroon Cyber ​​Security (2CS) », a free entry pass. For information, note that access to the various workshops was paying, to the order of 130,000 FCFA and more per person, depending on the member’s affiliation. We hereby wish to thank the organizing committee of the CTO Cybersecurity Forum for their encouragement to our local initiative.

CTO Cybersecurity Forum 2013 (1)

The venue does not have an Internet connection, which is quite curious especially because the Internet was cut the spotlight as the subject, it was impossible to livetweet the event in its entirety. However, you can reach some of the tweets made during the various workshops that were held over via the hashtag #CTOSecure on Twitter.

As a prelude to the main conference, held from Monday 22 to Wednesday, April 24, a workshop on the protection of Children Online. Being arrived at the site of the conference on Wednesday 24, we have not had the opportunity to take part in this workshop. However, presentations made during this past session are available online on the website of the CTO [1], and are about the measure taken by the Commonwealth countries for the protection of Children in the online services and an Experience Sharing for the implementation of these programs with practical case for the Gambia, Nigeria, Mauritius, Ghana, Serra Leone and Cameroon.

The Thursday 25 marked the beginning of the Forum itself with messages of openings and welcome by Senior Representatives of various organisations involved in the event (ITU, Government of Cameroon, ART, …). This opening sequence is followed by various keynotes led by several high profile experts in their fields, each in a 15 minute « Fastrack » mode.

During these keynotes, we got to turn speeches by Professor Tim UNWIN, Secretary General of CTO, under the theme: « Cybersecurity in the Commonwealth: Setting the stage ». It was a matter to draw the attention of the public and in turn members of the Commonwealth states on the need and the importance of implementation operational and efficient Cybersecurity Program, this by recalling to everyone that Cybersecurity is not just about our computers, but extends to all ICT devices (Smartphone, tablets, mobile devices, home automation, …).

Following this very rewarding keynote, it was the turn of Jamie Sanders to talk on the theme: « Cybergovernance and Growth », where it was clear that the mastery of cyberspace is closely linked to the growth of a nation.

David POLLINGTON in his presentation: « Critical Information Infrastructure Protection: Implications for developing countries » thus, we talked about the problems and opportunities relating to the Critical Informations Infrastructure Protection (CIIP) at the state level for countries in development. Indeed, most of these countries have become platforms for expansion and pivot for cybercriminals, putting at risk the integrity of their CIIs (Critical Information Infrastrutures). This presentation was further at the workshop on the CIIP, always animated by David Pollington in partnership with the FIRST (Forum for Incidence Response and Security Teams).

Presentations of Alex SERGER on « Cybercrime: The Cost of Crime-The Benefits of Cooperation » and Mario MANIEWICZ « Internet governance: Towards a Global Approach on Cybersecurity » is challenged before a major aspect in the fight against Cybercrime: Information Sharing. It is therefore crucial to the various stakeholders, both national, international and non-governmental to setting up processes for Intelligence sharing on threats and attacks present on each of their networks, in order to generate a climate of cyber overall prevalence. Indeed, Cybersecurity is a process involving several links in the chain, without a global vision and comprehensive measures, cybercriminals can always slip between the cracks, exploiting these differences in processes and laws to their advantage. These topics also discuss about the Budapest Convention and it’s ratification buy many countries. The main idea here was « Cooperation and Sharing ».

We can not go on without mention to you the presentation of Pierre DANDJINOU from AfricaCERT under the theme: « Promoting Cyber ​​security in Africa » ​​where the issue was for him to present the evolution of this joint initiative from its genesis to its past, current and future accomplishments. This is a very promising program by which the Cybersecurity ecosystem in Africa was rise up several (creation of naAFRICACERTtional CERT/CIRT, Workshops and Training on Incident Detection and Security Management held annually, Sessions of Good Practices Sharing between our local CERTs and International Organizations – like Team Cymryu, JCERT, FIRST … – Cybersecurity bill submitted to the African Union, …).

It is on these keynotes that is completed the first part of the day. A second part will be the subject of our next publication and focus on the Workshop entitled « A Practical Approach to Critical Information Infrastructure Protection »

 

Source :

[1] CTO Cybersecurity Forum Presentations Repository :

[2] AfricaCERT Website

 



Formation sur la norme PCI-DSS au Cameroun

De quoi s’agit-il ?

Commerce électronique, monnaie virtuelle, mobile money et autres services faisant appel aux moyens de paiements dématérialisés se généralisent de plus en plus an Afrique en général et sur le triangle national en particulier.

Cet engouement pour l’arrimage aux nouvelles technologies et facilités n’est pas juste l’apanage des opérateurs économiques standards (œuvrant dans la légalité) mais bien aussi pour les réseaux de cybercriminels dont l’objectif est de spolier les utilisateurs et entreprises des sommes stockées dans leurs comptes électroniques. Plusieurs moyens d’opérations sont disponibles pour ses brigands des temps modernes, et parmi eux les plus utilisés sont notamment les techniques de phishing visant a soutirer à l’utilisateur final ses information bancaire confidentielles (login/password, numéro de Carte Bancaire, CVD, CVV, …) en lui faisant croire qu’il se trouve sur le site original de sa banque pourtant il ne s’agit que d’une interface contrefaite. La seconde méthode consiste pour les pirates de s’attaquer directement à l’infrastructure de traitement ou de transit des information bancaires des usagers, ainsi les eShop, eBanks et toute autre infrastructure physique ou virtuelle utilisant les information bancaire des usager deviennent la cible idéale pour les hackers.

PCI-Compliance

Payment Card Industry Data Security Standard (PCI DSS) [1] est une norme largement acceptée et éprouvée portant sur un ensemble de politiques et de procédures destinées à optimiser la sécurité des transactions d’argent par carte de crédit et de débit et de protéger les titulaires de carte contre toute utilisation abusive de leurs données personnelles. La norme PCI DSS a été créé en 2004 par un commun accord entre quatre grandes sociétés de cartes de crédit: Visa, MasterCard, Discover et American Express.

A qui s’adresse t-elle ?

Cette formation s’adresse à tout ceux qui de près ou de loin interviennent dans les processus faisant appel aux transactions de cartes Bancaires (Visa, MasterCard, American Express, …). Notamment :

–           Les Boutiques électroniques (eShop) et tout autre commerce en ligne permettant l’achat via les cartes bancaire mentionnées plus haut.

–           Les Banques proposant les services de eBanking

–           Les Assurances couvrant les risques liés à l’Informatique et ses usages (Piratage Informatique, Vol de données, …)

–           Le personnel Technique Opérationnel et Managérial travaillant sur les infrastructures offrant les services de paiement/transactions électroniques (SysAdmin, Security Engineers, Security Analyst, CISO, CIO, …)

–           Les Consultants en Audit et Sécurité de Systèmes d’Informations

–           Tout autre professionnel des Technologies de l’Information et de la Communication ayant un intérêt pour la sécurité des moyens de paiement électroniques.

Où et Quand ?

La formation se tiendra à Yaoundé du 7 au 8 Mai 2013 sur un planning de 9H à 17H avec des pauses intermédiaires.

Organisée par qui ?

La formation à venir est le fruit d’un partenariat entre Ingenieris Cameroun Sarl [2] qui sera l’hôte local de l’événement et NET HOST LEGISLATION U.K [3] en provenance d’Angleterre qui est un Formateur Certifié PCI QSA (Qualified Security Accessor) par le PCI Council ayant plusieurs années d’expérience dans les Audits de conformité et les formations sur la norme PCI DSS.

Information pratiques :

Le planning détaillé de la formation ainsi que les modules de cours abordés et leur ordonnancement sont décrit dans la brochure de formation en annexes[4].  Pour tout complément d’information bien vouloir prendre attache :

–  Soit avec Ingenieris Cameroun Sarl directement via ses contact mail : contact@ingenieris-cameroun.com et téléphonique : +237 22 08 01 27

–  Soit avec Net Host Legislation par mail : infos@nethostlegislation.co.uk

 

Annexes :

[1] PCI DSS http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

[2] Ingenieris Cameroun Sarl http://it.ingenieris-cameroun.com

[3] Net Host Legislation UK  http://www.nethostlegislation.co.uk/

[4] Brochure Formation Certifiante PCI-DSS