Archives de catégorie : loi

Communiqué de presse, Cybersécurité, loi, Mise à jour, Patch, Securite informatique

Accompagnement de cybersécurité au profit des structures de santé

3 commentaires

Accompagnement de cybersécurité dans le monde de la santé ! Le ministère des Solidarités et de la Santé annonce la mise en place d’un dispositif national d’appui au profit des organismes concernés par la déclaration des incidents sur les systèmes d’information de santé : la Cellule Accompagnement Cybersecurite des Structures de Santé (Cellule ACSS).

Accompagnement de cybersécurité dans les établissement de santé ! La sécurité numérique est au cœur des préoccupations du ministère des affaires sociales et de la santé. L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : piratage, vols ou détournements de données, blocage des systèmes…

Au regard de l’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé, l’amélioration des actions de prévention et d’assistance portée devient prioritaire. La sécurité des systèmes d’information de santé permet que les données de santé soient disponibles, confidentielles, fiables, partagées et traçables. La protection des données de santé est indispensable pour assurer une meilleure coordination des soins et une prise en charge optimale des patients.

Un portail unique pour déclarer les incidents de sécurité à partir du 1er octobre 2017

A partir du 1er octobre 2017, les structures de santé concernées devront déclarer leurs incidents de sécurité via le portail de signalement des évènements sanitaires indésirables depuis l’espace dédié aux professionnels de santé : signalement.social-sante.gouv.fr

Celles-ci devront signaler toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de leurs systèmes d’information, une altération ou une perte de leurs données et plus généralement ayant un impact sur le fonctionnement normal de l’établissement.

Une cellule d’accompagnement de cybersécurité opérationnelle pour aider les structures de santé

Afin d’apporter un appui et un accompagnement aux organismes concernés par la déclaration de ces incidents, le ministère des solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’ASIP Santé, met en place un dispositif pour traiter les signalements d’incidents de sécurité de leurs systèmes d’information.

L’ASIP Santé est désignée comme le groupement d’intérêt public (GIP) en charge d’apporter un appui au traitement de ces incidents, au travers de la Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS), ouverte le 1er octobre 2017 et placée sous la responsabilité du Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) auprès du secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité (HFDS).

Les objectifs visés par ce dispositif d’accompagnement de cybersécurité vont permettre de :

  • renforcer l’analyse et le suivi des incidents pour le secteur santé ;
  • alerter et informer l’ensemble des acteurs de la sphère santé en cas de menaces ;
  • partager les bonnes pratiques sur les actions de prévention, ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.

Pour ce faire, un portail dédié à l’information et la veille sera également disponible à partir du 1er octobre 2017 à l’adresse suivante : https://www.cyberveille-sante.gouv.fr

Ce portail informera sur l’actualité SSI (Sécurité des Systèmes d’information), les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Il présentera des bulletins de veille sur certaines vulnérabilités logicielles critiques ou des menaces sectorielles, des fiches réflexes et des guides pour répondre à différents types d’incidents. Ce portail mettra également à disposition de la communauté SSI en santé un espace privé pour le partage entre spécialistes de la cybersécurité.

Ce nouveau dispositif national découle de l’article 110 de la loi de santé 2016 qui prévoit, pour les établissements de santé, les hôpitaux des armées, les centres de radiothérapie ainsi que les laboratoires de biologie médicale, l’obligation de signalement des incidents de sécurité de leurs systèmes d’information à compter du 1er octobre 2017.

Chiffrement, Communiqué de presse, Cybersécurité, Justice, loi, Securite informatique

Admission Post-bac (APB) : mise en demeure pour plusieurs manquements

Un commentaire

La Présidente de la CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Mise en demeure ! En 2016, la CNIL a été saisie d’une plainte à l’encontre du traitement « Admission Post-Bac » (APB) dont l’objet est le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat.

La Présidente de la CNIL a décidé en mars 2017 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi « Informatique et Libertés ». Les investigations menées ont révélé plusieurs manquements aux règles gouvernant la protection des données personnelles.

  • S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
  • L’information des candidats sur le portail APB est insuffisante, au regard des exigences de l’article 32 de la loi Informatique et Libertés, s’agissant notamment de l’identité du responsable de traitement, de la finalité du traitement et des droits des personnes.
  • La procédure de droit d’accès ne permet pas aux personnes d’obtenir des informations précises relatives à l’algorithme et à son fonctionnement, notamment la logique qui sous-tend le traitement APB ou le score obtenu par le candidat. En effet, l’article 39 de la loi Informatique et Libertés stipule que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

La CNIL ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations. Cependant, compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine et devait s’accompagner d’une information transparente des personnes.

En conséquence, la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’enseignement supérieur, de la recherche et de l’innovation de se mettre en conformité avec la loi  dans un délai de trois mois. La réforme récemment annoncée du dispositif APB devra donc s’inscrire dans l’objectif d’un strict respect, conformément à cette mise en demeure, de la loi Informatique et Libertés.

Il a été décidé par ailleurs de rendre publique cette mise en demeure compte tenu du nombre important de personnes concernées par ce traitement (853 262 élèves de terminale et étudiants ont formulé au moins un vœu d’orientation sur le site Web APB en 2017 selon le ministère) et de l’impact de celui-ci sur leurs parcours.

Elle rappelle en outre que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction.

Cybersécurité, loi, Mise à jour

Neutralité du net. Qui va payer ? En profiter ?

Neutralité du net ? Aux Etats-Unis, des dizaines d’acteurs, parmi lesquels Google, Facebook ou encore Twitter, ont appelé à la mobilisation ce mercredi 12 juillet en faveur de la neutralité du net, un principe dont l’objectif est de garantir l’accès à internet pour tous et à l’intégralité des contenus, quel que soit le fournisseur d’accès à internet (FAI). Cette journée d’action fait suite à la remise en cause par la FCC (Commission fédérale des communications aux USA) d’un texte adopté par l’administration de Barack Obama concernant le renforcement de cette neutralité du net.

Google, Facebook ou encore Twitter, ont appelé à la mobilisation ce mercredi 12 juillet en faveur de la neutralité du net ! Il existe trois piliers fondamentaux sur lesquels repose internet, et qui sont aujourd’hui des droits, pas seulement des privilèges : la vie privée en ligne, la sécurité et l’accessibilité. Bien que cette dernière soit un principe fondateur, la neutralité du net n’est en revanche pas aussi évidente. Entre les fournisseurs de contenu et ceux d’accès à internet, les arguments pour ou contre sont nombreux d’un point de vue économique. Dans ce contexte, la question aujourd’hui est de savoir qui va payer et qui va en profiter ?

Imaginons par exemple que Google et Facebook soient des constructeurs, et que les FAI soient des entreprises de camionnage qui livrent de la marchandise. Dans ce cas, ces derniers vont effectuer des livraisons sans frais pour le fabricant. Au lieu de cela, ils facturent à chaque consommateur utilisant leurs services un montant forfaitaire mensuel qui leur permet de recevoir des biens ; ces derniers pouvant être lourds et imposants ou petits et légers. Dans cet exemple, les FAI imposent évidemment des coûts bien plus élevés pour la livraison de colis plus volumineux.

En ayant toujours en tête la problématique de la neutralité du net, les fournisseurs de contenu profitent essentiellement de la livraison gratuite de leurs produits, peu importe le type, tout en sachant que les vidéos coûtent plus cher qu’un simple email à délivrer. Les FAI, contre la neutralité du net, veulent être en mesure de leur imposer des frais pour ce service ou bien pour contrôler que la livraison n’impacte pas le réseau. De leur côté, les producteurs de contenu, favorables à cette neutralité, souhaitent qu’internet soit un service gratuit. Bien sûr, il y a également la question du respect de la sphère personnelle : laisser tomber la neutralité du net entrainerait-elle une violation de la vie privée par les FAI ?

A l’heure actuelle, le débat se résume à une bataille entre ceux qui veulent que le contenu soit délivré par internet, et ceux qui se chargent de le faire transiter et qui fournissent des efforts considérables pour en tirer profit. Qui supportera la charge financière pour développer et assurer l’avenir de cette infrastructure critique, vitale pour le fonctionnement de la société et de l’économie ? Ceux qui s’opposent à la neutralité du net devront payer pour l’infrastructure et la diffusion de contenus, tandis que les autres bénéficieront des investissements réalisés par les entreprises de télécommunications. Mais il faut avoir à l’esprit qu’une résolution ne sera adoptée que si le public s’exprime à ce sujet, auprès de l’Arcep par exemple. (Par Vince Steckler, Président Directeur Général d’Avast)

Cybersécurité, Justice, loi

Droit d’accès : Un dentiste n’a pas répondu à la CNIL, le voilà condamné !

La formation restreinte de la CNIL a prononcé une sanction de 10.000 € à l’encontre d’un cabinet dentaire, pour non-respect du droit d’accès et non coopération avec la CNIL.

Droit d’accès : En novembre 2015, la CNIL a reçu une plainte d’un patient ne parvenant pas à accéder à son dossier médical détenu par son ancien dentiste.

Les services de la CNIL ont plusieurs fois interrogé le cabinet dentaire au sujet de cette demande.

En l’absence de réponse de sa part, la Présidente de la CNIL a mis en demeure le cabinet  dentaire de faire droit à la demande d’accès du patient et de coopérer avec les services de la Commission.

Faute de réponse à cette mise en demeure, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre du responsable de traitement.

Après examen du dossier, la formation restreinte de la CNIL a considéré :

  • qu’il y avait bien un manquement au droit d’accès du patient prévu par la loi ;
  • que les obligations déontologiques auxquelles sont soumises les professions médicales, notamment celles liées au secret médical, ne pouvaient justifier au cas d’espèce une absence de communication du dossier médical au plaignant.
  • que le cabinet dentaire avait fait preuve d’un défaut manifeste de prise en compte des questions « Informatique et Libertés » et avait méconnu son obligation de coopération avec la CNIL résultant de la loi.

Compte tenu de l’ensemble de ces circonstances propres au cas d’espèce dont elle était saisie, la formation restreinte a donc décidé de prononcer une sanction pécuniaire de 10 000 euros à l’encontre du cabinet dentaire.

En rendant publique sa décision, elle a souhaité rappeler aux patients leurs droits et aux professionnels de santé leurs obligations.

Chaque année, la CNIL reçoit un nombre significatif de plaintes concernant le droit d’accès à un dossier médical. Près de la moitié des demandes d’accès concernent des médecins libéraux.

Dans ce contexte, il est nécessaire de souligner que chaque professionnel de santé doit mettre en place une procédure permettant de répondre aux demandes faites par le patient d’accéder aux données figurant dans son dossier médical et administratif.

La loi informatique et libertés précise également que les données de santé peuvent être communiquées directement à la personne ou, si elle le souhaite, à un médecin qu’elle aura préalablement désigné (article 43).

Enfin, la communication du dossier médical doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois. A lire, le dossier de la CNIL sur « Comment répondre à une demande de droit d’accès ?« 

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Patch

Règlement eiDAS, 2017 année charniére

Règlement eiDAS : 2017, une année charnière pour l’identification et la confiance numérique.

Grâce au règlement eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques), l’Union européenne se distingue comme la première région mondiale à disposer d’un cadre juridique pour les transactions numériques transnationales visant à renforcer la confiance des échanges électroniques. Cela constitue un défi autant qu’une promesse dans un marché qui rassemble plus de 500 millions d’habitants. La mise en place de l’eIDAS, qui a débuté en 2015 avec une phase d’accompagnement et de précision des modalités d’application de ce règlement, s’échelonnera sur une période de 5 ans.

2017 sera une année charnière, marquée par les premières notifications des schémas d’identités numériques par des Etats membres au sein de l’Union européenne. C’est aussi une année importante pour le développement des services de confiance numérique qualifiés en Europe, le régime de transition cessant dès juillet prochain.

Un des aspects les plus novateurs et aussi des plus attendus du règlement est la possibilité d’accéder à de nombreux services presque partout en Europe, avec la même identité numérique nationale, qu’elle soit publique ou privée à condition que celle-ci soit officialisée par les autorités du pays où elle est actuellement utilisée. Les entreprises pourront également bénéficier de règles communes pour la reconnaissance mutuelle des signatures électroniques, des cachets ou des certificats numériques en s’appuyant sur un réseau de prestataires de confiance qualifiés, permettant de réduire les barrières aux transactions numériques et d’augmenter l’adoption de nouveaux services à travers les frontières.

Le Règlement de la confiance numérique, eIDAS introduit ainsi des bénéfices et des avancées sur le plan national pour presque tous les Etats membres. Un point important car la volumétrie des échanges numérique à l’intérieur des Etats reste pour l’instant largement supérieure à celle des flux transfrontières de l’UE. Concrètement, le dialogue initié par les acteurs économiques nationaux pour s’adapter aux exigences du règlement peut amener des améliorations significatives en particulier dans 4 domaines :

  1. 1.   1. Le renforcement d’une identité numérique nationale pour pouvoir s’authentifier avec fiabilité et signer numériquement
  1.  2. La modernisation de l’architecture des échanges numériques
  1. 3.  3.L’accélération du déploiement des services numériques utilisables. Cette démarche peut aussi favoriser une meilleure complémentarité et des synergies dans l’usage des infrastructures numériques entre secteur public et privé.
  1. 4.  4. La mise en place des signes de reconnaissance d’une confiance qualifiée assurant une garantie pour des échanges électroniques formels, caractéristique essentielle pour que les utilisateurs tirent pleinement avantage des services proposés.

Les citoyens et résidents pourront maintenant bénéficier de la reconnaissance aisée du nouveau label européen de confiance, instauré par le règlement dans le but de signaler les prestataires de services qualifiés. Ce label augmente la transparence du marché et apporte une présomption de valeur légale permettant de s’assurer de la sécurité maximale juridique et technique des échanges réalisés ou des services utilisés.

Les entreprises devront donc disposer de solutions compatibles avec le règlement eIDAS et les actes d’implémentation qui en découlent, afin de se mettre en conformité et ainsi bénéficier de solutions éprouvées.

Si vous souhaitez approfondir le sujet, vous trouverez ci-dessous le communiqué complet proposé par Gemalto : Règlement eIDAS : 2017 l’année charnière pour l’identification numérique

Banque, Chiffrement, cryptage, Cybersécurité, loi, Social engineering

Pirates, rien à déclarer ?

Le service de déclaration des revenus a été lancé le 13 avril dernier, et déjà près de 5 millions de français y ont eu recours. Pratique, rapide et mobile, la déclaration s’effectue en seulement quelques clics et permet même de bénéficier d’un délai supplémentaire ! La version papier devait être déposée au plus tard ce 17 mai, tandis que les citoyens ont jusqu’à la fin du mois, voire début juin en fonction de leur département, pour la soumettre en ligne. Chaque année, de plus en plus de français choisissent cette dernière option. Dans ce contexte, bien que le site officiel du gouvernement soit sécurisé et vise à protéger les informations des internautes, les hackers sont à l’affût de la moindre faille. Ils misent notamment sur la volonté de bien faire des citoyens ainsi que sur la crainte d’être en situation d’impayé avec l’administration fiscale.

Les pirates se donnent beaucoup de mal pour imiter les interactions entre les contribuables et les institutions. Emails frauduleux, fausses pages internet ou encore virus propagés sur les réseaux sociaux, autant de techniques employées pour tenter d’accéder aux données personnelles des citoyens pendant la période de télédéclaration. Le phishing par exemple, ou hameçonnage, consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance afin de lui soutirer des informations cruciales. Profitant que l’administration envoie notamment des emails pour rappeler les dates de soumission des déclarations et informer sur les démarches à suivre, les pirates vont utiliser ce même canal et prétendre qu’il manque un versement et qu’une majoration sera due s’il n’est pas réglé. La technique est imparable, les questions liées à l’argent et au respect de la loi fragilisent toujours les particuliers, par conséquent moins vigilants face à ce type d’emails.

Pour se protéger de telles tentatives de cyberattaque, il existe quelques indices faciles à repérer et des bonnes pratiques à adopter : S’assurer que l’adresse email de l’expéditeur soit bien « dgfip.finances.gouv.fr » et que celle du site internet soit « https://www.impots.gouv.fr« . Même si le format, le logo ou encore les couleurs sont similaires à la page web officielle, cette vérification est primordiale et donne déjà un premier niveau d’information concernant la source ;

Contrôler que le site en question utilise le protocole « https », garantissant ainsi la confidentialité et l’intégrité des données envoyées par le citoyen et reçues du serveur ;

Ne pas répondre aux emails prétendant provenir de la Direction Générale des Finances publiques et qui demandent des identifiants ou des informations bancaires par exemple. L’administration fiscale n’exige en effet jamais ainsi ce type de données de cette façon. Elle le rappelle d’ailleurs sur son site : « pour votre sécurité, ne répondez jamais à un courriel vous demandant vos coordonnées bancaires. » ;

Ne pas cliquer sur les liens contenus dans ce type d’email, ils peuvent renvoyer vers des faux sites derrières lesquels se cachent des hackers qui tenteront de récupérer des données personnelles et des informations bancaires ;

Supprimer tout email supposé frauduleux et mettre à jour le système de protection du terminal utilisé pour optimiser leur détection.

Ces bonnes pratiques semblent simples sur le papier. Néanmoins, il y a encore aujourd’hui trop de victimes de ces hackers qui emploient des techniques toujours plus sophistiquées pour « singer » les communications officielles et parvenir à leurs fins. Il est donc primordial de continuer à sensibiliser les internautes afin qu’ils connaissent les règles de sécurité à adopter pour protéger leurs données et leur argent ! Ce travail d’information est d’autant plus important que le gouvernement cherche à inciter toujours plus de contribuables à effectuer leurs déclarations en ligne, jusqu’à les rendre obligatoires et généralisées dès 2019. (Par Bastien Dubuc, Country Manager, Consumer, chez Avast France)

Cybersécurité, Justice, loi, RGPD

Brexit, ou le déclenchement d’un cyber-risque Européen

Un commentaire

Cyber-risque : A quelques jours du second tour des présidentielles, et tandis que certains candidats affirment leur volonté de quitter l’Union Européenne à l’instar de nos voisins britanniques, les discussions sur les conséquences d’une telle décision sont animées.

Outre la dimension économique, la mise en application par le Royaume-Uni de l’article 50 du traité de l’Union Européenne selon lequel « tout État membre peut décider, conformément à ses règles constitutionnelles, de se retirer de l’Union » marque un nouveau moment d’incertitude en termes de cybersécurité. Le début des négociations pourrait en effet conduire à une hausse des pratiques malveillantes de la part des hacktivistes ainsi qu’à du phishing politique, ce qui suscite naturellement des inquiétudes autour du partage continu des connaissance de sécurité.

Pour Jean-François Pruvot, Regional Director France, chez CyberArk, alors que trop d’entreprises adoptent la politique de l’autruche concernant les potentielles implications de ce basculement, la collaboration cruciale entre les organisations et les membres de l’UE peut pourtant les aider à garder le contrôle :

« Internet est un vaste exutoire où les utilisateurs partagent leurs frustrations, certains pouvant aller jusqu’à y exercer des actes de vengeance. Les réactions suscitées par le Brexit risquent ainsi de conduire à une augmentation des cyberattaques contre nos voisins britanniques. Selon les derniers chiffres publiés par Gemalto, les attaques hacktivistes ont enregistré une hausse de 31 % en 2016. En effet, les gouvernements, media, infrastructures critiques et tout organisme impliqué de près ou de loin dans le Brexit, qu’ils soient en faveur ou contre lui, sont de potentielles cibles d’attaques et doivent donc rester sur le qui-vive ; il suffit d’un individu aux idées politiques ou idéologiques très fortes pour s’emparer de privilèges et causer d’importants dégâts ! Les entreprises peuvent garder une longueur d’avance sur les pirates informatiques engagés en gérant notamment l’accès aux comptes de réseaux sociaux institutionnels. La protection des accès à privilèges permet également d’empêcher les assaillants d’étendre insidieusement leur empreinte initiale à travers les systèmes.

Cyber-risque

Par ailleurs, l’article 50 reste confus pour un grand nombre d’individus en ce qui concerne ses implications et la manière dont nous – consommateurs et entreprises – devons y répondre. Les cybercriminels s’appuyant sur l’incertitude, le Brexit représente une opportunité en or pour nous effrayer et nous inciter à agir. En effet, le mois suivant les résultats du référendum, des chercheurs de Symantec ont identifié une augmentation de 392 % des emails de spam utilisant le terme « Brexit » dans leur objet pour cibler les individus et organisations. Une nouvelle preuve, s’il en fallait, que les entreprises doivent être diligentes et mettre en place les mesures de sécurité appropriées !

Les tentatives de phishing, de cyber-risque, liées à l’article 50 peuvent en effet assurer le succès d’une attaque ransomware ou permettre à un cybercriminel de s’introduire à l’intérieur des défenses périmétriques puis d’installer une base d’opérations au sein du réseau. Le début des négociations autour de la sortie du Royaume-Uni, devrait donc servir de rappel opportun pour éduquer les employés sur les bonnes pratiques relatives aux emails, comme ne pas ouvrir les pièces jointes émanant d’expéditeurs inconnus, ou encore s’assurer qu’ils possèdent les bons outils de sécurité pour empêcher une tentative de phishing.

C’est pourquoi face aux recrudescences d’attaques, les agences d’intelligence britanniques et internationales doivent impérativement rester soudées pour anticiper et stopper toute cyberactivité hostile pouvant émaner d’autres pays. Le Royaume-Uni, ou tout autre nation souhaitant quitter l’Union, doit donc impérativement veiller à ne pas s’isoler au risque de devenir une cible plus attrayante. L’une des meilleures solutions pour que les entreprises gardent le contrôle reste la collaboration cross-secteurs, encourageant ainsi les dirigeants à partager leurs bonnes pratiques et leurs connaissances pour lutter ensemble contre la cybercriminalité. Quelle qu’en soit la nature, les changements d’une telle ampleur sont une vulnérabilité pour les organisations, et l’adaptation à ces paysages à risques doit donc faire partie intégrante de leurs plans. Une problématique qui ne touche finalement pas seulement le Royaume-Uni ou les pays qui envisagent également un « exit » ! A bon entendeur. » (Par Jean-François Pruvot, Regional Director France, chez CyberArk)

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, loi, RGPD

Développement des risques numériques et assurance

Des offres assurance lancées afin de préserver les TPE et PME des conséquences des risques numériques.

Risques numériques – Generali Protection Numérique est une nouvelle offre proposant assistance, réparation et indemnisation aux TPE et PME exposées aux conséquences des cyber-risques. En cas d’incident numérique, l’entreprise couverte bénéficie des services coordonnés de Generali, d’Europ Assistance et d’ENGIE Ineo afin de rétablir son activité. Interlocuteur principal de l’entreprise, Europ Assistance prend en charge le dossier et accompagne le client tout au long de la gestion du sinistre. La réparation et la sécurisation du système informatique attaqué sont confiées à ENGIE Ineo, Generali indemnisant les conséquences matérielles du dommage (équipements, perte d’exploitation, …) ainsi que la responsabilité civile.

Le risque numérique, une menace encore trop sous-estimée par les TPE-PME

41% des TPE et PME touchées par un cyber-incident connaissent une baisse ou interruption de leur activité, révèle une récente enquête IFOP-Generali. Les petites entreprises sont d’autant plus exposées aux cyber-risques qu’ils résultent d’actes informatiques malveillants, c’est-à-dire d’attaques, dont le risque est augmenté par l’imprudence humaine. Pourtant, seule une entreprise sur trois se dit consciente d’être exposée aux risques numériques. « La majorité de petites entreprises ne pensent pas être concernées, déclarent exercer une activité non ciblée, être dans une structure trop petite et bénéficier de protections fiables », explique Régis Lemarchand, membre du comité exécutif de Generali en charge du marché des entreprises. « Pourtant, l’analyse de la fréquence de leurs sauvegardes et les moyens de protection mis en place révèlent un niveau de protection limité. » Les petites et moyennes entreprises représentent d’ailleurs 77% des victimes d’attaques numériques en France.

Des conséquences lourdes pour les données et l’activité des entreprises

Du ransomware à l’espionnage informatique, du vol de données à l’installation insoupçonnée d’un logiciel malveillant, les incidents numériques sont à l’origine de nombreuses complications non seulement pour les entreprises touchées, mais aussi pour les partenaires, fournisseurs ou clients. « Les conséquences sont graves et multiples, pouvant aller jusqu’à l’arrêt prolongé de l’activité, voire même la disparition de l’entreprise. Frais d’expertise informatique et de reconstitution des données découlent fréquemment de ces incidents. Une atteinte à la réputation de l’entreprise peut aussi générer une perte de confiance des clients, très dommageable pour l’entreprise victime », explique Laurent Saint-Yves, responsable Cyber-sécurité d’ENGIE Ineo.

Generali Protection Numérique anticipe par ailleurs un besoin futur des TPE et PME, concernées par le nouveau cadre juridique européen qui entrera en application le 24 mai 2018. Renforçant l’obligation de notification, le règlement général sur la protection des données (RGPD) contraint les entreprises à informer dans un délai de 72 heures les autorités et les personnes physiques dont les données personnelles ont fait l’objet d’une violation. En cas de non-respect, les sanctions financières peuvent aller jusqu’à 4% du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros. Pourtant seules 17% des entreprises interrogées par l’IFOP et Generali déclarent avoir connaissance du RGPD.

Cette assurance prend en charge les dommages et pertes subis, notamment les frais d’expertise et de remédiation, les coûts liés à la reconstitution des données et aux notifications règlementaires mais aussi les pertes d’exploitation et les frais supplémentaires engendrés par l’incident. Les conséquences pécuniaires de la responsabilité civile sont également couvertes, en inclusion de l’offre. Generali Protection Numérique inclut des services dédiés à la résolution des incidents, complétés d’une sécurité financière adaptée à la taille de l’entreprise (TPE-PME).

Au sein de l’offre Generali Protection Numérique, ENGIE Ineo assure l’expertise technique liée à l’incident numérique. « Nos collaborateurs ont développé un savoir-faire reconnu dans les solutions liées à la transition énergétique et numérique », souligne Jean-Louis Marcucci, Directeur général adjoint d’ENGIE Ineo. Les experts d’ENGIE Ineo établissent un diagnostic pour qualifier la nature de l’incident et vérifier le caractère cyber de l’attaque. Puis ils procèdent à l’investigation et collectent les preuves de l’attaque. Ils assurent enfin les prestations liées notamment à la restauration et la reconstitution des données. Les experts mobilisés sont en mesure de collaborer avec les équipes dédiées à l’informatique au sein des entreprises. La garantie temps d’intervention (GTI) pour prendre en charge techniquement le dossier est d’une heure. L’intervention des experts d’ENGIE Ineo permet donc de réduire fortement les conséquences d’un risque numérique avéré et assurer la reprise de l’activité dans les meilleures conditions.

Alors qu’on constate que deux à trois attaques ciblées en moyenne par mois et par entreprise atteignent leur objectif  , le Groupe Saretec, acteur de la prévention et de la gestion des risques, dévoile son offre dédiée au risque cyber. Développée en partenariat avec Exaprobe, expert intégrateur en cyber sécurité, l’offre compte trois volets permettant de couvrir l’intégralité du risque cyber, du pentesting à la réponse à incident en passant par l’évaluation des pertes, la recherche de responsabilités et la formation des équipes.

Une offre modulable en trois temps chez Saretec

« Tout est parti d’un constat pourtant simple : le cyber risque est aujourd’hui géré de façon contractuelle, sans réelle implication des DSI concernées et sans souplesse. Or, nous sommes convaincus que sa complexité nécessite d’être adressée par une approche holistique de type service« , résume Alain Guède, DSI du Groupe Saretec. L’assureur a élaboré une offre en trois briques : avant, pendant et après l’incident Cyber et s’articule en cinq packs : Check, Crise, Réparation, Responsabilité et Sérénité.

AVANT (auditer, prévenir) : un audit du niveau de protection engagé afin de faire correspondre les termes du contrat à la nature et à l’importance des risques encourus.
PENDANT (stopper et expertiser) : l’élaboration d’un plan de réponse à incident pour circonscrire l’attaque dans les délais les plus brefs, en identifiant l’origine, et réparer l’incident.
APRES (réparer et capitaliser) : l’évaluation des dommages (financiers, de notoriété, pertes d’informations, …), la communication de crise, la détermination de la chaîne de responsabilité (juridique et assurantielle) et le retour d’expérience pour réajuster les moyens de prévention.

Lancée pour les PME, les ETI et les grandes entreprises, cette cyber réponse promet aux assurances de maximiser leurs gains dans la mesure où le travail de sécurisation du SI est garanti à la source et limite par conséquent le montant du dédommagement.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde

N’utilisez plus les outils US, Trump va vendre vos informations

Le Congrès Américain vient de donner le feu vert qui permet aux opérateurs télécoms US de vendre vos informations.

Vous utilisez un service Télécom/Internet américain ? Souriez, vos historiques concernant les sites que vous avez visité, les applications que vous avez utilisé, vos recherches dans un moteur de recherche ou encore le contenu de vos mails, santé et data financières pourront être revendues aux plus offrants.

Les fournisseurs d’accès à Internet n’attendent plus qu’une signature du président Trump avant qu’ils ne soient libres de prendre, de partager et même de vendre votre historique 2.0… sans votre permission. La résolution a été adoptée par le sénat, la semaine dernière. Le Président élu Trump n’a plus qu’à finaliser le massacre. Car, comme l’explique The Verge, les FAI le faisaient déjà de manière « discrète », voici une loi qui valide définitivement ce pillage et la revente des informations.

« Les fournisseurs de services comme AT & T, Comcast, etc. pourront vendre les renseignements personnels au meilleur enchérisseur sans votre permission« , a déclaré la représentante Anna Eshoo (D-CA).

Autant dire que les données que les utilisateurs non américains laissent sur des services hébergés par des entreprises de l’Oncle Sam sont purement et simplement en danger de finir dans des mains tierces sans même que vous le sachiez.

Chiffrement, Communiqué de presse, Justice, loi, RGPD

RSSI, un métier qui bouge

La place et la perception de la sécurité du numérique sont en pleine évolution dans les entreprises. La transformation numérique est désormais stratégique pour elles. La conscience des cyber-risques, longtemps négligés par les dirigeants, augmente avec la nécessité de se mettre en conformité avec une réglementation sévère. Bien au-delà du Service Informatique, les cyber-menaces sont désormais des risques économiques, mais aussi d’image pour l’entreprise, touchant la Direction générale, la Direction financière et le marketing. Une vision globale qui fait bouger la fonction de Responsable de la Sécurité des Systèmes d’Information.

Le RSSI conserve bien sûr son rôle technique. Mais il est désormais au cœur d’un dispositif qui l’oblige à « communiquer » avec les métiers, à expliquer les mesures de sécurité adoptées et leurs contraintes. Il doit convaincre la Direction générale, de la nécessité d’investir dans certaines technologies. Le RSSI devient un partenaire et un conseiller pour chaque métier : la sécurité est l’affaire de tous.

La sécurité change de niveau

La culture numérique est inscrite dans la pratique quotidienne des générations des années 2010. La distinction entre les outils de la vie privée et ceux de la vie professionnelle s’estompe. Le RSSI doit adapter son action, devenir plus réactif et plus agile. L’écosystème des solutions de sécurité s’élargit, et avec lui le champ du métier. La mutation est plus qu’amorcée, elle est déjà inscrite, par exemple, dans la pratique des métiers marchands connectés. Le RSSI est devant d’énormes volumes de données complexes dont l’intégrité doit être conservée face aux cyber-attaques. Pour répondre à cette accélération des volumes et à cette complexité, il a besoin de disposer de capacités d’analyses de plus en plus performantes pour traiter et analyser ce que l’on nomme le Big Data. Les outils ont eux-mêmes évolué, intégrant des fonctionnalités plus riches et une souplesse toujours plus grande. Ses responsabilités ont donc très largement augmenté, tout en se diversifiant. Cette expertise très ouverte fait qu’il doit manier des outils qui élargissent son champ d’action tout en lui permettant de se concentrer sur son métier de garant de la sécurité.

Rssi : Des outils qui répondent à l’exigence

Les solutions à sa disposition doivent donc être très performantes tout en restant faciles à utiliser et simples à maintenir. Le SIEM (security information and event management) est l’unique moyen automatisé pour un RSSI de traiter les données des logs générés par le réseau et les outils de sécurité. Tout produit connecté générant des logs, ceux-ci sont collectés, corrélés et analysés pour détecter et bloquer les mouvements suspects ou les attaques et alerter sur les dysfonctionnements. Désormais, les solutions de SIEM agissent en agrégeant les informations internes et externes issues des bases de données de Threat intelligence ou de réputation.

Une plateforme de gestion des informations et des événements de sécurité doit être très flexible pour collecter, analyser et surveiller toutes les données, qu’elles viennent du réseau, des applications, des bases de données, des infrastructures, qu’elles concernent des actifs sensibles, des systèmes industriels ou des systèmes de sécurité.

Rssi : Faire sienne la réglementation

Des obligations comme le Règlement Général sur la Protection des Données ou la Loi de Programmation Militaire imposent en France de mettre en place une solution permettant à l’entreprise de respecter ces règlements, sous peine de pénalités financières. Le RSSI doit anticiper ces obligations, intégrant ainsi dans sa démarche la responsabilité de l’entreprise. Il a besoin de s’appuyer sur des expertises et des solutions qui s’adaptent facilement pour rester en phase avec ses besoins – anticipation des demandes de conformité, défense transparente contre la cybercriminalité et la fraude et optimisation des opérations IT… La tâche n’est pas mince pour relever ce challenge permanent de l’évolution des compétences, des connaissances et des risques. (par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint)