8.3.19

International Women’s Day 2019: How can we be better allies?


Every year on March 8, we celebrate International Women's Day to honor the social, economic, cultural and political achievements of women. But we also acknowledge that there is still a long way to go before we’ve truly reached gender parity. This day gives us the opportunity to reflect on how we can achieve that balance. So it’s particularly fitting that the theme of this year’s International Women’s Day is “Balance for Better”


Tech, and security in particular, have historically had a particularly skewed gender representation. But we can all play a part in helping to encourage more balance in our industry. In this post we’ll discuss a few things we can all do to ensure that everyone feels welcome.
Seek out and amplify diverse voices
Security opinion can sometimes resemble an echo chamber, with the same thoughts being expressed by the same people, over and over again. We can interrupt this repetition by amplifying people who might not normally get a lot of attention, but who have interesting and fresh things to say. Seek out and listen to the voices of women and non-binary people in tech and security, as well as people from other underrepresented groups. This can be on social media, in articles or posts, for speaking engagements including panels, or within your own company. Find promising people to mentor or sponsor within the community or within your company. Explore the benefits of reverse-mentorship.
Speak out against unhelpful behavior
It’s a well-researched phenomenon that women frequently get interrupted when speaking. This is something everyone can and should be mindful of. If you observe this happening in a group environment, you can redirect the conversation back to the original speaker. For example, you could stop an interruption by saying, “Excuse me, I didn’t get to hear everything she had to say.” Likewise, if a woman makes a suggestion in a meeting that’s shot down or ignored, you can repeat the idea and credit its source. Certain segments of security have historically had an adversarial culture that can swerve into outright hostility. While it can be particularly scary to confront people when this happens, if we ever hope to bridge the ever-expanding talent gap, we need to stand up to people who are being rude or aggressive to others.
Speak up for pay transparency
While it can be difficult in cultures where it’s considered taboo to talk about how much compensation you receive, it can be a very simple and powerful way to help women achieve parity. Having clear metrics for pay ranges can potentially help improve productivity, as well as employee retention and recruitment. For those seeking to hire new employees, establish a pay range for the position before you start recruiting talent. You can either include this information in your job listing, or notify all qualified applicants early in the process.
Advocate for consistent and measurable promotion criteria
Part of the benefit of having established metrics for pay levels is that employees know what they need to do to work towards higher levels of pay. People can document and share their own efforts to meet measurable criteria, rather than relying on someone higher in the company hierarchy noticing their actions and deeming them worthy. This can be helpful for a wide variety of people who might otherwise be passed over promotions, including women.
Model a healthy work/life balance
Women are more likely to have informal caregiving responsibilities outside of work, including caring for children, spouses, friends, or aging parents. Even if you’re not in a position to help out in your own family with caregiving needs, you can help others by modeling a healthy work/life balance when you’re on the job. This can include maintaining good self-care outside of work by regularly taking available vacation time, and only responding to email (that isn’t truly urgent) during your regular work hours. By establishing a culture where it’s “okay” to take personal time, you can make it easier for those who have significant responsibilities outside of work to take the time they need.
There are many effective ways to help balance representation that are not limited to “Diversity and Inclusion” initiatives. Every one of us can take small but meaningful steps to make tech and security a more welcoming place for a wide variety of people. And on March 8, you can join the celebration happening on social networks by checking out #BetterForBalance.

7.3.19

Une mise à jour de Chrome remédie à une vulnérabilité jour zéro




Les utilisateurs devraient immédiatement effectuer cette mise à jour, afin d'utiliser la dernière version du navigateur et protéger leurs appareils.


Google a révélé que la dernière mise à jour pour Google Chrome, mise en ligne à la fin de la semaine dernière, a comblé une faille de sécurité que les attaquants exploitaient déjà dans la nature.
« Google est au courant d’informations selon lesquelles un exploit pour CVE-2019-5786 est présent dans la nature, » a indiqué la société dans une mise à jour publiée mardi après la publication initiale de l’avis vendredi dernier. Mardi également, un tweet de Justin Schuh, ingénieur en sécurité chez Chrome, a souligné davantage l’urgence de la question : « [Comme], sérieusement, mettez à jour vos installations Chrome…. [Comme] à cette minute même. »
La vulnérabilité, qui affecte le navigateur sous Windows, Mac et Linux a été rapportée le 27 février par Clément Lecigne, membre du groupe d’analyse des menaces de Google.
La faille de sécurité est un bogue de corruption de mémoire de type « use-after-free » dans l’API FileReader du navigateur, un composant du navigateur permettant aux applications Web de lire des fichiers stockés localement. Cela dit, l’exploitation de la vulnérabilité peut causer plus de dommages que le nom de l’API ne l’indique. Comme le révèle une note du Center for Internet Security (CIS), les attaquants pourraient alors réussir à exécuter à distance du code arbitraire sur le système ciblé :
« Selon les privilèges associés à cette application, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d’utilisateur, » précise la note. Ce jour zéro peut être déclenché lorsqu’un utilisateur est attiré sur une page Web spécialement conçue à cet effet.
À la lumière de tout cela, il est conseillé aux utilisateurs d’effectuer la mise à jour vers la version 72.0.3626.121 de Chrome, si ce n’est pas déjà fait. La façon la plus simple de vérifier si une mise à jour est en attente est sans doute de taper chrome://settings/help dans la barre d’adresse du navigateur et, si votre navigateur n’est pas à jour, de suivre les instructions de mise à jour.


RSA – La sécurité de l’IdO répond aux besoins des PME


Quelques conseils que les entreprises peuvent adopter pour améliorer leur sécurité sans se ruiner


Au RSA , les petites et moyennes entreprises (PME) sont confrontées à l’énorme tâche de sécuriser l’explosion des appareils de l’IdO, désormais omniprésents dans l’environnement commercial. Dans le passé, l’IdO pouvait être largement ignoré dans un contexte commercial, mais ce n’est plus le cas aujourd’hui. Par exemple, une petite entreprise typique traite maintenant les cartes de crédit sur des appareils de base, et non sur du matériel de sécurité spécialement conçu à cette fin, et c’est un problème.
Alors que les appareils de l’IdO sont de plus en plus présents au sein des PME, il en va de même pour les problèmes de sécurité qu’ils amènent. Vos employés qui apportent leurs appareils de chez eux transportent maintenant des vulnérabilités potentielles pour travailler avec eux.
Pour lutter contre ce problème, comme l’a fait remarquer un fournisseur, le cycle de vie de la sécurité devient maintenant une préoccupation à laquelle les PME doivent s’arrêter. Avec les vulnérabilités potentielles d’une multitude de dispositifs ad hoc qui apparaissent dans les murs de votre entreprise (ou à l’extérieur des murs mais avec accès aux mêmes données), on ne sait pas quels dispositifs peuvent toucher vos données, mais ce ne seront pas simplement les PC d’hier. Qu’il s’agisse d’implémentations Linux ponctuelles via un DVR ou de la dernière version d’un gadget basé sur Android, la surface de sécurité se trouvent désormais partout et sur de multiples plateformes.
Le problème, c’est que la plupart des petites entreprises n’ont aucune idée de ce qu’est un cycle de vie de la sécurité, et encore moins de la façon de le mettre en œuvre ou même de le concevoir en premier lieu. De la découverte à l’intégration, en passant par la sécurisation, l’optimisation et la gestion des dispositifs, c’est une tâche ardue. Voici donc quelques mesures que les entreprises peuvent prendre pour s’améliorer sans se ruiner.
1.      Authentification multifactorielle : Que vous optiez pour des jetons matériels ou un logiciel de gestion de justificatifs d’identité, c’est une solution facile et peu couteuse. Les dispositifs de sécurité USB, par exemple, coûtent moins de 50 $ et sont très efficaces de nos jours. Il en va de même pour les logiciels qui offrent des fonctionnalités similaires, qui ne coûtent pas cher et qui renforceront considérablement la sécurité de votre organisation. De nos jours, le logiciel est beaucoup plus facile à comprendre – vous n’aurez pas besoin d’un diplôme de troisième cycle en cryptographie pour appuyer sur quelques boutons pour le faire fonctionner.
2.      Intelligence réseau : Puisque la majorité des appareils IoT se connectent à votre routeur de petite entreprise, si l’un d’entre eux est piraté à des activités malveillantes, les anomalies de trafic réseau représenteront un bon endroit pour commencer à rechercher les signes suspects. Et bien que vous puissiez théoriquement pirater ensemble quelques « Frankenbox » avec Linux durci dessus, vous n’avez pas besoin de le faire. Divers vendeurs ici ont de petits boîtiers que vous branchez à votre routeur sans fil et qui vous diront ce qu’il y a à faire. Qu’ils soient connectés dans le nuage pour évaluer les dernières menaces ou non, ces dispositifs vous avertiront lorsque quelque chose de douteux se présente et vous donneront un aperçu du comportement [du réseau] de vos dispositifs d’IdO.
3.      Sauvegardes : C’est le genre de mesures évidentes que vous pourriez avoir tendance à délaisser, jusqu’à ce que vous soyez affecté par un rançongiciel ou toute autre activité malveillante ou suspecte. Des sauvegardes simples et efficaces sont une mesure d’une efficacité et d’une simplicité peu commune. Certaines suites logicielles vous donnent même la possibilité de rejouer la suppression, la copie ou l’exfiltration de fichiers pendant une période prolongée, au cas où l’un de vos employés ou entrepreneurs volerait les joyaux de la couronne numérique. Encore une fois, vous n’avez pas besoin d’une vaste offre au niveau de l’entreprise (bien qu’il y en ait beaucoup ici aussi!). Vous pouvez commencer simplement et évoluer au fil du temps si vous en avez besoin. L’important, c’est d’avoir quelque chose. Vous serez heureux de l’avoir fait!
Que vous soyez nouveau dans le milieu de la petite entreprise ou que vous en soyez un vétéran, il y a certainement des leçons et des apprentissages à tirer de RSA, dont ces trois éléments qui contribueront grandement à assurer la sécurité des gens des PME sans amputer votre budget.