Archives de catégorie : Emploi

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Securite informatique

2 employés sur 10 pirateraient leur entreprise

21 % des employés de bureau britanniques pirateraient leur entreprise s’ils avaient les compétences requises. Une enquête révèle les informations susceptibles d’être piratées par les employés : leurs salaires, leurs jours de congés, les commérages, les informations RH sensibles.

L’entreprise CyberArk, spécialiste de la protection d’organisations face aux cyberattaques ayant réussi à pénétrer dans le périmètre réseau, a dévoilé les résultats d’une enquête révélant ce que les employés feraient s’ils étaient capables d’accéder anonymement aux données sensibles de leur entreprise, notamment les salaires, les jours de congé ou des informations confidentielles liées aux ressources humaines. Ce sondage rappelle l’importance de contrôler les accès aux comptes à privilèges, afin d’éviter que les cyber-pirates internes et externes ne puissent obtenir un accès libre et illimité aux actifs les plus précieux de l’entreprise.

Cette enquête, réalisée auprès de 1 000 employés de bureau britanniques dans des entreprises de plus de 250 salariés, révèle que les informations les plus convoitées sont le salaire des collègues (26 %), les conversations à leur sujet (22 %) et des informations sensibles détenues par les RH (20 %). Si les employés pouvaient modifier des informations dans le système de leur entreprise sans encourir de risque, près d’un tiers (31 %) s’accorderait une augmentation de salaire, et près d’un employé sur cinq (19 %) s’octroierait des jours de congé supplémentaires.

« Les équipes de sécurité savent depuis longtemps que l’une des techniques les plus prisées des hackers souhaitant accéder à des données critiques consiste à se faire passer pour un utilisateur légitime, et à exploiter des identifiants à privilèges pour se déplacer latéralement dans un réseau et pour effectuer une reconnaissance sans être détecté virtuellement, explique Matt Middleton-Leal, Vice-Président Régional pour le Royaume-Uni, l’Irlande et l’Europe du Nord chez CyberArk. Si cette enquête révèle les méfaits que les employés pourraient perpétrer en l’absence de contrôles adéquats, elle rappelle avant tout que les menaces internes, ou les pirates se faisant passer pour des collaborateurs internes, représentent pour chaque organisation l’une des principales menaces de sécurité actuelles. »

La bonne nouvelle pour les employeurs britanniques est que la plupart des employés interrogés sont satisfaits de leur emploi actuel et n’ont donc pas d’envie et ne pirateraient leur entreprise que dans leurs rêves ! Cependant, les personnes très mécontentes seraient deux fois plus enclines à exploiter les données de leur entreprise, comparé à leurs collègues très satisfaits (61 % contre 29 %). Après s’être alloué des avantages salariaux plus avantageux (33 %) et avoir recherché les anecdotes croustillantes de bureau à répandre (27 %), les employés mécontents choisiraient de dévoiler les pratiques douteuses et frauduleuses de leur entreprise (20 %) et de dénoncer les membres malhonnêtes ou fainéants de leur organisation (18 %).

La principale raison pour laquelle les employés ne piratent pas les ordinateurs de leur employeur repose sur la croyance que cela n’est pas moral (40 %). Toutefois, un peu plus d’un quart des interrogés (27 %) affirme que les répercussions, s’ils sont pris, sont rédhibitoires, et une personne sur cinq (21 %) invoque son manque de compétences techniques. Ceci suggère que bon nombre d’employés seraient tentés d’accéder ou d’exploiter des données d’entreprise s’ils savaient comment agir sans être attrapés.

Que feraient les employés s’ils étaient sûrs de ne pas être pris ? Ils pirateraient leur entreprise !

Plus de la moitié (51 %) des interrogés déclarent qu’ils seraient prêts à s’immiscer dans les systèmes ou les comptes en ligne d’autres entreprises, mais uniquement s’ils étaient certains de ne pas être repérés. Il pirateraient leur entreprise sans problème ! Les réponses les plus courantes ont trait à des avantages personnels, comme par exemple augmenter son nombre de jours de congé (23 %), transférer des fonds sur son propre compte bancaire (23 %), faire du shopping en ligne sans rien débourser (20 %) et rembourser son emprunt (14 %). Certains affichent également des réactions plus politiques, en indiquant par exemple qu’ils bloqueraient les activités de certaines entreprises immorales (14 %), rechercheraient des renseignements nationaux confidentiels (11 %) ou modifieraient certaines lois (5 %).

« Les cybercriminels se montrent de plus en plus agressifs dans leurs attaques, raison pour laquelle celles-ci causent des dommages plus rapidement qu’auparavant, comme ce fut le cas avec le ransomware WannaCry, poursuit Matt Middleton-Leal. Les pirates sont de plus en plus doués et parviennent à se dissimuler derrière des identifiants valides afin d’opérer sans être décelés et stoppés. C’est pourquoi les entreprises doivent être plus vigilantes que jamais afin de pouvoir surveiller et bloquer l’activité des personnes internes mal intentionnés et ainsi protéger leurs données les plus sensibles. »

Base de données, Cybersécurité, Emploi, Entreprise, Fraude au président, ID, Identité numérique, Justice, santé, Sauvegarde

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

Chiffrement, Communiqué de presse, Cybersécurité, Emploi, Entreprise

Un collectif spontané lance un Manifeste de « Résistance CYBER »

Un collectif spontané regroupant chefs d’entreprises, responsables et représentants de clubs, associations, clusters, référents cyber, journalistes, référents du numérique lance un Manifeste de « RESISTANCE CYBER » avec, au regard de l’actualité, des propositions concrètes pour le pays afin de réagir face au terrorisme informatique. Vous trouverez ici le contenu de ce manifeste : https://www.slideshare.net/ITrustFrance/manifeste-resistancecyber
Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, IOT

Le nouveau Président et la Cyber Sécurité – comment va-t-il se protéger ?

La Cyber Sécurité devient aujourd’hui un élément à part entière de la sécurité d’un état, mais bien au-delà de ça elle représente aussi un enjeu économique majeur pour le pays.

Le nouveau président devra donc s’attaquer de front à ces deux challenges qui sont la protection des actifs étatiques, des institutions et des citoyens et l’accompagnement, la mise en avant et les projets d’éducations permettant à la France de faire de la cyber un relai de croissance des prochaines années.

Commençons par le coté sécuritaire de la chose dans un premier temps. Il est clair qu’aujourd’hui l’informatique et le monde cyber doivent être considérés comme le potentiel 5 champs de batailles après la mer, la terre, l’air et l’espace. Nous l’avons lors de cette campagne présidentielle mais aussi auparavant lors de campagnes de cyber espionnage, le monde cyber a une influence grandissante et majeure dans les choix, dans les stratégies et dans le positionnement des états.

L’arsenal utilisé par les groupes attaquants va du vol d’informations, à la manipulation d’information en passant par des attaques qui peuvent paralyser des fonctions étatiques, des entreprises ou la vie du citoyen. Il paraît donc important pour le nouveau président de continuer et de dynamiser des programmes de sécurisation, de communication et d’éducation.

Depuis plusieurs années la France a décidé d’investir dans des centres de cyber excellence notamment à Rennes, dans l’extension des capacités de l’Agence Nationale de Sécurité des Systèmes d’Informations (ANSSI) et dans d’autres programmes. Ces efforts se doivent d’être pérennisés car les enjeux sont grands. Il paraît aussi critique de s’ouvrir à l’Europe dans le cadre de nos programmes de sécurisation de l’information afin de donner une capacité plus large aux sociétés de contribuer à l’effort national et aussi de trouver de nouveaux marchés de croissance.

La sécurisation du patrimoine informationnel français doit être une priorité forte, et ce par la mise en place d’outils de sécurité mais aussi d’outils d’analyses, d’investigations et de réponses à incidents. Il faut se doter de capacité de compréhension afin de réagir au plus vite et comprendre afin de limiter les potentiels impacts. Un positionnement fort dans la Cyber est aujourd’hui aussi un enjeu de politique international, cela a été démontré lors de la présidence de Monsieur Obama, leur notamment des accords avec Monsieur XI JinPing sur la non inférence de l’état dans les vols de propriétés intellectuels des entreprises américaines.

Un des autres enjeux vus pendant cette campagne tournera clairement sur l’usage des réseaux sociaux et la propagation des Fake News. L’utilisation des outils informatiques nouveaux afin d’influencer les décisions des citoyens est un risque majeur qui se présentera pendant la prochaine présidence. La question qui se posera sera comment éduquer et accompagner les citoyens dans l’évolution de leurs capacités de jugement.

C’est cet enjeu qui nous amène clairement à un point fort qui est la Cyber comme relai de croissance pour l’état. La digitalisation de la vie du citoyen, l’informatisation de notre quotidien à travers les Smart Cities, L’Internet des Objets, La médecine accompagnée, l’intelligence artificielle … et la sécurisation de l’ensemble de ces nouveaux usages sont autant de nouveaux marchés et de nouvelles opportunités que le nouveau président de la République se devra de saisir. La mise en place de filière de formation, d’accompagnement à la recherche, de facilitation de création de StartUp sont des vecteurs de croissance important pour les prochaines années. Un point commun à tout cela en dehors de l’outil informatique est la confiance numérique ; le citoyen, le consommateur aura besoin d’une assurance de confiance, que ce soit dans l’usage de ses données personnelles, dans la qualité des outils qui lui sont proposées ou encore dans la disponibilité et la qualité des outils fournis.

Etre capable de sécuriser, de répondre à des incidents qui arriveront car la sécurité à 100% n’existe pas, seront aussi deux enjeux majeurs de la prochaine présidence si elle souhaite faire de cette opportunité cyber, une opportunité pérenne, il n’y a pas de relations longues sans confiance. L’arrivée des réglementations européennes comme la GDPR sont déjà un bon signe dans cette direction de la confiance, mais la mise en place de formations, d’informations, pourquoi pas dès le plus jeune âge à l’école, sont des éléments qui feront à coup sûr de la France une société en avance et pionnière dans la création d’emplois sur les usages de demain.

Pour conclure, la Cyber est un vrai enjeu de ce futur quinquennat, un enjeu géopolitique de stabilisation des institutions et de rayonnement dans le monde et un enjeu de croissance, de réduction du chômage et de transformation de notre société.  Si notre nouveau président sait saisir cette double opportunité nous en sortirons tous vainqueurs en tant que citoyens mais aussi en tant que pays. (Par David GROUT – Director Technical – PreSales, South EMEA)

BYOD, Communiqué de presse, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

La sécurité informatique à l’heure de la Génération Y

C’est un constat au quotidien : la sécurisation du réseau d’une organisation relève de la gageure. D’autant que la tâche est de plus en plus complexe face à l’émergence de la Génération Y.

 Cette génération du millénaire, celle qui regroupe les 20 – 35 ans, est de plus en plus représentée dans le monde. Plus d’un travailleur sur 3 aux États-Unis serait dans cette tranche d’âge, selon une étude de Pew Research Center. Et ce groupe démographique devrait compter pour environ 50% des travailleurs à l’horizon 2020, selon PwC.

La génération Y présente ses propres codes et désirs : elle partage sur les réseaux sociaux. Elle abhorre les expériences utilisateurs médiocres. Elle sollicite davantage de flexibilité dans le travail. Elle est prête à aller voir ailleurs si ses attentes ne sont pas prises en compte. Autant de caractéristiques qui impactent lourdement les cultures d’entreprise, mais qui, au-delà, imposent un réel challenge à la sécurité réseau de nombreuses organisations.

Voici trois points à prendre en compte dans cette transformation qui s’opère :

1. Maîtriser les médias sociaux

Faut-il ou non donner l’accès aux réseaux sociaux à partir du lieu de travail ? De nombreuses organisations se sont sans doute déjà posées la question.

Une étude de l’éditeur de logiciels RH CareerBuilder a interrogé un panel d’employeurs en Amérique du Nord. Pour 37% d’entre eux, les réseaux sociaux constituent un frein de productivité au travail, tout comme les téléphones mobiles et SMS (55%), l’utilisation d’Internet (44%) et les bavardages (39%). 3 employeurs sur 4 estiment que ce sont deux heures de travail qui sont, à minima, perdues chaque jour en terme de productivité, dressant ainsi le bilan des nombreuses distractions des collaborateurs.

Du point de vue de la sécurité réseau, les médias sociaux constituent un vecteur d’infection par les logiciels malveillants et attaques par ingénierie sociale. Combien de liens, partagés de manière innocente, finissent par réorienter les utilisateurs vers des sites web malveillants ? Quant aux collaborateurs qui utilisent les réseaux sociaux de manière professionnelle et avertie, se rendent cependant compte que leurs contacts et amis ne font pas toujours preuve de la même rigueur.

Il est simple, au niveau du réseau, de bannir ou de restreindre l’accès aux réseaux sociaux. Le filtrage statique des URLs permet de surveiller certaines URLs et empêche d’y accéder. La fonction de filtrage par catégorie permet de bloquer tout un ensemble de sites Web.

Mais cela ne veut pas dire pour autant que les DSI doivent bloquer l’accès aux réseaux sociaux dans le cadre du travail. Car une approche plus pertinente consiste à, avant toutes choses, identifier comment la sécurité réseau s’applique de manière globale. La définition de règles pertinentes pour les  médias sociaux, ainsi que la formation des collaborateurs, sont des étapes initiales importantes. A titre d’exemple, les équipes commerciales doivent être sensibilisées aux risques de sécurité et métiers qui résulteraient de la consultation des réseaux sociaux comme Facebook, à partir du lieu de travail ou du site d’un client.

La ligne de défense la plus efficace consiste à déployer une infrastructure de sécurité robuste et multicouche. Cette option est plus sure que de faire aveuglement confiance à des collaborateurs qui ne commettraient aucune erreur dans leur activités autour des réseaux sociaux.

2. De l’intérêt d’une sécurité multicouche

La sécurité multicouche est privilégiée par nombre d’organisations aujourd’hui, avec de multiples couches de sécurité qui collaborent pour protéger les données, des dispositifs et les personnes. Cette approche permet de contrer les attaques utilisant différents vecteurs au niveau du réseau, des applications, des dispositifs et des utilisateurs. Ces attaques sont détectées et neutralisées avant de pouvoir proliférer et la protection est active contre différents profils d’attaques.

Face aux changements qu’entraîne la Génération Y sur le lieu de travail, les DSI doivent repenser comment déployer chaque couche de sécurité.

Penchons-nous notamment sur l’utilisation des dispositifs personnels sur le lieu de travail. Selon une étude de McKinsey & Company, environ 80% des entreprises permettent désormais aux collaborateurs d’utiliser leurs dispositifs personnels pour se connecter aux réseaux de l’entreprise. De plus en plus, les collaborateurs s’attendent à ce que les départements informatiques autorisent un accès à partir des dispositifs personnels vers des applications corporate comme l’email et l’agenda. Cette tendance, appelée BYOD (Bring Your Own Device), n’est pas exempte de menaces de sécurité.

Plus particulièrement, les DSI doivent renforcer la sécurité des terminaux. La première étape consiste à protéger ces terminaux eux-mêmes, à l’aire de pare-feux, d’anti-malware, d’outils de gestion des flottes mobiles et d’une application régulière des patchs disponibles. En acceptant le BYOD, les entreprises s’exposent par ailleurs au risque de piratage des dispositifs personnels des collaborateurs qui se contentent d’utiliser des mots de passe faibles. L’application de règles pertinente et la sensibilisation des collaborateurs à opter pour des mots de passe forts deviennent ainsi une priorité.

Génération Y et le sans fil – Il est également recommandé de pouvoir identifier le type de dispositif, pour ainsi n’autoriser les dispositifs les moins sécurisés (smartphones par exemple) que sur certains segments du réseau. Les sessions doivent également être sécurisées, pour empêcher les utilisateurs d’accéder à des sites Web peu sécurisés.

De manière similaire, les outils de défense de l’utilisateur doivent être renforcés pour lutter contre le risque, toujours plus important, que représentent les menaces internes. Cette couche est souvent la plus complexe à gérer puisqu’il s’agit de trouver le bon équilibre entre sécurité et utilisation conviviale. Vous pouvez également activer différentes méthodes d’authentification pour identifier les utilisateurs réseau et leur attribuer des niveaux d’accès différents. Enfin, c’est la prise de conscience des utilisateurs face aux risques et leur formation sur le sujet qui sont également des priorités.

3. Garder la main sur le Shadow IT

Le Shadow IT fait référence à ces applications et services, souvent basés dans le Cloud, et non contrôlés par l’organisation, soulignant ainsi un réel défi en matière de sécurité et de gouvernance.

Considérons un utilisateur lambda qui ouvre un fichier corporate sur son smartphone. L’appareil va sans doute copier le fichier vers, par exemple, un   espace en ligne non approuvé, simplement lors de l’exécution d’une sauvegarde programmée. Voilà comment vos données corporate sécurisées peuvent être transférées vers un lieu non sécurisé.

De la même façon, les nombreuses applications de collaboration sociale si appréciées par cette Génération Y sont susceptibles de faire migrer des informations corporate vers des espaces peu sécurisés.

Il ne suffit par d’interdire unilatéralement à ces collaborateurs l’utilisation des dispositifs et applications non-validées pour que cette règle soit scrupuleusement appliquée.

Face à l’omniprésence des smartphones, les collaborateurs continueront à utiliser leurs réseaux sociaux ou leur cloud personnel, que vous le vouliez ou pas.

En revanche, la sensibilisation des collaborateurs et le déploiement de  technologies de sécurité sont des axes plus pertinents pour maîtriser les risques, qu’il s’agisse du chiffrement des données, d’un contrôle d’accès ou du monitoring du trafic.

D’un point de vue plus large, le Shadow IT émerge lorsque vos collaborateurs ne sont pas satisfaits des outils offerts par leur organisation. Alors que les DSI ne peuvent empêcher les collaborateurs de rechercher des applications alternatives, de collaboration par exemple, ils peuvent maîtriser les risques en  prenant mieux en compte les besoins et attentes de leurs utilisateurs. (Christophe Auberger, Directeur Technique France Fortinet)

Biométrie, Communiqué de presse, Cybersécurité, Emploi, Entreprise, Mise à jour

Protection des données, vie privée et biométrie: l’Université suisse à distance distance university lance une formation en ligne

Protection des données, vie privée et biométrie: l’Université suisse à distance distance university lance une formation en ligne unique en Europe.

Accéder à son smartphone avec son empreinte digitale, entrer dans son entreprise par un terminal de reconnaissance faciale, voyager grâce à son identité biométrique… les technologies biométriques régissent peu à peu nos actes de tous les jours, changeant les enjeux en matière d’identité des citoyens et de la vie privée.

Aujourd’hui, de nombreuses entreprises, administrations et organisations sont confrontées aux questions soulevées par les nouvelles technologies en matière de protection des données. Reconnaissant leurs besoins, l’Université suisse à distance (UniDistance) et l’Institut de recherche IDIAP ouvrent une formation unique en Europe, le 1er avril 2017 : un Certificate of Advanced Studies in Biometrics and Privacy, enseigné en ligne par les meilleurs experts européens.

Maîtriser les défis à venir et se préparer à la nouvelle loi européenne sur la protection des données

Pour la première fois, une formation aborde l’ensemble des aspects liés à la biométrie: technologies, lois, règles et normes en matière de protection des données et de vie privée, aspects éthiques, culturels et sociaux ou encore sciences criminelles.

La nouvelle législation européenne sur le traitement des données, qui vise à préparer l’Europe à l’ère numérique, entrera en vigueur en mai 2018. Applicable à toutes les entreprises et organisations qui offrent des services, elle exige de ces dernières l’instauration de systèmes de gestion des données et des risques. La formation proposée les préparera de manière optimale à cette situation nouvelle.

Un programme unique enseigné par les meilleurs experts en Europe  

Le nouveau programme, extrêmement flexible, est enseigné en ligne. Les participants déterminent leur planning et le rythme de leurs études, quel que soit le pays où ils se trouvent. Une solution idéale pour concilier formation avec obligations professionnelles et familiales. Le diplôme, conçu conformément aux Accords de Bologne, est reconnu dans tous les États membres de l’Union Européenne.

Les cours seront dispensés par les meilleurs spécialistes internationaux. Citons le Dr Sébastien Marcel, expert en systèmes de reconnaissance et d’apprentissage machine, chercheur senior en biométrie à l’institut de recherche IDIAP, Suisse, la Prof. Katerina Kitrokotsa, Associate Professor à la faculté d’informatique de la Chalmers University, Suède, la Prof. Els Kindt, chercheuse en eLaw à Leiden University, Belgique ou encore le Dr Emilio Mordini, Président de Responsible Technology SAS, France.

Pour de plus amples informations: http://www.distanceuniversity.ch/cas-biometrics

UniDistance est le seul institut universitaire à distance – distance university – reconnu par le gouvernement suisse. Depuis 1992, il propose des formations académiques de type Bachelor et Master notamment dans les domaines du droit, de la psychologie, de l’économie et des sciences historiques. http://www.UniDistance.ch

L’Institut de Recherche Idiap est une fondation à but non lucratif spécialisée dans la recherche et le développement dans le domaine de la gestion de l’information multimédia. Cet institut abrite le centre suisse d’excellence en biométrie (Swiss Center for Biometric Research and Testing), qui a pour mission de développer les technologies liées à la sécurité des données biométriques et de faciliter la collaboration entre les chercheurs et les entreprises. http://www.idiap.ch

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Piratage

Protection du secteur ferroviaire contre les cybermenaces

L’avenir de la cybersécurité dans le secteur ferroviaire sera examiné au prochain Rail Cyber Security Summit (Sommet sur la cybersécurité dans l’industrie ferroviaire) qui se tiendra à Londres en mars 2017.

Désormais à sa deuxième édition, la manifestation qui aura lieu les 14 et 15 mars 2017 à l’hôtel Copthorne Tara Kensington de Londres réunira des professionnels du transport ferroviaire, des leaders mondiaux et du gouvernement spécialisés en cybersécurité et des universitaires du domaine.

La connectivité avancée et la numérisation des systèmes ferroviaires peuvent améliorer grandement l’exploitation du secteur ferroviaire, en assurant une efficacité et une optimisation élevées, en réduisant le bilan carbone tout en offrant de la valeur ajoutée aux propriétaires d’actifs, aux actionnaires et aux passagers. Cependant, ces avancées rendent l’infrastructure ferroviaire vulnérable aux cyberattaques, qu’elles soient provoquées par des menaces internes ou par des logiciels malveillants. Traditionnellement protégé contre ces menaces, le secteur ferroviaire est à l’heure actuelle bien plus vulnérable en raison de l’adoption des capteurs machine à machine, de l’Internet des objets ainsi que de la convergence de l’informatique et des technologies opérationnelles. Par conséquent, la mise en place de mesures de défense est indispensable à sa prospérité.

Avec la participation de conférenciers professionnels, notamment Stephen Cummins (Directeur de la cybersécurité ferroviaire auprès du ministère britannique des Transports), Tom Lee (Directeur adjoint Standards & Professional Responsable du CCS, Rail Standards and Safety Board) et Chris Blask (Directeur, ICS ISAC et Cyber Space Research, Institute Webster University), le sommet abordera des aspects cruciaux de la cybersécurité dans le secteur ferroviaire, dont les suivants :

Les menaces actuelles et futures et la riposte de l’industrie
L’importance de la « Security by Design » (sécurité assurée dès la conception)
Les défis à relier l’informatique et les technologies opérationnelles lors du déploiement d’une architecture axée sur l’entreprise.
Comment favoriser une prise de conscience

James Nesbitt, Fondateur du Cyber Senate, a commenté l’événement en ces termes : « Outre les nombreuses possibilités d’accroître l’efficacité du secteur ferroviaire, la technologie numérique l’a malheureusement rendu vulnérable aux cyberattaques susceptibles d’entraîner de graves conséquences. »

Pour en savoir plus : http://www.railcybersecurity.com

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle

Le patron sourd aux attaques informatiques ?

Si les RSSI en Europe tiennent la forme au plan de la cybersécurité, les échanges avec leurs directions s’avèrent tendus s’agissant de la notification des attaques. L’étude commandée par Palo Alto Networks établit également que les responsables de la sécurité informatique accueillent favorablement la législation de l’UE, mais redoutent les coûts et contraintes opérationnelles.

Une idée reçue veut que les professionnels de la sécurité informatique en Europe soient sous la coupe de leurs adversaires en matière de cybersécurité. Pourtant, une nouvelle étude approfondie sur les mentalités actuelles, réalisée pour Palo Alto Networks par un cabinet indépendant, met en évidence une profession plus déterminée et sûre d’elle qu’on ne pourrait le croire.

Les véritables tensions ressenties par les responsables de la sécurité informatique dans leur vie professionnelle ont trait aux échanges difficiles qu’ils ont immanquablement avec leurs supérieurs hiérarchiques au sujet des conséquences de ces attaques. Le rapport met également en évidence la nécessité de muscler les systèmes et processus, dans la perspective de notification des failles de sécurité exigée par le Règlement général de l’Union européenne sur la protection des données (RGPD) et la Directive NIS sur la sécurité des réseaux et des systèmes d’information.

Par ailleurs, plusieurs années de cyberattaques n’ont pas fait chanceler les professionnels de la sécurité informatique, au contraire : ils sont encore plus expérimentés et résolus à les contrer. Interrogés sur la manière dont ils réagiraient face à un cyberincident, ils avouent, pour la majorité (60 %), qu’ils y verraient là l’occasion de tirer les leçons de cette expérience et de rebondir ; 9 % seulement songeraient à donner leur démission. En Europe, la stratégie dominante consiste à tout miser sur la prévention puisque, en moyenne, 65 % du budget de la sécurité informatique lui est consacrée.

Là où les professionnels de la sécurité informatique sont moins à l’aise, c’est dans leurs relations avec la direction de l’entreprise :

·    Perplexité des hauts responsables sur les questions de sécurité – Après une faille de sécurité, près du tiers (32 %) des professionnels de la sécurité informatique constatent le désarroi de leurs supérieurs hiérarchiques, totalement perplexes sur les causes réelles de cet incident ; si, pour près d’un professionnel interrogé sur cinq, la direction rejette la responsabilité sur l’équipe en charge de la sécurité informatique, elle adresse personnellement des reproches à un professionnel sur dix.

·    La sécurité est un sujet de conversation délicat – Si la moitié des professionnels de la sécurité informatique (51 %) ont bien du mal à attirer l’attention de leur direction sur les déficiences éventuelles des systèmes de sécurité, le reste (49 %) a davantage de difficultés à admettre que quelque chose n’a pas fonctionné et qu’une faille s’est produite. Le dialogue devient extrêmement compliqué lorsque l’erreur humaine est en cause (28 %), que la faute est imputable à un fournisseur (23 %) et que davantage d’investissements sont nécessaires pour limiter les risques à l’avenir (21 %).

·    Impliquer la direction risque de se retourner contre eux – Le tiers des professionnels de l’informatique estime qu’en associant la direction, ils ne font que compliquer les choses. À noter que la troisième raison la plus couramment avancée pour ne pas signaler un incident tient au fait que la personne à l’origine de celui-ci faisait partie de l’équipe dirigeante.

·    La législation européenne ne fait qu’accroître les tensions managériales en interne – Près de la moitié des professionnels de l’informatique (47 %) s’attendent à des échanges « corsés » avec leur direction concernant ces nouvelles exigences de notification en matière de failles de sécurité. Même si la majorité (63 %) voit d’un bon œil l’impact de cette législation, les participants à l’étude s’inquiètent des coûts et complications supplémentaires induits ainsi que des contraintes opérationnelles que les nouveaux textes risquent d’entraîner (56 %). Si la principale raison avancée aujourd’hui pour ne pas faire état d’une faille de sécurité a trait au caractère insignifiant de celle-ci (30 % des cas) ou au manque de temps du professionnel de l’informatique (27 %), il est évident que d’immense défis restent à relever.

« Tensions et méconnaissance sont manifestes, au vu de cette étude. Dans mes échanges avec les acteurs en région EMEA, je consacre énormément de temps à les aider à déterminer dans quelle mesure les professionnels de la sécurité informatique et le reste des équipes dirigeantes peuvent se rapprocher sur des questions de cybersécurité aussi complexes et stratégiques. La technologie peut contribuer à simplifier les processus en jeu, en prévenant les incidents et en automatisant les réponses à apporter. Mais, à l’évidence, un dialogue plus ouvert s’impose au sein même de l’équipe dirigeante afin de mettre en œuvre et perfectionner perpétuellement les stratégies de prévention des cyberattaques »,  Greg Day, vice-président et directeur régional de la sécurité EMEA, Palo Alto Networks

Réussir à parler un même langage : Nombre de hauts responsables ont des difficultés à appréhender le cyber-risque. Faites en sorte qu’ils parviennent à le maîtriser en définissant des indicateurs clairs en matière de cybersécurité :

·    Dans le cadre de votre stratégie de prévention, associez ces dirigeants à un exercice de préparation destiné à tester les processus de cybersécurité ; ils pourront ainsi mesurer pleinement les problématiques et les risques.

·    Insistez sur le fait qu’avec les nouvelles réglementations, comme le RGPD et la Directive NIS, les responsabilités de l’entreprise sont accrues. Même si la nécessité d’une cybersécurité de pointe n’a jamais été aussi forte, gardez à l’esprit que le parcours de l’équipe de direction n’a rien d’un long fleuve tranquille.

Les incidents sont inévitables, alors préparez-vous à les affronter. Sachez néanmoins que vous pouvez éviter nombre d’entre eux en vous recentrant sur certains principes clés, en tirant parti de l’automatisation, en misant sur la formation et en privilégiant la prévention.

Argent, Arnaque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, escroquerie, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, Social engineering

Cybersécurité/Cyberattaque : les mauvaises habitudes persistent

Cyberattaque : Bien que la prise de conscience s’améliore pour 82 % des entreprises, elles peinent toujours à mettre en place les bonnes pratiques dans les domaines critiques.

Alors que 82 % des organisations constatent une progression de l’industrie de la sécurité informatique dans la lutte contre les cybermenaces, cette prise de conscience est entamée par des pratiques sécuritaires volontairement nuisibles dans des domaines sensibles comme la sécurité des comptes à privilèges, l’accès à distance de fournisseurs tiers et le cloud, selon les résultats d’une étude internationale commissionnée et publiée par CyberArk.

La 10e enquête annuelle internationale « Threat Landscape Report » sur le paysage des menaces avancées 2016 de CyberArk, porte sur « la cybersécurité : hier, aujourd’hui et demain ». Ce rapport examine si les entreprises internationales ont appris et appliqué les leçons sur les cyberattaques, et comment leurs priorités en termes de sécurité et de prises de décisions sont influencées.

Malgré les campagnes de sensibilisation, les mauvaises pratiques de sécurité sont toujours présentes
L’importante médiatisation des cyberattaques a renforcé la prise de conscience actuelle sur la nécessité d’une cybersécurité renforcée. Toutefois, puisque les bonnes pratiques en termes de protection ne sont pas pour autant renforcées, les progrès des entreprises dans ce domaine sont directement impactés.

.         79 % des entreprises interrogées indiquent avoir tiré des leçons des principales cyberattaques et avoir mis en place les actions nécessaires pour améliorer leur sécurité contre 76 % en France.

o   67 % pensent qu’à l’heure actuelle leurs PDG ou membres du conseil d’administration assurent une direction claire en matière de cybersécurité, contre 57 % en 2015.

o   Cette prise de conscience a engendré plusieurs actions majeures : le déploiement de solutions de détection de malwares (25 % au niveau global, 32 % en France), de sécurité des points d’accès (24 % au niveau global, 30 % en France) et d’analyses de sécurité (16 % au niveau global contre 17 % en France).

·          55 % des répondants indiquent que leur organisation a changé et adopté des processus avancés pour la gestion des comptes à privilèges. Cette proportion s’élève à 61 % pour la France.

o   Malgré cela, 40 % des organisations stockent toujours les mots de passe admin et de comptes à privilèges dans un document Word ou Excel, et 28 % utilisent un serveur partagé ou une clé USB.

·         49 %, soit près de la moitié des organisations, autorisent des fournisseurs extérieurs (comme les entreprises de gestion logistique et informatique) à accéder à distance à leurs réseaux internes.

o   Bien que la majorité des sondés sécurisent et surveillent cet accès, les entreprises du secteur public sont celles ayant le moins de contrôle en place pour l’accès des fournisseurs extérieurs ; 21 % d’entre-elles n’ont aucune sécurité et 33 % ne surveillent pas cette activité.

Un cyber-état d’esprit : trouver l’équilibre entre peur et excès de confiance
Les organisations adoptent de plus en plus un état d’esprit post-intrusion, c’est-à-dire qu’elles se préparent à gérer une cyberattaque et à adapter leur activité en cas d’intrusion. Cette anticipation conduit à des mesures positives pour la planification post intrusion, mais on peut se demander si cet excès de confiance n’affecte pas leur capacité à se protéger contre les cyberattaques :

·         En 2016, 75 % soit trois personnes sur quatre ayant un pouvoir décisionnel dans les services informatiques pensent pouvoir empêcher des pirates informatiques de s’introduire dans leur réseau interne, contre 44 % en 2015.

o   Cela dit, 36 % pensent qu’un pirate informatique a actuellement accès à leur réseau ou y a accédé au cours des 12 derniers mois.

o   46 % pensent que leur organisation a été victime d’une attaque par ransomware au cours des deux dernières années.

·         82 % des sondés pensent à présent que l’industrie de la sécurité informatique fait en général des progrès contre les cyberattaques.

o   17 % pensent que le secteur est en déclin.

·         Presque toutes les organisations (95 %) ont un plan de réponse cyber-sécuritaire d’urgence.

o   Cette préparation appropriée est affectée par un manque de communication et de tests ; seules 45 % des entreprises communiquent et testent régulièrement leur plan avec l’ensemble du personnel de leurs services informatique.

·         68 % des organisations indiquent que perdre leurs données clients est l’une de leurs préoccupations principales en cas de cyberattaques.

o   60 % des utilisateurs du cloud y stockent leurs données clients.

o   57 % des organisations qui stockent des informations sur le cloud ne font pas entièrement confiance à leur fournisseur cloud et à sa capacité à protéger leurs données.

·         Concernant l’identification des étapes les plus difficiles à gérer lors d’une cyberattaque, les installations intempestives de malware sont classées en premier (41 %), suivies par une appropriation des comptes à privilèges (25 %).

A observer : émergence de futurs risques
Alors que les cyberattaques continuent d’être commises contre des institutions de confiance comme les gouvernements, les systèmes financiers et les services publics, les sondés ont identifiés quels types de cyberattaques ou de cyber tactiques les inquiètent le plus. Les répondants ont également partagé les scénarios qui selon eux représentaient la menace potentiellement la plus catastrophique.

·         Les sondés listent les types de cyberattaques suivantes comme étant leur première préoccupation pour les 12 mois à venir : attaques par déni-de-service distribué (DDoS) (19 %), l’hameçonnage (14 %), les ransomwares (13 %), l’exploitation des comptes à privilèges (12 %) et les intrusions de périmètre (12 %).

·         Les attaques contre les systèmes financiers, y compris la perturbation de marchés internationaux est la menace qui est perçue par 58 % des personnes interrogées comme étant potentiellement la plus catastrophique, suivie par les attaques endommageant massivement les ressources primaires (55 %) et celles ayant un impact sur les services publics comme les services de santé et les hôpitaux (51 %). En France, 48 % partagent le sentiment relatif aux systèmes financiers, mais 73 % estiment qu’une cyberattaque de grande ampleur contre des infrastructures critiques pouvant conduire à des pannes de courant ou des problèmes pouvant toucher la qualité de l’eau par exemple seraient catastrophiques.

Cyberattaque : L’impact d’une intrusion dans les données clients et la responsabilité des entreprises
L’enquête a montré une image globale variée en termes de préparation pour une surveillance réglementaire accrue et en termes d’impact sur des programmes de cybersécurité et de responsabilité :

·         Cyberattaque : Même si 70 % des sondés indiquent que la menace d’actions en justice et d’amendes influence le niveau d’implication des cadres ou des conseils d’administration, 22 % ne prend pas en compte les frais d’amendes ou de justice (19 %) dans le coût potentiel d’une intrusion.

·       Cyberattaque : Ce qui inquiète le plus les sondés internationaux sur les conséquences d’une cyberattaque est la perte de données client (68 %), d’informations financières (52 %), de la confiance des clients (35 %), de leur réputation (33 %) et de leur capacité à opérer (32 %).

·        Cyberattaque : Presque sept sondés sur dix (69 %) ont déclaré que leur priorité en cas de cyberattaque serait de stopper l’intrusion, d’expulser les intrus, puis de détecter la source de l’intrusion (53 %).

o   Peu de répondants ont mis le fait de notifier leur conseil d’administration ou leur PDG (26 %), l’ensemble du personnel (25 %) et les clients (18 %) comme une priorité.

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Mise à jour

European Cyber Week : J’entends le loup, le renard et le hacker

Du 21 au 25 novembre, la Bretagne va accueillir l’ European Cyber Week. Cinq jours dédiés à la sécurité informatique.

La ville de Rennes, en Bretagne, va accueillir, du 21 au 25 novembre 2016, l’ European Cyber Week. Derrière ce titre, le Pôle d’excellence cyber [Créé en 2014, on y retrouve dans son conseil d’administration le Vice Amiral Arnaud Coustillière et Madame Marie-Noëlle Sclafer représentants le Ministère de la Défense, NDR]. Ce rendez-vous va proposer 7 rendez-vous dédiés à la sécurité informatique. Une première à Rennes.

Au programme de l’ European Cyber Week : état des avancées technologiques en matière de cyberdéfense et de cybersécurité (C&ESAR) ; l’Internet des objets ; le lien entre recherche et entreprises de la cybersécurité ; Peer learning entre régions européennes sur le développement de la cybersécurité en tant qu’activité économique ; un colloque sur l’état de l’art de la recherche en matière de sécurité des réseaux électriques intelligents et un challenge de hacking éthique.

L’ European Cyber Week est financé et épaulé par le Conseil régional de Bretagne, le ministère de la Défense, DGA Maîtrise de l’information, BDI, EIT Digital, Images & Réseaux, Rennes Atalante, INRIA, Université de Rennes 1, Telecom Bretagne, Meito et avec le soutien de l’Union européenne.

La Bretagne dispose d’un peu plus de 120 entreprises spécialisées dans la cybersécurité. En 2014, la Région avait lancé un appel à projets baptisé « solutions nouvelles de cybersécurité« . Une enveloppe de 593 000€ avaient été partagées entre 13 sélectionnés : Prescom, Med E Com, Frogi Secure, Interface Concept, AriadNext, DareBoost, Opale Security, Amossys [présent dans le conseil d’administration du Pôle d’excellence cyber], First Wan Delivery Network, Tevalis, Celtpharm. En juin 2016, 800 000€ étaient proposés dans un nouvel appel à projet. Un appel qui se cloture dans quelques semaines. (7Seizh)