Chiffrement, cryptage, Cybersécurité, Entreprise, Sauvegarde

Le coffre-fort numérique MemoCloud se charge de votre héritage numérique

La Toussaint est souvent un moment difficile pour ceux qui ont perdu un proche. Comment accéder aux informations de la personne décédée ? Le coffre-fort numérique MemoCloud se charge de cet héritage numérique.

Un proche décède et les implications difficiles administratives rentrent en jeu. Les difficultés lors d’une succession par manque d’informations données par le défunt se font rapidement sentir. Selon un sondage, 37% des Français confient ne pas trouver d’oreille « suffisamment attentive » pour parler de la mort, notamment après celle d’un proche. Cela a, en général, pour conséquence il devient de plus en plus évident qu’il faille réfléchir à ce qui va se passer, après sa mort. À l’ère du numérique, nous effectuons toutes nos démarches en utilisant Internet, que ce soit pour nos factures, nos impôts, nos contrats, nos informations bancaires et même de plus en plus pour notre patrimoine. Nos documents importants se retrouvent alors éparpillés sur des sites divers et variés et sur notre ordinateur sans que quiconque puisse en être informé s’ils nous arrivent quelque chose (incapacité ou décès).

Il est utile de savoir qu’avec 54 millions de contrats, 37 millions de bénéficiaires et un encours de 1 632 milliards d’euros, l’assurance-vie est le premier placement financier des Français et le soutien de premier plan pour le financement des entreprises françaises (Sondage FFA Ipsos Mars 2017). Par contre chaque année, des milliards d’euros ne sont pas reversés par lesdites assurances vies faute d’avoir retrouvé le bénéficiaire ou d’avoir été réclamées. De plus, près de 9 successions sur 10 n’ont pas établi de testament ou de dernières volontés, il est alors difficile de savoir ce que l’être cher veut ou voulait réellement.

Veut-il que l’on s’acharne thérapeutiquement sur lui ? Refuse-t-il le don d’organes ? Qui héritera de la maison qu’il avait achetée ? Quels sont les contrats qu’il a souscrits ? A-t-il une assurance vie ? Veut-il être incinéré ou enterré ? Tant de questions que les personnes confrontées à ce genre d’événements ne peuvent malheureusement pas répondre faute d’informations ou d’en avoir parlé en temps et en heures. Un Français de 67 ans, Robert Bentz, vient de lancer une idée, celle d’ouvrir un cloud dédié à cette problématique. Baptisé MemoCloud, cette idée regroupe un coffre-fort numérique chiffré en ligne qui doit permettre de protéger vos documents confidentiels et d’en organiser la ventilation en cas de décès ou d’incapacité. Seuls les bénéficiaires désignés auront accès au dossier choisi au moment opportun.

Deux solutions sont proposées, un gratuite et un espace de stockage de 100M ; et une payante (40€ l’année). Cette version assure la transmission des données aux bénéficiaires choisis par le souscripteur.

La question est de savoir maintenant comment les bénéficiaires connaitront l’existence de MemoCloud. Autre point, vous avez 20/30/40 ans aujourd’hui, et que dans 40 ans vous décédez, Memocloud existera-t-il encore ?

Bitcoin, Cybersécurité

Hack : suivre le cours du Bitcoin sur un écran LCD

Voilà un hack fort sympathique signé par Julien, webmasteur du site SecureMyData. L’idée, suivre les cours du Bitcoin avec un écran LCD. A partir d’un Raspberry Pi et un petit écran LCD, il suffit de récupérer le cours du bitcoin via une API. Un cours qui sera affiché sur un écran LCD. Il suffit d’actualiser cette valeur chaque minute. Compliqué ? Vous allez découvrir que ce hack est d’une simplicité biblique. Pour ceux qui veulent bidouiller un peu, l’idée est vraiment sympa.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Securite informatique

Données personnelles : L’Europe et les États-Unis dans des directions opposées

Depuis l’élection de Donald Trump à la tête des États-Unis, la confidentialité des données personnelles est au cœur des préoccupations des deux côtés de l’Atlantique. Et il semble que les États-Unis et l’Union Européenne aient des idées divergentes sur la direction à suivre.

Nous utilisons tous des outils numériques au quotidien. Souvent, sans même nous en rendre compte, nous échangeons nos données personnelles contre la gratuité des services. En effet, l’ensemble de nos activités sur le web et même l’utilisation d’objets connectés génèrent des données que collectent et monétisent de grandes entreprises. Lorsqu’il s’agit de simples recherches sur le Web ou de la visite de sites et réseaux sociaux, il est rare de se soucier des traces que nous laissons. Mais qu’en est-il lorsqu’il est question de dossiers médicaux, juridiques, ou financiers ? Ceux-ci relèvent non seulement de la vie privée mais plus encore, de l’intimité des individus. Le problème est que la frontière entre ce qui est public et ce qui doit rester privé est relativement flou.

Alors les dispositions mises en place favorisent-elles trop souvent les entreprises ? Les citoyens doivent-ils reprendre la main sur l’exploitation de leurs données ? Jusqu’où les entreprises peuvent-elles utiliser nos données ? Autant de question à soulever et que l’on retrouve en Europe comme aux USA. C’est l’UE qui a choisi de légiférer afin de protéger ses citoyens avec l’entrée en vigueur en mai prochain du Règlement Général sur la Protection des Données (RGPD), mais pas seulement. Un autre règlement de l’UE destiné à protéger les données personnelles lors de communications électroniques va s’appliquer.

Ce projet de loi est à l’opposé de l’ordonnance du président américain qui vient supprimer la nouvelle loi de protection des données privées qui devait s’appliquer d’ici la fin de l’année. Promulguée sous le mandat Obama, elle aurait obligé les fournisseurs d’accès à Internet (FAI) à recueillir clairement le consentement des utilisateurs pour partager des données personnelles. Cela concernait les informations telles que la géolocalisation, les informations financières, de santé, sur les enfants, les numéros de sécurité sociale, l’historique de navigation Web, de l’utilisation d’une application et le contenu des communications. En outre, les FAI se seraient vu contraints de permettre à leurs clients de refuser le partage d’informations moins sensibles, comme une adresse électronique par exemple.

Mais les conflits entre les États-Unis et l’UE portant sur la protection des données, ne reposent pas seulement sur cette ordonnance. Les actualités récentes autour de l’immigration ont quelque peu masqué une autre législation qui remet en cause l’avenir du Privacy Shield. Remplaçant de l’accord « Safe Harbor », Privacy Shields a été imaginé avec le RGPD à l’esprit, ce qui signifie que l’application de l’un sans l’autre rend illégal le traitement de données issues d’entreprises européennes par des entreprises américaines… avec par conséquent un impact important sur les services cloud.

Pour le Royaume-Uni, la situation se compliquera aussi en 2019 car, en quittant l’Union Européenne, il quittera également le Privacy Shield.

La protection de la vie privée est donc intrinsèquement liée aux données et les prestataires doivent pouvoir offrir des garanties à leurs clients. Le Privacy Shield par exemple, permet de chiffrer facilement et de déplacer les données et les charges de travail entre les fournisseurs de cloud. Cela donne une assurance face aux incertitudes actuelles qui touchent les entreprises de l’UE et des États-Unis. Dans le même temps, des acteurs comme Microsoft ou Amazon renforcent leurs capacités de stockage de données en Europe, pour faire face aux demandes éventuelles d’entreprises européennes à déplacer leurs données sur le Vieux Continent au cas où les choses resteraient floues ou empireraient.

Les informations personnelles font partie intégrante de l’activité moderne et l’on ne peut pas ignorer ce fait. LE RGPD va être le nouveau point de référence pour leur protection et le conflit entre ceux qui voudront protéger les données privées et les autres souhaitant les exploiter est bien parti pour durer ! (Par Philippe Decherat, Directeur Technique chez Commvault)

Communiqué de presse

PME : Comment maîtriser la cybersécurité de vos objets et systèmes connectés

Soutenu par la Direction Générale des Entreprises (DGE), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Institut de Recherche Technologique (IRT) Nanoelec, un guide est édité ayant pour objectif de présenter les bonnes pratiques à mettre en œuvre pour assurer la cybersécurité des produits et systèmes connectés.

Les avancées technologiques dans le monde de la microélectronique ont donné lieu à des systèmes embarqués de plus en plus intelligents, pouvant prendre des décisions critiques, et ce, tout en devenant de plus en plus connectés sur des réseaux ouverts sur le monde. La sécurité informatique devient indispensable dans cet environnement.

Pour tenir ses promesses et se déployer massivement, la vague des objets et systèmes connectés devra s’appuyer sur des systèmes sécurisés. Que cela soit par les autorités compétentes ou directement par les clients, la cybersécurité des objets ou systèmes connectés deviendra très rapidement un standard à adopter sous peine de se voir écarter du marché ciblé.

Grâce à la collaboration et aux témoignages d’une quinzaine de structures référentes, ce guide permettra aux entreprises de structurer leur démarche « cybersécurité » en se posant les bonnes questions. Elles pourront comprendre toutes les dimensions à considérer en matière de sécurité, avoir un panorama des solutions existantes et des différents référentiels normatifs et juridiques, et enfin, s’informer sur les partenaires utiles.

Il fournit plus particulièrement les clés de la stratégie à adopter sur les questions suivantes :

· Garantie de confidentialité : comment garantir le caractère confidentiel (voire privé) des données émanant de ces objets et transitant sur les réseaux de communication ?

· Garantie d’authenticité : pour le récepteur des données, comment être sûr de la non modification des données depuis l’appareil émetteur ?

· Garantie d’intégrité : comment garantir qu’un appareil reste dans une configuration contrôlée tout au long de son cycle de vie ?

· Comment communiquer sur les garanties offertes par ces systèmes pour obtenir la confiance des clients & utilisateurs ?

Télécharger le guide gratuit : http://www.captronic.fr/Sortie-du-guide-Cybersecurite-des-produits-connectes-a-destination-des-PME.html

Chiffrement, Cloud, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Sauvegarde, Securite informatique

Vidéosurveillance et Stockage : quel disque choisir ?

Lorsque se produit un événement de grande ampleur, les journalistes du monde entier se mettent en quête d’images de vidéosurveillance de l’incident, aussi isolé puisse-t-il paraître. Avec en moyenne une caméra pour vingt-neuf Terriens, il n’est donc guère surprenant qu’avec un peu de persévérance, un journaliste, un enquêteur, voire un simple particulier, finisse souvent par découvrir ces images. Selon une estimation, ce chiffre atteindrait même une caméra pour onze habitants sur des marchés développés tels que les États-Unis ou le Royaume-Uni. Un nombre aussi élevé de systèmes de vidéosurveillance actifs en permanence, génère une quantité gigantesque de données (brutes). Selon une étude de HIS Inc., en 2015, ce sont quelques 566 pétaoctets de données qui ont été produits en à peine une journée par toutes les caméras de surveillance nouvellement installées à travers le monde.

Avec l’accroissement de la demande de systèmes de vidéosurveillance, les clients rechercheront toujours les « meilleures » caractéristiques qui leur sont familières, à savoir les caméras et les logiciels de surveillance. Mais ils passeront peut-être à côté de l’aspect moins tangible – mais tout aussi important – du stockage des données collectées. De fait, bien que conçus pour l’enregistrement en continu de vidéo HD ou Full HD par des caméras multiples, de nombreux systèmes emploient encore des disques qui n’ont pas été spécifiquement testés pour les besoins particuliers des installations modernes de vidéosurveillance. Un disque optimisé pour des systèmes de vidéosurveillance doit pouvoir supporter la charge liée à ces systèmes afin de limiter les risques d’erreurs et de perte d’images. Un disque optimisé doit consommer un minimum d’énergie, donc dégager moins de chaleur et être moins sujet aux pannes. Une surchauffe pénalise les opérations de lecture-écriture dans un système de vidéosurveillance et réduit par ailleurs la durée de vie du disque. Si le coût d’un disque conçu pour des systèmes de vidéosurveillance peut s’avérer plus élevé au départ, celui-ci sera compensé par des gains de performances et une fiabilité accrue.

Un disque bureautique consomme en moyenne de 6 à 8 W tandis qu’un disque de vidéosurveillance, à l’instar du modèle WD Purple Surveillance, se contente de 3 à 5 W. La solution idéale de stockage pour ce type d’application doit tout à la fois offrir des niveaux élevés de performance, d’efficacité et de capacité pour des environnements difficiles. Mais comment faire la différence ?

Plusieurs critères spécifiques sont à examiner au moment de déterminer si un disque a été conçu dans l’optique de la vidéosurveillance :

* Fonctionnement en continu : un système de vidéosurveillance fonctionne souvent 24 heures sur 24, 7 jours sur 7. Le disque doit donc être conçu et testé pour des cycles d’écriture intensifs. En comparaison, un disque bureautique est typiquement prévu pour n’être actif que 8 heures sur 24 les jours ouvrés.

 Fiabilité des performances : certains disques, tels ceux de la gamme WD Purple Surveillance, intègrent une technologie spéciale (en l’occurrence AllFrame 4K™) qui contribue à améliorer les performances en lecture ainsi qu’à réduire les erreurs et les pertes d’images.  Capacité RAID : pour plus de sérénité, il est aussi préférable de rechercher un disque offrant une capacité RAID. Un système de ce type peut combiner deux disques durs ou plus pour assurer la redondance en cas de défaillance de l’un d’entre eux, de sorte que l’enregistrement puisse se poursuivre. Cela réduit les interruptions et les risques de perte de données.

* Faible consommation : si ce critère n’apparaît pas dans la liste des priorités concernant le choix d’un disque dur, la nécessité d’un fonctionnement en continu le rend crucial. Certains disques sont conçus dans un souci de basse consommation, ce qui est synonyme de plus grande fiabilité et d’économies.

* Prise en charge d’un grand nombre de caméras : un système NVR est conçu pour prendre en charge un nombre élevé de caméras IP et aura probablement besoin d’une plus grande capacité de stockage. La vidéo 4K consomme beaucoup plus d’espace disque que la définition standard, ce qui accroît considérablement la charge de travail et le volume d’écriture de données par seconde. Les disques de vidéosurveillance sont disponibles dans des capacités allant jusqu’à 10 téraoctets pour permettre une plus longue durée de conservation et un travail plus intensif.

* Prise en charge d’un grand nombre de baies système : à mesure que des disques durs sont ajoutés dans un système, les vibrations augmentent dans le châssis, ce qui est inévitable en raison de la rotation des plateaux. Un disque adapté doit intégrer une technologie destinée à compenser les vibrations afin de contribuer à en préserver les performances.

* Compatibilité étendue avec différents systèmes : des différences dans la conception interne du châssis et du logiciel peuvent créer des problèmes d’installation physique du disque dans une baie ou encore de reconnaissance de sa capacité complète. Il faut donc rechercher des disques compatibles avec son fabricant de systèmes DVR et NVR.

Compte tenu de l’importance du stockage dans les systèmes de vidéosurveillance, il peut aussi être utile de faire appel à un calculateur de capacité pour aider à déterminer le disque et la capacité les mieux adaptés à ses besoins.

A mesure que le nombre de caméras de vidéosurveillance continuera d’augmenter, il en ira de même pour la complexité des systèmes associés. Les installateurs doivent veiller à bien connaître les différentes options disponibles et à fournir les meilleurs conseils à leurs clients afin que ceux-ci bénéficient du niveau de fiabilité, de coût et de performances qu’ils attendent.

(Jermaine Campbell, Sales Manager North Europe, Western Digital, est spécialisé dans la gestion du marketing, la planification commerciale, les ventes, la gestion de la relation client (CRM) et la stratégie Go-to-Market.)

Communiqué de presse, Cybersécurité, loi, Mise à jour

Transparence et la loyauté des plateformes numériques.

Un commentaire

Bruno Le Maire, ministre de l’Economie et des Finances, et Mounir Mahjoubi, secrétaire d’État auprès du premier ministre chargé du Numérique renforcent la transparence et la loyauté des plateformes numériques.

A l’heure où les plateformes numériques sont devenues des acteurs déterminants de l’économie et jouent un rôle décisif dans les décisions que prennent les consommateurs, et au lendemain de la proposition portée par le Président de la République auprès de nos partenaires européens à Tallin le 29 septembre dernier de prendre une initiative européenne pour créer de la transparence sur le comportement des plateformes et inciter aux bonnes conduites, Bruno Le Maire et Mounir Mahjoubi ont signé trois décrets (voir ci-dessous), renforçant les obligations de transparence et de loyauté qu’elles doivent respecter.

Pris en application de la loi pour une République Numérique du 7 octobre 2016, ces décrets sont le fruit d’une large concertation au sein du conseil national de la consommation (CNC) ainsi qu’avec les représentants des entreprises des secteurs concernés.

D’ici à la fin de l’année 2017, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, tels que les moteurs de recherche, réseaux sociaux ou comparateurs, préciseront les critères de référencement et de classement qu’elles utilisent. Elles devront par exemple préciser dans quelle mesure le montant de leur rémunération entre en compte dans l’ordre de présentation des contenus.

Protéger les internautes

Alors qu’un internaute sur deux déclare consulter les avis en ligne avant un achat, les sites publiant des avis de consommateurs devront, de plus, préciser s’ils ont été vérifiés et, dans ce cas, de quelle manière cette vérification a été effectuée.

Par ailleurs, les places de marchés et sites d’économie collaborative devront fournir des informations essentielles qui peuvent orienter les choix des consommateurs et qui ne sont pas toujours facilement accessibles à ce jour : la qualité du vendeur (professionnel ou non), le montant des frais de mise en relation facturés par la plateforme, l’existence ou non d’un droit de rétraction, l’existence ou non d’une garantie légale de conformité ou encore les modalités de règlement des litiges.

Enfin , avant la fin de 2018, les plateformes les plus visitées, c’est-à-dire celles dont le nombre de connexions mensuelles est supérieur à 5 millions de visiteurs uniques, appliqueront des bonnes pratiques en matière de clarté, de transparence et de loyauté, qui devront être consultables en ligne.

Transparence et la loyauté des plateformes numériques.

Bruno Le Maire précise que « Les plateformes jouent un rôle majeur dans l’économie numérique, et sont un point d’accès à de nombreux services en ligne pour tous les français. Ces décrets permettront aux consommateurs d’accéder à des informations claires, objectives et transparentes, pour renforcer la confiance en l’information présentée sur ces plateformes. L’objectif est de mieux équilibrer les relations entre plateformes et utilisateurs. »

Pour Mounir Mahjoubi, « ces textes incarnent à la fois la volonté du gouvernement français de mettre en place une meilleure régulation des plateformes, mais visent également à traduire, en termes concrets, la proposition présentée par le Président de la République à nos partenaires européens à Tallin le 29 septembre dernier : développer et porter une initiative européenne pour créer de la transparence sur le comportement des plateformes, car le numérique ne doit pas être régi par la loi du plus fort. La France assume ainsi pleinement l’ambition de faire de l’espace numérique un lieu où les principes d’équité et de loyauté sont respectés. »

Décret n° 2017-1434 du 29 septembre 2017 relatif aux obligations d’information des opérateurs de plateformes numériques https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720908&dateTexte=&categorieLien=id

Décret n° 2017-1435 du 29 septembre 2017 relatif à la fixation d’un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720925&dateTexte=&categorieLien=id

Décret n° 2017-1436 du 29 septembre 2017 relatif aux obligations d’information relatives aux avis en ligne de consommateurs https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720935&dateTexte=&categorieLien=id

Communiqué de presse, Cybersécurité, loi, Mise à jour, Patch, Securite informatique

Accompagnement de cybersécurité au profit des structures de santé

3 commentaires

Accompagnement de cybersécurité dans le monde de la santé ! Le ministère des Solidarités et de la Santé annonce la mise en place d’un dispositif national d’appui au profit des organismes concernés par la déclaration des incidents sur les systèmes d’information de santé : la Cellule Accompagnement Cybersecurite des Structures de Santé (Cellule ACSS).

Accompagnement de cybersécurité dans les établissement de santé ! La sécurité numérique est au cœur des préoccupations du ministère des affaires sociales et de la santé. L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : piratage, vols ou détournements de données, blocage des systèmes…

Au regard de l’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé, l’amélioration des actions de prévention et d’assistance portée devient prioritaire. La sécurité des systèmes d’information de santé permet que les données de santé soient disponibles, confidentielles, fiables, partagées et traçables. La protection des données de santé est indispensable pour assurer une meilleure coordination des soins et une prise en charge optimale des patients.

Un portail unique pour déclarer les incidents de sécurité à partir du 1er octobre 2017

A partir du 1er octobre 2017, les structures de santé concernées devront déclarer leurs incidents de sécurité via le portail de signalement des évènements sanitaires indésirables depuis l’espace dédié aux professionnels de santé : signalement.social-sante.gouv.fr

Celles-ci devront signaler toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de leurs systèmes d’information, une altération ou une perte de leurs données et plus généralement ayant un impact sur le fonctionnement normal de l’établissement.

Une cellule d’accompagnement de cybersécurité opérationnelle pour aider les structures de santé

Afin d’apporter un appui et un accompagnement aux organismes concernés par la déclaration de ces incidents, le ministère des solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’ASIP Santé, met en place un dispositif pour traiter les signalements d’incidents de sécurité de leurs systèmes d’information.

L’ASIP Santé est désignée comme le groupement d’intérêt public (GIP) en charge d’apporter un appui au traitement de ces incidents, au travers de la Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS), ouverte le 1er octobre 2017 et placée sous la responsabilité du Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) auprès du secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité (HFDS).

Les objectifs visés par ce dispositif d’accompagnement de cybersécurité vont permettre de :

  • renforcer l’analyse et le suivi des incidents pour le secteur santé ;
  • alerter et informer l’ensemble des acteurs de la sphère santé en cas de menaces ;
  • partager les bonnes pratiques sur les actions de prévention, ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.

Pour ce faire, un portail dédié à l’information et la veille sera également disponible à partir du 1er octobre 2017 à l’adresse suivante : https://www.cyberveille-sante.gouv.fr

Ce portail informera sur l’actualité SSI (Sécurité des Systèmes d’information), les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Il présentera des bulletins de veille sur certaines vulnérabilités logicielles critiques ou des menaces sectorielles, des fiches réflexes et des guides pour répondre à différents types d’incidents. Ce portail mettra également à disposition de la communauté SSI en santé un espace privé pour le partage entre spécialistes de la cybersécurité.

Ce nouveau dispositif national découle de l’article 110 de la loi de santé 2016 qui prévoit, pour les établissements de santé, les hôpitaux des armées, les centres de radiothérapie ainsi que les laboratoires de biologie médicale, l’obligation de signalement des incidents de sécurité de leurs systèmes d’information à compter du 1er octobre 2017.

Chiffrement, Communiqué de presse, Cybersécurité, Justice, loi, Securite informatique

Admission Post-bac (APB) : mise en demeure pour plusieurs manquements

Un commentaire

La Présidente de la CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Mise en demeure ! En 2016, la CNIL a été saisie d’une plainte à l’encontre du traitement « Admission Post-Bac » (APB) dont l’objet est le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat.

La Présidente de la CNIL a décidé en mars 2017 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi « Informatique et Libertés ». Les investigations menées ont révélé plusieurs manquements aux règles gouvernant la protection des données personnelles.

  • S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
  • L’information des candidats sur le portail APB est insuffisante, au regard des exigences de l’article 32 de la loi Informatique et Libertés, s’agissant notamment de l’identité du responsable de traitement, de la finalité du traitement et des droits des personnes.
  • La procédure de droit d’accès ne permet pas aux personnes d’obtenir des informations précises relatives à l’algorithme et à son fonctionnement, notamment la logique qui sous-tend le traitement APB ou le score obtenu par le candidat. En effet, l’article 39 de la loi Informatique et Libertés stipule que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

La CNIL ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations. Cependant, compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine et devait s’accompagner d’une information transparente des personnes.

En conséquence, la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’enseignement supérieur, de la recherche et de l’innovation de se mettre en conformité avec la loi  dans un délai de trois mois. La réforme récemment annoncée du dispositif APB devra donc s’inscrire dans l’objectif d’un strict respect, conformément à cette mise en demeure, de la loi Informatique et Libertés.

Il a été décidé par ailleurs de rendre publique cette mise en demeure compte tenu du nombre important de personnes concernées par ce traitement (853 262 élèves de terminale et étudiants ont formulé au moins un vœu d’orientation sur le site Web APB en 2017 selon le ministère) et de l’impact de celui-ci sur leurs parcours.

Elle rappelle en outre que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction.

Antivirus, backdoor, Cybersécurité, Logiciels, Piratage, ransomware, Securite informatique

10 mythes et idées reçues à oublier au sujet des malwares

Les malwares font « jazzer » comme le disent nos amis Quebecois. Mais au fait, c’est quoi un malware ? Envie d’avoir quelques conseils afin de pouvoir faire la différence entre un Blue Screen of Death causé par un matériel défectueux et un vrai malware infectant vos équipements ? iTrust revient  sur quelques points qui vous y aideront, en décryptant les idées reçues et mythes qui gravitent autour des malwares depuis quelques années.

  • Mythe #1: Les cyberattaques sont récentes, peu nombreuses, massives et font toujours la une de l’actualité

Vous avez sûrement déjà entendu parler des cyberattaques causées par Petya, Wannacry ou plus récemment des incidents de sécurité informatique connus par Equifax. En seulement un an, ces cyberattaques massives ont fait des millions de victimes à travers le monde (notamment au sein de grandes entreprises), faisant les gros titres de l’actualité.

Cependant, si nous n’entendons pas parler d’autres attaques, cela ne signifie pas forcément qu’elles n’existent pas : des millions de tentatives (ou réussites) de piratage informatique visent les petites, moyennes et grandes entreprises au quotidien, utilisant des procédés qui passent du petit malware encodeur au vicieux malware effaceur.

Aussi, il est souvent dit que chaque cyberattaque menée est unique en son genre et qu’elle est composée d’une manière complexe et différente à chaque fois : s’il est vrai que ces attaques sont de plus en plus sophistiquées, il est à souligner que la plupart sont basées sur les mêmes procédés et changent peu dans leur composition.

  • Mythe #2: Les petites et moyennes entreprises ne sont pas une cible de choix pour les hackers  

Vous pensez que votre entreprise est bien trop petite pour attirer l’attention des hackers ? Grosse erreur.

Même si vous ne constituez pas la cible la plus lucrative aux yeux des hackers, votre entreprise n’en reste pas moins une cible de choix : elle constitue pour eux une cible facile à atteindre en peu de temps.  En effet, les petites et moyennes entreprises ont souvent des mesures de sécurité moins développées (voire inexistantes), qui permettent ainsi aux hackers de récupérer plus facilement nombre de données.

  • Mythe #3: Vous saurez immédiatement si votre ordinateur est infecté

Si certains types de malwares sont visibles au premier coup d’œil (comme par exemple les rançongiciels, qui bloquent tout accès à votre équipement ou encore certains malwares ralentissant de manière visible le fonctionnement de votre ordinateur), la plupart d’entre eux fonctionnent sans même que vous vous en rendiez compte, restant cachés au sein de vos équipements parfois durant des années.

La seule façon de vraiment savoir si votre ordinateur est infecté est de dépasser le stade d’une protection minimale de vos appareils en utilisant des solutions de cyber sécurité dynamiques, et non plus seulement statiques (type antivirus). En effet, les antivirus vous protègent seulement des attaques qu’ils ont déjà été recensées auparavant : mais qu’en est-il si un malware jusqu’alors inconnu s’infiltre dans vos équipements ? C’est alors que les solutions de sécurité informatique dites « dynamiques » entrent en jeu, sous la forme d’analyses de comportement utilisateurs. Pour en savoir plus, n’hésitez pas à lire notre article sur la détection d’analyses comportementales, ici.

D’autres mythes à découvrir sur le blog de iTrust.

Bitcoin, Communiqué de presse, Cybersécurité, Securite informatique

Les botnets mineurs infectent des milliers de PC et rapportent des centaines de milliers de dollars aux pirates

Mineurs de crypto monnaie ! L’équipe de recherche antimalware de Kaspersky Lab a identifié deux botnets composés d’ordinateurs infectés par un malware, qui installe en toute discrétion des « mineurs » de cryptomonnaie – des logiciels légitimes servant à la création (« minage ») de monnaies virtuelles au moyen de la technologie blockchain. Dans un cas, les chercheurs ont pu estimer qu’un réseau de 4 000 machines était susceptible de rapporter à ses exploitants jusqu’à 30 000 dollars par mois et, dans l’autre cas, ils ont vu des cybercriminels empocher plus de 200 000 dollars grâce à un botnet de 5000 PC.

Des mineurs dans votre ordinateur ! L’architecture du bitcoin et d’autres cryptomonnaies prévoit que, en dehors d’acheter de la cryptomonnaie un utilisateur peut créer une nouvelle unité monétaire (une « pièce ») en se servant de la puissance informatique de machines où sont installés des logiciels spécialisés, appelés des « mineurs ». Cependant, le concept des cryptomonnaies fait que plus le nombre de pièces produites est élevé, plus il faut de temps et de puissance informatique pour en créer une nouvelle.

Il y a plusieurs années de cela, un malware installant en toute discrétion des mineurs de bitcoin (exploitant les ordinateurs des victimes afin de créer de la monnaie virtuelle au profit de cybercriminels) était chose courante dans le paysage des menaces mais, plus le logiciel créait de bitcoins, plus il devenait difficile – voire, dans certains cas, inutile – d’en créer de nouveaux, de sorte que le gain financier potentiel à espérer d’un mineur de bitcoins ne couvrait pas l’investissement nécessaire à la création et à la distribution du malware, ainsi qu’à la maintenance de l’infrastructure sous-jacente.

La montée en flèche du cours du bitcoin a remis au goût du jour les attaques de mineurs sur des PC du monde entier.

Or, la montée en flèche du cours du bitcoin – la première et la plus connue des monnaies virtuelles – ces dernières années, à raison de plusieurs centaines de milliers de dollars l’unité, a déclenché une véritable « fièvre des cryptomonnaies » à travers le monde. Des centaines de groupes et de start-ups ont lancé leurs propres alternatives au bitcoin, dont bon nombre ont elles aussi pris une valeur élevée sur le marché en un laps de temps relativement court.

Ces évolutions sur le marché des cryptomonnaies n’ont pas manqué d’attirer l’attention des cybercriminels, qui se livrent désormais à des fraudes consistant à installer discrètement des mineurs sur des milliers de PC.

Une propagation par le biais de programmes publicitaires volontairement installés par les victimes

D’après les résultats d’une étude récente réalisée par les experts de Kaspersky Lab, les criminels qui se cachent derrière les botnets nouvellement découverts propagent les logiciels mineurs à l’aide de programmes publicitaires (adware), installés volontairement par les victimes. Une fois en place, l’adware télécharge un composant malveillant, qui installe le mineur mais effectue aussi certaines actions de sorte que ce dernier fonctionne le plus longtemps possible :

  • Tentative de désactivation des logiciels de sécurité ;
  • Surveillance de toutes les applications lancées et suspension de leur exécution si celles-ci sont destinées à surveiller les activités du système ou les processus en cours ;
  • Vérification de la présence constante d’une copie du logiciel mineur sur le disque dur et restauration de celle-ci si elle a été supprimée.

Aussitôt créées, les premières pièces sont transférées dans des porte-monnaie appartenant aux cybercriminels, laissant les victimes avec un ordinateur bizarrement ralenti et consommant un peu plus d’électricité que la normale. D’après les observations de Kaspersky Lab, la fraude tend à porter sur deux cryptomonnaies : Zcash et Monero. Celles-ci ont probablement été choisies car elles offrent un moyen fiable de préserver l’anonymat des transactions et des détenteurs de porte-monnaie.

Des botnets qui peuvent rapporter jusqu’à 6000 dollars par semaine aux cybercriminels via des mineurs infiltrés.

Les premiers signes d’un retour des mineurs malveillants ont été repérés par Kaspersky Lab dès décembre 2016, lorsqu’un chercheur de la société a signalé au moins un millier d’ordinateurs infectés par un malware et contenant des mineurs Zcash, une cryptomonnaie lancée vers la fin d’octobre 2016. A cette époque, grâce à la montée rapide du cours de cette monnaie, ce botnet pouvait rapporter à ses exploitants jusqu’à 6000 dollars par semaine. L’émergence de nouveaux botnets mineurs a alors été prévue et les résultats d’études récentes ont confirmé cette prévision.

« Le principal problème des mineurs malveillants réside dans la difficulté de détecter leur activité avec fiabilité, car le malware emploie un logiciel tout à fait légitime qui, en temps normal, aurait pu avoir été installé par un utilisateur de bonne foi. Un autre aspect alarmant, identifié durant l’observation de ces deux nouveaux botnets, est que les mineurs malveillants prennent eux-mêmes de la valeur au marché noir. Nous avons vu des criminels proposer des générateurs de mineurs, c’est-à-dire des logiciels permettant à tout un chacun, en payant pour obtenir la version complète, de créer son propre botnet mineur. Cela signifie que les botnets que nous avons repérés récemment ne sont certainement pas les derniers », commente Evgeny Lopatin, analyste en malware chez Kaspersky Lab.

Un nombre de victimes en perpétuelle augmentation

D’une manière générale, le nombre d’utilisateurs ayant eu affaire à des mineurs de cryptomonnaie a augmenté considérablement ces dernières années. En 2013, par exemple, les produits de Kaspersky Lab ont protégé à travers le monde environ 205 000 utilisateurs ciblés par ce type de menace. En 2014, ce nombre est passé à 701 000 et il a atteint 1,65 million au cours des huit premiers mois de 2017.

Afin d’éviter de voir leur ordinateur transformé en zombie consommant de l’électricité au profit de criminels, les chercheurs de Kaspersky Lab conseillent aux utilisateurs de prendre les précautions suivantes :

  • N’installez pas sur votre PC de logiciels suspects provenant de sources non fiables.
  • La fonction de détection d’adware est peut-être désactivée par défaut dans votre solution de sécurité. Prenez soin de l’activer.
  • Faites appel à une solution éprouvée de cybersécurité afin de protéger votre environnement numérique contre toutes les menaces possibles, y compris les mineurs malveillants.
  • Si vous exploitez un serveur, veillez à le protéger avec une solution de sécurité car les serveurs constituent des cibles lucratives pour les criminels en raison de leur puissance informatique élevée (comparée à un PC moyen).

Pour en savoir plus sur les botnets mineurs malveillants nouvellement découverts, rendez-vous sur Securelist.com

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile