Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Un laboratoire de radiologie perd les dossiers médicaux de 9 300 personnes

Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !

Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.

Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.

Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.

100.000€ d’amende pour Darty à la suite d’une fuite de données via un prestataire

Prestataire de services et fuite de données ! La CNIL condamne à 100.000€ d’amende l’enseigne de magasins spécialisés dans la vente d’électroménager, de matériels informatiques et audiovisuels à la suite de la découverte d’une fuite de données clients via un prestataire de services.

Avez-vous pensé à votre prestataire de services ? La Commission Informatique et des Libertés à, ce 8 janvier 2018, délibéré sur une nouvelle affaire de fuites de données révélée par le  protocole d’alerte du blog ZATAZ. Le lanceur d’alerte avait constaté une fuite de données visant les clients de l’entreprise française de magasins spécialisés Darty. Le courriel envoyé aux clients étant passés par le Service Après-Vente « web » de l’enseigne contenait un url qui pouvait être modifié. Il suffisait de changer le numéro de dossier dans l’adresse web proposé dans le courrier pour accèder aux informations des autres clients. « La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente » explique ZATAZ. Des milliers de messages étaient accessibles. Plus de 900.000 selon le lanceur d’alerte. Heureusement, aucunes données bancaires. Ils étaient accessibles les adresses mails, les numéros de téléphone, les noms, prénoms. De quoi créer des phishings ciblés ! La Commission Informatique et des Libertés condamné DARTY pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients« . Le Règlement Général sur la Protection des Données, le RGPD, sera officiellement en action dès le 25 mai 2018. Voilà un signal fort sur le fait que les entreprises. Contrôlez aussi vos partenaires.

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.

26 % des attaques de ransomwares auraient ciblées les entreprises en 2017

En 2017, 26,2 % des cibles du ransomware étaient des entreprises, contre 22,6 % en 2016. Cette augmentation est due en partie à trois attaques sans précédent contre des réseaux d’entreprise. Ces derniers, WannaCry, ExPetr, et BadRabbit, ont bouleversé à jamais le paysage autour de cette menace, de plus en plus virulente.

2017 marque l’année de l’évolution inattendue et spectaculaire de la menace du ransomware, avec des acteurs malveillants avancés. Ils ciblent des entreprises dans le monde entier au moyen de séries d’attaques destructives à base de vers autonomes, dont l’objectif ultime demeure un mystère. Les derniers en date, WannaCry le 12 mai, ExPetr le 27 juin et BadRabbit fin octobre. Toutes ont exploité des vulnérabilités afin d’infecter les réseaux des entreprises. Ces attaques ont également été visées par d’autres ransomwares. Kaspersky Lab a d’ailleurs bloqué des infections de ce type dans plus de 240 000 entreprises au total.

Globalement, un peu moins de 950 000 utilisateurs distincts ont été attaqués en 2017, contre environ 1,5 million en 2016, la différence s’expliquant dans une large mesure par la méthode de détection (par exemple, les downloaders souvent associés au cryptomalware sont désormais mieux détectés par les technologies heuristiques, par conséquent ils ne sont plus classés avec les verdicts de ransomware collectés par nos systèmes de télémétrie).

Ransomwares, un danger qui plane

Les trois principales attaques, ainsi que d’autres moins médiatisées, notamment AES-NI et Uiwix, ont exploité des vulnérabilités complexes ayant fuité en ligne au printemps 2017 à l’initiative du groupe Shadow Brokers. Le nombre de nouvelles familles de ransomware est en net recul (38 en 2017, contre 62 en 2016), contrebalancé par un accroissement des variantes de ransomwares existants (plus de 96 000 nouvelles versions détectées en 2017, contre 54 000 en 2016). Cette multiplication des modifications reflète peut-être les tentatives des auteurs d’attaques de masquer leur ransomware tandis que les solutions de sécurité deviennent plus performantes dans leur détection.

À partir du deuxième trimestre de 2017, un certain nombre de groupes ont mis fin à leurs activités dans le domaine du ransomware et ont publié les clés nécessaires de décryptage des fichiers. Il s’agit d’AES-NI, xdata, Petea / Mischa / GoldenEye et Crysis. Crysis est réapparu par la suite, peut-être ressuscité par un autre groupe. La tendance croissante à l’infection des entreprises par des systèmes de bureau distant s’est poursuivie en 2017, cette méthode de propagation étant devenue la plus courante pour plusieurs familles répandues, telles que Crysis, Purgen / GlobeImposter et Cryakl.

65 % des entreprises frappées par un ransomware en 2017 indiquent avoir perdu l’accès à une grande quantité voire à la totalité de leurs données. Une sur six parmi celles qui ont payé une rançon n’a jamais récupéré ses données. Ces chiffres n’ont pratiquement pas varié par rapport à 2016. Fort heureusement, l’initiative No More Ransom, lancée en juillet 2016, connaît un grand succès. Ce projet réunit des forces de police et des acteurs du secteur de la sécurité pour pister et démanteler les principales familles de ransomware, afin d’aider les particuliers à récupérer leurs données et de saper l’activité lucrative des criminels.

Menaces internes : les ignorer c’est s’exposer

Face à l’hypermédiatisation des plus grandes menaces informatiques touchant les entreprises au niveau mondial, on peut légitimement penser qu’elles émanent toutes de logiciels de pointe malveillants ou de pirates commandités par des États. Mais si on pose la question à un professionnel de la sécurité, il répondra que la véritable menace est bien plus proche qu’on ne le pense.

Il y a tout juste quelques mois, Verizon et Bupa – deux marques à la réputation mondiale – ont dû faire face à des fuites de données considérables, affectant des millions de clients. Toutefois, dans les deux cas, l’auteur n’était pas extérieur à l’entreprise, mais bel et bien une ressource localisée en interne, possédant un accès autorisé à des données sensibles. Dans le cas de Bupa, un employé mécontent a délibérément divulgué plus de 500?000 dossiers clients en ligne. Pour Verizon, c’était une simple erreur de configuration d’un collaborateur qui a entraîné l’exposition des informations personnelles de plus de 6 millions de clients.

Les entreprises restent focalisées sur les menaces externes

Le défi des menaces internes réside dans la multiplicité des facettes qui les caractérisent et qui rend toute protection complexe. Les employés en interne, les sous-traitants et autres parties prenantes ont souvent besoin d’accéder à des ressources sensibles pour accomplir leur travail.

Il est, de fait, beaucoup plus difficile de se protéger des actes accidentels et malveillants que de mettre ces données en danger. Et même si la menace interne est claire, la majorité des entreprises continuent à la sous-estimer.

Dans une enquête menée au salon de la sécurité Security BSides London, 71 % des professionnels de la sécurité ont indiqué considérer que les entreprises devraient s’inquiéter davantage des menaces internes.

En outre, 47 % des participants ont été jusqu’à dire que les menaces internes/les utilisateurs non éduqués constituent la menace la plus négligée par les entreprises. Près de la moitié des professionnels de la sécurité considèrent que les menaces les plus fortes sont celles provoquées par les États-nations comme la Corée du Nord ou la Russie.

Menace informatique ?

Malgré leurs inquiétudes à l’égard des menaces internes, 92 % des participants reconnaissent que l’industrie dans sa globalité continue de déployer bien plus de ressources pour contrer les menaces externes. Cette approche de type «?château fort?» de la cybersécurité prévaut depuis des années, et les fournisseurs proposent de plus en plus de couches de défense du périmètre pour aider à construire des murailles plus hautes et à creuser des douves plus profondes. Mais quelle est l’utilité de ces défenses si la menace est déjà à l’intérieur??

Dans le cas de l’attaque récente de Verizon, un tiers, qui transférait des données client vers un nouvel espace de stockage Cloud, a commis une erreur de configuration d’accès, ce qui a engendré un accès externe accidentel. Si la menace interne était vue comme un risque réél, elle serait véritablement prise au sérieux. Mais cela ne semble pas être le cas dans la plupart des conseils d’administration. Dans l’enquête Security BSides London, seuls 9 % des interrogés ont indiqué trouver que la direction supérieure de leur entreprise prenait de bonnes décisions pour la stratégie et les dépenses de sécurité.

Menaces internes : comment réduire les risques ?

Comme pour de nombreux problèmes de sécurité, il n’est pas toujours nécessaire d’investir beaucoup pour réduire considérablement la menace. Des investissements stratégiques dans deux domaines essentiels peuvent faire la différence :

Éducation et information : le moyen de défense le plus efficace contre les menaces internes accidentelles réside dans une éducation et une information permettant d’éveiller les consciences. La grande majorité des fuites de données accidentelles ont lieu parce que les employés ne sont tout simplement pas conscients des conséquences de leurs actes. Une formation régulière sur la sécurité des données contribue à réduire les cas de négligence et à s’assurer que les employés réfléchissent avant d’agir dès que des données sensibles sont en jeu. Dans cette optique, il est important de fournir des rappels réguliers pour informer les employés des nouvelles procédures ou technologies de données mises en œuvre.

Une approche de la sécurité plus centrée sur les données

Malheureusement, toutes les menaces internes ne sont pas intentionnelles, comme l’illustre la récente fuite de données de Bupa. Dans ces circonstances, une couche de technologie supplémentaire peut aider à empêcher la fuite de données sensibles. Si l’éducation et l’information ne suffisent pas, les équipes sécurité doivent pouvoir comprendre et visualiser l’utilisation des données, afin de pouvoir repérer rapidement toute activité inhabituelle pouvant indiquer un risque. De plus, des politiques automatiques concernant l’accès aux données, voire qui empêchent les employés de copier, transférer ou supprimer des données sensibles, peuvent aider à contrer les fuites ou actes malvaillants.

Malgré l’accumulation des preuves attestant des risques engendrés par les menaces internes pour les entreprises modernes, les personnes qui décident des dépenses de sécurité restent obstinément focalisées sur les risques externes. Bien que cela représente une source de frustration croissante pour les professionnels de la sécurité, la bonne nouvelle est qu’il n’est pas nécessaire d’investir des fortunes pour améliorer considérablement la protection contre les menaces internes. Des dépenses stratégiques focalisées sur l’éducation et l’information, combinées à des technologies tenant compte des données, peuvent contribuer à décourager les employés les plus malveillants ou insouciants, et à garantir que les données sensibles n’arrivent jamais entre de mauvaises mains. (par Thomas Fischer, Global Security Advocate chez Digital Guardian)

Des sites Internet piratés via l’Internet des objets

Du piratage de site web via des objets connectés. La France est le 21ème pays le plus touché avec 298 hôtes enregistrés dans les 30 derniers jours.

Même si le chiffre ne semble pas énorme, les attaques repérées montre une évolution dans ce type de cyberattaque via des objets connectés. Doctor Web alerte à nouveau sur l’activité du Trojan Linux.ProxyM infectant des terminaux intelligents fonctionnant sous Linux, tels que des caméras de vidéosurveillance et des enregistreurs DVR de vidéosurveillance.

En septembre 2017, les pirates l’ont utilisé pour envoyer du spam, et plus récemment, ils utilisent ses capacités pour pirater des sites web. Selon l’entreprise, la France serait le 21ème pays le plus touché avec 298 hôtes enregistrés au cours des 30 derniers jours.

Objets connectés

Linux.ProxyM est un logiciel malveillant qui lance sur un appareil contaminé un serveur proxy SOCKS. C’est en utilisant ce proxy que les criminels peuvent agir de manière anonyme. Il existe des builds de ce Trojan pour les architectures x86, MIPS, MIPSEL, PowerPC, Superh, ARM, Motorola 68000 et SPARC. En d’autres termes, Linux.ProxyM peut contaminer n’importe quel appareil sous Linux, y compris les routeurs, boîtiers décodeurs, des caméras de surveillance, des enregistreurs DVR, et autres équipements.

Au mois de septembre, les analystes ont découvert que les malfaiteurs envoyaient plus de 400 messages spam par jour depuis chaque dispositif contaminé en utilisant Linux.ProxyM. Leurs messages contenaient des publicités pour des sites pour adultes et des services financiers douteux. Par la suite, les cybercriminels ont commencé à utiliser l’Internet des objets pour la propagation de messages de phishing. Ces messages étaient envoyés au nom de DocuSign, le service permettant de télécharger, consulter, signer et suivre le statut des documents électroniques.

Une faille de sécurité dans la gamme Smart Home de LG

Découverte d’une vulnérabilité baptisée HomeHack dans les appareils intelligents LG SmartThinQ. Des objets connectés pour la maison qui peuvent être contrôlé, à distance, par des personnes non autorisées.

Les vulnérabilités de l’application mobile et du Cloud LG SmartThinkQ ont permis à l’équipe de recherche de Check Point de se connecter à distance à l’application dans le Cloud SmartThinQ, de prendre le contrôle du compte LG légitime de l’utilisateur, et de prendre le contrôle de l’aspirateur et de sa caméra intégrée. Une fois le compte LG d’un utilisateur spécifique piraté, tout appareil LG associé à ce compte pourrait être contrôlé par le pirate, y compris les robots aspirateurs, les réfrigérateurs, les fours, les lave-vaisselle, les machines à laver et les climatiseurs.

La vulnérabilité HomeHack fourni aux hackers la possibilité d’espionner les activités personnelles des utilisateurs via la caméra vidéo du robot aspirateur Hom-Bot, qui envoie une vidéo en direct à l’application LG SmartThinQ associée, dans le cadre de sa fonction HomeGuard Security. Selon les appareils LG présent au domicile de leur propriétaire, les pirates pourraient également éteindre ou mettre en marche les machines à laver la vaisselle ou le linge.

« À mesure qu’un nombre croissant d’appareils intelligents sont utilisés à domicile, les pirates cesseront de cibler des appareils individuels pour pirater les applications contrôlant des réseaux d’appareils. Les cybercriminels auront ainsi encore plus d’opportunités d’exploiter les failles des logiciels, de perturber le domicile des utilisateurs et d’accéder à leurs données confidentielles, » déclare Oded Vanunu, head of products vulnerability research chez Check Point. « Les utilisateurs doivent prendre conscience des risques liés à la sécurité et la confidentialité lorsqu’ils utilisent leurs objets connectés, et il est essentiel que les fabricants se concentrent sur la protection des appareils intelligents contre les attaques, en mettant en place une sécurité robuste lors de la conception des logiciels et des appareils. »

Les vulnérabilités de l’application mobile SmartThinQ ont permis aux chercheurs de Check Point de créer un faux compte LG, puis de l’utiliser pour prendre le contrôle du compte LG légitime d’un utilisateur, et contrôler à distance ses appareils LG intelligents. Check Point a communiqué la vulnérabilité à LG le 31 juillet 2017, conformément à sa politique de communication responsable. LG a corrigé les problèmes signalés dans l’application SmartThinQ fin septembre. « Heureusement, LG a fourni un correctif de qualité pour empêcher l’exploitation des vulnérabilités dans son application et ses appareils SmartThinQ, » ajoute Oded Vanunu.

Correction et communication

« Dans le cadre de la mission de LG Electronics d’améliorer la vie des consommateurs dans le monde entier, nous élargissons notre gamme d’appareils ménagers intelligents de nouvelle génération, tout en privilégiant le développement de logiciels sûrs et fiables, » déclare Koonseok Lee, Manager of Smart Development Team, Smart Solution BD, chez LG Electronics. « En août, LG Electronics a fait équipe avec Check Point Software Technologies pour lancer un processus avancé de détection des problèmes de sécurité, et a immédiatement commencé à corriger les programmes. Le 29 septembre, le système de sécurité utilisait la version mise à jour 1.9.20 sans aucun problème. LG Electronics prévoit de continuer à renforcer ses systèmes de sécurité logicielle, et travailler avec des fournisseurs de solutions de cybersécurité tels que Check Point pour protéger les objets connectés et les rendre encore plus pratiques. »

Pour protéger leurs appareils, les utilisateurs de l’application mobile et des appareils LG SmartThinQ doivent s’assurer de disposer des toutes dernières versions logicielles sur le site web de LG. Check Point conseille également aux consommateurs de prendre les mesures suivantes pour protéger leurs appareils intelligents et leurs réseaux Wifi personnels contre les intrusions et la prise de contrôle à distance.

Mise à jour

Mettre à jour l’application LG SmartThinQ vers la dernière version (V1.9.23). Vous pouvez effectuer la mise à jour de l’application via Google Play Store, Apple App Store ou via les paramètres de l’application LG SmartThinQ. Mettre à jour les appareils physiques vers la dernière version. Vous pouvez le faire en cliquant sur le produit dans le tableau de bord de l’application smartThinQ (un message contextuel vous prévient si une mise à jour est disponible)

La gamme d’appareils intelligents et de solutions de sécurité SmartThinQ de LG permet aux utilisateurs de surveiller et de gérer leur domicile depuis un smartphone. Les ventes du robot aspirateur Hom-Bot ont dépassé 400 000 unités durant la première moitié de 2016. En 2016, 80 millions d’appareils intelligents pour la maison ont été expédiés dans le monde entier, soit une augmentation de 64 % par rapport à 2015.

Projet de loi relatif à la protection des données personnelles

La garde des Sceaux, ministre de la justice, Nicole Belloubet a présenté aujourd’hui le projet de loi relatif à la protection des données personnelles qui adapte au droit de l’Union européenne la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce projet de loi est le fruit d’un travail étroit avec le Secrétaire d’État au numérique, Mounir Mahjoubi. Il transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680), qui entrera en vigueur en mai prochain. Il comporte plusieurs avancées majeures.

D’une part, il crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne. Il instaure également de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles. Ce cadre juridique sécurisé permettra ainsi de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles.

D’autre part, conformément à la volonté du Gouvernement de simplifier les normes et d’éviter la sur transposition des textes européens, ce projet de loi simplifie les règles auxquelles sont soumis les acteurs économiques tout en maintenant un haut niveau de protection pour les citoyens. Il remplace ainsi le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement. En responsabilisant les acteurs, il consacre également de nouvelles modalités de régulation et d’accompagnement des acteurs, au travers d’outils de droit souple. En contrepartie, les pouvoirs de la CNIL sont renforcés, et les sanctions encourues sont considérablement augmentées et portées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

La protection des données personnelles

Le Gouvernement a toutefois fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les mineurs de moins de 16 ans seront également mieux protégés. Le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux.

S’agissant des traitements de données à caractère personnel en matière pénale, le projet de loi renforce les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de certains droits tels que les droits d’accès, de rectification et d’effacement des données. Il introduit également des règles encadrant les transferts de données à des Etats tiers.

Le Gouvernement a enfin fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique.

Android et macOS, des cybercriminels s’invitent dans des applications

Découverte de deux nouvelles menaces, l’une agissant sous macOS et l’autre sous Android. Le malware sous macOS a fait 1 000 victimes. Quant à la menace sous Android, plus de 5 500 téléchargements ont été effectués.

Un malware s’invite dans les macOS. Si son impacte est encore légére, la cyberattaque présage un avenir plus mouvementé pour les utilisateurs de Mac et Android. Selon les chercheurs de l’éditeur d’antivirus ESET, une application créée par l’éditeur Eltima a été infiltrée par des pirates. Mission, diffuser un code malveillant. Environ 1 000 utilisateurs, clients de l’éditeur de solutions de sécurité informatique, auraient été infectés par le kit OSX/Proton, disponible sur les marchés underground.

Les applications Elmedia Player (lecteur multimédia) et Folx® (gestionnaire de téléchargement) sont concernées. OSX/Proton est une backdoor qui possède de nombreuses fonctionnalités et permet de récupérer, par exemple, les détails de l’OS comme le numéro de série de l’appareil, nom complet de l’utilisateur actuel ; les informations provenant des navigateurs : historique, cookies, marque-pages, données de connexion. Un outil qui vise à collecter des informations sur les portefeuilles de cryptomonnaie pouvant être disponible sur les appareils infiltrés. Proton exfiltre aussi le trousseau macOS grâce à une version modifiée de chainbreaker ; la configuration du VPN Tunnelblick ainsi que les données GnuPG (chiffrement de mails) et de 1password (gestionnaire de mots de passe).

Cryptomonnaie : une version compromise de Poloniex sur Google Play

Avec plus de 100 cryptomonnaies au compteur, Poloniex est l’un des principaux sites d’échange de cryptomonnaie au monde. Les cyberpirates ont profité du fait qu’il n’y ait pas d’application officielle de Poloniex pour développer deux versions malicieuses. En plus de récolter les identifiants de connexion à Poloniex, les cybercriminels incitent les victimes à leur accorder l’accès à leur compte Gmail. Les pirates peuvent ensuite effectuer des transactions depuis le compte de l’utilisateur et effacer toutes les notifications de connexions et de transactions non autorisées depuis la boîte de réception. La première des applications malveillantes se nomme « POLONIEX » et a été installée 5 000 fois, malgré les avis négatifs. La deuxième application, « POLONIEX EXCHANGE », a été téléchargée 500 fois avant d’être retirée du Google store.

Plus d’une entreprise française sur cinq ne sera pas en conformité avec la réglementation RGPD en mai 2018

Alors que 78% des entreprises françaises redoutent un vol de données dans l’année à venir, une étude révèle un manque de préparation général à 6 mois de l’entrée en vigueur de la réglementation RGPD.

La société Proofpoint, entreprise spécialisée dans la cybersécurité, indique que les entreprises ne seront pas prêtes pour mai 2018 et la mise en place du Règlement Général sur la Protection des Données (RGPD). Une étude paneuropéenne (Royaume-Uni, France, Allemagne) a analysé le niveau de préparation des entreprises en prévision de l’entrée en vigueur du nouveau règlement. Et il n’est pas bon !

Commanditée par Proofpoint et intitulée « RGPD : entre perception et réalité », cette étude révèle un décalage évident entre perception et réalité en ce qui concerne le niveau de préparation des entreprises par rapport au nouveau règlement RGPD. Alors que 44% des entreprises européennes pensent qu’elles sont déjà en conformité avec la réglementation et que 30% pensent qu’elles le seront au moment de son entrée en vigueur, seules 5% auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Vol de données : la nouvelle norme

Les cyberattaques sont malheureusement devenues monnaie courante pour les entreprises qui doivent désormais intégrer pleinement les risques associés à leurs stratégies de sécurité pour se protéger. A l’image du piratage d’Equifax exposant les données personnelles de plus de 145 millions de citoyens américains ou du ransomware Wannacry ayant affecté plus de 200,000 ordinateurs dans 150 pays, tout le monde est concerné.

La France, semble particulièrement affectée, avec 61% des entreprises françaises qui déclarent avoir subi un vol de données personnelles durant les deux années écoulées (54% au Royaume Uni et 56% en Allemagne) et 78% d’entre elles qui redoutent un vol de données dans les 12 mois à venir (54% au Royaume-Uni et 46% en Allemagne).

Niveau de préparation RGPD : un décalage évident entre perception et réalité

Si les décideurs IT français semblent mieux préparés que leurs voisins (51% des répondants français pensent que leur organisation est déjà en conformité avec la réglementation RGPD, contre 45% au Royaume-Uni et 35% en Allemagne), l’étude révèle que plus d’une entreprise française sur cinq (22%) ne sera toujours pas en conformité avec la réglementation lors de son entrée en vigueur en mai 2018 (23% au Royaume-Uni et 34% en Allemagne). Un résultat finalement peu surprenant, considérant que seules 5% des entreprises auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Les décideurs IT semblent pourtant conscients des enjeux, puisque 66% des répondants confient que leur budget a augmenté en prévision de l’entrée en vigueur de RGPD. Plus de sept entreprises sur dix en Europe ont par ailleurs monté des équipes projet dédiées RGPD et plus d’une sur quatre a désigné un responsable de la protection des données. A l’épreuve des faits, et alors que les entreprises avaient deux ans pour se préparer (adoption de la réglementation en avril 2016), seuls 40% des répondants révèlent que leur organisation a rempli un formulaire de mise en conformité RGPD.

Des méthodes de préparation différentes

Le règlement RGPD n’imposant pas de processus standard et uniforme pour se mettre en conformité, l’étude révèle des disparités en ce qui concerne les méthodes de préparation et la mise en œuvre de technologies en ligne avec la réglementation. Par exemple, 58% des décideurs IT français (56% au Royaume-Uni et 47% en Allemagne) confient avoir déjà mis en place des programmes internes de sensibilisation sur la protection des données, 49% ont défini des niveaux d’accès utilisateurs pour les systèmes de traitement des données (44% au Royaume-Uni et 34% en Allemagne), et 44% ont déjà des technologies de cryptage des données en place (46% au Royaume-Uni et 25% en Allemagne).

En outre, seule une entreprise française sur deux (55%) semble avoir déjà identifié quelles données personnelles sont en sa possession et comment elles sont traitées (contre 50% au Royaume-Uni et 42% en Allemagne). Ce résultat semble démontrer que même si certaines entreprises mettent en place des stratégies et reconnaissent l’importance de se mettre en conformité avec la RGPD, un nombre significatif d’organisations courent toujours le risque de ne pas savoir où seront leurs données à l’entrée en vigueur de la réglementation.

Conséquences de la non-conformité

Au vu de la complexité de la réglementation RGPD, de nombreuses entreprises envisageraient de se contenter de limiter leur exposition au risque plutôt que de viser une pleine conformité. Pourtant, cette non-conformité pourrait coûter cher aux entreprises. Les amendes prévues peuvent atteindre jusqu’à quatre pour cent du chiffre d’affaires annuel ou 20 millions d’euros. Au-delà des amendes, la non-conformité représente également un risque important de perte de confiance des clients et de perte de revenus.

Certaines entreprises envisagent déjà les risques associés à la non-conformité, puisque 36% des décideurs IT français (48% au Royaume-Uni et 47% en Allemagne) déclarent que leur entreprise est financièrement préparée à couvrir les amendes. D’autres prévoient plutôt un transfert de risque, avec 22% des répondants français révélant que leur entreprise est couverte par une cyber assurance en cas d’attaque informatique (24% au Royaume-Uni et 27% en Allemagne).

« Un vent d’optimisme semble souffler dans les entreprises puisque qu’il existe un décalage notable entre perception et réalité en matière de préparation à la réglementation RGPD », explique Vincent Merlin, Directeur Marketing EMEA et APJ chez Proofpoint. « A moins de 6 mois de l’entrée en vigueur du nouveau règlement, il devient pourtant urgent d’investir dans des solutions permettant de savoir précisément où sont les données, de mettre en place les contrôle de sécurité nécessaires et de surveiller et réagir à toute tentative de vol de données ».