Archives quotidiennes :

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Guerre ouverte entre Samsung et Microsoft ?

Samsung aurait délibérément désactivé Windows Update de ses machines.

L’information a de quoi étonner. D’après BSOD Analysis, le géant Coréen aurait désactivé Windows Update de ses machines. SW Update est le logiciel de mise à jour OEM pour les ordinateurs Samsung. Sa mission, mettre à jour vos pilotes Samsung, etc. La seule différence entre les autres logiciels de mise à jour OEM est que l’outil de Samsung… désactive Windows Update. A première vue, Samsung n’a pas appris des erreurs de l’affaire Lenovo/Superfish.

Argent, Banque, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Paiement en ligne, Particuliers

Un pirate informatique arménien condamné à de la prison ferme

Davit Kudugulyan, la tête pensante d’une groupe de pirates informatiques arméniens condamné à de la prison ferme pour piratage de données bancaires.

Davit Kudugulyan était le chef d’une petite bande de pirates informatiques qui aura occasionné plusieurs millions de pertes financières aux banques américaines. L’homme a été accusé, et condamné, pour le vol d’informations financière appartenant à des centaines de personnes aux USA.

Davit a plaidé coupable devant un tribunal du comté de New York, mercredi. En Mars 2015, Kudugulyan et trois autres suspects, Garegin Spartalyan, Hayk Dzhandzhapanyan et Aram Martirosian, étaient arrêtés à New York après avoir utilisé des centaines de clones de cartes bancaires piratées.

Après avoir plaidé coupable, Kudugulyan a été condamné à neuf ans de prison et payer 750.000 dollars d’amende. Lors de son arrestation dans un hôtel de New-York, les policiers vont retrouver 200.000 $ dans la chambre de Kudugulyan. (TH)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, loi, Mise à jour, Patch, santé, Social engineering

Nos données de santé, source de convoitises pour les pirates

2 commentaires

91% des entreprises de santé interrogées ont subi une violation de leurs données au cours de ces 2 dernières années selon l’étude « Privacy and Security of Healthcare Data » du Ponemon Institute et seulement 32% pensent avoir les ressources suffisantes pour parer ces incidents1. La majorité des entreprises de santé sont désarmées et ne sont absolument pas en mesure de répondre à la Réglementation européenne sur la Protection des Données qui devrait être mise en application très prochainement.

L’étude Ponemon montre que, pour la première fois, les attaques criminelles sont la première cause de violations de données de santé. Jusqu’alors, la perte ou le vol d’ordinateurs, de tablettes ou de smartphones par négligence avait conduit à des violations de données. Aujourd’hui, les choses ont évolué. Nous passons des violations de données accidentelles ou opportunistes aux violations de données intentionnelles. Une tendance qui s’affirme. Les cybercriminels ciblent de plus en plus les données médicales. Ils exploitent cette mine de renseignements personnels, financièrement lucratifs. Les centres hospitaliers, laboratoires d’analyses médicales, pharmacies… ne disposent malheureusement pas des ressources, des processus et des technologies pour prévenir et détecter les attaques contre les données sensibles qu’elles manipulent. Leur défaillance, régulièrement pointée du doigt par les médias, se traduit par la fuite des données sensibles de leurs patients. On se souvient par exemple, des centaines de résultats d’analyses médicales provenant d’une soixantaine de laboratoires, accessibles sur Internet à cause d’une faille2 ou de la publication du dossier médical de Michael Schumacher3.

Si l’on observe une légère hausse des investissements des organisations de santé pour protéger les informations médicales, ces efforts restent cependant insuffisants pour contrer les cyber-menaces qui évoluent très rapidement. La moitié des entreprises de santé ont peu confiance – parfois même pas du tout – dans leur capacité à détecter une perte ou un vol de données de leurs patients.

Une faiblesse en décalage avec les obligations légales
En France, les informations relatives à l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi Informatique et Liberté. La Réglementation générale sur la protection des données, en cours d’adoption par le Conseil de l’Union Européenne vient compléter la législation française. Les professionnels et les établissements de santé sont strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel. En pratique, les professionnels de la santé doivent prendre toutes les précautions nécessaires pour empêcher que ces données soient modifiées, effacées (par erreur ou volontairement) et que des tiers non autorisés y aient accès.

L’absence de mise en œuvre de mesures de sécurité est considérée comme une atteinte grave à la protection de la vie privée et peut être pénalement sanctionnée (amende et emprisonnement). Cependant, de nombreux professionnels ont des difficultés à se mettre en conformité avec la réglementation. En milieu hospitalier, par exemple, médecins, infirmiers et personnel administratif n’ont pas toujours été sensibilisés aux règles à respecter en matière de sécurité et de confidentialité des données.

Une réglementation unique pour toute l’Europe
La mise en œuvre de la future Réglementation sur la Protection des Données qui s’effectuera de manière identique dans tous les pays membres contrairement à la Directive actuelle, devrait avoir d’importantes conséquences sur l’organisation de l’entreprise. Comment respecter cette norme qui va engendrer des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données ?

Toute violation des données devra obligatoirement être déclarée. Concrètement, un système actif de surveillance des échanges et des flux de données devient nécessaire. Il convient en premier d’examiner avec attention le rôle et la responsabilité des différents acteurs de l’entreprise manipulant les dossiers médicaux. Il faut engager une sensibilisation forte au respect des bonnes pratiques, puis établir une politique de sécurité et de protection des données. On commence par évaluer les risques pour décider les actions à adopter, en fonction des faiblesses de l’établissement de santé. Le point clé est la visibilité sur la circulation des données au sein du réseau, compte tenu du risque que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l’accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les logs fournissent une vision complète et exacte de ce qui a été consulté. Informer rapidement les organismes de réglementation en cas de violation des données devient alors possible ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces
La communauté des entreprises de santé partage des données vulnérables et offrent une grande surface d’attaque avec de nombreux points d’accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Aussi convient-il de faire appel à des experts pour mettre en place dès à présent ces exigences en matière de sécurité et de conformité. On peut bien sûr penser que rien ne presse, la mise en œuvre effective de la réglementation étant prévue après une période de deux ans. L’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. (par Frédéric Saulet, pour DataSecurityBreach.fr, Directeur Régional Europe du Sud de LogPoint)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

backdoor, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, pourriel, Propriété Industrielle, ransomware, Sauvegarde, Social engineering

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

Chiffrement, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Social engineering

Comment élaborer une bonne stratégie de sécurité

Les DSI ont pris note des scénarios de cauchemar que les violations de données peuvent engendrer : vous souvenez-vous de Sony ou de Target ? Pour combattre ces bombes à retardement, ils ont étoffé leurs budgets de sécurité. L’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University recommande également de mettre en place une stratégie de sécurité que vous pouvez consulter si vos systèmes sont compromis.

Pourquoi avez-vous besoin d’une stratégie de sécurité ? Une stratégie de sécurité contient des procédures organisationnelles qui vous indiquent exactement quoi faire pour prévenir les problèmes ainsi que la marche à suivre si vous vous trouvez en situation de violation de données. Les problèmes de sécurité peuvent concerner :
– la confidentialité, lorsque des personnes obtiennent ou divulguent des informations de manière inappropriée ;
– l’intégrité, quand des informations sont altérées ou validées de manière erronée, délibérément ou accidentellement ;
– la disponibilité, avec des informations inaccessibles lorsqu’elles sont requises ou disponibles à plus d’utilisateurs que nécessaire.

En tout cas, disposer d’une stratégie permettra d’assurer que tous les membres du service informatique se trouvent sur la même longueur d’onde en ce qui concerne les processus et procédures de sécurité.

À quoi ressemble une bonne stratégie de sécurité ?
Vous avez peut-être une idée de ce à quoi la stratégie de sécurité de votre entreprise doit ressembler. Mais si vous souhaitez vérifier votre travail ou disposer d’indicateurs supplémentaires, visitez la page consacrée aux modèles de stratégies de sécurité de l’information  de SANS. Vous y trouverez vingt-sept stratégies de sécurité à consulter et utiliser gratuitement. Une bonne stratégie de sécurité doit ressembler à :
– Objectifs : des attentes et des buts clairs.
– Conformité : les législations peuvent faire partie des exigences d’une stratégie de sécurité, et il est donc essentiel de les énumérer.
– Dernière date de test : les stratégies doivent constituer une documentation vivante fréquemment contrôlée et remise en question.
– Date de dernière mise à jour : les documents d’une stratégie de sécurité doivent être mis à jour pour s’adapter aux changements de l’entreprise, aux menaces extérieures et aux évolutions technologiques.
– Contact : les informations contenues dans les stratégies de sécurité sont censées être lues, comprises et mises en application par tous les collaborateurs d’une entreprise et s’il y a des questions, un propriétaire du document doit y répondre.

Questions à poser lors de la création de votre stratégie de sécurité ?
Lorsque vous créez une stratégie de sécurité, il est utile de poser des questions parce qu’en y répondant, vous découvrirez ce qui est important pour votre entreprise et vous pourrez discerner les ressources nécessaires pour former et maintenir votre stratégie. Voici quelques questions pour démarrer :
– De quelle(s) personne(s) vous faudra-t-il l’approbation ?
– Qui sera le propriétaire de cette stratégie de sécurité ?
– Quel est le public concerné par cette stratégie ?
– Quelles réglementations s’appliquent à votre secteur d’activité (par exemple, GLBA, HIPAA, Sarbanes-Oxley, etc.) ?
– Qui a besoin d’avoir accès aux données de votre entreprise ?
– Qui possède les données que vous gérez ? Votre entreprise ? Vos clients ?
– Combien de demandes d’accès aux données recevez-vous chaque semaine ?
– Comment ces demandes sont-elles satisfaites ?
– Comment et quand l’accès est-il examiné ?
– Comment pouvez-vous vous assurer qu’aucun conteneur ne sera ouvert à un groupe d’accès global (Tout le monde, Utilisateurs du domaine, Utilisateurs authentifiés, etc.) sans autorisation explicite des propriétaires de données et de la hiérarchie concernée ?
– Comment toutes les activités d’accès seront-elles enregistrées et disponibles pour audit ?
– Si des données n’ont pas été consultées depuis 18 mois, comment seront-elles identifiées et restreintes afin que seuls leurs propriétaires y aient accès jusqu’à ce qu’une demande soit formulée par un autre utilisateur ?
– Comment harmoniserez-vous votre stratégie de sécurité aux objectifs de l’entreprise ?

Derniers conseils
Les stratégies de sécurité donnent de meilleurs résultats lorsqu’elles sont concises et vont droit au but. Elles doivent aussi favoriser et répondre aux besoins de l’activité. Grâce à une maintenance régulière, la stratégie de sécurité de votre entreprise contribuera à en protéger les actifs. (Par Norman Girard, pour DataSecurityBreach.fr, Vice Président et directeur général Europe de Varonis)

Argent, Banque, BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne, Particuliers, Propriété Industrielle

Les organismes de services financiers EMEA de plus en plus touchés par des menaces de fraudes en ligne

Les décideurs IT de dix pays mettent en évidence les pertes financières et les préoccupations réglementaires liées à aux logiciels malveillants, au phishing, aux vols d’identifiants et aux piratages de profils d’employés.

Les organismes de services financiers de la zone EMEA sont de plus en plus exposés et préoccupés par l’augmentation des menaces de fraude en ligne, selon une enquête commandée par F5 Networks. Les décideurs informatiques révèlent qu’ils doivent constamment faire face à des attaques significatives ciblant les finances et la réputation de leur entreprise dues à des programmes malveillants, des campagnes de phishing, des attaques visant à s’accaparer des identifiants utilisateurs ou détourner leurs sessions. Cela a pour conséquence de générer un besoin croissant pour des solutions multi-couches de protection et de détection des fraudes en ligne et sur mobiles.

L’enquête a révélé que 48 % des organisations ont, au cours des deux dernières années, déjà subi des pertes financières allant de 70 000 € à 700 000 € et ayant pour origine des fraudes en ligne. 9 % de ces actes de malveillance ont permis de dérober des sommes supérieures à 700 000 € et 3 % supérieures à 1 000 000 €.

73 % ont cité les atteintes à la réputation comme étant la principale préoccupation liée à ces attaques, alors que 72 % craignent la perte de revenus et le fardeau de devoir effectuer des audits de sécurité complets. Parmi les autres impacts négatifs majeurs figurent la perte de la confiance et la fidélité des clients (64 %) et les amendes potentielles par les organismes de réglementation (62 %).

« Que ce soit des attaques de type phishing, Man-in-the-middle, Man-In-The-Browser ou d’autres activités basées Trojan comme des injections Web, des détournements de formulaire en ligne, des modifications de pages ou des modifications de transactions, les dangers de la fraude en ligne sont inévitables et vaste pour les entreprises quel que soit leur secteur », déclare à DataSecurityBreach.fr Gad Elkin, Directeur EMEA de la sécurité de F5. Plus que jamais, il est essentiel de comprendre la nature des menaces et de mettre en œuvre des solutions qui éliminent les attaques avant qu’elles ne puissent vraiment nuire. Ceux qui feront cela correctement seront récompensés par la fidélité de leurs clients et en retireront les bénéfices. »

Plus de 35% des répondants ont affirmé avoir subi des pertes liées à des fraudes ayant pour origine une large variété d’attaques en ligne. Les programmes malveillants ont été le principal coupable (75 %), suivie par le phishing (53 %), le piratage d’identifiants (53 %) et le piratage de session (35 %).

Lorsque les stratégies de défense ont été abordées, 37% des entreprises interrogées ont déclaré qu’elles préféraient la défense à fraude en ligne faisant appel à des solutions hybrides combinant des prestations et sur site ou en ligne. Le chiffre est plus élevé (59 % des répondants) pour les organisations de plus de 5.000 employés.

55 % des répondants affirment avoir adopté des solutions de prévention contre la fraude multi-couches. Les solutions embarquées sur les terminaux sont les plus populaires (62 %), suivie par l’analyse de navigation de page pour identifier les schémas de navigation suspects (59 %), et l’analyse des liens de relations entre les utilisateurs, les comptes et les terminaux pour détecter les activités criminelle et/ou les abus (59 »%). Les solutions fournissant une analyse comportementale de l’utilisateur et de comparaison pour des canaux spécifiques figurent également en bonne place (55 %).

Ce contexte explique les raisons pour lesquelles il y a une demande croissante pour des solutions en ligne bénéficiant de capacités de protection contre la fraude sans nécessité d’installer quoi que ce soit sur le poste. Ceux-ci permettent aux organisations d’équiper en temps réel tous les types de postes contre toutes les variétés de menaces en ligne sans que l’utilisateur ait à faire quoi que ce soit, écartant tout danger dans des situations telles que des injections de code HTML ou de script malveillants. Cela inclut les menaces les plus récentes telles comme le malware Dyre, qui dispose d’un large éventail de capacités qui en font l’un des chevaux de Troie bancaires les plus dangereux actuellement. « Les fraudeurs continuent d’évoluer et d’exploiter le maillon le plus faible : l’utilisateur final », conclut Gad Elkin.

250 employés ont été interrogés au Royaume-Unis, France, Allemagne, Italie, Espagne, Pays-Bas, Suède, Pologne et Arabie Saoudite.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Social engineering

Stratégies BYOD : sécuriser les données d’entreprise dans un monde mobile

Les environnements des entreprises évoluent rapidement. Dans ce contexte, les employés doivent pouvoir accéder à leurs informations professionnelles à tout moment en situation de mobilité, ceci afin d’améliorer leur productivité, leur niveau de satisfaction et les performances globales de leur entreprise. Souvent, les salariés veulent accéder à leurs messageries, calendriers, contacts, données clients et documents sensibles sur leurs appareils personnels, ce qui représente un potentiel cauchemar pour les départements informatiques, qui doivent s’assurer de la sécurité des informations professionnelles.

Selon les prévisions du Gartner, d’ici 2017, un employeur sur deux exigera de ses employés qu’ils utilisent leurs appareils personnels au travail. Les entreprises doivent donc impérativement prendre des mesures appropriées afin de s’assurer que la vague de smartphones et de tablettes pénétrant dans le périmètre de l’entreprise soit sécurisée. Pour cela, elles doivent mettre en œuvre des stratégies BYOD offrant de la flexibilité aux employés, et assurant dans le même temps la sécurité au niveau de l’entreprise. De telles stratégies peuvent faire toute la différence, car elles instaurent des règles strictes permettant de faire face à diverses problématiques essentielles : quels appareils et applications sont autorisés à accéder aux informations professionnelles ; qui est responsable des applications et des données ; quelles données doivent être en lecture seule / modifiables, ou disponibles hors ligne ; ou encore qui doit payer pour la consommation professionnelle de données et de voix.

Déterminer en quoi il est nécessaire de migrer vers le BYOD
La première étape dans la mise en œuvre d’un programme BYOD efficace est tout d’abord de définir en quoi celui-ci est nécessaire, et d’établir clairement des indicateurs de réussite. Un tel programme est-il nécessaire pour réduire les dépenses d’investissements et les frais ? L’objectif est-il de stimuler la productivité du personnel ? Lorsque l’on détermine la nécessité d’un programme BYOD pour une entreprise, il est important de s’assurer que le raisonnement adopté soit en accord avec les objectifs de l’entreprise. Une fois le but clairement défini, il sera plus facile pour les dirigeants de justifier un investissement continu dans un tel programme, et l’adoption de ce dernier devrait également s’en trouver renforcée dans l’entreprise.

Il est également essentiel de démontrer la valeur ajoutée du BYOD pour l’entreprise, et de présenter ses avantages et ses risques aux utilisateurs mobiles, ainsi que la façon dont le programme envisagé permettra d’en assurer la protection. Les équipes informatiques pourront faire l’objet d’un certain rejet lors d’un tel déploiement  : en effet, certains employés verront cela comme une excuse pour accéder aux appareils personnels, craindront de voir leurs informations personnelles effacées, ou encore que leur consommation personnelle de données et de voix augmente sur leurs forfaits mensuels. Cependant, les départements informatiques prenant le temps d’expliquer en quoi ce programme leur sera bénéfique et permettra de les protéger ont alors plus de chance de rencontrer de l’enthousiasme de la part des utilisateurs plutôt que l’inverse. Une stratégie BYOD pertinente implique que chacune des parties soit sur la même longueur d’onde dès le début pour que les organisations récoltent rapidement les fruits de leurs efforts.

Exposer les droits de la société en matière de gestion de données professionnelles sur des appareils personnels
Lors de la mise en œuvre d’un programme BYOD, un contrat de licence de l’utilisateur final (EULA) devrait clairement définir le comportement attendu des employés et promouvoir le respect volontaire des stratégies d’entreprise et de sécurité, tout en protégeant leur vie privée. Le cas échéant, la stratégie mise en œuvre devrait clairement préciser que l’entreprise se réserve le droit d’effacer ses données et applications lorsque nécessaire.

Beaucoup d’organisations se tournent vers une solution de conteneurisation garantissant une séparation nette entre les données professionnelles et personnelles. Une telle solution permet de satisfaire le besoin de confidentialité des employés mobiles, ainsi que les exigences des départements informatiques en matière de sécurité des données professionnelles. De cette façon, en cas de vol ou de perte de l’appareil, ou si un employé quitte l’entreprise, seules les données professionnelles seront effacées à distance, réduisant ainsi le risque de compromission de données sensibles. Pour les équipes informatiques, la conteneurisation est un gage de confiance quant à la sécurité des données. Ils peuvent ainsi promouvoir en toute sérénité l’utilisation d’informations professionnelles sur des appareils appartenant aux employés ou à l’entreprise dans le cadre de workflows mobiles. Du côté des employés, le fait que leurs messageries personnelles, photos et bibliothèques musicales soient inaccessibles et ne puissent pas être effacées par leur département informatique est une source supplémentaire de tranquillité quant au respect de leur vie privée.

Envisager des solutions de facturation partagée
Le BYOD est récemment devenu un point de discorde quant à l’identité de celui devant payer la facture mensuelle de services de téléphonie mobile. Ainsi, en 2014, la Cour suprême et la Cour d’appel de Californie se sont prononcées sur la question.

La facturation partagée peut faciliter la transition vers la gestion de la mobilité d’entreprise (EMM) pour les entreprises, en leur évitant des problématiques complexes d’indemnisation, de remboursement et d’attribution de crédits. Au lieu d’inclure les frais de données liées à une consommation professionnelle sur des forfaits mensuels personnels, l’accès aux applications fournies par l’entreprise peut être directement facturé à l’employeur et aux partenaires. Les remboursements peuvent ainsi être rationalisés en même temps que les questions de responsabilité des RH et juridique quant aux contenus des utilisateurs. Plus besoin d’enregistrer des notes de frais, de payer des frais cachés liés au traitement des remboursements, ou de gérer des questions fiscales liées à des indemnisations.

En intégrant un forfait de données professionnel et une facturation partagée à leurs stratégies BYOD, les dirigeants d’entreprise peuvent accélérer la transition de leur personnel vers la mobilité.

Impliquer également les employés
Malgré toutes les meilleures intentions du monde, les services juridiques et informatiques élaborent parfois une stratégie BYOD manquant de convivialité. Lorsqu’ils définissent et déploient une telle stratégie, les dirigeants doivent impliquer tous les services, y compris les RH, le service financier et juridique, les responsables de la sécurité et de la confidentialité, ainsi que les responsables informatiques. Ils pourront ainsi exposer à ces principaux acteurs un cadre de meilleures pratiques de BYOD structuré afin de favoriser une prise de décision rapide et collaborative.

La mobilité est essentielle pour lutter contre la concurrence. En donnant aux employés la possibilité de travailler sur les appareils de leur choix, il est possible d’accélérer les tâches quotidiennes et d’accroître ainsi la productivité des salariés et leur degré de satisfaction. Lors de la mise en œuvre de stratégies BYOD complètes, les dirigeants doivent clairement présenter les arguments en faveur du déploiement de tels programmes, et établir avec précision le droit de leur entreprise à gérer les données professionnelles stockées sur les appareils personnels. Ils doivent également envisager de mettre en place une solution de conteneurisation afin de séparer les données professionnelles et personnelles, et réfléchir à une solution de facturation partagée afin d’éviter les problématiques complexes d’indemnisation, de responsabilité quant au contenu de l’utilisateur final et de contrôle des notes de frais des employés.

Enfin, il est essentiel d’aborder le déploiement de stratégies et de solutions BYOD dans votre entreprise comme un effort commun à tous vos services. Créez une campagne de marketing interne proactive destinée aux utilisateurs d’appareils mobiles en vous assurant qu’elle soit engageante et facile à comprendre, comme avec des vidéos, des posters, des FAQ, ou des événements dédiés à des endroits stratégiques. Expliquez clairement les avantages, et comment votre stratégie et votre solution BYOD permettent de gérer les risques au niveau des données professionnelles. La clé d’une stratégie efficace est de s’assurer que le programme créé profite aux employés tout en renforçant la sécurité des données professionnelles. (Par Florian Bienvenu, pour datasecuritybreach.fr, vice-président UK, Europe Centrale, Europe du Sud et Moyen Orient de Good Technology)

Chiffrement, cryptage, Cybersécurité, Justice, loi

Le Sénat a adopté les conclusions de la commission mixte paritaire sur le projet de loi relatif au renseignement

Un commentaire

Au cours de la séance du 23 juin 2015, le Sénat a adopté les conclusions de la commission mixte paritaire (CMP) sur le projet de loi relatif au renseignement. La CMP avait adopté plusieurs dispositions dans la rédaction issue des travaux du Sénat.

Ainsi, les dispositions du Sénat visant à garantir les libertés publiques ont été maintenues. Il s’agit notamment de la définition du respect de la vie privée qui implique le secret des correspondances, protection des données personnelles et l’inviolabilité du domicile ; la possibilité pour toute personne souhaitant vérifier qu’aucune technique de renseignement n’est mise en oeuvre de manière irrégulière à son encontre de saisir la CNCTR (Commission nationale de contrôle des techniques de renseignement) sans avoir à démontrer un “intérêt direct et personnel” à agir ; – la limitation à deux mois de la durée d’autorisation de mise en oeuvre des techniques particulières de renseignement portant sur les données de connexion ; la possibilité pour le Conseil d’Etat de statuer en référé en premier et dernier ressort dans le cadre de contentieux sur la mise en oeuvre des techniques de renseignement.

En outre, l’administration pénitentiaire ne pourra pas utiliser les techniques de recueil de renseignement et la computation du délai de conservation des renseignements se fera à partir du recueil de la donnée et non de son exploitation. En commission mixte paritaire, sénateurs et députés se sont accordés sur le délai de conservation des données recueillies par les techniques de renseignement, fixé à 30 jours pour les interceptions de correspondances, à 120 jours pour les renseignements collectés dans le cadre de la captation d’images ou de données informatiques, à quatre ans pour les données de connexion et à six ans pour les données cryptées.

En séance, lors de la lecture des conclusions de CMP, le Sénat a adopté l’amendement n° 8 du Gouvernement qui supprime une disposition adoptée par la commission mixte paritaire et qui prévoyait que le Premier ministre pouvait autoriser le recours aux techniques de renseignement sans avis préalable de la CNCTR lorsque leur mise en œuvre ne concerne ni un Français, ni un résident habituel en France.

Ce texte sera adopté définitivement si l’Assemblée nationale adopte les conclusions de la commission mixte paritaire dans les mêmes termes le 24 juin 2015.