Archives mensuelles : avril 2018

Cyber-attaque, Cybersécurité, Logiciels, Piratage, Securite informatique

Drupalgeddon 3 ? Mise à jour urgente de Drupal le 25 avril

Il y aura une version de sécurité de Drupal 7.x, 8.4.x et 8.5.x le 25 avril 2018 entre 16h00 et 18h00 UTC.

Cette mise à jour doit permettre de corriger une faille considérée comme sérieuse. Drupal vous invite à réserver du temps pour les mises à jour de base à ce moment-là, car il existe un risque que des exploits soient développés en quelques heures ou quelques jours. Des attaques qui pourraient mettre à mal les sites sous ce CMS.

Cette mise à jour de sécurité fait suite à celle publiée sous le numéro SA-CORE-2018-002 le 28 mars.

  • Les sites sur 7.x ou 8.5.x peuvent immédiatement se mettre à jour lorsque l’avis est publié en utilisant la procédure normale.
  • Les sites de la version 8.4.x doivent immédiatement mettre à jour la version 8.4.8 qui sera fournie dans l’avis, puis planifier la mise à jour vers la version 8.5.3 ou la dernière version de sécurité dès que possible (puisque la version 8.4.x ne reçoit plus de sécurité officielle couverture).

L’avis de sécurité indiquera les numéros de version appropriés pour chaque version. La page de rapport de mise à jour de votre site recommandera la version 8.5.x même si vous utilisez 8.4.x ou une version plus ancienne, mais la mise à jour temporaire du rétroportage fourni pour la version actuelle de votre site vous permettra de mettre à jour rapidement sans les effets secondaires possibles. mise à jour de version mineure.

Des correctifs pour Drupal 7.x, 8.4.x, 8.5.x et 8.6.x seront fournis en plus des versions mentionnées ci-dessus. (Si votre site est sur une version de Drupal 8 antérieure à 8.4.x, il ne reçoit plus de couverture de sécurité et ne reçoit pas de mise à jour de sécurité.Les correctifs fournis peuvent fonctionner pour votre site, mais la mise à niveau est fortement recommandée. vulnérabilités de sécurité divulguées.)

Cette version ne nécessitera pas de mise à jour de la base de données.

La mise à jour de mars a fait beaucoup de bruit, surtout sur les sites qui n’avaient pas été mis à jour avec des milliers d’attaques et infiltrations par des mineurs malveillants de cryptomonnaies. (Source : Luc T.)

Arnaque, Communiqué de presse, Cybersécurité, escroquerie, Identité numérique, Mise à jour, Particuliers, Patch, Phishing, Securite informatique, Vie privée

Nouvelle vague de phishing détectée. 550 millions de mails bloqués

Grâce à sa technologie prédictive basée sur une intelligence artificielle, Vade Secure a découvert début janvier une vague d’attaque de phishing d’un nouveau genre. Habituée à des mails usurpant l’identité de banques, de fournisseurs d’accès internet ou de grands noms de la grande distribution en ligne, dans le but de voler les identifiants de connexion de la victime, la société  a détecté en janvier une nouvelle vague de phishing frappant la France.

Représentant un volume mondial cumulé de 550 millions de mails sur le premier trimestre 2018, cette nouvelle vague d’arnaque se présente sous la forme d’un mail marketing proposant un coupon de réduction ou la participation à un concours en ligne. Cet mail usurpant des marques de la grande distribution, de services de streaming en ligne ou bien encore d’opérateurs télécoms géolocalise la victime et adapte son discours en fonction de la langue. Cf. les captures d’écran ci-dessous.

Sébastien Gest, Tech Evangéliste de Vade Secure explique : « La finalité de cette attaque réside dans le fait de voler les coordonnées bancaires de la victime à la suite d’un quizz dans le but de gagner le fameux coupon réduction ». 

Quelle est la nouveauté dans cette attaque ? 

Habituellement les pages de phishing sont hébergées sur des sites internet piratés. Ce n’est pas ici le cas, les adresses IP, les serveurs et les noms de domaines semblent loués et donc légitimes. Après analyse, le coût de l’infrastructure engagée par les pirates semble très important, pouvant se chiffrer à plusieurs dizaines de milliers d’euros. Afin de brouiller les outils de détection, les pirates ont utilisé en série des outils permettant de raccourcir les URL dans le but de masquer l’adresse de destination du lien. Cette technique a été utilisée en chainant plusieurs centaines d’URL entre elles.

Du fait de ces différentes techniques de nombreuses solutions basées sur des technologies de réputation ne détectent pas cette nouvelle vague, qui nécessite des techniques avancées d’analyse des liens et du contexte de la menace pour être bloquée.

Quelques conseils à destination des particuliers :

o    Ne jamais cliquer sur un lien si la sollicitation vous semble suspecte.

o    Si vous avez un doute allez sur isitphishing.ai et entrez l’adresse pour valider si la page est une page légitime ou une page de phishing.

o    Toujours être vigilant devant un mail même si la marque vous semble familière.

o    Une entreprise ne demandera jamais vos identifiants par mail. ​

Communiqué de presse, Securite informatique

Le droit à la déconnexion : comment l’intégrer et l’adapter à votre entreprise ?

Le droit à la déconnexion a fait son entrée dans le code du travail le 1er Janvier 2017. Il doit permettre l’équilibre entre vie professionnelle et vie personnelle et familiale des salariés.

Avec les nouvelles technologies, désormais incontournable dans le monde du travail, ce sont les modes de travail qui évoluent. Le lieu de travail n’existe plus dans bien des secteurs, les salariés sont de plus en plus « connectés » en dehors des heures de travail, la frontière entre vie professionnelle et personnelle est mince, le temps de travail n’est plus continu… C’est donc pour s’adapter à cette réalité et créer les protections nécessaires à la santé des salariés actuelle qu’un droit à la déconnexion est inscrit dans la loi.

Le problème aujourd’hui, plus d’un an après son entrée en vigueur, c’est qu’il ne fonctionne tout simplement pas. Pourquoi ? Le droit à la déconnexion n’est pas une obligation, c’est une suggestion. Les utilisateurs actuels sont obstinés et ne se déconnectent pas ! Ce qu’il faut mettre en place c’est une stratégie qui restreint les comportements et qui soit adaptée aux besoins de chaque entreprise.

Pourquoi est-il nécessaire ?

Voyons quelques chiffres pour expliquer cette nécessité.

  • 78% des cadres consultent leurs communications professionnelles pendant leur temps de loisirs (week-ends et vacances)[1]
  • 82% juge anxiogène cette connexion quasi-permanente[2]
  • 72% des cadres considèrent que les outils connectés tendent à augmenter la charge de travail[3]
  • 60% qu’ils dégradent la qualité de vie
  • 89 % estime que les Technologies de l’Information et de la Communication (TIC) contribuent à les faire travailler hors de l’entreprise

Le droit à la déconnexion est ainsi apparu afin que chacun puisse limiter la surcharge d’information et les risques associés (problématique de sommeil, stress, burnout,…).

Le problème c’est la suggestion !

La loi El Khomri ne donne pas de définition claire du droit à la déconnexion. Les entreprises elles même doivent définir les modalités du droit à la déconnexion. Pour cela, elles doivent rédiger une charte.

« La seule obligation est d’élaborer une charte, qui n’engage à rien.  Clairement, les organisations qui ne veulent pas s’embarrasser de ce problème la signent, et c’est tout. » Caroline Sauvajol-Rialland, spécialiste de l' »infobésité ».

Sébastien Crozier, président du syndicat CGC-Orange témoigne : « C’est un texte qui dit grosso modo ‘vous n’êtes pas obligés de lire vos mails le week-end, et vous n’êtes pas obligés d’y répondre’. Mais si les employés  sous pression décident néanmoins de franchir la ligne, on ne leur dira rien… »

 « Elles n’ont aucune valeur juridique », ajoute-t-il.

La loi est entrée en vigueur en janvier 2017 mais selon une étude IFOP menée en juillet 2017 78% des cadres ouvrent encore leur messagerie en dehors des heures de bureau. Une majorité de cadres (52%) affirme que son entreprise ne s’est pas engagée dans l’application du droit à la déconnexion. Cette proportion s’élève à 63 % dans les entreprises de moins de 50 salariés.

Sébastien Crozier  est formel « Le droit à la déconnexion, ça ne marche pas. Ça ne fonctionne pas. Les gens ne se déconnectent pas. La rupture ne se fait pas. »

Il faut mettre en place une stratégie qui restreint le comportement des utilisateurs…

Si le droit à la déconnexion ne fonctionne pas, c’est parce que les utilisateurs (les humains) ont besoin d’être guidés. La suggestion ne leur suffit pas. Ils arriveront toujours à contourner le problème. Aujourd’hui, ce qu’il faut aux entreprises c’est une solution qui restreint carrément le comportement.

Jean-Claude Delgenes, directeur général du cabinet Technologia, s’exprime « Mais s’il y a une incitation, il n’y a pas de contrainte. Il n’y a pas de trêve organisée, il aurait fallu aller plus loin, proposer une base minimale obligatoire de déconnexion. »

L’objectif est de pousser les utilisateurs à se déconnecter et les aider à séparer leur vie professionnelle et leur vie personnelle.

… et une stratégie propre à chaque organisation !

Certaines entreprises ont mis en place des solutions. Volkswagen, en Allemagne, comptabilise toutes les heures travaillées en dehors du bureau, qui sont intégrées dans le calcul des congés. Daimler a lancé en 2014 l’opération « mail on holiday », qui consiste, quand vous partez en vacances, à être automatiquement déconnectés. Plus près de nous, en France, Renault a mis en place pour les mails internes un délai de réponse suivant les demandes, qui permet de sortir du sentiment d’urgence. Michelin, a quant à elle engagé une  démarche de contrôle de connexion des managers.

Il ne faut pas oublier de prendre le temps de réfléchir aux impacts des mesures de déconnexion que vous prenez. Il faut comprendre qu’une action qui a fonctionné dans une entreprise peut très bien ne pas fonctionner dans une autre. C’est pourquoi il est important de mettre en place une stratégie adaptée aux besoins de chaque organisation.

« Toutes les entreprises sont différentes et il serait stupide de vouloir imposer un modèle unique à tout le monde », estime Laurent Riche de la Confédération française démocratique du travail (CFDT).

Quel outil utiliser ?

Dans le cadre de la mise en place du droit à la déconnexion dans votre entreprise, UserLock est un logiciel simple et intuitif qui s’adapte à vos besoins et qui vous permet d’appliquer des règles spécifiques et granulaires d’accès au réseau en temps réel pour renforcer la conformité aux réglementations en vigueur.

Avec UserLock vous pouvez :

  • Explorer l’utilisation générale et générer des rapports sur tous les accès (PC, ordinateur portable, tablette ou téléphone) pour obtenir les données les mieux adaptées à vos besoins
  • Restreindre les connexions utilisateurs pour adopter toute politique d’entreprise
    • Par machine ou adresse IP : limiter l’accès à une certaine machine ou à une certaine zone géographique – exemple :  refuser l’accès en dehors du pays/continent dans lequel opère l’entreprise
    • Par temps de connexion : ne pas autoriser l’accès après une certaine heure ou un certain nombre d’heure de connexion – exemple : arrêter l’accès après 19h tous les jours ou après 35h de travail par semaine
    • Par type de session : différencier l’accès pour chaque type de session – exemple : arrêter l’accès à distance après 19 heures mais pas si la personne se trouve au bureau sur son ordinateur
  • Surveiller l’ensemble des événements de session utilisateur et recevoir des alertes en temps réel afin de répondre immédiatement et de manière appropriée à tout comportement inadapté.

[1] Étude IFOP 2017

[2] Étude IFOP 2016

[3] Étude APEC 2014

Cybersécurité, Securite informatique

Protection des données personnelles : le Sénat a adopté le projet de loi en nouvelle lecture

Jeudi 19 avril 2018, le Sénat a adopté en nouvelle lecture, par 307 voix pour et 0 voix contre, le projet de loi relatif à la protection des données personnelles.

Nombre de votants : 343
Suffrages exprimés : 307
Pour : 307
Contre : 0

Ce projet de loi vise à :

  • mettre en conformité des dispositions nationales avec le droit de l’Union européenne en matière de protection des données personnelles, en particulier avec le règlement général sur la protection des données (RGPD) du 27 avril 2016 qui a pour objectifs de renforcer les droits des personnes physiques, de responsabiliser tous les acteurs traitant des données et de crédibiliser la régulation ;
  • tirer parti des marges de manœuvre ménagées par le droit de l’Union européenne, notamment en maintenant des régimes spécifiques ;
  • transposer la directive européenne relative aux traitements mis en œuvre en matière policière et judiciaire.

Sur le rapport de Mme Sophie JOISSAINS (Union centriste – Bouches-du-Rhône), la commission des lois a rétabli en nouvelle lecture les principales dispositions adoptées par le Sénat en première lecture, visant notamment à :

  • mieux accompagner les collectivités territoriales, en :
    • affectant le produit des amendes prononcées par la CNIL au financement de mesures d’accompagnement ;
    • créant une dotation communale et intercommunale pour la protection des données à caractère personnel ;
    • supprimant, comme pour l’État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives ;
  • renforcer les garanties pour les droits et libertés des citoyens, en :
    • prévoyant une autorisation préalable des traitements de données pénales ;
    • encourageant le recours au chiffrement des données personnelles ;
    • maintenant le droit général à la portabilité des données non personnelles ;
    • s’assurant que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée ;
    • encadrant plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup ») ;
    • maintenant à 16 ans l’âge du consentement autonome au traitement des données des mineurs.
Chiffrement, Cybersécurité, Mise à jour, santé, Securite informatique

Sécurité : Ça tousse du côté de la eSanté

eSanté : Les équipes de sécurité informatique doivent jouer un rôle primordial dans les hôpitaux.

eSanté – L’éditeur de solutions de sécurité informatique Trend Micro revient sur la problématique de la sécurité informatique dans le milieu de la santé. La dernière étude conjointe avec HITRUST, Securing Connected Hospitals, met en évidence deux aspects cruciaux de l’écosystème des soins de santé que les équipes informatiques doivent prendre en compte dans le cadre de leurs dispositifs de sécurité et de leurs partenaires tiers.

Nous pouvons penser que les hôpitaux seraient extrêmement sensibles à l’exposition des appareils sur Internet en raison des amendes imposées par la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA) et des règlements similaires pour les violations de l’exposition aux données. Mais lorsque Trend Micro a cherché des points sensibles liés aux soins de santé à l’aide de l’outil Shodan, ils ont été surpris de trouver un grand nombre de systèmes hospitaliers exposés.

Il a été découvert des systèmes médicaux exposés – y compris ceux qui stockent des images médicales, des interfaces de logiciels de soins de santé et même des réseaux hospitaliers mal configurés – qui ne devraient pas être consultables publiquement. Bien qu’un dispositif ou un système exposé ne signifie pas nécessairement qu’il soit vulnérable, les dispositifs et systèmes exposés peuvent potentiellement être utilisés par des cybercriminels et d’autres acteurs pour pénétrer dans des organisations, voler des données, exécuter des botnets, installer des rançongiciels, etc.

En outre, il montre qu’une quantité massive d’informations sensibles est accessible au public alors qu’elles ne devraient pas l’être.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Justice, loi, Securite informatique

Données personnelles : le RGPD et les collectivité territoriales

Données personnelles : la commission des lois du Sénat reste ferme sur la défense des libertés publiques et des collectivités territoriales et s’inquiète pour l’équilibre de nos institution.

Après l’échec de la commission mixte paritaire et une nouvelle lecture à l’Assemblée nationale, la commission des lois du Sénat s’est réunie pour examiner à son tour, en nouvelle lecture, le projet de loi relatif à la protection des données personnelles qui doit mettre la loi Informatique et libertés en conformité avec un règlement et une directive de l’Union européenne.

Lors de cette discussion, tous les intervenants ont déploré l’attitude du groupe majoritaire de l’Assemblée nationale qui, malgré les efforts des présidents et des rapporteurs des commissions des lois des deux chambres, a refusé tout compromis avec le Sénat. Ils y ont vu un signe préoccupant dans la perspective de la révision constitutionnelle annoncée.

Le président Philippe BAS (Les Républicains – Manche) a exprimé sa surprise qu’aucun terrain d’entente n’ait pu être trouvé entre les deux assemblées sur un texte urgent d’adaptation du droit interne au droit européen, dont les principales orientations sont consensuelles et pour lequel le législateur national ne dispose que d’une marge de manœuvre limitée. « Alors que l’avant-projet de loi constitutionnelle soumis par le Gouvernement au Conseil d’État comporte des dispositions qui affaiblissent le Parlement et portent atteinte à la séparation des pouvoirs, la méconnaissance par la majorité présidentielle du fonctionnement normal du bicamérisme a de quoi inquiéter. »

Sur le fond, le rapporteur Sophie JOISSAINS (Union Centriste – Bouches-du-Rhône) a rappelé que le Sénat, fidèle à son rôle traditionnel de chambre des libertés, s’était attaché en première lecture à rééquilibrer le projet de loi afin de renforcer les garanties pour les droits et libertés des citoyens. Le Sénat a notamment prévu de rétablir l’autorisation préalable des traitements de données pénales et de ne pas étendre inconsidérément leur usage, d’encourager le recours au chiffrement des données personnelles, de maintenir le droit à la portabilité des données non personnelles, de s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée, et d’encadrer plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup »).

« Comment admettre que les lycéens qui seront sélectionnés par les universités sur la base d’un algorithme ne puissent en connaître les paramètres ? N’y a-t-il pas là une contradiction flagrante avec les promesses de transparence réitérées par le Président de la République lors de son discours du 28 mars au Collège de France ? » s’est interrogée Sophie JOISSAINS.

Le rapporteur a également rappelé que le Sénat avait souhaité prendre en compte les difficultés spécifiques rencontrées par les collectivités territoriales, en prévoyant des mesures adaptées. «  Une collectivité n’est pas une start-up ! » a insisté Sophie JOISSAINS. « Les collectivités territoriales sont soumises à des sujétions tout à fait particulières, qui sont le corollaire de leurs missions de service public et de leurs prérogatives de puissance publique. Si elles mettent en œuvre des traitements de données personnelles, ce n’est pas pour en tirer profit, mais parce qu’elles y sont obligées par la loi ou pour rendre un meilleur service à nos concitoyens ! »

La commission des lois, tout en acceptant en signe de bonne volonté certaines modifications apportées au projet de loi par l’Assemblée nationale, a estimé nécessaire de rester ferme sur les principes défendus en première lecture. Elle a donc rétabli les principales dispositions alors adoptées par le Sénat.

Le projet de loi doit être examiné par le Sénat en séance publique les jeudi 19 et vendredi 20 avril 2018.

Communiqué de presse, Cybersécurité, Securite informatique

Montée en puissance de l’ANSSI

Agence nationale de la sécurité des systèmes d’information (ANSSI) : michel canévet, rapporteur spécial de la commission des finances, fait le point sur la montée en puissance de l’agence.

Dans un contexte où les questions de cyber-sécurité prennent une importance croissante, M. Michel Canévet (Union Centriste – Finistère), rapporteur spécial de la commission des finances, a souhaité faire le point sur la montée en puissance de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et sur le suivi des recommandations qu’il avait formulées en 2015, lors d’un premier contrôle budgétaire consacré à ce sujet.

À l’issue de ce nouveau contrôle, M. Michel Canévet a pu constater qu’en dépit d’une montée en charge importante de l’ANSSI en termes de budget et d’effectifs (+153 ETP en trois ans), dont il se félicite, l’agence continue de ne bénéficier que d’une autonomie de gestion limitée par rapport au Secrétariat général de la défense et de la sécurité nationale (SGDSN), auquel elle est rattachée.

Il déplore en outre que malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics, le niveau de sécurité des systèmes d’information de l’État demeure, selon l’agence, « inégal et souvent trop faible ». Cette situation est susceptible de causer de graves dysfonctionnements administratifs en cas d’attaque massive sur un ministère.

Le rapporteur spécial réitère donc sa proposition, formulée en 2015 et restée lettre morte, de créer un budget opérationnel de programme (BOP) ainsi que des indicateurs de performance propres à l’ANSSI. Cela procurerait à l’agence une marge de manœuvre plus importante dans la gestion de ses crédits et de son personnel, tout en permettant au Parlement d’assurer un meilleur suivi du budget et des actions menées par l’agence.

  1. Michel Canévet partage par ailleurs la préoccupation de l’ANSSI concernant la rémunération jugée insuffisante de ses agents contractuels qui, chaque année, sont 19 % à quitter l’agence, le plus souvent vers le secteur privé. Il encourage donc la mise en œuvre d’une politique indemnitaire volontariste visant à retenir les compétences numériques, très convoitées en dehors de l’agence.

Enfin, il se félicite du déploiement, depuis fin 2015, de référents ANSSI en régions. Afin de renforcer l’action de l’agence au niveau local, il appelle à la poursuite de ce déploiement dans l’ensemble des régions, en particulier en Outre-mer. Il encourage également le renforcement des relations entre l’ANSSI et les services interministériels départementaux des systèmes d’information et de communication (SIDSIC).

Communiqué de presse, Cybersécurité, Justice, loi, Patch, Securite informatique

Pour un cyberespace plus sûr

Un commentaire

Pour un cyberespace plus sûr : Microsoft signe un accord mondial aux côtés d’une trentaine d’entreprises internationales pour une meilleure protection des citoyens

Au cœur de notre société, le cyberespace fait désormais partie de notre quotidien. Protéger de tout risque potentiel la confidentialité et l’intégrité de nos données, les services et objets connectés, l’accès et l’utilisation des réseaux… constitue une priorité, et cela, quel que soit le secteur concerné. C’est en ce sens que 30 des plus importants acteurs de l’IT et de la Sécurité, dont Microsoft, ont signé un Cybersecurity Tech Accord à l’occasion de la conférence RSA qui se déroule actuellement à San Francisco. Cet accord a pour objectif de renforcer la cybersécurité à travers le monde afin de protéger les organisations, entreprises et particuliers contre les attaques malveillantes quelle qu’en soit l’origine. Parmi les signataires de ce texte figurent les principaux acteurs du secteur, qu’ils soient experts en cybersécurité comme Cisco, Symantec, CA Technologies, FireEye, F-Secure, TrendMicro, ou acteurs majeurs des technologies tels que Facebook, HP, Microsoft, Nokia, Oracle ou encore SAP.

Les principaux engagements de cet accord

Assurer la protection de toutes les organisations et de tous les individus

Qu’il s’agisse d’un individu, d’une organisation ou d’un état, les signataires s’engagent à les protéger de la même manière dans le monde entier, et ce, quelles que soient la nature et l’origine de la menace.

Renforcer la sécurité et la protection des utilisateurs et des clients face aux cyberattaques criminelles et gouvernementales

Aucune des entreprises engagées n’apportera son soutien à un état qui souhaiterait lancer une cyberattaque contre un autre état, une entreprise ou un individu. De même, elles lutteront contre le détournement et la falsification de leurs services et solutions à des fins malveillantes.

Proposer aux utilisateurs, clients et développeurs des outils et des solutions fiables

Chacun des signataires s’engage à accroitre la protection des développeurs comme des utilisateurs de leurs services contre toute attaque. Une collaboration active pour le déploiement de nouvelles pratiques et de nouvelles fonctionnalités au profit d’une sécurisation renforcée est également prévue.

Agir conjointement en faveur d’une cybersécurité renforcée

Les signataires s’engagent à collaborer plus étroitement avec l’ensemble des parties prenantes pour coordonner la publication de failles, partager les menaces, lutter contre les codes malveillants introduits dans le cyberespace… tout en améliorant la collaboration sur un plan technique.

Cet accord reste ouvert aux partenaires de confiance qui souhaiteraient s’engager en faveur de ces principes et contribuer à renforcer la sécurité du cyberespace.

La signature de ce Cybersecurity Tech Accord s’inscrit dans le cadre des engagements de Microsoft en matière de cybersécurité prônant une coopération renforcée entre les États et les acteurs privés de l’IT. Cette accord fait également écho aux déclarations de Brad Smith, Président et Directeur juridique de Microsoft, qui appelait les États, en février dernier, à créer une convention de Genève du numérique destinée à inciter les gouvernements à adopter les normes internationales nécessaires à la protection des citoyens dans le cyberespace.

Communiqué de presse, Cybersécurité, Entreprise, Sauvegarde, Securite informatique

Sauvegarde en entreprise

Il semble impératif que votre entreprise mette en place une réelle stratégie de sauvegarde de ses données. Faire face à la perte d’une part ou de la totalité de vos informations et fichiers peut avoir des conséquences particulièrement lourdes pour votre société. La sauvegarde des données peut être réalisée grâce à plusieurs solutions. Nous avons suivi des conseils avisés sur appvizer.fr qui nous ont permis de mieux comprendre la nécessité de la sauvegarde en entreprise, mais aussi pour choisir efficacement les logiciels de sauvegarde en ligne. Voici quelques informations pour vous accompagner dans la sélection de la solution de sauvegarde de données qui conviendra le mieux à votre entreprise.

Pour quelles raisons est-il important de sauvegarder les données en entreprise ?

Imaginez devoir faire face à la disparition d’un fichier clients ou de vos données comptables ! La perte des données entraîne de lourdes conséquences sur le fonctionnement de votre entreprise. Il ne faut pas minimiser les risques de disparitions de fichiers. Elles sont liées à des erreurs humaines mais également à des incidents tels qu’un incendie ou une inondation. Il est donc important que vous réalisiez régulièrement la sauvegarde de vos informations afin de faire face à ces imprévus pouvant avoir un effet désastreux sur votre fonctionnement.

La diversité des procédures de back-up

Le back-up ou sauvegarde de données est une action réalisée en vue de protéger vos données en totalité ou par sections. Les solutions de back-up sont nombreuses et vous n’aurez aucune difficulté à trouver la meilleure façon de mettre en sécurité vos informations.

  • Le disque dur externe : Les données sont transférées du disque dur de votre ordinateur vers un disque dur uniquement utilisé pour la sauvegarde en entreprise. Solution peu coûteuse, mais vous vous heurterez rapidement aux limites de ce type de sauvegarde, en particulier si votre entreprise compte un grand nombre de postes informatiques.
  • Les bandes magnétiques : Elles enregistrent de plus grandes quantités de données qu’un simple disque dur externe. Elles sont peu coûteuses mais la restitution des données est parfois plus fastidieuse.
  • Le serveur en entreprise : Ce dernier enregistre le back-up de toutes vos informations depuis tous les postes informatiques. Ce type de sauvegarde est intéressant si vous possédez des employés dédiés à l’informatique. Il faut investir dans un matériel solide et suivre régulièrement l’évolution de ce serveur. Il faut prendre en considération que ce serveur local peut également tomber en panne.
  • Le NAS mutualisé : Un NAS est un Network Attached Storage, autrement dit un système de stockage. Il peut être mutualisé afin de vous faire bénéficier d’un service professionnel pour un coût réduit. Vous pouvez choisir ainsi votre capacité de stockage et adapter le tarif.
  • Les logiciels de serveur en ligne : Grâce à Appvizer, nous avons découvert des logiciels de sauvegarde en ligne sérieux et qui proposent des formules tarifaires variées. Pratique, ce système de sauvegarde doit être sélectionné avec grand soin afin de ne pas subir de désagréments handicapants pour votre entreprise.

Les solutions de sauvegarde en ligne

Les logiciels de sauvegarde en ligne sont un formidable outil pour toutes les entreprises. Peu importe que vous soyez à la tête d’une TPE, d’une PME ou d’une grande entreprise, la sauvegarde en ligne s’adapte à vos besoins.

Il est important de faire attention à certaines caractéristiques de ces logiciels de sauvegarde en ligne :

  • La capacité de stockage : Pas la peine de choisir une formule trop importante si vous n’avez que peu de fichiers à stocker. Adaptez cette capacité en fonction de vos attentes car bien souvent le tarif est adapté à la capacité demandée.
  • La redondance des stockages : La solution logicielle de sauvegarde en ligne propose-t-elle des enregistrements réguliers ? Inutile de vous engager avec un fournisseur de logiciels qui ne réalisera qu’une sauvegarde de temps en temps ! La sauvegarde doit se faire très régulièrement afin de vous assurer une protection de toutes les dernières données enregistrées sur vos postes informatiques.
  • Le tarif : Calculez pour définir si cette solution logicielle est réellement intéressante pour votre entreprise. Elle vous évite de faire appel à un informaticien dédié à l’entretien d’un NAS si vous n’en avez pas besoin.
  • La sécurité des données : Il est très important que vous sélectionniez un fournisseur de solutions logicielles qui a fait ses preuves et qui est apte à vous garantir la plus grande sécurité pour vos données. Les informations de votre entreprise ne doivent pas être éventées ni être piratées.

Comment bien choisir le mode de sauvegarde en entreprise ?

Confrontez vos attentes avec les différentes solutions proposées. Il est inutile de se lancer dans un investissement lourd si vous n’avez que peu de données à sécuriser. Le stockage sur les serveurs locaux engage à un suivi régulier de votre matériel et nécessite un véritable savoir-faire.

L’avantage d’un stockage en ligne est que vous n’aurez pas à gérer cette partie du travail. Le fournisseur de logiciel en ligne vous accompagne dans la protection de vos données, la régularité des enregistrements mais également la restitution des fichiers en cas de défaillance de votre matériel informatique.

Si vous optez pour un stockage manuel sur un disque dur externe ou un serveur local, pensez à réaliser des sauvegardes régulières afin de toujours conserver les dernières versions de votre travail ou de vos informations professionnelles. Le choix d’une sauvegarde en ligne est aussi plus aisé si vous travaillez à plusieurs sur les mêmes fichiers. Ainsi chaque collaborateur a accès à la bonne version d’un fichier, ils peuvent s’y connecter à distance afin de le consulter même en dehors de l’entreprise.

Ne négligez pas la sauvegarde de vos informations professionnelles car une perte de vos fichiers peut avoir un impact fort sur le fonctionnement de votre entreprise, mais aussi sur l’image que vous allez renvoyer à vos clients. N’hésitez pas à comparer les différentes solutions de sauvegarde en entreprise avant de vous lancer et mettez en concurrence les fournisseurs de logiciels afin de sélectionner la solution la plus intéressante et la plus ergonomique pour votre société.

Base de données, Communiqué de presse, Cybersécurité, Fuite de données, RGPD, Securite informatique

Données personnelles : les consommateurs craignent de trop se dévoiler. Ils demandent plus d’informations et de transparence.

Une enquête menée en France, aux États-Unis, au Royaume-Uni et en Allemagne sur le rapport des consommateurs à leur identité numérique révèle qu’ils sont une majorité à s’inquiéter de partager trop d’informations personnelles en ligne. 3 sondés sur 5 connaissent mal leurs droits, voire pas du tout.

L’enquête a été menée par ComRes Global pour le compte de ForgeRock, société experte en gestion d’identité numérique. Elle révèle que 53% des 8 000 sondés (en France, 48%) s’inquiète d’avoir partagé trop d’informations personnelles en ligne. Un tiers des parents (30%) craint d’avoir partagé trop d’informations sur leurs enfants. Un autre enseignement de l’étude est le manque de sensibilisation quant au volume d’informations disponibles en ligne. En France, 48% des sondés affirment ne pas connaître la quantité de données disponibles à leur égard, et beaucoup sous-estiment cette quantité. 76% des adultes sondés utilisent Internet pour acheter des produits et services, mais seulement 49% d’entre eux pensent avoir partagé les données relatives à leur moyen de paiement ; près de la moitié des consommateurs (49%) pense que Facebook détient des informations qui permettent de savoir s’ils ont des enfants ou non ; seuls 22% pensent que Twitter a accès à des informations permettant de déterminer leurs affinités politiques ; seuls 37% des consommateurs croient qu’Instagram a accès aux données de localisation de ses utilisateurs ; 20% des consommateurs estiment même que Facebook n’a accès à aucune donnée personnelle relative à ses utilisateurs.

Un franc rejet des marques qui partagent les données de leurs utilisateurs.

En France comme dans les autres pays, les utilisateurs s’inquiètent de voir leurs données partagées avec des tiers. Seuls 26% sont prêts à partager leurs données personnelles afin de profiter d’offres personnalisées, contre une majorité (50%) qui ne souhaite pas que leurs données soient partagées avec des tiers, et ce quelle que soit la raison. À peine 15% affirment être susceptibles de vendre leurs données personnelles à un tiers. « Ce sondage révèle les craintes des consommateurs, qui ne savent pas à quel point leurs données personnelles sont partagées en ligne, ou comment elles sont utilisées par des tiers, » affirme Eve Maler, Vice-Présidente Innovation & Technologies Emergentes auprès du CTO de ForgeRock. Elle ajoute : « À choisir, la majorité préférerait partager moins d’informations. Cela doit alerter les entreprises, qui sont nombreuses à s’appuyer sur la data client pour piloter leur activité et augmenter leurs revenus. Les organisations doivent prendre en compte ces préoccupations, renforcer la confiance et la loyauté de leurs consommateurs en leur donnant plus de visibilité et de contrôle sur la manière dont leurs données sont collectées, gérées et diffusées. »

Les entreprises profitent de la donnée : elles en sont donc responsables.

Les consommateurs ont l’impression que l’utilisation de leurs données profite davantage aux entreprises qu’à eux-mêmes : 41% des personnes interrogées estiment que leurs données personnelles servent surtout, voire exclusivement, les intérêts de l’entreprise à qui elles les confient. En comparaison, ils ne sont que 17% à estimer que ces données sont utilisées principalement pour le bénéfice des consommateurs. En France, ce constat est à nuancer puisque seuls 29% estiment que leurs données personnelles servent surtout aux entreprises ; et 29% trouvent qu’elles sont utilisées principalement pour le bénéfice des consommateurs.

Mais dans tous les cas, les sondés considèrent que les entreprises sont responsables de la protection des données de leurs clients. En France, pour 9% d’entre eux à peine, ce sont d’abord les individus qui en sont les responsables, contre 50% qui estiment que cette responsabilité incombe à l’entreprise qui stocke les données. Par ailleurs, seuls 17% des sondés seraient prêts à payer pour récupérer des données volées.

Les consommateurs envoient un signal d’alerte aux entreprises qui partageraient leurs données sans leur consentement :

51% des sondés sont prêts à cesser d’utiliser les services de l’entreprise si cette dernière partage leurs données sans leur permission ;
46% retireraient, ou supprimeraient toutes leurs données stockées chez cette société ;
45% recommanderaient à leur famille et amis de ne plus utiliser cette entreprise ;
Un tiers (29%) engagerait une procédure judiciaire ;
30% informeraient la police, et 27% demanderaient une réparation financière.

Si c’est gratuit, alors c’est vous le produit : en matière de données personnelles, les banques plus fiables que les réseaux sociaux.

Les banques et les organismes de cartes de crédit sont désignés comme étant les plus fiables pour détenir des données personnelles. En France, 76% des consommateurs déclarent leur faire confiance pour stocker et utiliser leurs données personnelles de manière responsable. Amazon est également considéré comme fiable, puisque les deux tiers des consommateurs (66%) font confiance au géant du e-commerce pour gérer leurs données personnelles. Les réseaux sociaux sont plus clivants : Facebook et Twitter par exemple, totalisent respectivement 45% et 43% de sondés déclarant leur faire confiance pour gérer leurs données personnelles de manière responsable.

Il existe une forte corrélation entre les entreprises en qui les sondés font confiance, et le sentiment de contrôle qu’elles peuvent leur accorder : les banques et les sociétés émettrices de cartes de crédit (53%), Amazon (49%), ou encore les opérateurs de téléphonie mobile (51%) ont été désignés comme accordant le plus de contrôle aux utilisateurs. Tandis que seuls 39% des sondés déclarent se sentir en contrôle de leurs données sur Facebook et 23% sur Twitter.

Les usagers ne connaissent pas leurs droits.

Bien que les consommateurs soient préoccupés par la façon dont leurs données personnelles sont gérées et partagées, seule une minorité sait comment les protéger. Un tiers seulement des consommateurs (32%) sait comment supprimer les informations personnelles qui ont été partagées en ligne ; 57% affirment ne rien savoir ou presque de leurs droits concernant les données personnelles partagées en ligne ; Moins d’un tiers (26%) sauraient dire qui est responsable en cas de vol ou fuite de leurs données personnelles.

En Europe, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur cette année. Il renforce les droits relatifs au stock et au partage des données personnelles des consommateurs. Malgré cela, deux tiers des français (69%) affirment ne jamais avoir entendu parler de la législation, ou ne rien savoir de cette dernière. Eve Maler : « Notre étude révèle le fort besoin d’information sur la façon dont les données personnelles sont gérées et partagées en ligne. Les nouvelles réglementations, telles que le RGPD, visent à redonner au public le contrôle de leurs données, mais il est très clair que les consommateurs ne sont pas conscients de leurs droits et que beaucoup ne se sentent pas maîtres de leur identité numérique. L’industrie doit se réunir avec les pouvoirs publics pour sensibiliser les consommateurs sur les droits et protections mis en place. Sans cela, le public perdra confiance dans les marques qu’il rencontre en ligne, ce qui nuira au chiffre d’affaires et à la réputation.

Communiqué de presse, Cybersécurité, Securite informatique

Failles logiciels : niveau record de 20 000 vulnérabilités enregistrées en 2017

Failles logiciels : Les conclusions du rapport montrent que malgré la hausse des risques, les organisations restent impréparées et exposées face aux failles logiciels.

Failles logiciels : L’éditeur Flexera vient publier son Rapport annuel sur les tendances mondiales relatives aux vulnérabilités logicielles rédigé par les chercheurs de sa filiale Secunia Research. Ce document aide les organisations à comprendre les tendances en la matière, et à élaborer des stratégies afin de se protéger. Les failles sont à l’origine de graves problématiques de sécurité. En effet, des erreurs au sein de logiciels peuvent faire office de points d’entrée pour les pirates, et ainsi être exploitées pour accéder à des systèmes d’information.

Hausse des vulnérabilités

Le rapport publié cette année révèle que la flambée des vulnérabilités se poursuit. Le nombre de failles enregistrées en 2017 a en effet augmenté de 14 % par rapport à l’année précédente (19 954, contre 17 147 en 2016). Les entreprises sont donc exposées à des risques de sécurité toujours plus importants, ce qui souligne la nécessité pour elles de conserver en permanence une visibilité sur leurs actifs logiciels et les vulnérabilités qui les affectent. Les organisations doivent également s’assurer de trier les failles critiques par ordre de priorité et de les corriger avant que le risque qu’elles soient exploitées n’augmente.

« Les résultats de cette année sont sans appel : la menace reste omniprésente », déclare Kasper Lindgaard, directeur de recherche et de la sécurité chez Flexera. « Face à la hausse du risque de violations de données, les dirigeants se doivent d’augmenter leur vigilance en mettant en œuvre de meilleurs processus opérationnels, au lieu de se contenter de réagir aux menaces faisant la une des médias et perturbant leurs activités. Tels sont les enseignements à tirer de la fuite de données dont a été victime Equifax et des attaques WannaCry. »

Éviter les attaques est possible : 88 % des patches sont disponibles le jour même où les vulnérabilités sont divulguées

Une lueur d’espoir subsiste pour les entreprises cherchant à réduire le risque d’être victimes d’incidents : 86 % des failles disposent de correctifs le jour même où elles sont divulguées. En outre, les vulnérabilités zero-day (soit celles qui sont exploitées avant que leur existence ne soit révélée au public) restent rares ; seuls 14 % des 19 954 des failles enregistrées en 2017 tombent dans cette catégorie, ce qui représente une baisse de 40 % par rapport 2016.

Principaux enseignements du rapport Vulnerability Review de 2018

En 2017, l’équipe Secunia Research de Flexera a détecté 19 954 vulnérabilités au sein de 1 865 applications en provenance de 259 éditeurs. Cela représente une hausse de 38 % sur les cinq dernières années, et de 14 % par rapport à 2016.86 % des vulnérabilités repérées bénéficiaient de correctifs le jour même de leur divulgation, contre 81 % l’année précédente.

Seules 14 vulnérabilités zero-day (exploitées avant d’avoir été révélées au public) ont été découvertes au total, contre 23 en 2016.

17 % des vulnérabilités découvertes en 2017 étaient classées comme « Très critiques », et 0,3 % com me « Extrêmement critiques ».Les réseaux distants sont le principal vecteur utilisé pour déclencher des attaques (55 % des cas). (rapport)

Banque, Bitcoin, Cybersécurité, Securite informatique

Le cryptomining a d’ores et déjà détrôné les ransomwares !

Rapport trimestriel de l’année 2018 de Malwarebytes. Celui-ci revient sur les événements marquants de ce début d’année en matière de cybersécurité, fait le point sur les menaces émergentes et détaille les modes d’actions des cybercriminels.

Le premier trimestre 2018 a semblé particulièrement calme en matière de cybersécurité. Mais à y regarder de plus près, ce n’est pas tout à fait le cas. Une forme différente de cyber-malveillance a dépassé toutes les autres sur la période : le cryptomining ! Si cette pratique est majoritaire, elle n’est pas la seule. Les hackers ont poursuivi le développement et la distribution de ransomwares tandis que les spywares continuaient leur ascension dans les charts ! Par ailleurs, la révélation des vulnérabilités Meltdown et Spectre a conduit les distributeurs de logiciels à fournir des patchs pour tenter de protéger leurs utilisateurs.

Principaux enseignements à retenir

Le cryptomining augmente de façon spectaculaire. Les détections d’attaques contre les entreprises ont augmenté de 27 % par rapport au trimestre précédent. Le cryptomining devient la seconde la plus courante contre les entreprises. Les mineurs visant Android ont été 40 fois plus détectés ce trimestre que le précédent, ce qui constitue une augmentation de 4 000 % !

Côté Mac, Malwarebytes détecte plus de 1 000 mineurs malveillants, extensions de navigateur et applications de cryptomining ce trimestre. 74 % de ces identification ont eu lieu au mois de mars.

Le ransomware détrôné

Les détections d’attaques contre les particuliers chutent de 35 % par rapport au trimestre dernier : Cette menace chute au 6ème rang des plus courante contre les particuliers. GandCrab est le premier ransomware à demander à ses victimes une cryptomonnaie autre que le Bitcoin. Les détections contre les entreprises ont augmenté de 28 %, néanmoins le volume reste faible et cette menace ne figure pas dans le top 5 des principales menaces contre les entreprises.

Les spywares restent forts

La détection de spywares dans les entreprises a augmenté de 56 % par rapport au trimestre précédent. C’est la menace la plus courante. Après une baisse observée fin 2017, les détections ont repris de plus belle, notamment en janvier avec 80 000 détections, soit 4 fois plus qu’en novembre 2017. Les escrocs surfent sur les tendances en matière de failles de sécurité : la révélation des failles Meltdown et Spectre, affectant la quasi-totalité des processeurs du marché, affecte les utilisateurs et contraint les distributeurs de logiciels à publier de nouveaux correctifs.

Les cybercriminels en profitent pour créer de la confusion avec des escroqueries de type « social engineering ». Sur ce type d’escroqueries, le cryptomining joue également un rôle puisque l’on a vu de faux apparaitre de faux numéros de support, ciblant les utilisateurs de Coinbase, et destinés à voler leurs identifiants pour vider leur portefeuille électronique. (rapport)

Communiqué de presse, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

Pas (encore) de normes de sécurité pour les objets connectés

De nombreux objets connectés iot pour la maison et le bureau ne sont tout simplement pas sécurisés. On ne compte plus les histoires sur les vulnérabilités des objets connectés – particulièrement ceux utilisés à domicile. Bien que certaines aient l’air « tirées par les cheveux » – comme celle de la caméra pour bébé piratée qui répondait à sa mère – d’autres, comme le botnet Mirai, montrent que les problèmes de sécurité liés aux petits objets peuvent rapidement prendre de l’ampleur. Bref, difficile d’oublier que nombre d’objets connectés ne sont pas très sécurisés.

Camouflés derrière le plastique lustré de ces appareils connectés iot tout neufs pour la maison, de nombreux facteurs contribuent pourtant à créer cet environnement à risque. Voici les trois facteurs principaux, mais il en existe d’autres :
1.Les mots de passe codés en dur
2.Les mots de passe par défaut difficiles à changer
3.Les vulnérabilités non corrigées

La balle n’est PAS dans votre camp (mais vous êtes quand même coupable)
Avec un ordinateur à la maison, vous pouvez suivre de bonnes mesures de sécurité. Cela signifie entre autres, avoir installé un antivirus et faire en sorte que toutes vos applications et pilotes soient à jour (voire même utiliser un programme qui s’en charge tout seul). Et puis il y a cet élément important du piratage psychologique, vous en tant qu’utilisateur, ne cliquez pas sur des offres trop alléchantes sur Internet sans en être sûr.

Mais avec les objets connectés, impossible de suivre ce genre de précautions. Dans le meilleur des cas, vous pouvez modifier le mot de passe par défaut, mais ça s’arrête là. Le plus souvent, vous ne saurez même pas avec qui votre télé connectée communique et de quoi elle parle. Et ces appareils recueillent un tas de données potentiellement compromettantes sur vous et vos activités. En fait, même si votre caméra de surveillance faisait partie d’une armée internationale de botnets par DDoS, vous ne le sauriez pas.

SOS, mais qui pouvez-vous appeler ?
Les failles de sécurité de nombreux objets connectés ont lancé le débat sur les moyens des autorités ou des instances de réglementation pour remédier au problème. Aux États-Unis, une loi a été proposée qui obligerait les objets connectés achetés par le gouvernement fédéral à répondre à certaines normes. L’entrée en vigueur de cette loi aurait des répercussions sur la sécurité, car les fabricants devraient faire en sorte que leurs appareils soient plus sécurisés pour les clients du secteur public. Puis, cette certification pourrait également être utilisée pour d’autres types de clients.

Dans l’Union européenne, la Commission européenne dispose de l’AIOTI, l’Alliance for Internet of Things Innovation, un groupe de travail qui souhaiterait que les labels sur les produits – comme ceux utilisés pour présenter les données sur la consommation d’énergie – s’étendent aussi aux objets connectés.

Toutefois, cet autre concept d’auto réglementation ferait encore appel à des organismes de tests indépendants comme l’American Underwriters Laboratories, le German Stiftung Warentest ou l’AFNOR en France.

Il est temps de faire vos propres recherches sur la sécurité
Cependant, toutes ces options n’en sont encore qu’à leurs balbutiements et au moment d’acheter un objet connecté sécurisé, vous êtes encore livré à vous-même. La seule option pratique qui vous soit disponible pour le moment est de faire des recherches pour écarter toute marque ou modèle lié(e) à un problème de sécurité. Vous pouvez également jeter un œil à la liste de Krebsonsecurity des objets considérés comme problématiques. Cependant, cette approche en mode « système D » ne mettra pas au jour les composants génériques d’objets connectés, qui ont été intégrés à un système.

Il existe aussi des solutions qui peuvent vous aider à sécuriser vos connexions telle que Avira Home Guard. Il s’agit d’une application gratuite pour Windows qui scanne les objets intelligents connectés au réseau, identifie les vulnérabilités de sécurité, suggère des solutions et conserve un inventaire des appareils connectés. Cette solution vous donne une vue complète des appareils connectés à votre réseau et de leurs failles potentielles. Avira Home Guard est inclue dans le tableau de bord Avira pour Windows.

Communiqué de presse, Cybersécurité, RGPD, Securite informatique

GDPR : 4 étapes essentielles pour se préparer avant mai 2018

Il ne reste plus que quelques semaines avant l’entrée en vigueur du Règlement général sur la protection des données (GDPR). Évolution majeure de la Loi informatique et libertés de 1978, GRPD renforce les droits individuels pour devenir le nouveau texte de référence dans l’Union Européenne. La réglementation impose aux entreprises d’adopter un comportement responsable en améliorant l’évaluation des risques concernant les données collectées.

Il s’agit également d’harmoniser le paysage juridique à échelle européenne afin de construire un seul et même cadre pour tous les Etats membres.  Qualifiée de « bombe à retardement » ou de « contrainte », GRPD est souvent perçue comme une loi aux impacts négatifs aux yeux des entreprises. Une étude menée par Vanson Bourne révélait en avril dernier que près de la moitié des entreprises dans le monde redoutait de ne pas pouvoir répondre à la réglementation, faute de technologie adaptée. 20% d’entre elles craignaient même de devoir mettre la clé sous la porte à la vue du montant des pénalités (jusqu’à 4% du chiffre d’affaires annuel) en cas de non-conformité. S’il est maintenant de plus en plus évident que les entreprises ne seront pas totalement conformes le 25 mai prochain, elles doivent en revanche pouvoir prouver en cas de contrôle de l’Autorité responsable, qu’elles ont initié les mesures nécessaires pour s’assurer que les données collectées soient bien protégées.

Pour les appuyer dans cette démarche, voici les 4 étapes essentielles à prendre en compte dès aujourd’hui pour bien commencer leur entrée dans la conformité :

Avoir une vision et une gestion des données à 360 degrés

La première étape incontournable pour être en conformité à GDPR est d’adopter une approche holistique de la gestion des données qui va bien au-delà du simple stockage. Avec une réglementations plus stricte que les précédentes, les entreprises doivent s’assurer d’avoir une visibilité complète de leurs données, y compris sur la nature des informations stockées, la manière dont elles sont utilisées, mais aussi qui détient ces données et peut y avoir accès.

Cette approche doit inclure la possibilité de classer automatiquement de gros volumes de données, les numériser et les étiqueter de la manière la plus intelligente et la plus détaillée possible, afin de garantir que les informations sont gérer efficacement et restent à portée de main.

Se doter d’une solution qui permet de localiser et d’identifier rapidement les données personnelles est donc la première des priorités. A long terme, ce type de solution permettra également de déterminer comment exploiter les données et en extraire de la valeur.

 Pouvoir notifier une faille de données dans les 72 heures

Près de la moitié des entreprises qui pensent être conformes (48%) n’ont pas de visibilité totale sur les incidents de pertes de données personnelles. De plus, 61% d’entre-elles admettent qu’il est difficile d’identifier et de signaler une faille de données personnelles dans les 72 heures – une exigence fondamentale de la réglementation GDPR quand il y a un risque pour les individus concernés. Il s’agit de la deuxième priorité, considérée comme l’une des plus importantes de la réglementation. En effet, toute entreprise incapable de signaler la perte ou le vol de données personnelles – telles que les dossiers médicaux, les adresses e-mail et les mots de passe – à l’organe de surveillance dans ce délai est en rupture avec cette exigence clé.

L’exercice du droit à l’oubli

Avec GDPR, les entreprises doivent s’assurer que les données personnelles ne sont utilisées que pour les raisons pour lesquelles elles ont été collectées et doivent être supprimées lorsqu’elles ne sont plus nécessaires. En effet, dans le cadre du « droit à l’oubli », les citoyens européens auront le droit de demander la suppression de toutes leurs données personnelles des bases de données d’une entreprise. Les entreprises qui n’ont pas les capacités de rechercher et d’analyser les données personnelles pour détecter des références explicites ou implicites d’un individu sont encore très nombreuses. Se doter des outils pour visualiser avec précision la localisation des données ainsi qu’identifier les sources de dépôts fait donc partie des priorités essentielles.

Insuffler une culture de la conformité en interne

Si la plupart des entreprises admettent ne pas posséder une bonne culture de gouvernance des données et de conformité en interne, ces dernières sont tout de même conscientes qu’inciter les employés à adopter la bonne attitude vis-à-vis des données est primordial pour impulser de véritables changements culturels au sein de l’entreprise. Nombreuses sont celles qui comptent mettre en place des sessions de formations, instaurer des primes ou encore ajouter le respect obligatoire de mesures concernant GDPR dans les contrats d’embauche.

Initier sa conformité à GDPR et mettre en place les bonnes pratiques passent d’abord par les salariés. Prendre des mesures concrètes pour conduire à un changement culturel en interne fait également partie des priorités. Les salariés peuvent ainsi réaliser leur rôle à jouer concernant la protection des données et pourront voir leurs avantages positivement impactés, puisque ces derniers contribuent à promouvoir une bonne gouvernance des données au sein de l’entreprise.

Les entreprises qui savent créer de nouvelles opportunités business en s’appuyant sur les exigences réglementaires tireront un avantage certain. En étant conformes à GDPR, elles ne réduisent pas seulement le risque d’être exposées à des amendes, mais ont également l’opportunité d’offrir à leur clients une meilleure expérience à travers une bonne gestion des données, ce qui peut avoir un impact favorable sur la fidélité des clients, le chiffre d’affaires et la réputation de la marque. Mais plus encore, GDPR est aussi un réel moyen de redonner confiance aux citoyens dans leurs entreprises ainsi que d’instaurer une meilleure gestion et une diminution non négligeables des risques liés au numérique (cyberattaques, fraudes, etc.) (Par Daniel de Prezzo, Head of Technologies Southern Europe chez Veritas Technologies)

Argent, Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Particuliers, RGPD, Securite informatique

Les cyber attaques contre le secteur financier de la zone EMEA ont diminué de 24% en 2017

FireEye vient de publier son rapport annuel M-Trends, qui révèle que les attaques contre le secteur financier de la zone EMEA ont diminué au cours de l’année écoulée. En 2016, 36% des cyberattaques observées dans la région EMEA ont ciblé le secteur financier. Cependant, en 2017, ce nombre a diminué d’un tiers à 24%. Malgré cette baisse du nombre d’attaques, le secteur financier est toujours victime des attaques les plus importantes, suivi de près par la haute technologie et les soins de santé.

  • Les attaques répétées sont une tendance croissante – Les organisations sont de plus en plus ciblées de nouveau. 49% des clients ayant au moins une découverte hautement prioritaire ont été attaqués de nouveau dans un délai d’un an. 56% des organisations mondiales qui ont reçu un soutien en cas d’incident ont été ciblées à nouveau par le même groupe d’attaque motivé de la même manière.
  • Le temps de séjour des organisations EMEA est de 175 jours – Le temps d’attente médian (la durée d’un acteur de la menace dans l’environnement d’une organisation avant qu’il ne soit détecté) est de 175 jours, soit environ six mois. La durée médiane de séjour est de 101 jours dans le monde entier, ce qui fait que les organisations de l’EMEA ont un délai de réponse inférieur de 2,5 mois à la médiane mondiale.
  • L’activité cyber-menace iranienne était prédominante – Tout au long de 2017, l’Iran est devenu plus capable d’une perspective offensive. Nous avons observé une augmentation significative du nombre de cyberattaques provenant d’acteurs menacés par l’Iran.

En toile de fond, le rapport est basé sur des informations recueillies lors d’enquêtes menées par les analystes de sécurité en 2017 et révèle les nouvelles tendances et tactiques utilisées par les acteurs de la menace pour compromettre les organisations.

Cyber attaques, 49% des victimes sont revisitées par les attaquants après la première détection contre seulement 37% en 2013

Comme tous les ans FireEye publie le rapport MTRENDS. Le rapport 2018 met à jour la collecte d’informations lors des interventions Mandiant et des analyses basées sur le renseignement FireEye Isight de définir les grandes tendances 2017 en termes de cyber-attaques ainsi que les prévisions pour 2018.

Cette édition du rapport, la septième depuis 2011, offre un comparatif détaillé sur des métriques précis lié à la cyber menace. Ainsi nous pouvons observer cette année les éléments suivants :

–          Un abaissement du temps de résidence moyen de l’attaquant sur le réseau de sa victime lors d’une détection interne, avec une moyenne qui passe de 80 jours en 2016 à 57,5 jours en 2018.Néanmoins le temps de détection moyen global lui reste quasi inchangé en passant de 99 jours à 101 jours en 2018

–          Une volonté de réattaque des victimes par leurs attaquants avec 49% des victimes revisitées par les attaquants après la première détection contre seulement 37% en 2013.

–          Des attaquants qui pendant nos investigations en Europe (EMEA) sont restés 54% des fois plus de 121 jours sur le réseau de leur victime.

–          Plus aucun secteur d’activité n’est épargné par les attaquants, de la cyber criminalité au cyber espionnage toutes les industries même les associations caritatives sont aujourd’hui des cibles. Néanmoins le TOP3 des industries visées par de multiples attaques simultanées est : High Tech, Education, Télécommunication

Le rapport permet aussi de mettre en avant des informations sur les grandes tendances 2017 et les risques associés :

–          Les attaquants utilisent de plus en plus le Phishing et les attaques ciblées à travers l’ingénierie sociale.

–          Les entreprises manquent de ressources et de talents pour faire face à l’industrialisation des attaquants et mettre en place des plans de réponses à incidents Adhoc.

–          L’IRAN a été une des sources les plus active en 2017 avec les publications sur les groupes spécifiques comme APT33, 34 et 35

–          La cyber revêt une importance capitale dans le positionnement géopolitique de certains pays, c’est ainsi que l’on voit apparaître de nouveaux pays sur l’échiquier du risque cyber avec à titre d’exemple en 2017, APT32 au Vietnam

–          Les attaquants sont de plus en plus rapides dans l’utilisation de zero days, ils utilisent aussi de manière massives les outils « autorisés » et la « supply chain » pour attaquer leurs victimes.

–          Les groupes chinois continuent leur moisson de patrimoine informationnel en Europe.

Enfin le rapport permet de mettre en avant les tendances à venir sur 2018, avec un contexte géopolitique tendu qui se traduit déjà par une menace cyber de plus en plus forte et une volonté de tous les états du monde à se doter de compétences sur le sujet.

Communiqué de presse, Cybersécurité, Justice, loi, RGPD

Données personnelles : les députés ignorent les sénateurs !

Protection des données personnelles : Les députés de la majorité veulent passer en force et ignorer les apports du Sénat au prix de reculs pour les libertés publiques et les collectivités territoriales.

Protection des données personnelles – Au lendemain de l’échec de la commission mixte paritaire chargée d’examiner le projet renforçant l’efficacité de l’administration pour une relation de confiance avec le public, la commission mixte paritaire (CMP) qui s’est réunie le vendredi 6 avril 2018, à l’Assemblée nationale, pour examiner le projet de loi relatif à la protection des données personnelles n’est pas parvenue, elle non plus, à un accord. Pour rappel, ce projet de loi vise à mettre la loi Informatique et libertés en conformité avec le règlement général sur la protection des données personnelles, qui entrera en vigueur le 25 mai 2018, et avec la directive sectorielle spécifique aux traitements en matière policière et judiciaire, qui doit être transposée avant le 6 mai 2018.

Pour le président de la commission des lois du Sénat, Philippe Bas (Les Républicains – Manche), « ce résultat décevant est entièrement imputable à l’attitude des députés du groupe majoritaire à l’Assemblée nationale qui étaient fermés d’emblée à tout compromis et ont rejeté en bloc les apports du Sénat en faveur des libertés publiques et des collectivités territoriales ».

Pour renforcer la protection des droits et libertés des citoyens, le Sénat avait notamment prévu d’encadrer beaucoup plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et de renforcer les garanties de transparence en la matière, par exemple pour les inscriptions dans l’enseignement supérieur (« Parcoursup »).

« Est-il normal que l’administration puisse aussi bien établir une feuille d’impôt qu’interdire une réunion publique ou expulser un étranger sur le seul fondement d’un algorithme, sans examen individualisé ? Est-il légitime que les lycéens sélectionnés par les universités au moyen de traitements automatisés ne puissent savoir quels paramètres leur ont été appliqués ? » s’est interrogée le rapporteur Sophie Joissains (Union Centriste – Bouches-du-Rhône).

Sur ce point, le président Bas a ajouté : « Pourquoi les étudiants n’auraient-ils pas le droit d’accéder aux informations nécessaires pour comprendre les raisons d’un refus d’inscription dans une université de leur choix ? ». Il a déploré que « le manque de respect pour les apports du Sénat se double d’une certaine incohérence : dans leurs discours, les députés du groupe majoritaire à l’Assemblée nationale et le Président de la République lui-même ne cessent d’appeler à l’encadrement et à la transparence des algorithmes. Dans les faits, ils s’apprêtent à voter la suppression de tous les garde-fous ! »

Le Sénat, fidèle à sa vocation particulière d’assemblée protectrice des libertés

  • rétablir l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, et préciser les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers ;
  • maintenir à 16 ans, conformément au droit commun européen, l’âge minimal à partir duquel un mineur peut consentir seul au traitement de ses données personnelles;
  • encourager le recours aux technologies de chiffrement des données pour assurer leur sécurité ;
  • conserver le droit général à la portabilité des données, personnelles comme non personnelles, pour permettre de faire véritablement jouer la concurrence entre services en ligne ;
  • s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.

Quant aux collectivités territoriales, le président Bas a déploré que « l’État leur impose une nouvelle fois de nouvelles obligations sans leur en donner les moyens, et sous la menace de sanctions très lourdes ! »

« N’oublions pas qu’elles sont responsables de nombreux traitements sur lesquels elles n’ont pas prise, car ils découlent d’obligations légales ou de compétences transférées (fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre…) », a ajouté le rapporteur Sophie Joissains.

Pour mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations, le Sénat avait prévu :

  • dégager de nouveaux moyens financiers, en « fléchant» le produit des amendes et astreintes prononcées par la Commission nationale de l’informatique et des libertés (CNIL) à leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles ;
  • faciliter la mutualisation des services numériques entre collectivités ;
  • réduire l’aléa financier pesant sur ces dernières en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles ;
  • d’encourager la diffusion d’informations et l’édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités comme des TPE-PME.

Après une nouvelle lecture devant chaque chambre (l’examen est prévu en séance à l’Assemblée nationale le jeudi 12 avril, et au Sénat le jeudi 19 avril), le Gouvernement pourra demander à l’Assemblée nationale de statuer sur ce texte en lecture définitive (« dernier mot »).

La promulgation du texte pourra alors intervenir après, le cas échéant, l’examen des éventuels recours déposés devant le Conseil constitutionnel.