Archives de catégorie : Base de données

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Piratage, Securite informatique

Fuites massives via Salesforce : l’effet domino des applis tierces

Une série d’attaques de phishing exploitant l’intégration entre Salesforce et l’appli Drift expose de grandes entreprises mondiales à des fuites massives de données clients et à des poursuites judiciaires.

Ces derniers mois, Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont signalé des violations de données liées à l’usage d’une application tierce connectée à Salesforce. Le gang ShinyHunters est accusé d’avoir détourné des jetons OAuth de la plateforme Drift Salesloft pour siphonner des informations sensibles de bases CRM. Noms, emails et numéros de téléphone ont circulé, exposant clients et employés à un risque élevé de phishing. Plusieurs victimes poursuivent Salesforce en Californie, estimant que l’éditeur n’a pas garanti une protection suffisante. Cette affaire illustre les failles critiques de la cybersécurité dans la chaîne d’approvisionnement logicielle.

Une faille exploitée dans l’écosystème Salesforce

Au printemps, une vague d’attaques a visé l’intégration entre Salesforce, leader mondial du CRM, et Drift Salesloft, une plateforme d’automatisation marketing. Ce connecteur permet aux entreprises de synchroniser conversations clients et données commerciales. Les cybercriminels du groupe ShinyHunters ont exploité les jetons OAuth de Drift, normalement destinés à authentifier des applications, pour interroger les bases Salesforce de leurs cibles. Ils ont ainsi accédé à des objets tels que Cases, Accounts, Users et Opportunities. Ces requêtes leur ont permis de récupérer des informations identifiantes comme adresses mail, numéros de téléphone et identifiants internes.

Selon Google Threat Intelligence Group (GTIG), il ne s’agissait pas d’une faille structurelle de Salesforce mais bien d’un abus des droits accordés par l’appli tierce. Une fois alerté, Salesforce a retiré Drift de son AppExchange et conseillé de désactiver l’intégration. L’entreprise insiste sur le fait que ses clients non-utilisateurs de Drift ne sont pas concernés.

Des multinationales contraintes de notifier des fuites

La liste des victimes reflète l’ampleur du problème. Constructeur automobile, compagnies aériennes, assureurs, groupes de luxe et distributeurs de mode ont été touchés. Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont confirmé des incidents. Tous ont dû notifier des clients exposés à la perte de données. Le Service Veille de ZATAZ a d’ailleurs remarqué que le compte Telegram de ceux qui s’annonçaient comme les auteurs de ces infiltrations a été fermé. L’espace affiche un message laconique « fermé pour non respect des règles« .  La justice est-elle passée par là ?

Les informations volées n’ont pas l’ampleur de numéros de cartes bancaires ou de mots de passe, mais elles suffisent à alimenter des campagnes de phishing ciblé. Les cybercriminels peuvent désormais usurper des identités, exploiter des mails professionnels crédibles ou orchestrer des fraudes au président. Cette réutilisation des données accentue le risque de compromission secondaire, souvent plus destructeur que la fuite initiale.

Le gang ShinyHunters, actif depuis plusieurs années, a revendiqué de nombreuses campagnes similaires. Entre mai et août, il aurait lancé des centaines d’attaques contre des organisations connectées à Salesforce par Drift, industrialisant l’usage frauduleux de jetons OAuth.

Procès en Californie et question de responsabilité

Au-delà du volet technique, le scandale devient juridique. Une quinzaine de plaintes ont été déposées en Californie contre Salesforce. Plusieurs cherchent à obtenir le statut de recours collectif. Les plaignants accusent l’éditeur de n’avoir pas pris les mesures suffisantes pour sécuriser l’accès aux données, malgré sa position dominante sur le marché du CRM.

Salesforce réfute ces accusations et insiste sur l’absence de vulnérabilité directe dans sa plateforme. L’entreprise renvoie la responsabilité vers la connexion tierce. Les victimes rétorquent que l’éditeur aurait dû mieux contrôler les applications autorisées sur son marketplace et sécuriser les processus d’intégration.

Cette affaire illustre la zone grise de la cybersécurité en chaîne d’approvisionnement. Lorsqu’un maillon externe est compromis, la responsabilité du fournisseur principal reste floue. Or, pour des entreprises dont la valeur repose sur la confiance client, l’impact réputationnel est immédiat.

Base de données, Cybersécurité, Entreprise, Securite informatique

Data Act : nouvelles règles européennes dès le 12 septembre 2025

À partir du 12 septembre 2025, le Data Act entre en application. Ce règlement européen bouleverse l’accès, le partage et la portabilité des données, avec des enjeux clés en cybersécurité.

Le Data Act, règlement européen adopté en 2023, deviendra pleinement applicable le 12 septembre 2025. Son objectif : redonner aux utilisateurs, particuliers comme professionnels, le contrôle des données générées par les objets connectés et services numériques. Le texte impose aux entreprises de garantir un accès simple, gratuit et lisible aux données, d’assurer la portabilité entre prestataires de cloud et de revoir leurs contrats selon des clauses équitables (FRAND). En cas d’urgence publique, les autorités pourront exiger certains accès, tandis que les demandes étrangères seront strictement encadrées. Les sanctions atteignent 20 M€ ou 4 % du chiffre d’affaires mondial. Les acteurs du numérique doivent adapter leurs systèmes, contrats et produits sans délai.

Accès et partage des données

Le principe fondateur du Data Act repose sur l’accès généralisé aux données issues des objets connectés. Les utilisateurs, qu’ils soient particuliers ou entreprises, pourront consulter et réutiliser les données qu’ils produisent. Les fabricants et fournisseurs de services associés auront l’obligation de les mettre à disposition gratuitement, dans des formats structurés et interopérables. L’utilisateur pourra également décider de partager ces informations avec un tiers de son choix, sans restriction contractuelle. Cette évolution vise à rééquilibrer les rapports de force dans l’économie des données, où les détenteurs d’infrastructures ont jusqu’ici concentré l’essentiel de la valeur et du contrôle. Pour la cybersécurité, la multiplication des flux de données soulève toutefois des défis : garantir un accès sécurisé, tracer les transmissions et prévenir les usages abusifs.

Les relations contractuelles entre entreprises devront s’aligner sur une grille équitable. Le règlement impose des conditions dites FRAND (Fair, Reasonable and Non-Discriminatory). Les clauses jugées abusives sont interdites, et une présomption de non-discrimination s’applique désormais. L’objectif est d’empêcher qu’un acteur dominant n’impose unilatéralement des conditions défavorables à ses partenaires. Cela concerne directement les licences de données, les CGV et les accords de prestation liés au cloud. La Commission prévoit de publier des modèles contractuels types pour guider les entreprises. Pour les directions juridiques, c’est un chantier majeur : sécuriser les engagements, anticiper les litiges, et intégrer dès aujourd’hui une logique de partage contrôlé. En arrière-plan, cette normalisation contractuelle vise aussi à limiter les risques d’exploitation économique des données sensibles.

Portabilité et changement de prestataire

Le Data Act introduit un droit effectif à la portabilité des données. Les utilisateurs pourront changer de fournisseur de cloud, SaaS ou IaaS sans supporter de coûts supplémentaires. La migration devra être techniquement possible en 30 jours maximum. À partir de janvier 2027, les frais liés à cette opération seront totalement interdits. Cette mesure ouvre le marché et renforce la concurrence entre prestataires, souvent critiqués pour leurs pratiques de verrouillage. Elle oblige les acteurs à développer des interfaces standardisées et documentées pour faciliter le transfert. Sur le plan cyber, la portabilité massive accroît l’exposition : plus de mouvements de données signifient plus de vecteurs potentiels pour les attaques. Les équipes techniques devront intégrer chiffrement, journalisation et protocoles robustes pour limiter les risques.

Le Data Act impose aux entreprises une refonte de leurs systèmes et contrats. Les obligations techniques, juridiques et organisationnelles exigent une adaptation rapide. La question centrale reste : les mécanismes de portabilité et de partage seront-ils compatibles avec un niveau élevé de cybersécurité ?

Le Data Act s’applique dès septembre 2025. Accès, portabilité et contrats : un tournant européen majeur aux forts enjeux cyber et économiques.

backdoor, Base de données, Cybersécurité, Entreprise, RGPD, Securite informatique

Breach Salesloft Drift : Cloudflare, Zscaler et Palo Alto touchés

Un piratage via l’intégration Salesloft Drift-Salesforce a compromis plusieurs géants de la cybersécurité. Des tokens OAuth volés ont ouvert l’accès à des données sensibles.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Un acteur malveillant a exploité une faille dans l’intégration Salesloft Drift-Salesforce pour siphonner des tokens OAuth et refresh. L’attaque, détectée en août 2025, a touché des entreprises majeures, dont Cloudflare, Zscaler et Palo Alto Networks. Les données volées incluent identités, contacts, contenus de support et même des identifiants de services critiques. L’incident interroge sur la sécurité des intégrations SaaS et l’exposition croissante des chaînes logicielles.

Un piratage sophistiqué ciblant les intégrations Salesforce

Entre le 8 et le 18 août 2025, un groupe baptisé UNC6395 a exploité l’intégration entre Salesloft Drift et Salesforce pour dérober massivement des tokens OAuth. Ces jetons permettaient d’accéder directement à des environnements Salesforce, ouvrant un accès sans authentification supplémentaire à de multiples données.

Les tokens, une fois volés, ont servi à exfiltrer des informations sensibles de plusieurs clients Salesforce. Parmi les organisations ciblées figurent des acteurs critiques du secteur cyber, dont Zscaler, Cloudflare et Palo Alto Networks. D’autres éditeurs comme Tanium et SpyCloud figurent aussi sur la liste des victimes confirmées.

Les attaquants ont ciblé les champs de support et les données clients stockées dans Salesforce. Selon les premières analyses, l’accès concernait à la fois des informations personnelles (noms, emails, numéros de téléphone) et des données techniques ou organisationnelles (clés AWS, tokens Snowflake, identifiants internes). Google Threat Intelligence Group (GTIG) attribue cette campagne à UNC6395, tout en soulignant l’absence de preuves solides reliant l’opération au collectif ShinyHunters, pourtant prompt à revendiquer la responsabilité.

 

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Des données sensibles exposées chez les leaders de la cybersécurité

Chez Cloudflare, les assaillants ont pu consulter des tickets de support, comprenant noms, coordonnées de clients et contenus des échanges. Certaines informations techniques soumises par des utilisateurs, comme des logins, ont également été exposées.

Zscaler a confirmé le vol de données relatives aux licences produits, aux postes occupés par ses clients et aux numéros de téléphone professionnels. Les échanges de support, parfois détaillés, faisaient partie du lot.

Chez Palo Alto Networks, les intrusions ont permis d’accéder aux données de comptes de vente internes, ainsi qu’à certains cas de support contenant des informations sensibles.

L’ampleur exacte du volume exfiltré n’a pas été chiffrée publiquement, mais plusieurs entreprises reconnaissent la possibilité que des credentials techniques aient été compromis. Salesforce a de son côté averti que les attaquants pouvaient avoir récupéré des clés AWS et des identifiants de services cloud critiques.

Si ces informations étaient exploitées pour une intrusion secondaire, les conséquences pourraient être majeures. La compromission d’intégrations SaaS utilisées par des milliers d’entreprises illustre la difficulté croissante à protéger les chaînes de confiance logicielles.

Réponses d’urgence et interrogations persistantes

Face à l’attaque, Salesforce et Salesloft ont immédiatement désactivé l’application Drift, révoqué les tokens associés et retiré Drift de l’AppExchange. Les entreprises touchées ont lancé des investigations internes, notifié leurs clients et enclenché des rotations massives de clés et tokens.

Cloudflare, Zscaler et Palo Alto Networks affirment que les systèmes centraux de leurs infrastructures n’ont pas été atteints. Les exfiltrations se limiteraient aux données Salesforce accessibles via Drift. Cependant, la confiance des clients reste mise à l’épreuve, d’autant que l’exploitation de tokens OAuth confère aux assaillants une persistance difficile à détecter.

Google GTIG rappelle que les campagnes d’UNC6395 se caractérisent par une exploitation rapide des intégrations SaaS et par un usage intensif de tokens volés. Leur mode opératoire témoigne d’une compréhension fine des environnements cloud modernes.

L’affaire soulève une question centrale : comment contrôler la prolifération d’applications tierces connectées aux environnements critiques, quand chacune d’elles peut devenir une porte d’entrée invisible ? Le piratage Salesloft Drift rappelle la fragilité des chaînes SaaS : une seule application compromise peut entraîner la fuite de données sensibles chez des acteurs mondiaux de la cybersécurité. L’enjeu stratégique devient clair : comment redéfinir la gestion des intégrations cloud pour éviter que le maillon faible ne compromette tout un écosystème ?

Selon 6Sens, environ 110 entreprises en France utilisent Salesloft (contre 390 au Royaume-Uni, 286 au Canada) .

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique

Dell sous pression : le cyberchantage d’un groupe rebaptisé WorldLeaks tourne court

Dell fait face à une nouvelle tentative de cyberchantage, orchestrée par WorldLeaks, mais assure que les informations volées sont inexploitables. Le climat cyber reste cependant sous haute tension.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Dell Technologies a confirmé une tentative de cyberchantage orchestrée par le groupe WorldLeaks, exfiltrant 1,3 To de données issues de leur environnement de démonstration « Solution Center ». Selon Dell, ces fichiers n’ont aucune valeur, ne contenant ni données sensibles ni informations sur les clients. Cet incident survient dans un contexte de recrudescence des attaques par extorsion de données, un phénomène accentué par le récent « rebranding » de groupes cybercriminels. L’affaire rappelle également une fuite majeure survenue en 2023 ayant impliqué de véritables données clients. Analyse d’un incident révélateur des mutations actuelles dans la cybercriminalité.

Une attaque orchestrée par WorldLeaks : un coup d’épée dans l’eau ?

Le 22 juillet, la scène cybercriminelle bruisse d’une annonce : WorldLeaks, nouvelle appellation d’une ancienne équipe de rançongiciels, revendique l’infiltration du réseau Dell. Les chiffres avancés impressionnent : 1,3 To de données, soit plus de 416 000 fichiers, exfiltrés depuis les serveurs du géant informatique. Leur objectif ? L’extorsion, en menaçant de publier ces informations à moins d’obtenir un paiement.

Dell réagit rapidement, en coupant court à tout vent de panique. Selon l’entreprise, il ne s’agit là que d’ensembles de données synthétiques, stockés dans une zone de test entièrement isolée, sans aucun lien ni avec les clients, ni avec les partenaires, ni avec les opérations en production. La valeur de ces fichiers serait donc nulle, rendant toute tentative de chantage inopérante.

L’enjeu des environnements isolés et la réponse de Dell

Dans un contexte de multiplication des cyberattaques, Dell insiste sur la ségrégation stricte de son « Solution Center », laboratoire conçu pour les démonstrations produits. Cette séparation physique et logique vise à limiter l’impact des brèches potentielles. Les fichiers concernés par l’attaque seraient destinés uniquement à des scénarios de tests, totalement dépourvus d’informations sensibles ou d’identifiants clients.

Contactée par la presse spécialisée, la direction de Dell refuse d’évoquer le montant éventuel des rançons demandées. La seule certitude affichée : aucune information confidentielle n’a filtré. « Comme beaucoup d’autres entreprises, nous travaillons en continu à renforcer nos défenses. La sécurité de nos clients reste notre priorité absolue », martèle le groupe.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

 

L’incident intervient sur fond de souvenirs douloureux : en 2023, Dell avait reconnu le vol de données réelles concernant près de 49 millions de commandes clients, incluant noms, adresses et détails techniques sur les équipements. En mai 2024, une notification officielle avait confirmé la compromission, illustrant la réalité des risques cyber même pour les géants du secteur.

Plus inquiétant encore, cette attaque survient après la dissolution annoncée du groupe Hunters International, qui a profité de sa sortie pour « offrir » aux victimes les clés de déchiffrement de leurs données. Mais, selon les experts, ce départ ne serait qu’un écran de fumée destiné à permettre un repositionnement stratégique. Les cybercriminels, confrontés à la baisse de rentabilité des ransomwares traditionnels, semblent désormais privilégier l’exfiltration et la menace de publication des données.

Analyse : La cyber-extorsion, nouvelle norme ou impasse ?

Le cas Dell illustre la transition du paysage cybercriminel : face à des défenses mieux préparées et des ransomwares de moins en moins rentables, la menace s’oriente vers le vol d’informations et le chantage à la publication. Pourtant, cette tactique n’est pas sans risque pour les attaquants, qui peinent parfois à monétiser des données peu exploitables d’autant plus que certains pays, comme le Royaume-Unis font interdire le moindre paiement lors d’une demande de rançon.

Dell, pour sa part, semble avoir tiré les leçons du passé en compartimentant ses systèmes critiques. Mais l’affaire rappelle que la vigilance reste de mise et que chaque brèche, même anodine, peut devenir une vitrine pour les groupes malveillants en quête de légitimité. Sans parler du risque de fermer boutique comme ce fût le cas, il y a peu, pour un important transporteur de fret.

La tentative de chantage contre Dell, si elle s’avère sans effet immédiat, montre à quel point la cyber-extorsion s’est ancrée dans les pratiques des groupes criminels. L’évolution des méthodes — passage du rançongiciel à la pure exfiltration — témoigne d’une professionnalisation du secteur, mais aussi de la nécessité, pour les entreprises, d’investir en continu dans la cybersécurité et la gestion de crise. La question n’est plus de savoir « si » une attaque aura lieu, mais « quand » — et surtout comment y répondre sans céder à la panique ni à la pression.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Base de données, Entreprise

Les domaines .RU seront enregistrés auprès des Services de l’Etat

Panique chez les utilisateurs de noms de domaine en .RU [Russe]. Il va falloir fournir ses informations non plus au registar, mais au gouvernement !

Anton Gorelkin, vice-président du Comité de la Douma d’État sur la politique de l’information, de l’informatique et des communications, a parlé le 8 avril lors de la conférence « Le domaine .ru a 30 ans » de la préparation d’un projet de loi sur la réglementation du processus d’administration des noms de domaine. Le document sera soumis à la Douma d’Etat cette année, a précisé le député : « Un tel accord a été trouvé avec tous les acteurs dont il dépend ». Selon M. Gorelkin, il s’agit de « vérifier ceux qui enregistrent des noms de domaine via le système unifié d’identification et d’autorisation. » 82% (selon Statdom) appartiennent à des résidents de la Fédération de Russie, 7% à un inconnu, 5% à des résidents des Seychelles, 2% à des résidents d’Ukraine, 0,5% à des résidents de Biélorussie.

Référencement

En France, les utilisateurs de nom de domaine .fr doivent fournir des informations les concernant. Chaque année, les registar demandent aux utilisateurs si leur identité, adresse ont changé.

Mais pour la Russie, les informations devront être envoyées directement aux Services de l’État pour les domaines .RU, .РФ et .SU.

Bref, le renouvellement automatique, fini ! Les utilisateurs d’un domaine .Ru, hors de Russie, fini.

Pour des raisons évidentes, il est trop tôt pour parler des détails, de la mise en œuvre technique, des caractéristiques de l’application de la loi, etc., avant le texte du projet de loi, mais on peut déjà supposer plusieurs scénarios d’évolution des événements. Mais il est clair que les propriétaires de domaine n’auront plus de secret pour le FSB l’État.

Fédération de Russie – 675 000 domaines, 92,5 % sont des résidents russes.
SU – 105 000, 86,5% sont des résidents de la Fédération de Russie.

Ceux qui, pour une raison ou une autre, ne souhaitent pas lier leur domaine à un compte sur les services de l’État et les citoyens étrangers ne renouvelleront probablement pas leur domaine. Autrement dit, un assez grand nombre d’entreprises étrangères perdront très probablement leurs domaines russes. Des experts estiment qu’au moins 3 millions de domaines seront impactés [sur les 5 millions existant]. Sauf si des dépositaires de domaines indépendant récupèrent les domaines pour les propriétaires légitimes et sous louent les domaines. Une sorte de « protection » mafieuse ?

Base de données, cyberattaque

Piratage informatique : pendant ce temps, en Chine !

538 millions d’utilisateurs du site chinois Weibo à vendre dans le blackmarket.

Un pirate informatique que je baptiserai Торговец-изгой vient de proposer à la vente une base de données d’une taille non négligeable. Elle concerne les données des utilisateurs du site Weibo, un portail chinois.

Pour 150$ US, ce malveillant commercialise pas moins de 538 millions d’identifiants et les numéros de téléphones portables attenant. De quoi orchestrer quelques spams et autres phishing pour le blacknaute acquéreur.

Base de données, Propriété Industrielle

La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche

La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche

À la suite de l’arrêt Schrems II, la CNIL a été saisie par la Conférence des présidents d’université et la Conférence des grandes écoles sur l’utilisation des « suites collaboratives pour l’éducation » proposées par des sociétés américaines, plus particulièrement s’agissant de la question des transferts internationaux de données personnelles. Compte tenu du risque d’accès illégal aux données, la CNIL appelle à des évolutions dans l’emploi de ces outils et accompagnera les organismes concernés pour identifier les alternatives possibles.

La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la CNIL sur la conformité au RGPD de l’utilisation, dans l’enseignement supérieur et la recherche, d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis. Cette demande de conseil s’inscrit notamment dans le prolongement de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE).

Transformation numérique dans l’enseignement et de la recherche

Cette démarche s’inscrit dans le cadre de l’accélération de la transformation numérique dans l’enseignement et de la recherche, mais aussi plus largement dans toutes les organisations publiques comme privées, impliquant des services qui s’appuient, pour beaucoup, sur des technologies d’informatique en nuage (cloud computing). La CNIL a constaté que le recours à ces solutions met en lumière des problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne. En outre, le gouvernement a annoncé, le 17 mai 2021, une stratégie nationale pour le cloud, afin d’appréhender les enjeux majeurs de cette technologie pour la France, avec l’objectif de mieux protéger les données traitées dans ces services tout en affirmant notre souveraineté.

LES CONSÉQUENCES DE L’INVALIDATION DU PRIVACY SHIELD

Le 16 juillet 2020, la CJUE a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD (qui prévoit des dérogations dans des situations particulières).

Si la CNIL et ses homologues continuent d’analyser toutes les conséquences de cette décision, les organismes publics et privés, français et européens, doivent d’ores et déjà respecter ces nouvelles règles en privilégiant des solutions respectueuses du RGPD, notamment quand ils ont recours a des solutions d’informatique en nuage (cloud computing).

En particulier, cet arrêt a notamment eu des conséquences, en France, dans la mise en œuvre de la Plateforme des données de santé (Health Data Hub), qui est actuellement hébergée au sein d’une infrastructure étatsunienne (Microsoft Azure). En effet, le Conseil d’État a reconnu un risque de transfert des données de santé vers les États-Unis, du fait de la soumission de Microsoft au droit étatsunien, et a demandé des garanties supplémentaires en conséquence. Partageant cette inquiétude, la CNIL a réclamé et obtenu de nouvelles garanties du ministère en charge de la santé quant à un changement de solution technique dans un délai déterminé. Cette Plateforme sera ainsi hébergée dans des infrastructures européennes dans un délai de 12 à 18 mois et, en tout état de cause, ne dépassant pas deux ans après novembre 2020.

Les documents transmis par la CPU et la CGE font apparaître, dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des « suites collaboratives pour l’éducation ». Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs).

Approfondir le sujet avec les mesures proposées par l’Europe.

Base de données, Fuite de données, Hacking

Journée mondiale du mot de passe : célébrons le moyen d’authentification le moins fiable du marché !

Ce jeudi 6 mai est la Journée mondiale du mot de passe, l’occasion depuis plusieurs années de rappeler les bonnes pratiques en matière de cybersécurité et de fiabilité des mots de passe, mais aussi plus largement de questionner leur pertinence globale, à l’heure où la fraude en ligne n’a jamais été aussi répandue.

 La société Nuance Communications est un acteur important dans les solutions de sécurité utilisant la biométrie.

 La Journée mondiale du mot de passe donne l’opportunité aux experts de la cybersécurité et de la lutte contre la fraude de réaffirmer que les codes PIN et mots de passe sont des outils archaïques, dépassés, qui ne correspondent plus à la réalité des usages et des besoins d’aujourd’hui. Les mots de passe se retrouvent vendus sur le dark web, exploités à des fins frauduleuses, et se retournent parfois contre leurs propriétaires, comme on a pu le constater récemment avec des pertes de millions d’euros en cryptomonnaies à cause d’oublis de mots de passe non réinitialisables.

Une récente étude[1] menée par Nuance révèle que 17% des Français utilisent deux ou trois mots de passe différents pour protéger tous leurs comptes utilisateurs, et 12% déclarent même utiliser le même mot de passe partout sans considération de son niveau de fiabilité ou de singularité ! De plus, 30% des répondants ont indiqué oublier leur mot de passe ou code PIN au moins une fois par mois, ce qui montre à quel point ce moyen d’authentification est volatile, peu intuitif et contraignant pour les utilisateurs. Ces derniers se retrouvent exposés à un risque élevé de fraude, et il est de la responsabilité des entreprises de s’attaquer à cette menace en renforçant la sécurité de leurs clients par le biais de solutions modernes. Le site ZATAZ révèle des centaines de fuites de données qui laissent perplexe concernant les utilisateurs et leurs mots de passe.

 « Cette même étude a par ailleurs montré que 18% des Français avaient été victimes de fraude au cours des 12 derniers mois, y perdant en moyenne 995 euros. Il est donc grand temps de tourner la page des mots de passe et codes PIN pour déployer des technologies plus sophistiquées et robustes telles que la biométrie et enfin offrir aux consommateurs le niveau de protection qu’ils méritent. La biométrie permet d’authentifier les individus instantanément en se basant sur les caractéristiques qui leurs sont propres et les rendent uniques. Fini le temps des authentifications basées sur un savoir (mot de passe ou autre information à retenir) trop facile à exploiter, les solutions biométriques sont actuellement le meilleur allié de la lutte contre la fraude et permettent de redonner de la sérénité aux consommateurs. » explique Simon Marchand, Chief Fraud Prevention Officer au sein de la division Sécurité et Biométrie de Nuance.

[1] Etude réalisée par OnePoll pour Nuance en avril 2021 auprès de 10 000 répondants dans les pays suivants : France, Royaume-Uni, Etats-Unis, Allemagne, Espagne, Australie, Italie, Suède, Belgique, Pays-Bas et Mexique. En France, le panel de l’étude est constitué de 1000 répondants.

Base de données

Logiciel de gestion des notes de frais

Les technologies embarquées dans les logiciels de gestion des notes de frais de plus en plus poussées. Exemple avec ManaTime et sa technologie OCR.

Centraliser ses notes de frais est loin d’être chose facile, surtout si on accumule les missions, … L’exploitation d’un logiciel de gestion des notes de frais devient rapidement indispensable. Ils permettent à toute la chaîne de décision et comptable de l’entreprise de valider et rembourser. Très vite, on addition les tickets, les billets, … On scanne les papiers, on envoie par courriel … Bref, permettre la gestion des remboursements de frais en entreprise plus rapidement et plus facilement semble évident. Un solution pour la gestion des notes de frais, un plus pour être efficace.

Certains outils proposent des solutions technologiques qui facilitent cette gestion. La société ManaTime met à disposition dans son outil maison une technologie OCR. Pour vous simplifier l’explication technique, l’OCR prend une photo d’un document et en extrait les contenus textes. Cela vous évitera de tout taper à la main. Gain de temps ! « En scannant ou en prenant une photo de la note de frais notre outil reconnaitra automatiquement les données. » explique l’entreprise française.

3 995 253 notes de frais remboursées pour plus de 1 500 entreprises utilisatrices.

En Français et en Anglais, l’outil est disponible sur l’ensemble des supports numériques d’aujourd’hui : PC, Mac, smartphones et tablettes. L’utilisation est simple. Une fois vos informations fournies, votre direction n’a plus qu’à consulter les notes. Une opération que se fait en un seul clic. Une alerte est communiqué au destinataire afin de lui indiquer si ses notes de frais ont été validées, ou non ! Une version d’essai est mise à disposition permettant de se pencher sur cette solution informatique.

Trois autres propositions peuvent être exploitées : la gratuite, pour une gestion des congés et absences (3 utilisateurs max.) ; Moins de 1 euro 50 par mois pour la version « Starter ». Pour moins de deux euros, toujours par un mois, la version premium. Cette dernière met à disposition l’ensemble des 10 modules de ManaTime : Congés et Absences, présences, heures supplémentaires, notes de frais, paie dématérialisée, évènements et indicateurs RH, paramétrage inclus …

Le support client est inclus en version prémium. de quoi être guidé efficacement par l’un des 14 employés de cette startup.

Base de données, Entreprise

Comment constituer un référentiel client unique ?

La centralisation de toutes les sources d’informations sur le parcours client, tel est l’avantage majeur d’un RCU ou d’un référentiel client unique. Il s’agit d’un moyen qui facilite l’élaboration d’une campagne marketing à travers différents canaux. Cependant, comment mettre en place ce genre d’instrument ? Découvrez les réponses à cette question dans cet article.

Exporter manuellement les données de référentiel client unique

La méthode la plus simple pour obtenir un référentiel client unique est l’exportation manuelle des données. Cette astuce flexible reste à la portée de toutes les petites entreprises. Elle ne demande aucune connaissance approfondie dans le domaine informatique. En effet, il suffit de retirer les informations du client en provenance d’un outil et de les implanter dans un autre instrument. La méthode se résume à un tri dans une feuille de calcul. Chaque entreprise est libre de classer les renseignements comme elle l’entend. Néanmoins, cette astuce présente quelques inconvénients, comme :

  • Le ralentissement dans les flux de données clients ;
  • Le retard dans les mises à jour ;
  • Les répétitions dans les activités d’exportation ;
  • L’ennui ;
  • La limitation des renseignements traités.

Cette solution ne convient pas aux grandes entreprises qui reçoivent et traitent une quantité colossale de données clients.

Utiliser les logiciels de Workflows

La seconde option est de recourir à un logiciel de Workflow. Il s’agit d’un outil informatique qui consiste à automatiser la circulation des flux des données dans une entreprise. Dans le cas du référentiel client unique, l’outil vise à partager les informations sur les clients à chaque intervenant. Cette méthode nécessite un paramétrage préalable du système. Son élaboration réclame quelques compétences en informatique, mais son utilisation reste accessible à tous les employés. Malgré ces avantages, les logiciels de Workflows souffrent de quelques vices. Les outils ne sont pas adaptés à la gestion d’un flux de données importantes, ce qui limite leur champ d’action. De plus, ces instruments ont pour finalité le partage et non le stockage des données clients.

Se tourner vers le Marketing Automation

La croissance d’une activité suscite l’usage d’autres instruments plus complexes afin de constituer un référentiel client unique. C’est pourquoi il est capital de s’orienter vers les solutions de Marketing Automation. La méthode propose de se servir des plateformes baptisées tout-en-un, c’est-à-dire des outils qui rassemblent plusieurs fonctionnalités de gestion de données utilisateur. Ces instruments offrent une bonne scalabilité et trient les flux de données de manière efficace. Ils n’exigent aucune expertise en informatique. Néanmoins, l’équipe a besoin d’une formation préalable afin de maîtriser parfaitement l’outil. En outre, ces instruments requièrent l’utilisation de logiciels supplémentaires afin d’assurer leur performance. Il faut également souligner que leur usage implique un coût élevé.

Solliciter l’intervention d’un ingénieur en informatique

Une autre solution pour profiter d’un bon référentiel client unique est de demander l’aide d’un ingénieur des données. Le professionnel sera chargé d’intégrer les informations des clients et de lier les données aux autres outils grâce à la programmation. La solution offre une grande flexibilité et un contrôle total des données. Les entreprises peuvent d’ailleurs personnaliser la programmation en fonction de leurs besoins. L’ingénieur assure également la gestion de toutes les données clients, aussi complexes soient-elles. Dans certains cas, les entreprises font appel à un intervenant externe pour effectuer ces opérations. D’autres recrutent directement un ingénieur pour réaliser la programmation.

Recourir à la CDP, la dernière solution de référentiel client unique

Les Customer Data Platforms ou CDP forment la nouvelle solution de référentiel client unique. Comme indiqué sur cette page, ce sont des outils de programmation informatique qui centralisent les données des utilisateurs issues de plusieurs sources. En plus de la centralisation, le stockage se trouve parmi leurs principales activités. Ils synchronisent toutes les informations dans un même format. Par ailleurs, ces instruments ne demandent aucune intervention d’ingénieur ou de programmeur. Malgré leur complexité, ces outils sont faciles à utiliser. Ainsi, les CDP ont été élaborés spécialement pour répondre au besoin du référentiel client unique des grandes entreprises.