Archives de catégorie : Emploi

Assurance cyber sécurité, Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

RSSI : les cinq meilleures façons de renforcer une architecture de sécurité

Pour les professionnels de l’informatique, RSSI, DSI … la sécurité des réseaux est un enjeu majeur. C’est vrai à la fois pour l’ingénieur de sécurité, le RSSI, le DSI et même le CEO ! La question est : « Que peut-on vraiment faire pour l’améliorer ? » Tout simplement renforcer le déploiement d’équipements de sécurité inline.

RSSI – En matière de conformité réglementaire pour PCI-DSS et HIPAA, le déploiement d’outils de sécurité inline n’est pas indispensable mais s’avère impératif pour une architecture de sécurité par laquelle on tente de maximiser ses défenses. Voici les cinq principales actions que les professionnels de l’IT peuvent mettre en œuvre pour améliorer l’architecture de sécurité en ligne de leur entreprise.

Insérer des switches bypass externes entre le réseau et les outils de sécurité pour améliorer la disponibilité et la fiabilité du réseau.

Les switches bypass sont généralement un bon point de départ pour améliorer la sécurité et la fiabilité d’un réseau. Alors que le déploiement direct d’outils de sécurité en ligne peut créer une défense améliorée, ils peuvent entraîner des échecs ponctuels. Un contournement interne, dans l’outil peut minimiser ce risque. Toutefois, il pourrait créer une autre interruption de de service, si l’appareil devait être retiré par la suite.

Un switch bypass externe a l’avantage de son homologue interne à la différence qu’il élimine les problèmes des déploiements directs d’outils inline en offrant des capacités de basculement automatique et à la demande avec un impact à peine perceptible (millisecondes) sur le réseau. Parce que le switch reste toujours dans le réseau, il peut être placé en mode de contournement à la demande, pour permettre l’ajout, la suppression ou la mise à niveau des dispositifs de sécurité et de surveillance au besoin.

Déployez des passerelles de renseignement sur les menaces à l’entrée/sortie du réseau pour réduire les alertes de sécurité de faux positifs

Les passerelles de renseignement sur les menaces sont une bonne deuxième stratégie parce qu’elles éliminent le trafic depuis et vers de mauvaises adresses IP connues. Même avec les pare-feux, les IPS et un large éventail d’outils de sécurité en place, les entreprises manquent toujours d’indices et souffrent de failles importantes chaque jour. Pourquoi ? Parce que le volume d’alertes générées représente un énorme fardeau de traitement pour l’équipe de sécurité, ainsi que pour l’infrastructure elle-même. Une passerelle de renseignement sur les menaces aide à filtrer automatiquement le trafic entrant dans un réseau qui doit être analysée. Certaines entreprises ont constaté une réduction de 30 % ou plus des fausses alertes IPS en supprimant le mauvais trafic connu, ce qui permet aux équipes de sécurité réseau de se concentrer sur les menaces potentielles restantes.

Décharger le décryptage SSL des dispositifs de sécurité existants (pare-feu, WAF, etc.) vers des network packet brokers (NPB) ou des dispositifs spécialement conçus pour réduire la latence et augmenter l’efficacité des outils de sécurité.

Bien que de nombreux outils de sécurité (pare-feu, WAF, IPS, etc.) incluent la capacité de déchiffrer le trafic afin que les données entrantes puissent être analysées à des fins de sécurité, ils ont également un impact sur les performances du CPU et peuvent ralentir considérablement (jusqu’ à 80 %) la capacité de traitement d’une application de sécurité. Ceci est dû au fait que les processeurs de ces périphériques exécutent d’autres tâches telles que l’analyse des paquets de données pour détecter les menaces de sécurité, telles que les scripts inter-sites (XSS), l’injection SQL, les programmes malveillants cachés et les menaces de sécurité. Le déchiffrement SSL peut représenter un travail considérable qui réduit l’efficacité des outils de sécurité et qui augmente les coûts si l’on veut que les données réseau soient inspectées. En raison de la performance du décryptage des données, de nombreuses équipes de sécurité désactivent cette fonctionnalité et créent ainsi un risque potentiellement grave pour la sécurité. Une solution consiste à utiliser un network packet broker pour effectuer le déchiffrement des données lui-même ou décharger la fonction sur un dispositif de décryptage distinct. Une fois les données décryptées, le NPB peut les transmettre à un ou plusieurs outils de sécurité pour analyse.

Effectuer une chaîne d’outils pour les données suspectes, afin d’en améliorer le processus d’inspection.
Une autre tactique à prendre en considération est enchaînement d’outils en série. Cette méthode améliore l’inspection des données en utilisant des séquences prédéfinies pour leur analyse. Elles sont acheminées vers de multiples outils de sécurité pour des inspections et une résolution supplémentaires. Ceci garantit que les actions se déroulent dans l’ordre approprié et ne sont pas négligées. Les outils de sécurité et de surveillance peuvent être reliés entre eux par le biais d’un approvisionnement logiciel au sein d’un NPB pour contrôler le flux de données à travers les services sélectionnés. Cela permet d’automatiser efficacement le processus d’inspection afin de le rendre plus efficace et de mieux suivre les alertes.

Insérer des NPB pour améliorer la disponibilité des dispositifs de sécurité en utilisant la technologie n+1 ou haute disponibilité.

La cinquième façon de renforcer une architecture de sécurité est d’améliorer la disponibilité des dispositifs en insérant un NPB qui favorise la survie à long terme. Un bon NPB aura deux options.
La première, que l’on nomme n+1, est déployée dans une configuration de partage de charge. C’est la situation où l’on a un dispositif de sécurité complémentaire en cas de défaillance d’un des principaux (IPS, WAF, etc.). Cependant, au lieu d’être en veille et prêt à se déclencher si besoin, l’appareil fonctionne en même temps que les autres et partage la charge normalement. Si un appareil tombe en panne, la charge totale peut alors être traitée par les autres appareils. Une fois que l’outil défectueux est de nouveau en ligne, les outils restants retournent à une configuration de partage de charge.

Bien que cela puisse se faire sans le NBP, il s’agit souvent d’un processus compliqué avec des équilibreurs de charge et d’autres efforts. Un NPB est programmé pour gérer l’équilibrage de charge ainsi que les messages sur la bonne marche d’un outil (quand il a échoué et quand il est disponible), de manière à s’assurer un une architecture « d’auto-guérison » rentable. Une option plus robuste, mais aussi plus coûteuse, consiste à mettre en œuvre une haute disponibilité. C’est une option n+n dans laquelle il y a un ensemble d’équipements complètement redondants. Malgré le coût, ce pourrait être la meilleure option, selon les besoins de l’entreprise.

L’utilisation de ces cinq cas d’utilisation peut considérablement améliorer une architecture de sécurité en ligne, y compris la fiabilité de la solution, ainsi que la capacité à détecter et prévenir/limiter les menaces de sécurité. (Par Keith Bromley, Senior Solutions Marketing Manager chez Ixia)

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Mise à jour, Securite informatique, Social engineering

Oubliez les « fake news » : les FAUSSES DONNÉES envahissent les entreprises du monde entier

Une étude révèle que les consommateurs français FALSIFIENT INTENTIONNELLEMENT leurs données personnelles en ligne. Oubliez les « fake news » : les FAUSSES DONNÉES envahissent les entreprises du monde entier.

Fake news or not fake news ! Concernant l’exactitude des informations personnelles que les consommateurs français partagent en ligne avec les entreprises/marques… Plus d’un consommateur français sur deux (55 %) admet avoir intentionnellement falsifié, ou ne sait pas s’il a falsifié ou non, ses informations personnelles lors de l’achat d’un produit/service. Plus le consommateur est jeune, plus il est susceptible de falsifier ses informations personnelles (74 % des 18-24 ans, et 52 % des 25-34 ans).

– Fake news – Informations personnelles parmi les plus fréquemment falsifiées :
o Numéro de téléphone (32 %)
o Date de naissance (19 %)
o Adresse personnelle (18 %)
o Nom (17 %)

– Les principaux motifs de falsification des données personnelles invoqués sont les suivants :
o Ne souhaitent pas recevoir de communications non sollicitées (appels téléphoniques, SMS, e-mails) de la part des entreprises (60 %)
o Ne veulent pas recevoir de publicités (51 %)
o Estiment que les données demandées sont sans rapport avec le produit/service proposé (35 %)
o Doutent de la capacité de l’entreprise à traiter/conserver leurs données de manière sécurisée (32 %)

Fake news – Quel impact sur les entreprises/marques ?
o 69 % des consommateurs français se disent prêts à boycotter une entreprise ayant montré, à maintes reprises, un manque d’intérêt pour la protection des données clients
o Le niveau de tolérance baisse avec l’âge, 82 % des plus de 55 ans étant prêts à boycotter une entreprise pour ce même motif (contre 65 % chez les 18-24 ans qui font preuve d’une plus grande indulgence)
o En cas de vol de leurs informations personnelles résultant d’une atteinte à la sécurité, deux tiers (67 %) en attribueraient la responsabilité à l’entreprise plus qu’à qui que ce soit d’autre (y compris le pirate)
o 73 % des plus de 55 ans pointeraient probablement l’entreprise du doigt
o 59 % éviteraient de confier leurs données personnelles à une entreprise connue pour avoir vendu des informations ou les avoir utilisées de manière abusive sans le consentement des personnes intéressées
o 53 % sont moins enclins à acheter les produits/services d’une entreprise réputée pour sa mauvaise gestion des données
o 48 % sont plus susceptibles d’acheter auprès d’une entreprise ayant démontré qu’elle prenait la protection des données au sérieux

Fake news – Quel impact sur les équipes marketing ?
o Bien que les entreprises détiennent plus de données clients que jamais auparavant, seulement un quart environ des personnes interrogées (28 %) pensent qu’elles permettent aux marques de leur proposer des produits/services à la fois meilleurs et plus personnalisés
o Seule une personne sur trois (34 %) parmi les 18-24 ans est disposée à fournir des informations personnelles en échange d’une meilleure expérience client ou de meilleurs services

Questionnés sur les types de données personnelles qu’ils souhaitent préserver…
o La majorité des Français interrogés (81 %) citent leurs informations financières et bancaires, suivies de leurs pièces d’identité (72 %), dont leur passeport et leur permis de conduire
o 7 sur 10 (71 %) tiennent à protéger leurs informations de sécurité, comme les mots de passe
– Les consommateurs français attachent moins d’importance à la protection de leurs habitudes de navigation (35 %), données de géolocalisation (38 %) et données génétiques (ADN) (39 %)

Concernant la perte, le vol ou la manipulation des données personnelles…
– Près de 3 sur 4 (74 %) se disent préoccupés par l’usurpation de leur identité
– Plus de 7 sur 10 (73 %) craignent que de l’argent ne soit dérobé à leur insu sur leur compte bancaire
– Un tiers (33 %) redoutent l’altération de leurs dossiers médicaux, et une même proportion (33%) celle de leur casier judiciaire
– 40 % s’inquiètent de la divulgation publique d’informations embarrassantes ou sensibles les concernant
– De la même manière, 41 % ont peur d’être victimes de chantage suite à la perte, au vol ou à la manipulation de messages ou de photos

À propos de leur sensibilisation aux violations de données (actes de piratage à l’encontre des entreprises)
– 71 % se disent davantage au courant des violations de données qu’il y a cinq ans
– Plus de deux tiers (67 %) sont inquiets à l’idée que des technologies de suivi et des dispositifs portatifs, comme les appareils Fitbit, collectent et stockent des données sur leurs moindres mouvements
– 8 consommateurs français sur 10 (80 %) s’efforcent de limiter la quantité d’informations personnelles qu’ils publient en ligne ou communiquent aux entreprises

Avons-nous vraiment le choix ?
– 49 % estiment n’avoir d’autre choix que de fournir des données personnelles à une entreprise en contrepartie de produits ou de services
o Ce sentiment est partagé par 70 % des 25-34 ans
– 4 sur 10 (39 %) se sont sentis forcés de transmettre à des entreprises des données personnelles sans aucun rapport avec le produit ou service proposé
– 22 % des 18-24 ans acceptent avec résignation de communiquer leurs informations personnelles
– Près de la moitié des personnes interrogées (49 %) pensent que les consommateurs sont si habitués à divulguer leurs données personnelles qu’il est presque impossible d’inverser la tendance

Méthodologie de l’étude à l’échelle mondiale
Sauf indication contraire, tous les chiffres proviennent de YouGov Plc. Taille totale de l’échantillon : 7 579 adultes à travers le Royaume-Uni (2 112), les États-Unis (1 076), la France (1 025), l’Allemagne (2 232) et l’Italie (1 134). L’enquête sur le terrain s’est déroulée du 15 décembre 2017 au 3 janvier 2018. Le sondage a été réalisé en ligne. Les chiffres ont été pondérés et sont représentatifs de l’ensemble de la population adulte (18 ans ou plus) de chaque région.

Cybersécurité, Emploi, Entreprise, Facebook, Justice, Mise à jour, Particuliers, Securite informatique

Vous ne fermez pas votre session Facebook ? Les messages deviennent publics

Voilà qui devrait vous faire réfléchir à deux fois quand vous laissez la session de votre compte Facebook ouvert. En cas d’oublie, les messages deviennent publics.

La justice Française vient de trancher. Une salariée d’une entreprise Toulousaine avait laissé la session de son compte Facebook ouvert. Son employeur, durant l’absence de cette dernière, avait eu accès au compte de l’employée via un ordinateur de l’entreprise. La session de la dame n’avait pas été coupée.

Bilan, le patron a pu lire des messages insultants diffusées sur le Facebook de la salariée.

Comme l’indique Legalis, pour sa défense, l’auteure des messages avait invoqué le caractère privé de ses communications.

La cour d’appel de Tooulouse a estimé que « les propos tenus par Mme X. sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé ».

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Emploi, Entreprise, Fuite de données, RGPD, Securite informatique

Protection des informations numériques, enjeu majeur de l’innovation

Les données sont devenues l’actif le plus précieux des entreprises. Mais est-il le mieux gardé ? L’exposition des entreprises aux cybermenaces ne cesse de croître avec la mobilité des collaborateurs, le partage des données, le développement du Cloud computing, l’internet des objets et l’intégration de nouvelles entités. La protection des informations numériques représente pour les entreprises un enjeu économique fondamental et paradoxalement, assez souvent indûment négligé.

La protection des informations numériques à l’aube du RGPD. L’innovation contemporaine est intimement liée aux données. A l’ère du digital elles constituent le nouvel actif stratégique des entreprises, dont la compétitivité dépend aujourd’hui de leur capacité à contextualiser et analyser les masses accumulées de données. Chaque jour des milliers, voire des millions de nouveaux devices se connectent au grand « Internet of Everything » pour collecter et échanger des données. Le marché se tourne vers des outils analytiques avancés pour les valoriser. Ces nombreuses sources de collecte et d’accès aux données sont autant de points de fragilité pour les malfaiteurs voulant s’attaquer aux systèmes d’information et de production. Si ces devices ne sont pas protégés, si sont compromises la disponibilité, la confidentialité et l’intégrité des informations stockées, traitées ou transmises, l’avantage concurrentiel qu’elles offrent risque de se transformer en pertes et la force devient une menace.

Le ROI en cybersécurité : qu’est-ce que vous êtes prêts à perdre ?

Dans la sécurité numérique, les cyberattaques sont le risque le plus connu. En France, onze incidents de cybersécurité seraient comptabilisés chaque jour en milieu professionnel. Une récente étude estime les pertes financières à 1,5 million d’euros pour chaque incident en moyenne.

Dans le monde, le nombre de cyberattaques aurait augmenté en 2016 de 21% par rapport à l’année précédente, et cumulées, elles auraient coûté à l’économie mondiale 280 milliards de dollars, selon International Business Report (IBR) publié par le cabinet Grant Thornton. Mais le plus grand risque, et donc la plus grande crainte, ne se résume pas aux pertes financières. Par exemple, au Canada, 31,6 % des organisations sondées ont jugé que la principale conséquence d’une cyberattaque serait le temps passé à traiter ses effets, suivi d’atteinte à la réputation (29,2 %) et perte de clients (10,2 %). La perte directe de revenus n’a été citée que par 9,8 % d’interrogés. Malgré cela, 52% des organisations n’ont aucune couverture en cas d’attaque.

Selon moi, trop souvent encore les entreprises font appel aux experts « après la bataille ». Bien sûr, nous sommes capables de gérer la crise, mais la prévention reste la meilleure réponse aux cyberattaques. Il est temps d’accepter que le ROI de la cybersécurité ne se calcule pas en chiffre d’affaires généré, mais plutôt en efforts nécessaires à traiter les dommages potentiels. Il convient à toute entreprise, qu’elle soit un grand groupe ou une PME, de mettre en place une véritable stratégie de sécurité, pour diminuer son exposition au risque et accompagner son développement.

Protection des informations numériques : pour une véritable politique de sécurité numérique

La première étape consiste à faire appel à des experts pour évaluer les facteurs de risque et les points faibles en matière de cybersécurité.

Ces éléments serviront à définir une véritable politique de sécurité qui ne devra plus concerner la seule stratégie IT, mais être intégrée aux stratégies de tous les métiers par une conduite de changement. Effectivement, les facettes de la cybersécurité sont d’autant plus nombreuses, que le sujet est transverse et concerne tous les métiers de l’entreprise : la sécurisation de l’écosystème digital de l’entreprise et de ses outils collaboratifs, la gestion des identités et des accès, la prévention des pertes de données, etc.

Le cyberpiratage et les cyberattaques ne sont pas les seules menaces pour la sécurité numérique, mais les plus médiatisées : d’expérience, 35% des incidents de sécurité seraient causés en interne par des collaborateurs mal informés.

Ainsi, la protection des informations va bien au-delà de la sécurité : pour protéger tous les terminaux et points d’accès, il n’est plus question de se satisfaire d’un antivirus, aussi puissant soit-il. Avant de se pencher sur des solutions technologiques, il est vital de comprendre son actuel niveau de maturité, définir le niveau de sécurité visé et se faire accompagner pour instaurer une gouvernance, définir des responsabilités, revoir les règles et les procédures, et, finalement, envisager l’outillage nécessaire.

L’adoption de nouvelles technologies d’information continue d’aller beaucoup plus vite que la sécurité. Au nom de la productivité et de la performance, les entreprises ont parfois mis de côté les mesures de protection. En se posant en bouclier protégeant les données, la cybersécurité s’affirme en garant de l’innovation et de la vitalité de l’entreprise. (Par David Adde, Directeur du pôle Sécurité chez Avanade.)

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Emploi, Entreprise, RGPD, Sauvegarde, Securite informatique

Violations de données : 700 millions d’attaques contrecarrées en 2017

Suite aux violations de données à grande échelle, des pics massifs d’attaques ont été observés avant qu’elles ne soient révélées publiquement. Le rapport Cybercrime ThreatMetrix parle d’un record de 700 millions d’attaques contrecarrées par des entreprises numériques en 2017.

Les violations de données ont été très nombreuses en 2017, Data Security Breach a pu vous annoncer plusieurs. L’Entreprise de l’Identité Numérique ThreatMetrix vient de révèler que 2017 a été une année record en termes de lutte contre la cybercriminalité. Basé sur l’étude des cyberattaques dans le monde entier, analysant 100 millions de transactions par jour, le Cybercrime Report 2017 : A Year in Review de ThreatMetrix confirme une augmentation de 100 % du nombre d’attaques au cours des deux dernières années. La bonne nouvelle est que, pour contrecarrer ces menaces, les entreprises investissent dans des stratégies innovantes et « digital first » pour protéger les consommateurs, qui doivent faire face à des failles résultant de violations de données à grande échelle.

Argent facile ?

Les fraudeurs ne cherchent plus à se faire de l’argent rapidement avec les cartes de crédit volées, ils préfèrent se concentrer sur des attaques plus ambitieuses qui rapportent des bénéfices à long terme, en exploitant des ensembles de données d’identité volées. Cette tendance est prouvée par un taux d’attaque très élevé sur les créations de comptes, l’activité la plus vulnérable. Plus d’un nouveau compte en ligne sur neuf ouvert en 2017 était en effet frauduleux.

Les résultats révèlent également une activité des bots sans précédent, pouvant représenter jusqu’à 90 % du trafic sur certains sites de vente en ligne quand une attaque atteint son pic. Même les consommateurs qui n’en sont pas directement victimes en font les frais. Ils expérimentent dès lors une vérification d’identité plus longue, car les entreprises tentent de discerner les activités légales de celles qui sont frauduleuses, tout comme les vraies identités des fausses.

violations de données : les consommateurs immédiatement visés suite aux failles majeures

En 2017, les niveaux de cyberattaques ont atteint des sommets encore jamais enregistrés auparavant.  Ces pics, lorsqu’ils sont agrégés entre des milliers d’organisations, indiquent des violations de données majeures. Souvent même bien avant qu’elles ne fassent la Une des journaux.

Chaque organisation peut être la cible d’une faille de sécurité importante. Cela met alors à l’épreuve la responsabilité des systèmes de protection. Et cela au travers de l’ensemble des sites web et applications.

« Alors que les attaques s’intensifient, le besoin d’investir dans des solutions technologiques avancées augmente pour protéger les consommateurs ainsi que les individus dont les données personnelles et bancaires ont été piratées, déclare Pascal Podvin, Senior Vice-President Field Operations, chez ThreatMetrix. Analyser les transactions en se basant sur l’identité numérique réelle est la façon la plus efficace de différencier instantanément les utilisateurs légitimes des cybercriminels. Nous laissons une trace de notre identité partout, et en cartographiant les associations en constante évolution entre les personnes, leurs appareils, leurs comptes, leur localisation et leur adresse, au travers des organisations avec lesquelles elles interagissent, le comportement dit « de confiance » d’un individu devient évident. »

violations de données : la relation entre le comportement des consommateurs et l’évolution de la cybercriminalité

Les tendances de comportement chez les consommateurs ont influencé les modèles d’attaque. Models de plus en plus sophistiqués. Certains résultats du Rapport 2017 sur le Cybercrime de ThreatMetrix le démontrent.

  • Le volume des transactions mobiles a augmenté de près de 83 %. Les consommateurs adoptant un comportement « multi-appareils ». Un nombre de transactions plus important que sur ordinateur pour la première fois en 2017.
  • Les attaques avec prise de contrôle ont connu une hausse de 170 %. Toutes les 10 secondes.
  • 83 millions de tentatives de création de comptes frauduleux ont été enregistrées entre 2015 et 2017. Les pirates informatiques créent des identités complètes. Ils ouvrent de nouveaux comptes en volant l’ensemble des données d’identité. A partir de failles et sur le Dark Web.

Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années

  • Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années. Les hackers utilisent des cartes de crédit volées. Ils piratent le compte bancaire d’une victime, pour transférer de l’argent vers un nouveau bénéficiaire.
  • Les secteurs émergents, plus particulièrement les sites de covoiturage et de vente de cartes cadeau. Ils sont particulièrement vulnérables à la fraude. Les cybercriminels utilisent de nouvelles plateformes pour faire des affaires.
  • Les hackers sont de plus en plus rusés. L’étude confirme qu’ils multiplient leurs efforts pour être encore plus difficiles à détecter par les individus. Par exemple, les attaques d’ingénierie sociale. Ils persuadent les consommateurs qu’ils ont été victimes d’une escroquerie. Ils les incitent à « sécuriser leur compte » via des mesures qui donnent réellement accès aux fraudeurs.

« Avec le volume et la sophistication des attaques qui augmentent chaque jour, les entreprises doivent être capables de différencier en temps réel les consommateurs des cybercriminels, sans qu’il n’y ait d’impact sur la vitesse des transactions ni de frictions inutiles, poursuit Pascal Podvin. En regardant au-delà des données statistiques, et en explorant les complexités dynamiques liées à la façon dont les utilisateurs effectuent des transactions en ligne, les organisations peuvent continuer de développer leur activité en toute confiance. »

Retrouvez le Rapport 2017 violations de données sur le Cybercrime ThreatMetrix via ce lien.

Communiqué de presse, Emploi, Entreprise, ID, Identité numérique, Logiciels, Paiement en ligne, Particuliers, Propriété Industrielle, Vie privée

PeerTube : une alternative libre à YouTube d’ici mars 2018 ?

Après trois années passées à « Dégoogliser Internet », l’association française Framasoft finance actuellement le développement de PeerTube, un logiciel libre qui vise à égratigner le monopole de YouTube… grâce à une conception radicalement différente.

PeerTube

Le principe de YouTube est simple : centraliser et contrôler le maximum de créations vidéos pour mieux capter l’attention et les données personnelles des internautes qui vont les voir. Pour financer de telles plateformes, il faut les moyens d’un Google-Alphabet (qui détient YouTube) ou d’un Vivendi-Universal (qui a acheté Dailymotion).

C’est en partant aux antipodes de ce principe que Chocobozzz a conçu PeerTube : un logiciel libre qui allie fédération d’hébergements vidéo et visionnage en pair-à-pair. Après deux années à développer PeerTube sur son temps libre, Chocobozzz vient de rejoindre l’équipe salariée de l’association Framasoft. Il se consacre à la finalisation du projet, dont une version publiquement utilisable est prévue pour mars 2018.

Un peu de technique…

À l’instar de Mastodon (une alternative libre et fédérée à Twitter), PeerTube utilise le protocole ActivityPub. Il permet de fédérer de petits hébergeurs de vidéos indépendants, ce qui permet à un spectateur qui va sur telle instance de PeerTube d’avoir accès à l’ensemble du catalogue vidéos de sa fédération. Ainsi, il n’est plus nécessaire d’héberger les vidéos de la terre entière pour présenter ses vidéos à un large public.

La diffusion en pair-à-pair permet de partager entre internautes des fragments de la vidéo que plusieurs personnes regardent en même temps. Avec cette technologie basée sur WebTorrent, on diminue fortement le risque qu’une vidéo faisant le buzz fasse tomber le serveur, ce qui évite de payer au prix fort bande passante et trafic vers son serveur.

Allier ces deux principes techniques, qui font partie des fondamentaux d’Internet, permet tout simplement de démocratiser l’hébergement de vidéos, afin que des médias, des associations, des universités et des collectifs d’artistes puissent progressivement gagner leur indépendance face à un YouTube toujours plus contraignant.

Framasoft fait le pari du libre, qui n’est pas gratuit

« Pendant ces trois années passées à Dégoogliser Internet, nous avons cherché une alternative libre à YouTube qui ne demande pas d’avoir les moyens d’un Google-Alphabet… car nous avons fait les calculs : nous sommes 350 000 fois plus pauvres qu’eux ! » plaisante Pierre-Yves Gosset, directeur de Framasoft. « L’intérêt de Google, c’est de centraliser nos créations vidéos et nos attentions, pour mieux capter nos données personnelles et monétiser notre temps de cerveau disponible. Chocobozzz a pensé PeerTube hors des sentiers battus par ces plateformes centralisatrices, et c’est là la véritable innovation. Il était donc évident pour nous de soutenir son projet en finançant son temps de travail. »

Le pari n’est pas anodin pour cette petite association française financée à 90 % par les dons des internautes. Sur les 90 000 € que Framasoft demande au public pour boucler son budget 2018. Un tiers sera consacré au développement de PeerTube, que l’association présente sur le site Framatube.org.

« Dès mars 2018, Framatube ne sera qu’une des portes d’entrée vers la fédération PeerTube. Nous n’hébergerons pas les vidéos de tout le monde. Nous préférerons accompagner des collectifs en les incitant à ouvrir leur propre instance de PeerTube. Bref : plutôt que de copier les géants du Web, nous voulons créer un réseau de fourmilières sur la toile. » conclut Pierre-Yves.

Avec plus de 38 000 € récoltés sur les 90 000 € nécessaires à la continuité de ses actions, Framasoft, espère que ce pari sera relevé.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, RGPD, Sauvegarde, Securite informatique

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

Assurance cyber sécurité, Banque, Communiqué de presse, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle, Securite informatique

Assurance : Euler Hermes lance EH Fraud Reflex

La première assurance fraude globale et 100% digitale des petites entreprises.

Face à un risque de fraude croissant et protéiforme, Euler Hermes affirme à nouveau sa volonté d’accompagner les entreprises dans la prévention des risques et la protection de leur trésorerie. Le leader européen de l’assurance fraude lance une nouvelle solution complète et totalement dématérialisée à destination des petites entreprises[1], EH Fraud Reflex.

Entre persistance de la fraude par usurpation d’identité et explosion du nombre de cyber attaques, le risque de fraude se diversifie, s’intensifie, et évolue vers plus de sophistication. D’après l’étude menée en 2017 par Euler Hermes et la DFCG[2], 8 entreprises sur 10 ont été victimes d’au moins une tentative de fraude l’an passé, et 1 entreprise sur 5 a subi au moins une fraude avérée sur la même période.

« Les petites entreprises semblent les plus exposées au risque de fraude, car leur budget alloué à la protection des données et au renforcement des process est limité. De plus, la moindre perte peut s’avérer désastreuse pour leur trésorerie. Selon notre enquête, 10% des sociétés attaquées l’an passé auraient subi une perte supérieure à 100 000 €. Un montant conséquent qui mettrait en danger la viabilité de beaucoup de petites entreprises », analyse Sébastien Hager, Expert fraude chez Euler Hermes France.

Efficacité, simplicité et personnalisation

Afin d’aider les petites entreprises à protéger leur activité, Euler Hermes propose une nouvelle solution d’assurance fraude globale et 100% digitale. EH Fraud Reflex les protège contre la cyberfraude, la fraude externe et la fraude interne, avec une couverture des pertes directes et de certains frais consécutifs (atteinte au système de téléphonie, décryptage du ransomware, restauration et/ou décontamination des données). La couverture, la franchise et la durée sont personnalisées selon le profil de l’entreprise et modulables.

Le parcours de souscription, entièrement dématérialisé, s’effectue sur une plateforme internet dédiée : de la qualification du besoin à la définition des paramètres du contrat, avec une possibilité de signature électronique une fois les options et le tarif sélectionnés, EH Fraud Reflex propose une expérience digitale optimisée, intuitive et rapide. De plus, l’outil allie à la fois prévention et protection : plusieurs questions sont posées à l’entreprise afin de l’aider à identifier ses mesures de prévention face au risque de fraude, et à définir précisément son besoin de couverture.

« Finalement, EH Fraud Reflex pourrait se résumer en trois mots : efficacité, puisqu’elle protège contre tous les types de fraude à moindre coût (à partir de 75€ HT par mois) ; simplicité, puisqu’on peut y souscrire en ligne, en quelques clics et sans audit préalable ; personnalisation, puisqu’elle s’adapte aux besoins de l’entreprise », résume Sébastien Hager.

De nouveaux risques qui nécessitent de nouvelles défenses

Pour Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France, la dématérialisation de l’assurance répond parfaitement à l’évolution des attentes des petites entreprises. « Le progrès technologique permet aux pirates de se réinventer en permanence, d’où l’apparition récurrente de nouveaux risques pesant sur la trésorerie et la rentabilité des petites entreprises. Dans ce contexte, ces dernières recherchent avant tout de la flexibilité, de la simplicité et de l’immédiateté dans les outils qu’elles utilisent pour se défendre. L’assurance 100% digitale réunit l’ensemble de ces critères, et EH Fraud Reflex relève de cette philosophie. La commercialisation de cette nouvelle solution d’assurance fraude est une étape supplémentaire dans notre accélération digitale, et appelle à d’autres innovations dans la façon de protéger les actifs des sociétés. C’est un virage primordial pour accompagner au mieux les petites entreprises dans leur prévention, leur protection et leur développement. »

[1] Entreprises dont le chiffre d’affaires est inférieur à 10 millions d’euros
[2] Enquête menée en avril 2017 auprès de 200 entreprises. Toutes les tailles d’entreprises et tous les secteurs sont représentés

Base de données, Cloud, Cybersécurité, Emploi, Entreprise, Fuite de données, loi, Mise à jour, RGPD, Securite informatique

Le RGPD : 81% des entreprises ne seront pas en conformité en mai 2018

La course contre la montre a déjà commencé pour le RGPD… Dès le 25 mai 2018, la nouvelle règlementation européenne définie fin 2015 s’appliquera et viendra renforcer la protection des consommateurs au niveau européen. Le non-respect sera puni par des sanctions financières importantes. Elles s’insèrent dans une politique générale de la communauté européenne de définition d’un espace européen. Alors que seulement 19% des entreprises estiment pouvoir être en conformité en mai 2018, le RGPD constitue un enjeu majeur pour tous les acteurs du e-Commerce.

Le nouveau règlement européen s’applique à toute entreprise qui collecte, traite et stocke les données personnelles des ressortissants européens dont l’utilisation peut identifier une personne. Tous les acteurs économiques (entreprises, associations, administrations) doivent dès à présent mettre en œuvre les actions nécessaires pour se conformer aux règles. Le changement majeur réside dans l’obligation pour les entreprises de justifier l’ensemble des traitements de données qu’elles effectuent (récoltées au cours de création de comptes, d’inscriptions à une newsletter, de préférences de navigation…). Par exemple, lorsqu’un client se désabonne d’une newsletter ou change ses coordonnées téléphoniques sur son compte client, il appartiendra à l’entreprise de prouver que le changement a bien été effectué et de fournir le détail du traitement (heures, adresse IP…). Sur demande du particulier et à tout moment ses données pourront être supprimées, modifiées ou restituées. L’objectif est de rendre aux consommateurs la maîtrise de leur identité et de l’usage commercial de ses informations personnelles.

Enfin une protection renforcée pour les e-acheteurs !

Les consommateurs doivent comprendre clairement ce qu’ils acceptent comme traitements sur les sites e-commerce et la portée de leurs consentements. Les techniques modernes de marketing e-Commerce (retargetting, suggestions de produits…) doivent être explicitement acceptées par les particuliers. Ils disposent également d’un accès direct à leurs informations personnelles. En pratique, ils pourront demander la portabilité de leurs informations (données de commandes, listes d’envie…) et obtenir un double consentement pour leurs enfants.

En cas de fuite de données, l’internaute sera informé dans les 72 heures par l’entreprise, la responsabilité pouvant incomber au sous-traitant responsable de la fuite ou à l’hébergeur si ce dernier a été attaqué. Pour s’assurer du respect de ces nouveaux droits, le législateur a rendu possibles les actions collectives via des associations.

TPE/PME – La mise en œuvre du RGPD dans le e-Commerce

D’ici mai 2018 toutes les entreprises devront respecter la nouvelle réglementation. Cette mise en œuvre implique une bonne compréhension à la fois des obligations et des moyens d’y parvenir. Les sites e-Commerce devront assurer le plus haut niveau possible de protection des données. Pour garantir la sécurité des données personnelles de leurs clients les marchands devront déployer tous les moyens techniques et respecter des règles strictes : la mise en œuvre d’un registre de consentements, la conservation des données, la sécurisation des mails transactionnels, le cryptage des mots de passe…. Un délégué à la protection des données (DPO) sera désigné pour assurer la mise en place et le suivi de ces actions.

On passe dans une logique de responsabilisation totale de l’entreprise, une nécessité au regard des plus de 170 000 sites ne seront pas en conformité avec le règlement européen en mai 2018.

Rappelons que chaque jour des milliers d’attaques visent la totalité des acteurs du e-Commerce. La sécurité des données et des infrastructures techniques sont les enjeux majeurs du monde du web. Le nombre total de cyber-attaques a augmenté de 35% en l’espace d’un an. En France nous en avons recensé plus de 15 millions au 1er trimestre 2017 ce qui représente 4,4% des attaques mondiales.

Un cadre contraignant pour les entreprises et des impacts majeurs à court terme

Le baromètre RGPD démontre qu’à ce jour 44% des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. Les sanctions en cas de manquement aux obligations imposées par la règlementation sont financières et indexées sur le chiffre d’affaires de l’entreprise. Elles peuvent atteindre de 10 à 20 millions d’euros ou 2 à 4% du CA, la sanction la plus élevée sera retenue. Un nouveau concept émerge : le « Privacy By design », un gage de qualité et de réassurance pour les entrepreneurs à la recherche d’une sécurisation optimale des données clients. Un site conçu en « Privacy by Design » garantit qu’aucun module n’a été ajouté à la structure du site et que la solution a été élaborée avec la protection des données comme prérequis à chaque étape de la mise en ligne du site.

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Securite informatique

Données personnelles : Amende pour le patron de la Bourse du travail lituanienne

Le directeur de la Bourse du travail de Lituanie fait face à une amende après que son entité a laissé fuir des données personnelles directement sur le site de l’institution.

Une amende pour condamner une fuite de données personnelles, voilà ce qui vient de toucher Ligita Valyte, le responsable de la Bourse du travail de Lituanie. Cette entité est une agence exécutive relevant du Ministère de la sécurité sociale et du travail, chargée de fournir des services aux demandeurs d’emploi et aux employeurs sur le marché du travail. Bref, c’est le Pole Emploi lituanien. La CNIL locale, State Data Protection Inspectorate (VDAI), a condamné à 300€ le dirigeant après que le site web de la bourse au travail a laissé fuiter des données sensibles des personnes inscrites. Des milliers de codes personnels, y compris celui du ministre lituanien des affaires sociales, étaient consultables. Une fuite dès plus gênante car le code personnel attribué à chaque lituanien est unique et immuable selon les lois lituaniennes. Comme l’explique l’Inspection nationale de la protection des données, dans le cas où la violation de la protection des données à caractère personnel a été commise par une personne morale, le chef de l’entité ou une autre personne responsable est passible d’une amende de 300 à 1 150 euros, tandis que la violation répétée impose une amende de 1 100 à 3 000 euros. Les médias locaux ont rapporté qu’il y avait des milliers de codes personnels librement accessibles sur le site Web de la Bourse du travail. En France, la première amende imposée par la CNIL a touché la société Hertz France à la suite d’une fuite de données concernant certains de ses clients Français.

Pendant ce temps, trois pirates lituaniens se sont faits arrêter pour avoir volé des données sensibles d’une clinique de chirurgie plastique. Selon le bureau de la police criminelle lituanien, les suspects ont volé la base de données des clients et ont exigé une rançon de la clinique, et des clients. En mai 2017, pur menacer l’entreprise médicale, les pirates ont rendu public plus de 25 000 photos privées, y compris des photos de corps nu, les prénoms, les noms de famille, les photos avant et après une intervention chirurgicale, et plusieurs autres informations personnelles des patients des cliniques lituaniennes de chirurgie plastique du groupe « Grozio Chirurgija« .

Les voyous réclamaient entre 50 et 2000€ par patients impactés par le piratage, et selon les informations collectées. Avant de répartir la rançon, patient par patient, les pirates informatiques avaient tenté d’offrir la totalité de la base de données à la vente pour 300 bitcoins mais la clinique avait refusé de payer. Quelques centaines de personnes ont donné de l’argent pour que leurs données ne soient pas diffusées par les pirates informatiques. De nombreux patients étrangers, dont des Français et des Britanniques ont été concernés par cette escroquerie numérique.