Archives mensuelles : juin 2019

Communiqué de presse, Cybersécurité, Justice, loi

L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des .fr

L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des noms de domaine en .fr. Des démarches simples, en 2 clics, directement depuis le site de l’Afnic.

Depuis 2017, l’Afnic a recensé 102 plaintes d’usurpation d’identité de personnes physiques relatives à l’enregistrement d’un nom de domaine en .fr. L’usurpation d’identité survient lorsqu’une personne enregistre un ou des noms de domaine sous l’identité d’un tiers (personne physique). Dans la majorité des cas, il s’agit là d’un acte de malveillance à des fins de cybercriminalité : escroquerie, vente de produits contrefaits, arnaques aux entreprises, diffamation, etc.

Si le nombre de plaintes recensées est relativement faible au regard des 3,4 millions de noms de domaine enregistrés en .fr, ces pratiques peuvent avoir des impacts lourds de conséquences pour les victimes. Malheureusement, ces faits sont portés à leur connaissance de manière souvent brutale, par lettre recommandée émanant d’un cabinet d’avocat, une plainte ou une assignation signifiée par un huissier de justice…

Pour lutter contre ces usurpations d’identité, l’Afnic a édité une fiche pratique « Lutter contre l’usurpation d’identité » et a mis en place une procédure simple en deux étapes :

  • 1ère étape « La demande d’accès à ses informations dans la base Whois », qui recense l’ensemble des noms de domaine gérés par l’Afnic (.fr, .pm, .re, .tf, .wf et .yt.).
    Si cette étape est facultative, elle est vivement conseillée : elle permet en effet de connaître le ou les nom(s) de domaine enregistré(s) avec les informations personnelles des victimes.

Fort de ces informations, il faudra alors déposer une plainte auprès du commissariat de police ou de la gendarmerie les plus proches.

Dès réception de cette demande, l’Afnic agit dans les meilleurs délais pour que le bureau d’enregistrement en charge du ou des nom(s) de domaine concerné(s) supprime les informations personnelles ainsi que le nom de domaine frauduleusement enregistré. Ces deux démarches sont directement accessibles depuis le site de l’Afnic, à la rubrique « Actions et procédures ».

Rappelons que l’usurpation d’identité est un délit pénalement sanctionné par un an d’emprisonnement et d’une amende de 15 000 euros.

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, ransomware, Securite informatique, Social engineering

Le coût additionné des attaques par cryptovirus touchant les PME françaises

L’enquête terrain inédite menée par l’IRT SystemX auprès de PME et TPE françaises, victimes de cyberattaques, dévoile l’impact réel des cyber-préjudices et fait voler en éclats deux grandes croyances communément admises : le nombre de cyberattaques réussies s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen des cyberattaques se révèle en revanche beaucoup plus faible que supposé. Zoom sur les 9 principaux enseignements de cette étude.

 SystemX, unique IRT dédié à l’ingénierie numérique des systèmes du futur, dévoile les principaux enseignements de sa première enquête terrain menée sur 3 ans* auprès de plus de 60 entreprises françaises**, principalement des PME/TPE de moins de 50 personnes, victimes de cyberattaques. Toutes les régions et secteurs economiques sont représentés. L’objectif de cette enquête était de mesurer les préjudices causés au tissu économique, puis d’élaborer des modèles de calcul des coûts ainsi que de l’exposition d’une entreprise au risque Elle a également permis de collecter des signaux faibles, annonciateurs de nouvelles tendances, et notamment d’évolutions à attendre sur le mode opératoire de certaines formes d’attaques

Parmi les catégories d’attaques étudiées, le rançonnage par cryptovirus et les fraudes au président et faux ordres de virement prennent la plus grande place. Ont également été rencontrées : l’escroquerie au faux support technique, la prise de contrôle de messagerie, le piratage téléphonique, la fraude aux sentiments, l’usurpation d’identité, la mauvaise protection des caméras, la captation de nom de domaine, le défaçage ou encore le vol de compte bancaire. A noter la grande rareté des attaques DDos par déni de service contre des PME, ce qui constitue l’un des résultats inattendus de cette enquête et confirme que ce type d’attaque résulte avant tout d’un ciblage intentionné de la part d’un tiers.

« Cette enquête terrain est inédite en France : elle transmet une vision profondément renouvelée des attaques informatiques notamment grâce à une précision des chiffres jamais atteinte. Initiée dans le cadre du projet EIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), elle remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », explique Gilles Desoblin, Responsable de la thématique Défense et Sécurité, IRT SystemX.

Parmi les principaux enseignements de cette enquête

–          La fréquence des attaques réussies en matière de cryptovirus est plus haute que supposée jusqu’alors : pour une PME de moins de 50 salariés, la probabilité d’être victime ne se mesure annuellement plus en pour mille mais en pour cent, se situant entre 2 et 5% (soit entre 100 000 et 250 000 entités par an). Elles ne se situent donc plus dans la catégorie des événements rares.

–          Le coût moyen d’une attaque par cryptovirus est inférieur à ce qu’il est généralement communiqué via les médias : en effet, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, en non en dizaines, centaines voire en millions d’euros. A noter que la progression des coûts n’est pas proportionnée seulement à celle de la taille d’une entreprise, mais dépend d’autres facteurs parfois inattendus tels que le mode de gestion des ressources humaines .

–          La médiane constatée (de l’ordre du millier d’euros) est basse et se situe nettement au-dessous de la moyenne, ce qui signifie qu’un grand nombre d’attaques réussies trouvent des solutions à faible prix, particulièrement quand les sauvegardes ne sont pas affectées.

–          Toujours concernant les cryptovirus, les coûts additionnés subis par l’ensemble des victimes de moins de 50 employés – entreprises ou associations – en France s’élèvent à un montant supérieur à 700 millions d’euros par an.

–          Dans cette observation de transfert de richesse, le gain enregistré par les pirates déroge à l’image communément admise. La sortie de capitaux, due conjointement aux cryptovirus et aux fraudes aux président – soit plus de 200 millions d’euros -, masque des modèles économiques très différents entre ces formes de criminalité. Les calculs réalisés au sujet des cryptovirus font ressortir un ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les PME/TPE. A contrario, les fraudes au président, malgré leur recours accentué à des acteurs humains et à l’ingénierie sociale, laissent entrevoir des marges finales plus élevées.

–          L’étude dévoile également la sous-estimation du préjudice humain occasionné par ces attaques (fragilisation des personnes, perte de cohésion de groupe), avec la nécessité d’assister les décideurs pendant cette phase où ils doivent mener des arbitrages en situation de forte incertitude.

–          A contrario, le préjudice sur l’image des entreprises touchées est surestimé, puisqu’il est souvent superficiel et passager, sauf si cela coïncide avec un temps fort de la société (lancement de nouveau produit ou événement-jalon important).

–          Si les relations entre entreprises partenaires se sont confirmées être l’une des principales failles en cas d’attaque et de leurre, par exemple en matière de rançonnage avec des courriers du type « facture modifée » ou de fausses adresses bancaires (FOVI), l’observation plus fouillée fait ressortir qu’une partie très importante des coûts d’attaque provient de la déficience d’acteurs de l’écosystème de l’entreprise : prestataire ou éditeur informatique, opérateur télécom, fournisseur de messagerie, électricien, banquier, etc. Il est apparu que ces déficiences ou le manque de réactivité de nombre de ces acteurs alimentent le risque dans des proportions au moins comparables à celles engendrées par les déficiences internes.

–          Enfin, contrairement à l’image d’une sécurité informatique qui s’obtiendrait par de forts investissements, l’étude souligne que la majorité des préjudices observés aurait pu être évitée ou atténuée par des modes de protection à coût modeste, et par une série de bonnes pratiques accessibles à la plupart des entreprises.

*Réalisée entre 2016 et 2019

** Entreprises invididuelles, TPE et PME de moins de 50 personnes et secteur associatif

Cybersécurité, Securite informatique, Social engineering

Mystérieuses factures dans votre boîte mail

2 commentaires

Depuis quelques heures, vous recevez d’étonnantes factures ne correspondant à aucuns de vos achats. Explication de la malveillance cachée derrière cette missive électronique.

L’annonce des factures envoyée à plusieurs centaines de milliers d’exemplaires s’affiche assez simplement. En objet, le nom d’un site web. Le contenu du courriel vous affirme une commande en cours. « Votre commande numéro 1585432 d’un montant de 734€ a bien été encaissée par notre système de paiement. »

Un message qui a de quoi inquiéter. Plus de 700€ (certains autres courriels annoncent 300, 500, 700€). Comment est-ce possible ? piratage de votre compte bancaires ? Erreur d’une banque en votre défaveur ? Pas d’inquiétude. Il s’agit d’une arnaque. Ne cliquez pas, Data Security Breach l’a fait pour vous.

Fausse facture, faux sondage, vrai piège

En fait de facture, le lien proposé dans ce mystérieux courriel a pour mission de vous diriger vers un faux sondage. Mission, vous faire croire que vous allez pouvoir remporter une smartphone de dernière génération (iPhone, Samsung) pour la modique somme de 1€. Il faut lire les petites lignes pour comprendre le fonctionnement de ce – cadeau – : « Tous les nouveaux clients participent au tirage au sort du produit promotionnel […] Cette offre spéciale s’accompagne d’une période d’essai de 3 jours pour un service d’abonnement. »

C’est ici que le piège se referme. Pour recevoir votre téléphone, on vous réclame 1 euro de frais. Pour les payer, fournir son numéro de carte bancaire… et au bout de trois jours… vous voilà abonné pour 70 euros par mois.

Système marketing licite, les règles sont affichées, par particulièrement discutable. Derrière cette fausse facture et ce faux sondage, le site GaMoMu. Un espace appartenant à une habituée du genre, la société Chypriote CORIMANT LIMITED.

Communiqué de presse

Stockage Cloud et sécurité : trois problèmes rencontrés par les PME

Le cloud, le nuage, a changé la façon dont les entreprises travaillent. Un tout nouveau monde de collaboration et de productivité s’est ouvert. Un environnement dont il devient très compliqué de ne pas utiliser les qualités… et subir les potentiels problèmes de cybersécurité.

Mais l’adoption du cloud continue de susciter des préoccupations en matière de sécurité dans les petites et moyennes entreprises (PME), notamment en matière de stockage. Naturellement, lors du stockage de données dans le cloud avec des services tels que Dropbox for Business, Google Drive, Microsoft OneDrive et Box, les entreprises peuvent avoir le sentiment que leurs données sont moins sécurisées et sujettes aux fuites. Confier vos données à un tiers est simplement risqué car vous n’en avez pas le contrôle.

La recherche d’IS Decisions prouve que ces préoccupations existent. 63% des PME pensent que les fournisseurs de stockage dans le cloud devraient faire davantage pour protéger leurs données. Mais quels sont exactement les problèmes spécifiques que les PME rencontrent avec les données dans le cloud?

1.    Ils ne peuvent pas détecter les accès non autorisés

La détection des accès non autorisés aux fichiers et aux dossiers sensibles de l’entreprise est l’une des principales préoccupations des entreprises en matière de sécurité dans le cloud.

Traditionnellement, lorsque les entreprises stockaient leurs données sur des serveurs de fichiers locaux, elles pouvaient être assurées que les données étaient «relativement» protégées de toute utilisation non autorisée. La raison pour laquelle elles sont supposées sécurisées est due à la nécessité d’être physiquement présent au bureau pour accéder à ces fichiers, ce qui crée une limite naturelle contre les accès non autorisés en dehors de l’organisation.

Même pour les employés et les partenaires tiers utilisant des réseaux privés virtuels (VPN), qui permettent un accès en dehors de cette limite, les données restent relativement sécurisées, car les équipes informatiques peuvent ne restreindre l’accès qu’à des périphériques spécifiques.

Mais avec le stockage dans le cloud, la facilité de partage des données entre les équipes, associée à la simplicité d’intégration de votre stockage avec d’autres applications dans le cloud, augmente considérablement le risque d’accès non autorisé, ce qui pose d’importants problèmes de sécurité aux équipes informatiques qui ont du mal à détecter les utilisations abusives. Sans les bons contrôles d’accès en place, si les informations de connexion d’un employé tombaient entre de mauvaises mains, son auteur pourrait, en théorie, accéder aux fichiers et dossiers sensibles de n’importe où dans le monde, avec n’importe quel appareil.

Les entreprises craignent que, faute de savoir qui accède à ces fichiers, ces informations se retrouvent entre de mauvaises mains. En fait, un sur cinq (21%) est allé jusqu’à dire qu’ils conservaient leurs données les plus sensibles stockées sur une infrastructure sur site, car ils ne faisaient pas confiance à sa sécurité dans le cloud.

2.    Ils luttent pour arrêter le vol de données en cours

Empêcher les employés qui quittent votre entreprise de voler des fichiers d’entreprise sensibles avant leur départ cause énormément de maux de tête aux équipes de sécurité du monde entier.

Avec le stockage sur site, le risque de repérer une personne qui tente de voler des informations sensibles est beaucoup plus grand, car ces informations sont stockées sur un ordinateur de bureau physique, plutôt que de pouvoir être consultées de l’extérieur.

Tandis que, avec le stockage dans le cloud, vous pouvez accéder aux données de n’importe où dans le monde, en utilisant n’importe quel appareil (même personnel), il est donc trop facile pour les anciens employés de voler des informations avant de partir. En fait, même lorsque cet employé quitte officiellement ses fonctions, il existe toujours un risque qu’il ait accès aux données de la société.

3.    La gestion d’environnements de stockage hybrides complexes est difficile

Ce problème est intrinsèquement lié aux deux premiers – et on peut affirmer que les environnements hybrides complexes aggravent beaucoup les problèmes des deux autres.

De nos jours, la plupart des entreprises utilisent une combinaison d’environnements de stockage, à la fois en termes de fournisseurs de stockage dans le cloud et de serveurs sur site. Et si cette approche hybride aide les employés à devenir productifs, elle rend très difficile la gestion de la sécurité des données stockées dans plusieurs environnements.

Chaque fournisseur de cloud dispose d’un système de gestion de la sécurité différent. Sans surveillance permanente de l’accès à chaque plate-forme, il est difficile de détecter toute activité malveillante et d’arrêter le vol de données. En effet, 56% des PME disent qu’il est difficile de gérer la sécurité des données stockées dans des infrastructures hybrides.

Comment faire?

Le moyen le plus efficace de protéger vos données, que ce soit dans le cloud ou sur un mélange de local et de cloud, consiste à investir dans une technologie qui enregistre, contrôle et consigne de manière proactive tous les accès aux fichiers et aux dossiers et vous en avertit en temps réel et alerte les équipes informatiques de l’activité de fichiers suspects au moment où elle se produit.

FileAudit offre une vue cohérente de la sécurité de vos données sur tous vos serveurs de stockage, à partir d’un outil et d’un tableau de bord consolidé. Avec une telle solution, vous pouvez être assuré que si quelqu’un d’autre qu’un employé autorisé tente d’accéder à vos données, vous serez le premier à en prendre connaissance et, par conséquent, à vous en occuper.

Communiqué de presse, Cybersécurité, IOT, Securite informatique

IQS, le premier label européen de sécurité des solutions connectées est Français

Pensé pour les utilisateurs, ce label permet aux acteurs de l’IoT de vérifier la sécurité d’une solution mettant en œuvre des objets connectés. Il constitue un indicateur fiable et indépendant pour les futurs acquéreurs ou usagers, professionnels comme particuliers.

La société digital.security, premier CERT européen dédié à la sécurité des objets connectés, annonce le lancement du programme de labellisation IoT Qualified as Secured (IQS), le premier programme de labellisation pour les acteurs de l’Internet des Objets (IoT) désireux de faire vérifier, par un tiers indépendant, la sécurité de leurs solutions IoT.

Avec plus de 14 milliards d’appareils IoT en circulation en 2019 et 25 milliards prévus d’ici 2021* les objets connectés sont devenus une cible privilégiée pour les cybercriminels. Ces derniers peuvent accéder physiquement à l’objet et mener des attaques sur les composants et les données personnelles ou sensibles, ou en prendre le contrôle à distance par le biais de la radio logicielle.

A qui s’adresse ce programme ?

IoT Qualified as Secured, ou IQS, permet aux industriels de l’IoT de vérifier la sécurité de leur solution mettant en œuvre des objets connectés. Matérialisé par le pictogramme IQS, c’est également un gage de sécurité pour les futurs acquéreurs ou usagers, entreprises comme particuliers.

Ses caractéristiques

Applicable à l’ensemble des secteurs économiques, le label IQS repose sur un référentiel intégrant à la fois les standards nationaux et internationaux de sécurité, les bonnes pratiques dites « d’hygiène de sécurité », et les exigences issues du retour d’expérience de digital.security.

Le cœur du label IQS est constitué d’une plate-forme d’évaluation de la sécurité des objets connectés -appelée EvalUbik – véritable banc de test permettant de mettre un objet connecté en condition d’utilisation paramétrable et contrôlée.

Deux niveaux de labellisation sont délivrés : standard et avancé.

Le label est délivré pour une durée de 2 ans aux solutions IoT (objets et services associés) respectant un ensemble d’exigences de sécurité publiées (entre 25 et 30 selon le niveau de labellisation).

La volonté de digital.security est de couvrir de façon objective et mesurable la grande majorité des exigences requises dans les pays de l’Union Européenne. La logique de millésime du label permet de le faire évoluer au rythme de la mise en place des règlements et des standards européens afin de permettre à tout acteur IoT d’inscrire sa démarche sécurité dans la durée.

Processus de labellisation

Le Comité de Labellisation, composé d’experts en cybersécurité indépendants de digital.security, confronte le rapport d’évaluation anonymisé au référentiel retenu pour accorder le certificat de labellisation.

Un référentiel d’exigences de sécurité adapté à l’IoT

Fruit des standards et des bonnes pratiques communément admises pour sécuriser les Systèmes d‘Information, complété du retour d’expérience des audits IoT réalisés par digital.security, le référentiel d’exigences de sécurité du label IQS couvre les thématiques suivantes :

  • La protection des échanges de données (PED)
  • Protection des socles techniques (PST)
  • La sécurisatoin de l’accès aux données (PAD)
  • Traçabilité (TRA)

L’ensemble des composants de la solution IoT candidate au label sont soumis au référentiel : les objets connectés, les protocoles de communication, les serveurs accessibles sur Internet et les applications fournies aux utilisateurs.

« Il n’y a pas d’innovation réussie sans maîtrise des risques », déclare Jean-Claude Tapia, président de digital.security. « Dans un marché mondial qui privilégie le time-to-market à un développement maîtrisé, il était essentiel pour nous de créer le premier label de référence sur la sécurité des objets connectés qui révolutionnent la façon dont les agents économiques et sociaux interagissent. Avec le lancement du label IQS, notre objectif, en tant que premier CERT IoT, est d’accompagner durablement cette révolution numérique pour le bénéfice de toutes les parties prenantes. », conclut Jean-Claude Tapia.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, RGPD, Sauvegarde, Securite informatique

Le backup, votre allié numérique

Bug informatique, perte d’informations, attaque d’un ransomware… des problèmes que l’on peut rencontrer chaque jour face à un clavier. L’une des solutions les plus efficace face à ce type de problématique, la sauvegarde. Nous avons testé la solution EaseUS qui vient de fêter ses 14 ans.

La sauvegarde, le backup … la protection de vos données personnelles, d’entreprises par le clonage sécurisé de ces dernières. Le réflexe indispensable pour une continuité d’exploitation. Pour cela, il existe de nombreuses solutions gratuites et payantes. Nous nous sommes penchés sur le cas de « Todo Backup Home » de l’éditeur EaseUS. L’entreprise vient de sortir la version 11.5 de son outil de sauvegarde. D’abord parce que nous utilisons une de leur solution (la récupération de données perdues) et ensuite parce que cette société vient de fêter ses 14 ans d’existence.

EaseUS Todo Backup Home

S’il fallait définir cet outil, nous pourrions le faire ainsi : une sauvegarde simple. En quelque clic votre machine, votre disque dur ou toutes données sélectionnées seront protégées par le backup.

Le fonctionnement est d’une simplicité enfantine. Plus d’excuse pour dire « C’est long, compliqué« . A près avoir installé l’outil (237 Mo), une administration claire et détaillée s’offre à vous. Plusieurs onglets, sans fioriture pour plus d’efficacité. Le premier, la sauvegarde de disque dur. Vous choisissez le HD a sauvegardé et vous cliquez après avoir sélectionnez la destination.

 

Bien évidement, cette destination ne doit pas être le même disque dur et sur le même ordinateur. Je vous conseille fortement un disque dur externe que vous pourrez déconnecter par la suite du poste sauvegardé.

Pensez aussi à chiffrer cette sauvegarde. Chiffrement que propose Todo Backup Home. Il vous sera réclamé un mot de passe afin de sécuriser l’ensemble. Un conseil, ne perdez pas ce password, la récupération sera impossible dans le cas contraire. Petit défaut, l’outil n’indique pas le type de chiffrement employé !

Une fois la sauvegarde effectuée, il est possible de recevoir un courriel indiquant la fin de l’action. Une option intéressante lors de l’automatisation de vos backups.

Pour ne pas surcharger vos sauvegardes de fichiers inutiles Todo Backup Home propose aussi d’exclure les contenus inutiles, consommateurs de Mo. Ici aussi, vous sélectionnez l’onglet adéquate et cochez les fichiers à exclure. Parmi les autres possibilités: la sauvegarde du système avec la possibilité de le transférer sur un nouveau poste, la copie de vos mails (ne fonctionne pour le moment que sous Microsoft Outlook).

Pour conclure, l’option « Stratégie de réserve d’images » vous permettra de ne pas saturer vos espaces de stockages de backup. Vous pourrez sélectionner, par exemple, la durée de conservation. Un détail loin d’être négligeable, aussi, avec le Règlement Général des Données Personnelles qui impose des durées/moyens/sécurisation des informations sauvegardées.

Bref, EaseUS Todo Backup Home fait le travail qu’on lui demande et il le fait vite et bien !

Il existe deux versions de ce logiciel. Une version gratuite et une version plus poussée, commercialisée 27€.

La première sera parfaite pour la maison, la famille.

La seconde est plus poussée, plus pointue avec des options beaucoup plus professionnelles. Je vais être honnête avec vous, j’ai tenté de vous faire gagner des licences ! En lieu est place, j’ai réussi à vous dégoter un -50% sur la licence professionnelle qui vous coûtera donc que 13,5€. (La promo est utilisable jusqu’au 20 juin 2020).

A vous de tester ! N’hésitez pas à faire un report de vos expériences ci-dessous.

Communiqué de presse, Cybersécurité, double authentification, Mise à jour, Securite informatique

6 professionnels sur 10 voleraient des données en cas de départ de leur entreprise  

Une étude en dit beaucoup sur la gestion des accès et des identités au sein des entreprises : les confessions de professionnels mais aussi les difficultés rencontrées pour mettre en place des solutions IAM (Identity and Access Management) et PAM (Privileged Access Management) adaptées.

One Identity, une société spécialisée dans la gestion des identités et des accès (IAM), publie les résultats d’une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – la RSA conférence – sur leurs plus grands défis et préoccupations en matière de sécurité, ainsi que sur leurs comportements professionnels liés à l’accès au réseau et au système.

Et il semblerait que beaucoup de professionnels ne s’embarrassent pas toujours des protocoles et mesures de sécurité :

  • L’étude mené par One Identity révèle ainsi que près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.
  • Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait.
  • De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail. Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.

Difficiles à mettre en œuvre, les solutions IAM/PAM ne sont toujours pas une priorité 

Les résultats de l’étude révèlent une hétérogénéité dans l’utilisation des solutions d’IAM et de PAM  au sein des entreprises : certaines estiment qu’il s’agit d’une priorité, d’autres les négligent, exposant potentiellement leur organisation à des atteintes à la protection des données et à d’autres cyber-risques.

Parmi les résultats les plus significatifs de l’enquête :

  • 1/3 des répondants affirment que la gestion des accès à privilèges (PAM) est la tâche opérationnelle la plus difficile en matière de sécurité.
  • Seulement 16 % des répondants citent la mise en œuvre de pratiques adéquates d’IAM comme l’une des trois principales préoccupations lorsqu’il s’agit de protéger le Cloud.
  • Par ailleurs, seulement 14 % des répondants affirment qu’un meilleur contrôle de l’accès des employés aurait un impact significatif sur la cybersécurité de leur entreprise.

Ces résultats démontrent que les entreprises ont du mal à mettre en œuvre des processus, des pratiques et des technologies adéquats en matière d’IAM et de PAM, et qu’elles négligent peut-être complètement l’impact de ces disciplines sur leurs dispositifs de sécurité.

 Pour les professionnels, 3 tâches particulièrement complexes remontent en matière de gestion des accès et identités : 1 répondant sur 4 explique ainsi  que le plus compliqué est de gérer les mots de passe des utilisateurs ; pour 1 sur 5 la tâche la plus complexe est la gestion du cycle de vie des utilisateurs (c.-à-d. le provisionnement et le dé provisionnement des utilisateurs), alors que ce sont deux des exigences fondamentales en matière de gestion des identités.

De plus, 1 répondant sur 4 affirme que l’Active Directory (AD) est le système le plus difficile à sécuriser pour l’entreprise. Cela est particulièrement préoccupant étant donné la prévalence de l’AD dans la plupart des organisations.

L’IAM dans le Cloud est complètement négligé

Lorsqu’il leur a été demandé de partager leurs trois principales préoccupations en matière de sécurisation du Cloud, près de 3 répondants sur 4 ont cité la perte de données. 44 % ont cité la menace externe, et 44% également ont cité la menace interne !  En revanche, seulement 16 % ont déclaré que la mise en œuvre de pratiques adéquates d’IAM était une préoccupation majeure. Ces résultats sont paradoxaux étant donné que les pratiques d’IAM – telles que le contrôle d’accès des utilisateurs basé sur des politiques et l’authentification multifactorielle – peuvent aider à atténuer à la fois les risques internes et externes liés à la cyber information.

David Earhart, Président et Directeur Général de One Identity déclare : « Rien de tel qu’un sondage anonyme pour découvrir quelques pratiques inavouées… et apprendre à mieux se protéger. Les résultats de notre étude montrent les pratiques en matière de gestion des accès – à privilèges notamment – et des identités sous un autre jour. Si l’on considère l’ensemble de la situation, les entreprises sont inutilement confrontées à des défis majeurs en ce qui concerne les tâches liées à l’IAM et au PAM, étant donné la technologie et les outils disponibles aujourd’hui. Notre espoir est que cette étude allume une étincelle pour que les organisations fassent un effort concerté pour relever ces défis et améliorer leurs stratégies et pratiques d’IAM et de PAM afin d’éviter les pièges cyber ».

Une étude réalisée lors d’un important rendez-vous cybersécurité américain. 200 personnes interrogées.

Communiqué de presse, Cybersécurité, Securite informatique

Le coût moyen des attaques DNS a augmenté de 49% en 2018 et s’élève à près d’un million d’Euros

Une étude d’EfficientIP, en partenariat avec IDC, pointe que le nombre d’attaques – au niveau mondial – a augmenté de 34 % en 2018. En France, elles augmentent également pour un montant estimé à 937 000 euros par attaque.

EfficientIP, pépite française leader dans l’automatisation et la sécurité réseau qui assurent la continuité du service, la protection des utilisateurs et la confidentialité des données, annonce les résultats de son étude annuelle « Global DNS Threat Report 2019 » menée en partenariat avec IDC. Cette étude examine les causes et l’évolution des menaces DNS, ainsi que leurs effets potentiels sur les entreprises du monde entier.

L’année dernière, le nombre d’attaques DNS a augmenté en moyenne de 34 %, passant à 9,45 attaques au niveau mondial ; cette augmentation a coûté près d’un million d’euros par attaque à 20 % des entreprises concernées et provoqué l’indisponibilité d’applications pour 63 % d’entre elles. Ce constat confirme le rôle critique du DNS dans la sécurité globale des réseaux.

Cette 5ème édition de l’étude met l’accent sur le coût des attaques DNS qui a augmenté de moitié (49%), ainsi que sur l’évolution de la liste des attaques les plus courantes et leur grande diversité, allant des attaques volumétriques aux attaques qui génèrent des signaux faibles. Il s’agit notamment d’attaques de phishing (47%), d’attaques de logiciels malveillants (39%) et d’attaques DDoS classiques (30%). L’étude souligne également que les entreprises qui ne protègent pas le DNS contre toutes les attaques potentielles risquent plus que jamais de compromettre leur réputation et de perdre des clients.

FRANCE : Par rapport à l’an passé, la France affiche un coût par attaque en augmentation de 8%. Ce pourcentage est relativement faible si on le compare au Royaume Uni (+ 105%), Au Canada (+ 80%) ou encore aux EU (+72%).

Le DNS est un élément central du réseau qui, sans qu’on le sache, permet aux utilisateurs d’accéder à toutes les applications dont ils ont besoin au quotidien. La majorité du trafic réseau passe d’abord par un processus de résolution DNS, qu’il s’agisse d’une activité réseau légitime ou malveillante. Tout impact sur les performances du DNS a donc d’importantes répercussions sur l’entreprise.

Romain Fouchereau, responsable de la recherche sur la sécurité européenne chez IDC, déclare: «Avec un coût moyen de près d’un million d’Euros par attaque et une fréquence de plus en plus importante, les entreprises ne peuvent tout simplement pas se permettre d’ignorer la sécurité DNS et doivent la mettre en œuvre en tant que partie intégrante du dispositif stratégique pour protéger leurs données et leurs services. « 

Les principaux impacts des attaques DNS : réputation ternie et perte de chiffre d’affaires

Les cyberattaques très médiatisées telles que WannaCry et NotPetya ont porté atteinte à la réputation d’entreprises du monde entier et entraîné des pertes financières. L’impact des attaques ciblant le DNS est tout aussi important en raison de son rôle essentiel. Plus des trois quarts (82%) des entreprises sondées ont fait l’objet d’une attaque DNS. À l’échelle mondiale, le coût moyen par attaque DNS a augmenté de 49 % en un an, pour atteindre près d’un million d’Euros. Ce coût est le plus élevé en Europe : 1 061 900 euros.

Cependant, le coût par attaque et son augmentation varient d’un pays à l’autre

C’est le Royaume-Uni qui a enregistré la plus forte augmentation annuelle (105%) et le coût le plus élevé (1 460 000 €). En revanche, la France n’a augmenté que de 8% avec un coût estimé à 940 000 €. En Amérique du Nord, les entreprises ont le coût le plus élevé (1 005 000 €), mais les entreprises canadiennes enregistrent l’augmentation la plus forte (80%). En Asie-Pacifique, Singapour a le coût le plus élevé (825 000 euros par attaque) et l’augmentation la plus forte (30 %).

Les cinq attaques DNS les plus fréquentes en 2019

Les attaques DNS les plus courantes ont changé par rapport à l’année dernière. Le phishing (47%) est désormais préféré aux programmes malveillants (39%), suivis des attaques DDoS (30%), du déclenchement de fausses alertes (26%) et des attaques de domaine par blocage (26%).

Aucun secteur n’est à l’abri des attaques DNS cette année

Le secteur des services publics est celui dont le coût par attaque est le plus élevé, soit 25 % supérieur à 980 000 euros. Le secteur des services financiers a été le plus ciblé de tous les secteurs ; 88 % des entreprises sondées ont déclaré avoir été ciblées l’année dernière. À titre de comparaison, le secteur de la distribution a enregistré la perte de chiffre d’affaires la plus importante (35 %), particulièrement inquiétante dans le contexte commercial actuel. Les sites Web de la moitié des entreprises du secteur de la santé (50 %) ont été compromis par une attaque, ce qui a réduit l’accès des patients aux ressources en ligne. Encore plus inquiétant, les administrations ont enregistré le plus grand nombre d’informations sensibles volées (19 %) et ont mis plus de temps à corriger les vulnérabilités, 74 % ayant mis au moins deux jours.

David Williamson, Directeur Général d’EfficientIP commente : « L’importance du DNS est enfin largement reconnue par les entreprises. Toutefois, ces chiffres sont les pires que nous ayons vus depuis cinq ans. Les entreprises commencent seulement à utiliser le DNS comme un élément clé de leur stratégie de sécurité pour anticiper les menaces, contrôler les règles et automatiser les processus. Heureusement, en mettant l’accent sur les menaces DNS, comme le fait cette étude, les entreprises peuvent renforcer la sécurité d’Internet pour tous».

Confidentialité des données et conformité, un an après le RGPD

Depuis l’entrée en vigueur du RGPD en mai 2018, des entreprises de tous les pays ont réalisé d’importants investissements, notamment dans le renforcement de la sécurité des réseaux.

Un an après, les entreprises investissent dans l’analyse afin de renforcer la sécurité. Les entreprises sondées estiment que la sécurisation des extrémités du réseau (32 %) et l’amélioration de la surveillance du trafic DNS (29 %) sont les meilleurs moyens d’assurer la protection des données, outre l’ajout de pare-feux (22 %).

Chiffrement, Communiqué de presse, Cybersécurité, IOT, Securite informatique

IoT et cybersécurité : 40 % des ménages dans le monde possèdent au moins un objet connecté

40 % des ménages dans le monde possèdent au moins un objet connecté, selon une étude de l’éditeur Avast et l’Université de Stanford.

L’éditeur de solution de sécurité informatique, en collaboration avec l’Université de Stanford, a découvert qu’environ 40 % des ménages dans le monde possèdent au moins un appareil connecté. Aux Etats-Unis, ils sont près de 66 %, ce qui entraine une augmentation des risques liés à la cybersécurité.

Le rapport de l’étude a été présenté à l’occasion de la conférence Usenix Security Symposium 2019, dans un document intitulé « All Things Considered: An Analysis of IoT Devices on Home Networks » (Tout bien considéré : une analyse des dispositifs IoT sur les réseaux domestiques). Il s’agit de la plus vaste étude mondiale menée jusqu’à présent sur l’IoT. Avast a analysé 83 millions d’objets connectés au sein de 16 millions de foyers à travers le monde afin de comprendre la répartition et le profil de sécurité de ces appareils, par type et par fabricant. Les résultats ont ensuite été validés par les équipes en charge de la recherche chez Avast et par l’Université de Stanford.

« Les professionnels de la sécurité ont longtemps échangé sur les problèmes associés à l’émergence de l’IoT, confie Zakir Durumeric, professeur adjoint en informatique à l’Université de Stanford. Malheureusement, ces objets sont restés cachés derrière les routeurs domestiques et nous avons eu peu de données à grande échelle sur les types d’appareils réellement déployés dans les foyers. Les informations que nous avons obtenues nous aident à mieux comprendre cette adoption croissante de l’IoT, ainsi que les différentes problématiques auxquelles les utilisateurs sont confrontés en matière de sécurité. »

Répartition des fournisseurs d’IoT dans le monde

Les recherches révèlent une image complexe de l’écosystème IoT et des risques de cybersécurité qui en découlent chez les particuliers dans le monde entier. Les résultats clés sont les suivants :

L’Amérique du Nord présente la plus forte densité d’objets connectés, toutes régions du monde confondues, avec 66 % des foyers qui possèdent au moins un objet connecté, contre une moyenne mondiale de 40 % ;
Il existe plus de 14 000 fabricants d’appareils connectés à travers le monde, mais 94 % d’entre eux sont fabriqués par seulement 100 fournisseurs ;
Les protocoles obsolètes tels que FTP et Telnet sont encore utilisés par des millions d’appareils ; plus de 7 % de l’ensemble des objets connectés exploitent toujours ces protocoles, ce qui les rend particulièrement vulnérables ;

En France

En France, l’IoT représente 21,7 % de l’ensemble des appareils présents dans le foyer, contre 24 % pour les appareils mobiles, et 29,3 % pour les PC.

Les données de cette étude ont été collectées grâce aux utilisateurs de la solution Wi-Fi Inspector d’Avast qui analyse le réseau domestique afin d’identifier les éventuelles vulnérabilités et les problèmes de sécurité susceptibles de représenter une menace. Cette fonctionnalité vérifie l’état du réseau, les appareils connectés à celui-ci et les paramètres du routeur. Wi-Fi Inspector aide les utilisateurs à protéger leur réseau afin d’empêcher les pirates informatiques d’y accéder et d’exploiter leurs données à des fins malveillantes.

L’étude s’est intéressée à la répartition des fournisseurs d’appareils connectés au niveau mondial. Alors qu’ils sont plus de 14 000, seule une poignée domine le marché.

« L’une des conclusions principales de cette recherche est que 94 % des objets connectés ont été fabriqués par moins de 100 fournisseurs différents, et la moitié par seulement 10 d’entre eux, indique Rajarshi Gupta, Head of Artificial Intelligence, chez Avast. Cela met les fabricants dans une position unique pour garantir l’accès des consommateurs à des appareils dotés d’une protection de la vie privée et d’un niveau de sécurité élevés dès la conception. »

En durcissant les objets contre les accès non désirés, les fabricants peuvent contribuer à empêcher les hackers de compromettre ces appareils à des fins d’espionnage ou d’attaques par Déni de Service (DDoS).

D’importants cyber-risques non pris en compte

Dans le cadre de l’étude, Avast a identifié un nombre significatif d’appareils exploitant des protocoles obsolètes, parmi lesquels Telnet et FTP, à savoir 7 % de la totalité des objets connectés.

C’est également le cas pour 15 % des routeurs domestiques, véritables passerelles vers le réseau ; raison pour laquelle il s’agit d’un problème grave, car lorsque les routeurs ont des identifiants faibles, ils peuvent permettre d’accéder à d’autres périphériques et potentiellement à l’ensemble du foyer pour mener une cyberattaque.

En 2019, il y a peu de raisons pour que les objets connectés supportent le protocole Telnet. Cependant, l’étude montre que les appareils de surveillance et les routeurs prennent toujours en charge ce protocole, et qu’ils ont le profil Telnet le plus faible. Cela concorde avec certains piratages survenus par le passé, notamment le rôle de ce protocole dans les attaques sur les botnets Mirai, qui laissent penser que ces types de dispositifs sont à la fois nombreux et faciles à compromettre.

Le rapport complet en anglais de l’étude “All Things Considered: An Analysis of IoT Devices on Home Networks” est disponible ici.

Base de données, Chiffrement, Cybersécurité, Entreprise, Justice, loi, Securite informatique

Amende CNIL pour vidéosurveillance excessive

Mardi 18 juin 2019, la CNIL annonce une amende à l’encontre d’une entreprise. Motif : vidéosurveillance excessive des salariés.

La formation restreinte de la CNIL a prononcé en ce mois de juin 2019 une sanction de 20 000 euros à l’encontre de la société UNIONTRAD COMPANY. Motif ? L’entreprise a mis en place un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante.

La Commission Nationale Informatique et des Libertés a également prononcé une injonction afin que la société prenne des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.

Contrôle mené dans les locaux de la société en février 2018

Un contrôle effectué par les agents assermentés de la CNIL a permis de constater que la caméra présente dans le bureau des six traducteurs les filmait à leur poste de travail sans interruption ; aucune information satisfaisante n’avait été délivrée aux salariés ; les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique (sic!).

En juillet 2018, la Présidente de la CNIL mettait en demeure la société de se mettre en conformité à la loi Informatique et Libertés, en lui demandant de : déplacer la caméra pour ne plus filmer les salariés de manière constante ; procéder à l’information des salariés sur la présence des caméras ; mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.

20 000€

En l’absence de mesures satisfaisantes à l’issue du délai fixé dans la mise en demeure, la CNIL a effectué un second contrôle en octobre 2018 qui a confirmé la persistance des manquements malgré les affirmations contraires de la société. Une procédure de sanction a donc été engagée par la Présidente de la CNIL.

Bilan, amende de 20 000€ !

Communiqué de presse

Gardez secrètes vos données d’entreprise grâce au VPN

Aujourd’hui, il n’est plus possible de faire vivre votre business sans utiliser l’informatique et l’Internet : emails, communications et échanges, recherches, utilisation d’outils de travail…. Pourtant, saviez-vous que vos données de navigation sont consultables à tout moment, de même que vos mots de passe ou votre historique ?

Que ce soit en travaillant à son bureau ou depuis chez soi, les questions de navigation et de protection des données sont essentielles pour votre entreprise !

Selon une étude Gfk menée sur les comportements personnels avec Internet, les GAFA détiendraient environ 70 000 données sensibles sur des enfants issues d’une même famille. La raison ? La surpublication sur les réseaux sociaux ou encore, des échanges via les réseaux non protégés. Dans le milieu professionnel, ce chiffre atteindrait 975 données pour chaque collaborateur. Des chiffres affolants, mais heureusement, il existe des solutions pour y remédier.

Les risques de la navigation web non protégée

C’est en voyant ces chiffres évoqués en introduction que l’on comprend bien le problème : Internet n’est pas un espace protégé, mais bien un lieu où, malgré le sentiment d’individualité et d’intimité au moment de la navigation, les internautes sont sous le regard permanent d’autres parties : gouvernements, hackers, spécialistes de la sécurité… De nos jours, le phishing ou les malwares sont tout autant à craindre pour votre entreprise que vos propres concurrents : ce n’est pas seulement votre sécurité qui est en jeu, mais aussi celles de vos consommateurs.

En effet, dans de nombreux secteurs, hautement concurrentiels, c’est la guerre de l’information. Que feriez-vous si votre concurrent principal sur le marché obtenait des informations sur vos contacts clients ? Ce serait catastrophique ! Le risque de piratage des données est beaucoup plus élevé dans le cadre d’un serveur ouvert, et plus encore si plusieurs personnes travaillent en réseau sur ces mêmes données.

Dès lors, utiliser un VPN (Virtual Private Network), autrement dit, un réseau de navigation privée, permet de contrecarrer ces défis de l’Internet.

L’intérêt d’un VPN pour votre société

Que vous soyez une petite PME ou une grande société, peu importe : la sécurité de vos données doit rester une priorité. Dans ce cadre, le VPN agit comme une barrière de protection, en permettant aussi la confidentialité des données grâce à un système de cryptage. Ainsi, personne ne peut vous géolocaliser, télécharger vos contenus échangés ou consulter vos historiques de conversation.

La surfer anonymement reste votre meilleur atout, pour permettre :

  • Le chiffrement et la confidentialité des données échangées au travail, aussi bien du côté de l’entreprise que des clients
  • Aux collaborateurs de se connecter au réseau privé, même à distance lors d’un déplacement
  • De tracer les authentifications, empêchant ainsi toute intrusion extérieure

Attention : un VPN est différent d’un proxy, qui ne permet que le changement d’une adresse IP durant la navigation internet, ce qui ne garantit pas la sécurité des données.

Surfez anonymement et en toute sécurité !

Sur le plan personnel, un VPN peut être très pratique pour changer votre localisation géographique afin d’accéder à des contenus d’Internet, souvent bloqués dans un pays, comme c’est le cas de LinkedIn en Russie ou de Facebook en Chine. Cela dit, dans le cadre d’une entreprise, le VPN est plus qu’un gadget, c’est un véritable outil de travail, surtout si vous travaillez en multisites ou avec des consultants extérieurs.

Avec la fluidification des échanges, la notion de secret professionnel est de plus en plus mise à l’épreuve : autant mettre tous les atouts de votre côté avec un VPN pour lutter contre la cybercriminalité !

Petit conseil : malgré l’utilisation d’un VPN, pensez à changer régulièrement vos mots de passe et assurez-vous d’adopter un comportement sécurisant sur Internet, en limitant les prises de risques.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday juin : 88 vulnérabilités, 21 critiques

Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.

Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.

Attaque Escape contre l’hyperviseur Hyper-V

Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.

Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech

L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.

Avis de sécurité

Microsoft a également publié plusieurs avis de sécurité  :

  • ADV190016 qui désactive la possibilité d’utiliser certaines clés de sécurité FIDO basse consommation Bluetooth en raison d’une vulnérabilité divulguée en mai 2019. Google et Feitian ont également publié des avis de sécurité pour les clients qui utilisent ces clés.

  • ADV190017 qui corrige plusieurs vulnérabilités dans HoloLens permettant à un attaquant non identifié de lancer des attaques DoS ou de compromettre des équipements HoloLens se trouvant à proximité.

  • ADV190018 qui fournit une mise à jour de la défense en profondeur de Microsoft Exchange Server même si, à l’heure actuelle, aucun détail n’a été communiqué sur cette mise à jour.

Patch Tuesday version Adobe

Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).

400 000 euros !

Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Conservation des données

Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)