Archives de catégorie : Emploi

Argent, Banque, Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Paiement en ligne, Particuliers, Phishing, Social engineering

Chantage informatique saveur Macaron

Une entreprise de Montmorillon piratée. Sa base de données volée. Les pirates ont tenté de faire chanter la PME spécialisée dans les Macarons.

Les amateurs de Macarons connaissent l’artisan Rannou-Métivier. Cette entreprise familiale basée à Montmorillon, dans la région de Poitiers, est spécialisée dans cette petite gâterie sucrée qu’est le macaron. Des pirates informatiques ont jeté leur dévolu sur le site Internet de la société. Une faille SQL plus tard et les malveillants sont repartis avec la base de données [BDD].

Une BDD comprenant les informations clients : mails et mots de passe. « Notre service informatique a immédiatement réagi pour renforcer la sécurité du site. Cependant, des données ont déjà été volées » souligne dans le courriel envoyé aux clients de Rannou-Métivier. Les pirates ont réclamé de l’argent à la société. En contre partie, les voyous du web ne diffuseraient pas les informations collectées. Depuis, le chiffrement des sésames a été instauré, espérons juste que cela n’est pas un modeste format MD5 et que les pirates ne diffuserons pas les informations volées.

Une attaque qui démontre une fois de plus l’intérêt des base de données pour le blackmarket. Si cette derniére ne peut-être vendue, ce qui ne veut pas dire  que les données n’ont pas été diffusés dans le BM, les pirates n’hésitent plus à contacter les victimes pour « dealer » une rançon. L’année derniére, le groupe Rex Mundi s’était spécialisé dans ce type de chantage à la base de données clients. [La Nouvelle république]

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Mise à jour

Oublier son mot de passe peut coûter 1 million d’euros par an

2 commentaires

Un exemple intéressant sur le problème de gestion des mots de passe. L’entreprise Allemande Volkswagen indique que les mots de passe perdus par ses employés lui coutent plusieurs centaines de milliers d’euros.

Oublier son mot de passe a un coût. Le constructeur automobile Allemand Volkswagen vient d’expliquer qu’oublier son mot de passe, et donc en changer, lui couterait 1 million d’euro par an. Un courriel a été envoyé aux 70 000 employés officiant à la maison mère basée, à Wolfsbourg (Allemagne), en leur demandant de faire attention.

Il faut dire aussi qu’après le scandale des moteurs trafiqués, VW tente de contrer la moindre perte d’argent qui viendrait rogner ses bénéfices. Pour permettre aux informaticiens de la marque de travailler à autre chose qu’à la modification d’un mot de passe, la direction indique que le personnel doit utiliser l’application interne permettant cette réinitialisation automatisée. Bref, il n’y a pas de petites économies.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, IOT

Prendre en compte la sécurité dans le développement des smart cities : nouvel enjeu pour les gouvernements

Alors que le concept de smart cities (villes intelligentes) devient de plus en plus une réalité les problématiques concernant leur sécurité le deviennent également. Que peut-on faire pour s’assurer que les pratiques de sécurité mises en place soient adaptées à cette réalité ? Par Ismet Geri, vice-président Europe du Sud chez ForgeRock.

Le concept de smart city n’est plus une idée futuriste et lointaine. Il s’agit d’une véritable initiative que les gouvernements du monde entier adoptent. Toutefois, alors que l’Internet des Objets (IdO) continue à stimuler le développement des smart cities, il accroît également la nécessité de faire face aux problèmes liés à la sécurité qui vont de pair avec elles.

Au début du lancement de la première vague d’implémentations de l’Internet des Objets, il y a quelques années, la communication et la connectivité étaient naturellement les objectifs principaux. Le fait de se connecter au réseau de « simples » objets tels que les téléviseurs, les ampoules et les thermostats représentait une importante avancée technique. Ces nouveaux « objets » connectés donnaient de tels résultats que les aspects concernant la gestion des accès et de l’identité étaient souvent négligés.  Alors que les communications de l’IdO gagnent en maturité et en stabilité, nous comprenons maintenant mieux les vulnérabilités et les risques potentiels relatifs à la perte de données.

L’impressionnante quantité d’appareils de l’Internet des Objets offre un important vecteur d’attaque à des personnes malveillantes. À l’échelle d’une ville dans laquelle des milliers d’appareils communiquent simultanément à la fois avec des utilisateurs et entre eux, les implications en matière de sécurité sont importantes. Les villes intelligentes représentent la cible idéale pour les pirates informatiques souhaitant créer des réseaux de style botnet constitués d’appareils compromis et s’en servir afin d’exécuter des tâches différentes de celles pour lesquels ils étaient destinés à l’origine.

Par exemple, imaginez qu’un pirate informatique puisse compromettre le système gérant le flux de trafic d’une ville et qu’il fasse passer au rouge tous les feux de signalisation du centre-ville aux heures de pointe. Associez cela à des interférences sur les stations de radio locales : il ne serait alors plus possible d’avertir les citoyens. Alors que les automobilistes emprunteraient leur chemin habituel pour se rendre au travail sans se douter des problèmes, la ville entière risquerait de se retrouver embouteillée en l’espace de quelques minutes. Non seulement cet incident coûterait de l’argent à la ville du point de vue de la productivité, mais les services d’urgence ne pourraient également pas intervenir rapidement, ce qui pourrait potentiellement coûter des vies.

Comment peut-on réduire les menaces ?
Pour empêcher les menaces de cette nature, il faut en premier lieu comprendre d’où elles proviennent. La meilleure manière d’y parvenir consiste à s’assurer que chaque appareil connecté dans l’infrastructure de la ville intelligente, qu’il s’agisse d’une voiture, d’un réverbère ou d’un détecteur de tremblements de terre, dispose d’une identité validée et est correctement relié au réseau. En effet, si un appareil est identifiable, il est bien plus facile de confirmer que les données qu’il génère sont authentiques et qu’il est possible de leur faire confiance. En outre, cela signifie surtout que si l’appareil tente d’exécuter une action sans en avoir l’autorisation, il peut être identifié et son action peut être empêchée.

Des efforts axés sur une gestion des risques efficace
Il est irréaliste d’attendre d’un réseau qu’il soit entièrement exempt de comportements malveillants. Même si les meilleures mesures en matière de sécurité sont prises, quelqu’un/quelque chose finira par s’y introduire étant donné le grand nombre de vecteurs d’attaques et de menaces qui existent. À ce titre, une gestion des risques efficace est l’élément clé pour évaluer les menaces et y réagir dans n’importe quelle smart city.  Des contrôles et, de manière plus importante encore, des plans de restauration doivent également être mis en place non seulement pour réduire l’étendue du risque, mais aussi pour réagir activement une fois un problème décelé.

L’infrastructure publique représentera toujours une cible particulièrement attractive pour les criminels et les terroristes. Par conséquent, il est essentiel de prendre des mesures efficaces à cette échelle afin de sécuriser les smart cities. Tout programme visant à sécuriser les smart cities doit être vérifié régulièrement afin de garantir que les dernières innovations y soient intégrées et qu’il soit toujours conforme. En association avec la gestion de l’identité et une connaissance solide des vecteurs de menaces, ces mesures devraient suffire à protéger des smart cities qui ne cessent d’évoluer.

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, IOT, Social engineering

L’employés, le vilain petit canard de la données sensibles

Selon une étude réalisée par Kaspersky Lab et B2B International en 2015, 73 % des entreprises auraient été touchées par des incidents internes de sécurité informatique. La principale cause de fuites de données confidentielles reste les employés (42 %).

À mesure que l’infrastructure informatique d’une entreprise s’étend, il en va de même pour le paysage des menaces : à nouveaux composants, nouvelles vulnérabilités. La situation est aggravée par le fait que les employés – en particulier ceux ne possédant pas de connaissances spécialisées – ne sont pas tous en mesure de suivre les évolutions rapides de l’environnement informatique. C’est ce que confirme une récente enquête, révélant que 21 % des entreprises touchées par des menaces internes ont perdu de précieuses données, avec à la clé des conséquences sur leur activité. Il est utile de préciser que l’étude recense les cas de fuites accidentelles (28 %) et intentionnelles (14 %).

Les incidents internes, pas toujours des accidents
En dehors des fuites de données, les menaces internes concernent principalement la perte ou le vol des équipements mobiles des employés. 19 % des responsables interrogés reconnaissent égarer au moins une fois par an un mobile contenant certaines données de leur entreprise. Un autre facteur important concerne les fraudes au sein du personnel. 15 % des participants à l’enquête se sont retrouvés face à des situations où certaines ressources de leur société, notamment financières, ont été utilisées par des employés à des fins personnelles. Si ce pourcentage paraît faible, les pertes causées par ces incidents sont supérieures aux dommages résultant des fuites de données confidentielles dans les grandes entreprises. Les PME perdent jusqu’à 40 000$ euros en moyenne en raison d’activités frauduleuses de leurs employés, tandis que ce chiffre dépasse 1,3 million de dollars pour les grandes entreprises.

« Une solution de sécurité à elle seule ne suffit pas pour protéger les données d’une entreprise. Et c’est ce que confirment les résultats de cette étude », commente à DataSecurityBreach.fr Konstantin Voronkov, responsable des produits pour les postes de travail chez Kaspersky Lab. « Les entreprises ont besoin d’une approche intégrée à plusieurs niveaux, s’appuyant sur une veille de sécurité et d’autres mesures complémentaires. Ces mesures peuvent comprendre l’utilisation de solutions spécialisées et l’instauration de règles de sécurité, portant par exemple sur une restriction des droits d’accès. »

Etude menée auprès de 5500 spécialistes dans plus de 25 pays à travers le monde.

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, IOT, Social engineering

Mieux sensibiliser le personnel pour mieux prévenir les cyberattaques

D’après les conclusions d’une enquête, un responsable européen sur sept fait courir des risques à son entreprise en connaissance de cause, malgré un budget « cybersécurité » se chiffrant en milliards.

Une nouvelle enquête vient de pointer le bout de ses chiffres sur la sécurité informatique en entreprise. Signée par Palo Alto, les conclusions sur les attitudes en matière de cybersécurité des dirigeants et des cadres des entreprises européennes pourraient inquiéter sur le comportement numérique de ces derniers. Un nombre alarmant d’employés haut placés fait sciemment courir des risques en matière de cybersécurité aux entreprises, les principales raisons invoquées étant la frustration engendrée par les politiques d’entreprise et la mauvaise compréhension des menaces en ligne.

Cette étude montre que les actions des décisionnaires mettent à mal le budget de 35,53 milliards de dollars que les entreprises européennes prévoient de consacrer à la cybersécurité à l’horizon 2019. De fait, 27 % des répondants reconnaissent avoir exposé leur entreprise à une cybermenace potentielle, sachant que 14 % déclarent en avoir eu conscience au moment des faits.

Trouver l’équilibre entre sécurité et fonctionnalité
Si, dans un cas sur quatre, les auteurs de ces actions ont affirmé ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne, la quasi-totalité des répondants (96 %) a néanmoins jugé que la cybersécurité devrait être une priorité pour leur entreprise. Le principal motif invoqué par les employés pour expliquer le non-respect des politiques d’entreprise est la nécessité de recourir à un outil ou à un service plus efficace que celui utilisé par l’entreprise, ou le fait que ces outils étaient considérés comme les meilleurs sur le marché. Cette tendance est confirmée par les 17 % de répondants indiquant que la politique de sécurité de l’entreprise est frustrante et les empêche d’accéder à des outils et à des sites qui contribueraient à accroître leurs performances professionnelles. L’éducation des employés est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair.

Non-respect des règles de sécurité par les cadres supérieurs
Les résultats de l’enquête indiquent que tout employé, quel que soit son service ou son degré d’ancienneté, est susceptible d’entreprendre des actions contestables ou de se forger une opinion erronée. Dans un cas sur dix, les répondants ont déclaré avoir été témoins du non-respect des lignes directrices de l’entreprise par un cadre ; et à cette question, un cadre supérieur sur quatre a effectivement reconnu avoir exposé son entreprise à une menace potentielle en connaissance de cause.

Responsabilité
D’après cette étude, un dirigeant sur cinq (18 %) ne considère pas avoir un rôle personnel à jouer dans les efforts de son entreprise en matière de cybersécurité ; et en cas d’attaque perpétrée avec succès, seul un sur cinq (21 %) pense que l’employé à l’origine de la faille devrait être tenu pour responsable, la majorité des répondants (40 %) estimant que la responsabilité devrait être rejetée sur le service informatique.

Les actions des employés n’ont pas forcément des répercussions visibles immédiatement, dans la mesure où les attaques se produisent souvent dans un deuxième temps. Aussi les entreprises peuvent-elles avoir du mal à en identifier l’origine. Étant donné que les deux tiers des employés n’ont pas encore conscience que chacun a un rôle à jouer dans la prévention des cyberattaques, il est évident que les entreprises doivent agir en 2016 sur le terrain de l’éducation en matière de cybersécurité.

« Ces conclusions suggèrent que les employés haut placés sont trop confiants et sont enclins à prendre des risques en partant du principe que “cela n’arrive qu’aux autres”. L’évolution des réglementations va faire la lumière sur ce qui se passe vraiment en Europe dans les prochaines années, et mettra ainsi un frein à ce type de comportement. Cela laisse également entendre que la cybersécurité est encore considérée par beaucoup comme une mesure prise pour l’entreprise, et non comme une ligne directrice qui doit être respectée par tous. », commente à DataSecurityBreach.fr Arnaud Kopp, Directeur Technique Europe du Sud, chez Palo Alto Networks

Cette enquête a été menée en ligne par Redshift Research, au mois d’octobre 2015, auprès de 765 décisionnaires travaillant dans des entreprises comptant plus de 1 000 employés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

A noter que Data Security Breach vous propose des ateliers et formations de sensibilisation à la sécurité informatique. Elles sont dispensées par Damien Bancal, expert en la matière. Pour en a savoir plus, n’hésitez pas à le contacter.

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Obligation de notification en cas de fuite de données

Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.

Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.

Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.

Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.

En Europe

Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Cybersécurité, Emploi, Entreprise, Mise à jour, Patch, Propriété Industrielle, Social engineering

Des principes militaires ancestraux pour lutter contre la cybercriminalité moderne

L’origine des guerres se confond avec celle de l’humanité. De leur côté, les attaques informatiques ont vu le jour avec l’Internet. Malheureusement, aucun de ces deux phénomènes n’est près de disparaître. En effet, leurs motivations sont étroitement liées à cette soif de domination, de gloire et de richesse qui constitue le pedigree de l’humanité.

Les points communs entre la guerre et la cybercriminalité sont légions. Il est sans doute bon de s’inspirer d’un des grands classiques de la littérature militaire pour mieux lutter contre les cybercriminels : l’art de la guerre.

Écrit par Sun Tzu, célèbre général, stratège et philosophe chinois, il y a 2 500 ans, cette œuvre est souvent citée aujourd’hui par les chefs d’entreprise et autres leaders. Ce vade-mecum livre quantité de conseils aux entreprises qui cherchent à se démarquer de leurs concurrents, et aux individus qui tentent de se défaire de leurs rivaux. On y puise également des sujets de réflexion pour les entreprises qui souhaitent venir à bout de la cybercriminalité.

Voici trois enseignements de Sun Tzu que chaque DSI est invité à garder à l’esprit :

1. Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril.

Si vous ignorez quelles sont vos propres défenses contre les cybercriminels, il est grand temps d’identifier cet arsenal. Cette initiative est essentielle mais elle ne suffit pas. Vous devez aussi obtenir au plus vite des informations précises sur les cybercriminels qui vous ont pris pour cible. En d’autres termes, une veille sur les menaces est une priorité.

Lors du sommet sur la cybersécurité qui s’est tenu à la Maison-Blanche en février dernier, le président des États-Unis, Barack Obama, a appelé de ses vœux un meilleur échange d’informations sur les menaces entre le secteur privé et le secteur public, ainsi qu’une meilleure coordination entre les différents intervenants dans la lutte contre la cybercriminalité.

Tous les pays du monde devraient suivre ce conseil. À elle seule, une entreprise n’a que rarement une vue d’ensemble sur les cyberattaques. Elle a trop à faire pour contrer une attaque, restaurer ses opérations et ses services informatiques et limiter les délais d’indisponibilité. Elle ne met les informations liées aux attaques à disposition de ses homologues, donnant ainsi la possibilité à chaque assaillant de tirer des enseignements de ses attaques. Ces derniers peuvent ainsi parfaire leurs tactiques et adopter de nouvelles techniques pour s’en prendre à de nouvelles cibles.

Le partage des informations liées aux menaces consiste à échanger des éléments contextuels sur les attaques. Je trouve ce point essentiel puisqu’il invite les entreprises à appréhender trois éléments : les techniques utilisées par les hackers, les caractéristiques des entreprises qui ont été ciblées, et le comportement des hackers après avoir compromis les défenses d’une entreprise. Ces trois informations aident les équipes informatiques à tirer les conclusions qui s’imposent, à neutraliser plus efficacement toute nouvelle attaque et, au final, à renforcer la sécurité des entreprises et du grand public en général.

C’est la raison pour laquelle Fortinet a fondé la Cyber Threat Alliance. Ce programme mondial vise à partager les données sur les menaces informatiques avec d’autres fournisseurs de technologies de sécurité informatique afin d’agir en conséquence.

2. Dans l’ancien temps, ce qu’on appelait l’intelligence du combat n’était pas seulement de gagner mais de le faire avec facilité. 

L’essence de chaque entreprise est d’être rentable. Une attaque réussie porte atteinte à vos finances et à votre réputation et engendre des dépenses. Pour limiter l’impact, les entreprises doivent juguler les attaques le plus efficacement possible. Lors du sommet précité, Barack Obama a incité aux entreprises à mieux exploiter les technologies modernes. Je vous encourage à faire de même.

L’informatique a beaucoup évolué au cours des dernières décennies. Les réseaux sont devenus incroyablement complexes, alors que l’émergence du cloud, du mobile et des infrastructures agiles ont rendu la sécurité bien plus difficile à gérer. Les technologies en matière de sécurité utilisées il y a plusieurs années rencontrent des freins et doivent être remplacées.

La technologie doit évoluer afin de pouvoir tenir tête aux hackers. Nous sommes déjà capables de gérer intelligemment plusieurs facettes de la sécurité informatique. Mais ce qui nous attend est encore plus prometteur. Dans les années à venir, l’analyse comportementale deviendra la norme pour la sécurité des appareils. Les innovations en matière de science des données permettront aux équipes informatiques d’analyser les données du big data afin d’identifier les tendances en matière de sécurité. Les entreprises pourront ainsi prévoir les attaques, avant qu’elles ne soient enclenchées.

3. Si l’ennemi renforce son front, il affaiblira ses arrières, s’il renfloue ses arrières, il affaiblira son front.

S’il renforce son flanc gauche, il affaiblira son flanc droit et vice-versa. Et s’il se prépare en tous lieux, il sera partout en défaut. Il ne s’agit là que d’une piqûre de rappel pour chaque DSI. Protéger l’entreprise est une tâche difficile, car les hackers savent s’immiscer par les moindres brèches.

La faible visibilité sur les applications, les utilisateurs et les services réseau existants est une lacune majeure des entreprises de nos jours. D’autant que la situation s’aggrave. En premier lieu, compte tenu des applications qui prolifèrent au sein des environnements virtualisés. Mais aussi à cause d’un trafic qui évolue : autrefois cantonné au sein du centre de données, ce trafic s’affranchit aujourd’hui du périmètre de ce dernier et transite via ce centre de données.

De nouvelles technologies émergent pour renforcer la visibilité sur les applications au sein des environnements virtualisés. Tandis que ces technologies font leurs premiers pas sur le marché, chaque DSI doit comprendre la finalité de chacune de ces technologies et apprendre à gérer efficacement les données. Faute de quoi, les informations réellement pertinentes se retrouveraient noyées dans un océan de fausses alertes.

Les entreprises sont, bien sûr, également invitées à former leurs utilisateurs.

L’ignorance est un fléau en matière de sécurité informatique. Les individus ont souvent été le maillon faible de la sécurité des entreprises, ce qui explique leur statut de cible privilégiée par les cybercriminels. Les systèmes de sécurité les plus sophistiqués ne parviennent généralement pas à éviter les attaques utilisant des techniques d’ingénierie sociale. Dans le monde, les entreprises qui forment leurs utilisateurs via des programmes de sensibilisation constatent un fléchissement des attaques d’ingénierie sociale de type spear phishing. La formation et la sensibilisation des utilisateurs représentent des armes particulièrement efficaces pour les entreprises souhaitant maîtriser les risques de sécurité informatique. (Par Michael Xie – Fondateur, Président et Chief Technology Officer de Fortinet)

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice

Piratage contre action boursière

La Société britannique Optimal Payments Plc voit ses actions baissées après l’annonce du probable piratage d’un de ses serveurs, en 2012.

La Société britannique Optimal Payments Plc est spécialisée dans les paiements mobiles. Reuters indique qu’il aurait été découvert, en vente dans le black market, une base de données appartenant à OP. Une BDD comprenant des identités, des mails, … Une annonce qui a fait baisser l’action de l’entreprise de 11%. La société a déclaré qu’elle enquêtait sur ces allégations. Des données qui auraient été volées en 2012. Une baisse qui parait bien extrême pour quelques mails !

Base de données, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Piratage, Social engineering

8 entreprises sur 10 canadiennes victimes d’un piratage informatique

Une enquête révèle que 87 pour cent des entreprises canadiennes auraient subi des incidents liés au piratage informatique.

Un sondage intéressant, signé par la société HSB BI&I, auprès de gestionnaires de risques permet de constater que les entreprises sont vulnérables. Près de 90 pour cent des entreprises canadiennes ont subi au moins un incident lié au piratage informatique dans la dernière année, selon une enquête réalisée auprès de gestionnaires de risques d’entreprises, publiée aujourd’hui par La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada (HSB BI&I) faisant partie de la famille Munich Re.

« Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ». Plus de la moitié (60 pour cent) d’entre eux croient que leurs entreprises consacrent suffisamment d’argent, ou de personnel qualifié et expérimenté, pour lutter contre l’évolution des techniques de piratage. Pourtant, 42 pour cent de ces entreprises n’ont pas souscrit une couverture de cyber-assurance.

« Avec la prévalence des cyber-attaques au Canada, il y a une nette divergence entre les perceptions des gestionnaires de risques et le niveau réel d’exposition de leurs entreprises face à une activité de piratage informatique », a déclaré à DataSecurityBreach.fr Derrick Hughes, vice-président chez HSB BI&I. « Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ».

Parmi les gestionnaires de risques interrogés dans l’enquête, 66 pour cent représentaient les grandes entreprises, suivis par 28 pour cent pour les organisations de taille moyenne et de 6 pour cent pour les petites entreprises.

L’enquête a révélé une hausse notable de la sensibilisation et des préoccupations quant aux cyber-risques suite de l’adoption récente de la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Près de 70 pour cent des gestionnaires de risques ont déclaré qu’ils seraient plus enclins à souscrire une couverture de cyber-assurance pour leur entreprise en raison des nouvelles exigences en matière de notification de violation de données.

Les préoccupations concernant le type de renseignements pouvant être violés varient des informations sensibles de l’entreprise (50 pour cent) aux renseignements personnels identifiables (42 pour cent) et aux renseignements financiers (8 pour cent).

Interrogés sur les types de services de gestion des risques envisagés pour lutter contre les cyber-risques, les gestionnaires de risques répondent : la détection d’intrusion et les tests de pénétration (40 pour cent), le cryptage (24 pour cent) et les programmes de formation du personnel (19 pour cent).

HSB BI&I a réalisé la cyber enquête, le 28 septembre 2015, lors du congrès Risk and Insurance Management Society Conference Canada (RIMS Canada) à Québec. Cette enquête est destinée à représenter l’opinion des 102 gestionnaires de risques participants. Pour ce faire, ces derniers ont pris part à l’enquête par le biais d’une entrevue en personne. Les participants représentaient les entreprises de petites (1-99 employés), moyennes (100-999 employés) et grandes tailles (1 000 employés et plus), dans les secteurs d’activités suivants : les services publics et l’énergie; les mines; l’aérospatial, la défense et la sécurité; la fabrication; le secteur public; la technologie; les services financiers, la santé/médical; la vente au détail.