Archives de catégorie : RGPD

Chiffrement, Communiqué de presse, Cybersécurité, double authentification, RGPD, Securite informatique

Atteintes à la vie privée

Atteintes à la vie privée : Les consommateurs français craignent un recul de leurs libertés individuelles.

Une étude publiée par The Economist Intelligence Unit (EIU) avec ForgeRock révèle les nombreux risques liés à la collecte et au partage des données personnelles, tels qu’ils sont perçus par les consommateurs du monde entier. Ces derniers demandent plus de transparence et de contrôle, ainsi que des engagements des autorités publiques et des industriels pour protéger leur vie privée.

What the Internet of Things means for consumer privacy (L’Internet des Objets et son impact sur la vie privée des consommateurs) est une étude menée par l’EIU avec Forgerock. Elle sonde les préoccupations et priorités des consommateurs mondiaux vis-à-vis de l’Internet des Objets (IoT). Elle est basée sur un sondage mené auprès de 1 629 personnes dans huit pays (Allemagne, Australie, Chine, Corée du Sud, États-Unis, France, Japon et Royaume-Uni). Les données utilisées ici sont les chiffres français, alignés sur les tendances observées dans les autres pays. (1)

Dans leur majorité, les consommateurs interrogés font part de nombreuses inquiétudes liées à la collecte et à la transmission de leurs données personnelles. Profilage comportemental, vol et usurpation d’identité, etc. : 73% des sondés s’inquiètent de voir ces petites intrusions dans leur vie privée affecter leurs libertés individuelles. 92% déclarent vouloir un contrôle sur les informations transmises dans les collectes automatiques des données, et ils sont 83% à vouloir être informés dans les points de ventes sur les capacités de collecte de l’objet connecté.

L’importance des actions suivantes en matière de protection des données personnelles transmises automatiquement par les objets connectés :
– Permettre aux utilisateurs de contrôler quelles informations sont collectées : 92%
– Informer les utilisateurs lors de la collecte : 90%
– Informer les utilisateurs des mises-à-jour de sécurité : 87%
– Informer les utilisateurs sur les capacités de collecte de l’objet connecté dans les points de vente : 83%

Malgré les efforts menés par les entreprises pour se conformer aux réglementations à venir, les consommateurs souhaitent que les droits relatifs aux données soient inclus dans le Règlement Général de Protection des Données de l’Union Européenne, qui entrera en vigueur en mai 2018. Ils sont 68% à considérer le droit d’effacer leurs données ( le « droit à l’oubli » ) comme prioritaire. Sur cette question, les français se montrent significativement plus sensibles que la moyenne de l’étude qui est de 57%. (2)

Les résultats de l’étude – complétés d’entretiens avec des experts – proposent des stratégies pour aider les entreprises à renforcer la confiance des consommateurs. Parmi celles-ci : la collaboration avec les autorités publiques, et des engagements fermes de la part des industriels pour protéger la vie privée de leurs clients.

Un contrôle rigoureux par les autorités de l’application des standards est essentiel : 89% des sondés demandent des sanctions accrues pour les entreprises qui violeraient les normes de confidentialité.

Ben Goodman, Vice-Président de ForgeRock en charge de la stratégie globale et de l’innovation : « Les consommateurs sont de plus en plus conscients des conséquences de leurs interactions numériques quotidiennes. Les entreprises doivent donc prendre à bras le corps ce sujet si elles veulent conserver la confiance des consommateurs. Cela fait des années que nous bénéficions tous gratuitement des services des plateformes sociales en échange de nos informations personnelles. À la lumière des récentes révélations concernant les politiques de traitement des données de Facebook, il est temps de reconsidérer ce qui relève du piratage et les comportements qui devraient être assimilés comme tels afin de mettre en place les mesures de protection appropriées. Doit-on par exemple considérer comme étant du piratage toute situation où une entreprise utilise la data de ses clients d’une manière inattendue ? Quel est le niveau acceptable de divulgation d’informations personnelles par un individu ? Toutes ces questions doivent faire l’objet d’un débat, d’autant plus que les technologies de l’IoT continuent de remodeler la vie quotidienne à la maison, au travail et les façons dont nous nous déplaçons« .

Nick Caley, Vice-Président de ForgeRock en charge des industries financières et de régulation : « 9 français sur 10 réclament des sanctions accrues pour les entreprises qui violent la vie privée des consommateurs. C’est un signal fort pour toute organisation qui traite et utilise les données de ses clients, et plus particulièrement les sociétés de services financiers. Au fur et à mesure que les entreprises adaptent leurs infrastructures et leurs pratiques pour se conformer à l’Open Banking, à la directive PSD2 ou au RGPD, ils doivent garder à l’esprit que les régulateurs ont fait du consentement la clé de voute de chacune de ces lois. Et à juste titre, l’étude montre clairement que les consommateurs attendent des organisations qu’elles sollicitent et obtiennent le consentement des individus avant de recueillir leurs données personnelles. »

Veronica Lara, rédacteur en chef de l’étude : « Les consommateurs sont inquiets à juste titre, car l’omniprésence de capteurs interconnectés via l’Internet des Objets génère des nouvelles couches de risques qui sont difficiles à appréhender. Le manque de transparence et l’impossibilité pour les consommateurs de contrôler leurs données exacerbent la perception des menaces pesant sur leur vie privée et leur sécurité. Les choses semblent évoluer, cependant, à mesure qu’ils exigent des garanties plus fortes et que le RGPD étend son influence au-delà des frontière de l’UE. »

Android, Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, IOT, Particuliers, RGPD, santé, Sécurité, Securite informatique, Smartphone, Social engineering, Vie privée

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).

Base de données, Communiqué de presse, Cybersécurité, Entreprise, RGPD, Securite informatique

Sécurité des documents, une priorité… à maîtriser !

Les enjeux sont tels, qu’il n’est plus une seule organisation qui ne se préoccupe de sécurité. Pour autant, le challenge est grand car non seulement les technologies de l’information et de la communication ont progressé mais surtout, l’interopérabilité est devenue la règle. La complexité est grande et les entreprises doivent déployer de nombreux dispositifs pour résister aux cyber-attaques polymorphes qui ne cessent elles aussi d’évoluer.

Il est clair que les documents et les informations (D&I) des organisations sont au cœur des convoitises des cyber-pirates. Ces derniers savent parfaitement que les points d’entrées sont multiples chez leurs victimes et que notamment, les moyens de capture et d’impression de documents peuvent constituer des prises de choix. En tant que constructeur de tels périphériques, Ricoh sensibilise les clients sur différentes stratégies de résistance et c’est ce que je vais faire ici.

Stratégie d’organisation

Il convient de s’adresser en premier lieu aux employés de votre organisation. Ils constituent les principaux vecteurs de transmission des informations et à ce titre, ils doivent impérativement être sensibilisés et formés aux risques et attitudes à adopter. Chacun doit être en situation d’éviter l’ouverture d’un email malveillant, d’imprimer des documents laissés à la vue de tous dans un bureau ou sur l’imprimante, de classifier les documents avant transmission, de confier ses badges ou codes d’accès à des tiers,… etc.

En second lieu, votre entreprise doit s’assurer d’une prise de conscience collective de la responsabilité portée sur la sécurité des D&I appartenant tant aux services internes qu’à des clients ou prospects. Les fuites d’information provoquent d’importants préjudices aux activités ou à l’image de l’entreprise. Elles peuvent être évitées par une démarche proactive parfaitement décrite par les normes ISO 27000. Celles-ci contribuent à la mise en place d’un système cohérent de gestion de la sécurité de l’information.

En dernier lieu, la société civile et ses organisations publiques doivent faire l’objet d’une écoute attentive. Votre entreprise doit comprendre l’évolution de la loi et des normes relatives à la numérisation des processus métiers. Elle ne doit pas seulement en comprendre les enjeux économiques mais aussi en maîtriser les contraintes de conformité et les risques associés. De la loi Godfrain (No 88-19) du 5 janvier 1988 relative à la fraude informatique à l’application prochaine du Règlement Général sur la Protection des Données (RGPD) en passant par le règlement eIDAS (No 910/2014) du 23 juillet 2014 – ou de la norme Z42-013 de mars 2009 (transposée ISO 14641-1), pour les spécifications des systèmes destinés à préserver les documents stockés, à l’application prochainement possible de la NF Z42-026 sur la copie fidèle qui conduira un jour à la destruction des documents papiers – l’évolution de l’environnement digital n’a de cesse que d’évoluer.

Stratégie technique

Évidemment, si vos employés et votre entreprise sont au fait des normes et des lois de la société, chacun comprendra que les D&I méritent toutes les attentions. Ainsi, les documents doivent être sécurisés par chiffrage, contrôlés dans leur intégrité, signés pour leur authenticité,…etc. Les équipements manipulant les D&I ne sont pas à négliger. Qu’il s’agisse de fermeture des ports, de protection contre les accès non autorisés, du nettoyage des données,… etc. Ils doivent être conçus en gardant à l’esprit qu’ils doivent résister aux risques de sécurité, comme nous le faisons pour nos périphériques de capture et d’impression des documents. Enfin, les logiciels (capture, impression, GED, parc), sont à sélectionner avec soin. Ils sont souvent au cœur des problématiques de sécurité parce que les métiers donnent trop souvent la priorité aux fonctionnalités. Gageons qu’en Mai 2018, la situation changera avec l’application du RGPD. L’entreprise devra être en situation de démontrer qu’elle s’est assurée avoir fait des choix responsables pour faire face aux contraintes de sécurité et protégeant les données privées.

Stratégie d’audit

Quels que soient les dispositifs, quelles que soient les précautions prises, quelles que soient les formations et sensibilisations prodiguées, il faudra contrôler. Pour cela, toutes les actions sont à tracer dans des journaux et des registres. Ceux-ci doivent aussi être considérés comme des documents et être soumis aux mêmes principes de sécurisation. Je ne le dirai jamais assez, la sécurité passe par la surveillance et l’amélioration continue.

Stratégie d’externalisation

La sécurité des D&I est aujourd’hui un tel enjeu, qu’il est de plus en plus délicat d’envisager que l’entreprise seule, puisse maîtriser toutes les subtilités des modalités à respecter. S’il est certain que très peu d’entreprises se constitueront en tiers de confiance pour délivrer la signature électronique, il en ira de même pour l’archivage électronique probant, la lettre recommandée électronique, le courrier numérique sans papier,… etc. Trop de spécialisations et de certifications ne trouveront pas leur retour sur investissement pour une entreprise à elle seule. Il est évident que le recours à l’externalisation est la voie à suivre. C’est pourquoi nous avons fait nos choix de services externalisés pour nos usages et les vôtres. Nous en reparlerons.

La transformation numérique de l’environnement de travail rendue possible par l’évolution du corpus législatif, depuis la loi No 200-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information relative à la signature électronique, a fortement accrue la responsabilité des entreprises dans la maîtrise de la sécurité des documents et informations. Le RGPD à lui seul, constitue un marqueur majeur de cette évolution de la responsabilité. En contrepartie, constructeurs et éditeurs de solutions ont mené et mènent des études et des réalisations visant à empêcher et éliminer les failles de sécurité. Je reviendrai sur ces sujets dans deux prochains articles car mon objectif est de contribuer à la sensibilisation à la maîtrise de la sécurité. (Par Jean-Pierre BLANGER – Directeur Solutions, Services & Innovation de Ricoh France).

Assurance cyber sécurité, Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

RSSI : les cinq meilleures façons de renforcer une architecture de sécurité

Pour les professionnels de l’informatique, RSSI, DSI … la sécurité des réseaux est un enjeu majeur. C’est vrai à la fois pour l’ingénieur de sécurité, le RSSI, le DSI et même le CEO ! La question est : « Que peut-on vraiment faire pour l’améliorer ? » Tout simplement renforcer le déploiement d’équipements de sécurité inline.

RSSI – En matière de conformité réglementaire pour PCI-DSS et HIPAA, le déploiement d’outils de sécurité inline n’est pas indispensable mais s’avère impératif pour une architecture de sécurité par laquelle on tente de maximiser ses défenses. Voici les cinq principales actions que les professionnels de l’IT peuvent mettre en œuvre pour améliorer l’architecture de sécurité en ligne de leur entreprise.

Insérer des switches bypass externes entre le réseau et les outils de sécurité pour améliorer la disponibilité et la fiabilité du réseau.

Les switches bypass sont généralement un bon point de départ pour améliorer la sécurité et la fiabilité d’un réseau. Alors que le déploiement direct d’outils de sécurité en ligne peut créer une défense améliorée, ils peuvent entraîner des échecs ponctuels. Un contournement interne, dans l’outil peut minimiser ce risque. Toutefois, il pourrait créer une autre interruption de de service, si l’appareil devait être retiré par la suite.

Un switch bypass externe a l’avantage de son homologue interne à la différence qu’il élimine les problèmes des déploiements directs d’outils inline en offrant des capacités de basculement automatique et à la demande avec un impact à peine perceptible (millisecondes) sur le réseau. Parce que le switch reste toujours dans le réseau, il peut être placé en mode de contournement à la demande, pour permettre l’ajout, la suppression ou la mise à niveau des dispositifs de sécurité et de surveillance au besoin.

Déployez des passerelles de renseignement sur les menaces à l’entrée/sortie du réseau pour réduire les alertes de sécurité de faux positifs

Les passerelles de renseignement sur les menaces sont une bonne deuxième stratégie parce qu’elles éliminent le trafic depuis et vers de mauvaises adresses IP connues. Même avec les pare-feux, les IPS et un large éventail d’outils de sécurité en place, les entreprises manquent toujours d’indices et souffrent de failles importantes chaque jour. Pourquoi ? Parce que le volume d’alertes générées représente un énorme fardeau de traitement pour l’équipe de sécurité, ainsi que pour l’infrastructure elle-même. Une passerelle de renseignement sur les menaces aide à filtrer automatiquement le trafic entrant dans un réseau qui doit être analysée. Certaines entreprises ont constaté une réduction de 30 % ou plus des fausses alertes IPS en supprimant le mauvais trafic connu, ce qui permet aux équipes de sécurité réseau de se concentrer sur les menaces potentielles restantes.

Décharger le décryptage SSL des dispositifs de sécurité existants (pare-feu, WAF, etc.) vers des network packet brokers (NPB) ou des dispositifs spécialement conçus pour réduire la latence et augmenter l’efficacité des outils de sécurité.

Bien que de nombreux outils de sécurité (pare-feu, WAF, IPS, etc.) incluent la capacité de déchiffrer le trafic afin que les données entrantes puissent être analysées à des fins de sécurité, ils ont également un impact sur les performances du CPU et peuvent ralentir considérablement (jusqu’ à 80 %) la capacité de traitement d’une application de sécurité. Ceci est dû au fait que les processeurs de ces périphériques exécutent d’autres tâches telles que l’analyse des paquets de données pour détecter les menaces de sécurité, telles que les scripts inter-sites (XSS), l’injection SQL, les programmes malveillants cachés et les menaces de sécurité. Le déchiffrement SSL peut représenter un travail considérable qui réduit l’efficacité des outils de sécurité et qui augmente les coûts si l’on veut que les données réseau soient inspectées. En raison de la performance du décryptage des données, de nombreuses équipes de sécurité désactivent cette fonctionnalité et créent ainsi un risque potentiellement grave pour la sécurité. Une solution consiste à utiliser un network packet broker pour effectuer le déchiffrement des données lui-même ou décharger la fonction sur un dispositif de décryptage distinct. Une fois les données décryptées, le NPB peut les transmettre à un ou plusieurs outils de sécurité pour analyse.

Effectuer une chaîne d’outils pour les données suspectes, afin d’en améliorer le processus d’inspection.
Une autre tactique à prendre en considération est enchaînement d’outils en série. Cette méthode améliore l’inspection des données en utilisant des séquences prédéfinies pour leur analyse. Elles sont acheminées vers de multiples outils de sécurité pour des inspections et une résolution supplémentaires. Ceci garantit que les actions se déroulent dans l’ordre approprié et ne sont pas négligées. Les outils de sécurité et de surveillance peuvent être reliés entre eux par le biais d’un approvisionnement logiciel au sein d’un NPB pour contrôler le flux de données à travers les services sélectionnés. Cela permet d’automatiser efficacement le processus d’inspection afin de le rendre plus efficace et de mieux suivre les alertes.

Insérer des NPB pour améliorer la disponibilité des dispositifs de sécurité en utilisant la technologie n+1 ou haute disponibilité.

La cinquième façon de renforcer une architecture de sécurité est d’améliorer la disponibilité des dispositifs en insérant un NPB qui favorise la survie à long terme. Un bon NPB aura deux options.
La première, que l’on nomme n+1, est déployée dans une configuration de partage de charge. C’est la situation où l’on a un dispositif de sécurité complémentaire en cas de défaillance d’un des principaux (IPS, WAF, etc.). Cependant, au lieu d’être en veille et prêt à se déclencher si besoin, l’appareil fonctionne en même temps que les autres et partage la charge normalement. Si un appareil tombe en panne, la charge totale peut alors être traitée par les autres appareils. Une fois que l’outil défectueux est de nouveau en ligne, les outils restants retournent à une configuration de partage de charge.

Bien que cela puisse se faire sans le NBP, il s’agit souvent d’un processus compliqué avec des équilibreurs de charge et d’autres efforts. Un NPB est programmé pour gérer l’équilibrage de charge ainsi que les messages sur la bonne marche d’un outil (quand il a échoué et quand il est disponible), de manière à s’assurer un une architecture « d’auto-guérison » rentable. Une option plus robuste, mais aussi plus coûteuse, consiste à mettre en œuvre une haute disponibilité. C’est une option n+n dans laquelle il y a un ensemble d’équipements complètement redondants. Malgré le coût, ce pourrait être la meilleure option, selon les besoins de l’entreprise.

L’utilisation de ces cinq cas d’utilisation peut considérablement améliorer une architecture de sécurité en ligne, y compris la fiabilité de la solution, ainsi que la capacité à détecter et prévenir/limiter les menaces de sécurité. (Par Keith Bromley, Senior Solutions Marketing Manager chez Ixia)

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, loi, RGPD, Securite informatique

RGPD loi 490 : une évolution dans la protection des données personnelles mais qui n’est pas encore suffisante

Loi 490 – La mise en place du RGPD (Règlement Général sur la Protection de Données) entrera en vigueur le 25 mai 2018. Tous les pays membres de l’Union Européenne doivent mettre en conformité leurs législations nationales avec ce nouveau règlement européen.

En France, le projet de Loi n°490, relatif à la protection des données personnelles, présenté à l’Assemblé en février 2018, est quant à lui, destiné à compléter en France les dispositions du RGPD.
Le premier objectif de ce projet de Loi est de responsabiliser les entreprises qui doivent se montrer actives dans la protection des données et mettre en œuvre des actions. Celles-ci ne devront plus se contenter de « déclaration » mais tenir un « registre des activités de traitement », effectuer des « analyses d’impact relative à la protection des données » lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ou encore faire appel à un « délégué à la protection des données » qui vient remplacer le CNIL. Le second objectif est de renforcer le droit des personnes en leur accordant des nouveaux droits.

Bien que ce projet de Loi n°490 souligne un besoin réel de changement dans l’encadrement de la protection des données à caractère personnel, il possède encore des zones d’ombres qui risquent de compromettre la mise en application des droits gagnés des utilisateurs, et qui demandent aux Responsables de Traitement de réaliser des concessions.

Qu’est-ce que « l’intérêt légitime » ?

Pour être licite, un traitement de données à caractère personnel doit respecter l’une des six bases légales fixées par le Règlement à savoir l’exécution d’un contrat, l’obligation légale, le consentement, l’intérêt vital, l’intérêt légitime. La notion d’intérêt légitime est subjective et n’a pas la même ampleur pour toutes les entreprises. Pourtant l’intérêt légitime sera l’une des bases juridiques valables pour se passer du consentement de l’utilisateur.

Chaque Responsable de Traitement devra alors posséder la preuve du consentement de la personne faisant l’objet du traitement de données, sauf dans plusieurs cas précis, comme par exemple celui de la poursuite légitime. Comment définit-on alors l’intérêt légitime ?

Les moyens d’exercice de son droit

Comment permettre aux internautes de faire appliquer leurs droits de suppression, d’information ou de limitation ? Quels sont les moyens d’exercice qui garantiront aux usagers de ne pas voir leurs demandes rester sans réponse ? Pourquoi reconnaître des droits s’il n’existe pas de canal d’application permettant de les faire exécuter ?

Il est important que les obligations du Responsable de Traitement soient assorties des modalités d’application adaptées. Egalement, il serait pertinent de voir la « demande par email » considérée, d’autant que l’essentiel des fichiers comportent et portent un email, et d’indiquer des délais suffisamment courts pour que cela soit efficace et que les demandes des internautes soient traitées par les éditeurs du fichier.

Devoir d’information des Responsables de Traitement

Les modalités de mise en oeuvre du devoir d’information des Responsables de Traitement n’ont pas été évoquées de façon précises : l’information doit être compréhensible, accessible, en termes clairs. Que se passe-t-il après avoir rempli ce devoir d’information « one shot » ? Si les responsables de traitement envoyaient une fois par an un email récapitulatif à toutes personnes concernées par le traitement sur leur adresse mail utilisée pour le fichier, cela permettrait aux internautes de se rappeler quelles informations sont fichées, et leur fournirait un point de contact utilisable (adresse d’email utilisée pour l’envoi) pour faire appliquer leurs droits. Naturellement un délai de réaction adapté doit courir dès l’envoi de l’email, au-delà duquel une non-réponse vaudra refus ou manquement et donc permettra à l’intéressé de se tourner vers la CNIL. La CNIL verra alors ses pouvoirs et ses devoirs de gendarme du web renforcés. Aura-t-elle ainsi ses moyens d’action, humains et matériels, ajustés à la hauteur des objectifs qui seront désormais les siens ? Si ce n’est pas, cela aggravera l’impression générale que la CNIL ne peut traiter qu’une infime partie des signalements, bref un gendarme qui n’est pris au sérieux ne peut pas gendarmer !

Durée de conservation des données

Est-il souhaitable qu’un moteur de recherche géant ou une société de remarketing puisse conserver 40 ans d’historique de la vie de quelqu’un ? Comment l’utilisateur sera-t-il informé que ces données aient bien été supprimées, sans contacts spontanés réguliers avec le responsable de traitement ? Cela ne renvoie-t-il pas à la nécessité d’informer régulièrement l’utilisateur ? Pris ensemble, ces éléments imposent aux Responsables de Traitement de fournir aux internautes une adresse email pour faire appliquer leurs droits. La mise à disposition de requêtes automatisées accessibles par URL est certainement la meilleure solution pour toutes les parties : garantie d’action immédiate pour le demandeur, et annulation de l’encombrement service client lié au traitement humain des demandes côté responsable de traitements.

Sécurisation des données

La responsabilité de la sécurisation des données incombe au responsable de traitement comme le vol de données ou le hacking. Le manquement à ses obligations peut entrainer de lourdes sanctions prononcées par la CNIL dont le rôle sera de distribuer des amendes, et pourtant de nombreuses sociétés n’ont encore aujourd’hui aucune gestion de sérieuse de leurs données. De nombreuses sociétés vont à présent se positionner sur l’appel d’air du RGPD et vendre des registres,
des audits à de nombreuses sociétés. Une prestation pour sécuriser a minima leurs bases de données. Comment les entreprises informeront-elles leurs prospects/clients ? Comment pourront-elles gérer leurs demandes, la mise à jour de leurs registres ? Ces flous persistants sont aussi un problème pour la majorité des Responsables de Traitement qui ne sont pas nécessairement des grands moteurs de recherche ou des sociétés de targeting.

Ce texte de Loi est une avancée mais des éléments concrets pour protéger l’identité numérique des personnes manquent encore, comme cadrer les raisons qui permettent de se passer du consentement mieux qu’avec l’intérêt légitime de l’entreprise contre l’attente raisonnable de l’utilisateur ; Donner des vrais moyens pour exercer les droits de l’internaute lorsque l’écueil de l’intérêt légitime sera évité ; Mieux expliciter le devoir d’information des Responsables de Traitement n’est pas explicité ; la durée de la conservation des données… (Ludovic Broyer, fondateur d’iProtego)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

Le RGPD : Les 3 erreurs du Règlement Général de Protection des Données

Le RGPD, c’est demain ! La Commission européenne avait parfaitement raison de déclarer dans son évaluation sur le Règlement Général de Protection des Données de l’Union européenne qu’il s’agissait « du changement le plus important dans le règlement sur la confidentialité des données depuis 20 ans ». Toute entreprise doit se conformer au RGPD, mais ne devrait pas perdre de vue l’objectif ultime : permettre et gérer davantage d’interactions et d’activités numériques.

Tout d’abord, le RGPD, le nouveau règlement exige que les entreprises s’engagent à mener des contrôles de conformité systématiques de leur fonctionnement actuel et prévisionnel. En un mot, évaluer les données de l’entreprise ; où sont-elles stockées ; et comment sont-elles utilisées. Compte tenu de l’importance de la réglementation, de sa vaste portée et de ses importantes pénalités potentielles, toute multinationale doit appliquer ce règlement et y parvenir de façon positive.

En observant le marché en collaboration avec des clients, des partenaires, des analystes et des autorités de régulation sur les programmes numériques et le RGPD en lui-même, on constate des bonnes pratiques et des pratiques que l’on peut qualifier de mauvaises. Voici les trois « erreurs du RGPD » : des actions menées sous les auspices du RGPD qui peuvent être directement placées dans le panier des « mauvaises pratiques ».

Erreur n° 1 : Négliger le client

L’objectif ultime du RGPD est de permettre davantage d’activités numériques. Le RGPD confère aux particuliers de l’UE des droits plus forts, appliqués de façon uniforme, qui leur octroient un meilleur contrôle de leurs données et une protection leur vie privée à l’ère numérique. Par définition, le RGPD est une réglementation centrée sur le client. En général, les entreprises qui réussissent dans le secteur numérique ont un regard extrêmement pointu sur leurs clients. Une partie de cette vue perçante est constituée des données numériques qu’elles possèdent de leurs clients, et de leur gestion et leur exploitation.

Le RGPD offre l’occasion d’examiner comment les données des clients, la vie privée et la confiance font partie de l’expérience client globale (segment par segment, marché par marché). En général, les organismes centrés sur le client conduisent déjà de très bonnes pratiques relatives aux données de leurs clients, qui sont gérées par les sections commerciales de l’entreprise. Ces entreprises exploitent leurs données clients avec beaucoup de soin et d’attention, et suivent fort probablement déjà les pratiques exemplaires du RGPD bien avant que la réglementation ne soit appliquée.

Si le RGPD ne reçoit pas l’attention, l’implication et le cautionnement de la direction commerciale, cela peut être un signe que l’entreprise ne comprend pas vraiment le RGPD et ses objectifs. Celles qui sont impliquées dans le projet RGPD devraient s’assurer que le client est au cœur de leur programme et d’obtenir un bon niveau de soutien et de patronage commercial.

Erreur n° 2 : Se concentrer uniquement sur la conformité plutôt que sur la transformation numérique

Certaines mises en œuvre du RGPD sont conçues pour être simplement conformes à la nouvelle réglementation, mais ceci est loin d’être optimal. L’objectif primordial du RGPD est de faciliter et de permettre davantage d’interactions et d’activités numériques au sein du marché unique. À ce titre, il est un peu incongru qu’une entreprise n’aligne pas étroitement son flux de travail RGPD avec ses programmes numériques essentiels. Les entreprises doivent comprendre l’implication complète du RGPD et s’assurer que les parties commerciales de l’entreprise supervisent intégralement ces initiatives, non limité à seulement leurs équipes informatiques pour vérification de conformité.

Il y a un certain nombre d’avantages à harmoniser le RGPD avec les programmes de transformation numérique, compte tenu que l’objectif ultime du RGPD est ciblé sur le marché numérique. Dans cette optique, les objectifs réglementaires et commerciaux peuvent être parfaitement alignés et complémentaires. En outre, les entreprises peuvent utiliser ce haut niveau de contrôle, obtenu grâce au RGPD, comme une occasion pour non seulement conduire le programme RGPD mais permettre un contrôle qualité de pointe, voire une amélioration, du programme numérique de l’entreprise.

Erreur n° 3 : Se concentrer sur les pénalités du RGPD, plutôt que sur les KPI

Un choix de direction consiste à mener des initiatives RGPD en utilisant une logique étroite de conformité et de mise en évidence des sanctions potentiellement importantes : par exemple jusqu’à 20 millions d’Euros, ou 4% du chiffre d’affaires mondial du groupe (si supérieur). Dans cette approche, une entreprise cocherait la case « conformité réglementaire » et exposerait les 20 millions d’euros/4 % du CA en tant que raison d’être dans le document de lancement du projet. Cela conduirait la gestion informatique et le reste de l’entreprise à une définition peu ambitieuse des priorités et des ressources allouées. Cette logique de projet est un signe que ni le client ni l’optimisation de l’exploitation numérique sont au cœur du projet RGPD.

Une étroite conformité avec le RGPD n’ajoutera pas nécessairement un seul euro au résultat financier ; ni l’amélioration de la satisfaction de la clientèle ; ni un impact sur tout autre indicateur de performance critique que l’entreprise pilote en ce qui concerne son activité numérique. Cependant, un programme RGPD bien intégré dans l’entreprise, en gardant en point de mire l’amélioration des opérations et des interactions numériques, pourrait être complémentaire au programme numérique. Avec cet objectif plus large, il peut être comparé à une analyse de rentabilité pour le déploiement des ressources et des investissements. Par exemple, si vous devez déterminer la portée et la nature de vos données client, vous devriez utiliser le RGPD en tant que moyen pour s’assurer que vous soyez à jour et parvenir à une vue à 360° de votre clientèle. Vous assurez ainsi à la fois conformité et connaissance globale du client, créant par conséquence de nouvelles perspicacités ou actions en ce qui concerne la clientèle, et les interactions numériques et les transactions qui en découlent.

Bref, il existe un lien cohérent entre ces 3 échecs : le RGPD est considéré comme un exercice de conformité réglementaire plutôt qu’une partie intégrante des objectifs commerciaux de l’entreprise. Les entreprises se doivent d’être aux normes, mais l’occasion est plus ambitieuse et le RGPD peut être une aubaine pour la transformation numérique de l’entreprise. Ne gaspillez pas votre effort RGPD seulement sur la conformité. (Par Perry Krug, Principal Architect, Couchbase).

A noter que vous pouvez retrouver, dans le podcast Securite.fr, un numéro spécial dédié au RGPD.

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Emploi, Entreprise, Fuite de données, RGPD, Securite informatique

Protection des informations numériques, enjeu majeur de l’innovation

Les données sont devenues l’actif le plus précieux des entreprises. Mais est-il le mieux gardé ? L’exposition des entreprises aux cybermenaces ne cesse de croître avec la mobilité des collaborateurs, le partage des données, le développement du Cloud computing, l’internet des objets et l’intégration de nouvelles entités. La protection des informations numériques représente pour les entreprises un enjeu économique fondamental et paradoxalement, assez souvent indûment négligé.

La protection des informations numériques à l’aube du RGPD. L’innovation contemporaine est intimement liée aux données. A l’ère du digital elles constituent le nouvel actif stratégique des entreprises, dont la compétitivité dépend aujourd’hui de leur capacité à contextualiser et analyser les masses accumulées de données. Chaque jour des milliers, voire des millions de nouveaux devices se connectent au grand « Internet of Everything » pour collecter et échanger des données. Le marché se tourne vers des outils analytiques avancés pour les valoriser. Ces nombreuses sources de collecte et d’accès aux données sont autant de points de fragilité pour les malfaiteurs voulant s’attaquer aux systèmes d’information et de production. Si ces devices ne sont pas protégés, si sont compromises la disponibilité, la confidentialité et l’intégrité des informations stockées, traitées ou transmises, l’avantage concurrentiel qu’elles offrent risque de se transformer en pertes et la force devient une menace.

Le ROI en cybersécurité : qu’est-ce que vous êtes prêts à perdre ?

Dans la sécurité numérique, les cyberattaques sont le risque le plus connu. En France, onze incidents de cybersécurité seraient comptabilisés chaque jour en milieu professionnel. Une récente étude estime les pertes financières à 1,5 million d’euros pour chaque incident en moyenne.

Dans le monde, le nombre de cyberattaques aurait augmenté en 2016 de 21% par rapport à l’année précédente, et cumulées, elles auraient coûté à l’économie mondiale 280 milliards de dollars, selon International Business Report (IBR) publié par le cabinet Grant Thornton. Mais le plus grand risque, et donc la plus grande crainte, ne se résume pas aux pertes financières. Par exemple, au Canada, 31,6 % des organisations sondées ont jugé que la principale conséquence d’une cyberattaque serait le temps passé à traiter ses effets, suivi d’atteinte à la réputation (29,2 %) et perte de clients (10,2 %). La perte directe de revenus n’a été citée que par 9,8 % d’interrogés. Malgré cela, 52% des organisations n’ont aucune couverture en cas d’attaque.

Selon moi, trop souvent encore les entreprises font appel aux experts « après la bataille ». Bien sûr, nous sommes capables de gérer la crise, mais la prévention reste la meilleure réponse aux cyberattaques. Il est temps d’accepter que le ROI de la cybersécurité ne se calcule pas en chiffre d’affaires généré, mais plutôt en efforts nécessaires à traiter les dommages potentiels. Il convient à toute entreprise, qu’elle soit un grand groupe ou une PME, de mettre en place une véritable stratégie de sécurité, pour diminuer son exposition au risque et accompagner son développement.

Protection des informations numériques : pour une véritable politique de sécurité numérique

La première étape consiste à faire appel à des experts pour évaluer les facteurs de risque et les points faibles en matière de cybersécurité.

Ces éléments serviront à définir une véritable politique de sécurité qui ne devra plus concerner la seule stratégie IT, mais être intégrée aux stratégies de tous les métiers par une conduite de changement. Effectivement, les facettes de la cybersécurité sont d’autant plus nombreuses, que le sujet est transverse et concerne tous les métiers de l’entreprise : la sécurisation de l’écosystème digital de l’entreprise et de ses outils collaboratifs, la gestion des identités et des accès, la prévention des pertes de données, etc.

Le cyberpiratage et les cyberattaques ne sont pas les seules menaces pour la sécurité numérique, mais les plus médiatisées : d’expérience, 35% des incidents de sécurité seraient causés en interne par des collaborateurs mal informés.

Ainsi, la protection des informations va bien au-delà de la sécurité : pour protéger tous les terminaux et points d’accès, il n’est plus question de se satisfaire d’un antivirus, aussi puissant soit-il. Avant de se pencher sur des solutions technologiques, il est vital de comprendre son actuel niveau de maturité, définir le niveau de sécurité visé et se faire accompagner pour instaurer une gouvernance, définir des responsabilités, revoir les règles et les procédures, et, finalement, envisager l’outillage nécessaire.

L’adoption de nouvelles technologies d’information continue d’aller beaucoup plus vite que la sécurité. Au nom de la productivité et de la performance, les entreprises ont parfois mis de côté les mesures de protection. En se posant en bouclier protégeant les données, la cybersécurité s’affirme en garant de l’innovation et de la vitalité de l’entreprise. (Par David Adde, Directeur du pôle Sécurité chez Avanade.)

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Emploi, Entreprise, RGPD, Sauvegarde, Securite informatique

Violations de données : 700 millions d’attaques contrecarrées en 2017

Suite aux violations de données à grande échelle, des pics massifs d’attaques ont été observés avant qu’elles ne soient révélées publiquement. Le rapport Cybercrime ThreatMetrix parle d’un record de 700 millions d’attaques contrecarrées par des entreprises numériques en 2017.

Les violations de données ont été très nombreuses en 2017, Data Security Breach a pu vous annoncer plusieurs. L’Entreprise de l’Identité Numérique ThreatMetrix vient de révèler que 2017 a été une année record en termes de lutte contre la cybercriminalité. Basé sur l’étude des cyberattaques dans le monde entier, analysant 100 millions de transactions par jour, le Cybercrime Report 2017 : A Year in Review de ThreatMetrix confirme une augmentation de 100 % du nombre d’attaques au cours des deux dernières années. La bonne nouvelle est que, pour contrecarrer ces menaces, les entreprises investissent dans des stratégies innovantes et « digital first » pour protéger les consommateurs, qui doivent faire face à des failles résultant de violations de données à grande échelle.

Argent facile ?

Les fraudeurs ne cherchent plus à se faire de l’argent rapidement avec les cartes de crédit volées, ils préfèrent se concentrer sur des attaques plus ambitieuses qui rapportent des bénéfices à long terme, en exploitant des ensembles de données d’identité volées. Cette tendance est prouvée par un taux d’attaque très élevé sur les créations de comptes, l’activité la plus vulnérable. Plus d’un nouveau compte en ligne sur neuf ouvert en 2017 était en effet frauduleux.

Les résultats révèlent également une activité des bots sans précédent, pouvant représenter jusqu’à 90 % du trafic sur certains sites de vente en ligne quand une attaque atteint son pic. Même les consommateurs qui n’en sont pas directement victimes en font les frais. Ils expérimentent dès lors une vérification d’identité plus longue, car les entreprises tentent de discerner les activités légales de celles qui sont frauduleuses, tout comme les vraies identités des fausses.

violations de données : les consommateurs immédiatement visés suite aux failles majeures

En 2017, les niveaux de cyberattaques ont atteint des sommets encore jamais enregistrés auparavant.  Ces pics, lorsqu’ils sont agrégés entre des milliers d’organisations, indiquent des violations de données majeures. Souvent même bien avant qu’elles ne fassent la Une des journaux.

Chaque organisation peut être la cible d’une faille de sécurité importante. Cela met alors à l’épreuve la responsabilité des systèmes de protection. Et cela au travers de l’ensemble des sites web et applications.

« Alors que les attaques s’intensifient, le besoin d’investir dans des solutions technologiques avancées augmente pour protéger les consommateurs ainsi que les individus dont les données personnelles et bancaires ont été piratées, déclare Pascal Podvin, Senior Vice-President Field Operations, chez ThreatMetrix. Analyser les transactions en se basant sur l’identité numérique réelle est la façon la plus efficace de différencier instantanément les utilisateurs légitimes des cybercriminels. Nous laissons une trace de notre identité partout, et en cartographiant les associations en constante évolution entre les personnes, leurs appareils, leurs comptes, leur localisation et leur adresse, au travers des organisations avec lesquelles elles interagissent, le comportement dit « de confiance » d’un individu devient évident. »

violations de données : la relation entre le comportement des consommateurs et l’évolution de la cybercriminalité

Les tendances de comportement chez les consommateurs ont influencé les modèles d’attaque. Models de plus en plus sophistiqués. Certains résultats du Rapport 2017 sur le Cybercrime de ThreatMetrix le démontrent.

  • Le volume des transactions mobiles a augmenté de près de 83 %. Les consommateurs adoptant un comportement « multi-appareils ». Un nombre de transactions plus important que sur ordinateur pour la première fois en 2017.
  • Les attaques avec prise de contrôle ont connu une hausse de 170 %. Toutes les 10 secondes.
  • 83 millions de tentatives de création de comptes frauduleux ont été enregistrées entre 2015 et 2017. Les pirates informatiques créent des identités complètes. Ils ouvrent de nouveaux comptes en volant l’ensemble des données d’identité. A partir de failles et sur le Dark Web.

Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années

  • Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années. Les hackers utilisent des cartes de crédit volées. Ils piratent le compte bancaire d’une victime, pour transférer de l’argent vers un nouveau bénéficiaire.
  • Les secteurs émergents, plus particulièrement les sites de covoiturage et de vente de cartes cadeau. Ils sont particulièrement vulnérables à la fraude. Les cybercriminels utilisent de nouvelles plateformes pour faire des affaires.
  • Les hackers sont de plus en plus rusés. L’étude confirme qu’ils multiplient leurs efforts pour être encore plus difficiles à détecter par les individus. Par exemple, les attaques d’ingénierie sociale. Ils persuadent les consommateurs qu’ils ont été victimes d’une escroquerie. Ils les incitent à « sécuriser leur compte » via des mesures qui donnent réellement accès aux fraudeurs.

« Avec le volume et la sophistication des attaques qui augmentent chaque jour, les entreprises doivent être capables de différencier en temps réel les consommateurs des cybercriminels, sans qu’il n’y ait d’impact sur la vitesse des transactions ni de frictions inutiles, poursuit Pascal Podvin. En regardant au-delà des données statistiques, et en explorant les complexités dynamiques liées à la façon dont les utilisateurs effectuent des transactions en ligne, les organisations peuvent continuer de développer leur activité en toute confiance. »

Retrouvez le Rapport 2017 violations de données sur le Cybercrime ThreatMetrix via ce lien.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, RGPD, santé, Securite informatique

Un laboratoire de radiologie perd les dossiers médicaux de 9 300 personnes

Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !

Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.

Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.

Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

100.000€ d’amende pour Darty à la suite d’une fuite de données via un prestataire

Prestataire de services et fuite de données ! La CNIL condamne à 100.000€ d’amende l’enseigne de magasins spécialisés dans la vente d’électroménager, de matériels informatiques et audiovisuels à la suite de la découverte d’une fuite de données clients via un prestataire de services.

Avez-vous pensé à votre prestataire de services ? La Commission Informatique et des Libertés à, ce 8 janvier 2018, délibéré sur une nouvelle affaire de fuites de données révélée par le  protocole d’alerte du blog ZATAZ. Le lanceur d’alerte avait constaté une fuite de données visant les clients de l’entreprise française de magasins spécialisés Darty. Le courriel envoyé aux clients étant passés par le Service Après-Vente « web » de l’enseigne contenait un url qui pouvait être modifié. Il suffisait de changer le numéro de dossier dans l’adresse web proposé dans le courrier pour accèder aux informations des autres clients. « La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente » explique ZATAZ. Des milliers de messages étaient accessibles. Plus de 900.000 selon le lanceur d’alerte. Heureusement, aucunes données bancaires. Ils étaient accessibles les adresses mails, les numéros de téléphone, les noms, prénoms. De quoi créer des phishings ciblés ! La Commission Informatique et des Libertés condamné DARTY pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients« . Le Règlement Général sur la Protection des Données, le RGPD, sera officiellement en action dès le 25 mai 2018. Voilà un signal fort sur le fait que les entreprises. Contrôlez aussi vos partenaires.