Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Assurance cyber sécurité, Banque, Communiqué de presse, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle, Securite informatique

Assurance : Euler Hermes lance EH Fraud Reflex

La première assurance fraude globale et 100% digitale des petites entreprises.

Face à un risque de fraude croissant et protéiforme, Euler Hermes affirme à nouveau sa volonté d’accompagner les entreprises dans la prévention des risques et la protection de leur trésorerie. Le leader européen de l’assurance fraude lance une nouvelle solution complète et totalement dématérialisée à destination des petites entreprises[1], EH Fraud Reflex.

Entre persistance de la fraude par usurpation d’identité et explosion du nombre de cyber attaques, le risque de fraude se diversifie, s’intensifie, et évolue vers plus de sophistication. D’après l’étude menée en 2017 par Euler Hermes et la DFCG[2], 8 entreprises sur 10 ont été victimes d’au moins une tentative de fraude l’an passé, et 1 entreprise sur 5 a subi au moins une fraude avérée sur la même période.

« Les petites entreprises semblent les plus exposées au risque de fraude, car leur budget alloué à la protection des données et au renforcement des process est limité. De plus, la moindre perte peut s’avérer désastreuse pour leur trésorerie. Selon notre enquête, 10% des sociétés attaquées l’an passé auraient subi une perte supérieure à 100 000 €. Un montant conséquent qui mettrait en danger la viabilité de beaucoup de petites entreprises », analyse Sébastien Hager, Expert fraude chez Euler Hermes France.

Efficacité, simplicité et personnalisation

Afin d’aider les petites entreprises à protéger leur activité, Euler Hermes propose une nouvelle solution d’assurance fraude globale et 100% digitale. EH Fraud Reflex les protège contre la cyberfraude, la fraude externe et la fraude interne, avec une couverture des pertes directes et de certains frais consécutifs (atteinte au système de téléphonie, décryptage du ransomware, restauration et/ou décontamination des données). La couverture, la franchise et la durée sont personnalisées selon le profil de l’entreprise et modulables.

Le parcours de souscription, entièrement dématérialisé, s’effectue sur une plateforme internet dédiée : de la qualification du besoin à la définition des paramètres du contrat, avec une possibilité de signature électronique une fois les options et le tarif sélectionnés, EH Fraud Reflex propose une expérience digitale optimisée, intuitive et rapide. De plus, l’outil allie à la fois prévention et protection : plusieurs questions sont posées à l’entreprise afin de l’aider à identifier ses mesures de prévention face au risque de fraude, et à définir précisément son besoin de couverture.

« Finalement, EH Fraud Reflex pourrait se résumer en trois mots : efficacité, puisqu’elle protège contre tous les types de fraude à moindre coût (à partir de 75€ HT par mois) ; simplicité, puisqu’on peut y souscrire en ligne, en quelques clics et sans audit préalable ; personnalisation, puisqu’elle s’adapte aux besoins de l’entreprise », résume Sébastien Hager.

De nouveaux risques qui nécessitent de nouvelles défenses

Pour Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France, la dématérialisation de l’assurance répond parfaitement à l’évolution des attentes des petites entreprises. « Le progrès technologique permet aux pirates de se réinventer en permanence, d’où l’apparition récurrente de nouveaux risques pesant sur la trésorerie et la rentabilité des petites entreprises. Dans ce contexte, ces dernières recherchent avant tout de la flexibilité, de la simplicité et de l’immédiateté dans les outils qu’elles utilisent pour se défendre. L’assurance 100% digitale réunit l’ensemble de ces critères, et EH Fraud Reflex relève de cette philosophie. La commercialisation de cette nouvelle solution d’assurance fraude est une étape supplémentaire dans notre accélération digitale, et appelle à d’autres innovations dans la façon de protéger les actifs des sociétés. C’est un virage primordial pour accompagner au mieux les petites entreprises dans leur prévention, leur protection et leur développement. »

[1] Entreprises dont le chiffre d’affaires est inférieur à 10 millions d’euros
[2] Enquête menée en avril 2017 auprès de 200 entreprises. Toutes les tailles d’entreprises et tous les secteurs sont représentés

Chiffrement, Communiqué de presse, cryptage, Justice, loi, RGPD, Securite informatique

RGPD : choisir entre l’anonymisation ou la pseudonymisation des données personnelles

Un commentaire

Anonymisation ou pseudonymisation ? Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l’augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d’identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens.

Anonymisation ou pseudonymisation ? Deux grandes techniques très distinctes mises en avant dans la réglementation RGPD / RDPG mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l’anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s’assurer d’être bien préparé et de protéger correctement les données des citoyens.

Data anonymization (anonymisation) ou comment anonymiser l’information

La technique de l’anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles. Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la « ré-identification » des personnes quasi impossible, même après traitement.

Cette méthode, intéressante au départ, reste pourtant difficile à mettre en œuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d’achats en ligne. Par exemple, si une entreprise garde les données de l’employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l’humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L’entreprise saura par exemple que Sophie se rend sur le même site d’information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier.

Or, la CNIL rappelle que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Pour de nombreuses entreprises donc, l’anonymisation totale des données personnelles reste difficile à mettre en œuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation.

La pseudonymisation ou l’anonymisation des données

La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un « entre deux » qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s’agit d’une technique d’amélioration de la vie privée où les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant.

L’unique point faible de la pseudonymisation est qu’elle génère une clé d’identification, une pièce maîtresse qui permet d’établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d’identification doivent être stockées avec un contrôle d’accès performant. En effet, une clé d’identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L’utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l’entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées.

Les entreprises ont le choix entre les techniques d’anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l’anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne. (Jan Smets, pre-sales manager chez Gemaltode)

Base de données, Communiqué de presse, Cybersécurité, Entreprise, loi, RGPD

RGPD : la protection des données, mais à quel prix ?

Un commentaire

Sur les lèvres de tous les marketeurs depuis maintenant plusieurs mois, le RGPD – Règlement Général sur la Protection des Données – entrera officiellement en vigueur le 25 mai 2018. Bien plus qu’un simple hashtag à la mode, ce règlement va impacter les services marketing de l’ensemble des entreprises en Europe, qui vont devoir faire face à de nouveaux défis de taille.

À la lecture du règlement RGPD, qui tend à homogénéiser autour d’un même texte les pratiques de collecte et de traitement des données des consommateurs au sein de l’Union Européenne, un premier constat s’impose : les changements à prévoir au sein des services marketing concernés ne seront pas révolutionnaires. Il s’agit davantage d’une version plus intégrée, mieux approfondie, de principes et préceptes existants. Avec néanmoins une nouvelle arme fatale : des sanctions sévères en cas d’infraction et une amende maximale portée à 20 millions d’euros ou 4% du CA mondial annuel, le montant le plus important étant retenu. Si l’on transpose l’amende infligée par la CNIL à Facebook, celle-ci passerait de 15 000 euros à 1 milliard : plus du tout la même histoire !

Le consentement, pour mieux collecter

Bien que le principe de consentement du consommateur soit un prérequis évident pour certains, le nouveau règlement exige que les modalités autour de son obtention soient renforcées et clarifiées.

Les entreprises ont, comme auparavant, l’obligation de demander au consommateur l’autorisation de collecter et d’utiliser ses données personnelles afin que leur traitement soit validé. Toutefois, pour obtenir cette autorisation, elles ne peuvent désormais plus pré-cocher les cases prévues à cet effet. De même, elles doivent noter que les autorisations obtenues ne sont plus irrévocables : le consommateur peut demander la suppression de ses données quand il le souhaite et où qu’elles aient été transmises. Il bénéficie également d’un droit d’opposition à l’utilisation de ses données à des fins de marketing direct, et d’un droit d’opposition au profilage selon les informations qu’elles contiennent.

Afin d’encadrer le traitement de ces données, les entreprises devront, par ailleurs, intégrer à leur effectif un Data Protection Officer (DPO) qui sera le garant de sa conformité.

La transparence, pour mieux fidéliser

Si le consommateur décide d’accepter que ses données personnelles soient collectées et utilisées, encore faut-il qu’il sache à quelle fin ! Aussi les organisations devront-elles expliquer clairement et simplement – le règlement met particulièrement l’accent sur ce point – aux institutions comme aux consommateurs l’utilisation qui sera faite des données.

Ce précepte va de paire avec la notion de privacy by design : les marketeurs doivent, dès lors qu’ils établissent une campagne de marketing ou les bases d’un traitement, penser à mettre en œuvre l’ensemble des principes du règlement, mais aussi fournir de la documentation prouvant que ces principes ont bien été pris en compte à chaque étape du projet… par chacune des parties concernées.

La sécurité, pour mieux protéger

Les sous-traitants voient leur responsabilité s’accroître, afin que les normes soient respectées et que la sécurité des données soit assurée. Tous ont l’obligation de communiquer aux consommateurs les failles et le vol éventuel de leurs données.

De même, le RGPD interdit la transmission des données personnelles des citoyens européens hors Union européenne vers les pays[1] où la protection des données est jugée insuffisante par la Commission européenne[2]. Par exemple, les entreprises européennes ne peuvent pas impunément utiliser les services de sociétés américaines. Charge aux marketeurs de s’équiper des outils développés pour leur permettre d’apporter un niveau de protection suffisant : règles internes d’entreprise (BCR), Clauses Contractuelles Types et adhésion aux principes du « Privacy Shield ».

Aujourd’hui seul garant d’un respect des données européennes outre-Atlantique, le Privacy Shield est néanmoins fortement contesté et pourrait, à l’instar de son prédécesseur le Safe Harbor, être finalement abandonné. Dans ce cas, les prestataires « Privacy Shield Compliants » risquent de mettre leurs clients européens dans une position inconfortable face à la CNIL. Si le Privacy Shield est maintenu, les audits de sous-traitants américains requis par le RGPD seront difficilement réalisables, et particulièrement couteux.

Le ciblage, pour mieux toucher

À l’instar des services bancaires et de téléphonie mobile, les entreprises doivent désormais permettre la portabilité et la récupération des données et les transmettre en cas de demande aux instances souhaitées. Mais surtout, le RGPD fait la part belle à l’ennemi antinomique du big data, la data minimization, qui préfère la qualité à la quantité. Plutôt que de collecter le maximum d’informations, afin d’en extraire ensuite une donnée potentiellement intéressante, il s’agit de ne collecter que les informations les plus pertinentes : la data n’est plus big, elle est smart.

En filigrane de ce nouveau règlement, un appel au retour aux sources. Le terme data vient du latin dare : « donner en main propre ». Les consommateurs et les clients, en acceptant de donner « en main propre » leurs données personnelles à une entreprise, expriment la confiance qu’ils lui accordent. Il est donc essentiel, pour ne pas rompre ce lien de confiance, que les consommateurs sachent que l’entreprise fait le nécessaire pour protéger ces données, et qu’elle collabore avec des sous-traitants à même d’en assurer la sécurité.

Entre simple formalisation de pratiques courantes et réel bouleversement des habitudes, la data privacy ‘version 2018’ imposée aux marketeurs n’aura qu’un seul but : protéger les citoyens européens et respecter – enfin – leurs souhaits. (par Marc Désenfant, Directeur général d’ACTITO France)

[1] https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
[2] Sont reconnus « adéquats » l’Islande, le Liechtenstein et la Norvège, ainsi que Andorre, l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, Guernesey, Jersey, Israël, l’Uruguay et la Suisse.

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

Les entreprises françaises trop sûres d’elles face au RGPD

Un commentaire

Règlement européen sur la protection des données (RGPD) : Les entreprises françaises seraient-elles trop confiantes vis à vis de leur conformité réglementaire ?

A moins de 8 mois de l’entrée en vigueur du RGPD, le Règlement Général sur la Protection des Données  le 25 mai 2018, Trend Micro a souhaité vérifier si les entreprises étaient bien préparées. Pour ce faire, l’éditeur a conduit une étude internationale auprès de 1 000 cadres dirigeants à travers une dizaine de pays, dont la France.

Les entreprises françaises : vraiment prêtes ?

98 % des entreprises françaises savent qu’elles doivent se conformer au RGPD et 92 % des cadres dirigeants affirment avoir déjà pris connaissance des dispositions légales s’y rapportant, conscients de l’importance de la règlementation. De même, la moitié d’entre eux connait le montant des pénalités financières en cas de non-conformité, démontrant une certaine avance en comparaison d’autres pays tels que le Royaume-Unis où seuls 27 % des dirigeants sont conscients que leur entreprise encourt une amende équivalente à 4 % du chiffre d’affaires.

Cependant, les entreprises ne semblent ni aussi préparées ni aussi protégées qu’elles le prétendent. En effet, une certaine confusion demeure quant à la nature exacte des données personnelles à protéger. L’étude démontre par exemple que les cadres dirigeants français sont encore nombreux à ignorer que sont considérées comme des données personnelles : la date de naissance d’un client (67 %), les bases de données marketing contenant des mails (33 %), les adresses postales (27 %) ou encore les adresses électroniques (21 %).

La bonne compréhension des principes généraux du RGPD s’accompagne donc d’un certain excès de confiance puisque près de 8 entreprises françaises sur 10 (79 %) affirme pourtant que leurs données sont totalement sécurisées (89 % aux États-Unis). Une majorité d’entre elles (33 %) estime d’ailleurs n’avoir besoin que de 7 à 12 mois pour se mettre en conformité.

Mise en conformité : quelles étapes, quels obstacles ?

Les étapes considérées comme prioritaires par les entreprises françaises pour se conformer à la règlementation sont l’augmentation de la police d’assurance en cas de faille (60 %) et l’embauche d’une tierce personne en charge de la conformité (58 %). Sur ce sujet, on constate une divergence entre les pays : en Allemagne (64 %), aux Etats-Unis (63 %) et au Royaume-Uni (58 %), investir davantage pour sécuriser le SI reste en effet la première priorité.

Trend Micro s’est également attaché à mettre en lumière les principaux freins liés à la mise en conformité. Ainsi parmi les personnes sondées, le manque de processus clairs et d’informations liées à l’appartenance des données (34 %) et les ressources financières nécessaires (32 %) sont perçus comme les principaux obstacles.

Les entreprises françaises : suffisamment transparentes vis-à-vis de leurs clients ?

Selon l’étude, 97 % des entreprises françaises déclarent avoir d’ores et déjà mis en place un processus permettant de prévenir les autorités en charge de l’application du RGPD dans les 72 heures suivant la détection d’une faille de données. Cependant, 27 % admettent ne pas prévenir leurs clients suite à une fuite de données… un point sur lequel d’autres pays font preuve de davantage de transparence, puisque 13% des organisations américaines et 14% des entreprises anglaises déclarent ne pas avertir leurs clients. En France, ce manque de rigueur est largement décrié par les clients qui, à 81 %, demandent plus de transparence sur la protection et l’utilisation de leurs données.

Quant aux conséquences, 43 % des cadres dirigeants estiment qu’une faille de données survenant après l’entrée en vigueur du RGPD aurait un impact négatif sur la fidélité de leurs clients, tandis que 30 % d’entre eux considèrent que l’impact serait davantage d’ordre financier.

L’appartenance des données est quant à elle une question encore relativement floue pour les entreprises françaises. En effet, en cas de fuite de données européennes détenues par un prestataire de services américain, 57 % pensent que la responsabilité revient au propriétaire des données en Europe et 25 % au prestataire de services basé aux Etats-Unis. La tendance varie aux Etats-Unis, 43 % des sondés considérant que la faute incombe au prestataire de services et 42 % au propriétaire des données.

Mise en place du RGPD : mais qui est responsable au sein de l’entreprise ?

En France, 46 % des personnes interrogées tiennent le RSSI pour responsable de la mise en conformité, tandis que cette tâche revient à l’ensemble de l’entreprise aux yeux des entreprises allemandes (40%), anglaises (37 %) et américaines (38 %). « Si cette étude illustre bien la prise de conscience et le chemin parcouru, elle confirme cependant que le processus de mise en conformité ne doit pas être pris à la légère », commente Loïc Guézo, Stratégiste CyberSécurité Europe du Sud, Trend Micro. « En effet, les entreprises se doivent de mettre en place des solutions de protection des données efficaces pour éviter d’exposer leur réputation et ne pas mettre en péril la relation de confiance construite avec leurs clients ».

Communiqué de presse, Cybersécurité, double authentification, Entreprise, Mise à jour, Patch, Propriété Industrielle, Securite informatique

Global Transparency Initiative

Global Transparency Initiative : alors qu’il ne reste que quelques jours à l’administration américain pour effacer les outils Kaspersky de leurs postes informatiques, le géant de la sécurité informatique Russe lance son programme transparence !

Kaspersky Lab a présenté son « Global Transparency Initiative ». Mission, la société russe fournira un accès au code source – y compris des mises à jour – pour une évaluation par un tiers de confiance. Kaspersky explique qu’il ouvrira aussi trois centres de transparence dans le monde entier. Un peu comme l’annonçait, il y a quelques années, Microsoft. La Global Transparency Initiative s’inscrit dans le cadre de l’engagement à garantir l’intégrité et la fiabilité de des solutions logiciels, afin de protéger les clients contre les cyber-menaces.

Grâce à cette initiative, Kaspersky Lab incitera la communauté de la cyber sécurité dans sa globalité et d’autres parties prenantes à valider et vérifier la fiabilité de ses solutions, de ses processus internes et de ses opérations commerciales. Le Russe entend également favoriser la mise en place de mécanismes de responsabilisation supplémentaires, qui permettront à l’entreprise de démontrer qu’elle s’attaque rapidement et en profondeur à tous les problèmes de cybersécurité. Dans le cadre de cette initiative, la société a l’intention de fournir à un tiers de confiance, et sous condition, l’accès au code source de ses logiciels – y compris les mises à jour des logiciels et des règles de détection des menaces – à des fins d’examen et d’évaluation indépendants. « La balkanisation de l’Internet ne profite à personne, explique Eugene Kaspersky, PDG de Kaspersky Lab. Sauf aux cybercriminels. Une coopération réduite entre les pays favorise l’action des cybercriminels et les partenariats public-privé ne fonctionnent pas comme ils le devraient.« .

Kaspersky a été accusé par la Maison Blanche d’avoir participé (directement ou indirectement) à des fuites de données concernant le renseignement américain. A regardé de plus prêt, le protectionnisme de l’Oncle Sam a trouvé un moyen de couper l’herbe sous le pied d’une entreprise concurrente aux structures locales. A voir si l’examen indépendant du code source de la société, réalisé par un tiers de confiance et qui débutera d’ici le 1er trimestre 2018, avec des examens similaires des mises à jour logicielles de la société et des règles de détection des menaces à suivre sera suffisent pour faire reculer l’administration Trump.

A noter que Kaspersky vient de signer un nouvel accord de partenariat avec Europol. Tout comme Trend Micro qui vient d’unir son expertise avec les policiers d’Europol pour protéger le secteur financier face aux attaques ciblant les Distributeurs Automatiques de Billets.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Securite informatique, VPN

Krack ou l’hypocrisie mondiale des maîtres du monde

L’annonce de la faille de sécurité baptisée Krack mettant en suspend toute la confiance du monde sur les réseaux Wifi domestiques et professionnels fait la une de la presse générale. Il s’agit de la fameuse clé WAP2, norme barbare améliorée du protocole de chiffrement Wifi WAP.

On découvre que plus aucun terminal connecté à un réseau Wifi n’est protégé, mieux on en devient tous vulnérable. Une partie de nos échanges chiffrés peuvent être captés par un tiers malveillant – comprenez un hacker – et que désormais, nous ne devrions plus utiliser nos Wifi. Il faut comprendre que si un hacker sait lire une “partie“ de vos fichiers, il sait en vérité tout lire. Il n’y pas de demie mesure sur ce point. Mais ne cédons pas à la panique d’autant que curieusement les agences de sécurité reconnaissent avoir identifié cette faille depuis des semaines et les éditeurs sont déjà en train de proposer des mises à jour de sécurité. Cela avant même la communication sur cette faille qui n’est finalement pas une trouvaille.

La bonne idée c’est que Mathy Vanhoef, chercheur à l’Université de Leuven en Belgique a trouvé un moyen de rejouer la faille par un programme automatisé. En clair, il est capable d’industrialiser l’attaque.

Mais nous savons, parce que c’est notre métier, que jamais aucun réseau Wifi n’est sécurisé. En 2008, les civils Martin Beck et Erik Tews avaient découvert une faille sur le format WAP. Né alors le WAP2 censé corriger l’algorithme du chiffrement, c’est de lui qu’il s’agit aujourd’hui.

L’avez-vous remarqué, je parle des chercheurs comme des civils ? En effet, il est salutaire de noter que sans ces femmes et ces hommes, notre résistance aux attaques cybernétique serait tout bonnement nulle. Et les États alors ? Et bien sachez que tous les États gardent pour eux les failles de sécurités qu’ils détectent par hasard ou non, et ceux pour tous les systèmes quels qu’ils soient. La raison est simple. Elle tend à renforcer les systèmes de défense et d’attaque du pays. L’atout et de savoir ce que l’autre ignore.

L’attaque de masse nommée Wannacry s’appuyait sur une faille Windows de Microsoft que la NSA avait gardé pour elle jusqu’à ce qu’un lanceur d’alerte la publie sur Wikileaks. Les mafias ou états étrangers n’avaient plus qu’à en prendre connaissance pour construire une attaque de masse. Comme quoi, avoir le savoir d’une attaque cybernétique d’ampleur vous met en situation temporaire de Maître du monde.

L’enjeu quand il n’est ni stratégique ni politique et simplement cupide. Et cette attaque extrêmement bien relayée par les médias pourrait changer l’internet de demain. La force du réseau internet est de laisser le maximum d’échange possible en clair. Si cette attaque invite tous les consommateurs d’internet à utiliser un VPN de trafic internet souverain, alors le Ad Marketing est mort entraînant dans sa chute Google en premier, les autres ensuite. Sans captation du trafic, le vôtre en l’occurrence, on ne peut pas savoir qui vous êtes, ce que vous faites et ce que vous consommez.

Criteo et consort disparaissent, Google ne sait plus positionner la pub au bon moment et sur la bonne page ! La rémunération disparaît alors. Fini Google, adieu Gmail, bye bye Facebook (tous gratuit), bref une nouvelle aire et un nouveau business model peut naître.

Peu probable car le consommateur est très attaché à ses habitudes et les changer est le dernier des efforts que l’homme apprécie faire, même si intrinsèquement c’est cette faculté qui lui a permis de construire l’internet et pas les ratons laveurs.

Qu’est-ce qu’un VPN de trafic souverain ? C’est une solution qui chiffre le trafic établi entre votre terminal et la borne Wifi ou 3G/4G et votre connexion à l’internet se fait depuis une adresse IP virtuelle dans un pays asservi par l’éditeur du logiciel. Les Finlandais sont les meilleurs pour cela d’autant que leur constitution politique est très attachée au secret de la vie privé. C’est ce qui rend la solution souveraine. On retrouve ces mêmes constitutions en Suisse, en Islande ou en Norvège. Les États-Unis comme Israël sont très rigides. Il suffit d’ailleurs de lire les Conditions Générale de Google pour comprendre combien vaut votre libre arbitre sur Internet. Avec un peu de recul vous comprendrez vite qu’il vaut une partie du revenu du GAFA.

Le Ad Marketing devra donc revoir le modèle si nous devenions tous consommateurs de ce chiffrement qui limite considérablement notre exposition face aux pirates. Seule l’histoire très prochaine nous donnera la tendance de cette attaque qui porte bien son nom. (par Frans Imbert-Vier PDG d’UBCOM pour DataSecurityBreach.fr)

Communiqué de presse, Cybersécurité, Justice, loi, RGPD, Securite informatique

RGPD : étude sur la préparation et la mise en conformité

A moins de 8 mois de l’entrée en vigueur du Règlement Général sur le Protection des Données (RGPD), F-Secure dévoile les chiffres français de son étude, réalisée avec le panel Toluna, consacrée au niveau de maturité des entreprises européennes, tous secteurs confondus.

L’étude révèle le manque de sensibilisation des professionnels interrogés aux nouvelles exigences qui vont leur être imposées ou encore aux moyens de s’y préparer, puisque seulement 37 % d’entre eux se sentent totalement familiers avec le RGPD et les implications pour l’organisation. Malgré tout, 88,9 % ont confiance sur le fait que leur entreprise soit préparée à la mise en conformité, et 44,7 % estiment être parfaitement conformes à ce jour. Un grand nombre de professionnels se sent donc prêt sans pour autant maîtriser l’ensemble du règlement. Le principal frein étant selon eux le manque de personnel qualifié (21,7%), disposant des compétences clés. Viennent ensuite le manque de budget (20,3%) et le manque de compréhension face aux enjeux et à l’urgence de la situation (14,3 %).
[EtudeRGPD4.PNG]

Le règlement conforte le rôle du Data Protection Officer (DPO), anciennement appelé Correspondant Informatiques et Liberté (CIL), obligatoire pour les organismes publiques et les organismes privés collectant des données dites sensibles ou personnelles à grande échelle. Son rôle sera de veiller au respect de la nouvelle réglementation européenne. Plus de la moitié des entreprises (53,8 % des répondants) identifient un DPO dans leur organisation, ce qui confirme la prise de conscience du sujet.

Sur la question de la responsabilité, le DSI est au centre du jeu : 45,7 % des professionnels interrogés estiment que la mise en conformité doit être assurée par le département IT/Sécurité et ils sont 69,7% à le considérer comme responsable en cas de fuite de données ou d’attaque. Concernant la participation, le département juridique n’est directement concerné que pour 30%, tout comme le département RH (30,3%). La direction générale est quant à elle considérée comme participant à la mise en conformité pour 23,3% des personnes interrogées.

L’étude nous révèle un fait étonnant : alors que les services marketing vont devoir mettre à jour les politiques de confidentialité de leurs sites internet, s’assurer de la bonne gestion du consentement utilisateur mais aussi interroger leurs prestataires de services (marketing automatisé, gestion de la relation client), ils ne sont pas perçus comme des participants impliqués dans la mise en conformité (8%).

Le RGPD implique une vigilance accrue au niveau des cyber attaques et la mise en place d’un plan d’action. L’étude révèle à ce sujet un retour plutôt optimiste de la part des professionnels concernant la capacité de réaction et de réponse des organisations face à ce type d’incident, puisque 78,9 % sont convaincus que leur organisation est capable de détecter une intrusion, et 69,7 % pensent que cette dernière dispose d’un plan de réponse fonctionnel en cas d’intrusion. 46,6% pensent que leur organisation a détecté entre 1 et 5 attaques les 12 derniers mois, un chiffre à mettre en relation au 26,3 % qui pensent n’avoir jamais subi d’attaques.

Le fait est que peu d’organisations ont mis en place des services ou solutions adaptés pour prévenir les fuites de données et répondre en cas d’incidents. Un constat que l’on retrouve à travers l’étude puisque seulement 18,1 % des profils interrogés ont mis en place un outil de gestion des évènements et des informations de sécurité (SIEM), 20,1 % un outil de gestion des vulnérabilités, 22,1 % un outil de gestion des correctifs, et près de 28% un service de réponse à incident.

« Avec la médiatisation d’attaques de grande ampleur telles que WannaCry et le RGPD, dont la date de mise en application se rapproche à grand pas, 2017 marque l’année de la prise de conscience pour les entreprises.», déclare Olivier Quiniou, Head of Corporate Sales, France, UK, Irlande et BeNeLux chez F-Secure. « Qu’il s’agisse d’attaques ciblées ou de masse, ce sont toutes les entreprises et organisations qui sont aujourd’hui concernées. La différence se situe dans la prise de conscience de ces dernières : il y a celles qui savent qu’elles ont été attaquées et celles qui ne le savent pas. C’est le constat dressé par notre étude européenne. 2018 doit être pour les entreprises l’année de l’action ».

Base de données, Cloud, Cybersécurité, Emploi, Entreprise, Fuite de données, loi, Mise à jour, RGPD, Securite informatique

Le RGPD : 81% des entreprises ne seront pas en conformité en mai 2018

La course contre la montre a déjà commencé pour le RGPD… Dès le 25 mai 2018, la nouvelle règlementation européenne définie fin 2015 s’appliquera et viendra renforcer la protection des consommateurs au niveau européen. Le non-respect sera puni par des sanctions financières importantes. Elles s’insèrent dans une politique générale de la communauté européenne de définition d’un espace européen. Alors que seulement 19% des entreprises estiment pouvoir être en conformité en mai 2018, le RGPD constitue un enjeu majeur pour tous les acteurs du e-Commerce.

Le nouveau règlement européen s’applique à toute entreprise qui collecte, traite et stocke les données personnelles des ressortissants européens dont l’utilisation peut identifier une personne. Tous les acteurs économiques (entreprises, associations, administrations) doivent dès à présent mettre en œuvre les actions nécessaires pour se conformer aux règles. Le changement majeur réside dans l’obligation pour les entreprises de justifier l’ensemble des traitements de données qu’elles effectuent (récoltées au cours de création de comptes, d’inscriptions à une newsletter, de préférences de navigation…). Par exemple, lorsqu’un client se désabonne d’une newsletter ou change ses coordonnées téléphoniques sur son compte client, il appartiendra à l’entreprise de prouver que le changement a bien été effectué et de fournir le détail du traitement (heures, adresse IP…). Sur demande du particulier et à tout moment ses données pourront être supprimées, modifiées ou restituées. L’objectif est de rendre aux consommateurs la maîtrise de leur identité et de l’usage commercial de ses informations personnelles.

Enfin une protection renforcée pour les e-acheteurs !

Les consommateurs doivent comprendre clairement ce qu’ils acceptent comme traitements sur les sites e-commerce et la portée de leurs consentements. Les techniques modernes de marketing e-Commerce (retargetting, suggestions de produits…) doivent être explicitement acceptées par les particuliers. Ils disposent également d’un accès direct à leurs informations personnelles. En pratique, ils pourront demander la portabilité de leurs informations (données de commandes, listes d’envie…) et obtenir un double consentement pour leurs enfants.

En cas de fuite de données, l’internaute sera informé dans les 72 heures par l’entreprise, la responsabilité pouvant incomber au sous-traitant responsable de la fuite ou à l’hébergeur si ce dernier a été attaqué. Pour s’assurer du respect de ces nouveaux droits, le législateur a rendu possibles les actions collectives via des associations.

TPE/PME – La mise en œuvre du RGPD dans le e-Commerce

D’ici mai 2018 toutes les entreprises devront respecter la nouvelle réglementation. Cette mise en œuvre implique une bonne compréhension à la fois des obligations et des moyens d’y parvenir. Les sites e-Commerce devront assurer le plus haut niveau possible de protection des données. Pour garantir la sécurité des données personnelles de leurs clients les marchands devront déployer tous les moyens techniques et respecter des règles strictes : la mise en œuvre d’un registre de consentements, la conservation des données, la sécurisation des mails transactionnels, le cryptage des mots de passe…. Un délégué à la protection des données (DPO) sera désigné pour assurer la mise en place et le suivi de ces actions.

On passe dans une logique de responsabilisation totale de l’entreprise, une nécessité au regard des plus de 170 000 sites ne seront pas en conformité avec le règlement européen en mai 2018.

Rappelons que chaque jour des milliers d’attaques visent la totalité des acteurs du e-Commerce. La sécurité des données et des infrastructures techniques sont les enjeux majeurs du monde du web. Le nombre total de cyber-attaques a augmenté de 35% en l’espace d’un an. En France nous en avons recensé plus de 15 millions au 1er trimestre 2017 ce qui représente 4,4% des attaques mondiales.

Un cadre contraignant pour les entreprises et des impacts majeurs à court terme

Le baromètre RGPD démontre qu’à ce jour 44% des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. Les sanctions en cas de manquement aux obligations imposées par la règlementation sont financières et indexées sur le chiffre d’affaires de l’entreprise. Elles peuvent atteindre de 10 à 20 millions d’euros ou 2 à 4% du CA, la sanction la plus élevée sera retenue. Un nouveau concept émerge : le « Privacy By design », un gage de qualité et de réassurance pour les entrepreneurs à la recherche d’une sécurisation optimale des données clients. Un site conçu en « Privacy by Design » garantit qu’aucun module n’a été ajouté à la structure du site et que la solution a été élaborée avec la protection des données comme prérequis à chaque étape de la mise en ligne du site.

Chiffrement, cryptage, Cybersécurité, Justice, loi, RGPD, Securite informatique

RGPD : Comment les entreprises réagissent face au cadre réglementaire lié à la protection des données ?

A la lumière des récentes attaques et de l’évolution du paysage réglementaire en matière de protection des données, McAfee publie un nouveau rapport intitulé : ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ qui met en évidence l’approche des entreprises en matière de localisation, de gestion et de protection desdites données.

Comment les entreprises appréhendent-elles, au niveau mondial, la dizaine de réglementations (11) relatives à la sécurité des données, dont fait partie le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne ? A compter du 25 mai 2018, ce texte renforcera et simplifiera les lois protégeant les données personnelles pour plus de 500 millions d’Européens.

« Aujourd’hui, les entreprises ont pris conscience que des réglementations plus strictes envers la protection des données profitent aussi bien à leurs résultats qu’aux consommateurs. Cependant, plusieurs ont des obstacles à surmonter à court terme pour se conformer à aux prochaines législations en vigueur. C’est notamment le cas pour la réduction du temps nécessaire au signalement d’un vol de données induit par le RGPD, par exemple« , commente Raj Samani, Chief Scientist – McAfee.

Les principaux enseignements du rapport ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ de McAfee portent sur :

La délocalisation du lieu de stockage des données. Près de la moitié (48 %) des entreprises migreront leurs données vers un nouvel emplacement en raison d’un cadre législatif jugé plus contraignant. Pour 70 % des décideurs interrogés, l’implémentation du RGPD permettra à l’Europe de s’affirmer comme un leader en termes de protection des données. Les États-Unis restent toutefois la destination de stockage de données la plus populaire au monde, plébiscitée par près de la moitié des répondants.

En comparaison, la plupart des entreprises sont incertaines de l’endroit où leurs données sont stockées. Seules 47% connaissent, en temps réel, leur emplacement.

Le potentiel commercial offert par la confidentialité. Trois-quarts des décideurs (74 %) estiment que les entreprises qui appliqueront à la lettre ces lois/règlements attireront davantage de nouveaux clients.

Les règlements et les mesures sont un frein à l’acquisition et à l’investissement technologiques. Environ deux tiers des répondants disent que le RGPD (66 %), les politiques américaines (63 %) et le Brexit (63 %) ont déjà ou auront une incidence sur les investissements de leur entreprise en matière d’acquisition technologique. La moitié (51 %) est convaincue que leur société est freinée dans sa modernisation en raison des réglementations externes inhérentes à la protection des données.

L’opinion publique est essentielle à la prise de décision en matière de données. Une grande majorité des entreprises (83 %) prend en compte le sentiment public en matière de confidentialité de la donnée avant de choisir leur emplacement de stockage.

Les entreprises mettent en moyenne 11 jours à signaler une faille de sécurité (vol de données, intrusion, etc.).

Les fournisseurs de services Cloud inspirent confiance. Huit sociétés sur dix prévoient, au moins en partie, de s’appuyer sur leur fournisseur de services Cloud pour les accompagner dans leur mise en conformité en matière de protection des données.

Seulement 2 % des managers comprennent véritablement les lois qui s’appliquent à leur entreprise, bien que la majorité des répondants (54 %) est persuadée que leur Direction a une « compréhension complète » des règles inhérentes à la protection des données.

Le rapport révèle, dans son ensemble, des convictions opposées quant aux réglementations relatives à la protection des données. D’un côté, les événements mondiaux (cyber et généraux) et le renforcement des politiques de protection des données font réfléchir les décideurs au moment d’investir technologiquement. De l’autre, la plupart des entreprises cherchent à stocker ces mêmes données dans les pays ayant les politiques de protection les plus strictes. « De toute évidence, les lois en matière de conformité, aussi contraignantes soient-elles, sont bénéfiques, tant pour les clients que pour la rentabilité d’une entreprise. A l’avenir, une sensibilisation et une compréhension accrues des données devraient conduire à une meilleure utilisation et à une meilleure protection », ajoute Fabien Rech, Directeur Régional McAfee France.

Base de données, Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, loi, Mise à jour, Patch, Piratage, Propriété Industrielle, ransomware, Securite informatique

La cyber-criminalité coûte de plus en plus d’argent aux entreprises

La cyber-criminalité coûte en moyenne 11,7 millions de dollars par an à chaque entreprise américaine, soit une hausse de 62 % en cinq ans, d’après une étude menée par Accenture et Ponemon Institute. Les infections par malware sont les cyber-attaques les plus coûteuses, avec 2,4 millions de dollars par incident en moyenne.

Partout dans le monde, des cyber-attaques sont commises avec un impact financier de plus en plus lourd pour les entreprises. Selon une nouvelle étude publiée par Accenture à l’occasion de l’ouverture des Assises de la sécurité, le coût moyen de la cyber-criminalité a atteint, à l’échelle mondiale, 11,7 millions de dollars par entreprise en 2017, soit une augmentation de 23 % par rapport à 2016 (9,5 millions de dollars) et de 62 % ces cinq dernières années. C’est aux États-Unis que le coût moyen est le plus élevé (21,22 millions de dollars par acte criminel), tandis que l’Allemagne enregistre la plus forte hausse du coût total de la cyber-criminalité (de 7,84 à 11,15 millions de dollars). Cette forte dégradation fait suite aux récentes attaques de grande ampleur telles que WannaCry et Petya, dont les préjudices causés à un certain nombre de grandes entreprises mondiales se chiffrent en centaines de millions de dollars.

Cette étude du coût de la cyber-criminalité (Cost of Cyber Crime Study) a été menée auprès de 2 182 spécialistes de la sécurité IT, issus de 254 organisations à travers le monde. Elle révèle que le nombre de cyber-attaques est en constante augmentation depuis que le Ponemon Institute a débuté ses recherches en 2009. Le rapport fait état d’un certain nombre d’enseignements :

En moyenne, une entreprise subit 130 violations de sécurité par an, soit une hausse de 27,4 % par rapport à 2016, et un quasi-doublement en l’espace de cinq ans. Une violation de sécurité (« breach ») est définie comme une infiltration au sein d’un réseau central ou d’un système d’entreprise.
Les secteurs les plus touchés sont les services financiers et l’énergie, avec respectivement un coût annuel moyen par entreprise de 18,28 et 17,20 millions de dollars.
On note également une augmentation de la durée nécessaire pour corriger les problèmes. Parmi les incidents les plus longs à traiter se trouvent ceux qui viennent de l’intérieur, avec une moyenne de 50 jours, contre un peu plus de 23 jours pour les attaques par ransomware.
Les attaques par malware et celles provenant du Web sont les plus coûteuses, nécessitant une dépense moyenne respective de 2,4 et 2 millions de dollars par entreprise.

« Les conséquences coûteuses et dévastatrices de la cyber-criminalité pour les entreprises soulignent l’importance croissante de la planification stratégique et d’un suivi rigoureux des investissements en matière de sécurité. L’étude donne une moyenne du coût de la cybercriminalité mais pour certaines entreprises les pertes peuvent être bien plus importantes », explique Eric Boulay, Directeur d’Accenture Security en France et au Benelux. « Pour continuer à résister à des attaques de plus en plus sophistiquées et extrêmement motivées, les entreprises doivent adopter une stratégie de sécurité dynamique et agile, permettant de construire la résilience de l’intérieur vers l’extérieur (au lieu de se focaliser exclusivement sur le périmètre pris en charge), avec une approche spécifique à l’activité pour protéger l’ensemble de la chaîne de valeur. »

Améliorer la répartition des dépenses en matière de technologies de sécurité

Sur les neuf technologies de sécurité évaluées, celle qui fait l’objet des dépenses les plus importantes est le contrôle de périmètre avancé. Or on constate que les entreprises qui ont déployé ces solutions de sécurité ont réalisé des économies opérationnelles (liées à l’identification et à la remédiation des cyber-attaques) qui s’élèvent à seulement un million de dollars, ce qui suggère un possible manque d’efficacité dans l’allocation des ressources. Parmi les catégories de dépenses les plus efficaces pour minimiser les pertes causées par les actes de cyber-criminalité se trouvent les systèmes de renseignement (security intelligence), définis comme des outils permettant d’ingérer des informations issues de multiples sources dans le but d’identifier et prioriser les menaces internes ou externes. Ces systèmes permettent de réaliser des économies substantielles (2,8 millions de dollars en moyenne), soit plus que tous les autres types de technologies couverts par l’étude. Les technologies d’automatisation, d’orchestration et d’apprentissage machine ont été déployées dans seulement 28 % des entreprises, (soit le pourcentage le plus faible parmi les technologies considérées), alors qu’elles arrivent en troisième position en termes d’économies opérationnelles liées aux technologies de sécurité, avec un total de 2,2 millions de dollars.

Les conséquences financières des cyber-attaques sont de plus en plus lourdes

Les chercheurs ont exploré quatre impacts principaux sur les organisations victimes d’une cyber-attaque : perturbation de l’activité, perte d’informations, perte de revenus et dommages matériels. Le type de dommages le plus préjudiciables est aujourd’hui la perte d’information, mentionnée par 43 % des personnes interrogées. Le coût de la perturbation de l’activité (défaillance des processus suite à une attaque, par exemple) est en revanche passé de 39 % en 2015 à 33 % cette année.

« Le cœur d’un programme de sécurité solide et efficace consiste à identifier et à « renforcer » les actifs les plus précieux de l’entreprise », explique le Dr Larry Ponemon, Président fondateur du Ponemon Institute. « Bien que des progrès réguliers aient été réalisés dans le domaine de la cyber-défense, les entreprises pourraient bénéficier d’une meilleure compréhension des coûts de la cyber-criminalité ; cela les aiderait à combler l’écart entre leurs vulnérabilités et l’inventivité sans fin (et le nombre croissant) des cyber-criminels. »

Le coût moyen par entreprise varie considérablement selon le pays et le type d’attaque
L’Australie affiche le coût moyen par cyber-attaque le plus faible (5,41 millions de dollars), tandis que le Royaume-Uni enregistre la plus faible évolution par rapport à l’an dernier (de 7,21 à 8,74 millions de dollars). Le Japon enregistre une augmentation des coûts de 22 % (10,45 millions de dollars), soit la troisième plus forte augmentation des pays couverts par l’étude.

Les coûts varient considérablement selon le type d’attaque. Les entreprises américaines sont celles qui consacrent le plus de dépenses de remédiation, tous types de cyber-attaque confondus, en particulier dans les domaines des attaques par malware et des attaques provenant du Web (3,82 et 3,40 millions de dollars par incident, respectivement). En Allemagne et en Australie, 23 % du coût total annuel lié à la cyber-criminalité est imputable à des attaques par malware. En France, 20 % du coût total annuel lié à la cyber-criminalité est imputable aux attaques provenant du Web. Les attaques par déni de service représentent 15 % du coût annuel total en Allemagne et au Royaume-Uni.

Recommandations pour renforcer l’efficacité des efforts de cyber-sécurité

En prenant les trois mesures suivantes, les entreprises peuvent renforcer l’efficacité de leur cyber-sécurité, en prévenant les actes cybercriminels et en minimisant leur impact :

Construire la cyber-sécurité sur des fondations solides – Les entreprises gagneraient à investir dans des éléments de base performants, notamment dans les domaines du renseignement en matière de sécurité et de la gestion avancée des accès, tout en reconnaissant la nécessité d’innover pour rester en avance sur les hackers.
Effectuer des tests de résistance extrêmes – Les entreprises ne doivent pas uniquement chercher à répondre aux impératifs de conformité pour améliorer leur profil sécuritaire : elles doivent également procéder à des tests de résilience extrêmement exigeants afin d’identifier leurs vulnérabilités de manière encore plus rigoureuse que les hackers les plus motivés.
Investir dans des innovations de rupture – Les entreprises doivent consacrer une partie de leur budget aux nouvelles technologies, en particulier aux solutions analytiques et à l’intelligence artificielle, pour améliorer l’efficacité et l’étendue de votre programme.

Méthodologie

L’étude, menée par le Ponemon Institute pour le compte d’Accenture, analyse un certain nombre de coûts associés aux cyber-attaques, dans des domaines tels que l’infrastructure IT, l’espionnage économique, la perturbation de l’activité, l’exfiltration de propriété intellectuelle ou encore la perte de revenus. Les données ont été collectées à partir de 2 182 entretiens conduits sur une période de dix mois, dont les participants étaient issus de 254 organisations dans sept pays (Etats-Unis, Royaume-Uni, Australie, Allemagne, Japon, France et Italie). L’étude permet d’établir le coût de tous les actes de cyber-criminalité subis sur une période d’un an. Cela inclut les coûts liés à la détection, à la récupération, aux investigations et aux réponses apportées aux incidents. Les coûts résultant des activités post-incident, visant à limiter des dépenses supplémentaires liées à la perturbation de l’activité et à la perte de clientèle, sont également pris en compte.