Archives de catégorie : RGPD

Entreprise, Justice, RGPD

Marriott et Starwood : un règlement de 52 millions de dollars pour violation de données personnelles

Marriott International, ainsi que sa filiale Starwood Hotels, ont accepté de verser 52 millions de dollars dans le cadre d’un règlement suite à une série de violations de données ayant exposé les informations personnelles de 344 millions de clients.

Le parcours de Marriott et Starwood en matière de sécurité des données est marqué par trois violations majeures. En juin 2014, une première faille chez Starwood a compromis les informations relatives aux cartes de paiement des clients, une fuite qui est restée non détectée pendant 14 mois. L’ampleur de cet incident a augmenté le risque pour des millions de clients, dont les informations étaient à la merci des cybercriminels.

Un deuxième incident s’est produit en juillet 2014, révélant cette fois 339 millions de dossiers clients, dont 5,25 millions de numéros de passeport non cryptés. Ce n’est qu’en septembre 2018 que cette faille a été découverte, laissant les clients dans une situation de vulnérabilité prolongée. Ces deux événements, antérieurs à l’acquisition de Starwood par Marriott, ont néanmoins rendu ce dernier responsable de la protection des données à la suite de l’intégration.

En septembre 2018, Marriott a également été directement touché par une attaque. Cette fois, les informations personnelles de 5,2 millions de clients ont été compromises, incluant les noms, adresses e-mail, numéros de téléphone, dates de naissance et informations liées aux comptes de fidélité. Bien que cet incident ait eu lieu en 2018, la fuite n’a été découverte qu’en février 2020, mettant en évidence des failles dans la détection et la gestion des incidents de cybersécurité.

Les conséquences du règlement pour Marriott et ses clients

Cet accord intervient après plusieurs incidents de sécurité, dont certains remontent à 2014, avant même l’acquisition de Starwood par Marriott en 2016. Outre l’amende, Marriott devra mettre en place un programme de cybersécurité complet, offrir aux clients la possibilité de supprimer leurs données personnelles et limiter la quantité d’informations stockées.

Pour faire face aux répercussions de ces violations, Marriott a accepté de verser 52 millions de dollars aux autorités de 49 États américains. L’entreprise devra également instaurer des mesures de sécurité renforcées, parmi lesquelles l’implémentation d’un programme complet de protection des données, des audits tiers réguliers, et des limitations strictes quant aux données clients stockées. Ces efforts visent à empêcher de futurs incidents similaires, en assurant que seules les informations nécessaires sont conservées et en offrant aux clients la possibilité de demander la suppression de leurs données personnelles.

Cet accord, bien que coûteux pour Marriott, constitue un signal fort quant à l’importance de la cybersécurité dans un monde de plus en plus connecté. Avec plus de 7 000 hôtels répartis dans 130 pays, Marriott est une entreprise qui gère une quantité massive de données personnelles. La multiplication des attaques informatiques visant les grandes entreprises a souligné l’urgence d’investir dans des systèmes de protection robustes et d’assurer une vigilance constante face aux menaces cybernétiques.

La Federal Trade Commission (FTC) des États-Unis, qui a surveillé de près les différentes violations, a souligné que les entreprises doivent non seulement protéger les données de leurs clients, mais également être en mesure de détecter rapidement toute faille de sécurité pour minimiser les risques. Le cas de Marriott illustre parfaitement l’importance de la détection précoce : une fuite restée inaperçue pendant plusieurs mois, voire années, expose non seulement l’entreprise à des sanctions sévères, mais surtout met en danger les informations sensibles de millions de personnes.

Des changements structurels pour une meilleure gestion des données

L’une des principales mesures prises par Marriott dans le cadre de cet accord est l’audit régulier de ses systèmes de sécurité par des tiers. Cette pratique permettra de garantir que les nouvelles politiques de sécurité mises en place sont effectivement respectées et fonctionnent efficacement. Limiter la quantité de données stockées est également une réponse directe aux violations antérieures, où des informations non nécessaires étaient conservées, augmentant inutilement les risques en cas de piratage.

Offrir aux clients la possibilité de supprimer leurs données personnelles est une autre mesure significative, permettant une transparence accrue et un contrôle direct sur les informations partagées. Ce droit de suppression répond aux attentes croissantes en matière de protection des données dans le cadre des législations internationales, telles que le Règlement général sur la protection des données (RGPD) en Europe.

article partenaire, loi, RGPD

La Protection des Données et le RGPD : Un Renforcement Incontournable de la Confidentialité en France et en Europe

Dans un monde de plus en plus connecté où les données personnelles sont omniprésentes, la protection de la vie privée est devenue un enjeu primordial. En réponse à cette préoccupation, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD) en 2018. En France et dans toute l’Europe, cette réglementation a introduit de nouvelles normes et devoirs pour les entreprises et les organisations en matière de collecte, de stockage et d’utilisation des données personnelles. Cet article explorera les aspects clés de la protection des données et du RGPD, en mettant en avant des exemples, des références et des sources en France et en Europe.

Le RGPD : Une Révolution pour la Protection des Données

Le RGPD a introduit un cadre juridique unifié pour la protection des données personnelles dans tous les États membres de l’Union européenne. Il donne aux individus un plus grand contrôle sur leurs données personnelles et impose des obligations strictes aux entreprises qui les traitent. Par exemple, les entreprises doivent obtenir un consentement explicite et spécifique des individus avant de collecter leurs données, et elles doivent également fournir des informations claires sur la manière dont ces données seront utilisées. Des entreprises de plus en plus amenées à faire appel à un cabinet de conseil rgpd afin de pouvoir répondre à toutes les attentes et obligations.

Exemples de Protection des Données en France

En France, le RGPD a eu un impact significatif sur la manière dont les entreprises et les organismes traitent les données personnelles. Des exemples concrets illustrent les avancées réalisées en matière de protection des données. Par exemple, les banques françaises ont dû adapter leurs pratiques pour se conformer au RGPD. Elles ont renforcé la sécurité des données des clients, mis en place des protocoles de notification en cas de violation de données et offert des options plus transparentes en matière de consentement.

Impacts du RGPD dans l’Union européenne

Le RGPD a également eu un impact considérable au-delà des frontières françaises. Dans toute l’Union européenne, il a incité les entreprises à repenser leur approche de la protection des données et à mettre en place des mesures plus rigoureuses. Des géants technologiques tels que Google et Facebook ont dû apporter des modifications à leurs politiques de confidentialité pour se conformer aux nouvelles réglementations. De plus, les autorités de protection des données dans toute l’Europe ont été renforcées, disposant désormais de pouvoirs accrus pour enquêter sur les violations et infliger des amendes dissuasives en cas de non-conformité.

Les Avantages du RGPD pour les Individus

Le RGPD accorde aux individus un certain nombre de droits essentiels pour protéger leurs données personnelles. Ces droits incluent le droit d’accéder à leurs données, le droit de les rectifier en cas d’inexactitude, le droit à l’effacement (ou droit à l’oubli), et le droit à la portabilité des données. Ces droits donnent aux individus une plus grande autonomie et transparence dans le contrôle de leurs informations personnelles.

Les Défis et les Perspectives Futures

Bien que le RGPD ait apporté des améliorations significatives en matière de protection des Données en France et en Europe, il reste des défis à relever et des perspectives futures à envisager. L’un des défis majeurs réside dans la mise en conformité des petites et moyennes entreprises (PME) qui peuvent rencontrer des difficultés en raison des ressources limitées. Il est essentiel de fournir un soutien et des ressources adéquates pour aider ces entreprises à se conformer aux exigences du RGPD.

Par ailleurs, avec l’évolution rapide des technologies et des pratiques de collecte de données, de nouveaux enjeux émergent. Par exemple, les questions liées à l’intelligence artificielle et à l’utilisation de données massives (big data) soulèvent des préoccupations quant à la protection de la vie privée. Les autorités de protection des données devront rester à l’avant-garde de ces développements technologiques pour garantir une protection adéquate des données personnelles. La NIS 2, mise à jour de la directive européenne NIS a été votée en janvier 2023. Elle affiche de nouvelles motivations sécuritaires. La directive NIS2 (Network and Information Systems) a pour objectif principal de renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle cherche à protéger les infrastructures critiques, telles que les réseaux électriques, les services de santé, les transports et les services financiers, contre les cyberattaques. NIS2 vise également à garantir la résilience des services numériques et à promouvoir une culture de la cybersécurité.

Dans une perspective future, il est essentiel de renforcer la coopération internationale en matière de protection des données. Les échanges de données transfrontaliers nécessitent une harmonisation des réglementations et des mécanismes de coopération entre les autorités de protection des données de différents pays. De plus, il convient de promouvoir l’éducation et la sensibilisation du public sur les enjeux liés à la protection des données et à la vie privée, afin que les individus soient mieux informés de leurs droits et des mesures de sécurité à prendre. C’est pour cela que la NIS 2 impose des obligations de notification des incidents de sécurité, obligeant les entreprises à signaler toute violation de sécurité significative aux autorités compétentes. Ce qu’elle devait, normalement, déjà faire avec le RGPD. Elle prévoit également des exigences en matière de gestion des risques, de tests de pénétration et de plans de continuité d’activité, afin de garantir une préparation adéquate face aux cybermenaces.

Le RGPD a été une avancée majeure dans le domaine de la protection des données en France et en Europe. Il a renforcé les droits des individus et imposé des obligations claires aux entreprises et aux organisations. Des exemples concrets en France et dans toute l’Union européenne démontrent l’impact positif du RGPD sur la confidentialité des données personnelles. Cependant, les défis subsistent et les perspectives futures nécessitent une vigilance continue. La protection des données et la garantie de la vie privée restent des priorités essentielles dans notre société numérique. En soutenant les PME, en anticipant les nouveaux défis technologiques et en renforçant la coopération internationale, nous pourrons assurer une protection des données adéquate et durable pour tous.

Références
Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Commission nationale de l’informatique et des libertés (CNIL) – www.cnil.fr
European Data Protection Board (EDPB) – edpb.europa.eu
Les changements induits par le RGPD dans le domaine de la cybersécurité en Europe par l’Agence européenne pour la cybersécurité (ENISA)
Rapport sur les premières années de mise en œuvre du RGPD en Europe par l’EDPB
Article sur les droits des individus selon le RGPD en France publié par le site Legifrance.

RGPD

Les Français, mauvais élèves européens de la protection de leurs données

86 % des Français n’ont aucune idée du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles. 38 % des Français n’ont aucune connaissance de la législation destinée à protéger leurs données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols.

Une nouvelle étude* OpenText réalisée auprès de 2000 consommateurs français, met en lumière un manque de connaissance du public quant au traitement de ses données par les entreprises, comparé à ses voisins européens. L’enquête révèle que moins d’un Français sur cinq (17 %) serait prêt à payer plus cher ses achats auprès d’une entreprise qui s’engage à protéger la confidentialité de ses données personnelles. Une proportion bien inférieure à celle de leurs homologues allemands (41 %), britanniques (49 %) ou espagnols (36 %).

Un tiers (33 %) des Français interrogés ne font pas confiance aux entreprises pour préserver la sécurité ou la confidentialité de leurs données personnelles, mais une fois encore, cette proportion est nettement inférieure à celle de leurs voisins : 47 % des Allemands, 45 % des Britanniques, 39 % des Espagnols. De surcroit, près de la moitié (42 %) des Français ne se sont jamais posé la question, contre 34 % des Allemands et des Britanniques, et 33 % des Espagnols.

Maîtriser la protection de la confidentialité des données

La majorité (86 %) des consommateurs français n’ont « aucune idée » du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles, telles que leur adresse e-mail, leur numéro de téléphone ou leurs coordonnées bancaires. Un chiffre qui se démarque toujours de celui de leurs voisins : 73 % des Allemands, 80 % des Britanniques, 79 % des Espagnols, qui semblent plus alertes sur le sujet.

Cette proportion coïncide avec le fait que plus d’un tiers (38 %) des Français affirment n’avoir aucune connaissance de la législation destinée à protéger ces données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols. En outre, 32 % des Français ont une bonne connaissance de ces lois, et 30 % en ont une vague idée.

De fait, seuls 23 % des consommateurs français déclarent qu’ils seraient prêts à entrer, de leur propre initiative, en contact avec une entreprise afin de vérifier l’utilisation faite de leurs données personnelles ou la conformité de leur conservation. Leurs voisins Allemands (25 %), Britanniques (32 %) et Espagnols (38 %) sont plus proactifs en la matière. Moins d’un Français sur dix (9 %) a déjà effectué cette démarche au moins une fois, contre 12 % des Allemands, 13 % des Britanniques et 17 % des Espagnols.

« La crise de la Covid-19 a accéléré le rythme de la transformation numérique, les entreprises étant passées au télétravail et au commerce en ligne », commente Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Le numérique est désormais au centre de pratiquement toute interaction commerciale, produisant une plus grande quantité de données que les entreprises doivent gérer et protéger. Bien qu’il existe un plus grand degré de complaisance parmi les Français quant à la nécessité de protéger leurs données personnelles par rapport aux consommateurs d’autres pays, la tendance mondiale liée aux attentes accrues des consommateurs en matière de confidentialité de leurs données est claire. Elle met aujourd’hui les entreprises sous pression pour veiller à ce que leurs solutions destinées à préserver cette confidentialité s’adaptent correctement à cette ère qui privilégie le numérique. »

Qui est responsable de protéger la confidentialité des données ?

Une majorité (60 %) des consommateurs français (contre 73 % des Britanniques) estiment savoir comment protéger la confidentialité et la sécurité de leurs propres données dans les applications, les comptes e-mail et sur les réseaux sociaux, qu’il s’agisse de configurer les paramètres relatifs à la vie privée ou de désactiver la géolocalisation. Cependant un sur dix (11 %) pense que la préservation de la confidentialité et la sécurité de leurs données relève de la responsabilité de l’application ou de l’entreprise en question.

Paradoxalement, les Français sont parmi les plus pessimistes quant à l’avenir de la protection de leurs données. En effet, à peine plus d’un Français sur dix (11 %) juge que nous sommes arrivés au stade où chaque entreprise satisfait à ses obligations légales d’assurer la confidentialité des données de ses clients, soit moins qu’en Espagne (17 %) et en Allemagne (13 %). Du reste, près d’un cinquième (19 %) des Français interrogés considèrent que cela ne sera vrai que dans un avenir lointain, voire jamais, contre 26 % des Allemands, 24 % des Britanniques et 18 % des Espagnols.

« Au-delà des amendes encourues, toute entreprise qui ne respecte pas la législation sur la confidentialité des données s’expose au risque de perdre la confiance de ses clients », souligne Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Les dirigeants doivent mettre à profit une technologie qui, non seulement offre une visibilité sur leurs pratiques de collecte et de protection des données, mais leur permet aussi de répondre rapidement aux demandes des clients sur la manière dont leurs données personnelles sont traitées, collectées et utilisées. En investissant dans des solutions complètes de gestion de la confidentialité, qui automatisent et intègrent les règles de protection de la vie privée dans une entreprise avec les principes en vigueur dans ce domaine, les entreprises peuvent satisfaire à leurs obligations réglementaires, réduire le risque d’atteinte à leur réputation et conserver la confiance de leurs clients. »

*Méthodologie
Étude réalisée via Google Surveys en avril-mai 2020. À la demande d’OpenText, 12 000 consommateurs ont été interrogés anonymement en Allemagne, en Australie, au Canada, en Espagne, en France, au Royaume-Uni et à Singapour. Le panel français comprenait 2000 participants afin de donner un aperçu du point de vue des consommateurs sur la protection de la confidentialité des données pendant la crise du coronavirus.

Base de données, Communiqué de presse, RGPD

Collectivités territoriales : un guide de sensibilisation au RGPD

Afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation disponible sur son site web.

Les collectivités territoriales traitent de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web. Cette tendance ne fera que se renforcer avec la transformation numérique de l’action publique.

Dans ce contexte, le respect des règles de protection des données constitue aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents, qui sont de plus en plus sensibles à la protection de leurs données. C’est aussi un gage de sécurité juridique pour les élus responsables des fichiers et des applications utilisés au sein de leur collectivité.

Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978. Malgré cela, la CNIL est consciente que la mise en conformité au RGPD peut parfois être complexe, et que l’importance des enjeux justifie un appui spécifique de sa part.

Aussi, afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation.

Quel plan d’action pour se mettre en conformité ?

Ce guide s’adresse prioritairement aux communes de petite ou de moyenne taille, ainsi qu’à leurs groupements intercommunaux, ne disposant pas nécessairement en interne de ressources dédiées spécifiquement à la protection des données. Il propose des clés de compréhension des grands principes, des réflexes à acquérir, un plan d’action pour se mettre en conformité ainsi que des fiches pratiques.

Il évoque les conditions de désignation du délégué à la protection des données afin que chaque collectivité puisse identifier la modalité la plus adaptée à sa situation.

Pour élaborer ce guide, la CNIL s’est rapprochée des principales associations regroupant les différents niveaux de collectivités et autres organismes intervenant auprès du secteur public local. Cet appui permet d’apporter des réponses concrètes et adaptées aux collectivités.

Ce guide actuellement envoyé en version papier à toutes les mairies de Métropole et d’Outre-Mer.

En complément de ce guide de sensibilisation, des fiches techniques consacrées aux principaux sujets de préoccupation des collectivités ont également été publiées sur le site web de la CNIL.

La CNIL proposera par ailleurs un cours en ligne gratuit sur le RGPD et les collectivités.

Communiqué de presse, RGPD

Haut lieu mondial des attaques par force brute

Une étude tente d’expliquer pourquoi les attaques contre les applications ont la plupart du temps lieu au niveau de l’accès, contournant des processus d’authentification et d’autorisation légitimes. Les attaques par force brute sont généralement définies par, soit dix tentatives de connexion successives infructueuses, ou plus, en moins d’une minute, soit 100 tentatives infructueuses en 24 heures.

Accès ou ne pas avoir d’accès ! Les pirates se posent toujours la question.

En 2018, l’équipe de réponse aux incidents de sécurité de F5 (SIRT, Security Incident Response Team) indiquait que les attaques par force brute à l’encontre des clients de F51 représentaient 18 % du nombre total d’attaques et 19 % des incidents traités.

De toutes les attaques enregistrées par le SIRT qui ont eu lieu dans la région EMEA l’année dernière, 43,5 % étaient des attaques par force brute.

Le Canada arrive juste derrière (41,7 % des attaques enregistrées), suivi des États-Unis (33,3 %) et de la région APAC (9,5 %).

Le secteur des services publics a été le plus touché, 50 % de tous les incidents ayant pris la forme d’attaques par force brute, suivi des services financiers (47,8 %) et de l’industrie de de la santé (41,7 %).

L’éducation (27,3 %) et les fournisseurs de services (25 %) étaient aussi dans la ligne de mire.

« Selon la robustesse des capacités de surveillance, les attaques par force brute peuvent sembler inoffensives, comme une connexion légitime avec un nom d’utilisateur et un mot de passe corrects », explique Ray Pompon, principal évangéliste en recherche sur les menaces chez F5 Networks. « Les attaques de cette nature peuvent être difficiles à détecter car, en ce qui concerne le système, le hacker semble être l’utilisateur légitime. »

Attaques massives

Toute application nécessitant une authentification peut potentiellement subir des attaques par force brute, mais le F5 Labs a surtout observé des attaques se concentrant sur l’Authentification via formulaire HTTP (29 % des attaques enregistrées dans le monde). Attaques contre les formulaires d’authentification Web dans le navigateur. Sachant que la plupart des connexions traditionnelles sur le Web prennent cette forme.

Outlook Web Access (17,5 %), Office 365 (12 %), ADFS (17,5 %).

Attaques contre les protocoles d’authentification utilisés pour les serveurs Exchange et Active Directory Federation Services de Microsoft. Ces services n’étant pas accessibles via un navigateur, les utilisateurs s’authentifient auprès d’eux via des applications tierces.

En raison des fonctionnalités d’authentification unique (Single Sign-On) d’Active Directory Federation Services, les attaques d’accès réussies contre ces protocoles ont aussi un impact sur la messagerie électronique, ainsi que sur des Intranets entiers et des volumes importants d’informations sensibles.

SSH/SFTP (18 %). Les attaques d’accès SSH et SFTP sont parmi les plus courantes, ce qui est en partie dû au fait qu’une authentification SSH réussie est souvent un moyen rapide d’obtenir des privilèges administrateur. Les attaques par force brute SSH sont extrêmement prisées des cybercriminels étant donné que de nombreux systèmes continuent d’utiliser des informations d’identification par défaut pour plus de commodité.

S-FTP (6 %). Les attaques S-FTP par force brute sont dangereuses, car elles permettent d’implanter des malwares offrant un large éventail de possibilités, comme l’élévation des privilèges, l’enregistrement des frappes clavier, ainsi que d’autres formes de surveillance et de pénétration du réseau.

Messagerie électronique

La messagerie électronique est globalement le service le plus sujet aux attaques par force brute. Pour les entreprises qui ne dépendent pas fortement du commerce électronique, les ressources les plus précieuses stockées loin du périmètre réseau, derrière plusieurs couches de contrôle. Dans ce cas, la messagerie électronique constitue bien souvent un excellent point de départ pour dérober des données et accéder aux outils nécessaires pour mener une attaque de grande ampleur.

Les attaques relatives aux atteintes à la protection des données identifient également la messagerie électronique comme une cible principale. Elles figurent parmi les deux principales sous-catégories liées au vol d’accès, représentant 39 % des violations d’accès et 34,6 % des causes d’attaques. Le mail est directement en cause dans plus d’un tiers des déclarations de piratage.

Bien se protéger

Selon le rapport Application Protection Report 2019, se protéger contre les attaques au niveau de l’accès représente encore un défi majeur pour de nombreuses entreprises. L’authentification à plusieurs facteurs peut se révéler difficile à mettre en œuvre et n’est pas toujours réalisable dans les délais impartis. Fait inquiétant, bien que les mots de passe n’offrent généralement pas une protection suffisante, le rapport Application Protection Report 2018 de F5 indique que 75 % des entreprises continuent d’utiliser de simples combinaisons nom d’utilisateur/mot de passe pour l’accès à leurs applications Web critiques.

« Même s’il faut s’attendre à ce que les tactiques d’attaque d’accès évoluent en même temps que les technologies de défense, les principes de base d’une bonne protection demeureront essentiels à l’avenir », indique Ray Pompon de chez F5. « Pour commencer, les entreprises doivent s’assurer que leur système peut au moins détecter les attaques par force brute. L’un des principaux problèmes est que la confidentialité et l’intégrité se trouvent parfois en porte-à-faux avec la disponibilité. Il est important de mettre en place des mécanismes de réinitialisation pour l’entreprise et ses utilisateurs. Et ne pas se contenter de définir quelques alarmes de pare-feu pour les tentatives d’attaque par force brute. Il est important de tester les contrôles de surveillance et de réponse, exécuter des tests de scénarios de réponse aux incidents et créer des playbooks de réponse aux incidents pour pouvoir réagir de manière rapide et fiable. »

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, RGPD, Sauvegarde, Securite informatique

Le backup, votre allié numérique

Bug informatique, perte d’informations, attaque d’un ransomware… des problèmes que l’on peut rencontrer chaque jour face à un clavier. L’une des solutions les plus efficace face à ce type de problématique, la sauvegarde. Nous avons testé la solution EaseUS qui vient de fêter ses 14 ans.

La sauvegarde, le backup … la protection de vos données personnelles, d’entreprises par le clonage sécurisé de ces dernières. Le réflexe indispensable pour une continuité d’exploitation. Pour cela, il existe de nombreuses solutions gratuites et payantes. Nous nous sommes penchés sur le cas de « Todo Backup Home » de l’éditeur EaseUS. L’entreprise vient de sortir la version 11.5 de son outil de sauvegarde. D’abord parce que nous utilisons une de leur solution (la récupération de données perdues) et ensuite parce que cette société vient de fêter ses 14 ans d’existence.

EaseUS Todo Backup Home

S’il fallait définir cet outil, nous pourrions le faire ainsi : une sauvegarde simple. En quelque clic votre machine, votre disque dur ou toutes données sélectionnées seront protégées par le backup.

Le fonctionnement est d’une simplicité enfantine. Plus d’excuse pour dire « C’est long, compliqué« . A près avoir installé l’outil (237 Mo), une administration claire et détaillée s’offre à vous. Plusieurs onglets, sans fioriture pour plus d’efficacité. Le premier, la sauvegarde de disque dur. Vous choisissez le HD a sauvegardé et vous cliquez après avoir sélectionnez la destination.

 

Bien évidement, cette destination ne doit pas être le même disque dur et sur le même ordinateur. Je vous conseille fortement un disque dur externe que vous pourrez déconnecter par la suite du poste sauvegardé.

Pensez aussi à chiffrer cette sauvegarde. Chiffrement que propose Todo Backup Home. Il vous sera réclamé un mot de passe afin de sécuriser l’ensemble. Un conseil, ne perdez pas ce password, la récupération sera impossible dans le cas contraire. Petit défaut, l’outil n’indique pas le type de chiffrement employé !

Une fois la sauvegarde effectuée, il est possible de recevoir un courriel indiquant la fin de l’action. Une option intéressante lors de l’automatisation de vos backups.

Pour ne pas surcharger vos sauvegardes de fichiers inutiles Todo Backup Home propose aussi d’exclure les contenus inutiles, consommateurs de Mo. Ici aussi, vous sélectionnez l’onglet adéquate et cochez les fichiers à exclure. Parmi les autres possibilités: la sauvegarde du système avec la possibilité de le transférer sur un nouveau poste, la copie de vos mails (ne fonctionne pour le moment que sous Microsoft Outlook).

Pour conclure, l’option « Stratégie de réserve d’images » vous permettra de ne pas saturer vos espaces de stockages de backup. Vous pourrez sélectionner, par exemple, la durée de conservation. Un détail loin d’être négligeable, aussi, avec le Règlement Général des Données Personnelles qui impose des durées/moyens/sécurisation des informations sauvegardées.

Bref, EaseUS Todo Backup Home fait le travail qu’on lui demande et il le fait vite et bien !

Il existe deux versions de ce logiciel. Une version gratuite et une version plus poussée, commercialisée 27€.

La première sera parfaite pour la maison, la famille.

La seconde est plus poussée, plus pointue avec des options beaucoup plus professionnelles. Je vais être honnête avec vous, j’ai tenté de vous faire gagner des licences ! En lieu est place, j’ai réussi à vous dégoter un -50% sur la licence professionnelle qui vous coûtera donc que 13,5€. (La promo est utilisable jusqu’au 20 juin 2020).

A vous de tester ! N’hésitez pas à faire un report de vos expériences ci-dessous.

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).

400 000 euros !

Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Conservation des données

Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)

Base de données, BYOD, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, RGPD, Sauvegarde, Securite informatique

Télétravail : risques de sécurité pour les entreprises

Télétravail  : Les résultats de l’enquête révèlent que seulement 11 % des PME se préoccupent des facteurs sécurité et informatique lorsqu’il s’agit du travail à distance de leurs employés.

Une étude vient de dévoiler les résultats d’une enquête sur le télétravail . Selon cette recherche, à partir de 586 répondants, les nouvelles pratiques de travail flexibles pourraient poser un risque pour la sécurité des petites entreprises. En effet, un employé sur cinq (9 %) estime être le plus productif lorsqu’il travaille dans des lieux publics comme un café ou une bibliothèque, mais seulement 11 % des employeurs sont préoccupés par les répercussions que cela pourrait avoir sur la sécurité de leur entreprise. Les PME doivent donc relever le défi de maintenir leur sécurité, tout en répondant aux besoins et aux attentes de leurs collaborateurs.

Une nouvelle norme

L’étude met en évidence les tendances et les attentes concernant le télétravail, plus d’un tiers (38 %) des personnes interrogées préférant accepter une réduction de salaire plutôt que de se limiter à travailler dans un bureau. Une autre tranche de 35 % choisirait la flexibilité du travail à domicile plutôt qu’une augmentation de salaire, même si on leur proposait une augmentation de 25 %. Alors que les entreprises se disputent les meilleurs talents, il sera vital de pouvoir attirer des personnes aptes à mettre en place des méthodes de travail modernes. Cependant, 38 % des répondants ont indiqué qu’ils ne reçoivent pas le soutien technologique ou l’expertise dont ils ont besoin lorsqu’ils travaillent à domicile ou dans un lieu public, faisant de la sécurité un problème croissant pour les petites entreprises qui ont recours au travail flexible.

« Le lieu de travail fonctionnant selon un horaire 9h – 17h appartient au passé, et les employés qui rejoignent le marché du travail aujourd’hui exigent une plus grande flexibilité en termes d’horaires, d’emplacement et d’avantages sociaux personnalisés, déclare Kevin Chapman, SVP et General Manager, chez Avast Business. Bien qu’il soit prouvé dans certains cas que ces pratiques augmentent la satisfaction et même la productivité des employés, il y a des problèmes de sécurité bien réels qu’il est nécessaire de résoudre. Les entreprises doivent être en mesure de fournir les outils qui leur permettent non seulement de faire preuve de flexibilité, mais aussi de le faire en toute sécurité. Il est également important de ne pas négliger les employés qui préféreraient conserver un environnement de bureau traditionnel. Il convient de trouver un équilibre pour permettre à tous de travailler de la manière qui leur est la plus bénéfique. »

Avantages du télétravail

Non seulement les PME seront en mesure d’attirer le meilleur personnel qui soit, mais le travail mobile semble présenter d’autres bénéfices. Interrogés sur les avantages que présente le télétravail pour les employés des petites entreprises, près d’un tiers d’entre eux (30 %) ont confié que cela les rendait plus heureux, et 31 % ont répondu que cela leur permettait d’apprécier leur travail. Cette étude a également révélé que la satisfaction des employés n’est pas la seule à augmenter : la flexibilité du travail pourrait avoir un impact positif sur sa qualité et sur la productivité ; 34 % des employés affirment être les plus productifs lorsqu’ils travaillent à domicile, contre 45 % au bureau.

Les petites entreprises qui souhaitent adopter de nouvelles pratiques de travail doivent relever de nombreux défis sécuritaires. Si le personnel accède à des données sensibles ou se connecte à des comptes professionnels via un réseau Wi-Fi non sécurisé, l’entreprise risque de subir une attaque. Il existe également un risque de violation de données si un employé enregistre des renseignements sensibles sur un ordinateur de bureau. Machine qui va disparaître. Les propriétaires de petites entreprises doivent prévoir des mesures de sécurité pour les travailleurs mobiles, telles que des solutions de réseau privé virtuel (VPN) à utiliser sur les connexions Wi-Fi ouvertes, et des logiciels anti-malware déployés aux points finaux sur tous les appareils personnels (BYOD – Bring Your Own Device) des employés. De plus, il convient de veiller à ce que les employés soient sensibilisés au rôle très important qu’ils ont à jouer dans la sécurité de l’entreprise.

Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Patch, RGPD, Sécurité, Securite informatique

Microsoft obtient la certification FIDO2 pour Windows Hello

Un commentaire

FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs

L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.

FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.

FIDO2

« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe, confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10 ».

Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.

Windows 10 prend en compte FIDO

La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.

« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»

FIDO2 et les navigateurs

En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.

Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.

Cybersécurité, Entreprise, Fuite de données, loi, RGPD, Securite informatique

L’arnaque à la mise en conformité RGPD toujours en pleine forme !

Je vous faisais écouter, voilà bientôt un an, un interlocuteur proposant de vendre une mise en conformité RGPD. Une arnaque qu’avait dénoncé la CNIL dans un avertissement à destination des entreprises françaises. L’arnaque ne cesse pas !

Entré en application, il y a un an (le 25 mai 2018), le RGPD est plus que jamais un prétexte idéal pour des campagnes d’arnaques ciblant les entreprises françaises. Le blog ZATAZ avait été l’un des premier à alerter sur ce sujet [1] [2]. Depuis quelques semaines, une nouvelle variante de l’arnaque à la mise en conformité RGPD cible les entreprises. Cette arnaque est déjà connue, mais ici la méthode semble différente et très efficace. Décryptage de l’arnaque par Vade Secure, entreprise basée dans les Hauts de France, à Hem (59).

Un premier contact par courrier

Les escrocs ciblent les entreprises au travers d’une campagne de courriers au sujet d’une plainte d’un client concernant la mise en conformité à la RGPD. La technique est efficace. Des couleurs qui font officielles et des qui font peur.

« Si nous nous arrêtons quelques secondes sur ce document, le titre de la société – Comité Européen de la protection des données CFFE – semble reprendre le nom du Comité Européen de la protection des données CEPD, présent dans le texte de la RGPD à la section 3 du Chapitre VII (articles 68 à 76) » indique Sébastien Gest, Tech Évangéliste de Vade Secure.

L’adresse associée au dit comité est en fait une adresse de domiciliation située dans le 8e arrondissement de Paris. Contacté, l’interlocuteur de la société explique qu’il croule sous les appels pour ce même sujet depuis 15 jours. Un numéro de téléphone indiqué dans le but de traiter cette plainte. La personne au bout du fil développe alors un argumentaire efficace dans le but de vendre une prestation d’audit de mise en conformité afin de résoudre cette situation. Ces numéros de téléphone sont largement commentés et dénoncés.

Le paiement demandé par mail

Suite à cet appel un email contenant un lien de paiement par carte bancaire est envoyé dans le but de finaliser la transaction. D’un montant de 1194€, la prestation semble correspondre à un « Audit et à la rédaction du référentiel de traitement des données ».

Nous retrouvons dans cet email l’email présent dans le document papier mais ici en tant qu’expéditeur. Un lien de paiement par carte bancaire est ainsi proposé et ainsi qu’une nouvelle adresse apparaissant dans le but de contacter le support. Les domaines utilisent des extensions .eu et .online et sont déposés via le registrar américain namecheap.

En signature de cet email apparaît également le nom d’une société Française experte dans les domaines de la RGPD. Il ne nous est pas possible de certifier une possible implication de cette société dans cette escroquerie, nous avons donc souhaité de ne pas la citer.

Une arnaque ressemblant fortement à l’arnaque au support téléphonique

L’entreprise pensant devoir se mettre en conformité va dans les faits consommer une prestation dont elle n’a pas le besoin. Il est difficile d’évaluer le nombre de sociétés escroquées. Le seul indicateur reste le nombre de signalements sur les sites anti-escroqueries qui augmentent de jour en jour.

Porter plainte et faire un signalement aux autorités ? Clairement oui ! Les services de l’état ont mis en place le site https://www.pre-plainte-en-ligne.gouv.fr/ permettant de déposer une pré-plainte. À l’issue de ce signalement, un rendez-vous en gendarmerie est proposé. Il est vivement recommandé de déposer plainte et de faire remonter les informations aux services de Gendarmerie compétents.