Le blog des experts Digitemis

Retrouvez les news, les événements et les articles Digitemis

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article

Cybersécurité bancaire en Europe : les nouvelles mesures de la BCE, les risques et les solutions

La cybersécurité est devenue une préoccupation majeure pour le secteur financier, confronté à une digitalisation croissante de ses activités. Alors que la Banque Centrale Européenne (BCE) intensifie ses efforts pour renforcer la résilience face aux cybermenaces, cet article explore le contexte actuel, les initiatives de la BCE et les recommandations de Digitemis pour faire face à l’intensification des menaces sur le secteur.

Lire l'article

Le Plan d’Assurance Sécurité : limitez les risques liés à la supply chain

Dans un contexte où les cyberattaques via les fournisseurs deviennent monnaie courante, la formalisation d’un Plan d’Assurance Sécurité (PAS) se révèle bénéfique pour les donneurs d’ordre. La supply chain, en tant que vecteur d’attaque majeur, offre aux cybercriminels une voie pour infiltrer les réseaux d’entreprises, voler des données sensibles, ou perturber les opérations. Aligné avec une approche axée sur la conformité ou basée sur les risques, il est vivement recommandé d’évaluer la maturité en cybersécurité et gestion des données personnelles de vos fournisseurs. Ainsi, dans cet article Digitemis vous explique le rôle clé du PAS dans vos relations fournisseurs.

Lire l'article

Contrôle CNIL, comment bien s’y préparer ?

En tant que régulateur des données personnelles dans l’univers numérique, la Commission Nationale de l’Informatique et des Libertés (CNIL) se positionne en tant que partenaire des entreprises, les guidant vers la conformité tout en soutenant les particuliers dans l’exercice de leurs droits. L’une de ses missions consiste à garantir la conformité des entreprises au Règlement Général sur la Protection des Données et à la loi Informatique et Libertés. Dans cette optique, la CNIL est habilitée à entreprendre des contrôles.
Cet article vise à explorer en détail le processus de contrôle de la CNIL, offrant ainsi des clés essentielles pour une préparation efficace face à ces évaluations cruciales.

Lire l'article

DMA, DGA, DSA, DA : quels sont ces nouveaux règlements ?

De nouveaux règlements européens viennent s’ajouter au RGPD, élargissant ainsi la protection des données. Cette évolution règlementaire a un impact majeur sur les entreprises et les utilisateurs. Cet article examine quatre règlements essentiels : le Digital Markets Act, le Data Governance Act, le Digital Services Act et le Digital Act (DA). Chacun de ces règlements exerce une influence significative sur le paysage numérique, abordant des sujets allant de la régulation des géants de la technologie à la gestion des données et à la protection de la vie privée.

Lire l'article

[Evénement] RGPD : comment réussir par l’externalisation de la fonction DPO ? RETEX du groupe RCM

La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité. Si elle n’est pas obligatoire pour tous les organismes, elle reste fortement conseillé. En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers ce RETEX, nous vous expliquerons comment réussir sa conformité par l’externalisation de la fonction DPO.

Lire l'article

Entreprise : comment protéger ses données sensibles dans le Cloud ?

Le stockage des données sensibles dans des ordinateurs distants offre aux entreprises de nombreux avantages qui s’avèrent très tentants, à condition de bien gérer la sécurisation des données sur le Cloud. Cet article vous guide dans votre choix : fournisseurs de services cloud, politique de gouvernance cloud, types de chiffrement, etc.

Lire l'article

DPO interne ou externe : les clés pour faire le bon choix

La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité (article 37 à 39 du RGPD). Elle est obligatoire dans certains cas et reste fortement conseillée pour les autres. En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers cet article, découvrez les points de vigilance à intégrer à votre réflexion.

Lire l'article

Comment évaluer la résilience de votre entreprise face aux attaques informatiques ?

La résilience en cybersécurité est cruciale pour toutes les entreprises, quel que soit sa taille ou son secteur d’activité. Cela englobe la capacité à anticiper, prévenir, et récupérer de diverses menaces informatiques. Digitemis vous aide à évaluer votre résilience.

Lire l'article
loader