Archives de catégorie : Sauvegarde

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Piratage, Sauvegarde, Social engineering

Une fausse société revendait des identifiants de connexion à des Chinois

Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.

La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.

La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.

Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)

Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Mise à jour, Sauvegarde

Un tiers des pertes de données des entreprises se produit lors du déplacement des données

Les migrations de données et les mises à jour des systèmes d’exploitation présentent des risques de pertes de données selon une étude Kroll Ontrack.

Une étude Kroll Ontrack menée auprès d’environ 600 administrateurs IT dans le monde montre qu’un tiers (32 %) des organisations a perdu ses données pendant la migration d’un support de stockage sur un autre ou au cours d’une mise à jour de leur système. Kroll Ontrack a aussi noté que plus de la moitié (57 %) des répondants disposait d’une sauvegarde, les trois quarts (75 %) n’étaient pas capables de restaurer toutes leurs données perdues, et plus d’un sur cinq (23 %) incapable de retrouver une seule donnée.

Les résultats de l’enquête 2016 sont cohérents avec les études de ces trois dernières années : plus de la moitié des particuliers et des entreprises perdent des données malgré la mise en place d’un système de sauvegarde. Interrogés sur leurs pertes de données à la suite d’une migration ou d’une mise à jour, les répondants équipés d’un système de sauvegarde ont expliqué que la sauvegarde n’était pas à jour (17 %) ou défaillante (15 %), le support n’était pas inclus dans la sauvegarde (14 %), ou la sauvegarde était corrompue (11 %).


« Les mises à jour et la migration de données font partie du quotidien en informatique, c’est donc inquiétant de voir qu’il y a autant d’entreprises victimes d’une perte de données parce que leurs protocoles de sauvegarde échouent. » indique à DataSecurityBreach.fr Antoine Valette, Business Manager Kroll Ontrack France. « Nous constatons que les mises à jour et les processus de migration sont un risque quel que soit le support, téléphone portable, ordinateur portable, PC ou serveur. Les entreprises doivent bien sûr veiller à avoir une stratégie de sauvegarde rigoureuse et la tester régulièrement pour valider son efficacité ; notre étude montre que ces pratiques sont d’autant plus critiques avant une migration. »

Système d’exploitation ou matériel : quel est le plus risqué pour les pertes de données ?
La perte de données se produit aussi fréquemment sur des supports autonomes que sur des serveurs. La moitié (50 %) des répondants déclarent avoir perdu ses données pendant la migration vers un nouveau logiciel ou plate-forme, à partir d’un ordinateur de bureau ou d’un ordinateur portable. Les mises à jour des systèmes d’exploitation sont les plus à risque (39 %), suivies par les clones des médias (22 %), puis les migrations physiques du matériel (20 %) ou la mise à jour du matériel (17 %).

Les résultats indiquent que la perte de données est moins un problème pour les utilisateurs de mobile, mais affecte tout de même plus d’un tiers (34 %) des répondants. Malgré les mises à jour automatiques des téléphones portables, 53 % des répondants déclarent avoir perdu leurs données pendant la migration vers un nouveau portable.

Échelle des risques pertes de données
Quand on demande aux participants de l’étude d’estimer quelles seront les principales causes de perte de données en entreprise au cours des 12 prochains mois, ils classent les migrations et les mises à jour des systèmes en bas de leur échelle de préoccupation, alors qu’un tiers des répondants a perdu des données au cours de ces opérations. A la place, les répondants classent les défaillances matérielles (22 %), les erreurs d’utilisation (22 %) et les erreurs imprévues et inattendues (21 %) comme les principaux risques de perte de données. Seulement 11 % considèrent que le faible contrôle interne des données est un risque majeur.

Android, Chiffrement, Cybersécurité, Entreprise, ios, Sauvegarde, Smartphone, Téléphonie, Windows phone

Le smartphone, nouvelle identité numérique

Le smartphone pourrait-il devenir la nouvelle identité numérique permettant d’accéder à la fois aux données et aux bâtiments ? La réponse est oui : l’accès mobile est très en vogue. Plusieurs grandes entreprises sont prêtes à sauter le pas, de même pour les PME.

Le champ d’application des smartphones ne cesse de s’élargir. L’accès mobile, quoique récent, prend de plus en plus d’importance le domaine d’activité. Les smartphones peuvent ainsi servir d’identités numériques pour accéder aux bâtiments, aux systèmes informatiques et autres applications. Ce sont les nouvelles technologies d’accès mobile et les standards de communication, comme NFC et Bluetooth Smart, qui rendent cela possible. Dans ce cadre, les identités numériques de nouvelle génération offrent même une plus grande sécurité que de nombreuses cartes conventionnelles, le cryptage de leurs transmissions n’ayant pas encore été compromis. L’accès mobile signifie que les clés, les cartes et autres jetons sont intégrés dans les smartphones, les tablettes et autres objets connectés à l’instar de l’Apple Watch.

De nouvelles opportunités s’ouvrent également au sein des PME au sein desquelles l’utilisation des smartphones ne cesse de se développer. La tendance BYOD a accéléré la pénétration des smartphones dans la sphère professionnelle et lorsqu’un smartphone est utilisé au quotidien le chemin vers la solution d’accès mobile n’est pas long. Pour l’administrateur il s’agit cependant de trouver des solutions et de gérer un parc souvent hétéroclite.

Les avantages d’une stratégie d’accès mobile sont clairs. Les économies découlent de la numérisation intégrale des processus évitant la commande et l’impression des nouvelles cartes tout en rationalisant les flux. Ainsi, par exemple, il n’est plus nécessaire de disposer de différents processus pour l’émission et l’administration d’identités distinctes servant à l’accès informatique et au contrôle d’accès.

Identité numérique

Alliant sécurité et convivialité, une solution d’accès mobile peut marquer des points. La caractéristique clé des smartphones réside dans leur capacité de mise en œuvre de mesures de sécurité intégrées. Citons notamment le cryptage des données ou l’utilisation de procédures biométriques avec des empreintes digitales. L’application d’accès peut fonctionner en outre dans un sandbox dédié, ce qui permet de garantir qu’aucune autre application ne puisse accéder à des informations d’authentification ou d’accès confidentielles. Notamment en cas de perte, il doit être possible de révoquer à distance les données qu’il contient. Cette multitude de fonctions de sécurité permet d’assurer un niveau élevé de protection des données, ce qui répond justement aux exigences des entreprises de taille moyenne. Le confort des différents collaborateurs s’en trouve amélioré, ces derniers n’ayant plus à transporter de cartes et de clés, et à se souvenir de leurs nombreux codes ou mots de passe. Pour certaines applications comme le parking, il peut également bénéficier d’une distance de lecture pouvant aller jusqu’à plusieurs mètres.

La condition pour la mise en œuvre d’une solution d’accès mobile est la mise en place d’une infrastructure avec une gestion d’identité numérique et d’accès sécurisée et généralisée. Dans ce domaine, HID Global propose des lecteurs compatibles avec ces identités mobiles dont les fonctionnalités peuvent bénéficier de mises à jour et d’un portail sur le Cloud pour l’administration de ces mêmes identités numériques.

Les solutions d’accès mobiles sont clairement tendance et cette évolution n’épargnera pas les PME. En fin de compte, les solutions d’accès mobiles, et donc de l’identité numérique, ouvriront la voie à une nouvelle conception de la gestion des identités, démarche où le service sera très présent. (Par Yves Ackermann, Directeur Segments Stratégiques Europe, HID Global)

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Protection de vos données sensibles : évaluation des risques et des menaces

Protection de vos données sensibles : le cheminement de vos données, de votre clavier jusqu’au CPU en passant par l’écran est jalonné de dangers. Dans le cas d’un système cloisonné, à savoir le bon vieux PC autonome, le risque était quasi absent.

Mais aujourd’hui, alors que chaque frappe au clavier mène on-ne-sait-où, que les opérations de traitement peuvent s’effectuer en tout endroit du monde, et que les utilisateurs se retrouvent souvent localisés à distance de leurs données, l’intégrité de ces données est menacée en tous points. Chaque “maillon faible” dans le processus de gestion de données devient particulièrement problématique.

Protection de vos données sensibles : cartographier vos données
Plus vos données sont disséminées, plus le risque est important. Avec l’avènement du Cloud, le contrôle sur vos données est moindre et il devient complexe d’identifier le cheminement de ces données. Quant à évaluer le niveau de sécurité des différents processus actifs, voilà qui est quasiment impossible. Et pourtant, cette mesure des risques doit être effectuée, sauf à accepter que votre organisation soit soumise à un niveau de risque… inacceptable.

La première mission consiste à classifier vos données pour hiérarchiser les types de données devant être sécurisés. Vous découvrirez sans doute que la majorité de vos données corporate ne sont pas critiques, ou qu’elles sont redondantes ou obsolètes. Vous devez certes les protéger, mais elles ne sont pas prioritaires. Reste bien sûr les joyaux de la couronne : les données financières, personnelles ou commerciales. Ces bases de données doivent être sécurisées et protégées contre tout accès non autorisé.

Protection de vos données sensibles : le stockage, ici, là, n’importe où
Les données sont forcément archivées quelque part. Lorsque vous aurez identifié celles qui requièrent toute votre attention, vous devrez identifier leur localisation. En interne, les données peuvent être stockées sur la mémoire vive (le traitement analytique in-memory est devenu essentiel pour les analyses du Big Data), sur des dispositifs connectés au réseau, voire sur des bandes magnétiques. Pour rendre les choses plus complexes, notons que les données mènent leur propre vie une fois recueillies. Dans un système de point de vente par exemple, les données brutes peuvent être stockées dans un environnement A, puis être traitées au sein d’un environnement B, avant d’être mises à disposition de multiples applications (C à Z). Le risque est alors présent à chaque étape du processus.

Lorsque les données sont protégées derrière un pare-feu, les choses sont plutôt simples. Vous pouvez définir vos propres règles d’accès, surveiller les activités sur le réseau et prendre les bonnes actions en cas d’anomalie détectée. Vous pouvez aussi définir des seuils pour automatiser ces actions. Mais les menaces existent même au sein d’environnements cloisonnés.

Protection de vos données sensibles : prévenir les accès prohibés
Les administrateurs systèmes, généralement via le système de gestion des bases de données, peuvent attribuer des droits de lecture et d’écriture sur des ensembles de données au sein de leur organisation. Sauf que les gens se déplacent au sein des organisations, et que les rôles, besoins et autorisations sont appelés à évoluer. Les administrateurs des bases de données doivent donc réévaluer leurs droits de lecture et d’écriture régulièrement (spécifiés par les règles d’accès) pour s’assurer que seuls les profils et personnes légitimes accèdent aux données sensibles.

Protection de vos données sensibles : des ressources qui peuvent vous aider
Des recommandations sont disponibles pour vous aider à piloter ces processus de manière fluide. À titre d’exemple, les normes ISO/IEC 27002 ont été conçues spécifiquement pour aider les responsables des bases de données à assurer la traçabilité et la sécurité de leurs données. Les éditeurs sont responsables de la mise en œuvre de ces principes au sein de leurs solutions. D’autre part, le chapitre dédié à la gestion de la sécurité de la norme ITIL (Information Technology Infrastructure Library), basée sur ISO/IEC 27002, décrit comment intégrer la sécurité de l’information au sein des processus de gestion.

Mais quelle que soit la norme adoptée, il est essentiel de disposer d’une cartographie globale de vos données, de leur cheminement, des accès aux données et des autorisations associées. L’introduction de la sécurité à chacune des étapes du processus doit ensuite être menée avec précaution. Bien sûr, il est tout aussi important de définir des règles qui stipulent précisément les droits d’accès de chacun pour chaque type de données, ainsi que l’acheminement de ces données du point A au point Z. Si vous êtes capable de cartographier les processus sur un (sans doute grand !) tableau, vous êtes sur la bonne voie pour identifier les menaces potentielles et maîtriser les risques. (par Christophe Auberger, Directeur Technique France)

Base de données, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde, Virus

G DATA partenaire sécurité de l’équipe Ducati pour le championnat MotoGP 2016

G DATA, l’éditeur de logiciels allemand spécialisé dans les solutions antivirus, devient partenaire technique de Ducati Corse pour le championnat du monde de MotoGP. En tant que partenaire, G DATA protège le système informatique de l’équipe Borgo Panigale contre les menaces en ligne pendant toute la saison du championnat, qui commence le 20 mars sur le circuit international de Losail au Qatar.

G DATA protège les serveurs de données de l’équipe Ducati, équipements vitaux pour les activités sur pistes de l’équipe. Ces ordinateurs gèrent le stockage des données générées pendant des essais et les courses, synchronisent l’acquisition de données avec les serveurs distants de l’entreprise et permettent aux techniciens de piste de traiter les données et réaliser des simulations en temps réel.

« Protéger l’intégrité des données et des systèmes critiques en itinérance est un vrai challenge. Nous devons garantir leur sécurité avec des solutions et des politiques qui doivent s’adapter aux différents réseaux que l’équipe trouvera sur les multiples lieux de la compétition internationale MotoGP, et gérer à distance les informations, les mises à jour et journaux d’entrée des données en garantissant un service continu. C’est un défi et nous sommes honorés de relever », déclare Giulio Vada, Country Manager de G DATA Italie.

La relation avec Ducati inclut également une série d’activités conjointes pour l’année 2016.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Sauvegarde

Etude : quel est l’impact de la cybersécurité sur la finance et la réputation des entreprises ?

La prévention des fuites de données passe par la collaboration, le partage des connaissances et la définition de critères de réussite, avant que des changements réglementaires ne s’opèrent.

Une nouvelle étude de Palo Alto Networks révèle qu’il reste encore beaucoup à faire dans les domaines de la collaboration et du partage de responsabilités pour ce qui est de la prévention des cyberfailles – deux démarches pourtant cruciales que doivent adopter les entreprises en France si elles veulent éviter de lourdes pénalités financières et préserver leur réputation.

Le principal enseignement de cette étude d’envergure européenne est que l’essentiel des responsabilités repose exclusivement sur les épaules des professionnels de l’informatique, puisque près de la moitié (46 %) des décideurs estiment que la protection d’une entreprise contre les risques de cybersécurité est en définitive du ressort du service informatique. Les effectifs de ce service admettent d’ailleurs, dans une proportion significative (57 %), être seuls compétents pour assurer cette sécurité.

Ces conclusions interviennent alors même que l’Union européenne est en passe de finaliser son Règlement général sur la protection des données, qui obligera les entreprises à se conformer à certaines spécifications de pointe en matière de cybersécurité. Ces dernières les aideront à prévenir les risques de non-conformité et, ce faisant, à éviter des amendes de l’ordre de 10 à 20 M€ (jusqu’à 2 à 4 % de leur chiffre d’affaires annuel mondial). En cas de fuite avérée, ce règlement engage également la responsabilité de quiconque a accès aux données – depuis le service clients jusqu’à la direction en passant par les informaticiens.

Nombre de décideurs ont toujours bien du mal à appréhender la cybersécurité
Ces résultats semblent indiquer que la pierre d’achoppement, s’agissant de la répartition inégale des responsabilités, pourrait être la conséquence d’une méconnaissance de la cybersécurité au niveau de la direction. Plus d’un décideur sur dix (13 %), parmi les participants explicitement interrogés à ce sujet, avoue cerner « à peu près » ce qui constitue un risque pour la sécurité en ligne de l’entreprise, mais « devoir malgré tout faire appel à Google pour obtenir des éclaircissements ».

Si les participants prennent de plus en plus la mesure des cyber-risques auxquels sont confrontées les entreprises, un salarié sur dix demeure convaincu que les dirigeants de sa société n’ont pas une idée suffisamment précise ou exacte des problématiques de cybersécurité actuelles pour mettre obstacle aux cyberattaques, et éviter ainsi qu’elles ne portent atteinte à l’environnement informatique.

La définition des critères de « réussite » indispensable à l’attribution des rôles
Divers règlements et dispositifs normaliseront les critères de réussite déterminant l’efficacité de la cybersécurité ; néanmoins, dans l’intervalle, un accord interne doit être trouvé permettant de définir les rôles et responsabilités de chacun, et de parvenir à un consensus sur une approche unifiée entre entreprises.

Les résultats de l’étude mettent en exergue le fait que les évaluations de sécurité réalisées par les entreprises ne prennent pas en compte la totalité des éléments composant le risque. À l’heure actuelle, une entreprise sur quatre (25 %) mesure l’efficacité de la cybersécurité en fonction du nombre d’incidents bloqués par sa politique de cybersécurité ; une sur cinq (21 %) se réfère à la durée de résolution des incidents. Elles sont 13 % à prendre en compte la date du dernier incident. Des mesures préemptives et en temps réel, comme la capacité d’une entité à superviser la totalité du trafic sur son réseau, doivent être prises en compte pour évaluer précisément les risques encourus.

« Les nouvelles réglementations de l’UE obligeront les entreprises à intensifier leurs pratiques en matière de cybersécurité, et il s’agira là d’une opportunité ou d’un risque, selon l’approche qu’elles auront choisie. En définitive, il est essentiel que les décideurs admettent que la cybersécurité relève de la responsabilité de chacun – car il ne s’agit plus ici d’un artifice obscur, mais d’une pratique quotidienne à laquelle aucun échelon de l’entreprise ne peut se soustraire », commente Arnaud Kopp, Directeur Technique Europe du Sud chez Palo Alto Networks

Recommandations aux entreprises européennes
Palo Alto Networks recommande aux entreprises de prendre les mesures suivantes pour consolider leurs environnements informatiques et mieux les protéger des cyberattaques :

1.     Élaborer une stratégie de cybersécurité axée sur la prévention des cyberattaques à chaque stade du cycle de vie des attaques, en sensibilisant et responsabilisant les collaborateurs.

2.     Faire appel à une technologie de sécurité automatisée de pointe qui, non seulement, se conforme aux réglementations, mais donne également aux collaborateurs les moyens de travailler efficacement avec les outils qui leur sont indispensables.

3.     Sensibiliser tous les acteurs de l’entreprise au rôle qui doit être le leur afin de prévenir la menée à bien des cyberattaques à son encontre.

Méthodologie de l’étude : L’étude a été réalisée en ligne par Redshift Research en octobre 2015. Elle a été menée auprès de 765 décideurs dans des entreprises comptant au moins 1 000 salariés, implantées au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

Cybersécurité, Entreprise, Justice, loi, Propriété Industrielle, Sauvegarde

Technique et légalité des émulateurs de jeux vidéo

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique !

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique, celui de l’informatique et des jeux vidéo n’est pas en reste. Alors que les grandes entreprises informatiques et éditrices de jeux vidéo comme Sony ou Nintendo investissent des sommes colossales en R&D afin de mettre au point des appareils de haute technologie, il se développe un marché moins officiel qui est celui des logiciels émulateurs destinés à faire revivre des vieux jeux vidéo « abandonnés » par leurs éditeurs ou qui sont devenus commercialement obsolètes. L’émulateur est défini comme le logiciel ou programme permettant de simuler sur une machine le fonctionnement d’une autre. Plusieurs sites Internet proposent de rendre compatibles des ordinateurs récents avec d’anciens jeux vidéo. Les jeux vidéo d’une ancienne console qui ne fonctionnaient qu’avec des ordinateurs de l’époque (environnement MS-DOS) deviendront compatibles avec par exemple des périphériques graphiques, carte son et écran fonctionnant sous Windows XP.

Quid de la légalité des émulateurs au regard du droit d’auteur
Le développement de ce marché caché a fait si l’on peut dire des émules puisque Nintendo lui-même a stratégiquement choisi d’intégrer des émulateurs dans sa Wii, permettant à cette console d’accueillir des jeux édités pour d’anciennes consoles Nintendo. Mais si Nintendo dispose du droit de modifier ses propres logiciels, il n’en va pas de même du développeur qui sans aucun droit sur le jeu vidéo ou logiciel présent à l’intérieur de la console créé un programme permettant de simuler les composants du logiciel d’une console. En effet, modifier le Bios d’un logiciel constitue un acte de contrefaçon aux droits d’auteur portant sur ce logiciel. Cela est particulièrement vrai depuis l’arrêt de l’Assemblée plénière de la Cour de cassation du 7 mars 1986 considérant que le logiciel était une œuvre de l’esprit protégeable (protection du droit à la paternité et à l’exploitation de l’œuvre).

Mais qui sont les bénéficiaires de cette protection contre les actes de contrefaçon et ici singulièrement contre les logiciels émulateurs ?
Le droit d’auteur français étant un droit personnaliste, l’œuvre de l’esprit est relativement bien protégée et sauf les exceptions du droit à la décompilation, des logiciels libres ou lorsqu’il y a eu renoncement aux droits d‘auteur, ces œuvres ne sont jamais libres de droits durant le temps de protection prévu par l‘article L.123-1 du Code de la propriété intellectuelle (qui est de 70 ans après le décès de l’auteur de l‘œuvre).

Peu importe par conséquent les doutes récurrents en jurisprudence sur la qualification juridique à retenir du logiciel. Qu’il s’agisse d’une œuvre collective (bien souvent une personne morale en est l’instigatrice) ou d’une œuvre de collaboration entre plusieurs auteurs, les droits d’auteur sur le logiciel sont garantis pendant 70 ans après le décès de l’auteur. Ce droit d’exclusivité profitera donc aux ayants droits de chacun des auteurs en cas de qualification d’œuvre de collaboration du logiciel. Ce droit de protection bénéficiera également en cas de qualification d’œuvre collective du logiciel aux associés d’une entreprise ayant cessé son activité pour une raison quelconque (départ en retraite du dirigeant, liquidation etc…).

Il en résulte donc que les développeurs d’émulateurs ne pourront pas en cas de contentieux, invoquer devant le juge le décès de l’auteur ou l’abandon par une société éditrice de ses droits sur le logiciel reproduit. Tout acte de reproduction du logiciel ou de ses composants est  normalement soumis à l’autorisation de l’éditeur en vertu de l‘article L.122-6 du Code de la propriété intellectuelle.

Justification de l’émulateur par l’exclusivité de décompilation ?
La seule possibilité envisageable en cas de litige reste celle de l’exclusivité de décompilation prévue à l’article L.122-6-1 du CPI, exception légale aux droits d’auteur prévue afin de garantir une concurrence saine entre éditeurs de logiciels en permettant une interopérabilité entre différents logiciels. Les conditions de mise en œuvre de ce droit à décompilation sont très strictes et il est peu probable que les émulateurs de logiciels puissent entrer dans cette exception.

Décompiler un logiciel (ou ingénierie inverse) consiste à le désassembler afin d’en connaître les données et les instructions qui en permettent le fonctionnement, en vue de retraduire le code objet pour remonter au code source. Toutefois, entre les différentes phases de conception et les éléments qui composent le logiciel, il est difficile de déterminer ce qui est protégeable par le droit d’auteur. Si les fonctionnalités d’un logiciel ne sont pas protégeables selon la Cour européenne (CJUE, 2 mai 2012,  SAS Institute Inc. c/ World Programming Ltd), les travaux préparatoires de conception du logiciel tels que les plans électroniques sont eux susceptibles d’une protection par le droit d’auteur.

L’une des conditions essentielles pour décompiler légalement est d’être un utilisateur légitime du logiciel. La cour d’appel de Paris a rappelé que les développeurs de linkers, dispositifs permettant de lire des jeux vidéo piratés sur la console DS de Nintendo, étaient responsables d’actes de contrefaçon au motif pris qu’ils n’étaient pas des utilisateurs légitimes (Paris, 26/09/2011 affaires Nintendo).

L’émulateur de logiciel n’est donc pas en harmonie avec le droit d’auteur sauf lorsque les auteurs, éditeurs ou les ayants droits de ces derniers ont manifesté leur volonté de ne plus exploiter leurs droits et hormis ce cas, on est en présence d’actes de contrefaçon en cas de reproduction du logiciel ou de décompilation à d’autres fins que celle d’interopérabilité. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Base de données, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Sauvegarde, Social engineering

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Disques durs perdus dans la nature

La société Centene Corporation a perdu six disques durs et plus d’un million de données d’assurés.

Centene Corporation est une entreprise américaine dédiée à l’assurance santé. Elle est basée à Clayton dans le Missouri. La direction vient de lancer une enquête après avoir découvert qui lui manquait six disques durs. L’histoire pourrait s’arrêter là, sauf que les supports de sauvegarde transportent plus d’un million de dossiers d’assurés.

Ces six disques durs contiennent des renseignements personnels de patients passés par des laboratoires entre 2009 et 2015. Dans les données, non chiffrées : nom, adresse, date de naissance, numéro de sécurité sociale, numéro d’identification d’assuré, et des informations de santé. La société a déclaré qu’aucun des disques durs contenaient des informations financières. (Fox2)

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch, Sauvegarde

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)