Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Entreprise, IA, Justice

LinkedIn accusée de partager des données privées : une controverse autour de la confidentialité et de l’IA

LinkedIn, réseau professionnel de Microsoft, est accusé aux États-Unis d’avoir partagé des données privées d’abonnés Premium pour former des modèles d’intelligence artificielle, déclenchant une controverse sur la confidentialité des utilisateurs.

LinkedIn, plateforme professionnelle appartenant à Microsoft, est sous le feu des projecteurs après des accusations graves concernant la confidentialité des données de ses utilisateurs Premium. Ces derniers affirment que leurs messages privés auraient été partagés à des tiers, sans leur consentement explicite, pour entraîner des modèles d’intelligence artificielle (IA). Cette affaire, désormais portée devant le tribunal fédéral de San Jose en Californie, soulève de nombreuses questions sur l’éthique des pratiques de la plateforme. En août, LinkedIn aurait introduit discrètement un paramètre de confidentialité permettant de désactiver ce partage, suivi d’une mise à jour controversée de sa politique en septembre. Les plaignants réclament des réparations financières significatives, dénonçant une violation de la vie privée et un manquement aux promesses contractuelles. Cet épisode soulève des inquiétudes croissantes quant à l’impact de l’IA sur la protection des données personnelles.

Une mise en accusation fondée sur la violation de la vie privée

La plainte déposée contre LinkedIn repose sur une accusation précise : la plateforme aurait utilisé les données personnelles de ses abonnés Premium pour alimenter des modèles d’intelligence artificielle sans leur consentement éclairé. Les messages privés, souvent considérés comme inviolables par les utilisateurs, auraient été analysés et traités dans ce but. Cette situation est perçue comme une rupture de confiance entre les abonnés et LinkedIn, une entreprise qui s’est pourtant engagée publiquement à protéger la confidentialité de ses utilisateurs.

L’un des aspects les plus troublants de cette affaire réside dans l’introduction d’un paramètre de confidentialité en août dernier. Ce paramètre permettait aux abonnés de désactiver le partage de leurs données personnelles, mais il aurait été mis en place discrètement, sans notification explicite aux utilisateurs. En septembre, une mise à jour de la politique de confidentialité aurait confirmé que ces données pouvaient être utilisées à des fins d’apprentissage automatique. Cette opacité dans la communication a renforcé la colère des utilisateurs concernés.

Un autre élément central de cette affaire est l’accusation selon laquelle LinkedIn était « pleinement consciente » des violations de la vie privée qu’elle aurait commises. Cette affirmation découle des preuves apportées dans la plainte, notamment les modifications successives des paramètres de confidentialité et de la politique d’utilisation des données. Cela soulève une question cruciale : jusqu’où une plateforme professionnelle peut-elle aller dans l’exploitation des données personnelles sans franchir les limites éthiques et légales ?

Les enjeux juridiques et financiers pour LinkedIn

Sur le plan juridique, l’affaire a été portée devant le tribunal fédéral de San Jose, en Californie. La plainte exige des dommages-intérêts pour rupture de contrat et non-respect des lois californiennes sur la confidentialité des données. Une des demandes les plus marquantes concerne une compensation de 1 000 dollars par utilisateur pour violation d’une loi fédérale. Si cette indemnisation était accordée, elle pourrait représenter des millions de dollars pour LinkedIn, étant donné l’ampleur de sa base d’abonnés Premium.

Ce procès met également en lumière la manière dont les plateformes numériques interprètent les législations existantes en matière de protection des données. La Californie, avec son « California Consumer Privacy Act » (CCPA), impose des normes élevées en matière de confidentialité. Cependant, les plaignants affirment que LinkedIn n’a pas respecté ces obligations, en particulier concernant le consentement explicite et l’information des utilisateurs.

Pour LinkedIn, cette affaire pourrait avoir des conséquences importantes, non seulement en termes financiers, mais aussi sur sa réputation. La plateforme, qui revendique être un lieu sûr pour les professionnels, risque de perdre la confiance de ses utilisateurs si les accusations sont avérées. Cette perte de confiance pourrait entraîner une baisse des abonnements Premium, une source de revenus clé pour LinkedIn.

Par ailleurs, cette affaire soulève une question plus large : celle de l’utilisation des données personnelles dans le développement des technologies d’intelligence artificielle. À une époque où l’IA est de plus en plus intégrée dans les outils professionnels et personnels, les utilisateurs sont en droit de s’interroger sur la transparence des pratiques des entreprises technologiques. Microsoft, maison-mère de LinkedIn, pourrait également être impactée par cette controverse, notamment en raison de son rôle dans l’intégration de l’IA dans ses outils phares, tels que Word et Excel.

Confidentialité, IA et avenir des plateformes numériques

Cette affaire LinkedIn met en lumière un problème fondamental : l’équilibre délicat entre innovation technologique et protection des droits des utilisateurs. L’intégration de l’intelligence artificielle dans les plateformes numériques offre des opportunités inédites, mais elle pose également des défis éthiques majeurs. Les utilisateurs souhaitent profiter des avantages de l’IA sans compromettre leur vie privée.

Pour les abonnés Premium de LinkedIn, la possibilité que leurs messages privés aient été utilisés pour entraîner des modèles d’IA représente une atteinte grave à leur confiance. Ce cas met également en évidence la nécessité pour les plateformes de mettre en place des politiques claires et transparentes concernant l’utilisation des données. Les utilisateurs doivent être informés de manière proactive et avoir un contrôle total sur leurs informations personnelles.

Cette affaire pourrait également avoir un impact au-delà de LinkedIn. Les régulateurs et législateurs, déjà préoccupés par la protection des données dans un monde de plus en plus connecté, pourraient utiliser ce cas comme un exemple pour renforcer les lois existantes. À l’échelle mondiale, des initiatives telles que le Règlement général sur la protection des données (RGPD) en Europe ont déjà montré l’importance de cadres juridiques solides pour protéger les consommateurs.

Enfin, cette controverse souligne une réalité préoccupante : l’IA, bien qu’elle soit un outil puissant, dépend largement des données qu’elle consomme. Les entreprises technologiques doivent trouver des moyens d’entraîner leurs modèles sans porter atteinte à la vie privée des utilisateurs. Cela pourrait passer par des solutions telles que la fédération des données ou l’anonymisation, mais ces technologies nécessitent des investissements significatifs et un engagement ferme envers des pratiques éthiques.

Bitcoin, Cybersécurité, Entreprise

Enlèvement et libération du cofondateur de Ledger

David Balland, cofondateur de l’entreprise de cryptomonnaies Ledger, a été enlevé le 21 janvier à son domicile dans le Cher. Une mobilisation massive des forces de l’ordre a permis de libérer l’entrepreneur et sa compagne rapidement. Quinze jours plus tôt, son associé expliquait sur Youtube comment il se protégeait !

Le mardi 21 janvier, au petit matin, des individus armés ont fait irruption au domicile de David Balland et de sa compagne, à Vierzon. Les victimes ont été séparées et emmenées dans des lieux différents. Une rançon en cryptomonnaies a été réclamée à un autre cofondateur de Ledger, ce qui a alerté les autorités.

Une intervention rapide et efficace

Le mercredi 22 janvier, grâce à une première interpellation et aux enquêtes menées par les gendarmes, le lieu de séquestration de David Balland a été identifié à Châteauroux. Une opération du GIGN a permis de libérer l’entrepreneur sans effusion de sang. Cependant, celui-ci présentait des blessures graves à la main, nécessitant une hospitalisation immédiate.

La libération de la compagne

Dans la nuit suivante, les enquêteurs ont localisé la compagne de David Balland, ligotée dans un véhicule à Étampes, dans l’Essonne. Libérée sans blessure physique, elle a été prise en charge pour un suivi psychologique.

Un réseau criminel rapidement identifié

Des interpellations en série

Dix individus, âgés de 20 à 40 ans, ont été interpellés. Parmi eux, neuf hommes et une femme, pour la plupart connus des services de police. Les enquêtes ont révélé une organisation criminelle structurée, qui avait planifié chaque étape de l’enlèvement. Les ravisseurs avaient choisi d’utiliser les cryptomonnaies pour tenter de dissimuler les traces de la rançon. « La gendarmerie nationale a été saisie dans son ensemble, de la section de recherches de Bourges à l’Unité nationale Cyber. Son travail a permis la libération de David Balland le 22 janvier, celui-ci ayant été pris en charge par les secours et devant faire l’objet de soins. » comme le stipule le communiqué de presse du Parquet de Paris JUNALCO.

La traçabilité des cryptomonnaies

Grâce à la technologie blockchain, une partie des fonds réclamés a été localisée, gelée, puis saisie. Cet épisode met en avant à la fois les avantages et les limites des cryptomonnaies dans de telles situations. « les malfaiteurs ont […] réclamé le paiement d’une importante rançon en cryptomonnaie.« 

Une enquête toujours en cours

Une information judiciaire a été ouverte pour enlèvement et séquestration en bande organisée avec actes de torture et extorsion sous menace d’armes. L’enquête, supervisée par la Juridiction nationale de lutte contre la criminalité organisée (Junalco), se poursuit pour démanteler entièrement ce réseau. Les personnes arrêtées, s’ils sont reconnus coupables encourent « la réclusion criminelle a perpétuité.« 

Le rôle prévisible des cryptomonnaies

Une cible de choix pour les criminels

L’utilisation des cryptomonnaies dans cette affaire illustre une nouvelle tendance dans les activités criminelles. Ledger, entreprise spécialisée dans la sécurité des actifs numériques, gère des millions d’euros en cryptomonnaies, ce qui en fait une cible de choix.

Un avertissement qui prend tout son sens

En janvier, Eric Larchevêque, cofondateur de Ledger, avait publié une vidéo sur les précautions à prendre pour protéger l’entreprise et ses collaborateurs. Ironiquement, quelques semaines plus tard, David Balland a été kidnappé, confirmant que ces risques sont réels et imminents.

Cette affaire met en lumière l’importance des mesures de protection dans un secteur où les cyberattaques et les risques physiques sont en augmentation, sans parler de ce que vous montrez ou racontez sur Internet. « La vigilance de la presse est à saluer dans cette affaire, nombreux media ayant été attentifs à ne pas divulguer trop tôt d’informations risquant de mettre en danger la vie humaine.« 

Cybersécurité, Entreprise

Les montres connectées trahissent les sous-marins nucléaires français

Une simple application de fitness révèle des informations sensibles sur l’une des bases militaires les plus protégées de France.

L’île Longue, base stratégique de la dissuasion nucléaire française, fait face à une faille inattendue : les montres connectées. L’application de fitness Strava, utilisée par des marins, a permis de révéler des détails sur les patrouilles de sous-marins nucléaires, remettant en cause les mesures de sécurité.

La base de l’île Longue : un site ultrasensible mis en péril par la technologie grand public

Située dans la rade de Brest, l’île Longue est le cœur du dispositif de dissuasion nucléaire français. Depuis 1972, les sous-marins nucléaires lanceurs d’engins (SNLE) y stationnent avant de partir pour des missions en mer. Chacun de ces navires est capable de transporter jusqu’à 16 missiles nucléaires, incarnant une stratégie de dissuasion qui place la France parmi les grandes puissances nucléaires mondiales.

L’accès à cette base militaire est strictement contrôlé. Plus de 2 000 employés y travaillent, soumis à une identification obligatoire et à des mesures de sécurité strictes. Les appareils électroniques, notamment les smartphones, y sont interdits pour limiter les risques d’espionnage. Pourtant, malgré ces précautions, les montres connectées ont permis une fuite d’informations préoccupante.

L’application Strava, plébiscitée par des millions de sportifs dans le monde, enregistre et partage automatiquement les parcours réalisés par ses utilisateurs. Sur l’île Longue, plusieurs marins utilisaient ces montres pour suivre leurs performances sportives. Ces données, lorsqu’elles étaient partagées publiquement, ont offert des indices sur l’activité des sous-marins.

Un exemple frappant est celui de « Paul », un pseudonyme utilisé pour protéger l’identité d’un marin. En 2023, il a partagé 16 sessions de course à pied réalisées sur la base, près des docks des sous-marins. Son absence d’activité pendant deux mois, suivie d’un retour soudain, correspondait à une période de patrouille d’un sous-marin. Ces informations, croisées avec les activités d’autres marins, ont permis à des observateurs de reconstituer des mouvements sensibles.

Une problématique récurrente pour les forces armées

L’incident de l’île Longue n’est pas un cas isolé. Les applications de fitness, populaires parmi les militaires, ont déjà suscité des controverses similaires. En 2018, une carte thermique publiée par Strava a révélé les trajets de soldats américains autour de bases secrètes en Afghanistan et en Syrie.

Dans une autre affaire, en Russie, Stanislav Rjitski, capitaine de sous-marin, a été localisé puis assassiné à Krasnodar. Ses déplacements avaient été repérés via ses publications Strava, rendant possible une attaque ciblée.

Ces exemples montrent à quel point les technologies grand public peuvent devenir des outils involontaires de renseignement pour des acteurs malveillants. Le problème ne réside pas uniquement dans les applications elles-mêmes, mais aussi dans l’usage imprudent qu’en font les utilisateurs.

Sur l’île Longue, l’enquête a révélé qu’environ 450 utilisateurs de Strava ont été actifs sur la base au cours des 10 dernières années. Les données partagées, bien qu’anodines au premier abord, ont fourni des informations cruciales pour quiconque souhaite analyser les mouvements des sous-marins ou les habitudes des marins.

Les mesures envisagées face aux failles constatées

Bien que la marine française n’ait pas officiellement communiqué sur des actions spécifiques concernant l’utilisation des montres connectées, des incidents similaires survenus dans d’autres armées ont généralement conduit à des révisions des politiques de sécurité. La possibilité d’interdire l’utilisation des appareils connectés ou de restreindre davantage les paramètres de confidentialité est régulièrement évoquée dans des contextes similaires.

Le rapport initial, publié par Le Monde et relayé par le Daily Mail, indique que ces incidents résultent davantage d’une imprudence individuelle que d’une faille technologique pure. Ce manque de vigilance soulève des questions sur la sensibilisation des marins à ces risques numériques. Et ce n’est pas la première fois !

D’autres cas « d’espionnage »

La carte de chaleur de Strava révélant des bases militaires

En novembre 2017, Strava a publié une « Global Heatmap » qui visualisait deux années de données d’activités de ses utilisateurs. En janvier 2018, il a été découvert que cette carte mettait en évidence des bases militaires secrètes, y compris des bases américaines en Syrie et des bases avancées en Afghanistan. Ces informations ont suscité des préoccupations concernant la confidentialité et la sécurité des données des utilisateurs.

Identification de soldats israéliens via Strava (2024)

En novembre 2024, une enquête menée par des journalistes du journal Le Monde a révélé qu’un individu avait pu extraire méthodiquement les profils de milliers de soldats israéliens à partir de l’application Strava. En simulant de fausses activités sur des bases militaires et des sites sensibles, cette personne a réussi à identifier les militaires actifs dans ces lieux, retraçant ainsi leurs déplacements grâce aux données géolocalisées de Strava. Cette faille de sécurité a conduit le ministère de la Défense israélien à ouvrir une enquête.

Exposition des mouvements de dirigeants mondiaux

En octobre 2024, une enquête du journal Le Monde a révélé que l’application Strava avait involontairement exposé les mouvements de personnalités de haut niveau, notamment le président américain Joe Biden, l’ancienne première dame Melania Trump, et d’autres dirigeants mondiaux. Des agents de sécurité utilisant l’application ont partagé leurs itinéraires d’entraînement, permettant ainsi de déduire les emplacements et les déplacements des personnalités protégées. Le Secret Service américain a déclaré qu’aucune mesure de protection n’avait été compromise, tout en révisant ses politiques internes.

Cybersécurité, Entreprise

Une fuite de données chez Loading hébergement.

Une fuite de données a exposé les informations de 220 000 utilisateurs en Espagne, compromettant des données personnelles et des détails de projets clients hébergés par l’entreprise Loading.

Le 14 janvier 2025, une importante fuite de données a été découverte par le Service veille ZATAZ, impliquant Loading, un fournisseur de services d’hébergement basé en Espagne. Cette base de données comprend les informations personnelles et professionnelles de 220 000 utilisateurs, réparties sur 356 435 lignes. Le fichier constitué par le pirate contient des détails critiques comme les adresses électroniques, les numéros de téléphone, les commentaires clients et des informations relatives aux projets. Ce nouvel incident met une fois de plus en lumière les défis posés par la sécurité des données dans le domaine de l’hébergement web. Explorons les détails et les implications de cette fuite.

Une fuite ciblant les utilisateurs et projets clients

La base de données compromise contient des informations très spécifiques, offrant une vue d’ensemble des projets et des utilisateurs concernés. Voici une décomposition des données exposées :

Données personnelles :

Nom complet : Identité des utilisateurs.
Adresse e-mail : Points d’entrée majeurs pour des attaques de phishing.
Numéro de téléphone : Utilisable pour des arnaques téléphoniques ou des campagnes malveillantes.

Détails des projets :

Type de projet : Catégorisation des projets hébergés (e-commerce, éducatif, etc.).
Nombre de pages web : Données exploitables pour évaluer la taille et la portée des projets.
Détails marketing : Informations liées aux campagnes publicitaires META et SEM (ex. : mots-clés, types de dispositifs utilisés).

Données techniques et géographiques :

Adresses IP et URLs spécifiques : Permettent d’identifier l’origine des utilisateurs et les pages consultées.
Géolocalisation : Informations sur les villes, codes postaux et pays d’origine des utilisateurs.
Traçabilité des interactions : Horaires de contact, outils CRM utilisés, et plateformes marketing associées.

Le prix de cette base, mise en vente pour seulement 500 $, rend ces données accessibles à des acteurs malveillants prêts à exploiter des informations précieuses pour du phishing ou d’autres cyberattaques.

Qui est Loading et quel est son rôle dans le marché espagnol ?

Loading est une entreprise espagnole bien établie dans le domaine de l’hébergement web. Créée pour répondre aux besoins des entreprises et des particuliers en matière de gestion de sites internet, Loading propose des solutions variées, notamment dans l’hébergement mutualisé ; Serveurs dédiés et VPS ainsi que les solutions cloud.

Cybersécurité, Entreprise, IA

Phishing, applications cloud et IA générative : l’urgence d’une cybersécurité de nouvelle génération

En 2024, les clics sur des liens de phishing ont triplé, alors que l’usage des outils d’IA générative en entreprise s’intensifiait.

L’année 2024 a vu l’explosion des menaces cyber, notamment le phishing et les mauvaises pratiques liées aux applications cloud personnelles et à l’IA générative. Plusieurs rapports (Netskope, Microsoft, ZATAZ) révèlent que les clics sur des liens de phishing ont triplé, illustrant la sophistication croissante de ces attaques. En parallèle, l’adoption massive d’outils d’IA générative comme ChatGPT a accru les risques de fuites de données sensibles. Ces évolutions mettent en lumière l’urgence d’une approche nouvelle en matière de cybersécurité, mêlant outils de pointe, sensibilisation renforcée et stratégies proactives pour protéger les entreprises et leurs données. Des questions qui seront posées, à Paris, en Janvier, lors d’un rendez-vous politique autour de l’IA. (Elon Musk sera présent selon les infos de DataSecurityBreach.fr)

Phishing : une menace toujours plus sophistiquée

En 2024, les cybercriminels ont redoublé d’efforts pour perfectionner leurs attaques, entraînant une hausse de 190 % des incidents liés au phishing.

Des attaques toujours plus ciblées

Les campagnes de phishing modernes exploitent des outils sophistiqués, souvent alimentés par l’IA générative, pour créer des messages hyper-personnalisés. Les attaques se sont particulièrement concentrées sur les identifiants Microsoft, avec 42 % des attaques visant cette cible. L’utilisation d’applications cloud populaires comme Google Drive ou Microsoft OneDrive pour héberger des contenus malveillants a multiplié les points d’entrée pour les hackers.

Des techniques renforcées par l’IA

L’IA générative permet de produire des emails frauduleux d’une qualité impressionnante, rendant la détection humaine difficile. Les entreprises doivent donc s’équiper d’outils capables d’analyser les comportements pour repérer des anomalies et bloquer les tentatives de phishing en temps réel.

Prévention et formation : un duo indispensable

La sensibilisation des employés reste essentielle, mais elle doit être accompagnée de solutions technologiques robustes. Les simulations régulières de phishing et l’analyse comportementale des clics suspects sont des mesures indispensables.

L’utilisation croissante d’applications cloud personnelles par les employés, en particulier dans les environnements de travail hybrides, représente un défi majeur. En 2024, près de 88 % des organisations ont rapporté des incidents liés à des outils non autorisés.

Les applications cloud personnelles sont fréquemment utilisées pour stocker ou partager des données sensibles, ce qui expose les entreprises à des risques importants. Les données réglementées, telles que les informations financières et médicales, constituent 60 % des violations signalées, suivies par la propriété intellectuelle et les codes source.

Dans de nombreux cas, les violations sont dues à un manque de sensibilisation. Par exemple, les employés utilisent des outils gratuits, souvent peu sécurisés, pour partager des fichiers professionnels, ignorant les conséquences potentielles.

Les solutions possibles

Pour contrer ces pratiques, les entreprises doivent :

Mettre en place des politiques restrictives interdisant l’usage d’applications non approuvées.
Utiliser des outils de Cloud Access Security Broker (CASB) pour surveiller et bloquer les transferts non autorisés.
Renforcer la formation en expliquant les risques juridiques et financiers des mauvaises pratiques.
Exergue : « Les applications cloud personnelles sont un angle mort de la cybersécurité. »

La mise en place de systèmes de surveillance en temps réel et de contrôles d’accès est essentielle pour limiter les risques liés à ces usages. De plus, les entreprises doivent privilégier des solutions qui permettent une traçabilité des données et une intervention rapide en cas d’incident.

IA générative : moteur d’innovation et de risques

Les outils d’IA générative, tels que ChatGPT, sont devenus des acteurs incontournables dans le paysage professionnel. Leur adoption rapide, bien que bénéfique, présente des risques non négligeables.

L’essor des outils d’IA générative

En 2024, 94 % des entreprises utilisent des applications d’IA générative, avec une moyenne de 9,6 outils par organisation. Ces applications facilitent des tâches variées, de la rédaction de rapports au brainstorming créatif. Toutefois, leur utilisation sans contrôle strict expose les organisations à des menaces inédites.

Les risques majeurs

Les cybercriminels exploitent ces technologies pour concevoir des attaques de phishing sur mesure. Par ailleurs, les employés peuvent, par inadvertance, introduire des informations confidentielles dans ces outils, qui ne garantissent pas toujours la confidentialité des données.

Des réponses technologiques et humaines

Pour limiter ces risques, 45 % des entreprises ont déployé des solutions de prévention des pertes de données (DLP). Ces outils surveillent en permanence les interactions entre les employés et les plateformes d’IA générative. En parallèle, les organisations investissent dans des programmes de coaching en temps réel, qui alertent les utilisateurs lorsqu’ils effectuent des actions à risque.

L’avenir passe également par l’élaboration de politiques claires et par l’intégration de mesures de contrôle automatisées. Ces initiatives permettront de concilier innovation et sécurité, tout en réduisant les vulnérabilités.

Bref, face à des menaces cyber de plus en plus sophistiquées, les entreprises doivent adopter une approche proactive. DataSecuritybreach.fr rappel que cela doit inclure : L’intégration d’outils de détection avancée ; La formation continue des employés. L’élaboration de politiques claires pour l’usage des applications cloud et de l’IA.

Cybersécurité, Entreprise

Digital Operational Resilience Act : Hola, soy Dora

Le règlement DORA vise à renforcer la résilience numérique des institutions financières européennes face aux cybermenaces croissantes. Ce cadre impose des règles strictes pour une cybersécurité robuste et harmonisée.

Entrant en vigueur le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique (DORA) représente une évolution majeure dans la protection des infrastructures financières en Europe. Conçu pour répondre à la montée des cyberattaques et des dysfonctionnements numériques, il impose des exigences claires aux institutions financières ainsi qu’à leurs prestataires de services numériques. DORA s’adresse aux banques, compagnies d’assurance, entreprises d’investissement, FinTechs et gestionnaires d’actifs opérant au sein de l’Union européenne ou avec des clients dans cette région.

Le cadre, comme l’explique le Livre Blanc de Barracuda, comprend des directives sur la gestion des risques, le test de résilience, la surveillance des fournisseurs tiers, et le partage d’informations. À travers ces mesures, DORA favorise une meilleure coordination entre les acteurs, réduisant ainsi l’impact des incidents numériques. Cet article explore en détail les objectifs, les implications et les actions nécessaires pour se conformer à ce règlement.

Les objectifs et principes fondamentaux du règlement DORA

Le Digital Operational Resilience Act (DORA) repose sur un objectif principal : renforcer la résilience opérationnelle numérique des institutions financières pour protéger l’ensemble du système économique et sociétal. Il reconnaît que la dépendance croissante aux technologies numériques expose le secteur financier à des risques accrus, nécessitant une réglementation harmonisée au sein de l’Union européenne.

Objectifs clés :

Renforcer la cybersécurité des institutions financières : Chaque entité doit disposer de systèmes robustes pour prévenir, détecter, et répondre efficacement aux incidents.
Harmoniser les pratiques au sein de l’UE : Les règles uniformes facilitent la coopération et la transparence entre les États membres.
Protéger les consommateurs et les investisseurs : En réduisant les risques de perturbations et de violations de données, DORA améliore la confiance dans le secteur financier.

Cinq axes stratégiques :

Gestion des risques informatiques : Cela inclut l’identification des vulnérabilités, l’évaluation des impacts potentiels et la mise en œuvre de mesures préventives.
Tests de résilience : Les tests réguliers, tels que les simulations d’attaques, garantissent que les systèmes sont prêts à gérer des situations critiques.
Notification d’incidents : Toute perturbation majeure doit être signalée rapidement pour limiter les conséquences.
Surveillance des tiers : Les fournisseurs critiques doivent respecter les mêmes normes de sécurité.
Partage d’informations : Une coopération accrue permet de renforcer la sécurité collective.

DORA s’applique non seulement aux entreprises européennes, mais également aux entités non européennes opérant avec des clients dans l’UE. Par exemple, une entreprise technologique américaine fournissant des services cloud à une banque européenne devra également respecter ces normes. En reconnaissant que la sécurité numérique est une responsabilité partagée, DORA favorise une approche collaborative pour faire face aux cybermenaces.

Implications pour les entreprises et obligations spécifiques

Une large portée pour une réglementation exhaustive DORA cible une variété d’acteurs : banques, assurances, FinTechs, plateformes de trading, mais aussi les fournisseurs tiers de services technologiques critiques tels que les sociétés cloud. L’objectif est de réduire les vulnérabilités dans l’ensemble de la chaîne de valeur financière.

Principales obligations :

Documentation et gouvernance : Les entreprises doivent fournir des preuves tangibles de leur conformité, incluant des audits réguliers et des rapports détaillés.
Contrats renforcés avec les fournisseurs tiers : Chaque contrat doit inclure des clauses précisant les niveaux de service et les mesures de sécurité.
Formation des équipes : Le personnel doit être formé pour répondre rapidement et efficacement aux incidents.
Sanctions en cas de non-conformité Les régulateurs européens auront le pouvoir d’imposer des sanctions sévères, notamment des amendes substantielles ou des interdictions temporaires d’opérer sur le marché. Par exemple, une banque ne respectant pas les normes pourrait être tenue responsable d’une cyberattaque affectant des millions de clients.

Un cadre mondial Bien que DORA soit une initiative européenne, elle a des répercussions mondiales. De nombreuses entreprises non européennes choisissent de s’aligner sur ce règlement pour garantir leur accès au marché européen et pour bénéficier des meilleures pratiques en matière de cybersécurité.

Focus sur la chaîne d’approvisionnement Les attaques contre les tiers représentent une menace majeure. En réponse, DORA exige une surveillance accrue des fournisseurs, y compris des évaluations continues de leur sécurité et de leur conformité.

Étapes pour se conformer au règlement et exemples de meilleures pratiques

1. Identifier les entités concernées La première étape consiste à déterminer si votre entreprise est directement ou indirectement concernée par DORA. Les entreprises opérant avec des clients ou partenaires européens doivent se préparer dès maintenant.

2. Réaliser une analyse des lacunes Une évaluation complète des systèmes actuels de cybersécurité permet d’identifier les domaines nécessitant des améliorations. Cela inclut la documentation, les protocoles d’urgence et la collaboration avec les tiers.

3. Mettre en œuvre des outils technologiques avancés L’intelligence artificielle (IA) et l’apprentissage automatique jouent un rôle clé dans la détection proactive des menaces. Des solutions comme XDR (Extended Detection and Response) offrent une visibilité complète sur les infrastructures numériques.

4. Renforcer la collaboration avec les fournisseurs tiers Chaque contrat doit inclure des obligations claires sur la sécurité, conformément à l’article 30 de DORA. Par exemple, une société cloud européenne a récemment mis en place un programme de sécurité commun avec ses principaux clients, réduisant ainsi de 50 % les incidents liés à des tiers.

5. Former et tester régulièrement Les simulations d’incidents permettent de préparer les équipes et d’identifier les faiblesses. Une FinTech allemande a réalisé des tests trimestriels, réduisant ainsi le temps moyen de réponse aux incidents de 40 %.

Exemples de réussite confiée par Barracuda : une grande banque française a adopté un système de surveillance en temps réel, réduisant les intrusions détectées par des tiers de 30 % en un an. Un fournisseur de paiement numérique a mis en place un plan de continuité opérationnelle, garantissant un fonctionnement ininterrompu malgré une attaque majeure.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Apple, Entreprise, Justice

Apple accusée de surveillance intrusive

Un employé d’Apple accuse l’entreprise de surveiller la vie privée de ses salariés via iCloud et des dispositifs intrusifs, soulevant un débat sur les droits numériques.

Apple fait face à des accusations graves de la part de l’un de ses employés, Amar Bhakta, responsable de la publicité numérique depuis 2020. Ce dernier a déposé une plainte devant un tribunal californien le 1er décembre, affirmant que l’entreprise impose des pratiques de surveillance intrusive qui interfèrent avec la vie privée des employés. Selon la plainte, Apple exige que les employés relient leurs comptes iCloud personnels aux systèmes d’entreprise, ce qui permettrait à l’entreprise d’accéder à leurs e-mails, photos, vidéos et même données de localisation, y compris en dehors des heures de travail.

Le procès met également en lumière des restrictions sur la liberté d’expression des employés, des dispositifs de surveillance dans les bureaux à domicile, et des violations présumées des droits du travail californien. Apple a nié catégoriquement ces accusations, mais cette affaire relance le débat sur la vie privée des salariés dans un monde professionnel de plus en plus numérisé et connecté.

La plainte déposée par Amar Bhakta accuse Apple de pratiques de surveillance numérique invasive via sa politique de conduite commerciale (BCP). Cette politique stipule que l’entreprise peut accéder et archiver toutes les données liées aux appareils et comptes des employés, y compris leurs comptes personnels iCloud. Selon Bhakta, cette mesure donne à Apple un accès potentiel à des informations privées telles que les photos, vidéos, e-mails, et données de localisation de ses salariés, même en dehors des heures de travail.

L’affaire va plus loin, alléguant qu’Apple impose également des restrictions aux employés dans leurs communications personnelles et professionnelles. Bhakta affirme qu’il lui a été interdit de discuter de son travail sur des podcasts, et qu’Apple a exigé qu’il supprime certaines informations professionnelles de son profil LinkedIn. De plus, il dénonce l’installation de dispositifs de surveillance dans les bureaux à domicile des employés, une pratique qui enfreindrait le droit californien du travail.

Si les accusations s’avèrent fondées, cette affaire pourrait entraîner des sanctions substantielles contre Apple en vertu du California Private Attorney General Act. Apple, de son côté, nie fermement ces allégations. Un porte-parole a déclaré que l’entreprise assure une formation annuelle à ses employés sur leurs droits, notamment sur la discussion des salaires, des horaires et des conditions de travail.

Pourtant, cette plainte met en lumière une problématique plus large : celle de la surveillance numérique sur le lieu de travail moderne. Une enquête récente révèle qu’un employé sur cinq est surveillé via des outils numériques, comme des trackers d’activité ou le Wi-Fi. Cependant, aucune preuve n’indique que ces pratiques améliorent réellement la productivité, ce qui soulève des questions sur leur nécessité.

Cette affaire n’est pas un incident isolé pour Apple. L’entreprise a déjà été poursuivie par le National Labor Relations Board (NLRB) des États-Unis pour avoir imposé à ses employés des accords de confidentialité, de non-divulgation et de non-concurrence contenant des clauses jugées illégales. Ces pratiques auraient enfreint les droits fédéraux des travailleurs à s’organiser et à défendre collectivement leurs conditions de travail.

Le débat sur la frontière entre vie personnelle et vie professionnelle prend une nouvelle dimension dans un monde de plus en plus connecté. Alors que des entreprises comme Apple investissent dans des outils numériques pour accroître leur efficacité, elles risquent de brouiller les limites de la vie privée, au détriment des droits individuels de leurs employés.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Entreprise, Justice, loi

La Russie renforce les restrictions sur les hébergeurs étrangers

Roskomnadzor a restreint l’accès à de nombreux hébergeurs étrangers pour non-conformité à la législation russe. AWS et GoDaddy viennent de rejoindre la liste des interdits.

Roskomnadzor (RKN), l’autorité de régulation des communications en Russie, continue de durcir ses mesures contre les hébergeurs étrangers qui ne respectent pas les exigences de la loi dite « d’atterrissage » (loi fédérale n° 236-FZ). Après avoir limité l’accès à huit fournisseurs en mars et avril 2024, le régulateur vient de bloquer Amazon Web Services (AWS) et GoDaddy, laissant seulement Hetzner Online GmbH et FastComet hors de ces restrictions.

La loi impose aux entreprises étrangères fournissant des services en Russie d’ouvrir des bureaux locaux, de créer un compte officiel sur le site de Roskomnadzor et de fournir un formulaire de contact pour les citoyens et organisations russes. Les fournisseurs qui ne respectent pas ces obligations sont non seulement bloqués, mais leurs sites peuvent être marqués comme non conformes dans les résultats des moteurs de recherche russes, compliquant davantage leur visibilité et leur accessibilité.

Depuis le printemps 2024, Roskomnadzor a progressivement restreint l’accès aux services de huit hébergeurs étrangers, invoquant leur non-respect des dispositions prévues par la loi fédérale n° 236-FZ. Ces restrictions ont concerné des sociétés majeures, parmi lesquelles :

Kamatera Inc. (25 mars 2024)
HostGator.com LLC (29 mars 2024)
DigitalOcean LLC (10 avril 2024)
DreamHost LLC (3 avril 2024)

Conformément à la loi, ces entreprises auraient dû créer un compte personnel sur le site de Roskomnadzor. Publier un formulaire de commentaires pour les citoyens et organisations russes. Ouvrir un bureau local pour gérer leurs opérations en Russie. Les Américains et l’Europe imposent aussi ce type de contrôle.

Malgré plusieurs avertissements, les fournisseurs n’ont pas respecté les exigences de Roskomnadzor. Le ministére a d’abord utilisé des outils de sensibilisation publique, tels que des avertissements dans les résultats de recherche sur Yandex pour signaler les violations. Lorsque cela n’a pas suffi, le régulateur a imposé des restrictions totales d’accès aux ressources concernées.

Les récentes décisions de Roskomnadzor marquent une escalade dans les tensions entre le régulateur russe et les hébergeurs étrangers. En mai 2024, les sites de deux autres fournisseurs notables, Amazon Web Services (AWS) et GoDaddy, ont été bloqués pour des raisons similaires. AWS et GoDaddy avaient pourtant évité les premières vagues de restrictions, mais leur incapacité à se conformer aux obligations légales a conduit à leur inclusion dans la liste noire. Il faut dire aussi qu’avoir un bureau en Russie n’est plus possible pour Amazon Web Services ou GoDaddy.

Avec ces nouveaux ajouts, seules Hetzner Online GmbH et FastComet restent autorisées parmi les fournisseurs initialement listés par Roskomnadzor. Cependant, leur situation pourrait également changer si elles ne respectent pas rapidement les règles en vigueur. Les moteurs de recherche russes, tels que Yandex, continuent de signaler les entreprises non conformes, rendant difficile leur utilisation pour les citoyens russes.

Ces mesures s’inscrivent dans un cadre plus large visant à limiter la dépendance de la Russie aux infrastructures étrangères et à garantir que les données des utilisateurs russes soient protégées selon les normes locales. Roskomnadzor a également souligné que les hébergeurs étrangers ne pouvaient pas garantir la sécurité des données, évoquant des risques d’accès non autorisé et d’utilisation des serveurs pour diffuser des contenus interdits.

Blocages !

Facebook et Instagram : En mars 2022, Roskomnadzor a bloqué l’accès à ces plateformes, les qualifiant d' »extrémistes » après que Meta Platforms a autorisé des messages appelant à la violence contre les forces russes.

BBC News : Le site de la BBC a été bloqué en mars 2022, les autorités russes accusant les médias occidentaux de diffuser de la désinformation sur l’invasion de l’Ukraine.

Twitter : Bien que Twitter ne soit pas complètement bloqué, son accès est fortement restreint depuis mars 2022, rendant son utilisation difficile pour les internautes russes.

Deezer : Le service de streaming musical Deezer est également inaccessible en Russie depuis mars 2022, dans le cadre des restrictions sur les plateformes occidentales.

Chess.com : En avril 2022, le site d’échecs en ligne a été bloqué après la publication d’articles critiques sur l’invasion russe en Ukraine.

Applications VPN : Depuis juillet 2024, environ 25 services de VPN, dont Proton VPN, ont été retirés de l’App Store en Russie, limitant les moyens de contourner la censure.

YouTube : En août 2024, les autorités russes ont considérablement ralenti l’accès à YouTube, réduisant le débit à environ 128 kilobits par seconde, rendant la plateforme pratiquement inutilisable.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Cybersécurité, Entreprise, Microsoft, Patch

Massgrave : un crack ultime pour les licences Windows et Office ?

Le groupe de crackers Massgrave annonce avoir trouvé une méthode pour activer presque toutes les versions de Windows et Office, incluant des licences permanentes.

Le groupe de « pirate de logiciels » Massgrave (MassGravel) affirme avoir réalisé une avancée majeure dans le piratage des licences des logiciels Microsoft, permettant désormais d’activer quasiment toutes les versions de Windows et Office de manière permanente.

Selon leurs déclarations, cette nouvelle méthode fonctionne sur toutes les éditions clients et serveurs de Windows, y compris les mises à jour de sécurité étendues (ESU) et les clés de licence spécifiques à Microsoft (CSVLK). Massgrave promet ainsi une activation complète pour des versions allant de Windows Vista jusqu’à Windows 11 et Server 2025.

Cette méthode, encore en développement, pourrait également offrir un support prolongé pour Windows 10 à partir d’octobre 2025, date à laquelle le support officiel prendra fin. Les outils de Massgrave, disponibles en open source sur GitHub, illustrent une nouvelle étape dans la guerre entre Microsoft et les pirates, avec des implications majeures pour la cybersécurité.

Une fenêtre pirate pour Windows

Massgrave a récemment annoncé une méthode permettant d’activer « presque toutes les protections de licence des logiciels Windows et Office » de manière permanente. Leur nouvelle technique, basée sur une extension des solutions de contournement existantes, inclut des fonctionnalités avancées comme la prise en charge des mises à jour de sécurité étendues (ESU) et des licences en volume spécifiques (CSVLK), rendant la méthode compatible avec les dernières versions de Windows et Office. Autant dire que Microsoft pourrait voir d’un très mauvais œil cette annonce.

Depuis des années, l’activation des logiciels Microsoft nécessite une clé valide ou une licence officielle. Cependant, les solutions de contournement, souvent basées sur des lignes de commande PowerShell, permettent d’activer temporairement certaines versions. Massgrave franchit un nouveau cap en revendiquant une méthode capable d’activer définitivement Windows 8, Windows 10, et même Windows 11, ainsi que les dernières éditions d’Office, y compris Server 2025.

Les crackers annoncent également que leur outil offrira un support étendu (ESU) pour Windows 10, prévu pour octobre 2025. Cette fonctionnalité est particulièrement attirante pour les utilisateurs souhaitant prolonger la durée de vie de leurs systèmes après la fin du support officiel.

Le groupe a également souligné que leurs outils, disponibles en open source sous le projet Microsoft Activation Scripts (MAS) sur GitHub, illustrent un paradoxe intéressant : malgré la visibilité de ces projets, Microsoft n’a pris aucune mesure significative pour les bloquer. Il est même rapporté que certains ingénieurs du support Microsoft auraient utilisé les solutions de Massgrave dans des situations de dépannage. (Sic!)

La disponibilité des outils sur GitHub pose des questions sur la politique de tolérance de Microsoft envers ce type de pratiques. Alors que l’entreprise pourrait engager des actions pour limiter leur diffusion, elle semble, jusqu’à présent, adopter une posture passive. Cette situation alimente un débat sur la manière dont les grandes entreprises technologiques gèrent le piratage de leurs propres produits.

Massgrave précise que leur nouvelle méthode est encore en phase de développement et devrait être disponible dans les mois à venir.

Préoccupation pour les entreprises

Pour les entreprises, cette annonce soulève des préoccupations importantes en matière de cybersécurité et de conformité légale. D’abord le risque de se faire piéger par des logiciels crackés. Le cas des logiciels professionnels piégés par l’info stealer Redline en est un parfait exemple.

Ensuite, l’utilisation de cracks, bien qu’elle puisse sembler une solution rapide et économique, expose les utilisateurs à des risques majeurs. Ces outils peuvent inclure des malwares ou des portes dérobées, rendant les systèmes vulnérables aux attaques. De plus, l’usage de logiciels non licenciés constitue une violation des termes d’utilisation, avec des implications légales et financières potentielles.

Alors que Massgrave promet une avancée significative dans le piratage, il est crucial de rappeler que l’utilisation de ces outils n’est pas sans conséquence. Les entreprises comme les particuliers doivent se méfier des solutions « trop belles pour être vraies » et privilégier des alternatives légales pour sécuriser leurs systèmes.

Années 2010 : Premiers outils d’activation temporaire basés sur PowerShell.
2020 : Développement du projet Microsoft Activation Scripts (MAS) par Massgrave.
Décembre 2024 : Annonce d’une méthode révolutionnaire pour activer Windows et Office de manière permanente.
2025 : Prévision d’un support étendu (ESU) pour Windows 10 après la fin du support officiel.

L’annonce de Massgrave illustre les défis croissants auxquels sont confrontées les entreprises technologiques comme Microsoft face au piratage de leurs produits.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Argent, Entreprise

L’Iran réglemente les crypto-monnaies pour contourner les sanctions

L’Iran choisit la réglementation plutôt que l’interdiction des crypto-monnaies, visant contrer les sanctions américaines et s’aligner sur l’économie mondiale.

L’Iran, pays fortement impacté par les sanctions économiques internationales, adopte une stratégie en choisissant de réglementer les crypto-monnaies au lieu de les interdire. Selon Abdolnasser Hemmati, ministre de l’Économie et des Finances, les autorités cherchent à exploiter le potentiel des crypto-actifs pour stimuler l’emploi des jeunes, réduire l’impact des sanctions américaines et intégrer le pays dans l’économie mondiale.

La Banque centrale d’Iran jouera un rôle central en devenant l’organisme de réglementation des crypto-monnaies. Elle aidera les traders à se conformer aux lois fiscales et anti-blanchiment d’argent. Avec des investisseurs iraniens détenant entre 30 et 50 milliards de dollars en actifs cryptographiques – un tiers du marché total de l’or du pays –, cette initiative reflète un potentiel économique significatif.

En outre, des discussions sont en cours avec la Russie pour créer un stablecoin commun destiné aux transactions internationales, renforçant ainsi le rôle stratégique des crypto-monnaies pour l’Iran.

Une stratégie économique tournée vers les crypto-monnaies

L’Iran voit dans les crypto-monnaies une opportunité unique de surmonter les restrictions imposées par les sanctions américaines. Depuis 2022, les entreprises locales sont autorisées à utiliser des actifs numériques pour les transactions d’importation, une mesure destinée à contourner les blocages financiers internationaux.

En 2023, la Banque centrale d’Iran a entamé des discussions avec la Russie sur la création d’un stablecoin régional, permettant de faciliter les règlements commerciaux bilatéraux tout en réduisant la dépendance au dollar américain. Cette initiative pourrait offrir une alternative durable pour les échanges internationaux des deux pays, renforçant leur résilience économique face aux pressions occidentales.

« Les actifs cryptographiques détenus par les Iraniens représentent entre 30 et 50 milliards de dollars, un tiers de la valeur du marché de l’or national. »

Avec une grande partie des échanges cryptographiques centralisés affiliés au gouvernement, l’Iran espère utiliser ces plateformes pour attirer des investissements, encourager l’innovation et stimuler l’emploi dans les secteurs technologiques et financiers.

Un cadre réglementaire sous l’égide de la banque centrale

La Banque centrale d’Iran deviendra le principal organisme de réglementation des crypto-monnaies, orientant les politiques pour équilibrer les opportunités économiques et les risques associés. Les efforts se concentreront sur la lutte contre le blanchiment d’argent, la conformité fiscale et la création d’un environnement sûr pour les traders de crypto.

Cette approche vise à éliminer les impacts négatifs des actifs cryptographiques tout en exploitant leur potentiel économique. Le ministre de l’Économie, Abdolnasser Hemmati, a souligné que cette réglementation pourrait transformer les crypto-monnaies en outil de croissance économique, en particulier pour les jeunes Iraniens, tout en offrant une alternative pour contrer les sanctions.

« La Banque centrale iranienne guidera les traders pour respecter les lois fiscales et anti-blanchiment, favorisant un écosystème cryptographique sûr et conforme. »

En favorisant l’adoption des crypto-monnaies, l’Iran espère également intégrer son économie dans le paysage mondial, tout en réduisant sa dépendance aux systèmes financiers traditionnels. Le hic! Les pirates pourraient passer par ce biais pour blanchir l’argent volé, comme ce fût le cas avec deux entreprises Russes épinglées par la NCA britanniques.

Défis et perspectives économiques

Malgré les opportunités offertes par les crypto-monnaies, des défis subsistent. Une étude récente a révélé que la plupart des échanges cryptographiques iraniens sont affiliés au gouvernement et participent au contournement des sanctions.

Depuis 2023, le projet de stablecoin commun avec la Russie souligne une vision régionale stratégique, avec la création d’un mécanisme alternatif pour les règlements commerciaux. Ce partenariat pourrait inspirer d’autres pays cherchant à se libérer de la domination du dollar et des sanctions dans le commerce mondial.

En réglementant les crypto-monnaies, l’Iran adopte une approche visant à stimuler son économie tout en contournant les sanctions internationales. En raison des sanctions américaines, il est interdit aux plateformes internationales d’actifs numériques de fournir des services aux utilisateurs iraniens. Selon une étude diffusée en octobre 2024, il existerait 90 plateformes de trading de crypto-monnaies en activité en Iran. Parmi ceux-ci, plus de 10 fonctionnent comme des échanges centralisés avec des sites Web et des applications. Il y aurait entre 15 à 19 millions d’utilisateurs actifs.

Pour rester informé des évolutions sur les crypto-monnaies et les stratégies économiques mondiales, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Découvrez comment les nouvelles technologies redessinent l’économie mondiale.