Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Base de données, Cybersécurité, Entreprise, Mise à jour, santé

L’Insee et la Drees ouvrent le code source d’Ines

L’Insee et la Drees mettent leurs données à disposition depuis de nombreuses années. Le 14 juin, ils iront encore plus loin et partageront le code source d’un de leurs outils de simulation, le modèle Ines, qui fête ses 20 ans cette année.

Cette ouverture sera précieuse pour tous ceux qui souhaitent utiliser un modèle fiable et éprouvé, afin de mener des évaluations de politiques publiques. Elle le sera également pour l’Insee et la Drees qui pourront améliorer le modèle grâce aux contributions libres.

Mais qu’est Ines ?
Créé en 1996, Ines est l’acronyme d’« Insee-Drees », les deux organismes qui développent conjointement le modèle. Le modèle Ines simule les prélèvements sociaux et fiscaux directs et les prestations sociales à partir de données représentatives de la population française que fournit l’enquête Revenus fiscaux et sociaux. Il est largement mobilisé par l’Insee et la Drees pour éclairer le débat économique et social dans les domaines de la redistribution monétaire, la fiscalité ou la protection sociale.

A partir d’Ines, l’équipe Insee – Drees  publie chaque année un dossier dans France Portrait Social qui décrit l’impact des mesures fiscales et sociales de l’année précédente sur le niveau de vie moyen et les inégalités.   Ines permet également l’estimation des indicateurs avancés du taux de pauvreté monétaire et des inégalités.  Il est aussi utilisé comme outil d’appui à la réflexion, notamment en réponse aux sollicitations des ministères de tutelles, de divers Hauts Conseils, ou d’organismes de contrôle (IGF, Cour des Comptes, Igas).

Pour en savoir plus sur le modèle Ines .

Que pourra-t-on faire à partir du code source d’Ines ?  
Mener des travaux de recherche à partir d’un outil performant et éprouvé. Fort de ses vingt ans d’existence, le modèle Ines est un modèle de référence en matière de simulation des prélèvements obligatoires et des prestations sociales. Le mettre à disposition, c’est permettre aux  équipes de recherche ayant accès aux données sur lesquelles s’appuie le modèle, de mener des travaux pointus et approfondis, notamment à des fins d’évaluation de politiques publiques.  De plus, l’Insee et la Drees joignent au code source une documentation très complète et continuellement alimentée via un wiki, pour permettre à chacun une utilisation autonome du modèle.

Contribuer à l’amélioration du modèle
L’Insee et la Drees se réjouissent de pouvoir bénéficier ainsi des contributions d’experts extérieurs à la conception du modèle Ines. Un dispositif sera mis en place dès le 14 juin pour recueillir les propositions d’amélioration. Les utilisateurs pourront communiquer entre eux et s’adresser à l’équipe qui administre le modèle pour signaler des erreurs dans le code et/ou proposer des améliorations, via un forum dédié. Ces propositions seront étudiées par l’équipe Insee – Drees et pourront être intégrées au modèle.

Arnaque, Cybersécurité, escroquerie, Mise à jour, Particuliers, Social engineering, spam

Football : Euro 2016 et sécurité informatique

Euro 2016 – Les événements sportifs mondiaux ont toujours constitué un terrain de chasse idéal pour les cybercriminels. L’Euro 2016, qui débute le 10 juin prochain, ne devrait pas déroger à la règle.

Euro 2016 – Voici quelques éléments clés à retenir, amateur de football, de l’Euros 2016 ou non. Se méfier du spam et autre fausses « bonnes affaires » (places pour assister aux matchs à des prix défiant toute concurrence, par exemple). Ces mails peuvent contenir une pièce jointe infectée contenant un malware accédant au PC et interceptant les données bancaires des internautes lorsqu’ils font des achats en ligne. Ils peuvent également contenir un ransomware, qui verrouille et chiffre les données contenues dans le PC et invite les victimes à verser une rançon pour les récupérer.

Détecter les tentatives de phishing (vente de tickets à prix cassés voire gratuits, offres attractives de goodies en lien avec l’évènement,…) en vérifiant l’URL des pages auxquelles le mail propose de se connecter et en ne communiquant aucune information confidentielle (logins/mots de passe, identifiants bancaires, etc.) sans avoir préalablement vérifié l’identité de l’expéditeur.

Être prudent vis à vis du Wi-Fi public pour éviter tout risque de fuite de données, par exemple en désactivant l’option de connexion automatique aux réseaux Wi-Fi. Les données stockées sur les smartphones circulent en effet librement sur le routeur ou le point d’accès sans fil (et vice-versa), et sont ainsi facilement accessibles.

Redoubler de vigilance vis-à-vis des mails invitant à télécharger un fichier permettant d’accéder à la retransmission des matchs en temps réel. Il s’agit en réalité de logiciels malveillants qui, une fois exécutés, permettent d’accéder aux données personnelles stockées dans le PC (mots de passe, numéro de CB, etc.) ou utilisent ce dernier pour lancer des procédures automatiques comme l’envoi de mails massifs. (TrendMicro)

Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Logiciels, Wordpress

Panama Papers : le résultat d’une sécurité informatique négligée

Sécurité informatique négligée – Le monde financier, politique et juridique a été bouleversé par les Panama Papers. Mais comment a-t-il été possible de voler 2,6 To de données appartenant à Mossack Fonseca ?

Au delà de l’affaire fiscale, politiciens, industriels et autres personnalités auraient utilisé des entreprises offshore pour réaliser de l’optimisation, Mossack Fonseca est aussi une affaire de sécurité informatique ! Même si nous n’avons encore aucune certitude sur la manière dont la fuite s’est précisément produite, c’est tout de même 2,6 To de données qui ont été volées chez Mossack Fonseca. Le cabinet-conseil juridique a déclaré que les données ont été volées à partir d’un serveur email attaqué, sans donner davantage de détails.

Plusieurs experts se sont penchés sur la question. Regardons quelques dérapages de cette sécurité informatique négligée :
Mossack Fonseca utilise WordPress pour son site internet. Comme nous le savons, il est important de mettre à jour les sites internet WordPress régulièrement à cause des failles qui ressortent très souvent. La version utilisée mi-avril a été mise à jour la dernière fois il y a cinq mois.
Le serveur WordPress utilisait le même serveur que la base de  données contenant tous les fichiers client.
Le site internet de Mossack Fonseca utilise un plug-in WordPress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014. Même sanction pour son application dédiée aux offres d’emploi. Une révélation de ZATAZ.
Les détails d’identification du serveur mail étaient stockés en texte dans un autre plug-in WordPress.
Il y avait un portail où les clients pouvaient s’identifier. Une version de Drupal propice aux fuites était utilisée à ces fins et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.
Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009 et contenait par conséquence beaucoup de failles de sécurité.
Le protocole hasardeux SSL v2 était utilisé pour le portail client.
Le site était vulnérable aux injections SQL.
Les mails n’étaient pas chiffrés.
Différents experts émettent également l’hypothèse qu’un espionnage interne pourrait être à l’origine de la fuite.

Même s’il est difficile de savoir si une ou plusieurs de ces failles ont été utilisées dans l’attaque, il parait évident que la sécurisation des informations du cabinet de conseil était trop faible. Mais le vol de données est un symptôme qui est présent dans tous les secteurs. D’une manière générale, la sécurité de l’information et l’informatique est bien souvent le parent pauvre des entreprises. Les directives de protection des données de la commission européenne qui vont rendre illégales l’attitude laxiste face à la sécurité des informations, ne peut qu’être bénéfiques. Même si l’on peut craindre qu’il n’y ait aucune action des entreprises jusqu’à ce que tombent les premières amendes.

Chiffrement, Cybersécurité, Entreprise, Mise à jour, Propriété Industrielle

Une erreur d’inattention : jusqu’à 15 millions de dollars

Erreur d’inattention – On peut perdre de l’argent à cause des fluctuations du marché ou d’un secteur d’activité. Mais lorsque l’on oublie de renouveler ses certificats SSL, les conséquences financières peuvent être catastrophiques pour l’entreprise – notamment en termes d’image de marque et de fiabilité auprès de vos prospects et clients.

D’après une étude, près des deux tiers des entreprises reconnaissent avoir déjà perdu des clients au cours des deux dernières années parce qu’elles avaient omis de sécuriser leur site Web avec les certificats appropriés. Une erreur d’inattention qui coûte ! Dès qu’un client perd confiance dans votre site Web – et par analogie, dans votre entreprise –, il risque d’aller voir ailleurs par crainte pour la sécurité de ses données. Si un site Web n’est pas sécurisé, l’entreprise expose ses données à des risques de violation dont les conséquences financières peuvent se chiffrer en millions d’euros. Un simple oubli à la date de renouvellement de ses certificats suffit à déclencher une avalanche de frais : interventions en cas d’incident, dommages et intérêts, frais de justice, sanctions financières et relations publiques…

D’après un rapport Ponemon de 2015, l’entreprise « moyenne » a déjà connu plus de deux défaillances système ces deux dernières années à cause de « pannes en rapport avec des certificats ».  Pour une panne non programmée liée aux certificats, le coût moyen avoisine 15 millions de dollars (USD).

Étude de cas Microsoft Azure
En 2013, la plate-forme cloud Azure de Microsoft a connu une panne mondiale à cause d’un certificat SSL expiré. L’incident s’est produit au moment même où l’on signalait des problèmes sur les services Xbox Music et Xbox Video de Microsoft. L’annonce est survenue le jour où Microsoft reconnaissait avoir été victime de la même cyberattaque qu’Apple et Facebook. Comme l’on peut l’imaginer, ses nombreux clients ont dû être informés, son service des relations presse a dû gérer la communication autour de la situation et Microsoft a enregistré un important manque à gagner pendant l’attaque.

Comment s’assurer que son site est protégé ?
Face au risque croissant des cyberattaques, les sociétés d’audit traquent les normes et les réglementations auxquelles les entreprises devront se conformer pour démontrer l’absence de risques pour leurs clients ou leurs données. Pour savoir quelles sont les mesures de mise en conformité à prendre, on peut se rendre sur le site IT Governance pour consulter les pages consacrées aux normes publiées.

Depuis que des sociétés comme Google notent mieux les entreprises dont les sites sont sécurisés, le sujet est d’actualité dans les entreprises et les départements responsables de la sécurité des systèmes d’information.

Faire un audit interne
Commencer par rassembler l’ensemble de ses certificats actuels et de ses clés pour identifier les éventuelles failles.

L’entreprise peut d’ores et déjà utiliser l’outil gratuit mis à disposition par GlobalSign pour vérifier ses serveurs Web. Si l’on est client de GlobalSign, on peut également utiliser l’outil d’inventaire de certificats pour vérifier gratuitement l’emplacement de ses certificats et leur date de renouvellement.

Répertorier les dates d’expiration pour chaque certificat et les consigner dans un endroit facile à mémoriser. Pour se faciliter la tâche, la personne chargée de la sécurité des systèmes d’information peut éventuellement programmer un rappel dans son calendrier avant la date d’expiration de chacun de ses certificats pour effectuer les mises à jour dans les délais et éviter que le site de son entreprise ne se retrouve en situation de vulnérabilité. L’on peut également envisager une solution Managed SSL pour contrôler ses certificats via une plate-forme en ligne et être prévenu lorsqu’un certificat doit être renouvelé.

Faites appliquer les règles en interne
Après avoir pris connaissance des normes ISO, GlobalSign recommande de mettre en place les processus adéquats dans son entreprise et de les documenter pour que chacun soit, dans la mesure du possible, informé des mesures prises, des raisons sous-jacentes et de son rôle.

Des formations doivent également être mises en place à l’échelle de l’entreprise pour expliquer à ses collaborateurs les changements entrepris. Autre objectif de ces formations : éviter que les collaborateurs ne soient victimes d’arnaques de type phishing (hameçonnage) ou qu’ils exposent inutilement des données sensibles avec le risque de compromettre les données de l’entreprise.

Voici un exemple de procédures à mettre en œuvre pour assurer la protection interne et externe d’une entreprise au niveau physique et en ligne :
Carte magnétique/Badge permettant d’accéder aux bâtiments, bureaux et salles avec des niveaux d’autorisation différents en fonction des collaborateurs
Règlement intérieur prévoyant des formations régulières pour les collaborateurs sur les bonnes pratiques et les moyens de détecter et de signaler d’éventuelles menaces et problèmes de sécurité. Authentification à deux facteurs pour l’accès des collaborateurs aux machines, terminaux, réseaux et portails en ligne. Signature numérique des e-mails permettant de garantir l’authenticité de l’auteur des messages, d’éviter toute modification non autorisée des messages et de chiffrer les messages contenant des données et des informations sensibles. (GlobalSign)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, loi

Empreintes biométriques, le FBI veut sa BDD

Le FBI vient d’annoncer qu’elle trouvait judicieux de pouvoir stocker toutes les informations concernant les empreintes biométriques, dans un espace de stockage qui lui serait propre.

Le FBI propose de sauvegarder toutes les empreintes biométriques, dans ses locaux, que les Américains auront pu soumettre à l’administration de l’Oncle Sam. Les Américains, mais pas seulement. Si vous avez fait une demande de visa, par exemple, vos données pourraient être sauvegardées et stockées dans la base de données du FBI.

Connu comme le système d’identification de prochaine génération (NGIS), la base de données contiendra les enregistrements des passeports, des contrôles de sécurité, et les informations des traitements judiciaires, comme ceux enregistrés lors d’une arrestation. Il n’y aura pas que les empreintes digitales de vos doigts. NGIS prévoit de sauvegarder les scans d’iris, du visage, palmaires, et toute autre information corporelles qui peuvent être recueillies dans le cadre d’une interaction avec l’agence gouvernementale.

Le FBI explique que sa base de données doit être considérée comme sensible, donc exemptée du contrôle effectué par la Loi sur la protection des renseignements personnels. Bilan, personne ne pourra lui demander le moindre compte. Le FBI a ajouté que l’agence pourrait utiliser les données pour arrêter de futurs criminels. On ne sait pas combien de personnes sont dans cette base de données. L’Electronic Frontier Foundation a déclaré en 2014 que le FBI prévoyait d’avoir plus de 52 millions de photos dans cette « BDD » d’ici la fin de l’année 2015. Le législateur à jusqu’au 6 juin pour freiner les hardeurs du FBI. (Zdnet)

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Piratage

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Cybersécurité, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers, Sauvegarde

Droit à l’oubli : Google interjette appel de sa condamnation par la CNIL

Cnil contre Google : Le combat du droit à l’oubli continue après l’appel de sa condamnation par la CNIL ce 19 mai.

Google est bousculé par les autorités européennes et nationales depuis 2 ans concernant le référencement des personnes physiques au sein du moteur de recherches.

Tout a commencé avec l’affaire dite ‘’Google Spain’’ en 2014, au terme de laquelle la Cour de justice de l’Union Européenne a condamné le géant mondial de l’internet à retirer les résultats « inadéquats, pas ou plus pertinents ou excessifs » référençant le nom de personnes qui ne le souhaitaient pas ou plus et en ont formulé la demande.

Suite à cette décision, le moteur de recherche a reçu des dizaines de milliers de requêtes de la part de citoyens français. On dit qu’ils cherchent à exercer leur « droit à l’oubli », bien que celui-ci n’existe pas actuellement de manière explicite dans la législation ou jurisprudence européenne et française.

Les tentatives de Google pour échapper au droit à l’oubli
Suite à la décision de la Cour de Strasbourg, la société Google a accédé en demi-teinte aux demandes des internautes. Après avoir créée un formulaire à cet effet, elle a procédé au déréférencement de certains résultats mais seulement sur les extensions européennes du moteur de recherches comme google.fr ou google.uk. A contrario, elle refuse catégoriquement de faire jouer le droit à l’oubli des personnes sur le portail google.com. Or, tout le monde peut utiliser cette extension, ce qui revient à rendre illusoire le déférencement.

En mai 2015, face à ce manque de volonté, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a publiquement mis en demeure le moteur de recherche mondial n°1 d’accéder aux demandes de déréférencement sur tous les noms de domaine de la société. Un recours gracieux a été formé fin juillet 2015 par Google faisant valoir que l’injonction entraverait le droit à l’information de ses internautes tout en instaurant une forme de censure. Selon la société, il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Après le rejet de ce recours gracieux, la CNIL a engagé une procédure de sanction à l’encontre de Google qui s’est soldée par sa condamnation à 100 000 euros d’amende pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble de ses extensions géographiques.

Google interjette appel de sa condamnation par la CNIL
Ce jeudi 19 mai 2016, Google a fait appel de cette condamnation peu sévère au regard du chiffre d’affaire astronomique de cette société de droit américain, qui était de 66 milliard de dollars en 2014, soit 19% de plus qu’en 2013. On en déduit que Google en fait une affaire personnelle, une affaire de principe : La société ne veut pas se laisser dicter sa conduite par la Cour de justice de l’Union européenne et certainement pas par une autorité administrative française.

A l’image de David contre Goliath, le combat de la CNIL contre Google est extrêmement déséquilibré. Nous ne pouvons que saluer la persévérance de la CNIL dans sa confrontation avec Google pour faire respecter les droits des particuliers français partout dans le monde. Le projet de loi pour une République numérique conforte la position de la CNIL en consacrant un droit à l’oubli pour les mineurs. De plus, toute personne pourra dorénavant organiser les conditions de conservation et de communication des données à caractère personnel la concernant après son décès, ce qu’on peut rattacher au droit à l’oubli. Entre neutralité du net et droit à l’oubli, des choix vont devoir être pris et il faudra les imposer à Google, ce qui présage encore une longue vie à la saga judiciaire sur le déréférencement. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Entreprise, hackathon

Hackathon HUBeau, le 1er juin, sur les données de l’eau

Hackathon – Vous voulez développer une application qui permet de connaitre les poissons disponibles dans une rivière ? Vous souhaitez communiquer à vos lecteurs une carte de la qualité des nappes cours d’eau en France ? Vous voulez pouvoir indiquer à vos clients à quelle profondeur on trouve de l’eau dans le sol ? Vous avez besoin de données de qualité des rivières pour définir l’usage qui pourra en être fait ?

Le SIE (système d’information sur l’eau) donne accès à ces données en open data (data.eaufrance.fr) pour répondre à ces besoins. Mais, la réutilisation de ces données est compliquée pour les utilisateurs qui ont du mal à s’en servir.

Hackathon HUBeau

Le projet HUBeau vise à faciliter l’accès aux données de l’eau, sur l’Internet, pour les ré-utilisateurs (entreprises, scientifiques, associations, administrations, développeurs, journalistes de données). Il fournit ainsi un service innovant d’open-data, au travers d’un accès simplifié et fonctionnel grâce à une nouvelle API (application programming interface). Cette API offre des formats adaptés aux réutilisations et permet un accès direct à des données dénormalisées, intégrant dans les données les éléments de référentiels distants, et propose l’accès dans des formats plus facilement manipulables (json, géojson, csv, Gml, …).Cette plateforme peut être utilisée pour des besoins variés d’utilisateurs privés, par exemple les bureaux d’études ou les développeurs de services, comme pour les utilisateurs publics par exemple les collectivités ou gestionnaires de SAGE.

Trois exemples de cas d’utilisation peuvent actuellement être testé : l’état piscicole des rivières ; la qualité des rivières ; le niveau des aquifères ; les indicateurs des services d’eau et d’assainissement.

L’hackathon sur les données sur l’eau le 1er juin, Palais des Congrés (Issy-Les-Moulineaux).

hackathon

Hackathon, les 25 et 26 juin 2016 à Rouen

Le Groupe Matmut organise son premier hackathon, les 25 et 26 juin 2016 à Rouen.

Partenaire du NWX Summer festival, organisé du 23 au 26 juin à Rouen par Normandie Web Xperts (NWX), le Groupe Matmut lance du 25 au 26 juin son premier hackathon. A cette occasion, des développeurs informatiques, web designers, marketeurs, communicants et autres passionnés auront 24 heures pour développer, par équipes de 5 personnes, un projet numérique innovant, sur une thématique donnée. Celle-ci, en lien avec le cœur de métier du Groupe d’assurance, sera dévoilée le jour-même.Au terme de ces 24 heures studieuses et festives à la fois, les équipes soutiendront leur projet devant un jury qui élira et récompensera les gagnants.