Archives de catégorie : Justice

Base de données, Cybersécurité, Emploi, Entreprise, Fraude au président, ID, Identité numérique, Justice, santé, Sauvegarde

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

Cybersécurité, Justice, loi, RGPD

Brexit, ou le déclenchement d’un cyber-risque Européen

Un commentaire

Cyber-risque : A quelques jours du second tour des présidentielles, et tandis que certains candidats affirment leur volonté de quitter l’Union Européenne à l’instar de nos voisins britanniques, les discussions sur les conséquences d’une telle décision sont animées.

Outre la dimension économique, la mise en application par le Royaume-Uni de l’article 50 du traité de l’Union Européenne selon lequel « tout État membre peut décider, conformément à ses règles constitutionnelles, de se retirer de l’Union » marque un nouveau moment d’incertitude en termes de cybersécurité. Le début des négociations pourrait en effet conduire à une hausse des pratiques malveillantes de la part des hacktivistes ainsi qu’à du phishing politique, ce qui suscite naturellement des inquiétudes autour du partage continu des connaissance de sécurité.

Pour Jean-François Pruvot, Regional Director France, chez CyberArk, alors que trop d’entreprises adoptent la politique de l’autruche concernant les potentielles implications de ce basculement, la collaboration cruciale entre les organisations et les membres de l’UE peut pourtant les aider à garder le contrôle :

« Internet est un vaste exutoire où les utilisateurs partagent leurs frustrations, certains pouvant aller jusqu’à y exercer des actes de vengeance. Les réactions suscitées par le Brexit risquent ainsi de conduire à une augmentation des cyberattaques contre nos voisins britanniques. Selon les derniers chiffres publiés par Gemalto, les attaques hacktivistes ont enregistré une hausse de 31 % en 2016. En effet, les gouvernements, media, infrastructures critiques et tout organisme impliqué de près ou de loin dans le Brexit, qu’ils soient en faveur ou contre lui, sont de potentielles cibles d’attaques et doivent donc rester sur le qui-vive ; il suffit d’un individu aux idées politiques ou idéologiques très fortes pour s’emparer de privilèges et causer d’importants dégâts ! Les entreprises peuvent garder une longueur d’avance sur les pirates informatiques engagés en gérant notamment l’accès aux comptes de réseaux sociaux institutionnels. La protection des accès à privilèges permet également d’empêcher les assaillants d’étendre insidieusement leur empreinte initiale à travers les systèmes.

Cyber-risque

Par ailleurs, l’article 50 reste confus pour un grand nombre d’individus en ce qui concerne ses implications et la manière dont nous – consommateurs et entreprises – devons y répondre. Les cybercriminels s’appuyant sur l’incertitude, le Brexit représente une opportunité en or pour nous effrayer et nous inciter à agir. En effet, le mois suivant les résultats du référendum, des chercheurs de Symantec ont identifié une augmentation de 392 % des emails de spam utilisant le terme « Brexit » dans leur objet pour cibler les individus et organisations. Une nouvelle preuve, s’il en fallait, que les entreprises doivent être diligentes et mettre en place les mesures de sécurité appropriées !

Les tentatives de phishing, de cyber-risque, liées à l’article 50 peuvent en effet assurer le succès d’une attaque ransomware ou permettre à un cybercriminel de s’introduire à l’intérieur des défenses périmétriques puis d’installer une base d’opérations au sein du réseau. Le début des négociations autour de la sortie du Royaume-Uni, devrait donc servir de rappel opportun pour éduquer les employés sur les bonnes pratiques relatives aux emails, comme ne pas ouvrir les pièces jointes émanant d’expéditeurs inconnus, ou encore s’assurer qu’ils possèdent les bons outils de sécurité pour empêcher une tentative de phishing.

C’est pourquoi face aux recrudescences d’attaques, les agences d’intelligence britanniques et internationales doivent impérativement rester soudées pour anticiper et stopper toute cyberactivité hostile pouvant émaner d’autres pays. Le Royaume-Uni, ou tout autre nation souhaitant quitter l’Union, doit donc impérativement veiller à ne pas s’isoler au risque de devenir une cible plus attrayante. L’une des meilleures solutions pour que les entreprises gardent le contrôle reste la collaboration cross-secteurs, encourageant ainsi les dirigeants à partager leurs bonnes pratiques et leurs connaissances pour lutter ensemble contre la cybercriminalité. Quelle qu’en soit la nature, les changements d’une telle ampleur sont une vulnérabilité pour les organisations, et l’adaptation à ces paysages à risques doit donc faire partie intégrante de leurs plans. Une problématique qui ne touche finalement pas seulement le Royaume-Uni ou les pays qui envisagent également un « exit » ! A bon entendeur. » (Par Jean-François Pruvot, Regional Director France, chez CyberArk)

Communiqué de presse, Cyber-attaque, Cybersécurité, Justice, Leak, Piratage, Social engineering

À la poursuite de « Lazarus »

À la poursuite de « Lazarus » : sur les traces du groupe chasseur de grandes banques internationales

Kaspersky Lab vient de publier les conclusions d’une enquête menée par ses experts pendant plus d’un an au sujet du groupe de hackers « Lazarus », présumé responsable du vol de 81 millions de dollars à la Banque Centrale du Bangladesh en 2016. L’analyse scientifique des indices laissés par les pirates dans des banques situées dans le Sud-est asiatique et en Europe, a permis de cerner leur mode opératoire. Ses experts ont mis au jour le type d’outils utilisés pour les attaques visant des institutions financières, des casinos, des éditeurs de logiciels dédiés aux sociétés de placement du monde entier, ainsi que des entreprises de crypto-monnaies. Ces renseignements ont permis d’interrompre au moins deux opérations lancée dans le but de dérober de très grosses sommes à des institutions financières.

En février 2016, un groupe de pirates (non-identifié lors des faits) a tenté de dérober 851 millions de dollars, réussissant à transférer 81 millions de dollars depuis la Central Bank of Bangladesh. Ce vol est considéré comme l’un des plus grands jamais perpétrés par des pirates informatiques à ce jour. Des experts de sociétés spécialistes de la sécurité informatique ont conclu que les attaques avaient très probablement été perpétrées par Lazarus, un groupuscule passé maître dans l’art du cyberespionnage et du cybersabotage. Cette cellule est connue pour avoir perpétré une série d’attaques de grande envergure ayant ciblé des fabricants, des médias et des institutions financières dans au moins 18 pays aux quatre coins du monde depuis 2009.

Très discret pendant plusieurs mois après l’attaque contre la banque du Bangladesh, le groupe Lazarus n’est en pas moins demeuré actif. Ses membres préparaient une autre opération visant d’autres banques. Lorsqu’ils ont été prêts, ils avaient déjà réussi à trouver un point d’entrée dans une institution financière du Sud-est asiatique. Après avoir été interrompus par des solutions Kaspersky Lab et par l’enquête menée ensuite, ils se sont mis au vert pendant plusieurs mois avant de changer de continent. Ils ont alors ciblé des établissements en Europe, où là encore les logiciels de sécurité de Kaspersky Lab ont repéré leurs tentatives et les ont bloquées, aidés par ses équipes d’intervention, d’analyse scientifique et de reverse engineering ainsi que par ses meilleurs chercheurs.

Le modus operandi de Lazarus

Les experts ont passé au crible les indices collectés sur les lieux des attaques. Cette analyse scientifique leur a permis de reconstituer le mode opératoire des pirates.

  • Compromission initiale : les pirates ouvrent une brèche dans un seul des systèmes informatiques de la banque, soit en exploitant à distance des portions de code vulnérables (sur un serveur web par exemple), soit à l’aide d’une attaque dite de « watering hole » qui consiste à piéger un site web légitime. Lorsqu’une victime (un employé de la banque ciblée) consulte ce dernier, son ordinateur est infecté par des composants additionnels.
  • Trouver ses marques : les membres du groupe migrent vers d’autres ordinateurs hôtes au sein de la banque où ils déploient des backdoors persistants, qui leur permettent d’aller et venir à leur guise à l’aide des programmes malveillants installés.
  • Reconnaissance interne : le groupe passe ensuite des jours et des semaines à étudier scrupuleusement le réseau afin d’identifier les ressources intéressantes. Il peut s’agir d’un serveur de sauvegarde qui conserve les données d’authentification, des serveurs de messagerie, des contrôleurs de noms de domaine donnant accès à l’ensemble de l’entreprise, ou encore de serveurs où sont stockées les archives des transactions financières.
  • Passage à l’acte : l’ultime étape consiste, pour les pirates, à déployer leur malware conçu pour passer outre les dispositifs de sécurité internes des logiciels financiers et effectuer des transactions illicites au nom de la banque.

Empreinte géographique et attribution

Les attaques passées au crible par les experts se sont étalées sur plusieurs semaines, sachant que les pirates ont réussi à opérer pendant des mois sans se faire repérer. À titre d’exemple, pendant l’analyse de l’incident survenu dans le Sud-est asiatique, les experts ont découvert que les pirates avaient en fait corrompu le réseau de la banque 7 mois avant qu’elle ne réagisse et sollicite l’intervention des équipes de réponse aux incidents. Le groupe avait même eu accès au réseau de la banque bien avant l’incident survenu au Bangladesh.

Le groupe Lazarus a fait parler de lui à partir de décembre 2015 : des échantillons de malwares en lien avec ses activités ont été repérés sur les réseaux d’institutions financières, de casinos, d’éditeurs de logiciels dédiés à des sociétés de placement et d’entreprises de crypto-monnaies en Corée, au Bangladesh, en Inde, au Vietnam, en Indonésie, au Costa Rica, en Malaisie, en Pologne, en Irak, en Ethiopie, au Kenya, au Nigeria, en Uruguay, au Gabon, en Thaïlande et dans plusieurs autres pays. Les derniers échantillons malveillants repérés datent de mars 2017, ce qui laisse penser que les pirates ne comptent pas s’arrêter là.

S’ils ont pris soin d’effacer leurs traces, ils se sont grossièrement trahis sur au moins l’un des serveurs utilisés dans une autre campagne. En préparation de l’attaque, ce serveur avait été configuré pour faire office de centre de commande et de contrôle (C&C) du malware. Les premières connexions effectuées le jour de la configuration provenaient de nouveaux serveurs VPN/proxy, laissant penser à une période de test du C&C. Les pirates ont laissé un indice : une connexion très brève a été détectée, émanant d’une plage d’adresses IP très rare en Corée du Nord.

Selon les chercheurs, cela pourrait avoir plusieurs significations :

  • Les attaquants se sont connectés depuis cette adresse IP en Corée du Nord ;
  • Il s’agit d’un leurre savamment orchestré par quelqu’un d’autre ;
  • Quelqu’un en Corée du Nord a visité par accident l’URL du C&C.

Le groupe Lazarus investit énormément pour créer de nouvelles variantes de son malware. Ses membres ont, pendant des mois, essayé de mettre au point une version totalement indétectable par les solutions de sécurité. Mais à chaque nouvelle tentative de leur part, les spécialistes ont réussi à repérer leurs créations en identifiant des paramètres récurrents au niveau du code. À l’heure actuelle, ceux-ci ne montrent aucun signe d’activité, ce qui laisse penser qu’ils les ont suspendues pour renforcer leur arsenal.

« Nous sommes persuadés qu’ils referont surface prochainement. Les attaques comme celles menées par le groupe Lazarus montrent qu’une erreur de configuration, même minime, peut ouvrir une brèche importante dans le réseau d’une entreprise, avec à la clé la perte potentielle de centaines de millions de dollars. Nous espérons que les dirigeants des banques, des casinos et de sociétés de placement du monde entier apprendront à se méfier de Lazarus », témoigne Vitaly Kamluk, Directeur de l’équipe de recherches et d’analyses APAC chez Kaspersky Lab.

Chiffrement, Communiqué de presse, Justice, loi, RGPD

RSSI, un métier qui bouge

La place et la perception de la sécurité du numérique sont en pleine évolution dans les entreprises. La transformation numérique est désormais stratégique pour elles. La conscience des cyber-risques, longtemps négligés par les dirigeants, augmente avec la nécessité de se mettre en conformité avec une réglementation sévère. Bien au-delà du Service Informatique, les cyber-menaces sont désormais des risques économiques, mais aussi d’image pour l’entreprise, touchant la Direction générale, la Direction financière et le marketing. Une vision globale qui fait bouger la fonction de Responsable de la Sécurité des Systèmes d’Information.

Le RSSI conserve bien sûr son rôle technique. Mais il est désormais au cœur d’un dispositif qui l’oblige à « communiquer » avec les métiers, à expliquer les mesures de sécurité adoptées et leurs contraintes. Il doit convaincre la Direction générale, de la nécessité d’investir dans certaines technologies. Le RSSI devient un partenaire et un conseiller pour chaque métier : la sécurité est l’affaire de tous.

La sécurité change de niveau

La culture numérique est inscrite dans la pratique quotidienne des générations des années 2010. La distinction entre les outils de la vie privée et ceux de la vie professionnelle s’estompe. Le RSSI doit adapter son action, devenir plus réactif et plus agile. L’écosystème des solutions de sécurité s’élargit, et avec lui le champ du métier. La mutation est plus qu’amorcée, elle est déjà inscrite, par exemple, dans la pratique des métiers marchands connectés. Le RSSI est devant d’énormes volumes de données complexes dont l’intégrité doit être conservée face aux cyber-attaques. Pour répondre à cette accélération des volumes et à cette complexité, il a besoin de disposer de capacités d’analyses de plus en plus performantes pour traiter et analyser ce que l’on nomme le Big Data. Les outils ont eux-mêmes évolué, intégrant des fonctionnalités plus riches et une souplesse toujours plus grande. Ses responsabilités ont donc très largement augmenté, tout en se diversifiant. Cette expertise très ouverte fait qu’il doit manier des outils qui élargissent son champ d’action tout en lui permettant de se concentrer sur son métier de garant de la sécurité.

Rssi : Des outils qui répondent à l’exigence

Les solutions à sa disposition doivent donc être très performantes tout en restant faciles à utiliser et simples à maintenir. Le SIEM (security information and event management) est l’unique moyen automatisé pour un RSSI de traiter les données des logs générés par le réseau et les outils de sécurité. Tout produit connecté générant des logs, ceux-ci sont collectés, corrélés et analysés pour détecter et bloquer les mouvements suspects ou les attaques et alerter sur les dysfonctionnements. Désormais, les solutions de SIEM agissent en agrégeant les informations internes et externes issues des bases de données de Threat intelligence ou de réputation.

Une plateforme de gestion des informations et des événements de sécurité doit être très flexible pour collecter, analyser et surveiller toutes les données, qu’elles viennent du réseau, des applications, des bases de données, des infrastructures, qu’elles concernent des actifs sensibles, des systèmes industriels ou des systèmes de sécurité.

Rssi : Faire sienne la réglementation

Des obligations comme le Règlement Général sur la Protection des Données ou la Loi de Programmation Militaire imposent en France de mettre en place une solution permettant à l’entreprise de respecter ces règlements, sous peine de pénalités financières. Le RSSI doit anticiper ces obligations, intégrant ainsi dans sa démarche la responsabilité de l’entreprise. Il a besoin de s’appuyer sur des expertises et des solutions qui s’adaptent facilement pour rester en phase avec ses besoins – anticipation des demandes de conformité, défense transparente contre la cybercriminalité et la fraude et optimisation des opérations IT… La tâche n’est pas mince pour relever ce challenge permanent de l’évolution des compétences, des connaissances et des risques. (par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint)

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Justice, loi

RGPD – Seconde consultation de la CNIL au sujet du règlement européen de protection des données personnelles

RGPD, c’est bientôt ! La CNIL (Commission nationale de l’informatique et des libertés) vient de lancer une 2e consultation nationale auprès des professionnels sur le règlement européen de protection des données personnelles (entrée en vigueur : mai 2018 pour les 28 Etats membres).

Les sujets abordés sont le profilage (« Comment intégrer les principes de privacy by design and by default ? », « Le profilage appliqué à votre secteur d’activité »), le consentement (« Qu’est ce que le consentement ? », « Le retrait du consentement ? »)  et les notifications de violation de données personnelles (« qui a obligation de notifier ? », « à quel moment notifier ? », « comment informer ? »).

Cette consultation se tient jusqu’au 24 mars et viendra alimenter les travaux du G29 (groupe des CNIL européennes) qui se réunissent en avril.

L’année dernière, de juin à juillet 2016, 225 contributeurs avaient posté 540 contributions et émis 994 votes sur les 4 premiers thèmes qui font l’objet de lignes directrices : le délégué à la protection des données, portabilité, études d’impact sur la vie privée, certification).

Du 23 février au 23 mars 2017, la CNIL ouvre la consultation sur 3 nouveaux thèmes : Notification de violation de données personnelles ; profilage et consentement. Ces éléments permettront de clarifier et de rendre pleinement opératoires les nouvelles règles européennes et nourriront les lignes directrices que produira le G29.

La protection des données personnelles doit être pleinement intégrée à l’ensemble de vos activités dès lors qu’elles impliquent un traitement d’informations. En effet, l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD) requiert dès aujourd’hui la mise en conformité de votre organisation, vos processus et votre stratégie. La société iTrust et ZATAZ ont proposé, le 28 février, un rendez-vous dédié à la compréhension de la GRPD. Un Webinaire avec Damien Bancal (ZATAZ.COM) et par ITrust, société d’expertise en cybersécurité française.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Particuliers, Sauvegarde, Social engineering

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Arnaque, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, Justice, Particuliers, Piratage, ransomware, Social engineering

désinfecter les machines Windows victimes du réseau criminel, Avalanche

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L’opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que Goznym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l’ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d’euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d’abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d’autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l’empêcher de se connecter à Internet ou d’accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changer qui a rendu impossible l’accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

BitDefenser propose son outil.

Les tools d’Avast.

Cybersécurité, Justice, loi

CITES tape « Ctrl, Alt, Suppr » sur la cybercriminalité

Les cybercriminels sont les derniers perdants de la 17ème Conférence des Parties (COP 17) de la CITES (Convention sur le commerce international des espèces de faune et de flore sauvages menacées d’extinction) suite à la décision de ratifier l’engagement pris par les 183 Parties d’éradiquer le commerce illégal de la faune en ligne.

La décision exige de toutes les Parties qu’elles prennent une série de mesures pour s’assurer de mettre un coup d’arrêt à la criminalité en ligne liée à la faune sauvage et rassembler gouvernements, responsables de l’application des lois et sociétés de technologie en ligne dans la mission commune de sauver la faune. IFAW (le Fonds international pour la protection des animaux – www.ifaw.org) se félicite de cette décision qui constitue un énorme progrès dans la lutte pour bousculer le monde souvent sombre et secret de la criminalité en ligne liée à la faune sauvage.

« Nous sommes ravis de cette décision et remercions particulièrement le Kenya qui a mis le sujet sur la table de la CoP à Johannesburg. La criminalité en ligne liée à la faune sauvage est une menace sérieuse pour les espèces en voie de disparition, comme nos recherches le montrent depuis 2004. Cette décision permettra aux gouvernements du monde entier de prendre les mesures les plus strictes pour lutter contre ce fléau », a déclaré Tania McCrea-Steele, Chef de projet international Criminalité en ligne liée à la faune sauvage d’IFAW.

La décision ratifiée au cours de la dernière séance plénière de la CITES permet aux gouvernements de:
Identifier et partager les meilleures pratiques en matière d’application de la loi, notamment en travaillant avec INTERPOL, pour établir des lignes directrices pour les enquêtes;

Permettre aux gouvernements de s’assurer qu’ils ont la législation la plus stricte possible et encourager un engagement accru et partagé du Secrétariat, des gouvernements et des plates-formes de commerce en ligne et de réseaux sociaux pour lutter contre la criminalité en ligne liée à la faune sauvage;

En outre, il appelle à la mise en place d’un atelier sur la criminalité en ligne liée à la faune sauvage qui rassemble à la fois les pays sources, les pays consommateurs, ceux qui hébergent les grandes entreprises du web, les organisations non-gouvernementales expertes, des avocats et tout autre expert compétent pour faire avancer cette question d’ici à la prochaine CoP.

« Cette décision va conduire à une contre-offensive beaucoup plus cohérente contre les criminels qui ciblent la faune sauvage en ligne en permettant une application plus efficace de la loi et une meilleure collaboration avec le secteur commercial, le tout soutenu par une législation plus stricte pour éradiquer cette forme de criminalité. » a déclaré Tania McCrea-Steele.

La proposition sur la lutte contre la criminalité en ligne liée à la faune sauvage a été soumise par le Kenya et a été soutenue à l’unanimité des 183 Parties à la CITES.

Cybersécurité, Justice, loi

Quand le digital défie l’Etat de droit

La révolution numérique bouleverse profondément la technique, les usages, nos modèles économiques mais aussi… le droit. Cette transformation oubliée n’est pas le fruit du hasard. Elle est le fait d’une alliance entre les libertariens californiens, les grandes entreprises de la Silicon Valley et le Gouvernement américain. Ensemble, ils imposent leurs valeurs et leur droit.

Avez-vous lu les CGU (Conditions générales d’utilisation) des services Google, Facebook, Twitter, WhatsApp et consorts ? Ces CGU désignent le plus souvent le droit de l’Etat de Californie comme applicable et le juge californien comme juge du contrat. Jamais le droit français n’est affiché en clair et de manière explicite. Pourtant, la Cour d’appel de Pau a jugé en 2012, dans une affaire impliquant Facebook, que ce genre de clause est illicite, contraire au droit de la consommation. Or, quatre ans plus tard, Facebook maintient cette clause abusive dans ses CGU au mépris du droit et en toute impunité. Car qui a les moyens d’affronter la puissance financière et juridique des géants américains du numérique ? Les États européens eux-mêmes abdiquent et, au mieux, cherchent à négocier plutôt qu’à faire appliquer la loi.

Mais l’auteur va plus loin. Il analyse quatre concepts fondamentaux du droit. Ces quatre concepts sont : la liberté d’expression, la vie privée, les droits d’auteur et la place de l’Etat et de la Loi. Il constate leur glissement vers le droit anglo-saxon.

Les symptômes de cette évolution non démocratique sont des paroles de haine qui se diffusent sans réponse judiciaire efficace dans une Europe en ébullition, un affaissement de la vie privée, des données personnelles sans contrôle, des citoyens épiés chaque seconde par le partenariat NSA et grandes entreprises de la Silicon Valley, l’affaiblissement de la Loi et la dérégulation au profit du contrat.

L’AUTEUR : Me Olivier Iteanu est avocat à la Cour d’Appel de Paris depuis décembre 1988 et est fondateur et dirigeant de la société Iteanu Avocats. Spécialisé dans le droit d’Internet dès l’origine, il a publié le premier livre de droit français sur ce sujet en 1996 chez Eyrolles (Internet et le droit). Il a été président du chapitre français de l’Internet Society de 2000 à 2003 et un des rares européens ayant eu un rôle actif au sein de l’ICANN (autorité mondiale de gestion des noms de domaines). Il est expert en noms de domaine auprès de l’Organisation mondiale de la propriété intellectuelle. 12,90 € / ISBN 978-2-212-11859-9 / Edition Eyrolles.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Sauvegarde

Retour sur le RGPD, le Règlement Général de l’Union Européenne sur la Protection des Données

Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.

RGPD et les données de test : une vulnérabilité critique

L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.

Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :

  • L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
  • L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
  • L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
  • L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.