Archives de catégorie : Sauvegarde

Fuite de données, Particuliers, Propriété Industrielle, Sauvegarde

5 utilisateurs sur 10 attachent plus de valeur aux données qu’aux machines qui les stockent

Un commentaire

La plupart des utilisateurs jugent les données stockées sur leur ordinateur plus importantes que la machine elle-même. Dans une enquête réalisée à l’été 2013 par B2B International et Kaspersky Lab, 56 % estiment leurs photos et autres documents plus précieux qu’un matériel aussi coûteux soit-il. Cependant, en cas d’attaque de malware, plus de la moitié des victimes sont dans l’incapacité de récupérer la totalité de leurs données.

Qu’est-ce qui a le plus de valeur : un ordinateur haut de gamme ou la photo, même floue, de votre dernière soirée ? Un portable ou bien les messages échangés avec vos proches ? Une superbe tablette dernier cri ou les vidéos d’une réunion entre amis filmée avec sa caméra ? La plupart des personnes interrogées répondent qu’elles font passer leurs informations personnelles avant un équipement quel qu’il soit et quel que soit son prix.

Malheureusement, les utilisateurs perdent souvent de précieuses informations : selon notre enquête, une attaque de malware sur cinq se solde par la perte de données personnelles et 61 % des victimes sont dans l’incapacité d’en récupérer la totalité. Pour les cybercriminels, les données personnelles constituent une marchandise monnayable : ils peuvent ainsi dérober des informations essentielles et s’en servir pour manipuler les comptes en ligne de l’utilisateur ou encore bloquer son accès à des données critiques et en exigeant une rançon en échange de leur déblocage. L’usage répandu des mobiles a aggravé la situation : chaque nouveau modèle de smartphone ou de tablette offre aux escrocs un angle supplémentaire d’attaque.

Bien que l’étendue et le nombre des cybermenaces aillent croissant, il est possible d’en protéger les informations personnelles avec l’aide d’une solution de sécurité fiable. (Le B2C 2013 – PDF)

Apache, Cybersécurité, Fuite de données, Paiement en ligne, Patch, Sauvegarde

Malware pour les serveurs IIS

Un code malveillant capable de subtiliser mots de passe et informations bancaires via des serveurs IIS infiltrés. La société Trustwave, spécialiste en sécurité informatique, a lancé une alerte, mi décembre, concernant une découverte assez troublante. Une nouvelle attaque sournoise, via un malware, vise les serveurs IIS.

Baptisé ISN, le « machin » vise les machines Microsoft IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit. Le code malveillant, une fois installé, intercepte les requêtes POST http qu’il sauvegarde dans un fichier que le pirate peut consulter, à distance. Autant dire que les informations collectées peuvent faire de gros dégâts.

Comme le rappel Developpez, le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair. Au moment de l’alerte, seulement 9 antivirus sur 49 avaient detecté l’outil pirate qui installait ISN. Fin décembre, 31 sur 49.

Entreprise, Fuite de données, Sauvegarde

Les guides de la confiance de la FNTC

L’art de reconstituer les traces d’événements au sein de Systèmes d’Information ou d’échanges numériques. La Fédération des Tiers de Confiance vient de mettre en ligne son guide intitulé « LA TRACABILITE AU SERVICE DE LA DEMATERIALISATION ». L’idée, garantir le bon fonctionnement des services, prévenir les litiges, mieux servir les clients, gagner en transparence. La traçabilité des échanges et des données appliquée aux Systèmes d’Information et/ou aux échanges numériques, c’est l’aptitude à reconstituer a posteriori un historique fidèle des événements qui se sont déroulés au sein du système. Partant de ce constat, le groupe de travail e-traçabilité de la FNTC a rédigé ce guide afin de définir la notion de « e-traçabilité» et de promouvoir les bonnes pratiques en la matière. Ce guide s’adresse à toutes les parties prenantes (services techniques et informatiques,  directions juridiques, directions métiers…), qui ont besoin de mettre en place une traçabilité efficace.

Au sommaire de ce guide d’une quarantaine de pages :
–      Une approche pragmatique avec des réponses aux questions que peut poser la traçabilité
–      Une définition de la traçabilité et de son périmètre
–      Les bonnes pratiques : bien tracer, c’est quoi ? et définition du cadre juridique de l’e-traçabilité
–      Des illustrations des enjeux de la traçabilité appliquée à divers secteurs (secteur bancaire, secteur français des jeux en ligne, lettre recommandée électronique, vote électronique, opérateurs de communications électroniques et fournisseurs d’accès à Internet et hébergeurs)

BYOD, Cloud, Entreprise, Fuite de données, Sauvegarde

Le Single Sign On

Un commentaire

Le Single Sign On : Un seul identifiant, un seul mot de passe, une seule connexion pour un accès à des milliers d’applications – comment ça marche ? Luc Caprini – Directeur Europe du Sud de Ping Identity

Qu’est ce que le Single Sign On ?
Le terme « Single Sign On » ou « SSO » peut en effrayer plus d’un et pourtant son principe est relativement simple. Avant d’expliquer en quoi consiste exactement le Single Sign On et quels en sont les bénéfices, il faut tout d’abord détailler le contexte dans lequel le Single Sign On intervient. Cela permet de comprendre toute son utilité.

Aujourd’hui, nous possédons chacun une multitude d’identifiants et de mots de passe dont on ne se rappelle pas toujours. Que ça soit au bureau, ou à domicile, nous ne pouvons échapper au « devoir d’identification » dès que nous allumons un ordinateur, un smartphone ou une tablette.  C’est une contrainte qui ralentit la productivité du collaborateur qui se connecte maintes et maintes fois aux applications de son entreprise ou au cloud et c’est un handicap lorsqu’on ne se souvient plus de ses identifiants pour se connecter sur un site Internet et qu’il est donc impossible d’y accéder.

Principe
C’est là qu’intervient le Single Sign On. En quoi cela consiste exactement ? L’utilisateur dispose simplement d’une interface qui s’ouvre à l’allumage de son terminal et il rentre une seule et unique fois, une seule et unique combinaison « identifiant/mot de passe » qui lui permettra de se connecter automatiquement et de façon sécurisée à toutes les applications de l’entreprise, au cloud et également aux applications Web de type Facebook, Gmail, etc. sans jamais devoir s’identifier une nouvelle fois.

Fonctionnement
Le principe est donc relativement simple. La petite complexité réside dans la gestion de l’identité unique de chaque utilisateur. Cette gestion passe par une solution de fédération des identités. Cela signifie que l’identité et le mot de passe de l’utilisateur sont stockés dans un lieu unique, contrôlé par l’entreprise. Lorsque l’utilisateur accède à l’application, son identité est transmise en toute transparence et en toute sécurité, depuis le Système d’Information (SI) de l’entreprise, au fournisseur de l’application. On appelle cela le SSO fédéré.

Bénéfices
Le SSO fédéré a de multiples avantages pour une entreprise.

Le BYOD
Il permet notamment de favoriser le développement du BYOD. En effet, le SSO fédéré repose sur la base d’un accès sécurisé aux applications de l’entreprise via une identité unique. Cet accès peut donc se faire depuis n’importe quel terminal, qu’il soit  fixe ou mobile. Ainsi, collaborateurs, clients et partenaires ont accès aux applications de l’entreprise depuis leurs propres ordinateurs portables, smartphones ou tablettes sans difficulté. L’entreprise ne craindra donc pas pour ses données.

Réaliser des économies
La réinitialisation des mots de passe entraîne pour l’entreprise un coût de traitement et une baisse de la productivité. En effet, il faut téléphoner à la hotline, patienter puis réinitialiser son mot de passe, ce qui est fastidieux et ennuyeux pour le collaborateur. Dans la pratique, le coût moyen des réinitialisations de mots de passe s’élève à un peu plus de 20€ par employé et par opération. Un seul identifiant, un seul mot de passe, ça ne s’oublie pas. Le SSO fédéré est donc un gain réel de temps et d’argent.

Renforcement de la sécurité
Si l’entreprise n’utilise pas le SSO fédéré, les collaborateurs se connectent donc aux applications de façon classique. Plus les utilisateurs doivent mémoriser d’identifiants et de mots de passe, plus ils optent pour des mots de passe faciles à deviner (phénomène dû à une « lassitude » à l’égard des mots de passe). D’autre part, ces mots de passe peuvent être stockés à des endroits identifiables et être facilement dérobés. Le SSO fédéré permet de résoudre ce problème en centralisant la gestion des accès utilisateurs. De cette manière, lorsqu’un utilisateur ne travaille plus dans l’entreprise, son accès à toutes les applications est désactivé.

Stimulation de la productivité
Prenons l’exemple d’un utilisateur qui se connecte trois fois par jour à une application cloud et supposons que chaque connexion lui prenne environ cinq secondes (en supposant que la connexion s’établisse avec succès). Ce délai semble faible mais il peut avoir des conséquences importantes si l’on considère le calcul suivant :

·         Trois connexions par jour = 15 secondes par jour, par utilisateur et par application
·         Les connexions coûtent à une entreprise de 1 000 utilisateurs 250 minutes par jour et par application (62 500 minutes ou 130 jours ouvrables annuels, en supposant une année de 250 jours de travail par an)

Grâce au SSO fédéré, les utilisateurs peuvent réduire le temps passé à se connecter successivement à plusieurs applications et se consacrer à des activités à plus grande valeur ajoutée.

Chiffrement, Entreprise, Fuite de données, Sauvegarde

Un centre hospitalier mit en demeure par la CNIL

Le 25 septembre dernier, la Présidente de la CNIL a lancé une mise en demeure à l’encontre du Centre hospitalier de Saint-Malo. Tout a débuté en juin 2013, la Commission Informatique et liberté contrôlait le C.H. et découvrait qu’un prestataire avait pu accéder, avec le concours de l’établissement, aux dossiers médicaux de plusieurs centaines de patients. Un acte interdit par le code de la santé publique et la loi Informatique et Libertés. Les établissements de santé publics et privés doivent  procéder à l’analyse de leur activité.

Les actes pratiqués à l’occasion de la prise en charge des malades sont ainsi « codés » selon une nomenclature particulière, de sorte qu’à chaque acte possède son code de remboursement par l’assurance maladie. « Afin d’analyser leur activité et de détecter d’éventuelles anomalies de codage, certains établissements ont recours à l’expertise de sociétés extérieures pour procéder à la vérification et à la correction de ces opérations« . Une aide qui permet des remboursements rapides.

Sauf que les entreprises de santé ont oublié qu’en application des dispositions prévues au chapitre X de la loi Informatique et Libertés, les traitements de données à caractère personnel à des fins d’évaluation ou d’analyse des activités de soins et de prévention sont soumis à l’autorisation de la CNIL. De tels actes doivent s’opérer dans le respect du secret médical et des droits des malades. La CNIL veille à ce que ces traitements ne portent pas sur les données nominatives des malades.

Le contrôle au Centre hospitalier de Saint-Malo a permis à la CNIL de relever que le prestataire mandaté par l’hôpital a pu accéder, avec le concours de l’établissement, aux dossiers médicaux de 950 patients (informatisés ou en version papier). La mise en demeure du Centre hospitalier de Saint-Malo indique que l’hôpital doit veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers, notamment par les prestataires choisis pour l’optimisation du codage.

La CNIL a décidé de rendre publique cette mise en demeure en raison de la sensibilité des données (à savoir des données de santé), de la gravité des manquements constatés, du nombre de personnes concernées et de la nécessité de prévenir le renouvellement de tels manquements. Pas de sanction prise, aucune suite ne sera donnée à cette procédure si le Centre hospitalier de Saint-Malo se conforme à la loi dans le délai imparti de 10 jours.

Entreprise, Fuite de données, Sauvegarde

En entreprise, 80% des ressources financières dédiées à la sécurité sont dépensées à mauvais escient

Un commentaire

Malheureusement, ce succès est surtout dû à l’envolée du nombre d’attaques, qui s’accompagne en plus d’une nuée de rumeurs et d’informations erronées, incomplètes ou exagérées participant à la confusion générale. Pendant ce temps, les attaques les plus massives sont passées sous silence – et encore, lorsqu’elles sont identifiées –  pendant des mois, si ce n’est plus. Comment je le sais ? Parce que j’observe les répercussions tous les jours chez nos clients. Et parce j’ai été dans cette position, lorsque RSA a été victime d’une attaque il y a deux ans. Mais depuis, le phénomène n’a fait que s’aggraver.

Et pour cause : le terrain de jeu des cybercriminels s’est étendu. Si au début du millénaire ils devaient encore se contenter de quelques points d’entrées vers des périmètres spécifiques contrôlés par firewall, ils ont aujourd’hui face à eux une infinité d’appareils mobiles, d’environnements virtualisés, de réseaux sociaux et d’objets connectés pour la plupart ouverts.

Nos ennemis sont aussi devenus plus forts. Au départ inexpérimentés, ils sont aujourd’hui capable de camoufler et transformer leurs virus et logiciels espions pour qu’ils soient indétectables. Leurs cibles se multiplient et leurs méthodes se professionnalisent pendant que leurs attaques se font plus complexes et coordonnées.

Encore plus troublant, nous observons depuis peu une évolution des attaques intrusive traditionnelles comme la fraude ou le vol d’IP à des attaques à grande échelle qui ont pour but de paralyser le système. C’est le cas par exemple des attaques DDOS des derniers mois. Pour l’instant, ces méthodes sont très difficiles à utiliser sur Internet sans intervention manuelle. Mais l’essor des appareils connectés et le passage vers le tout-IP vont largement faciliter les attaques informatiques entrainant des destructions physiques réelles.

C’est pourquoi il devient urgent d’agir pour améliorer la compréhension des enjeux de sécurité informatique dans les organisations.

Sans compréhension, pas de protection En sécurité informatique, 80% des ressources financières sont dépensées à mauvais escient. Le plus souvent, elles sont consacrées à la prévention des intrusions alors que nous négligeons de développer notre capacité à identifier et comprendre les attaques dans notre environnement. Quant à la prévention des risques de pertes de données ou la réponse à y apporter, elle est la cinquième roue du carrosse. Ironiquement, il est impossible d’identifier et combler toutes les failles d’une infrastructure. Essayer est donc une perte de temps et d’argent.

En cas d’attaque, si les informations dont nous disposons ne sont pas suffisantes ou pas pertinentes, il est impossible de comprendre le problème et de le régler. Au contraire, cela génère de l’anxiété et un sentiment d’impuissance contre-productifs. Pour adresser une menace efficacement, il est essentiel de mettre en perspective trois éléments : le périmètre de l’attaque, l’environnement des menaces et les opportunités de faire évoluer la sécurité. Pour faciliter le croisement d’informations, nous faisons la promotion d’un nouveau modèle de sécurité intelligente.

Pour une efficacité optimale, il est important de pouvoir analyser des informations internes et externes. Comprendre les vulnérabilités et évaluer la probabilité d’une attaque demandent une compréhension des enjeux et contraintes internes comme externes. Il est donc essentiel de mieux partager l’information. Et après ? Car c’est un premier pas essentiel, mais ce n’est pas suffisant. Plus notre compréhension est étendue, plus il est facile d’interpréter les signes et de limiter le nombre d’inconnus, mais comment peut-on améliorer nos systèmes de sécurité?

Il est évident qu’il n’existe aucune protection parfait et infaillible, je fais ici référence a un modèle qui peut s’adapter et apprendre au fur et à mesure de l’évolution des processus, des technologies ou des menaces. Je fais référence à un modèle qui nous permet de détecter les attaques et d’y répondre rapidement. Je fais référence à un modèle Big Data.

Transformer les données en bouclier de protection Les organisations doivent pouvoir jouir d’une visibilité total de leurs données, qu’elles soient structurées ou non structurées. Les architectures Big Data seront suffisamment évolutives pour que toutes les données puissent être analysées, permettant aux entreprises de construire une mosaïque d’informations spécifiques à propos de leurs actifs numériques, des utilisateurs et de l’infrastructure. Le système sera alors capable d’identifier et de recouper les comportements anormaux dans un flux continu d’informations.Bien sûr, le système ne sera pas pour autant inviolable mais cela permettra de maintenant un niveau acceptable de risque et de ne pas nous laisser distancer par l’adversaire. Est-ce que ce sera difficile ? Oui, mais les technologies nécessaires pour y arriver sont déjà entre nos mains.

BYOD, Cloud, Entreprise, Fuite de données, Sauvegarde

4 documents sur 10 perdus par année sur le web

Un commentaire

Une étude Kroll Ontrack révèle que 40 % des entreprises perdent des données dans leurs environnements virtuels chaque année. 33 % seulement des entreprises ayant subi une perte au cours de l’année écoulée ont pu récupérer 100 % de leurs données.

80 % des entreprises pensent que le stockage de données dans un environnement virtuel réduit ou prévient le risque de perte de données pour leur organisation. Pourtant, 40 % des entreprises qui ont recours au stockage virtuel ont subi l’an passé une perte de données à partir de ces environnements.

Cette étude menée par Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, révèle des chiffres sur la fréquence des pertes de données dans les environnements virtuels et sur la gestion de la récupération. Ainsi, il en ressort que 84 % des entreprises ont recours à la virtualisation pour le stockage et que près d’un tiers des personnes interrogées ont 75 à 100 % de leur environnement actuel stockés dans un environnement virtualisé. Parmi les entreprises qui stockent des données dans un environnement virtuel, 40 % ont subi au moins une perte de données au cours des 12 derniers mois, contre 65 % en 2011. Fait intéressant, 52 % des entreprises croient que les logiciels de virtualisation diminuent le risque de perte de données.

« C’est une erreur de croire que les environnements virtuels sont intrinsèquement plus sûrs ou moins exposés à la perte de données que les autres supports de stockage », affirme Paul Dujancourt, directeur général de Kroll Ontrack France. « La perte de données virtuelles peut avoir différentes causes, notamment l’altération du système de fichiers, la suppression de machines virtuelles, l’altération d’un disque virtuel interne, la défaillance du système RAID et autre matériel serveur ou de stockage, et la suppression ou l’altération de fichiers contenus dans les systèmes de stockage virtualisés. Les ramifications sont généralement bien plus graves, car le volume de données stockées dans un environnement virtuel est exponentiel par rapport à celui stocké sur un système de stockage ou un serveur physique ».

L’étude révèle en outre que seulement 33 % des entreprises ont réussi à récupérer 100 % de leurs données perdues, ce qui représente une baisse de 21 % par rapport à 2011, où 54 % des entreprises avaient pu récupérer l’intégralité de leurs données. Les 67 % de personnes interrogées restantes ont révélé qu’elles n’avaient pas été en mesure de récupérer toutes les données suite à leur perte de données la plus récente.

« Même si l’utilisation de VMware® en tant qu’infrastructure courante a gagné en maturité et qu’il se produit apparemment moins d’incidents, les entreprises sont toujours frappées par des pertes de données cruciales », souligne Paul Dujancourt, directeur général de Kroll Ontrack France. « Cette diminution de l’aptitude à restaurer entièrement les données prouve qu’il existe un risque élevé de perte permanente des données lorsque les entreprises ne font pas appel à un professionnel expérimenté dans ce type de récupération après une perte de données dans un environnement virtuel ».

Lorsqu’on leur demande comment leur entreprise a tenté la récupération, la majeure partie des personnes interrogées (43 %) indique avoir reconstitué les données. Elles étaient seulement une sur quatre à avoir consulté un spécialiste de la récupération de données.

« La reconstitution des données ne doit pas être le premier réflexe des entreprises, car cette méthode leur coûte beaucoup de temps et de ressources. Des spécialistes expérimentés de la récupération de données tels que Kroll Ontrack ont les processus, les technologies et l’expérience nécessaires pour récupérer les données dans des environnements virtualisés complexes, et permettre ainsi d’assurer le fonctionnement continu des entreprises », ajoute Paul Dujancourt, directeur général de Kroll Ontrack France.

724 professionnels de l’informatique ont participé à cette étude en août 2013. 223 ont répondu à l’étude en personne à l’occasion du VMworld® 2013 aux États-Unis, tandis qu’ils étaient 466 de la région Europe, Moyen-Orient et Afrique et 35 de la région Asie-Pacifique à répondre à l’étude en ligne. La liste complète des questions et des résultats de l’étude est disponible sur demande.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle, Sauvegarde

L’assurance contre les cyber-risques d’Allianz ne peut être qu’un « filet de sécurité » pour les entreprises

Le spécialiste de l’assurance Allianz Global Corporate & Specialty (AGCS) vient d’annoncer une nouvelle gamme de produits destinée à protéger les entreprises contre les problèmes qui peuvent découler d’une cyber-attaque grave ou d’une violation de données. Cette annonce fait suite à de récentes études qui indiquent que les cyber-attaques sont susceptibles de faire perdre plusieurs millions d’euros aux entreprises, dans un contexte où elles sont visées par des cyber-attaques de plus en plus sophistiquées.

Nigel Pearson, responsable de la  cybernétique chez Allianz, déclare à ce sujet que les entreprises ne réalisent pas l’ampleur du risque actuel alors que « de nombreux cybercriminels sont déjà en mesure de pirater les systèmes de petites et moyennes structures, et qu’ils peuvent ainsi trouver un moyen d’accéder aux systèmes des grandes entreprises avec lesquelles ces PME sont partenaires ».

Jean-Pierre Carlin, directeur commercial Europe du Sud chez LogRhythm, a fait les commentaires suivants : « La cybercriminalité et l’espionnage industriel sont devenus tellement banals que les récents incidents n’ont pas réussi à susciter l’intérêt requis des entreprises au moment où ils ont été rapportés. Le fait que la cybercriminalité ait coûté plus de 2,5 milliard d’euros en 2012 aurait dû servir de détonateur et envoyer un message fort et clair aux organisations. Malheureusement, vu les nombreuses attaques médiatisées auxquelles nous avons pu assister jusqu’ici cette année, le chemin est encore long et certains iront même jusqu’à dire que nous sommes déjà en train de perdre la bataille.« 

Ce qui est intéressant ici, cependant, c’est que les assureurs commencent à reconnaître à la fois la nouvelle source de revenus, et les nouvelles opportunités commerciales offertes par cette nouvelle catégorie de risque. Comme les attaques des cybercriminels deviennent plus sophistiqués, et que nous nous rendons compte du caractère inéluctabilité de la crise, il semble logique que les entreprises souhaitent bénéficier du plus haut niveau de protection.

Il est également judicieux pour les assureurs de commencer à reconnaître ce risque lié à l’ère du temps – comme ils l’avaient fait avec le détournement des avions et à la cendre volcanique. Pour les entreprises, les conséquences d’une faille grave pourraient être comparées aux dommages d’un incendie ou d’un cambriolage important – si ce n’est pire… Il ne serait donc pas surprenant de voir d’autres assureurs suivre l’exemple d’Allianz très prochainement.

« Cependant, cette nouvelle prise en compte du risque par l’assurance doit être considérée comme un filet de sécurité, et ne pas donner un prétexte aux entreprises pour entretenir un faux sentiment de sécurité. Il est impératif que les bonnes pratiques en matière de sécurité soient maintenues afin de préserver l’étanchéité des réseaux de l’entreprise. La protection des renseignements personnels devrait être primordiale, par exemple, plutôt que de simplement couvrir les frais d’une violation. Le contrôle de la protection devrait être la norme dans toutes les organisations car il offre une vue étendue de toutes les activités du réseau de façon à ce que si quelque chose de suspect est identifié, il peut être arrêté avant que le mal ne soit fait. Cette protection devrait être élargie aux fournisseurs tiers, comme les petites entreprises qui desservent les grandes, et qui sont de plus en plus perçues comme maillon faible par les pirates qui veulent contourner la sécurité des grandes multinationales« .

ios, Sauvegarde, Sécurité, Smartphone, Vie privée

Faille pour iOS 7 : vol de données possibles

3 commentaires

Une vulnérabilité découverte dans iOS 7. Piratage de vos photos, e-mails, comptes Twitter et Facebook en deux coups de doigt. Le nouveau iPhone, et les « anciennes » versions sous iOS 7 vont donner quelques petites frayeurs à leurs fiers propriétaires. Une faille permet de déverrouiller le téléphone et accéder aux petits secrets du « précieux » d’Apple. Les voleurs d’iPhone peuvent rendre le verrouillage totalement inutile en lançant une simple petite application. L’appli ‘timer’, qui se lance à partir du panneau de commande, est le fautif. La technique est simple, elle avait déjà fait un bel effet sur les « anciens » iPhone, mais aussi sur les Samsung 4. DatasecurityBreach.fr vous explique le « truc ». Pour faire sauter le mot de passe : « Timer », mettre l’iPhone hors tension et  appuyer deux fois sur le bouton « home ». Bilan, l’écran multitâche s’ouvre et l’accès à l’appareil photo s’ouvre, donnant par rebond accès à Facebook, Twitter, aux e-mails et SMS. Vous comprenez pourquoi il existe déjà une mise à jour d’iOS7 : iOS 7.0.1.

Mise à jour : Lookout a découvert que cette nouvelle menace va au-delà de l’application Horloge, l’application Calculatrice étant également concernée. Un accès complet à la liste des contacts est possible. Pour se sécuriser, en attendant le patch complet, direction les « Paramètres des Applications » ; sélectionnez les Réglages du « Centre de contrôle » et désactiver « Centre de contrôle », « Centre de notification» et «Siri» pour le verrouillage de l’écran.
Entreprise, Fuite de données, Sauvegarde

Documents et informations d’entreprise malmenés par les travailleurs à domicile

Un commentaire

Une enquête dans cinq pays européens, effectuée par Opinion Matters à la demande d’Iron Mountain, révèle à datasecuritybreach.fr un comportement dangereux des travailleurs à domicile vis-à-vis des informations professionnelles. C’est ainsi que quelque 50 pour cent des participants à l’étude ont avoué avoir déjà envoyé des documents d’entreprise via leur compte webmail personnel, peu importe où l’information était stockée. En outre, 29 pour cent d’entre eux laissaient circuler sans problème des informations et des documents professionnels au sein de leur domicile, alors que 19 pour cent jetaient même ce genre de documents dans leur poubelle domestique.

Un pourcentage suffisamment élevé pour rendre de nouveau (plus) populaire la pratique de ‘dumpster diving’ (la collecte et la fouille des déchets domestiques de personnes et d’entreprises connues). Ce pourcentage est d’autant plus étonnant que l’on conseille depuis longtemps déjà de ne même plus jeter de courrier personnel dans les ordures ménagères. Mais dans d’autres endroits aussi, l’on traite négligemment les informations professionnelles. C’est ainsi que quelque 11 pour cent des répondants ont déjà expédié des documents de travail d’un restaurant, alors que 7 autres pour cent l’ont fait par l’entremise d’un lien wifi non sécurisé. Ces chiffres sont d’autant plus inquiétants que l’étude révèle que ce sont les chefs d’entreprise et les membres de la direction qui travaillent le plus souvent à domicile (plus de la moitié d’entre eux travaillent deux jours ou plus par semaine à la maison), suivis par les collaborateurs du département marketing (35 pour cent d’entre eux travaillent chez eux plus de deux jours par semaine).

DataSecurityBreach.fr vous propose quelques trucs et astuces en vue de sécuriser davantage le travail à domicile :
– Appliquez une politique claire à propos de la sécurité au travail en dehors de l’entreprise.
– Soyez précis quant à la manière dont l’information sensible doit être traitée.
– Prévoyez une infrastructure sécurisée.
– Veillez à une formation adéquate et régulière.
– Prévoyez un accès sécurisé aux données de l’entreprise, afin d’éviter le stockage et l’impression locales de celles-ci.
– Le chiffrement est obligatoire.
– Les sauvegardes se font sur des supports amovibles sécurisés et non connectés au réseau des réseaux.

– Un broyeur de papier est indispensable (voir bruler les documents.