Archives de catégorie : loi

Argent, Arnaque, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, loi, Mise à jour, Particuliers, Piratage, Propriété Industrielle, Sauvegarde, Vie privée

Sécurité numérique et risques : enjeux et chances pour les entreprises

À l’heure de l’omniprésence du numérique et du développement constant de ses spectaculaires potentialités, les entreprises doivent pouvoir compter sur des outils numériques sécurisés. Or, chaque jour, de tous côtés, les exemples de nouvelles vulnérabilités se multiplient.

L’escalade entre les failles découvertes et les parades pour y remédier semble sans fin, d’autant plus que l’origine de ces fragilités réside dans nombre de comportements humains irréfléchis et dans la lenteur de l’indispensable prise de conscience.

Après avoir entendu plus d’une centaine de personnes et analysé en détail les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, l’Office parlementaire d’évaluation des choix scientifiques et technologiques propose d’abord une trentaine de recommandations d’ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l’usage des entreprises qui voudront bien s’attacher à la construction réfléchie et évolutive dont dépend leur future prospérité.

Face à la mondialisation numérique, l’élaboration de solutions se révèle être d’abord individuelle et nationale pour éviter que les entreprises françaises acquiescent elles-mêmes au pillage de leurs données en les offrant en libre-service.

Mme Anne-Yvonne Le Dain, députée, et M. Bruno Sido, sénateur, ont présenté l’étude de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur « Sécurité numérique et risques : enjeux et chances pour les entreprises ».

Le rapport (tomes I et II) est désormais en ligne sur les sites de l’Assemblée nationale et du Sénat au pages de l’OPECST.
– Tome I (rapport) : http://www.senat.fr/notice-rapport/2014/r14-271-1-notice.html
– Tome II (auditions) : http://www.senat.fr/notice-rapport/2014/r14-271-2-notice.html

Argent, Banque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Justice, Leak, loi, Paiement en ligne, Particuliers, Piratage, Vie privée

25 pirates arrêtés dans une opération internationale

Les autorités roumaines ont arrêté vingt-cinq cybercriminels qui s’apprêtaient à s’attaquer aux données bancaires de millions de personnes.

Les pirates présumés agissaient en Roumanie, mais aussi en Belgique, Canada,  Colombie, République dominicaine, Égypte, Estonie, Allemagne, Indonésie, Italie, Lettonie, Malaisie, Mexique, Pakistan, Russie, Espagne, Sri Lanka, Thaïlande, Ukraine, Émirats arabes unis, Royaume-Uni, Etats-Unis. Data Security Breach a appris que la France a été concernée par ce « gang », sans en avoir pour le moment, la confirmation officielle.

Les présumés pirates s’attaquaient aux banques et fabriquaient des clones de cartes bancaires. Ils auraient retiré plus de 15 millions de dollars via des transactions frauduleuses effectués dans 24 pays différents. Si 25 membres de cette équipe ont été arrêtés, il en resterait 27 dans la nature. C’est la Direction des enquêtes sur la criminalité organisée et le terrorisme (DIICOT), le FBI roumain. Pour éviter la détection, les pirates accéléraient le processus en faisant plusieurs petites transactions sur une courte période, généralement le week-end.

En 2013, par exemple, les pirates ont pu retirer 9 millions de dollars via des guichets automatiques situés dans tout l’archipel du Japon. Le 2 décembre 2013, 42000 transactions, via des Distributeurs de billets automatiques, dans 15 villes roumaines différentes, pour un montant de 5 millions de dollars en espèces.

Dimanche 26 avril, les autorités roumaines ont exécuté 42 mandats de perquisition à travers six villes, saisissant des ordinateurs portables, des téléphones mobiles, et 150,000€ en en espèces, des lingots d’or et des peintures. Une opération qui fait suite à l’annonce des services secrets américains à l’encontre de la campagne CyberHeist qui avait permis à des pirates de mettre la main sur 45 millions de dollars en janvier 2013. En mai 2013, 8 pirates (qui semblent liés à gang roumain) se retrouvaient dans les mains de la justice américaine. Ils avaient retiré 2,8 millions de dollars en quelques heures, via des distributeurs de billets de New-York.

Cybersécurité, Justice, loi, Twitter

Quand la propagande tourne au nez rouge

La presse s’est fait l’écho de la fermeture de 9,200 comptes Twitter de djihadistes par Anonymous. Vraiment ?

On a lu un peu partout que le groupe informel Anonymous avait réussi à faire fermer 9,200 comptes Twitter de présumés djihadistes. Une belle action signée Anonymous. Sauf que… Anonymous n’y est pour rien. Derrière cette liste, un site et un internaute anonyme qui en avait marre de voir s’afficher dans le réseau de micro blogging Twitter des images de soldats américains morts. Bilan, il a regroupé des comptes de présumés djihadistes via différents espaces les regroupant eux même de leurs côtés. Le message de XRSone, l’auteur de cette idée, a depuis disparu. La liste des adresses est toujours active via un nouvel espace numérique. Elle affiche plus de 8,908 sites actifs, suspectés d’être pro ISIS. 5,460 ont déjà été fermés par Twitter.

Il y a de forte chance que l’Oncle Sam lui a tapé, gentiment, sur les doigts. Pendant ce temps, les djihadistes ont diffusé les identités d’une centaine de soldats américains. Adresses et photographies mis en ligne pour que ces derniers soient tués « Grâce à l’énorme quantité de données que nous avons obtenues de différents serveurs et bases de données, nous avons décidé de communiquer 100 adresses afin que nos frères résidant en États-Unis d’Amérique puissent s’occuper de vous« . Bref, de la propagande que le Pentagone prend cependant très au sérieux. Les pseudos pirates de l’EI on simplement profité de la langue bien pendue de certains militaires sur Facebook ou encore Twitter. Preuve que lire le guide du bon usage des Médias Sociaux pour les militaires sur le terrain n’est pas un vain mot.

Un guide pour les militaires français
Les médias sociaux sont des plates-formes qui peuvent être collaboratives, de partage et d’échange. Ils offrent des services très variés aux utilisateurs : actualités, mails, chats, blogs, partage de photos, vidéos, géolocalisation, wiki , forum… Les réseaux sociaux font partie intégrante des médias sociaux, ils réunissent des individus autour d’intérêts communs. Le Ministère Français de la Défense a diffusé, il y a quelques temps, un guide à destination des militaires « Notre objectif est de vous aider à utiliser ces médias, à vous poser les bonnes questions avant de publier certains contenus et de vous sensibiliser aux risques potentiels lorsque vous publiez des photos, des vidéos, des informations relatives à une opération, à votre situation personnelle…« 

Un guide à mettre dans toutes les mains, il explique les règles de bon usage, pour un militaire, mais aussi pour les familles. Utiliser les médias sociaux en toute sécurité sans jamais mettre en péril ni le bon déroulement d’une opération, ni votre vie, ni celle de vos camarades ou de votre famille tout en conservant la liberté de surfer sur les réseaux sociaux.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Paiement en ligne, Piratage, Sécurité

Mot de passe inchangé : les sociétés de maintenance responsables

2 commentaires

Pour ne pas avoir formé et informé son client sur la bonne gestion de ses mots de passe, une société de maintenance condamnée en France.

Le site Legalis est revenu, dernièrement, sur l’arrêt de la cour d’appel de Versailles et du tribunal de commerce de Nanterre. Ce dernier a jugé qu’une société en charge de la maintenance informatique d’une entreprise avait pour obligation de sensibiliser son client à la sécurité informatique et à la bonne gestion de ses mots de passe. Le professionnel de l’informatique n’avait pas sensibilisé son client à la nécessité de changer le mot de passe de son PABX (Private Automatic Branch eXchange), un standard  téléphonique informatisé.

Bilan, le tribunal a considéré qu’il y avait une faute par négligence. Le client était dans une situation de grande vulnérabilité en raison d’un mot de passe faible. Tout avait débuté après le piratage d’un loueur de véhicules. Son standard avait été piraté. Le PABX avait été exploité par un pirate après avoir trouvé le mot de passe de ce dernier, un mot de passe usine (0000) qui n’avait jamais été changé. 12,208€ avaient ainsi été perdus par le loueur.

Le tribunal a obligé la société de maintenance à payer la somme. « Il revient à l’utilisateur de gérer la sécurité de son matériel, à condition toutefois qu’il ait été informé de cette nécessité et qu’on lui ait montré comment procéder » indique Legalis. Il incombait au prestataire des missions d’information, d’assistance et de formation ainsi qu’une visite annuelle de vérification de l’état de sécurisation de l’installation téléphonique, et donc de faire changer, régulièrement le dit mot de passe.

Des attaques fréquentes
Début février 2015, des pirates informatiques, spécialisés dans la téléphonie (des phreakers, NDR), avaient utilisé ce fameux mot de passe usine pour piéger le standard de la mairie de Licques. Le pirate avait ensuite permis à des tiers de téléphones vers l’île de l’Ascension, au sud de l’Équateur. En 2013, ce fût la Mairie de Pessac à se retrouver avec une facture de 15.000€. Dans le Nord de la France, l’école de musique municipale d’une ville de la banlieue de Lille se retrouvait, elle aussi, avec une fuite téléphonique dés plus couteuse. Même sanction pour une entreprise du Pays châtelleraudais. Début mars 2015, la société a découvert, via sa facture téléphonique, qu’un malveillant était passé dans ces autocommutateurs afin d’obtenir un accès gratuit au réseau téléphonique. Les Cyber Gendarmes enquêtent.

 

Banque, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Patch, Piratage, Social engineering

Cyber-protection des entreprises : bientôt les vraies questions

Un sujet qui ne les concerne pas. C’est sans doute ainsi que les citoyens, s’ils étaient interrogés, qualifieraient la question des moyens utilisés par les entreprises pour lutter contre les cyber-menaces.

Normal. Après tout – et heureusement – aucun drame de type coupure généralisée de l’électricité revendiquée par des pirates n’est survenu, mettant de facto ce thème aux allures techniques à la une des médias et des préoccupations. Plus de 25 000 sites ont certes été piratés suites aux drames de janvier, mais les autorités ont rapidement calmé les esprits en rappelant qu’il s’agissait d’actes de cyber vandalisme et de communication, non de cyber guerre – aucune donnée n’a été volée, aucun système industriel n’a été détruit. Quelques attaques informatiques ont par ailleurs été médiatisées – celle de Home Dépôt en septembre dernier, puis celle de Sony Pictures, entre autres. Mais pour les citoyens, ces affaires semblent bien éloignées …

Double erreur d’interprétation. D’abord parce ces organisations, comme toutes les autres grandes entreprises, avaient bien sûr déployé la batterie traditionnelle de solutions de sécurité. Simplement, cette dernière ne suffit plus, désormais, pour détecter rapidement une attaque, la comprendre, et en limiter ainsi les impacts – ce sont d’ailleurs les pirates qui ont révélé leurs méfaits à Sony, après plusieurs semaines de vols de données. L’entreprise, elle, n’avait rien vu. Ensuite parce que les organisations françaises ne savent pas exactement dans quelle mesure elles peuvent utiliser les nouvelles techniques d’analyse et de détection faute d’avoir la réponse à une question clef : jusqu’où peuvent-elles aller dans la surveillance de leur réseau tout en respectant la vie privée de leurs employés ? Et cette question, elle, concerne directement tous les citoyens…

Car hélas les attaques les plus visibles sont souvent les moins graves – on l’a vu en janvier. Ce sont celles qui ne se voient pas qui font le plus de dégâts. Or, ce sont justement celles-là que les entreprises sont de moins en moins capables de détecter, pour une raison en simple : une part croissante des flux qui transitent sur leurs réseaux sont chiffrés, c’est-à-dire rendus illisibles par Google, Yahoo et autres géants de la high-tech – un phénomène qui s’est accentué après l’Affaire Snowden. Le problème n’en serait pas un si tous ces flux étaient d’ordre professionnel – dans ce cas, les entreprises ne se poseraient pas la question de savoir si elles peuvent les déchiffrer et les analyser. Elles le feraient, c’est tout. Mais l’infrastructure de nos entreprises est également utilisée par les employés à des fins personnelles, et cela de manière tout à fait légale. Les données échangées et stockées sur les ordinateurs peuvent tout naturellement avoir une composante personnelle, donc confidentielle. Les salariés seraient-ils alors prêts à laisser leur employeur déchiffrer ces traces personnelles – et renoncer ainsi à une partie de leur intimité – pour que leur entreprise puisse mieux se protéger et empêche les pirates d’utiliser les flux chiffrés comme des tunnels d’accès direct, sans péage, à son système d’information ? Sous quelles conditions pourraient-ils l’accepter ? Sur ces sujets la législation aujourd’hui se tait et le débat, d’ordre sociétal autant qu’économique, peine à être lancé.

Le sera-t-il à court terme ? C’est fort probable. Non à l’initiative des entreprises ou des pouvoirs publics – dans le contexte économique actuel, les premières ont en effet d’autres sujets de préoccupation. Les autorités, elles, subissent déjà des polémiques de type – « sécurité vs liberté » – depuis qu’elles travaillent sur l’échange des données des passagers aériens, pour lutter contre le terrorisme. En fait, ce sont plutôt les citoyens eux-mêmes qui pourraient bien mettre la question à l’ordre des débats publics. Aux États-Unis en effet les employés de Sony Pictures ont intenté une action en justice contre l’entreprise pour défaut de protection de leurs données personnelles – ces dernières ayant été volées par les pirates. Ont-ils vraiment conscience de ce qu’impliquerait la mise en œuvre d’une protection plus efficace ? La démarche sera-t-elle répliquée en France ? Nul ne le sait. Mais les débats, c’est certain, ne font que commencer. En échange de moyens accrus pour faire face aux cyber-menaces, indispensables, il faudra bien définir de nouvelles garanties pour les individus. La cyber-protection des entreprises, y a-t-il quelqu’un qui ne se sente pas concerné ? (Par Dominique Loiselet, Directeur France et Afrique francophone de Blue Coat)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle

Google accuse la MPAA de manipuler la justice

Un commentaire

L’affaire du piratage de Sony Picture n’a pas fini de faire les vagues. Il faut dire aussi que les donnés diffusées par les pirates ont de quoi faire sourire, rougir ou mettre très en colère certains acteurs médiatique, comme Google.

Dans les courriers et autres fichiers lâchés sur Internet par le/les pirates, on apprend que la Motion Picture Association of America a manipulé la justice américaine afin que Google supprime de son moteur de recherche les liens permettant de mettre la main sur des liens ou des sites renvoyant sur des contrefaçons. On comprend mieux pourquoi Sony a menacé la presse en indiquant qu’elle n’avait pas le droit de télécharger, lire et utiliser les informations mis en pâture par le/les pirate(s).

Bilan, le New York Times a lu et analysé les documents en question. Le journal a comparé avec les informations légales proposées lors du procès. Bilan, le procureur en charge du dossier, Jim Hood, a tout simplement reçu un courrier des avocats de la MPAA qui lui indiquaient quoi dire et faire.

Google a expliqué sur son blog qu’il n’était pas content et annonce que cette méthode n’était rien d’autre qu’une conspiration à son encontre. « La lettre a été signée par le procureur Wood, mais a été rédigée par un avocat du cabinet Jenner & Block qui travaille pour la MPAA ». souligne le New York Times.

Bref, le monde merveilleux du 7ème art révèle sa véritable facette. Nous sommes à deux doigts de dire merci à ce/ces pirates.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Justice, Leak, loi, Particuliers, Piratage, Propriété Industrielle, Vie privée

Données personnelles, l’Europe s’active…

La très prochaine Réglementation Générale de l’Union Européenne sur la Protection des Données, prévue pour la fin de l’année, concerne toutes les entreprises disposant de bases de données personnelles. Celles-ci auront 2 ans pour se mettre en conformité avec cette nouvelle réglementation. Des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Gouverner, c’est prévoir. Cette maxime doit être complétée par l’évidence qu’il faut, pour anticiper les décisions, disposer de l’information. Toutes les entreprises qui utilisent des bases de données personnelles doivent donc aujourd’hui s’intéresser à la future Réglementation Générale de l’Union Européenne sur la Protection des Données qui verra le jour à la fin de l’année. Avec d’autant plus d’attention que des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Une Réglementation Générale sur la Protection des Données
Soucieuse de renforcer les droits sur la vie privée en ligne, la Commission Européenne a proposé le 25 janvier 2012 une réforme de l’UE 95/46 /CE sur la protection des données, une réglementation déjà vieille de 10 ans. Depuis la mise en œuvre de la directive initiale, les progrès technologiques ont en effet entraîné une modification profonde de la façon de collecter, de rendre accessibles et d’utiliser les données. Une proposition de Réglementation Générale sur la Protection des Données a donc vu le jour. Approuvée par le Parlement Européen en mars dernier, elle est en cours d’adoption par le Conseil de l’Union Européenne et sera effective d’ici la fin de l’année, c’est-à-dire dans un mois, pour entrer en vigueur définitive après une période transitoire de deux ans.

Des conséquences pour tous les résidents de l’Union…
La Réglementation Générale sur la Protection des Données sera applicable si l’entreprise ou le sujet des données – la personne – est installé dans l’Union Européenne. Ce qui est déjà le cas de la Directive actuelle qui soumet les entreprises européennes à des règles beaucoup plus strictes que les entreprises hors UE. Désormais, les entreprises établies en dehors de l’Union Européenne devront obéir aux mêmes normes que les sociétés européennes lorsqu’elles traiteront des données personnelles de résidents de l’UE.

Par donnée personnelle, la Commission Européenne désigne « toute information relative à une personne physique, se rapportant à sa vie privée, professionnelle ou publique. Il s’agit du nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages sur les réseaux sociaux, d’une information médicale ou de l’adresse IP d’un ordinateur. »

Les principales modifications touchent à trois sujets majeurs.
Le droit à effacer des données personnelles
Le droit à l’oubli numérique permettra aux personnes qui veulent maîtriser leur vie en ligne de ne plus avoir de données personnelles stockées, traitées ou accessibles. Tout particulier pourra obtenir qu’elles soient supprimées, à condition qu’aucun motif légitime ne justifie leur maintien.

Chaque utilisateur final aura le droit de transférer des données d’un service à l’autre. D’autre part, les entreprises devront obtenir l’accord des intéressés pour recueillir leurs données personnelles. La non-obtention ou la non-fourniture de ce consentement invalidera le processus. Les entreprises doivent être en mesure de prouver comment les données personnelles sont traitées, recueillies, conservées, accessibles et utilisées. Elles doivent pouvoir produire l’accord explicite qui leur permet de traiter les données en question.

Le Responsable de la protection des données
Les entreprises de plus de 250 salariés seront tenues de nommer un Responsable de la protection des données, dont les coordonnées devront être publiées, pour veiller au respect de la réglementation. En cas de violation des données, il devra informer les organismes de réglementation en fournissant des renseignements détaillés, dans les 72 heures qui suivent la prise de connaissance de l’infraction. Toute action ayant un impact «hostile» devra être notifiée. En conséquence, l’entreprise doit se préparer et prendre les dispositions nécessaires pour fournir les informations détaillées sur les violations de données, aux autorités compétentes, dans le laps de temps autorisé. Ces exigences signifient que l’entreprise doit être capable d’identifier rapidement l’infraction et mesurer l’étendue de la fuite.

Une protection intégrée
Des garanties de protection des données devraient être intégrées dès les premiers développements des produits et des services proposés par les entreprises. Les paramètres par défaut respectant la vie privée devraient devenir la norme, comme par exemple sur les réseaux sociaux.

Des conséquences importantes pour l’entreprise
La Directive en vigueur n’est pas appliquée de la même manière dans tous les pays membres de l’Union Européenne. La nouvelle Réglementation sur la Protection des Données sera, au contraire, mise en œuvre de manière identique dans tous les pays membres. Le fait que ce soit une Réglementation et non une Directive signifie qu’elle sera directement applicable à chaque Etat membre de l’UE.

Le respect de la Réglementation évitera des pénalités financières et d’éventuelles poursuites judiciaires. Des sanctions sont prévues. Etablies en fonction de l’ampleur de la fuite de données, elles peuvent atteindre 2 à 5% du chiffre d’affaires annuel global et aller jusqu’à 100 millions d’euros.

Une grande sévérité pour les entreprises !
Les diverses modifications comme le droit à l’oubli, l’accès facilité pour l’utilisateur à ses propres données, l’accord nécessaire pour pouvoir utiliser ou traiter les données des particuliers, la nomination d’un Responsable à la protection des données, la notification et les informations concernant les flux en cas de violation ainsi que la confidentialité par défaut sont évidemment à inclure dans le plan d’évolution du Système d’Information, et cette nouvelle réglementation, qui a des conséquences importantes sur l’organisation de l’entreprise, doit être mise en place avec attention.
Comment se conformer à cette nouvelle norme ?

La Réglementation Générale sur la Protection des Donnée engendrera des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données. Quant à l’obligation de déclarer toute violation des données, cela nécessite un système actif de surveillance des échanges et des flux de données et un certain nombre de bonnes pratiques.

Un examen approfondi des politiques de sécurité et de protection des données ainsi que des rôles et responsabilités au sein de l’entreprise s’impose. La priorité est un audit pour évaluer les risques et déterminer les actions à entreprendre en fonction des faiblesses propres à l’entreprise sur ce sujet. En second lieu, l’adoption d’une solution de SIEM* est un moyen efficace de contrôler l’accès aux systèmes où sont stockées les données personnelles. Ce type de solution permet aussi de surveiller la sécurité des systèmes et recevoir des alertes quand on y accède. Les logs fournissent en effet une vision complète et exacte de ce qui a été consulté. Il est donc possible d’informer rapidement les organismes de réglementation en cas de violation des données. Il est également possible de configurer des rapports prouvant la conformité à la Réglementation, ce qui aide considérablement les Responsables de la protection des données.

Faire appel à des experts et mettre en place dès 2015 ces nouvelles exigences en matière de sécurité et de conformité s’avère d’ores et déjà une tâche à planifier. On peut bien sûr penser que la mise en œuvre effective de la réglementation étant prévue après une période de deux ans, rien ne presse… Mais l’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. Anticiper est aussi un avantage concurrentiel (voire marketing) pour les entreprises utilisant pour leur métier de gros volumes de données personnelles. (Par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint.)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

Entreprise, Fuite de données, Identité numérique, Leak, loi, Vie privée

Besoin urgent d’étendre les lois obligatoires sur les fuites de données

Le distributeur en ligne américain eBay a annoncé avoir été victime d’une cyber-attaque et a recommandé à tous ses utilisateurs de changer leur mot de passe. Dans un bulletin émis le mercredi 21 mai, l’entreprise a indiqué que certains identifiants appartenant à des employés avaient été volés, donnant aux pirates l’accès à son réseau interne. Le piratage s’est concentré sur une base de données contenant des noms de clients d’eBay, des mots de passe encryptés, des adresses e-mails et des dates de naissance, et ne concerne donc – à priori – pas les informations financières. Selon eBay, l’attaque a eu lieu entre fin février et début mars et aucune activité anormale de la part des utilisateurs ne semble avoir été détectée depuis.

Nous faisons face à un déluge de données volées, et avec un nombre si important de victimes touchées, souvent des millions de clients, il est grand temps d’étendre les lois relatives à la déclaration obligatoire de divulgations de données à tous les secteurs d’activité – et pas seulement pour les fournisseurs d’accès internet ou les opérateurs télécoms. En dépit des recommandations qui sont faites, de nombreuses personnes continuent d’utiliser le même mot de passe pour plusieurs comptes et avec le temps qu’il a fallu pour avertir les clients de l’existence de cette faille, ces derniers ont été exposés à d’importants risques durant toute cette période. En outre, les dommages pourraient continuer de s’étendre. Avec plus 128 millions d’utilisateurs actifs sur le site d’eBay dans le monde, s’il existe ne serait-ce qu’un pourcent d’entre eux qui utilisent le même mot de passe pour différents comptes professionnels, cela signifie que plus de 1 280 000 millions de réseaux d’entreprises sont potentiellement menacés. « Les hackers n’auront pas de mal à identifier les organismes dans lesquels travaillent toutes ces personnes via des sites comme LinkedIn et détermineront leurs prochaines cibles en fonction de leur importance. Il devient donc urgent d’accélérer la mise en place de lois pour que les clients puissent être confiants et assurés que si leurs données tombent entre de mauvaises mains, des mesures seront prises très rapidement pour en limiter l’accès. » explique Jean-Pierre Carlin de chez LogRhythm.

Avec un tel volume de données traitées chaque jour par les entreprises, il est évident qu’il ne s’agit pas une tâche facile. Cela nécessite une surveillance permanente de la moindre activité sur le réseau ainsi que la capacité à comprendre et à considérer ce qu’est une activité « normale ». Un tel niveau d’information permet aux organismes de détecter les menaces en temps réel et d’y remédier en conséquence – non seulement en accélérant le temps nécessaire pour détecter une faille mais aussi celui qu’il faut pour avertir les clients. « Toutes les entreprises ont la responsabilité de protéger les données personnelles de leurs clients autant que possible et c’est seulement grâce à cette capacité à alerter rapidement les utilisateurs d’une éventuelle menace qu’ils pourront à nouveau accorder leur confiance. » termine Jean-Pierre Carlin.

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France.

Pour finir, DataSecurityBreach.rf rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Argent, Cyber-attaque, Cybersécurité, escroquerie, Fuite de données, loi, Vie privée

Rencontre avec les cybergendarmes

Les technologies employées par les pirates informatiques évoluent. Les cybergendarmes tentent de s’adapter aux flots de données que déverse le numérique. Relèvent-ils ce pari 2.0 ? Quels sont leurs outils d’investigation ? Découverte ! C’est dans la caserne d’Arras, au sein du Groupement de la Gendarmerie Départementale (commandé par le Colonel Jérôme Bisognin), que les rédactions de zataz.com et datasecuritybreach.fr ont été invitées à rencontrer les N’Tech, les cybergendarmes du Pas-de-Calais. L’occasion pour les quatre Sherlock Holmes 2.0 de la Cellule d’Investigations Criminelles de nous présenter une partie de leurs outils d’investigations numériques.

 

 

Cybersécurité, Justice, loi

Des mesures renforcées pour la lutte contre la cybercriminalité

2 commentaires

Une nouvelle directive européenne (n° 2013-40/UE du 12 août 2013) relative aux attaques contre les systèmes d’information est entrée en vigueur le 3 septembre 2013. Elle remplace et renforce une décision-cadre du Conseil de l’Union (2005/222/JAI) du 24 février 2005, qui avait déjà pour principal objectif de renforcer la coopération entre les autorités judiciaires des Etats membres grâce à un rapprochement de la législation pénale sanctionnant la cybercriminalité. Donatienne Blin, avocat au département Informatique & réseaux de Courtois Lebel, explique quelles vont être ces nouvelles règles. Les attaques contre les systèmes d’information constituent une menace croissante au sein de l’Union et plus généralement à l’échelle mondiale. Les progrès technologiques permettent aux hackers de construire des méthodes de plus en plus sophistiquées, susceptibles de provoquer des dommages économiques considérables : interruption de l’activité de l’entreprise, perte ou altération de données confidentielles ou personnelles…

L’existence de lacunes et de disparités dans les différentes législations des Etats membres en matière d’attaques contre les systèmes d’information risque d’entraver la lutte contre la cybercriminalité et de ralentir la coopération policière et judiciaire européenne. La directive 2013-40/UE renforce donc les mesures mises en place par la décision-cadre de 2005, avec pour objectif de lutter plus efficacement contre les attaques informatiques au niveau européen. En synthèse, la directive fixe les règles minimales concernant la définition des infractions pénales et les sanctions pénales applicables et améliore la coopération entre les autorités compétentes des Etats membres.

Les infractions pénales mieux définies S’agissant de la mise en place de « règles minimales », on citera :

I – L’adoption de définitions communes s’agissant des éléments constitutifs des infractions pénales suivantes (Art. 3 à 6) :

– accès illégal à un système d’information  – atteinte illégale à l’intégrité d’un système

– atteinte illégale à l’intégrité des données  – interception illégale de ces données ;

II – l’incrimination de la production, de la vente et de l’obtention des outils (programmes) ou dispositifs (code d’accès) conçus pour commettre l’une de ces infractions précitées  (Art.7) ;

III – l’incrimination du fait « d’inciter à commettre » lesdites infractions, d’y participer ou de s’en rendre complice (Art. 8) ;

DSB – le principe de « sanctions effectives, proportionnées et dissuasives » à mettre en place par les Etats membres : des peines d’emprisonnement minimum sont imposées par la directive (Art.9) ;

V – la présence de circonstances aggravantes en cas d’attaque de grande ampleur commise par des organisations criminelles (notamment dans le cas des réseaux dit « zombie »), en cas de préjudice grave, lorsque les attaques sont menées contre une « infrastructure critique » d’un état membre, ou encore en cas d’usurpation d’identité numérique (Art.9) ;

VI – la mise en cause de la responsabilité et la sanction des personnes morales, lorsque les infractions sont commises pour leur compte par toute personne qui exerce un pouvoir de direction (Art.10) ; VII – la responsabilité et la sanction des personnes morales, lorsque « l’absence de surveillance et de contrôle » aura rendu possible l’une des infractions précitées commise pour son compte par ses salariés (Art.10 et 11).

La directive insiste en effet sur le fait qu’il est nécessaire de « garantir des niveaux de protection appropriés contre les menaces et les vulnérabilités pouvant être raisonnablement identifiées » : la responsabilité de la personne morale devra donc être engagée dès lors que celle-ci n’a pas, « de toute évidence », assuré un niveau de protection suffisant contre les cyberattaques commises pour son compte (Considérant 26).

Des dispositions contraignantes pour les entreprises Les dispositions des articles 10 et 11 sont donc particulièrement contraignantes à l’égard des entreprises, à qui il revient d’apporter la preuve de leurs diligences en matière de surveillance et de protection contre les cyberattaques commises par leurs propres salariés.

Pour s’exonérer de leur responsabilité, celles-ci devront donc démontrer cumulativement :

A –  que la vulnérabilité ou la menace ne pouvait pas être raisonnablement identifiée ou anticipée (soit au regard de l’état de l’art, soit au regard des moyens déployés par l’auteur de l’attaque pour dissimuler ses actes au sein de l’entreprise) ;

B – avoir mis en œuvre en interne des mesures préventives, à la fois juridiques (dispositions spécifiques dans la charte informatique par exemple) et techniques (logiciel de surveillance et de contrôle) de protection contre les cyberattaques susceptibles d’être commises par leurs employés.

La coopération entre Etats membres est renforcée S’agissant de la coopération entre Etats membres, la directive prévoit :

A – la mise en place de réseaux de coopération et de partenariat pour permettre l’échange d’informations, destinées à prévenir et à combattre la cybercriminalité ;

B – que les Etats membres doivent désormais disposer « d’un point de contact national opérationnel », et recourir, au niveau européen, au « réseau existant de points de contact opérationnels » (art. 13) ;

C – que ces réseaux devront être disponibles 24h/24 et 7j/7 ; de plus, des procédures pour répondre aux demandes urgentes sous huit heures devront être mises en place par les Etats membres (Art.13).

La France devra transposer les dispositions imposées par cette directive au plus tard le 4 septembre 2015.  Par le Cabinet d’avocats d’affaires français Courtois Lebel pour DataSecurityBreach.fr.