Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Actus Technos – Octobre 2020

Forcepoint DLP 8.8 & Forcepoint DLP OneEndpoint 20.09



Le version 8.8 de Forcepoint DLP intègre les évolutions suivantes :

○ il est désormais possible d'intégrer les politiques DLP avec Forcepoint Web Security Gateway (WSG)
○ Déploiement d'une nouvelle version d'agent DLP 20.09
○ Mise à jour des Files Classifiers dans le package de l'agent (rétro compatibles 20.07)
○ Ajout d'un nouveau message de blocage pour l'agent DLP afin d'informer l'utilisateur de l'échec du chiffrement d'un fichier avant son envoie sur un support amovible.

Implémentation du DLP "Risk-adaptive"
Cette fonctionnalité permet de créer des politique DLP s'adaptant au contexte de l'utilisateur. Pour cela la fonctionnalité "Risk-Adaptive DLP" doit être déployée sur les environnements Hybrides ou les agents Forcepoint DLP et l'agent Cloud Neo Endpoint sont installés.

Release Notes : Forcepoint DLP 8.8 Using Risk-Adaptive DLP by Forcepoint

Clearswift v5 est disponible !



La nouvelle version majeure de la Secure Email Gateway de Clearswift est disponible, c'est la version 5.0

Cette version majeure apporte les nouveautés suivantes :
○ Mise à jour de l'OS en Red Hat Entreprise Linux 7.8. Ce changement apporte entre autres la gestion des paramètres système via la console Red Hat Cockpit
○ Ajout d'un second antispam dans le traitement des email : rspamd A noter : ce nouveau moteur antispam n'est pas actif par défaut.
○ Nouvel version du moteur Antispam historique : Mailshell SDK 8.2.1
○ implémentation de SMBv2
○ L'interface est désormais Responsive.
○ Amélioration des fonctions de recherche d'objets dans les menus de configuration
○ Le moteur Antivirus Avira est mis a jour.

Problème corrigés par cette nouvelle version :
○ le moteur Kaspersky connaissait un bug provoquant une utilisation excessive de la Mémoire vive.
○ Possibilité de changer des partis de configuration sans les permissions requises.
○ Problème de détection lexicales.

/!\ NB ;
- Il est possible de mettre a jour votre SEG v4.x. Dans ce cas un saut par la version 4.11.2 est impératif.
- Il est aussi possible de faire une nouvelle installation de Clearswift v5, et d'y importer la configuration depuis
- les prérequis hardware ont changés.

What's new in Cleaswift 5.0.0?

Totemomail 6 - Fin du support étendu



En mars 2020 à la suite du Covid-19, la société Totemo avait étendu le support de totemomail 6 jusqu'au 30 septembre 2020.

Nous vous invitons à vous rapprocher de votre contact e-Xpert Solutions.

Cette date étant passée, la version Totemomail 7 est désormais la version recommandée et supportée.

Support étendu pour totemomail 6

Forcepoint SMC NGFW version 6.8.2 is now available



La version 6.8.2 du Management NGFW Forcepoint (SMC) est disponible depuis mi-octobre.

Cette version vient corriger plusieurs problèmes connus dont la liste est consultable via la Release note ci joint.

Release Note SMC 6.8.2

Splunk 8.1



Nouvelle version Splunk 8.1
Editeur Splunk
Version majeur8
Date de publication 20 Octobre 2020
Correctifs apportés
  • splunk ne lit plus les logs après une rotation de logs Autres problèmes résolus par Splunk 8.1
  • Nouvelles fonctionnalités
  • Support de SmartStore pour la platform Cloud de Google (GCP)
  • Ajout de nouveau Endpoint REST API et Mise à jour d'existants. Autres nouveautés de Splunk 8.1
  • Splunk 8.1 Release Note

    F5 APM Client Edge 7.1.9.7



    F5 Edge Client 7.1.9.7
    Editeur F5
    Produit APM
    Version Majeure7.1
    Date de publication 15 septembre 2020
    Correctifs apportés
  • Amélioration de la stabilité de la fonctionnalité Windows Logon Integration
  • Amélioration du fonctionnement de la résolution DNS couplé au filtrage par IP
  • Amélioration du fonctionnement du VPN Split tunnelling avec des exclusions DNS
  • Correction d'un problème de connexion du Edge Client sur les systèmes Windows 10 avec Secureboot activé
  • Correction d'un bug ou un utilisateur ne pouvait pas saisir ses identifiants lorsqu'il avait pressé la touche Ctrl
  • Release Notes : APM Client 7.1.9.7

    Endpoint Security E84.00 Windows Clients



    La dernière version du client Endpoint Security apporte pour seul changement le support de la dernière version de Windows 10 : Windows 10 20H2 (version 2009).

    What's New in E84.00 ?

    RAPPELS : Composants Mobilite de VMWare en fin de vie.



    L'écosystème Workspace One étant vaste, un petit rappel des composants qui arrivent (ou sont arrivés) en fin de vie.

    Workspace One UEM : Version 1905. Fin de support annoncé pour 30 Novembre 2020.

    Personal Content : Fin de support depuis Janvier 2020, mais les menus étaient encore présents dans les apps mobiles. Attention, la dernière release des apps Content pour Android et iOs suppriment le menu Personal Content. Par ailleurs, plus de support pour la partie Content Sync pour Windows et MacOS

    Content Locker for Windows : Fin de support 31 Juillet 2021

    AirWatch Container : Fin de support depuis le 30 Aout 2020

    Android Legacy Enrollments : Fin de support le 31 Mars 2022. Avant cette date, tous les Androids doivent être passés sous Android Enterprise pour l'enrôlement, après avoir lié votre environnement Workspace One UEM à Google.

    Workspace One Application : Fin de support 11 Aout 2021. Avant cette date, il faudra que les terminaux utilisants cette application soient migrés vers Intelligent Hub.

    VMware Advanced Remote Management 4.4 et 5.0 : Fin de support depuis le 1er Juillet 2020, et remplacé par Workspace One Assist.

    Par ailleurs, n'oubliez pas la fin de vie de l'ancien système de PUSH Notification d'Apple annoncée dans un précédent post.


    • Yoann Le Corvic

      Yoann Le Corvic

      Senior Security Engineer  / CISM

    • Catégorie : Post-IT

      Date : 5 octobre 2020

      Mise à jour : 5 octobre 2020

    fr Splunk: valeur ajoutée pour les équipes sécurité


    Les solutions de Log Management apportent aux équipes de sécurité des outils permettant une analyse efficace de grands volumes de logs générés par une multitude de sources de données différentes.
    La gestion des logs concerne : ...


    • Antoine Valette

      Antoine Valette

      Security Engineer

    • Catégorie : Articles

      Date : 24 septembre 2020

      Mise à jour : 24 septembre 2020

    Actus Technos – Septembre 2020

    RSA MFA Agent 2.0 pour Microsoft Windows



    RSA a annoncé la sortie du nouvel agent RSA MFA Agent 2.0 pour Microsoft Windows. Ce nouvel agent unifié permet l’interaction avec RSA Authentication Manager 8.5 et RSA SecurID Access Cloud Authentication Server (CAS). Cet agent apporte les nouvelles fonctionnalités suivantes :

    - Solution d’authentification forte (MFA) pour les utilisateurs à la fois online et offline.
    - Support d’algorithmes qui prennent en charge FIPS 140-2 afin de répondre aux besoins de sécurité et de conformités
    - Accès offline pour les accès urgents afin de ne pas impacter la productivité
    - Fonctionnalités en libre services tels que la gestion des jours hors connexion, la personnalisation des interfaces MFA ainsi que l’accès aux pages d’aide
    - Nouveaux paramètres permettant aux administrateurs une meilleure gestion du load-balancing ainsi que des mécanismes de fail-over, politique de changement des mots de passe ainsi que défis users/groups.

    L’upgrade de l’agent RSA Authentication Agent 7.4 ou supérieur est supportée via un utilitaire automatisant les processus pour une migration directe. L’upgrade depuis une version MFA 1.1 ou supérieur est également prise en charge.

    RSA Authentication Manager 8.5



    RSA Authentication Manager est une solution de sécurité MFA qui fournit différents types d’authentification et de second facteur pour aider les entreprises à protéger l’identité de leurs employés. Combiné au Cloud Authentication Service (CAS), RSA Authentication Manager agit également comme proxy pour ce dernier ainsi que comme on-prem failover node pour garantir la haute disponibilité de l’authentification MFA.

    Haute disponibilité du cloud hybride
    RSA Authentication Manager 8.5 peut être déployé en tant que proxy pour le Cloud Authentication Service (CAS) et garantir le failover pour le service d’authentification cloud. L’Authentication Manager valide les token RSA SecurID et transmet les demandes d’authentification MFA au CAS. Si le CAS ne peut être atteint, Authentication Manager peut inviter les utilisateurs à utiliser leurs Token téléchargés. Cette fonctionnalité garantit une haute disponibilité des ressources critiques protégées par un agent SecurID et crée une solution cloud hybride hautement disponible et sécurisée.

    Déploiement des Identity Router simple et rapide
    RSA a simplifié la connexion au CAS en intégrant directement les Identity Router dans les instances RSA Authentication Manager.

    Authentification cloud simplifiée
    En utilisant RSA Authentification Manager 8.5 comme serveur proxy en configurant les agents pour envoyés les requêtes d’authentification à l’authentification Manager, les multiples connections REST entre l’Authentication Manager et le CAS sont réduites. L’Authentication Manager valide les token RSA SecurID mais envoi directement les autres demandes d’authentification MFA au CAS.

    Upgrade facilité
    En utilisant le processus d’upgrade de RSA, l’upgrade vers RSA Authentication Manager 8.5 peut être fait directement depuis les versions 8.2 SP1, 8.3 ou 8.4. Pour les versions inférieures, un upgrade intermédiaire en 8.2 SP1 est nécessaire. Les certificats LDAPS ou console 1024bits utilisés dans les versions 8.2 SP1 ou 8.3 doivent cependant être remplacés par des certificats d’au moins 2048 bits avant l’upgrade (ce qui était déjà le case en 8.4).

    Collecte des données d’utilisation
    Afin de mieux comprendre la configuration et l’utilisation des produits, ainsi que dans un but d’amélioration du support, RSA collecte de façon anonyme des données. Aucune information sensible ou PII (Personally Identifiable Information) n’est collectée. Ce service est actif par default lors de l’upgrade vers RSA Authentication Manager 8.5.
    Nous recommandons cependant vivement de désactiver la collecte d’information automatique.

    Prise en charge des agents RSA
    RSA Authentication Manager 8.5 prend en charge les versions d’agents suivants :
    - Agents qui utilisent le protocol UDP
    - Agents qui utilisent le protocol REST (RSA Authentication Agent 2.0 ou supérieur pour Microsoft AD FS)
    - Agents RSA Authentication 8.0 ou supérieur pour PAM
    - Agents RSA MFA Agent 2.0 pour Microsoft Windows
    L’agent RSA Authentication pour Citrix StoreFront requière la version 2.0.1 pour utiliser les fonctionnalités de RSA Authentication Manager 8.5

    RSA® SecurID Access Release Notes for RSA Authentication Manager 8.5

    Identity Awarness - Terminal Server Agent v2 (MUH2)



    Une nouvelle version de l'agent Multi-user Host pour les Terminal Server est disponible, la V2 !

    Cette nouvelle version "MUH2" est fonctionne de manière tout à fait différente de la première version quant à l'identification du trafic
    par utilisateur sur les terminaux Multi-User (Citrix, TS Server).

    Les serveurs TS & Citrix communiquent avec le firewall via une seule adresse IP tandis qu'ils sont utilisés par plusieurs utilisateurs simultanément. Cette nouvelle version permet de fournir au firewall la capacité d'identifier l'utilisateur d'origine derrière chaque connexion provenant de ces hôtes multi-utilisateurs.

    Voici les principaux changements :
    ○ support des versions 2016 et 2019 de Windows Server
    ○ la limite du nombre d'utilisateur par TS passe de 15 à 256.
    ○ MUH2 n'est compatible qu'à partir de la version r80.40 ou à partir de la r80.30 JHF 210.
    ○ l'Identification des utilisateurs n'est plus basée sur un range de port TCP. Désormais un tag est ajouté par l'agent dans l'ensemble des paquets d'un utilisateur.
    ○ l'Agent MUH2 installe un driver WFP qui intercepte le trafic à l'origine d'un utilisateur et tag le paquet avec un pool d'ID.
    Chaque user bénéficie d'un pool assigné bien plus grand qu'avec MUH1.


    NB : Ce fonctionnement n'est disponible que sur les flux TCP et UDP.


    /!\ il n'est pas possible de mettre à jour la version 1 vers la version 2. Une désinstallation de MUH1 est nécessaire, suivi de l'installation de MUH2. Un reboot est recommandé après l'installation de MUH2.

    Terminal Server Agent v2 (MUH2)

    APM Client 7.2.1 (aka F5 Client Edge)



    Une nouvelle version du client Edge est disponible : la version 7.2.1

    NB : Cette version n'a pas encore été validée par e-Xpert Solutions, cependant des bugs nous poussent à ne pas la recommander pour le moment.

    Cette nouvelle mouture apporte de nombreuses améliorations :

    ○ Support des systèmes d'authentification de type U2F/ FIDO tels que Yubikey
    ○ Support du Splut Tunnelling DNS pour les domaines DNS en Round-Robin
    ○ Support du DTLS 1.2
    Ce protocole a pour objet la sécurisation des communications F5 <> Client Edge afin de prévenir des attaques de type "message forgery, Man in the Middle, etc.

    Aussi de nombreux bugs sont corrigés, corrigeant quelques vulnérabilités et améliorant la stabilité du système. Afin de les identifier nous vous renvoyons vers la Release Note

    Release Notes : APM Client 7.2.1

    Actus Technos – Août 2020

    Check Point r80.XX Jumbo Hotfix



    Pour la version r80.40 la version de hotfix recommandée est le Take_67. Le Jumbot Hotfix "On Going" est le Take_74.

    Pour la version r80.20 la version de hotfix recommandée est le Take_161. Le Jumbot Hotfix "On Going" est le Take_173

    Etant donné le grand nombre de changement et correctifs inclus dans ces Hotfix, nous vous redirigeons vers les Releases Notes.

    Jumbo Hotfix Accumulator for R80.40 Jumbo Hotfix Accumulator for R80.20

    Enterprise Endpoint Security E83.20 macOS Clients



    Cette version 83.20 du Client Enterprise Endpoint Security E83.20 apporte les fonctionnalités suivantes :

    ○ La blade Anti-Malware est désormais disponible pour MacOS
    ○ Scan contextuels par la blade Anti-Malware
    ○ Support de l'extension Chrome de l'agent Sandblast avec la capacité d'utiliser la blade URL Filtering
    ○ support de nouvelles fonctionnalités VPN
    > Multiple Authentication Factors
    > Multiple Entry Point, Implicit mode
    > Secondary Connect

    What's New in E83.20 for macOS

    Enterprise Endpoint Security E83.11 Windows Client



    Cette version mineur n'apporte pas de nouvelle fonctionnalités. Cependant elle corrige la vulnérabilité CVE-2020-1350 sur les Windows Server.

    What's New in E83.11

    Workspace One UEM et Apple Push Notifications


    Apple modifie le mode de fonctionnement pour l'envoie de "Push Notifications" en passant d'un protocole TCP à une connexion HTTP/2. Vous trouverez tous les détails ici. Ce changement est annoncé depuis longtemps, mais l'échéance approchant, certaines vérifications s'imposent.

    L'ancien système sera complètement arrêté en Novembre 2020.

    Pour les clients ayant une installation On Premise de Workspace One UEM, vous devez vous assurer avant cette date que votre version est compatible. Le premier critère est que la version de Workspace One UEM doit être 19.05 ou >. Vous trouverez le détail des versions (et patch levels) supportés ici.

    Notez par ailleurs que bien que ce flux soit en HTTP/2, les contraintes d'authentification Apple (par certificat) impose une connectivité directe entre les serveurs Workspace One UEM (Device Services, Console Server) et les serveurs PUSH d'Apple, sans passage par un proxy Web.


    • Yoann Le Corvic

      Yoann Le Corvic

      Senior Security Engineer  / CISM

    • Catégorie : Post-IT

      Date : 3 août 2020

      Mise à jour : 3 août 2020

    fr Microsoft DNS : Critical remote code execution (CVE-2020-1350)


    La semaine dernière, le mardi 14 Juillet, Microsoft a publié un patch corrigeant une vulnérabilité critique sur le composant DNS de Windows server. Découverte par Checkpoint Research, La CVE-2020-1350 touche toutes les versions ...


    • Michael Molho

      Michael Molho

      Senior Security Engineer

    • Catégorie : Articles

      Date : 23 juillet 2020

      Mise à jour : 23 juillet 2020

    fr Automatiser la réponse aux incidents de sécurité en entreprise !


    Dans le cadre de nos missions, nous constatons régulièrement que la gestion d’un incident est souvent perçue comme une tâche fastidieuse.
    Un incident peut demander aux équipes (aka SOC/Incident Response team), plusieurs heures jusqu’à plusieurs jours de traitement en fonc ...


    • Michael Molho

      Michael Molho

      Senior Security Engineer

    • Catégorie : Articles

      Date : 20 juillet 2020

      Mise à jour : 14 juillet 2020

    fr La signature dans le monde de l’authentification SAML


    Dans le monde informatique actuel, les entreprises utilisent une multitude de produits dérivés de différents fabricants. Au quotidien, ces produits sont exploités par des professionnels et des personnes malveillantes, afin d’y découvrir des vulnérabilités permettant de gagner des ...


    • Wojciech Myszkorowski

      Wojciech Myszkorowski

      Security Engineer

    • Catégorie : Articles

      Date : 9 juillet 2020

      Mise à jour : 9 juillet 2020

    CheckPoint R80.40


    Nous vous proposons de retrouver ici la liste des nouveautés majeurs de la version r80.40 de Check Point !

    L'utilisation du noyau Linux 3.10 permet les améliorations suivantes

  • Changement du système de gestion des partitions : Passage du MBR au GPT
  • Suppression de la limite de taille des disques (2 To max en MBR)
  • Suppression de la limite du nombre de partitions
  • Distribution de la table de partition à plusieurs emplacement sur le disque
  • Vérification de l'intégrité (gestion réelle du CRC)

  • Changement de système de fichier

  • XFS remplace EXT3
  • XFS délivre notamment les améliorations suivantes
  • Augmentation des capacités I/O grace à la paralelisation des taches de lecture / ecriture disque
  • Meilleure gestion des inodes


    Notes : Afin de profiter de l'ensemble des améliorations apportéées par la version R80.40, il est nécessaire de réaliser une migration avancée (migrate export / migrate import).


    Enrichissement des statistiques CPVIEW

  • Ajout des statistiques par VS
  • Détails des statistiques de NAT
  • Amélioration de la visibilité concernant l'activité des différentes Blades


    Update RPMs Un grand nombre de packages RPM sont mis à jour. Note : La version de BASH est mise à jour de 3.1-16 vers 4.2-47 : Vérifiez la compatibilité de vos scripts BASH.


  • Possibilté de paramétrer un domain d'encryption par communauté VPN

  • Support du SMBv3 multichannel
  • Support de l'inspection SSH sur les flux entrants
  • Support du protocol http2

  • Interface de configuration intégrée au SmartConsole en tant que layer
    Notes : Certaines configurations avancées (gestion des autorités de confiance notamment) nécessitent encore l'utilisation de l'ancienne interface
  • Prise en charge des objets dynamiques (Updatable Objects et Domain Objects)
  • Contrôle de cohérence des catégories lors de l'utlisation du SNI (Server Name Indication) afin de limiter le risque de contournement de la politique de filtrage Web.

  • Les instances SND et FW_workers sont distribuées dynamiquement, permettant l'adaptation au conditions réelles d'utilisation :

  • A intervalle de temps réguliers, le système évalue le gain de perfomance potentiel en cas de redistribution des ressources CPU.
  • Cette amélioration permet notamment de basculer automatiquement d'une matrice de distribution "Daily" (forte activité utilisateur, souvent caractérisée par une consommation élevée des ressources par les blades d'analyse avancée) à une matrice orientée "Out of working hours" (forte activité de backup et flux techniques, principalement pris en charge par la blade FW) Notes :
  • Cette amélioration n'est pas supportée sur les environnements VSX
  • La modification manuelle des paramètres CoreXL via l'outil "cpconfig" entraine la désactivation complète du processus automatique
  • La version R80.40 implémente par défaut le CCP (Cluster Control Protocol) en mode Unicast

  • Diminution la consommation de ressources réseau par rapport aux modes Broadcast et Multicast
  • Simplicité d'implémentation par rapport au mode Multicast, qui nécessite une configuration sur les switchs

    Première version du mode ClusterXL "Active-Active"

  • Chaque membre porte ses propres IPs, pas de VIP configurée
  • La distribution des flux est réalisée par le routage dynamique et des load balancer externes
  • A termes, capacité à déployer des Cluster "L3" multilocalisés

  • Support des identity provider SAMLv2

  • Généralisation du modèle PDP Broker permettant le partage d'identités entre gateways managés par des SMS ou MDS différents
  • Nouvelle version de l'agent MultiHost (MUHv2)

    Changement du modèle d'identification et de propagation des sessions utilisateurs sur les systèmes multi-users (Terminal Servers).

  • L'identifiant de chaque utilisateur est désormais inséré dans l'entête IP de chaque paquet (utilisation du champ "identification" décrit dans la RFC 791) Amélioration des performances
  • MUHv2 supporte jusqu'à 256 utilisateurs par machine (seulement une vingtaine en v1)
  • Les PDP supportent jusqu'à 50 clients MUHv2 (seulement 5 en v1)
    Amélioration du processus RAD (Resource Advisor) utilisé lors de l'interrogation des bass de données Cloud (réputation, catégorisation...) Performance
  • Le processus fonctionne désormais en multi-threat (jusqu'à 32 instances)
  • Statistiques RAD disponibles via CPVIEW
  • Logs détaillés disponibles dans $FWDIR/log/rad_events

  • Modèle de service "semi-managé" permettant l'implémentation de politiques de Threat Prevention basées sur des templates prédéfinis par Check Point Le client ne peut pas modifier la politique. mais peut ajouter des exceptions

    Amélioration de la prise en charge IoT

  • Collecte des attributs IoT depuis une liste de fournisseurs certifiés
  • Identification automatique des protections à appliquer, permettant notamment une approche "virtual patching" afin de sécuriser les flux des systèmes IoT souvent non pacthabhes


    • ECLIPSE

      ECLIPSE

      Senior Security Engineer  

    • Catégorie : Post-IT

      Date : 4 juillet 2020

      Mise à jour : 6 juillet 2020

    F5 – CVE Critique CVE-2020-5902


    La vulnérabilité critique CVE-2020-5902 a été patché, cette vulnérabilité concerne la Traffic Management User Interface (TMUI) de BIG-IP

    Un attaquant non-authentifié ayant accès à cette interface depuis le port de management ou une self-ip peut exécuter arbitrairement du code, créer et supprimer des fichiers ou lancer des commandes système.


    Voici les versions identifiées comme vulnérables :
  • V11.x : vulnérable de 11.6.1 à 11.6.5

  • V12.x : vulnérable de 12.1.0 à 12.1.5

  • V13.x : vulnérable de 13.1.0 à 13.1.3

  • V14.x : vulnérable de 14.1.0 à 14.1.2

  • V15.x : vulnérable de 15.0.0 à 15.1.0


  • Voici les versions qui patchent cette faille :

  • V11.x : patché en 11.6.5.2

  • V12.x : patché en 12.1.5.2

  • V13.x : patché en 13.1.3.4

  • V14.x : patché en 14.1.2.6

  • V15.x : patché en 15.1.0.4


  • Toutes les informations de l'éditeur sont disponibles sur le site de F5

    Vous ne pouvez pas patcher immédiatement? Nous vous recommandons vivement de suivre les mesures de mitigation proposées par F5


    • Pierre-Aymeric LEMARIE

      Pierre-Aymeric LEMARIE

      Support Security Engineer

    • Catégorie : Post-IT

      Date : 3 juillet 2020

      Mise à jour : 8 juillet 2020

    Actus Technos – Juillet 2020

    Enterprise Endpoint Security E83.10 Windows Clients



    Le dernière version E83.10 de la suite Enterprise Endpoint Security pour Windows est également disponible depuis fin juin. Cette version apporte son lot de nouvelles fonctionnalités et d'améliorations :

    les nouveautés :
    ○ Supports de VMware Horizon VDI (Virtual Desktop Infrastructure), en mode persistent et non-persistent
    ○ nouvelle extension pour la navigateur Chrome permettant le support d'URL Filtering
    ○ Ajout d'un icone spécifique pour les partages réseaux chiffrés.


    Vous pouvez-vous réferrer à cet article pour la liste des correctifs apportés

    Check Point R80.40 est désormais la version recommandée !



    La version r80.40 de Check Point est THE BUILD TO HAVE !

    Un article complet y est consacré dans la section Post-it

    Retrouver ici la liste complète des nouveautés

    Forcepoint Web 8.5.4



    Forcepoint Web 8.5.4 apporte les améliorations suivantes :

    ○ Possibilité d'activer l'authentication pour le traffic HTTPS au travers du 4443 plutot que 8080 si nécessaire.

    ○ Historiquement le mode de déploiement de Web Content Gateway avec module DLP était soit Web DLP soit ICAP. Il est désormais possible d'activer les 2 fonctionnalités.

    ○ meilleur gestion des SIEM et ajout des logs d'audit dans la feature SIEM Integration pour le Policy Server Primaire

    ○ Support ESX 6.7

    ○ Amélioration des possibilités de reporting

    Forcepoint Web 8.5.4 - Release Note

    Forcepoint DLP 8.7.2 est là !



    Forcepoint DLP 8.7.2 apporte les améliorations suivantes :

    ○ CentOS passe désormais en 7.8 sur les Protectors

    ○ Renforcement de la sécurité LDAP : Support du LDAP Signing

    ○ Forcepoint DLP est désormais capable détecter les tags AIP sur les fichiers protégés par Microsoft RMS (Microsoft Information Protection Label)

    ○ Nouvelles règles prédéfinies relatives aux informations personnelles identifiables (PII) pour les numéros de passeport et de téléphone turcs.

    ○ DLP Cloud Proxy prend désormais en charge les données fingerprintées pour accointre les détections de fuites de données dans les applications cloud.

    Forcepoint DLP v8.7.2 Release Notes

    fr Offre d’emploi – Ingénieur/e Sécurité IT 100%


    Nous sommes une PME spécialisée dans la sécurité des systèmes d’information depuis 2001, nos domaines de compétences sont l’expertise technique, l’intégration, l’offre de services managés et le développement de solutions sur mesure.

    Reconnus en Suisse romande en sé ...


    • Christian Berclaz

      Christian Berclaz

      COO & Cofounder

    • Catégorie : Articles

      Date : 15 mai 2020

      Mise à jour : 15 mai 2020

    Microsoft alerte les hôpitaux ciblés par le ransomware « REvil » en période de crise COVID19


    La semaine dernière (mercredi 1er avril) Microsoft a effectué une notification ciblée, unique en son genre, pour alerter les hôpitaux sur la vulnérabilité de leurs infrastructures VPN.

    Selon Microsoft, le groupe malveillant derrière le ransomware REvil (Sodinokibi) exploite cette situation d’urgence pour cibler des hôpitaux. Ces entités, étant très vulnérable aux interruptions, la probabilité que ces derniers payent une rançon dans un court délai, augmente.

    Les techniques utilisées par ces groupes pour atteindre leurs cibles n’ont pas beaucoup évolué. Seul la part d’ingénierie sociale a été adaptée à la situation. En ces temps de crise lié au COVID19, les attaquants misent sur la peur et le besoin urgent d’information qui peut parfois faire oublier la méfiance et les précautions d’usage des utilisateurs.

    De plus, en cette période de confinement, les organisations ont dû mettre en place, souvent dans la hâte, des solutions pour rendre possible le télétravail. Ces entités n’ont pas forcément eu le temps ou les ressources pour contrôler l’état des infrastructures informatiques, qui sont ainsi exposées, ce qui en fait des cibles de choix. En effet, les attaquants derrière REvil sont connus pour avoir ciblé les vulnérabilités des Gateway Citrix ou du VPN Pulse Security révélées ces derniers mois.

    Microsoft a ainsi détecté, à travers ses services « Microsoft Threat Protection » (Microsoft Defender ATP, Office 365 ATP et Azure ATP), que le groupuscule derrière le ransomware REvil recherche activement des systèmes vulnérables exposés sur Internet. Ils ont également observé que des attaquant utilisent les fonctionnalités de mise à jour des clients VPN pour déployer des charges utiles malveillantes.

    Il convient donc, malgré ces temps de crise, que les utilisateurs des infrastructures informatiques restent vigilants!
    De plus, il est primordial que les équipes techniques et de sécurités veillent au suivi des mises à jour de sécurité des systèmes, ainsi qu’à l’application des bonnes pratiques sécuritaires de l’entreprise.

    Sources :
    - Microsoft works with healthcare organizations to protect from popular ransomware during COVID-19 crisis
    - REvil ransomware targets unpatched Pulse Secure VPN servers
    - Hackers target unpatched Citrix servers to deploy ransomware


    • Philippe Logean

      Philippe Logean

      Senior Security Engineer & CISO

    • Catégorie : Post-IT

      Date : 7 avril 2020

      Mise à jour : 7 avril 2020

    fr Tufin s’impose comme le leader dans le domaine de l’orchestration Firewall


    Avec la version TOS 19.3, Tufin conforte sa place de leader dans le domaine de l'orchestration firewall.

    En effet, Tufin demeure le seul éditeur à proposer à ses clients la prise en charge de tous les types environnements et notamment les solutions Cloud. La versio ...


    • ECLIPSE

      ECLIPSE

      Senior Security Engineer  

    • Catégorie : Articles

      Date : 12 mars 2020

      Mise à jour : 12 mars 2020