Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Chiffrement, cryptage, Hacking, Téléphonie

Un pirate sur la fréquence radio du NYPD

La police de New York est sur les dents. Un pirate s’amuse avec la fréquence sécurisée de la NYPD.

Voilà une pirate informatique qui risque gros, très gros. Un individu a joué avec la fréquence radio de la police de New York, une police considérée comme l’une des plus importantes « armées » du monde. Le pirate des ondes s’est amusé à insulter, durant de longues minutes, un policier. Le message s’est diffusé à travers plusieurs divisions de la NYPD. Parmi les « contacts » : une fausse intervention de la police, avec un tir mortel ; des menaces et des insultes. Un policier a répondu à ce trolleur « Hey, gars… faut grandir. Certaines personnes essaient de faire leur travail« . L’enquête est toujours en cours. Piratage de la fréquence ou utilisation d’une radio perdue par un policier ? (NYMag)

Apache, Cyber-attaque, Cybersécurité, DDoS, Piratage

Les hébergeurs OVH et 123-Reg sous les coups de DDoS massifs

Le britannique 123-Reg et le Français OVH ont subit ces derniers jours des attaques massives ayant eu pour mission de bloquer leurs services et serveurs.

Les attaques DDoS ne baissent pas. Leurs intensités ont même une fâcheuse tendance à s’intensifier. Derniers cas en date, des Dénis de Services Distribués (D.D.o.S.) massifs ayant visé le Britannique 123-Reg et le Français OVH.

Pour les nordistes d’OVH, 520 Gbps qui n’ont pas impactés les services de l’entreprise « à chaque instant, on a entre 50 et 150 IP qui se font DDoS » souligne Octave Klaba, le patron d’OVH.

Pour l’Anglais 123-Reg, l’attaque aura durée toute la journée du 2 août. 30 Gbps qui ont impactés les services et les clients de l’hébergeur. A noter qu’un petit Gbps est plus que suffisant pour faire tomber un service web.

Le record DDoS, constaté par la société Arbor Network, est de 579 Gbps. Il a été constaté en ce débit 2016.

Qui derrière ces attaques ?

Les pirates utilisent de plus en plus des attaques DDoS comme moyen de chantage à l’encontre des entreprises. Des sociétés, plus que troubles, commercialisent aussi des systèmes « stresser » qui, sur le papier, sont censés permettre de tester vos propres systèmes face aux DDoS. Des stresser qui, pour quelques Euros, servent surtout à bloquer d’autres sites et serveurs, comme ce fût le cas cet été à l’encontre d’éditeurs de jeux vidéo.

Antivirus, Cybersécurité, Logiciels, Mise à jour

L’antivirus Français VirusKeeper disponible en version 2017 gratuite pour les particuliers

La société d’édition AxBx annonce la sortie de la version 2017 de son antivirus VirusKeeper. Une version gratuite pour le grand publique.

VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. En 2006, VirusKeeper innovait déjà puisqu’il était le premier antivirus reposant sur l’analyse comportementale. Les antivirus fonctionnant à base de scanner de signatures, technologie qui date des années 80, sont aujourd’hui obsolètes et incapables de détecter les menaces actuelles.

Le nouveau VirusKeeper 2017 marque un tournant majeur dans le monde de l’antivirus puisqu’il propose désormais une version gratuite pour les particuliers. Le constat est qu’en France plus d’un particulier sur deux est mal protégé parce qu’il utilise une antivirus de technologie obsolète ou une version d’essai bridée qui est insuffisante pour assurer une protection efficace. VirusKeeper 2017 Free Edition est ainsi le premier antivirus gratuit de nouvelle génération 100% Made in France.

La version 2017 est disponible en 2 éditions : L’édition « Free » version gratuite pour les particuliers qui fournit une protection complète multi niveaux contre les menaces actuelles : virus, vers, chevaux de Troie, spyware et programmes malveillants. La version gratuite est réservée aux particuliers et aux usages privés. L’édition « Ultimate », qui fournit une protection de très haut niveau contre toutes les formes de menaces actuelles. La version Ultimate inclut également un scanner anti-grayware et Security Advisor un outil de détection de failles de sécurité. 97,8 millions de fichiers malveillants détectés et bloqués 10 années d’expérience.

Chiffrement, cryptage, Cybersécurité, IOT, ransomware

Ransomware : les entreprises refusent de payer… sauf quand elles sont victimes

L’étude « 2016 Executive Application & Network Security» de Radware montre que l’essentiel des craintes en matière de sécurité informatique se cristallisent autour du télétravail, de l’Internet des objets, du ransomware et des « wearables »

Combien d’entreprises sont prêtes à verser une rançon en cas d’attaque informatique au « ransomware » ? Aux Etats-Unis et au Royaume-Uni, parmi les directeurs et responsables informatiques qui n’ont pas encore été confrontés à ces attaques, 84% déclarent qu’ils ne paieraient pas. Pourtant 43% des entreprises victimes ont fini par payer. C’est ce que révèle l’étude 2016 de Radware « Executive Application & Network Security».

Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données et des applications, a interrogé plus de 200 dirigeants d’entreprises et DSI aux Etats-Unis et au Royaume-Uni. Il en ressort que les entreprises américaines admettent plus volontiers qu’elles accepteraient de payer une rançon. 23% des dirigeants d’entreprises américaines n’ayant jamais été victimes d’une telle attaque se disent prêts à verser une rançon contre 9% seulement au Royaume-Uni. En moyenne, les entreprises ont versé des rançons de l’ordre de 7 500 dollars aux Etats-Unis et de 22 000 livres sterling au Royaume-Uni.

« C’est un exemple marquant des nouvelles décisions que les dirigeants et DSI sont amenés à prendre dans le domaine de la sécurité », déclare Carl Herberger, vice-président des Solutions de Sécurité de Radware. « Il est facile de dire qu’on ne paiera pas tant que le système n’est pas bloqué est rendu inaccessible. Les entreprises qui prennent des mesures de sécurité proactives réduisent les risques de devoir faire face à de telles décisions. »

L’étude « 2016 Executive Application & Network Security» révèle également quelles sont les menaces informatiques qui préoccupent le plus les dirigeants d’entreprises et les membres de la direction. Rien de mieux que d’anciens pirates pour mener la garde : les dirigeants considèrent que des pirates expérimentés sont les mieux placés pour mettre leurs systèmes à l’épreuve. 59% des sondés ont recruté ou envisagent de recruter d’anciens hackers pour les aider à renforcer leur sécurité. L’un d’eux a résumé : « Il n’y a pas meilleur garde-chasse qu’un ancien braconnier ».

Le télétravail expose à des risques supplémentaires : l’étude a révélé que l’organisation du télétravail dans les entreprises est en train d’être revue. 41% des sondés déclarent avoir modifié les règlements internes ces deux dernières années pour mieux encadrer ces pratiques. Il convient de mieux encadrer l’utilisation des wearables : une entreprise sur trois environ a mis en place des règles de sécurité appliquées aux wearables ces deux dernières années. Pourtant 41% des sondés reconnaissent n’appliquer aucune règle sur ce type de terminaux si bien qu’ils représentent une vulnérabilité croissante. Ceci s’explique peut-être par le fait que les wearables ne sont pas considérés comme une cible principale. 18% seulement des sondés les désignent comme des vecteurs d’attaques privilégiés par les hackers dans les années à venir.

Les nouveaux objets connectés, prochaine frontière de la sécurité : loin devant les wearables, de nombreux dirigeants estiment que l’Internet des objets pourrait poser de sérieux problèmes de sécurité. 29% considèrent en effet que les objets connectés sont des vecteurs extrêmement probables d’attaques, dans des proportions équivalentes à l’infrastructure réseau (31% des réponses).

Se remettre d’une cyberattaque peut coûter cher : plus d’un tiers des sondés aux Etats-Unis ont révélé avoir perdu plus d’1 million de dollars suite à une cyberattaque, plus de 10 millions de dollars pour 5% d’entre eux. Au Royaume-Uni, la facture est en moyenne moins salée, puisqu’ils sont 63% à déclarer avoir perdu moins de 351 245 livres sterling (environ 500 000 dollars), et 6% plus de 7 millions de livres sterling.

Le risque ransomware pour la sécurité s’étend à toute l’activité : que les attaques soient motivées par l’appât du gain ou pas, elles ont de graves répercussions sur les finances et sur la réputation des entreprises victimes. Interrogés sur les conséquences des cyberattaques qu’ils craignent avant tout, les dirigeants ont répondu majoritairement (34%) le préjudice sur la réputation. La perte d’exploitation (31%), le manque à gagner (30%), la baisse de productivité (24%) et la chute du cours des actions (18%) viennent ensuite.

Méthodologie de l’étude
A la demande de Radware, Merrill Research a interrogé 205 dirigeants et DSI (104 aux Etats-Unis, 101 au Royaume-Uni) en avril et mai 2016. Pour être éligibles à cette étude, intitulée « 2016 Executive Application & Network Security », les sondés devaient représenter une entreprise avec un chiffre d’affaires d’au moins 50 millions de dollars (ou équivalent) et occuper le poste de vice-président senior ou un poste de direction plus élevé encore dans la hiérarchie. Autant de hauts dirigeants et de vice-présidents seniors ont été interrogés. La moitié environ des entreprises ayant participé à l’étude ont entre 1 000 et 9 999 salariés, 3 800 en moyenne.

BYOD, Cybersécurité, DDoS, Entreprise, IOT, Piratage

Piratage inédit de caméras de surveillance connectées

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées permettant de mener des attaques par déni de services contre des entreprises.

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées (25 000 caméras concernées dont 2% estimé en France), destiné à créer un réseau de botnet (machines zombies utilisées à l’insu de leur propriétaire) permettant de mener des attaques par déni de services contre des entreprises. Ce cas met une nouvelle fois en avant la problématique de sécurité des objets connectés. Ce n’est pas la premiére fois que le problème des caméras Ip est dénoncé. Lire les articles à ce sujet ICI et LA. Peter Gyöngyösi, Responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle indique à ce sujet que « Les coûts de fabrication priment toujours sur la sécurité : Ce cas de piratage de 25 000 caméras de surveillance démontre une nouvelle fois la problématique de la sécurité des objets connectés de notre quotidien ». Cette fois, les conséquences ne ciblent pas directement les utilisateurs, le piratage n’aura donc clairement pas la même portée que celui d’un fabricant de jouets comme Vtech ou le piratage de babyphones, mis en lumière il y a quelques mois par exemple.

En effet, dans ce cas les criminels ont piraté des objets connectés pour utiliser leur puissance au sein d’un réseau de machines zombies- botnet (utilisées donc à l’insu de leur propriétaire) en vue de mener des attaques par déni de services contre des entreprises (envoi simultanée de milliers de requêtes dans le but de saturer les serveurs au sein des entreprises).

Même s’il fait moins parler, ce cas démontre l’importance d’un engagement fort des fabricants d’objets connectés en matière de sécurité. Car aujourd’hui, le développement d’objets connectés est une véritable aubaine pour les cybercriminels. Et malheureusement, aujourd’hui nous constatons qu’il est encore utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public.

Aujourd’hui, objets connectés signifient des développements très rapides, des objectifs de coûts les plus bas possibles, tout en conservant une expérience utilisateur simple, rapide et agréable. Et clairement, personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes lorsqu’il s’agit d’utiliser un objet connecté. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, les fabricants doivent prendre de vraies mesures de sécurité et mettre en place des politiques de sécurité plus strictes. Rappelons que dans ce cas mis en lumière par la société Sucuri, le piratage a été permis par une simple faille présente dans un système commun utilisé par toutes les caméras. Une simple mise à jour aurait donc suffi à empêcher le piratage.

A noter que le 14 juin, Imperva Incapsula a neutralisé une attaque par déni de service distribué (DDoS) à 470 gigabits par seconde (Gbit/s), la plus intense enregistrée à ce jour.

Chiffrement, cryptage, Cybersécurité

Secure-K Personal Edition

Lancement d’un nouveau système d’exploitation sur une clé USB pour crypter les e-mails, les t’chats et les appels, et naviguer de façon anonyme.

Secure-K Personal Edition est un appareil mobile à double chiffrement : tout ce dont vous avez besoin pour protéger vos données en réseau comme un expert en sécurité. Mon-K Data Protection Ltd. présente Secure-K Personal Edition, un système d’exploitation chiffré sur une clé USB, avec un niveau de sécurité militaire, issu d’Enterprise Edition. Comprend Secure-Mail, Secure-Chat et Secure-Web pour le chiffrage des e-mails, des t’chats et des appels en ligne, et la navigation anonyme sur Internet.

En cas de vol ou de perte, après 10 tentatives de saisie du code PIN, les données de votre Secure-K deviennent illisibles. Afin que toutes vos données enregistrées soient conservées de façon sûre, et pour pouvoir les récupérer, Mon-K a introduit un système de chiffrement « Sauvegarde et restauration » : DigitalArx, une solution Cloud Computing présentant des normes de sécurité élevées et un chiffrement des données sophistiqué impossible à déverrouiller, même par les administrateurs. DigitalArx permet également de partager et synchroniser les données.

« Nous avons tous appris que les données sur Internet ne sont pas sécurisées.  Où et dans quelles mains elles aboutissent demeure un mystère. Toutefois, il est certain que pour certaines entités, elles sont précieuses », a déclaré Paolo Ferrari, co-fondateur de Mon-K. « Secure-K a été conçu pour nous faciliter la vie et nous transformer en experts en sécurité. Utiliser Secure-K Personal Edition implique exercer un contrôle direct sur vos données, ainsi que sur celles que vous transmettez via Internet, tout en protégeant votre vie privée, comme le ferait un véritable expert de la sécurité. »

Secure-K Personal Edition est une plateforme multiple, basée sur Secure-K OS, ne nécessitant aucune installation de logiciel et capable de fonctionner sur presque n’importe quel PC, même obsolète.  Les deux niveaux de chiffrement, à l’échelle du matériel et des logiciels, offrent une sécurité maximale. Secure-K Personal Edition sera disponible en octobre 2016.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, loi, Mise à jour

Règlement 2016/679 : 5 questions sur le Règlement Européen de Protection des Données Personnelles

Le règlement 2016/679 du 27 avril 2016 sur la protection des données personnelles sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, le compte à rebours a commencé. Il convient d’être en mesure de faire face au nouveau cadre juridique européen avant sa date d’application. Qu’est-ce que cela implique pour les entreprises ?

Règlement 2016/679 – Quels sont les règles d’application territoriale ? Ce nouveau règlement européen sera d’application directe dans les 28 pays membres de l’UE. Il n’y aura pas de loi nationale de transposition. Ce Règlement s’appliquera à l’identique en « écrasant » les différentes législations nationales existantes en la matière.

Concrètement, que prévoit ce Règlement ?
Si les personnes dont les données personnelles sont collectées résident sur le territoire de l’UE (quelle que soit la localisation de celui qui collecte) : le Règlement 2016/679 s’appliquera obligatoirement à cette collecte et à tout traitement ultérieur des données ainsi collectées. Si le prestataire qui collecte ou traite des données personnelles est situé sur le territoire de l’UE : le Règlement 2016/679 s’appliquera également obligatoirement, même pour des données collectées hors UE. Cela devrait permettre à des non-résidents de l’UE d’obtenir une protection là ou leur propre pays de résidence n’en propose pas forcément.

Quels sont les droits et obligations des entreprises qui collectent et traitent des donnÉes personnelles sur le territoire de l’UE ? L’idée de fond de cette règlementation est d’imposer une transparence lors de la collecte et de tout autre « traitement » des données personnelles. Chaque  “maitre de fichiers” sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures « effectives » de sécurisation technique des traitements. Un régime nouveau d’information obligatoire sera mis en place pour contrer toute violation des traitements. Le régime des sanctions est substantiellement “boosté” pour envisager des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des récalcitrants.

Existe-t-il un régime particulier applicable aux “sous-traitants” ?
Les prestataires de service en mode SaaS et les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son « sous-traitant » respecte ses directives ainsi que les obligations spécifiques qui s’imposeront aussi à ses sous-traitants. Sous la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018) il suffisait que le prestataire (sous-traitant) s’engage par contrat à ne traiter les données du “maitre du fichier” que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitements auxquels il procédait. A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maitre du fichier” et son prestataire SaaS. L’hypothèse de la sous-sous–traitance, extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS, est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles.

Quels sont les droits des “personnes concernées” ?
Les personnes physiques dont les données sont collectées doivent d’abord pouvoir s’assurer qu’elles ont donné leur consentement à la collecte et au traitement ultérieur de leurs données. Le Règlement 2016/679 définit sans ambiguïté la notion de consentement : « toute manifestation de volonté, libre, spécifique, informée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif explicite, que des données [personnelles] la concernant fassent l’objet d’un traitement ». Déjà, à ce stade, il faut noter que le consentement ne pourra plus être présumé (principe de l’opt-out) mais bien exigé de manière positive et au préalable (principe de l’opt-in).

Le Règlement pose ensuite une série de critères que doivent respecter tous les traitements de données personnelles : les données doivent être traitées de manière « licite, loyale et transparente » pour la personne concernée. Ce critère de transparence est la grande nouveauté de ce texte. Ce texte précise en plus que les données personnelles ne peuvent être collectées et traitées « pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités ».

Pour ce qui est des droits accordés aux personnes dont les données personnelles sont traitées, le nouveau Règlement confirme l’existence du droit d’accès, du droit à la rectification et du droit à s’opposer à un traitement. Sont nouveaux le droit à l’effacement (droit à l’oubli), le droit à la limitation du traitement et le droit à la portabilité des données. Enfin, le Règlement consacre de nouvelles dispositions sur le « profilage » des personnes dont les données sont traitées et encadre à ce titre de manière originale les « décisions individuelles automatisées » comprenant un « profilage ».

Y a-t-il un durcissement des obligations de sécurité ?
Tout à fait ! Et c’est une des grandes nouveautés du Règlement 2016/679.  En parallèle de l’obligation de tenue d’un « registre des activités de traitement » de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent. A ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ces mesures techniques peuvent prendre plusieurs formes :

Ø    la pseudonymisation et le chiffrement des données ;
Ø    des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement ;
Ø    des moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique ;
Ø    une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.

Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données. C’est pourquoi le Règlement impose aux responsables de traitement une obligation d’information des autorités de contrôle en cas d’atteinte à la sécurité du traitement, qui entraîne une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données.

Cette obligation d’information en cas d’atteinte aux conditions normales de stockage et d’accès aux données s’impose à l’identique à tout sous-traitant (on pense aux prestataires de service en mode SaaS ou aux hébergeurs) qui a l’obligation d’informer le responsable du traitement de toute atteinte à la sécurité, à charge pour le responsable d’en informer à son tour son autorité de contrôle. (Marc-Antoine Ledieu avocat et Frans Imbert-Vier, Président Directeur Général d’Ubcom.)

Base de données, Cloud, Cybersécurité, Entreprise, Fuite de données, Justice, loi

Protéger votre organisation en appliquant la nouvelle réglementation sur la protection des données

La bataille de la confidentialité sur les données personnelles a franchi un nouveau cap avec l’accord de l’Union européenne sur la nouvelle réglementation sur la protection des données. Cette loi modifie profondément l’approche des entreprises en matière de protection des données clients.

Non seulement elle donne aux citoyens européens un meilleur contrôle sur le moment où les informations personnelles seront recueillies, mais également sur la manière dont elles seront utilisées. Elle prévoit par ailleurs de lourdes pénalités financières en cas d’échec des entreprises à protéger correctement les données collectées. Ces pénalités pouvant représenter jusqu’à 4 % du chiffre d’affaires annuel d’une entreprise, elles serviront ainsi de piqûres de rappel aux équipes dirigeantes.

Bien qu’elle ne s’applique qu’aux données des citoyens européens, cette réglementation s’adresse à toutes les entreprises qui disposent d’une localisation en Europe, ce qui lui confère un véritable rayonnement à l’international. Cette nouvelle loi entraînera des modifications matérielles par rapport aux nouveaux usages et procédés de stockage des données clients, et surtout sur la façon dont les entreprises prévoient de donner l’accès à ces données à leurs employés, à leurs sous-traitants et à leurs partenaires commerciaux.

Cette nouvelle réglementation impose aux entreprises de signaler toute violation de données de ses comptes clients dans les 72 heures, ce qui les poussera à faire évoluer leur système de sécurité de la simple prévention sur le réseau à la détection des intrusions et leur correction en temps réel.

La mise en œuvre du règlement sur la protection des données se traduit par d’importantes implications pour les programmes de gouvernance des identités des entreprises. C’est l’occasion de mettre de l’ordre dans la gestion des identités avant que l’application des pénalités prévues par cette loi n’entre en vigueur. Par anticipation, les entreprises peuvent prendre des mesures significatives, en se reconcentrant sur les priorités de la gouvernance des identités :

·         En premier lieu, répertorier les différents lieux de stockage au sein de l’entreprise dans lesquels figurent les données clients à protéger selon la réglementation sur la protection des données. Elles peuvent se trouver dans des systèmes structurés, tels que les applications ou les bases de données, ou dans des fichiers situés dans des des portails de collaboration (comme SharePoint) ou même dans des systèmes de stockage dans le cloud (comme Box ou GoogleDrive).

·         Ensuite, il convient d’identifier qui doit avoir accès aux données clients et regrouper avec ceux qui y ont déjà accès. Cette démarche doit faire l’objet d’une interrogation permanente, il ne s’agit pas d’un événement ponctuel. Il est important de s’assurer de bien prendre en compte toutes les applications et les plateformes de stockage de fichiers où sont stockées les données clients.

·         Enfin, prévoir des contrôles de gouvernance des identités pour protéger l’accès aux données en accord avec la réglementation sur la protection des données, à mesure que les utilisateurs rejoignent, changent de fonctions ou quittent l’entreprise.

Il n’est pas impossible de se sentir au début un peu dépassé par les exigences de cette nouvelle réglementation sur la protection des données, en particulier concernant les pénalités financières applicables en cas de non-conformité. Toutefois, le fait de placer la gouvernance des identités au cœur de la stratégie de sécurité, dans l’optique de protéger l’accès aux données clients, peut contribuer de manière significative à atténuer le risque d’une potentielle violation des données et d’éviter les pénalités qui en découleraient. (Par Juliette Rizkallah, chief marketing officer, SailPoint)

Contrefaçon, Cybersécurité, Entreprise, Social engineering

Le PDG du géant du e-commerce Alibaba défend la contrefaçon

Alors que le volume de produits contrefaits ne cesse de croître, Jack Ma, PDG du géant du     e-commerce Alibaba, a affirmé lors d’une réunion avec des investisseurs à Hangzhou le 14 juin dernier que « les faux produits présentent aujourd’hui une meilleure qualité et un meilleur prix que les vrais produits » avant d’ajouter que ces produits sont fabriqués dans les mêmes usines avec les mêmes matériaux que les originaux mais n’utilisent simplement pas le même nom.

Ces propos rapportés par le Wall Street Journal ont évidemment provoqué de vives réactions dans le monde de l’industrie du luxe, un des secteurs les plus atteints par la contrefaçon, et posent à nouveau la question du rôle des plateformes de e-commerce dans la lutte contre la contrefaçon.

Alibaba accusé de faciliter la contrefaçon
Fin janvier, l’administration d’état du commerce et de l’industrie chinoise faisait déjà publiquement état d’une prolifération de faux, de vendeurs non-agréés et de pratiques illégales sur les plateformes de vente d’Alibaba, et principalement sur Taobao. Était notamment concernée la maroquinerie de luxe.
En mai dernier, le groupe de luxe français Kering avait d’ailleurs porté plainte aux États-Unis contre Alibaba, pour la second fois, en considérant que le groupe encourageait la commercialisation de produits contrefaits, notamment par la vente de mots clefs et les suggestions de son moteur de recherche, et en tirait profit en toute connaissance de cause.

L’insuffisante implication d’Alibaba dans la lutte contre la contrefaçon
Les méfiances à l’égard du géant chinois sont tangibles. L’adhésion du géant de l’e-commerce à la coalition anti-contrefaçon (Anti-Counterfeiting Coalition Internationale) avait d’ailleurs été suspendue en raison du retrait de certaines maisons de luxe préoccupées par la vente de produits contrefaits sur ses plateformes. Alors que groupe chinois avait pourtant amorcé une opération de communication assurant qu’il se mobilisait activement pour la lutte contre la contrefaçon sur ses sites, le récent discours tenu par son PDG, qu’il justifie par le nouveau business model inhérent à Internet, suscite des doutes quant à la politique réellement poursuivie par le groupe.

Des propos « consternants »
Guillaume de Seynes, président du Comité Colbert et directeur de la maison Hermès, a alors déclaré qu’il trouvait ces propos « consternants » et qu’ils constituaient une atteinte directe aux droits de propriété intellectuelle. Il avait alors souligné que la lutte contre la contrefaçon était particulièrement difficile à mener dans la mesure où un certain nombre de plateformes digitales ne procèdent à aucun contrôle des produits mis en ligne.

Simples intermédiaires techniques, ces plateformes bénéficient d’un régime de responsabilité allégé. Elles ne sont en aucun cas soumises à une obligation générale de surveillance et ne sont tenues que du retrait des contenus illicites qui leur seraient notifiés. Toutefois, elles pourraient être tenues pour responsables de la mise en ligne de produits contrefaisants dès lors qu’elles jouent un rôle actif si elles fournissent des conseils précis pour chaque vendeur et ont une connaissance effective des annonces. En revanche, la seule mise en place d’un système de filtrage automatisé des contenus ne suffira pas à qualifier la plateforme d’éditeur de contenus et à les priver du régime de responsabilité atténué.

Pour autant, depuis son entrée en Bourse, le groupe Alibaba fait face à une importante crise de crédibilité en allant à l’encontre d’une coopération efficace pour assainir le marché. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM (http://www.acbm-avocats.com)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise

Empreintes biométriques : l’authentification par les veines

Empreintes biométriques – I-TRACING, entreprise française de conseil et d’ingénierie en sécurité des systèmes d’information et sécurité Internet, participe à un important projet de mise au point de la technologie d’identification biométrique basée sur le dessin des veines du poignet. Une vision d’avenir qui permet de supprimer les mots de passe si souvent piratés.

C’est reconnu, le mot de passe, s’il reste aujourd’hui encore le mode d’identification et d’authentification le plus utilisé dans le monde pour accéder aux outils et aux services informatiques, présente d’énormes risques. Les entreprises sont victimes de vols de mots de passe qui permettent aux hackers de s’introduire dans leur système d’information. Pour y remédier, les empreintes biométriques représentent une alternative d’avenir, permettant d’identifier et d’authentifier une personne par ses caractéristiques physiques.

Le dessin des veines, une technologie d’authentification pratique et fiable
BIOWATCH, spécialiste en biométrie a mis au point cette technique de reconnaissance et d’identification. Son concept est basé sur le chemin que font les veines sur le poignet. Le dessin des veines du poignet de chaque individu est unique et l’identification s’opère grâce à un algorithme de reconnaissance embarqué. L’objectif étant de supprimer les mots de passe quotidiennement utilisés pour accéder au système d’information. La solution proposée prend la forme d’un lecteur biométrique placé dans un bracelet montre, authentifiant son porteur par l’analyse du dessin des veines de son poignet.

« La technologie BioWatch prouve que vous êtes celui que vous prétendez être. Notre solution de reconnaissance permet de vérifier l’identité d’une personne par simple détection du dessin – unique – que forment les veines du poignet « Très fiable, la reconnaissance biométrique par les veines s’applique particulièrement bien à l’authentification des personnes », déclare Matthias Vanoni, co-fondateur et CEO de BIOWATCH. La reconnaissance biométrique BIOWATCH est un moyen moderne, rapide, fiable et performant de gestion des accès au système d’information, aux réseaux et aux applications d’entreprise.

« Dans cette phase de R&D de son partenariat avec la start-up suisse BIOWATCH, I-TRACING apporte à travers ses ingénieurs, l’expertise en sécurité applicative, en design d’architecture et en ingénierie de solutions de sécurité » précise Laurent Charvériat, CTO et Directeur Général d’I-TRACING. « L’identification biométrique par les veines représente un marché potentiel important. A ce stade de développement du produit, I-TRACING apporte également la vision du monde des entreprises, un condensé des besoins, souhaits, contraintes techniques et usages des grandes entreprises, clients potentiels de la solution BIOWATCH qui est une solution simple, ergonomique et plus sûre, tout en supprimant les points d’entrée vulnérables que sont les mots de passe », souligne Théodore-Michel Vrangos, cofondateur et Président d’I-TRACING.