Archives de catégorie : Communiqué de presse

BYOD, Communiqué de presse, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

La sécurité informatique à l’heure de la Génération Y

C’est un constat au quotidien : la sécurisation du réseau d’une organisation relève de la gageure. D’autant que la tâche est de plus en plus complexe face à l’émergence de la Génération Y.

 Cette génération du millénaire, celle qui regroupe les 20 – 35 ans, est de plus en plus représentée dans le monde. Plus d’un travailleur sur 3 aux États-Unis serait dans cette tranche d’âge, selon une étude de Pew Research Center. Et ce groupe démographique devrait compter pour environ 50% des travailleurs à l’horizon 2020, selon PwC.

La génération Y présente ses propres codes et désirs : elle partage sur les réseaux sociaux. Elle abhorre les expériences utilisateurs médiocres. Elle sollicite davantage de flexibilité dans le travail. Elle est prête à aller voir ailleurs si ses attentes ne sont pas prises en compte. Autant de caractéristiques qui impactent lourdement les cultures d’entreprise, mais qui, au-delà, imposent un réel challenge à la sécurité réseau de nombreuses organisations.

Voici trois points à prendre en compte dans cette transformation qui s’opère :

1. Maîtriser les médias sociaux

Faut-il ou non donner l’accès aux réseaux sociaux à partir du lieu de travail ? De nombreuses organisations se sont sans doute déjà posées la question.

Une étude de l’éditeur de logiciels RH CareerBuilder a interrogé un panel d’employeurs en Amérique du Nord. Pour 37% d’entre eux, les réseaux sociaux constituent un frein de productivité au travail, tout comme les téléphones mobiles et SMS (55%), l’utilisation d’Internet (44%) et les bavardages (39%). 3 employeurs sur 4 estiment que ce sont deux heures de travail qui sont, à minima, perdues chaque jour en terme de productivité, dressant ainsi le bilan des nombreuses distractions des collaborateurs.

Du point de vue de la sécurité réseau, les médias sociaux constituent un vecteur d’infection par les logiciels malveillants et attaques par ingénierie sociale. Combien de liens, partagés de manière innocente, finissent par réorienter les utilisateurs vers des sites web malveillants ? Quant aux collaborateurs qui utilisent les réseaux sociaux de manière professionnelle et avertie, se rendent cependant compte que leurs contacts et amis ne font pas toujours preuve de la même rigueur.

Il est simple, au niveau du réseau, de bannir ou de restreindre l’accès aux réseaux sociaux. Le filtrage statique des URLs permet de surveiller certaines URLs et empêche d’y accéder. La fonction de filtrage par catégorie permet de bloquer tout un ensemble de sites Web.

Mais cela ne veut pas dire pour autant que les DSI doivent bloquer l’accès aux réseaux sociaux dans le cadre du travail. Car une approche plus pertinente consiste à, avant toutes choses, identifier comment la sécurité réseau s’applique de manière globale. La définition de règles pertinentes pour les  médias sociaux, ainsi que la formation des collaborateurs, sont des étapes initiales importantes. A titre d’exemple, les équipes commerciales doivent être sensibilisées aux risques de sécurité et métiers qui résulteraient de la consultation des réseaux sociaux comme Facebook, à partir du lieu de travail ou du site d’un client.

La ligne de défense la plus efficace consiste à déployer une infrastructure de sécurité robuste et multicouche. Cette option est plus sure que de faire aveuglement confiance à des collaborateurs qui ne commettraient aucune erreur dans leur activités autour des réseaux sociaux.

2. De l’intérêt d’une sécurité multicouche

La sécurité multicouche est privilégiée par nombre d’organisations aujourd’hui, avec de multiples couches de sécurité qui collaborent pour protéger les données, des dispositifs et les personnes. Cette approche permet de contrer les attaques utilisant différents vecteurs au niveau du réseau, des applications, des dispositifs et des utilisateurs. Ces attaques sont détectées et neutralisées avant de pouvoir proliférer et la protection est active contre différents profils d’attaques.

Face aux changements qu’entraîne la Génération Y sur le lieu de travail, les DSI doivent repenser comment déployer chaque couche de sécurité.

Penchons-nous notamment sur l’utilisation des dispositifs personnels sur le lieu de travail. Selon une étude de McKinsey & Company, environ 80% des entreprises permettent désormais aux collaborateurs d’utiliser leurs dispositifs personnels pour se connecter aux réseaux de l’entreprise. De plus en plus, les collaborateurs s’attendent à ce que les départements informatiques autorisent un accès à partir des dispositifs personnels vers des applications corporate comme l’email et l’agenda. Cette tendance, appelée BYOD (Bring Your Own Device), n’est pas exempte de menaces de sécurité.

Plus particulièrement, les DSI doivent renforcer la sécurité des terminaux. La première étape consiste à protéger ces terminaux eux-mêmes, à l’aire de pare-feux, d’anti-malware, d’outils de gestion des flottes mobiles et d’une application régulière des patchs disponibles. En acceptant le BYOD, les entreprises s’exposent par ailleurs au risque de piratage des dispositifs personnels des collaborateurs qui se contentent d’utiliser des mots de passe faibles. L’application de règles pertinente et la sensibilisation des collaborateurs à opter pour des mots de passe forts deviennent ainsi une priorité.

Génération Y et le sans fil – Il est également recommandé de pouvoir identifier le type de dispositif, pour ainsi n’autoriser les dispositifs les moins sécurisés (smartphones par exemple) que sur certains segments du réseau. Les sessions doivent également être sécurisées, pour empêcher les utilisateurs d’accéder à des sites Web peu sécurisés.

De manière similaire, les outils de défense de l’utilisateur doivent être renforcés pour lutter contre le risque, toujours plus important, que représentent les menaces internes. Cette couche est souvent la plus complexe à gérer puisqu’il s’agit de trouver le bon équilibre entre sécurité et utilisation conviviale. Vous pouvez également activer différentes méthodes d’authentification pour identifier les utilisateurs réseau et leur attribuer des niveaux d’accès différents. Enfin, c’est la prise de conscience des utilisateurs face aux risques et leur formation sur le sujet qui sont également des priorités.

3. Garder la main sur le Shadow IT

Le Shadow IT fait référence à ces applications et services, souvent basés dans le Cloud, et non contrôlés par l’organisation, soulignant ainsi un réel défi en matière de sécurité et de gouvernance.

Considérons un utilisateur lambda qui ouvre un fichier corporate sur son smartphone. L’appareil va sans doute copier le fichier vers, par exemple, un   espace en ligne non approuvé, simplement lors de l’exécution d’une sauvegarde programmée. Voilà comment vos données corporate sécurisées peuvent être transférées vers un lieu non sécurisé.

De la même façon, les nombreuses applications de collaboration sociale si appréciées par cette Génération Y sont susceptibles de faire migrer des informations corporate vers des espaces peu sécurisés.

Il ne suffit par d’interdire unilatéralement à ces collaborateurs l’utilisation des dispositifs et applications non-validées pour que cette règle soit scrupuleusement appliquée.

Face à l’omniprésence des smartphones, les collaborateurs continueront à utiliser leurs réseaux sociaux ou leur cloud personnel, que vous le vouliez ou pas.

En revanche, la sensibilisation des collaborateurs et le déploiement de  technologies de sécurité sont des axes plus pertinents pour maîtriser les risques, qu’il s’agisse du chiffrement des données, d’un contrôle d’accès ou du monitoring du trafic.

D’un point de vue plus large, le Shadow IT émerge lorsque vos collaborateurs ne sont pas satisfaits des outils offerts par leur organisation. Alors que les DSI ne peuvent empêcher les collaborateurs de rechercher des applications alternatives, de collaboration par exemple, ils peuvent maîtriser les risques en  prenant mieux en compte les besoins et attentes de leurs utilisateurs. (Christophe Auberger, Directeur Technique France Fortinet)

Chiffrement, Communiqué de presse, Justice, loi, RGPD

RSSI, un métier qui bouge

La place et la perception de la sécurité du numérique sont en pleine évolution dans les entreprises. La transformation numérique est désormais stratégique pour elles. La conscience des cyber-risques, longtemps négligés par les dirigeants, augmente avec la nécessité de se mettre en conformité avec une réglementation sévère. Bien au-delà du Service Informatique, les cyber-menaces sont désormais des risques économiques, mais aussi d’image pour l’entreprise, touchant la Direction générale, la Direction financière et le marketing. Une vision globale qui fait bouger la fonction de Responsable de la Sécurité des Systèmes d’Information.

Le RSSI conserve bien sûr son rôle technique. Mais il est désormais au cœur d’un dispositif qui l’oblige à « communiquer » avec les métiers, à expliquer les mesures de sécurité adoptées et leurs contraintes. Il doit convaincre la Direction générale, de la nécessité d’investir dans certaines technologies. Le RSSI devient un partenaire et un conseiller pour chaque métier : la sécurité est l’affaire de tous.

La sécurité change de niveau

La culture numérique est inscrite dans la pratique quotidienne des générations des années 2010. La distinction entre les outils de la vie privée et ceux de la vie professionnelle s’estompe. Le RSSI doit adapter son action, devenir plus réactif et plus agile. L’écosystème des solutions de sécurité s’élargit, et avec lui le champ du métier. La mutation est plus qu’amorcée, elle est déjà inscrite, par exemple, dans la pratique des métiers marchands connectés. Le RSSI est devant d’énormes volumes de données complexes dont l’intégrité doit être conservée face aux cyber-attaques. Pour répondre à cette accélération des volumes et à cette complexité, il a besoin de disposer de capacités d’analyses de plus en plus performantes pour traiter et analyser ce que l’on nomme le Big Data. Les outils ont eux-mêmes évolué, intégrant des fonctionnalités plus riches et une souplesse toujours plus grande. Ses responsabilités ont donc très largement augmenté, tout en se diversifiant. Cette expertise très ouverte fait qu’il doit manier des outils qui élargissent son champ d’action tout en lui permettant de se concentrer sur son métier de garant de la sécurité.

Rssi : Des outils qui répondent à l’exigence

Les solutions à sa disposition doivent donc être très performantes tout en restant faciles à utiliser et simples à maintenir. Le SIEM (security information and event management) est l’unique moyen automatisé pour un RSSI de traiter les données des logs générés par le réseau et les outils de sécurité. Tout produit connecté générant des logs, ceux-ci sont collectés, corrélés et analysés pour détecter et bloquer les mouvements suspects ou les attaques et alerter sur les dysfonctionnements. Désormais, les solutions de SIEM agissent en agrégeant les informations internes et externes issues des bases de données de Threat intelligence ou de réputation.

Une plateforme de gestion des informations et des événements de sécurité doit être très flexible pour collecter, analyser et surveiller toutes les données, qu’elles viennent du réseau, des applications, des bases de données, des infrastructures, qu’elles concernent des actifs sensibles, des systèmes industriels ou des systèmes de sécurité.

Rssi : Faire sienne la réglementation

Des obligations comme le Règlement Général sur la Protection des Données ou la Loi de Programmation Militaire imposent en France de mettre en place une solution permettant à l’entreprise de respecter ces règlements, sous peine de pénalités financières. Le RSSI doit anticiper ces obligations, intégrant ainsi dans sa démarche la responsabilité de l’entreprise. Il a besoin de s’appuyer sur des expertises et des solutions qui s’adaptent facilement pour rester en phase avec ses besoins – anticipation des demandes de conformité, défense transparente contre la cybercriminalité et la fraude et optimisation des opérations IT… La tâche n’est pas mince pour relever ce challenge permanent de l’évolution des compétences, des connaissances et des risques. (par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint)

Communiqué de presse, Téléphonie

La contrefaçon de smartphones responsable d’une perte de 45,3 milliards d’euros à l’échelle mondiale d’après l’EUIPO

Un nouveau rapport établi par l’Office de l’Union européenne pour la propriété intellectuelle, l’EUIPO, en collaboration avec l’Union internationale des télécommunications (UIT) estime que l’industrie légitime a vendu 184 millions de smartphones en moins en 2015, en raison de la présence sur le marché d’’appareils issus de la contrefaçon.

Le rapport de l’EUIPO estime qu’en 2015, 12,9 % des ventes légitimes de smartphones ont été perdues au niveau mondial en raison de la présence sur le marché de produits issus de la contrefaçon, pertes qui s’élèvent à 45,3 milliards €. Le rapport analyse le nombre de smartphones vendus dans 90 pays dans toutes les régions du monde sur la base du suivi des achats des consommateurs par point de vente. En 2015, 1,3 milliard de smartphones ont été vendus dans le monde entier, ce qui signifie qu’approximativement une personne sur six sur la planète a acheté un smartphone cette année-là à un prix moyen de 275 €.

Dans l’Union européenne, 150 millions d’unités ont été vendues en 2015, ce qui correspond à une unité pour un citoyen européen sur trois. Les contrefaçons au sein de l’UE-28 sont estimées à 14 millions d’unités en 2015, ce qui correspond à 8,3 % des ventes du secteur, à savoir 4,2 milliards d’EUR. Si l’on s’appuie sur les données disponibles dans d’autres régions du monde, la contrefaçon a entraîné, en 2015, des pertes en termes de ventes de 21,3 % en Afrique, de 19,6 % en Amérique latine, de 17,4 % dans les pays arabes, de 15,6 % en Chine, de 11,8 % dans la région Asie-Pacifique et de 7,6 % en Amérique du Nord. La Chine est touchée par un tiers des pertes mondiales totales de revenus dans le secteur des smartphones. Le directeur exécutif de l’EUIPO, M. António Campinos, a déclaré que « Les rapports et les analyses que nous réalisons à l’EUIPO nous permettent d’établir un schéma d’ensemble de l’incidence de la contrefaçon et du piratage sur les principaux secteurs économiques. Ceci est notre premier rapport d’une série qui analyse un secteur à la fois à l’intérieur et à l’extérieur de l’UE. Ses estimations selon lesquelles 12,9 % des ventes légitimes de smartphones ont été perdues au niveau mondial en 2015 peuvent constituer un puissant message à l’attention des responsables politiques et de tous ceux qui œuvrent pour lutter contre la contrefaçon dans le monde entier« .

Le directeur du bureau du développement de l’UIT, M. Brahima Sanou, a indiqué de son côté que « La contrefaçon affecte la croissance économique ainsi que la santé des consommateurs. Je me réjouis de constater que notre collaboration avec l’EUIPO contribue à mieux faire connaître les conséquences sociales et économiques des smartphones contrefaits. Il est de notre responsabilité de prendre des mesures pour protéger les consommateurs« .

Le présent rapport est le onzième d’une série d’études publiées par l’EUIPO par le biais de l’Observatoire européen des atteintes aux droits de propriété intellectuelle, au sujet de l’incidence économique de la contrefaçon sur les secteurs industriels de l’UE. Ce rapport est le premier de la série à avoir une portée mondiale. Les rapports précédents portaient sur: le secteur des pesticides, le secteur pharmaceutique, le secteur des boissons alcooliques et du vin, le secteur de la musique enregistrée, le secteur de la maroquinerie et des articles de voyage, le secteur des montres et de la bijouterie-joaillerie , le secteur des jouets et des jeux, le secteur des articles de sport, le secteur des vêtements, accessoires et chaussures et le secteur des cosmétiques et des soins personnels.

En France, selon l’EUIPO les pertes en termes de ventes dues à la contrefaçon sont estimées à 380 millions € en 2015, ce qui correspond à une perte de revenus estimée à 8 % pour l’industrie légitime. Infographiques Infographiques pour médias sociaux Allemagne En Allemagne, les pertes en termes de ventes dues à la contrefaçon sont estimées à 564 millions € en 2015. La perte de revenus estimée pour l’industrie légitime en Allemagne est l’une des plus faibles de l’UE, à savoir 5,7 %.

En Italie, les pertes en termes de ventes de smartphones sont estimées à 885 millions d’euros en 2015, ce qui correspond à une perte de revenus estimée à 15,4 % pour l’industrie légitime.

Au Royaume-Uni, les pertes en termes de ventes dues à la contrefaçon sont estimées à 660 millions d’euros en 2015, ce qui correspond à une perte de revenus estimée à 5,7 % pour l’industrie légitime.

En Espagne, l’EUIPO estime que les pertes en termes de ventes dues à la contrefaçon sont estimées à 386 millions € en 2015, ce qui correspond à une perte de revenus estimée à 10 %.

Communiqué de presse

Protégez-vous contre les cyberattaques avec LockSelf

A travers des solutions innovantes et simples d’utilisation, LockSelf se positionne comme un acteur incontournable en 2017 pour lutter contre les cyberattaques destinées aux entreprises

LockSelf.com, expert dans le domaine de la cybersécurité, propose des solutions simples d’utilisation pour lutter au quotidien contre le vol de données et l’espionnage.

Aujourd’hui, les attaques en ligne sont quotidiennes et aucune entreprise n’est réellement à l’abri. Les serveurs principaux étant déjà sécurisés, les attaques se focalisent désormais sur les postes utilisateurs et les données et accès qu’ils contiennent. La prise de conscience est lente et il est utile de se protéger en amont pour éviter toute fuite de données sensibles.

LockSelf – spécialiste de la cybersécurité

LockSelf, société dynamique constituée d’une dizaine de salariés, évolue dans le monde des nouvelles technologies. L’entreprise s’est articulée autour de deux pôles : la cybersécurité des entreprises & l’hébergement haute disponibilité / haute sécurité.

L’entreprise offre un gestionnaire de mots de passe avec plugin navigateur et un système pour envoyer vos pièces jointes de manière sécurisée à travers un plugin Outlook pour les entreprises de toutes tailles.

L’objectif de LockSelf est de protéger de manière hiérarchisée les différents mots de passe utilisateurs, l’accès aux différents comptes, les transferts de fichiers et la connexion internet sur une plateforme unique et totalement sécurisée. La société permet d’avoir un contrôle centralisé des données sensibles de l’entreprise, en gérant un parc d’utilisateurs de manière hiérarchique de façon à déterminer qui a le droit d’accéder et d’utiliser l’information.

 « Notre outil étant disponible on-premise, nous sommes en mesure de déployer notre solution dans des sociétés souhaitant conserver leurs données sur leurs propres serveurs, comme les sociétés régies par l’ANSSI » affirme Julien Tessier, CEO et co-fondateur de LockSelf. « La proximité que nous avons avec nos clients nous permet d’adapter nos solutions à chaque entreprise en fonction de leurs besoins. Nos solutions sont uniques et promettent un gain aussi bien en sécurité qu’en productivité. »

Une défense simple face aux cyberattaques

LockTransfer est une solution qui sécurise tous les documents depuis n’importe quel type de support (smartphone, tablette, ordinateur) et paramètre instantanément le niveau de sécurité de chacun des partages. L’envoi, chiffré avec un mot de passe spécifique, va bénéficier de la meilleure politique de sauvegarde et de protection possible. De plus, grâce au plugin Microsoft Outlook, l’utilisateur a la possibilité de joindre des fichiers à ses collaborateurs de façon sécurisée au sein même de l’email.

LockPass est votre gestionnaire de mot de passe. Ne mémorisez qu’un seul mot de passe et stockez tous les autres (emails, intranet, serveurs, réseaux sociaux). Vous pourrez ainsi travailler et naviguer plus vite et plus intelligemment en laissant LockPass se connecter à tous vos comptes en lignes grâce à ses extensions Firefox et Chrome. LockPass donne également la possibilité d’avoir une gestion centralisée au sein de votre entreprise avec la possibilité de partager chaque mot de passe de la société avec un ou plusieurs collaborateurs ou prestataires.

Ces deux solutions vous permettront d’une part de garder le contrôle sur les mots de passe et les documents de votre entreprise et/ou personnels en les stockant dans un espace chiffré et sécurisé à un niveau militaire.  Et d’autre part de consulter l’historique d’utilisation de vos données pour chacun de vos utilisateurs.

Très simple d’utilisation la plateforme a été conçue pour permettre à tout utilisateur d’avoir accès à un niveau de sécurité élevé, sans installation particulière et de manière transparente, c’est à dire sans impacter le déroulement de l’activité du salarié.

Communiqué de presse

Protection des données, vie privée et biométrie: l’Université suisse à distance lance une formation en ligne unique en Europe

Accéder à son smartphone avec son empreinte digitale, entrer dans son entreprise par un terminal de reconnaissance faciale, voyager grâce à son identité biométrique… les technologies biométriques régissent peu à peu nos actes de tous les jours, changeant les enjeux en matière d’identité des citoyens et de la vie privée.

Aujourd’hui, de nombreuses entreprises, administrations et organisations sont confrontées aux questions soulevées par les nouvelles technologies en matière de protection des données. Reconnaissant leurs besoins, l’Université suisse à distance (UniDistance) et l’Institut de recherche IDIAP ouvrent une formation unique en Europe, le 1er avril 2017 : un Certificate of Advanced Studies in Biometrics and Privacy, enseigné en ligne par les meilleurs experts européens.

Maîtriser les défis à venir et se préparer à la nouvelle loi européenne sur la protection des données
Pour la première fois, une formation aborde l’ensemble des aspects liés à la biométrie: technologies, lois, règles et normes en matière de protection des données et de vie privée, aspects éthiques, culturels et sociaux ou encore sciences criminelles.

La nouvelle législation européenne sur le traitement des données, qui vise à préparer l’Europe à l’ère numérique, entrera en vigueur en mai 2018. Applicable à toutes les entreprises et organisations qui offrent des services, elle exige de ces dernières l’instauration de systèmes de gestion des données et des risques. La formation proposée les préparera de manière optimale à cette situation nouvelle.

Université suisse à distance : Un programme unique enseigné par les meilleurs experts en Europe

Le nouveau programme, extrêmement flexible, est enseigné en ligne. Les participants déterminent leur planning et le rythme de leurs études, quel que soit le pays où ils se trouvent. Une solution idéale pour concilier formation avec obligations professionnelles et familiales. Le diplôme, conçu conformément aux Accords de Bologne, est reconnu dans tous les Etats membres de l’Union Européenne.

Les cours seront dispensés par les meilleurs spécialistes internationaux. Citons le Dr Sébastien Marcel, expert en systèmes de reconnaissance et d’apprentissage machine, chercheur senior en biométrie à l’institut de recherche IDIAP, Suisse, la Prof. Katerina Kitrokotsa, Associate Professor à la faculté d’informatique de la Chalmers University, Suède, la Prof. Els Kindt, chercheuse en eLaw à Leiden University, Belgique ou encore le Dr Emilio Mordini, Président de Responsible Technology SAS, France. http://www.distanceuniversity.ch/cas-biometrics

UniDistance est le seul institut universitaire à distance reconnu par le gouvernement suisse. Depuis 1992, il propose des formations académiques de type Bachelor et Master notamment.

Communiqué de presse, Cybersécurité

ITrust présente son centre opérationnel de sécurité

ITrust vous présentera son SOC de dernière génération et les services liés à sa mise en oeuvre, le 23 mars de 9h à 12h à Paris. La société Française aura  l’occasion de démontrer comment faire face aux menaces actuelles telles que les cryptolockers.

Au programme : Démonstration du SOC ; présentation de la plate forme technique ; démonstration de l’outillage ; démonstration d’une détection d’attaque ou d’actions malveillantes ; démonstration du process de support et d’intervention de la force d’action rapide.

La cybercriminalité est une réalité de plus en plus visible. À des degrés plus ou moins marqués, tous les systèmes d’informations en font l’objet. Les menaces de cyberattaques se développent en nombre, en diversité, et en sophistication. ITrust considère depuis sa création que cette démarche est à la fois une nécessité et un axe de différenciation majeur au bénéfice de ses clients. Permettant l’analyse prédictive, le SOC d’ITrust s’appuie sur des solutions innovantes et apporte son expertise en cybersécurité. Ce centre scalable, permet de détecter, analyser et stopper les menaces.

Pour des questions de confidentialité, l’accès est soumis à authentification. Merci de leur faire savoir avant le 20 mars de votre participation à l’adresse suivante : mgodefroy(ateu)itrust.fr

Biométrie, Communiqué de presse, Cybersécurité, Emploi, Entreprise, Mise à jour

Protection des données, vie privée et biométrie: l’Université suisse à distance distance university lance une formation en ligne

Protection des données, vie privée et biométrie: l’Université suisse à distance distance university lance une formation en ligne unique en Europe.

Accéder à son smartphone avec son empreinte digitale, entrer dans son entreprise par un terminal de reconnaissance faciale, voyager grâce à son identité biométrique… les technologies biométriques régissent peu à peu nos actes de tous les jours, changeant les enjeux en matière d’identité des citoyens et de la vie privée.

Aujourd’hui, de nombreuses entreprises, administrations et organisations sont confrontées aux questions soulevées par les nouvelles technologies en matière de protection des données. Reconnaissant leurs besoins, l’Université suisse à distance (UniDistance) et l’Institut de recherche IDIAP ouvrent une formation unique en Europe, le 1er avril 2017 : un Certificate of Advanced Studies in Biometrics and Privacy, enseigné en ligne par les meilleurs experts européens.

Maîtriser les défis à venir et se préparer à la nouvelle loi européenne sur la protection des données

Pour la première fois, une formation aborde l’ensemble des aspects liés à la biométrie: technologies, lois, règles et normes en matière de protection des données et de vie privée, aspects éthiques, culturels et sociaux ou encore sciences criminelles.

La nouvelle législation européenne sur le traitement des données, qui vise à préparer l’Europe à l’ère numérique, entrera en vigueur en mai 2018. Applicable à toutes les entreprises et organisations qui offrent des services, elle exige de ces dernières l’instauration de systèmes de gestion des données et des risques. La formation proposée les préparera de manière optimale à cette situation nouvelle.

Un programme unique enseigné par les meilleurs experts en Europe  

Le nouveau programme, extrêmement flexible, est enseigné en ligne. Les participants déterminent leur planning et le rythme de leurs études, quel que soit le pays où ils se trouvent. Une solution idéale pour concilier formation avec obligations professionnelles et familiales. Le diplôme, conçu conformément aux Accords de Bologne, est reconnu dans tous les États membres de l’Union Européenne.

Les cours seront dispensés par les meilleurs spécialistes internationaux. Citons le Dr Sébastien Marcel, expert en systèmes de reconnaissance et d’apprentissage machine, chercheur senior en biométrie à l’institut de recherche IDIAP, Suisse, la Prof. Katerina Kitrokotsa, Associate Professor à la faculté d’informatique de la Chalmers University, Suède, la Prof. Els Kindt, chercheuse en eLaw à Leiden University, Belgique ou encore le Dr Emilio Mordini, Président de Responsible Technology SAS, France.

Pour de plus amples informations: http://www.distanceuniversity.ch/cas-biometrics

UniDistance est le seul institut universitaire à distance – distance university – reconnu par le gouvernement suisse. Depuis 1992, il propose des formations académiques de type Bachelor et Master notamment dans les domaines du droit, de la psychologie, de l’économie et des sciences historiques. http://www.UniDistance.ch

L’Institut de Recherche Idiap est une fondation à but non lucratif spécialisée dans la recherche et le développement dans le domaine de la gestion de l’information multimédia. Cet institut abrite le centre suisse d’excellence en biométrie (Swiss Center for Biometric Research and Testing), qui a pour mission de développer les technologies liées à la sécurité des données biométriques et de faciliter la collaboration entre les chercheurs et les entreprises. http://www.idiap.ch

Communiqué de presse

YesWeHack lance sa plateforme de signalement responsable de vulnérabilités ZeroDisclo.com

2 commentaires
En contact permanent avec sa communauté de chercheurs en sécurité, YesWeHack a fait le constat suivant : il est complexe pour un chercheur en sécurité et par conséquent pour un lanceur d’alerte de signaler de manière responsable des failles de sécurité aux entreprises impactées quand celles-ci n’ont pas de programme de Bug Bounty notamment sur BountyFactory.io.

Les découvreurs de failles ne savent pas toujours comment les transmettre aux sociétés concernées sans les dévoiler à un tiers et malheureusement un contact direct avec les sociétés représente toujours un risque judiciaire. Partenaire de confiance de longue date auprès de la communauté des chercheurs en sécurité via ses fondateurs, YesWeHack lance ZeroDisclo.com. Cette plateforme fournit les moyens techniques et l’environnement nécessaire à tous pour adopter le signalement responsable de vulnérabilités communément appelé « Responsible Disclosure« .

La plateforme accessible en direct ou via le réseau Tor, propose à tout internaute de signaler une
vulnérabilité aux CERTs™ au travers d’un formulaire en ligne, en fournissant les informations nécessaires à sa compréhension et à l’évaluation de sa gravité grâce à son score CVSS. Le chercheur peut alors choisir de rester anonyme ou de fournir son identité s’il souhaite être contacté, voire remercié en retour.

Les informations sont ensuite chiffrées via OpenPGP avec la clé du CERT™ directement dans le navigateur, horodatées et signées grâce à la blockchain et transmises automatiquement aux CERTs™ choisis parmi une liste exhaustive. En échange, le chercheur reçoit un certificat qui atteste de son dépôt.

Actuellement, les CERT proposés par ZeroDisclo.com sont les CERT-EU, CERT-FR, US-CERT, et le CERTUBIK créé par Digital Security sélectionné pour les remontées concernant les objets connectés. De plus, les entreprises qui le souhaitent peuvent s’abonner gratuitement sur ZeroDisclo.com pour être informées en temps réel des remontées de failles les concernant et le cas échéant, prendre contact avec les CERTs concerné afin d’en connaître les détails.

L’objectif de ZeroDisclo.com est de responsabiliser la communauté, de permettre aux chercheurs en sécurité de prouver leur bonne foi. ZeroDisclo.com offre une alternative efficace, éthique et responsable face aux services divulguant des vulnérabilités  sur Internet et au marché noir.
Lancée en 2013, YesWeHack met en lien des organisations ou projets ayant des besoins en sécurité
informatique, avec des personnes qualifiées.

4 plateformes interdépendantes sont disponibles :
–  YesWeHack.com : le premier site d’emploi spécialisé dans la sécurité informatique.
– BountyFactory.io : première plateforme européenne de Bug Bounties.
– FireBounty.com : Agrégateur de Bug Bounties.
– ZeroDisclo.com : Plateforme de signalement responsable de vulnérabilités.

Responsible Disclosure : https://en.wikipedia.org/wiki/Responsible_disclosure

CVSS : https://en.wikipedia.org/wiki/CVSS

OpenPGP : https://en.wikipedia.org/wiki/Pretty_Good_Privacy#OpenPGP

CERT™ : https://en.wikipedia.org/wiki/Computer_emergency_response_team

Communiqué de presse, Hacking

DNS et GDPR, ou quand sécurité et réglementation se retrouvent

3 commentaires
Le nouveau GDPR (Règlement général sur la protection des données) est un règlement de l’Union européenne qui vise à renforcer la protection des données dans tous les Etats membres de l’UE, en remplacement de la Directive 95/46/CE de 1995.

Ce règlement – contrairement à une directive – n’a pas besoin d’être légiféré pour être adopté par les gouvernements. Plus important encore, il ne se limite pas à l’Union européenne – toutes les organisations non-UE qui partagent les données personnelles des citoyens européens sont également couvertes par la nouvelle loi. Cela inclut presque toutes les organisations ayant des clients, fournisseurs ou employés dans l’UE.

Quelles sont les mesures à mettre en place ?
En vertu de la nouvelle loi, adoptée par le Conseil de l’UE et le Parlement le 14 avril 2016, les organisations européennes seront tenues d’appliquer de nouvelles mesures, y compris des évaluations d’impact sur la protection des données, des normes de sécurité extrêmement exigeantes ou la mise en œuvre de politiques de confidentialité appropriées. Beaucoup seront tenues de nommer un délégué à la protection des données, et les ‘Processeurs de données’ et ‘Contrôleurs de données’ devront garder une trace de toutes les activités de traitement de données dans leurs entreprises.

Les ingénieurs impliqués dans la plupart des projets technologiques au sein de l’Union européenne devront se conformer dès la conception à une démarche de sécurité et de respect de la vie privée. Cela suppose que la confidentialité des données soit conforme aux plus hautes exigences. Quant aux paramètres de protection des données, ils devront être insérés dans tous les processus de gestion à un niveau élevé et par défaut. La sécurité des données jouera un rôle encore plus critique et devra être assurée de bas en haut. Cela comprend notamment la couche de DNS.

Les architectures de réseau devront décourager le détournement de DNS et l’utilisation des DNS pour l’exfiltration de données. Les principales difficultés ici ne concernent ni les hacktivistes ni les logiciels malveillants cherchant à vandaliser les systèmes, mais les attaquants sophistiqués qui savent quelles données spécifiques ils visent à exfiltrer.

Des conséquences déplorables en cas de non-conformité et d’attaques
Le GDPR impose une règle générale de notification de violation des données, et les organisations tous secteurs d’activité confondus devront suivre certaines procédures spécifiques si un tel événement se produit. Les Contrôleurs de Données n’auront que 72 heures pour informer les autorités compétentes de ce qui s’est produit et des volumes de données concernées. Dans le pire des cas, les organisations devront également informer le public de la violation ou vol de données, ce qui aura inévitablement des retombées négatives sur leur réputation.

Personne ne peut se permettre d’ignorer le GDPR. Ce règlement entrera en vigueur le 25 mai 2018, ce qui signifie que les organisations (et peut-être la vôtre !) ont moins de deux ans pour s’y conformer ; un délai relativement court au vu des différentes étapes préparatoires à suivre. De lourdes sanctions et des amendes élevées sont prévues en cas de perte de données : elles pourront en effet atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Il est maintenant temps de commencer à construire une infrastructure conforme au GDPR, qui assure la sécurité et le respect de la vie privée des données. Le fait de fournir une sécurité suffisante au niveau du DNS peut permettre aux entreprises de réaliser d’énormes économies et d’éviter les poursuites inutiles. Mais l’évitement des coûts ne doit pas être la seule motivation pour agir. La confiance des clients, des partenaires et des salariés dans la marque d’une entreprise est cruciale pour protéger l’activité de celle-ci, tant sur le court que sur le long terme.

Le trafic de DNS doit être soigneusement surveillé et analysé pour détecter les tentatives d’exfiltration de données cachées dans le trafic réseau. Les systèmes de filtration DNS qui fonctionnent comme la filtration web, peuvent contrôler la réputation des liens par rapport à une liste noire en temps réel et vérifier automatiquement si la requête DNS est digne de confiance ou si elle peut représenter un risque de vol de données.

La sécurité du DNS est un principe de base de la sécurité et du respect de la vie privée dès la conception d’une architecture. Les organisations désireuses d’être préparées au GDPR doivent se demander si elles ont un plan conforme pour protéger leurs réseaux, leurs données, leurs clients… et leur réputation. (Par Hervé DHELIN, EfficientIP)