Archives de catégorie : Justice

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, RGPD, Sauvegarde, Securite informatique

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

BYOD, Chiffrement, Cybersécurité, Entreprise, Fuite de données, IOT, Justice, loi, Patch, Securite informatique

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)

Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données dans le cadre du réglement général sur la protection des données (RGPD), la CNIL met à disposition un logiciel PIA. Adopté en mai 2016, le RGPD entre en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA) est un outil important pour la responsabilisation des organismes. Cette bonne pratique fortement recommandée, et obligatoire dans certains cas. Construire des traitements de données respectueux de la vie privée. Démontrer leur conformité au règlement général sur la protection des données (RGPD).

Pour les accompagner dans cette démarche, la CNIL met à disposition un logiciel libre PIA. Cet outil ergonomique déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. L’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29. Le groupe des « CNIL européennes » les a adopté en octobre 2017. Des directions qui permettent aux professionnels de se familiariser à la méthode PIA. Bref, être prêt en mai 2018.

L’outil PIA offre plusieurs fonctionnalités pour mener à bien son PIA. Une base de connaissances contextuelle reposant sur le texte du RGDP. Des guides PIA. Un Guide sécurité publiés par la CNIL.

Lors de l’avancée de l’analyse, la base présente les contenus les plus pertinents ; des outils de visualisation permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. Actuellement présenté dans sa « version beta », des améliorations et enrichissements pourront être apportés au logiciel en fonction des retours utilisateurs.

Publié sous licence libre, vous pouvez développer de nouvelles fonctionnalités répondant à vos besoins spécifiques et les partager par la suite avec la communauté. La CNIL proposera une version finalisée en 2018, avant l’entrée en application du règlement.

Assurance cyber sécurité, Banque, Communiqué de presse, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle, Securite informatique

Assurance : Euler Hermes lance EH Fraud Reflex

La première assurance fraude globale et 100% digitale des petites entreprises.

Face à un risque de fraude croissant et protéiforme, Euler Hermes affirme à nouveau sa volonté d’accompagner les entreprises dans la prévention des risques et la protection de leur trésorerie. Le leader européen de l’assurance fraude lance une nouvelle solution complète et totalement dématérialisée à destination des petites entreprises[1], EH Fraud Reflex.

Entre persistance de la fraude par usurpation d’identité et explosion du nombre de cyber attaques, le risque de fraude se diversifie, s’intensifie, et évolue vers plus de sophistication. D’après l’étude menée en 2017 par Euler Hermes et la DFCG[2], 8 entreprises sur 10 ont été victimes d’au moins une tentative de fraude l’an passé, et 1 entreprise sur 5 a subi au moins une fraude avérée sur la même période.

« Les petites entreprises semblent les plus exposées au risque de fraude, car leur budget alloué à la protection des données et au renforcement des process est limité. De plus, la moindre perte peut s’avérer désastreuse pour leur trésorerie. Selon notre enquête, 10% des sociétés attaquées l’an passé auraient subi une perte supérieure à 100 000 €. Un montant conséquent qui mettrait en danger la viabilité de beaucoup de petites entreprises », analyse Sébastien Hager, Expert fraude chez Euler Hermes France.

Efficacité, simplicité et personnalisation

Afin d’aider les petites entreprises à protéger leur activité, Euler Hermes propose une nouvelle solution d’assurance fraude globale et 100% digitale. EH Fraud Reflex les protège contre la cyberfraude, la fraude externe et la fraude interne, avec une couverture des pertes directes et de certains frais consécutifs (atteinte au système de téléphonie, décryptage du ransomware, restauration et/ou décontamination des données). La couverture, la franchise et la durée sont personnalisées selon le profil de l’entreprise et modulables.

Le parcours de souscription, entièrement dématérialisé, s’effectue sur une plateforme internet dédiée : de la qualification du besoin à la définition des paramètres du contrat, avec une possibilité de signature électronique une fois les options et le tarif sélectionnés, EH Fraud Reflex propose une expérience digitale optimisée, intuitive et rapide. De plus, l’outil allie à la fois prévention et protection : plusieurs questions sont posées à l’entreprise afin de l’aider à identifier ses mesures de prévention face au risque de fraude, et à définir précisément son besoin de couverture.

« Finalement, EH Fraud Reflex pourrait se résumer en trois mots : efficacité, puisqu’elle protège contre tous les types de fraude à moindre coût (à partir de 75€ HT par mois) ; simplicité, puisqu’on peut y souscrire en ligne, en quelques clics et sans audit préalable ; personnalisation, puisqu’elle s’adapte aux besoins de l’entreprise », résume Sébastien Hager.

De nouveaux risques qui nécessitent de nouvelles défenses

Pour Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France, la dématérialisation de l’assurance répond parfaitement à l’évolution des attentes des petites entreprises. « Le progrès technologique permet aux pirates de se réinventer en permanence, d’où l’apparition récurrente de nouveaux risques pesant sur la trésorerie et la rentabilité des petites entreprises. Dans ce contexte, ces dernières recherchent avant tout de la flexibilité, de la simplicité et de l’immédiateté dans les outils qu’elles utilisent pour se défendre. L’assurance 100% digitale réunit l’ensemble de ces critères, et EH Fraud Reflex relève de cette philosophie. La commercialisation de cette nouvelle solution d’assurance fraude est une étape supplémentaire dans notre accélération digitale, et appelle à d’autres innovations dans la façon de protéger les actifs des sociétés. C’est un virage primordial pour accompagner au mieux les petites entreprises dans leur prévention, leur protection et leur développement. »

[1] Entreprises dont le chiffre d’affaires est inférieur à 10 millions d’euros
[2] Enquête menée en avril 2017 auprès de 200 entreprises. Toutes les tailles d’entreprises et tous les secteurs sont représentés

Chiffrement, Communiqué de presse, cryptage, Justice, loi, RGPD, Securite informatique

RGPD : choisir entre l’anonymisation ou la pseudonymisation des données personnelles

Un commentaire

Anonymisation ou pseudonymisation ? Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l’augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d’identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens.

Anonymisation ou pseudonymisation ? Deux grandes techniques très distinctes mises en avant dans la réglementation RGPD / RDPG mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l’anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s’assurer d’être bien préparé et de protéger correctement les données des citoyens.

Data anonymization (anonymisation) ou comment anonymiser l’information

La technique de l’anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles. Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la « ré-identification » des personnes quasi impossible, même après traitement.

Cette méthode, intéressante au départ, reste pourtant difficile à mettre en œuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d’achats en ligne. Par exemple, si une entreprise garde les données de l’employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l’humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L’entreprise saura par exemple que Sophie se rend sur le même site d’information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier.

Or, la CNIL rappelle que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Pour de nombreuses entreprises donc, l’anonymisation totale des données personnelles reste difficile à mettre en œuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation.

La pseudonymisation ou l’anonymisation des données

La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un « entre deux » qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s’agit d’une technique d’amélioration de la vie privée où les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant.

L’unique point faible de la pseudonymisation est qu’elle génère une clé d’identification, une pièce maîtresse qui permet d’établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d’identification doivent être stockées avec un contrôle d’accès performant. En effet, une clé d’identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L’utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l’entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées.

Les entreprises ont le choix entre les techniques d’anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l’anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne. (Jan Smets, pre-sales manager chez Gemaltode)

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Justice, loi, Securite informatique, Tor

Le cabinet d’avocats Desmarais en direct dans le Dark Web

Dark Web, deux mots qui font fantasmer… et renvoient souvent aux hackers, crackers et autres pirates informatiques. Un espace qui pourtant n’est pas à négliger. Le cabinet d’avocats Desmarais vient d’y implanter un espace numérique.

Ce Dark Web, appelé officiellement « Internet Clandestin » par la Commission d’Enrichissement de la Langue Française n’est pas une zone de non droit pour Pierre Desmarais du Cabinet Desmarais Avocats. « Le Dark Web est d’abord et avant tout un espace chiffré permettant des échanges et des connexions sécurisées et plus anonymes. Comme sur tout espace public, le droit y a pleinement sa place ».

De l’autre côté du miroir

En amont de l’ouverture du Hackfest de Québec et à l’occasion du lancement de son nouveau site Internet (www.desmarais-avocats.fr), le Cabinet, spécialisé notamment en droit de l’innovation, des données et du numérique, a décidé de se présenter également sur TOR (The Onion Router) via l’adresse pxpalw3plncz4umm.onion (Uniquement via TOR).

« Aujourd’hui, c’est une simple transposition de note site classique. Demain, nous irons plus loin. En effet, les utilisateurs du Dark Web, de TOR, se posent de nombreuses questions sur l’usage crypté / anonymisé permis pour cet espace. C’est pourquoi nous allons rapidement leurs proposer une FAQ sur les points principaux » précise Mr Pierre Desmarais.

De plus, et pour aller encore plus loin, le cabinet Desmarais Avocats envisage déjà de réaliser des webinars dédiés sur TOR. Pour construire ceux-ci et préparer la FAQ, chaque internaute présent sur le Dark Web et s’interrogeant sur une question juridique liée à son usage est invité à transmettre celle-ci via le formulaire de contact présent sur le site.

Dark Web, un nouvel espace de sécurité pour les usagers et les entreprises

À l’heure où la sécurisation des données, leur anonymisation sont au centre de tous les débats, aussi bien dans le monde de la santé, du e-commerce, de la banque-assurance ou de l’information, le Dark Web est de plus en plus porteur de solutions.

OpenBazzar est un exemple révélateur de cette évolution, de ces nouveaux usages issus du Dark Web. Non seulement cette plateforme de e-commerce permet de limiter le prix de biens vendus (absence de commission, chaque utilisateur ou entreprise étant sa propre plateforme de e-commerce) mais elle permet également de rester maître de ses données personnelles, de ses habitudes d’achat qui ne sont transmises à personne.

« Les technologies blockchain, dont on parle de plus en plus et dont les usages commencent à émerger pour sécuriser des transactions financières, des échanges de données…, sont nées du Dark Web » indique Mr Pierre Desmarais avant de poursuivre « Il est nécessaire de s’immerger dans cet espace si l’on souhaite accompagner au mieux les usages. Cela fait partie de l’ADN du cabinet ».

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

Les entreprises françaises trop sûres d’elles face au RGPD

Un commentaire

Règlement européen sur la protection des données (RGPD) : Les entreprises françaises seraient-elles trop confiantes vis à vis de leur conformité réglementaire ?

A moins de 8 mois de l’entrée en vigueur du RGPD, le Règlement Général sur la Protection des Données  le 25 mai 2018, Trend Micro a souhaité vérifier si les entreprises étaient bien préparées. Pour ce faire, l’éditeur a conduit une étude internationale auprès de 1 000 cadres dirigeants à travers une dizaine de pays, dont la France.

Les entreprises françaises : vraiment prêtes ?

98 % des entreprises françaises savent qu’elles doivent se conformer au RGPD et 92 % des cadres dirigeants affirment avoir déjà pris connaissance des dispositions légales s’y rapportant, conscients de l’importance de la règlementation. De même, la moitié d’entre eux connait le montant des pénalités financières en cas de non-conformité, démontrant une certaine avance en comparaison d’autres pays tels que le Royaume-Unis où seuls 27 % des dirigeants sont conscients que leur entreprise encourt une amende équivalente à 4 % du chiffre d’affaires.

Cependant, les entreprises ne semblent ni aussi préparées ni aussi protégées qu’elles le prétendent. En effet, une certaine confusion demeure quant à la nature exacte des données personnelles à protéger. L’étude démontre par exemple que les cadres dirigeants français sont encore nombreux à ignorer que sont considérées comme des données personnelles : la date de naissance d’un client (67 %), les bases de données marketing contenant des mails (33 %), les adresses postales (27 %) ou encore les adresses électroniques (21 %).

La bonne compréhension des principes généraux du RGPD s’accompagne donc d’un certain excès de confiance puisque près de 8 entreprises françaises sur 10 (79 %) affirme pourtant que leurs données sont totalement sécurisées (89 % aux États-Unis). Une majorité d’entre elles (33 %) estime d’ailleurs n’avoir besoin que de 7 à 12 mois pour se mettre en conformité.

Mise en conformité : quelles étapes, quels obstacles ?

Les étapes considérées comme prioritaires par les entreprises françaises pour se conformer à la règlementation sont l’augmentation de la police d’assurance en cas de faille (60 %) et l’embauche d’une tierce personne en charge de la conformité (58 %). Sur ce sujet, on constate une divergence entre les pays : en Allemagne (64 %), aux Etats-Unis (63 %) et au Royaume-Uni (58 %), investir davantage pour sécuriser le SI reste en effet la première priorité.

Trend Micro s’est également attaché à mettre en lumière les principaux freins liés à la mise en conformité. Ainsi parmi les personnes sondées, le manque de processus clairs et d’informations liées à l’appartenance des données (34 %) et les ressources financières nécessaires (32 %) sont perçus comme les principaux obstacles.

Les entreprises françaises : suffisamment transparentes vis-à-vis de leurs clients ?

Selon l’étude, 97 % des entreprises françaises déclarent avoir d’ores et déjà mis en place un processus permettant de prévenir les autorités en charge de l’application du RGPD dans les 72 heures suivant la détection d’une faille de données. Cependant, 27 % admettent ne pas prévenir leurs clients suite à une fuite de données… un point sur lequel d’autres pays font preuve de davantage de transparence, puisque 13% des organisations américaines et 14% des entreprises anglaises déclarent ne pas avertir leurs clients. En France, ce manque de rigueur est largement décrié par les clients qui, à 81 %, demandent plus de transparence sur la protection et l’utilisation de leurs données.

Quant aux conséquences, 43 % des cadres dirigeants estiment qu’une faille de données survenant après l’entrée en vigueur du RGPD aurait un impact négatif sur la fidélité de leurs clients, tandis que 30 % d’entre eux considèrent que l’impact serait davantage d’ordre financier.

L’appartenance des données est quant à elle une question encore relativement floue pour les entreprises françaises. En effet, en cas de fuite de données européennes détenues par un prestataire de services américain, 57 % pensent que la responsabilité revient au propriétaire des données en Europe et 25 % au prestataire de services basé aux Etats-Unis. La tendance varie aux Etats-Unis, 43 % des sondés considérant que la faute incombe au prestataire de services et 42 % au propriétaire des données.

Mise en place du RGPD : mais qui est responsable au sein de l’entreprise ?

En France, 46 % des personnes interrogées tiennent le RSSI pour responsable de la mise en conformité, tandis que cette tâche revient à l’ensemble de l’entreprise aux yeux des entreprises allemandes (40%), anglaises (37 %) et américaines (38 %). « Si cette étude illustre bien la prise de conscience et le chemin parcouru, elle confirme cependant que le processus de mise en conformité ne doit pas être pris à la légère », commente Loïc Guézo, Stratégiste CyberSécurité Europe du Sud, Trend Micro. « En effet, les entreprises se doivent de mettre en place des solutions de protection des données efficaces pour éviter d’exposer leur réputation et ne pas mettre en péril la relation de confiance construite avec leurs clients ».

Communiqué de presse, Cybersécurité, Justice, loi, RGPD, Securite informatique

RGPD : étude sur la préparation et la mise en conformité

A moins de 8 mois de l’entrée en vigueur du Règlement Général sur le Protection des Données (RGPD), F-Secure dévoile les chiffres français de son étude, réalisée avec le panel Toluna, consacrée au niveau de maturité des entreprises européennes, tous secteurs confondus.

L’étude révèle le manque de sensibilisation des professionnels interrogés aux nouvelles exigences qui vont leur être imposées ou encore aux moyens de s’y préparer, puisque seulement 37 % d’entre eux se sentent totalement familiers avec le RGPD et les implications pour l’organisation. Malgré tout, 88,9 % ont confiance sur le fait que leur entreprise soit préparée à la mise en conformité, et 44,7 % estiment être parfaitement conformes à ce jour. Un grand nombre de professionnels se sent donc prêt sans pour autant maîtriser l’ensemble du règlement. Le principal frein étant selon eux le manque de personnel qualifié (21,7%), disposant des compétences clés. Viennent ensuite le manque de budget (20,3%) et le manque de compréhension face aux enjeux et à l’urgence de la situation (14,3 %).
[EtudeRGPD4.PNG]

Le règlement conforte le rôle du Data Protection Officer (DPO), anciennement appelé Correspondant Informatiques et Liberté (CIL), obligatoire pour les organismes publiques et les organismes privés collectant des données dites sensibles ou personnelles à grande échelle. Son rôle sera de veiller au respect de la nouvelle réglementation européenne. Plus de la moitié des entreprises (53,8 % des répondants) identifient un DPO dans leur organisation, ce qui confirme la prise de conscience du sujet.

Sur la question de la responsabilité, le DSI est au centre du jeu : 45,7 % des professionnels interrogés estiment que la mise en conformité doit être assurée par le département IT/Sécurité et ils sont 69,7% à le considérer comme responsable en cas de fuite de données ou d’attaque. Concernant la participation, le département juridique n’est directement concerné que pour 30%, tout comme le département RH (30,3%). La direction générale est quant à elle considérée comme participant à la mise en conformité pour 23,3% des personnes interrogées.

L’étude nous révèle un fait étonnant : alors que les services marketing vont devoir mettre à jour les politiques de confidentialité de leurs sites internet, s’assurer de la bonne gestion du consentement utilisateur mais aussi interroger leurs prestataires de services (marketing automatisé, gestion de la relation client), ils ne sont pas perçus comme des participants impliqués dans la mise en conformité (8%).

Le RGPD implique une vigilance accrue au niveau des cyber attaques et la mise en place d’un plan d’action. L’étude révèle à ce sujet un retour plutôt optimiste de la part des professionnels concernant la capacité de réaction et de réponse des organisations face à ce type d’incident, puisque 78,9 % sont convaincus que leur organisation est capable de détecter une intrusion, et 69,7 % pensent que cette dernière dispose d’un plan de réponse fonctionnel en cas d’intrusion. 46,6% pensent que leur organisation a détecté entre 1 et 5 attaques les 12 derniers mois, un chiffre à mettre en relation au 26,3 % qui pensent n’avoir jamais subi d’attaques.

Le fait est que peu d’organisations ont mis en place des services ou solutions adaptés pour prévenir les fuites de données et répondre en cas d’incidents. Un constat que l’on retrouve à travers l’étude puisque seulement 18,1 % des profils interrogés ont mis en place un outil de gestion des évènements et des informations de sécurité (SIEM), 20,1 % un outil de gestion des vulnérabilités, 22,1 % un outil de gestion des correctifs, et près de 28% un service de réponse à incident.

« Avec la médiatisation d’attaques de grande ampleur telles que WannaCry et le RGPD, dont la date de mise en application se rapproche à grand pas, 2017 marque l’année de la prise de conscience pour les entreprises.», déclare Olivier Quiniou, Head of Corporate Sales, France, UK, Irlande et BeNeLux chez F-Secure. « Qu’il s’agisse d’attaques ciblées ou de masse, ce sont toutes les entreprises et organisations qui sont aujourd’hui concernées. La différence se situe dans la prise de conscience de ces dernières : il y a celles qui savent qu’elles ont été attaquées et celles qui ne le savent pas. C’est le constat dressé par notre étude européenne. 2018 doit être pour les entreprises l’année de l’action ».

Chiffrement, cryptage, Cybersécurité, Justice, loi, RGPD, Securite informatique

RGPD : Comment les entreprises réagissent face au cadre réglementaire lié à la protection des données ?

A la lumière des récentes attaques et de l’évolution du paysage réglementaire en matière de protection des données, McAfee publie un nouveau rapport intitulé : ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ qui met en évidence l’approche des entreprises en matière de localisation, de gestion et de protection desdites données.

Comment les entreprises appréhendent-elles, au niveau mondial, la dizaine de réglementations (11) relatives à la sécurité des données, dont fait partie le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne ? A compter du 25 mai 2018, ce texte renforcera et simplifiera les lois protégeant les données personnelles pour plus de 500 millions d’Européens.

« Aujourd’hui, les entreprises ont pris conscience que des réglementations plus strictes envers la protection des données profitent aussi bien à leurs résultats qu’aux consommateurs. Cependant, plusieurs ont des obstacles à surmonter à court terme pour se conformer à aux prochaines législations en vigueur. C’est notamment le cas pour la réduction du temps nécessaire au signalement d’un vol de données induit par le RGPD, par exemple« , commente Raj Samani, Chief Scientist – McAfee.

Les principaux enseignements du rapport ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ de McAfee portent sur :

La délocalisation du lieu de stockage des données. Près de la moitié (48 %) des entreprises migreront leurs données vers un nouvel emplacement en raison d’un cadre législatif jugé plus contraignant. Pour 70 % des décideurs interrogés, l’implémentation du RGPD permettra à l’Europe de s’affirmer comme un leader en termes de protection des données. Les États-Unis restent toutefois la destination de stockage de données la plus populaire au monde, plébiscitée par près de la moitié des répondants.

En comparaison, la plupart des entreprises sont incertaines de l’endroit où leurs données sont stockées. Seules 47% connaissent, en temps réel, leur emplacement.

Le potentiel commercial offert par la confidentialité. Trois-quarts des décideurs (74 %) estiment que les entreprises qui appliqueront à la lettre ces lois/règlements attireront davantage de nouveaux clients.

Les règlements et les mesures sont un frein à l’acquisition et à l’investissement technologiques. Environ deux tiers des répondants disent que le RGPD (66 %), les politiques américaines (63 %) et le Brexit (63 %) ont déjà ou auront une incidence sur les investissements de leur entreprise en matière d’acquisition technologique. La moitié (51 %) est convaincue que leur société est freinée dans sa modernisation en raison des réglementations externes inhérentes à la protection des données.

L’opinion publique est essentielle à la prise de décision en matière de données. Une grande majorité des entreprises (83 %) prend en compte le sentiment public en matière de confidentialité de la donnée avant de choisir leur emplacement de stockage.

Les entreprises mettent en moyenne 11 jours à signaler une faille de sécurité (vol de données, intrusion, etc.).

Les fournisseurs de services Cloud inspirent confiance. Huit sociétés sur dix prévoient, au moins en partie, de s’appuyer sur leur fournisseur de services Cloud pour les accompagner dans leur mise en conformité en matière de protection des données.

Seulement 2 % des managers comprennent véritablement les lois qui s’appliquent à leur entreprise, bien que la majorité des répondants (54 %) est persuadée que leur Direction a une « compréhension complète » des règles inhérentes à la protection des données.

Le rapport révèle, dans son ensemble, des convictions opposées quant aux réglementations relatives à la protection des données. D’un côté, les événements mondiaux (cyber et généraux) et le renforcement des politiques de protection des données font réfléchir les décideurs au moment d’investir technologiquement. De l’autre, la plupart des entreprises cherchent à stocker ces mêmes données dans les pays ayant les politiques de protection les plus strictes. « De toute évidence, les lois en matière de conformité, aussi contraignantes soient-elles, sont bénéfiques, tant pour les clients que pour la rentabilité d’une entreprise. A l’avenir, une sensibilisation et une compréhension accrues des données devraient conduire à une meilleure utilisation et à une meilleure protection », ajoute Fabien Rech, Directeur Régional McAfee France.

Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, loi, RGPD, Securite informatique

Les RSSI craignent les failles de sécurité dans le cloud public

Selon une récente étude, les RSSI craignent les failles de sécurité dans le cloud public, mais seule une entreprise sur six chiffre toutes ses données.

Selon une récente étude publiée par la société Bitdefender, neuf professionnels de l’informatique sur dix se disent inquiets de la sécurité dans le cloud public, et près de 20 % d’entre eux n’ont pas déployé de système de sécurité pour les données sensibles stockées hors de l’infrastructure de l’entreprise. La moitié des personnes interrogées admet que la migration vers le cloud a significativement élargi le nombre de points qu’ils ont à défendre, tandis que seule une sur six chiffre les données déjà migrées. Cette enquête a été menée auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters ; aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne.

Parmi les nouvelles exigences, l’obligation de protéger correctement les données, et en cas de violation, l’obligation pour les entreprises d’avoir en place des systèmes de notification conformes aux critères de la RGPD. L’adoption grandissante du cloud hybride – un mélange de services de cloud public et de datacenters privés, déjà en place dans 70 % des entreprises dans le monde – donne naissance à de nouveaux défis en matière de sécurité et oblige les RSSI à adopter diverses technologies pour contrer les exploits de type Zero-day, les menaces persistantes avancées et autres types de cybercrimes dévastateurs.

Qui dit cloud hybride dit problèmes hybrides
Près de 81 % des RSSI estiment que les logiciels de sécurité sont le dispositif de sécurité le plus efficace pour protéger les données stockées dans le cloud public, suivi de près par le chiffrement (mentionné par 77 % des répondants) et les sauvegardes (jugées fiables par près de la moitié des personnes interrogées).

Selon cette enquête, un grand nombre d’entreprises françaises – quatre sur dix – protègent de 31 à 60 % des données stockées dans le cloud public, tandis que seules 17 % d’entre elles chiffrent l’intégralité de celles-ci. Autre sujet d’inquiétude : 19 % des RSSI ne déploient pas de sécurité dans le cloud public, et le même pourcentage ne chiffre pas les données en transit entre leur propre datacenter et les datacenters externes.

Les spécialistes en cybersécurité de Bitdefender recommandent que tous les transferts de données entre le client et le prestataire de services cloud soient chiffrés pour éviter les attaques de type man-in-the-middle susceptibles d’intercepter et de déchiffrer toutes les données transmises. En outre, toutes les données stockées en local ou dans le cloud doivent être chiffrées pour empêcher les cybercriminels de les lire en cas de violation de données ou d’accès non autorisé.

Pour se conformer à la RGPD, les entreprises doivent identifier les données qui relèvent du règlement – « toute information se rapportant à une personne physique identifiée ou identifiable » –, consigner la manière dont ces données sont protégées et définir des plans d’intervention en cas d’incident.

L’enquête montre également que 73 % des responsables informatiques utilisent une solution de sécurité pour endpoint afin de protéger les infrastructures physiques et virtuelles, mais que 24 % ont mis en place d’autres outils. Parmi ceux-ci, 77 % l’ont fait pour protéger des clients sensibles et des données de clients, 70 % citent la conformité aux exigences internes et réglementaires, et 45 % veulent empêcher les interruptions de service suite à une attaque.

Une sécurité sur mesure face aux cyberarmes les plus élaborées
Les spécialistes Bitdefender conseillent fortement aux RSSI d’utiliser une infrastructure de sécurité centralisée, à la fois pour les environnements physiques et virtuels, mais étant capable de s’adapter à l’environnement sur lequel elle est déployée, et ce pour éviter trois inconvénients majeurs :

– L’augmentation des coûts généraux : l’installation d’une solution pour endpoint sur plusieurs machines virtuelles hébergées sur le même serveur impacte les ressources en exécutant en permanence des applications redondantes telles que les agents de sécurité.

– La réduction significative des performances : celle-ci sera inévitable si des outils de sécurité pour environnements virtualisés ne sont pas déployés. En effet ceux-ci utilisent des agents optimisés intégrés à des appliances virtuelles de sécurité sur le ou les serveurs, pour que les fichiers déjà analysés ne soient pas réanalysés à chaque fois qu’un utilisateur en a besoin.

– L’absence de protection lors du démarrage : les environnements virtuels ont souvent à faire face à des cyberarmes plus sophistiquées que celles observées pour les environnements physiques, telles que les menaces persistantes avancées ou les attaques ciblées, qui visent aussi bien les entreprises que les entités gouvernementales (exemple APT-28, et plus récemment Netrepser). En la matière, une sécurité adaptée aux environnements virtuels est de loin la solution la plus efficace pour détecter et combattre ces menaces complexes.

Ce qui est stocké dans le cloud public ne doit pas être rendu public

Les entreprises françaises sauvegardent principalement dans le cloud public des informations relatives à leurs produits (52 %), à leurs clients (44 %) et à leurs finances (45 %) et évitent de sauvegarder hors site ce qu’elles considèrent comme des données plus sensibles, telles que les recherches sur de nouveaux produits ou la concurrence (respectivement 40 % et 32 %) ou ce qui touche à la propriété intellectuelle (17 %). Elles chiffrent donc plus souvent des informations et caractéristiques de produits (36 %), des informations sur leurs clients (29 %), des informations financières (35 %) que leurs sauvegardes (17 %), leurs recherches sur la concurrence (17 %) et les informations relatives à la propriété intellectuelle (12 %).

« Le risque de ne pas être conforme à la RGPD implique non seulement une mauvaise publicité et une atteinte à la réputation des entreprises, comme c’est déjà le cas, mais également des pénalités qui peuvent atteindre 4 % du chiffre d’affaires annuel d’une entreprise », explique Bogdan Botezatu, Analyste senior des e-menaces chez Bitdefender. « 2017 ayant déjà établi de nouveaux records en termes de magnitude des cyberattaques, les comités de direction doivent réaliser que leur entreprise connaitra sans doute, sous peu, une violation de données, car la plupart d’entre elles ne sont pas correctement protégées. »

Lors de la sélection d’une solution de cloud hybride, les spécialistes Bitdefender recommandent aux entreprises d’analyser le type de données qu’elles traitent et d’en évaluer le caractère sensible – aussi bien pour l’entreprise que pour ses clients. Les données critiques, personnelles et privées touchant à la propriété intellectuelle doivent être enregistrées sur site, et n’être accessibles qu’au personnel autorisé.

Les entreprises qui traitent des données sensibles ou confidentielles, ou des données relatives à la propriété intellectuelle, doivent veiller à ce que leur infrastructure de cloud privé reste privée. Aucune personne hors du réseau local ne devrait être en mesure d’accéder à ces données et seul le personnel autorisé doit avoir les accès nécessaires pour les traiter. Le cloud privé doit être complètement isolé de l’Internet public pour empêcher les pirates d’accéder à distance, aux données via des vulnérabilités.

En ce qui concerne les défis à relever, 32 % des RSSI français considèrent le cloud public comme leur principale priorité, un pourcentage quasiment identique au pourcentage de RSSI préoccupés par le cloud privé (34 %). 16% déclarent accorder une même importance aux deux, et 15 % estiment que le cloud hybride est leur principale source d’inquiétude.

La moitié des entreprises interrogées considère le manque de prédictibilité, le manque de visibilité sur les menaces, ainsi que le manque de plateformes de sécurité multi-environnements, comme étant les principaux défis de sécurité en ce qui concerne l’adoption du cloud.

Chiffrement, Communiqué de presse, Cybersécurité, Justice, loi, Securite informatique

Admission Post-bac (APB) : mise en demeure pour plusieurs manquements

Un commentaire

La Présidente de la CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Mise en demeure ! En 2016, la CNIL a été saisie d’une plainte à l’encontre du traitement « Admission Post-Bac » (APB) dont l’objet est le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat.

La Présidente de la CNIL a décidé en mars 2017 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi « Informatique et Libertés ». Les investigations menées ont révélé plusieurs manquements aux règles gouvernant la protection des données personnelles.

  • S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
  • L’information des candidats sur le portail APB est insuffisante, au regard des exigences de l’article 32 de la loi Informatique et Libertés, s’agissant notamment de l’identité du responsable de traitement, de la finalité du traitement et des droits des personnes.
  • La procédure de droit d’accès ne permet pas aux personnes d’obtenir des informations précises relatives à l’algorithme et à son fonctionnement, notamment la logique qui sous-tend le traitement APB ou le score obtenu par le candidat. En effet, l’article 39 de la loi Informatique et Libertés stipule que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

La CNIL ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations. Cependant, compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine et devait s’accompagner d’une information transparente des personnes.

En conséquence, la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’enseignement supérieur, de la recherche et de l’innovation de se mettre en conformité avec la loi  dans un délai de trois mois. La réforme récemment annoncée du dispositif APB devra donc s’inscrire dans l’objectif d’un strict respect, conformément à cette mise en demeure, de la loi Informatique et Libertés.

Il a été décidé par ailleurs de rendre publique cette mise en demeure compte tenu du nombre important de personnes concernées par ce traitement (853 262 élèves de terminale et étudiants ont formulé au moins un vœu d’orientation sur le site Web APB en 2017 selon le ministère) et de l’impact de celui-ci sur leurs parcours.

Elle rappelle en outre que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction.

Cybersécurité, Justice

Les services secrets britanniques savaient que Marcus Hutchins allait être arrêté par le FBI

Un commentaire

L’internaute qui a permis de bloquer l’attaque Wannacry, arrêté début août par le FBI, était dans le collimateur des autorités depuis plusieurs semaines.

Les services secrets britanniques ont été informés, à l’avance, de cette action.Comme vous avez pu le lire sur ZATAZ et sur le compte Twitter, l’affaire de Marcus Hutchins, l’informaticien qui a pu stopper l’attaque Wannacry en achetant un nom de domaine oublié par les auteur de ce ransomware, a été arrêté à l’aéroport de Las Vegas, après le rassemblement la DEF CON. Il est accusé d’avoir modifié et utilisé un logiciel espion du nom de Kronos. Une arrestation liée sa participation présumée dans le développement d’un outil voleur de données bancaires. L’informaticien a plaidé non coupable. Il doit rester aux USA, avec un bracelet électronique. Il a été annoncé que les Services Secrets britanniques étaient au courant que Hutchins était sous surveillance.

Le Government Communications Headquarters (GCHQ) avait été informé que l’informaticien allait être arrêté par le FBI, sur le sol américain. Ce n’est pas la première fois que l’Angleterre refuse l’extradition d’un de ses ressortissants. Voilà peut-être pourquoi Hutchins a été cueilli à la fin de la DEF CON. Pourquoi à la fin de ce rassemblement américain de hackers, professionnels de la sécurité informatique et autres bidouilleurs ? Il y a de forte chance que le tueur de Wannacry a été suivi, mis sur écoute et espionné durant son séjour à Las Vegas. Comme le précise le Sunday Times, l’arrestation de Marcus Hutchins a retiré un mal de tête à la justice et au gouvernement britannique.

En 2012, la Premiére Ministre Theresa May (Ministre de l’Intérieur de l’époque) avait bloqué l’extradition de Gary McKinnon, un fan d’extraterrestre de 51 ans, accusé d’avoir piraté de nombreux serveurs de la NASA et de l’armée US (il cherchait des preuves de l’existence d’extraterrestre sur terre). Une extradition refusée en raison du diagnostique médical indiquant qu’il était atteint du syndrome d’Asperger, un type d’autisme. (The Times)

Base de données, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, Particuliers, Piratage, Sauvegarde, Securite informatique

Un demi million de patients médicaux piratés

Un pirate informatique a mis la main sur 500 000 dossiers appartenant à des patients belges en piratant le site Digitale Wachtkamer.

Le site Digitale Wachtkamer a été piraté ! Ce site dédié à la prise de rendez-vous chez un médecin, par exemple, a été visité et vidé de sa base de données. Selon le journal flamand VTM Nieuws, 500 000 dossiers de patients belges ont été copiés par un pirate informatique. Le pirate informatique me fait penser au maître chanteur Rex Mundi. Après avoir volé les données, il a envoyé un courriel à l’entreprise afin de lui demander de l’argent. Son silence contre 85 000 euros (42 BTCs). Digitale Wachtkamer n’a pas payé et a déposé plainte. Il y a de forte chance que les données de plus de 500 000 utilisateurs finissent sur le web, dans les heures à venir en représailles. D’après Digitale Wachtkamer, aucuns dossiers médicaux n’étaient accessibles, seules les prises de rendez-vous. Digitale Wachtkamera contacté ses utilisateurs afin qu’ils changent leur mot de passe.

Il y a deux ans, un pirate informatique du nom de Rex Mundi avait agit de la sorte à l’encontre de plusieurs entreprises Belges, Suisses et Françaises. En France, le laboratoire de santé Labio avait été la victime de ce type de chantage. Digitale Wachtkamer semble faire parti de ces TROP nombreuses entreprises alertées d’un manque de sécurité, alertée par des hackers et dont les messages sont restées lettres mortes. En 2013, Digitale Wachtkamer avait été alertée d’un manque de sécurité dans son code.

https://twitter.com/JeroenCeyssens/status/887380075557081088

Cybersécurité, Justice, Securite informatique

Un chercheur crée Bitscout afin de faciliter les enquêtes après une cyberattaque

Afin d’éviter aux enquêteurs d’avoir à se déplacer pour rassembler des indices sur des ordinateurs infectés après une cyberattaque, un expert de Kaspersky Lab a développé un outil simple, Bitscout, capable de recueillir à distance des données essentielles sans risque de les contaminer, ni de les perdre. Baptisé BitScout, cet outil est mis gracieusement à la disposition de tous les enquêteurs souhaitant y faire appel.

Bitscout, l’outil de secours ! Dans la plupart des cyberattaques, les entreprises victimes ne connaissent pas leurs attaquants. Elles acceptent généralement de coopérer avec les chercheurs en sécurité afin d’aider ceux-ci à trouver le vecteur d’infection ou d’autres informations sur les auteurs de l’attaque. Cependant, le problème pour ces enquêteurs a toujours été de devoir parcourir de longues distances en vue de recueillir des indices cruciaux, par exemple des échantillons de malware sur les machines infectées, ce qui retardait et renchérissait leurs investigations. Or, le temps mis à comprendre une attaque est autant de temps pendant lequel les utilisateurs ne sont pas protégés ni les auteurs identifiés. Jusqu’à présent, les solutions consistaient à employer des outils coûteux et complexes à mettre en œuvre, ou bien à prendre le risque de contaminer ou perdre des indices en les transférant entre ordinateurs.

Dans le but de remédier au problème, Vitaly Kamluk, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab en Asie-Pacifique, a créé un outil numérique open source capable de collecter à distance les indices essentiels, de récupérer des images disques entières via le réseau ou un périphérique de stockage local, ou encore d’aider tout simplement à distance au traitement d’incidents malveillants. Les indices relevés peuvent être observés et analysés à distance ou localement, tandis que la source de stockage des données demeure intacte grâce à un dispositif fiable d’isolement par conteneur.

« La nécessité d’analyser les incidents de sécurité avec un maximum d’efficacité et de rapidité prend d’autant plus d’importance que les menaces sont toujours plus avancées et sournoises. Cependant la précipitation n’est pas la solution : nous devons veiller à ce que les indices restent intacts de sorte que les investigations soient fiables et que les résultats puissent avoir une valeur légale si nécessaire. N’ayant pas trouvé d’outil qui permette tout cela gratuitement et facilement, j’ai décidé d’en créer un », explique Vitaly Kamluk.

Les experts de Kaspersky Lab travaillent en étroite collaboration avec les forces de police à travers le monde afin de contribuer aux analyses techniques dans le cadre des cyberinvestigations. Cela leur confère une connaissance unique des défis auxquels les enquêteurs sont confrontés dans leur lutte contre la cybercriminalité moderne. Le paysage de la cybersécurité présente aujourd’hui un tel niveau de complexité que les enquêteurs ont besoin d’outils à même de s’adapter à l’évolution des exigences de leur mission. BitScout en est un bon exemple. Il peut s’adapter aux besoins particuliers d’un enquêteur et faire l’objet de perfectionnements et de mises à jour, avec des fonctionnalités supplémentaires et des logiciels personnalisés. Avant tout, cet outil est gratuit, repose sur des solutions open source et offre une totale transparence : au lieu de dépendre d’outils tiers créés à partir de code propriétaire, les experts peuvent partir du code open source BitScout afin de fabriquer leur propre couteau suisse pour leurs cyberinvestigations.

BitScout offre les fonctionnalités suivantes :

  • Récupération d’images disques, y compris par un personnel sans formation spécifique
  • Formation du personnel en situation de mobilité (via une session de terminal partagée en lecture seule)
  • Transfert de données complexes vers le laboratoire pour une inspection plus poussée
  • Analyse Yara ou antivirus à distance de systèmes non connectés (fonction essentielle dans la lutte contre les rootkits)
  • Recherche et visualisation des clés de registre (exécution automatique, services, périphériques USB connectés)
  • Extraction de fichiers à distance (récupération de fichiers effacés)
  • Correction à distance du système si l’accès est autorisé par le propriétaire
  • Analyse à distance des autres postes du réseau (utile pour répondre à distance à un incident)

L’outil est disponible gratuitement sur le référentiel de code GitHub : https://github.com/vitaly-kamluk/bitscout

Pour en savoir plus, rendez-vous sur Securelist.com : https://securelist.com/bitscout-the-free-remote-digital-forensics-tool-builder/78991/

Cybersécurité, Justice, Mise à jour, Patch

Lutte contre le terrorisme, Google montre les dents ?

Le géant américain de l’Internet Google annonce renforcer sa lutte contre le terrorisme… un diffusant des vidéos contre la radicalisation.

Google vient d’annoncer dans le Financial Times, via la bouche de Kent Walker, qu’il allait renforcer sa lutte contre le terrorisme. Google et Youtube ont été montrés du doigt après la diffusion de vidéos de propagande terroriste. Google et Youtube ont donc décidé de renforcer leurs règles, dernièrement, face aux vidéos violentes ou déplaisants à leurs annonceurs. Bilan, des dizaines de Youtubeurs se retrouvent aujourd’hui avec des montants publicitaires divisés par 10. La grande majorité n’ont plus droit à la publicité pour diverses raisons.

Côté « terrorisme », Google a donc annoncé dans le journal économique, donc lu par les annonceurs, quatre nouvelles règles. « Nous ne sommes pas les seuls à procéder depuis des années déjà à l’identification et à la suppression de contenus qui enfreignent notre façon de faire. La vérité embarrassante, c’est qu’il nous faut bien reconnaître que nous devons en faire plus« , confirme Kent Walker dans le Financial Times.

Quatre nouvelles règles donc : d’abord plus d’experts humains qui pourront juger de la pertinence, ou non, d’une vidéo. Google annonce l’embauche de 50 personnes supplémentaires ; les robots, avec l’apprentissage des machines de contrôle ; un « logo » avertissement qui sera accolé aux vidéos de groupes religieux. Les vidéos resteront, mais elles n’auront pas de publicité. Dernier point, des vidéos anti propagande seront diffusées pour combattre la radicalisation.

A noter que la semaine dernière, Facebook a annoncé la création d’une team anti terroristes (150 personnes) et un partenariat avec Google pour participer à cette lutte.

Cybersécurité, Justice, loi

Droit d’accès : Un dentiste n’a pas répondu à la CNIL, le voilà condamné !

La formation restreinte de la CNIL a prononcé une sanction de 10.000 € à l’encontre d’un cabinet dentaire, pour non-respect du droit d’accès et non coopération avec la CNIL.

Droit d’accès : En novembre 2015, la CNIL a reçu une plainte d’un patient ne parvenant pas à accéder à son dossier médical détenu par son ancien dentiste.

Les services de la CNIL ont plusieurs fois interrogé le cabinet dentaire au sujet de cette demande.

En l’absence de réponse de sa part, la Présidente de la CNIL a mis en demeure le cabinet  dentaire de faire droit à la demande d’accès du patient et de coopérer avec les services de la Commission.

Faute de réponse à cette mise en demeure, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre du responsable de traitement.

Après examen du dossier, la formation restreinte de la CNIL a considéré :

  • qu’il y avait bien un manquement au droit d’accès du patient prévu par la loi ;
  • que les obligations déontologiques auxquelles sont soumises les professions médicales, notamment celles liées au secret médical, ne pouvaient justifier au cas d’espèce une absence de communication du dossier médical au plaignant.
  • que le cabinet dentaire avait fait preuve d’un défaut manifeste de prise en compte des questions « Informatique et Libertés » et avait méconnu son obligation de coopération avec la CNIL résultant de la loi.

Compte tenu de l’ensemble de ces circonstances propres au cas d’espèce dont elle était saisie, la formation restreinte a donc décidé de prononcer une sanction pécuniaire de 10 000 euros à l’encontre du cabinet dentaire.

En rendant publique sa décision, elle a souhaité rappeler aux patients leurs droits et aux professionnels de santé leurs obligations.

Chaque année, la CNIL reçoit un nombre significatif de plaintes concernant le droit d’accès à un dossier médical. Près de la moitié des demandes d’accès concernent des médecins libéraux.

Dans ce contexte, il est nécessaire de souligner que chaque professionnel de santé doit mettre en place une procédure permettant de répondre aux demandes faites par le patient d’accéder aux données figurant dans son dossier médical et administratif.

La loi informatique et libertés précise également que les données de santé peuvent être communiquées directement à la personne ou, si elle le souhaite, à un médecin qu’elle aura préalablement désigné (article 43).

Enfin, la communication du dossier médical doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois. A lire, le dossier de la CNIL sur « Comment répondre à une demande de droit d’accès ?« 

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Patch

Règlement eiDAS, 2017 année charniére

Règlement eiDAS : 2017, une année charnière pour l’identification et la confiance numérique.

Grâce au règlement eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques), l’Union européenne se distingue comme la première région mondiale à disposer d’un cadre juridique pour les transactions numériques transnationales visant à renforcer la confiance des échanges électroniques. Cela constitue un défi autant qu’une promesse dans un marché qui rassemble plus de 500 millions d’habitants. La mise en place de l’eIDAS, qui a débuté en 2015 avec une phase d’accompagnement et de précision des modalités d’application de ce règlement, s’échelonnera sur une période de 5 ans.

2017 sera une année charnière, marquée par les premières notifications des schémas d’identités numériques par des Etats membres au sein de l’Union européenne. C’est aussi une année importante pour le développement des services de confiance numérique qualifiés en Europe, le régime de transition cessant dès juillet prochain.

Un des aspects les plus novateurs et aussi des plus attendus du règlement est la possibilité d’accéder à de nombreux services presque partout en Europe, avec la même identité numérique nationale, qu’elle soit publique ou privée à condition que celle-ci soit officialisée par les autorités du pays où elle est actuellement utilisée. Les entreprises pourront également bénéficier de règles communes pour la reconnaissance mutuelle des signatures électroniques, des cachets ou des certificats numériques en s’appuyant sur un réseau de prestataires de confiance qualifiés, permettant de réduire les barrières aux transactions numériques et d’augmenter l’adoption de nouveaux services à travers les frontières.

Le Règlement de la confiance numérique, eIDAS introduit ainsi des bénéfices et des avancées sur le plan national pour presque tous les Etats membres. Un point important car la volumétrie des échanges numérique à l’intérieur des Etats reste pour l’instant largement supérieure à celle des flux transfrontières de l’UE. Concrètement, le dialogue initié par les acteurs économiques nationaux pour s’adapter aux exigences du règlement peut amener des améliorations significatives en particulier dans 4 domaines :

  1. 1.   1. Le renforcement d’une identité numérique nationale pour pouvoir s’authentifier avec fiabilité et signer numériquement
  1.  2. La modernisation de l’architecture des échanges numériques
  1. 3.  3.L’accélération du déploiement des services numériques utilisables. Cette démarche peut aussi favoriser une meilleure complémentarité et des synergies dans l’usage des infrastructures numériques entre secteur public et privé.
  1. 4.  4. La mise en place des signes de reconnaissance d’une confiance qualifiée assurant une garantie pour des échanges électroniques formels, caractéristique essentielle pour que les utilisateurs tirent pleinement avantage des services proposés.

Les citoyens et résidents pourront maintenant bénéficier de la reconnaissance aisée du nouveau label européen de confiance, instauré par le règlement dans le but de signaler les prestataires de services qualifiés. Ce label augmente la transparence du marché et apporte une présomption de valeur légale permettant de s’assurer de la sécurité maximale juridique et technique des échanges réalisés ou des services utilisés.

Les entreprises devront donc disposer de solutions compatibles avec le règlement eIDAS et les actes d’implémentation qui en découlent, afin de se mettre en conformité et ainsi bénéficier de solutions éprouvées.

Si vous souhaitez approfondir le sujet, vous trouverez ci-dessous le communiqué complet proposé par Gemalto : Règlement eIDAS : 2017 l’année charnière pour l’identification numérique

Base de données, Cybersécurité, Emploi, Entreprise, Fraude au président, ID, Identité numérique, Justice, santé, Sauvegarde

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

Cybersécurité, Justice, loi, RGPD

Brexit, ou le déclenchement d’un cyber-risque Européen

Un commentaire

Cyber-risque : A quelques jours du second tour des présidentielles, et tandis que certains candidats affirment leur volonté de quitter l’Union Européenne à l’instar de nos voisins britanniques, les discussions sur les conséquences d’une telle décision sont animées.

Outre la dimension économique, la mise en application par le Royaume-Uni de l’article 50 du traité de l’Union Européenne selon lequel « tout État membre peut décider, conformément à ses règles constitutionnelles, de se retirer de l’Union » marque un nouveau moment d’incertitude en termes de cybersécurité. Le début des négociations pourrait en effet conduire à une hausse des pratiques malveillantes de la part des hacktivistes ainsi qu’à du phishing politique, ce qui suscite naturellement des inquiétudes autour du partage continu des connaissance de sécurité.

Pour Jean-François Pruvot, Regional Director France, chez CyberArk, alors que trop d’entreprises adoptent la politique de l’autruche concernant les potentielles implications de ce basculement, la collaboration cruciale entre les organisations et les membres de l’UE peut pourtant les aider à garder le contrôle :

« Internet est un vaste exutoire où les utilisateurs partagent leurs frustrations, certains pouvant aller jusqu’à y exercer des actes de vengeance. Les réactions suscitées par le Brexit risquent ainsi de conduire à une augmentation des cyberattaques contre nos voisins britanniques. Selon les derniers chiffres publiés par Gemalto, les attaques hacktivistes ont enregistré une hausse de 31 % en 2016. En effet, les gouvernements, media, infrastructures critiques et tout organisme impliqué de près ou de loin dans le Brexit, qu’ils soient en faveur ou contre lui, sont de potentielles cibles d’attaques et doivent donc rester sur le qui-vive ; il suffit d’un individu aux idées politiques ou idéologiques très fortes pour s’emparer de privilèges et causer d’importants dégâts ! Les entreprises peuvent garder une longueur d’avance sur les pirates informatiques engagés en gérant notamment l’accès aux comptes de réseaux sociaux institutionnels. La protection des accès à privilèges permet également d’empêcher les assaillants d’étendre insidieusement leur empreinte initiale à travers les systèmes.

Cyber-risque

Par ailleurs, l’article 50 reste confus pour un grand nombre d’individus en ce qui concerne ses implications et la manière dont nous – consommateurs et entreprises – devons y répondre. Les cybercriminels s’appuyant sur l’incertitude, le Brexit représente une opportunité en or pour nous effrayer et nous inciter à agir. En effet, le mois suivant les résultats du référendum, des chercheurs de Symantec ont identifié une augmentation de 392 % des emails de spam utilisant le terme « Brexit » dans leur objet pour cibler les individus et organisations. Une nouvelle preuve, s’il en fallait, que les entreprises doivent être diligentes et mettre en place les mesures de sécurité appropriées !

Les tentatives de phishing, de cyber-risque, liées à l’article 50 peuvent en effet assurer le succès d’une attaque ransomware ou permettre à un cybercriminel de s’introduire à l’intérieur des défenses périmétriques puis d’installer une base d’opérations au sein du réseau. Le début des négociations autour de la sortie du Royaume-Uni, devrait donc servir de rappel opportun pour éduquer les employés sur les bonnes pratiques relatives aux emails, comme ne pas ouvrir les pièces jointes émanant d’expéditeurs inconnus, ou encore s’assurer qu’ils possèdent les bons outils de sécurité pour empêcher une tentative de phishing.

C’est pourquoi face aux recrudescences d’attaques, les agences d’intelligence britanniques et internationales doivent impérativement rester soudées pour anticiper et stopper toute cyberactivité hostile pouvant émaner d’autres pays. Le Royaume-Uni, ou tout autre nation souhaitant quitter l’Union, doit donc impérativement veiller à ne pas s’isoler au risque de devenir une cible plus attrayante. L’une des meilleures solutions pour que les entreprises gardent le contrôle reste la collaboration cross-secteurs, encourageant ainsi les dirigeants à partager leurs bonnes pratiques et leurs connaissances pour lutter ensemble contre la cybercriminalité. Quelle qu’en soit la nature, les changements d’une telle ampleur sont une vulnérabilité pour les organisations, et l’adaptation à ces paysages à risques doit donc faire partie intégrante de leurs plans. Une problématique qui ne touche finalement pas seulement le Royaume-Uni ou les pays qui envisagent également un « exit » ! A bon entendeur. » (Par Jean-François Pruvot, Regional Director France, chez CyberArk)

Communiqué de presse, Cyber-attaque, Cybersécurité, Justice, Leak, Piratage, Social engineering

À la poursuite de « Lazarus »

À la poursuite de « Lazarus » : sur les traces du groupe chasseur de grandes banques internationales

Kaspersky Lab vient de publier les conclusions d’une enquête menée par ses experts pendant plus d’un an au sujet du groupe de hackers « Lazarus », présumé responsable du vol de 81 millions de dollars à la Banque Centrale du Bangladesh en 2016. L’analyse scientifique des indices laissés par les pirates dans des banques situées dans le Sud-est asiatique et en Europe, a permis de cerner leur mode opératoire. Ses experts ont mis au jour le type d’outils utilisés pour les attaques visant des institutions financières, des casinos, des éditeurs de logiciels dédiés aux sociétés de placement du monde entier, ainsi que des entreprises de crypto-monnaies. Ces renseignements ont permis d’interrompre au moins deux opérations lancée dans le but de dérober de très grosses sommes à des institutions financières.

En février 2016, un groupe de pirates (non-identifié lors des faits) a tenté de dérober 851 millions de dollars, réussissant à transférer 81 millions de dollars depuis la Central Bank of Bangladesh. Ce vol est considéré comme l’un des plus grands jamais perpétrés par des pirates informatiques à ce jour. Des experts de sociétés spécialistes de la sécurité informatique ont conclu que les attaques avaient très probablement été perpétrées par Lazarus, un groupuscule passé maître dans l’art du cyberespionnage et du cybersabotage. Cette cellule est connue pour avoir perpétré une série d’attaques de grande envergure ayant ciblé des fabricants, des médias et des institutions financières dans au moins 18 pays aux quatre coins du monde depuis 2009.

Très discret pendant plusieurs mois après l’attaque contre la banque du Bangladesh, le groupe Lazarus n’est en pas moins demeuré actif. Ses membres préparaient une autre opération visant d’autres banques. Lorsqu’ils ont été prêts, ils avaient déjà réussi à trouver un point d’entrée dans une institution financière du Sud-est asiatique. Après avoir été interrompus par des solutions Kaspersky Lab et par l’enquête menée ensuite, ils se sont mis au vert pendant plusieurs mois avant de changer de continent. Ils ont alors ciblé des établissements en Europe, où là encore les logiciels de sécurité de Kaspersky Lab ont repéré leurs tentatives et les ont bloquées, aidés par ses équipes d’intervention, d’analyse scientifique et de reverse engineering ainsi que par ses meilleurs chercheurs.

Le modus operandi de Lazarus

Les experts ont passé au crible les indices collectés sur les lieux des attaques. Cette analyse scientifique leur a permis de reconstituer le mode opératoire des pirates.

  • Compromission initiale : les pirates ouvrent une brèche dans un seul des systèmes informatiques de la banque, soit en exploitant à distance des portions de code vulnérables (sur un serveur web par exemple), soit à l’aide d’une attaque dite de « watering hole » qui consiste à piéger un site web légitime. Lorsqu’une victime (un employé de la banque ciblée) consulte ce dernier, son ordinateur est infecté par des composants additionnels.
  • Trouver ses marques : les membres du groupe migrent vers d’autres ordinateurs hôtes au sein de la banque où ils déploient des backdoors persistants, qui leur permettent d’aller et venir à leur guise à l’aide des programmes malveillants installés.
  • Reconnaissance interne : le groupe passe ensuite des jours et des semaines à étudier scrupuleusement le réseau afin d’identifier les ressources intéressantes. Il peut s’agir d’un serveur de sauvegarde qui conserve les données d’authentification, des serveurs de messagerie, des contrôleurs de noms de domaine donnant accès à l’ensemble de l’entreprise, ou encore de serveurs où sont stockées les archives des transactions financières.
  • Passage à l’acte : l’ultime étape consiste, pour les pirates, à déployer leur malware conçu pour passer outre les dispositifs de sécurité internes des logiciels financiers et effectuer des transactions illicites au nom de la banque.

Empreinte géographique et attribution

Les attaques passées au crible par les experts se sont étalées sur plusieurs semaines, sachant que les pirates ont réussi à opérer pendant des mois sans se faire repérer. À titre d’exemple, pendant l’analyse de l’incident survenu dans le Sud-est asiatique, les experts ont découvert que les pirates avaient en fait corrompu le réseau de la banque 7 mois avant qu’elle ne réagisse et sollicite l’intervention des équipes de réponse aux incidents. Le groupe avait même eu accès au réseau de la banque bien avant l’incident survenu au Bangladesh.

Le groupe Lazarus a fait parler de lui à partir de décembre 2015 : des échantillons de malwares en lien avec ses activités ont été repérés sur les réseaux d’institutions financières, de casinos, d’éditeurs de logiciels dédiés à des sociétés de placement et d’entreprises de crypto-monnaies en Corée, au Bangladesh, en Inde, au Vietnam, en Indonésie, au Costa Rica, en Malaisie, en Pologne, en Irak, en Ethiopie, au Kenya, au Nigeria, en Uruguay, au Gabon, en Thaïlande et dans plusieurs autres pays. Les derniers échantillons malveillants repérés datent de mars 2017, ce qui laisse penser que les pirates ne comptent pas s’arrêter là.

S’ils ont pris soin d’effacer leurs traces, ils se sont grossièrement trahis sur au moins l’un des serveurs utilisés dans une autre campagne. En préparation de l’attaque, ce serveur avait été configuré pour faire office de centre de commande et de contrôle (C&C) du malware. Les premières connexions effectuées le jour de la configuration provenaient de nouveaux serveurs VPN/proxy, laissant penser à une période de test du C&C. Les pirates ont laissé un indice : une connexion très brève a été détectée, émanant d’une plage d’adresses IP très rare en Corée du Nord.

Selon les chercheurs, cela pourrait avoir plusieurs significations :

  • Les attaquants se sont connectés depuis cette adresse IP en Corée du Nord ;
  • Il s’agit d’un leurre savamment orchestré par quelqu’un d’autre ;
  • Quelqu’un en Corée du Nord a visité par accident l’URL du C&C.

Le groupe Lazarus investit énormément pour créer de nouvelles variantes de son malware. Ses membres ont, pendant des mois, essayé de mettre au point une version totalement indétectable par les solutions de sécurité. Mais à chaque nouvelle tentative de leur part, les spécialistes ont réussi à repérer leurs créations en identifiant des paramètres récurrents au niveau du code. À l’heure actuelle, ceux-ci ne montrent aucun signe d’activité, ce qui laisse penser qu’ils les ont suspendues pour renforcer leur arsenal.

« Nous sommes persuadés qu’ils referont surface prochainement. Les attaques comme celles menées par le groupe Lazarus montrent qu’une erreur de configuration, même minime, peut ouvrir une brèche importante dans le réseau d’une entreprise, avec à la clé la perte potentielle de centaines de millions de dollars. Nous espérons que les dirigeants des banques, des casinos et de sociétés de placement du monde entier apprendront à se méfier de Lazarus », témoigne Vitaly Kamluk, Directeur de l’équipe de recherches et d’analyses APAC chez Kaspersky Lab.

Chiffrement, Communiqué de presse, Justice, loi, RGPD

RSSI, un métier qui bouge

La place et la perception de la sécurité du numérique sont en pleine évolution dans les entreprises. La transformation numérique est désormais stratégique pour elles. La conscience des cyber-risques, longtemps négligés par les dirigeants, augmente avec la nécessité de se mettre en conformité avec une réglementation sévère. Bien au-delà du Service Informatique, les cyber-menaces sont désormais des risques économiques, mais aussi d’image pour l’entreprise, touchant la Direction générale, la Direction financière et le marketing. Une vision globale qui fait bouger la fonction de Responsable de la Sécurité des Systèmes d’Information.

Le RSSI conserve bien sûr son rôle technique. Mais il est désormais au cœur d’un dispositif qui l’oblige à « communiquer » avec les métiers, à expliquer les mesures de sécurité adoptées et leurs contraintes. Il doit convaincre la Direction générale, de la nécessité d’investir dans certaines technologies. Le RSSI devient un partenaire et un conseiller pour chaque métier : la sécurité est l’affaire de tous.

La sécurité change de niveau

La culture numérique est inscrite dans la pratique quotidienne des générations des années 2010. La distinction entre les outils de la vie privée et ceux de la vie professionnelle s’estompe. Le RSSI doit adapter son action, devenir plus réactif et plus agile. L’écosystème des solutions de sécurité s’élargit, et avec lui le champ du métier. La mutation est plus qu’amorcée, elle est déjà inscrite, par exemple, dans la pratique des métiers marchands connectés. Le RSSI est devant d’énormes volumes de données complexes dont l’intégrité doit être conservée face aux cyber-attaques. Pour répondre à cette accélération des volumes et à cette complexité, il a besoin de disposer de capacités d’analyses de plus en plus performantes pour traiter et analyser ce que l’on nomme le Big Data. Les outils ont eux-mêmes évolué, intégrant des fonctionnalités plus riches et une souplesse toujours plus grande. Ses responsabilités ont donc très largement augmenté, tout en se diversifiant. Cette expertise très ouverte fait qu’il doit manier des outils qui élargissent son champ d’action tout en lui permettant de se concentrer sur son métier de garant de la sécurité.

Rssi : Des outils qui répondent à l’exigence

Les solutions à sa disposition doivent donc être très performantes tout en restant faciles à utiliser et simples à maintenir. Le SIEM (security information and event management) est l’unique moyen automatisé pour un RSSI de traiter les données des logs générés par le réseau et les outils de sécurité. Tout produit connecté générant des logs, ceux-ci sont collectés, corrélés et analysés pour détecter et bloquer les mouvements suspects ou les attaques et alerter sur les dysfonctionnements. Désormais, les solutions de SIEM agissent en agrégeant les informations internes et externes issues des bases de données de Threat intelligence ou de réputation.

Une plateforme de gestion des informations et des événements de sécurité doit être très flexible pour collecter, analyser et surveiller toutes les données, qu’elles viennent du réseau, des applications, des bases de données, des infrastructures, qu’elles concernent des actifs sensibles, des systèmes industriels ou des systèmes de sécurité.

Rssi : Faire sienne la réglementation

Des obligations comme le Règlement Général sur la Protection des Données ou la Loi de Programmation Militaire imposent en France de mettre en place une solution permettant à l’entreprise de respecter ces règlements, sous peine de pénalités financières. Le RSSI doit anticiper ces obligations, intégrant ainsi dans sa démarche la responsabilité de l’entreprise. Il a besoin de s’appuyer sur des expertises et des solutions qui s’adaptent facilement pour rester en phase avec ses besoins – anticipation des demandes de conformité, défense transparente contre la cybercriminalité et la fraude et optimisation des opérations IT… La tâche n’est pas mince pour relever ce challenge permanent de l’évolution des compétences, des connaissances et des risques. (par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint)

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Justice, loi

RGPD – Seconde consultation de la CNIL au sujet du règlement européen de protection des données personnelles

RGPD, c’est bientôt ! La CNIL (Commission nationale de l’informatique et des libertés) vient de lancer une 2e consultation nationale auprès des professionnels sur le règlement européen de protection des données personnelles (entrée en vigueur : mai 2018 pour les 28 Etats membres).

Les sujets abordés sont le profilage (« Comment intégrer les principes de privacy by design and by default ? », « Le profilage appliqué à votre secteur d’activité »), le consentement (« Qu’est ce que le consentement ? », « Le retrait du consentement ? »)  et les notifications de violation de données personnelles (« qui a obligation de notifier ? », « à quel moment notifier ? », « comment informer ? »).

Cette consultation se tient jusqu’au 24 mars et viendra alimenter les travaux du G29 (groupe des CNIL européennes) qui se réunissent en avril.

L’année dernière, de juin à juillet 2016, 225 contributeurs avaient posté 540 contributions et émis 994 votes sur les 4 premiers thèmes qui font l’objet de lignes directrices : le délégué à la protection des données, portabilité, études d’impact sur la vie privée, certification).

Du 23 février au 23 mars 2017, la CNIL ouvre la consultation sur 3 nouveaux thèmes : Notification de violation de données personnelles ; profilage et consentement. Ces éléments permettront de clarifier et de rendre pleinement opératoires les nouvelles règles européennes et nourriront les lignes directrices que produira le G29.

La protection des données personnelles doit être pleinement intégrée à l’ensemble de vos activités dès lors qu’elles impliquent un traitement d’informations. En effet, l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD) requiert dès aujourd’hui la mise en conformité de votre organisation, vos processus et votre stratégie. La société iTrust et ZATAZ ont proposé, le 28 février, un rendez-vous dédié à la compréhension de la GRPD. Un Webinaire avec Damien Bancal (ZATAZ.COM) et par ITrust, société d’expertise en cybersécurité française.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Particuliers, Sauvegarde, Social engineering

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Arnaque, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, Justice, Particuliers, Piratage, ransomware, Social engineering

désinfecter les machines Windows victimes du réseau criminel, Avalanche

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L’opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que Goznym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l’ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d’euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d’abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d’autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l’empêcher de se connecter à Internet ou d’accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changer qui a rendu impossible l’accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

BitDefenser propose son outil.

Les tools d’Avast.

Cybersécurité, Justice, loi

CITES tape « Ctrl, Alt, Suppr » sur la cybercriminalité

Les cybercriminels sont les derniers perdants de la 17ème Conférence des Parties (COP 17) de la CITES (Convention sur le commerce international des espèces de faune et de flore sauvages menacées d’extinction) suite à la décision de ratifier l’engagement pris par les 183 Parties d’éradiquer le commerce illégal de la faune en ligne.

La décision exige de toutes les Parties qu’elles prennent une série de mesures pour s’assurer de mettre un coup d’arrêt à la criminalité en ligne liée à la faune sauvage et rassembler gouvernements, responsables de l’application des lois et sociétés de technologie en ligne dans la mission commune de sauver la faune. IFAW (le Fonds international pour la protection des animaux – www.ifaw.org) se félicite de cette décision qui constitue un énorme progrès dans la lutte pour bousculer le monde souvent sombre et secret de la criminalité en ligne liée à la faune sauvage.

« Nous sommes ravis de cette décision et remercions particulièrement le Kenya qui a mis le sujet sur la table de la CoP à Johannesburg. La criminalité en ligne liée à la faune sauvage est une menace sérieuse pour les espèces en voie de disparition, comme nos recherches le montrent depuis 2004. Cette décision permettra aux gouvernements du monde entier de prendre les mesures les plus strictes pour lutter contre ce fléau », a déclaré Tania McCrea-Steele, Chef de projet international Criminalité en ligne liée à la faune sauvage d’IFAW.

La décision ratifiée au cours de la dernière séance plénière de la CITES permet aux gouvernements de:
Identifier et partager les meilleures pratiques en matière d’application de la loi, notamment en travaillant avec INTERPOL, pour établir des lignes directrices pour les enquêtes;

Permettre aux gouvernements de s’assurer qu’ils ont la législation la plus stricte possible et encourager un engagement accru et partagé du Secrétariat, des gouvernements et des plates-formes de commerce en ligne et de réseaux sociaux pour lutter contre la criminalité en ligne liée à la faune sauvage;

En outre, il appelle à la mise en place d’un atelier sur la criminalité en ligne liée à la faune sauvage qui rassemble à la fois les pays sources, les pays consommateurs, ceux qui hébergent les grandes entreprises du web, les organisations non-gouvernementales expertes, des avocats et tout autre expert compétent pour faire avancer cette question d’ici à la prochaine CoP.

« Cette décision va conduire à une contre-offensive beaucoup plus cohérente contre les criminels qui ciblent la faune sauvage en ligne en permettant une application plus efficace de la loi et une meilleure collaboration avec le secteur commercial, le tout soutenu par une législation plus stricte pour éradiquer cette forme de criminalité. » a déclaré Tania McCrea-Steele.

La proposition sur la lutte contre la criminalité en ligne liée à la faune sauvage a été soumise par le Kenya et a été soutenue à l’unanimité des 183 Parties à la CITES.

Cybersécurité, Justice, loi

Quand le digital défie l’Etat de droit

La révolution numérique bouleverse profondément la technique, les usages, nos modèles économiques mais aussi… le droit. Cette transformation oubliée n’est pas le fruit du hasard. Elle est le fait d’une alliance entre les libertariens californiens, les grandes entreprises de la Silicon Valley et le Gouvernement américain. Ensemble, ils imposent leurs valeurs et leur droit.

Avez-vous lu les CGU (Conditions générales d’utilisation) des services Google, Facebook, Twitter, WhatsApp et consorts ? Ces CGU désignent le plus souvent le droit de l’Etat de Californie comme applicable et le juge californien comme juge du contrat. Jamais le droit français n’est affiché en clair et de manière explicite. Pourtant, la Cour d’appel de Pau a jugé en 2012, dans une affaire impliquant Facebook, que ce genre de clause est illicite, contraire au droit de la consommation. Or, quatre ans plus tard, Facebook maintient cette clause abusive dans ses CGU au mépris du droit et en toute impunité. Car qui a les moyens d’affronter la puissance financière et juridique des géants américains du numérique ? Les États européens eux-mêmes abdiquent et, au mieux, cherchent à négocier plutôt qu’à faire appliquer la loi.

Mais l’auteur va plus loin. Il analyse quatre concepts fondamentaux du droit. Ces quatre concepts sont : la liberté d’expression, la vie privée, les droits d’auteur et la place de l’Etat et de la Loi. Il constate leur glissement vers le droit anglo-saxon.

Les symptômes de cette évolution non démocratique sont des paroles de haine qui se diffusent sans réponse judiciaire efficace dans une Europe en ébullition, un affaissement de la vie privée, des données personnelles sans contrôle, des citoyens épiés chaque seconde par le partenariat NSA et grandes entreprises de la Silicon Valley, l’affaiblissement de la Loi et la dérégulation au profit du contrat.

L’AUTEUR : Me Olivier Iteanu est avocat à la Cour d’Appel de Paris depuis décembre 1988 et est fondateur et dirigeant de la société Iteanu Avocats. Spécialisé dans le droit d’Internet dès l’origine, il a publié le premier livre de droit français sur ce sujet en 1996 chez Eyrolles (Internet et le droit). Il a été président du chapitre français de l’Internet Society de 2000 à 2003 et un des rares européens ayant eu un rôle actif au sein de l’ICANN (autorité mondiale de gestion des noms de domaines). Il est expert en noms de domaine auprès de l’Organisation mondiale de la propriété intellectuelle. 12,90 € / ISBN 978-2-212-11859-9 / Edition Eyrolles.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Sauvegarde

Retour sur le RGPD, le Règlement Général de l’Union Européenne sur la Protection des Données

Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.

RGPD et les données de test : une vulnérabilité critique

L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.

Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :

  • L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
  • L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
  • L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
  • L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.
Cybersécurité, Facebook, ID, Justice, loi, Particuliers, Twitter

Réseaux sociaux : la police utilise une vieille loi obsolète pour arrêter des internautes

Un rapport publié récemment par le Bureau National Crime Records indien indique suggère que la police des différents états se moque ouvertement de la modification d’une loi. Bilan, Plus de 3.000 personnes arrêtées illégalement.

Le problème avec les lois c’est qu’elles changent souvent. Modifications, amendements… Bilan, se mettre à jour n’est pas chose aisée. Si en plus vous rajoutez de la mauvaise foi, vous voilà avec une constatation inquiétante du Bureau National Crime Records.

Cette entité Indienne explique ouvertement que les policiers en charge de L’internet et du Cybercrime font fi de la modification d’une loi « Section 66A of the Information Technology Act » qui permettait d’arrêter des internautes donnant un avis « contraire » que celui prôné, par exemple, par le gouvernement ou des politiques, sur les réseaux sociaux. Bref, râleurs, dissidents politiques… ne doivent plus être inquiétés.

Sauf que les autorités des différents états indiens ont du mal avec cette mise à jour. 3 133 personnes ont été arrêtées arbitrairement par la police pensant que la Section 66A of the Information Technology Act était toujours en activité. Un tribunal avait confirmé, en 2015, le droit de la liberté de parole et d’expression des citoyens indiquant même que « l’article 66A s’attaque de manière arbitraire, excessive et disproportionnée le droit de la liberté d’expression« . En 2015, sur les 3 133 personnes arrêtées, 64 avant moins de 18 ans. 2 avait plus de 60 ans. (BS)

Chiffrement, cryptage, Cybersécurité, Justice, loi

Lutte anti-terrorisme et chiffrement : le Conseil national du numérique lance une réflexion à la rentrée 2016

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de l’Union européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.

Cybersécurité, Espionnae, Justice, loi, Particuliers, Vie privée

Drones pirates : 352% de plaintes en plus en 1 an

Les drones sont devenus des objets courants, aujourd’hui. A partir de quelques euros, il est possible d’acquérir un engin volant. Au Royaume-Uni, la crainte grimpe au sujet des drones pirates. 425 plaintes déposées en 2015.

Les drones pirates envahissent les commissariats. Les drones prennent de plus en plus de place dans le ciel. Amateurs de belles images, geek et autres amateurs d’objets high-tech se jettent sur ces objets volants. Il semble que les criminels aussi ! Il n’y a malheureusement pas de raison que ce genre d’engin ne soit pas utilisé, par exemple, pour filmer une zone à cambrioler.

Au Royaume-Uni, les autorités viennent de tirer la sonnette d’alarme. Une méthode pour attirer le regard bien veillant du législateur. Un rapport de la police britannique indique que les plaintes, concernant des drones, ont augmenté de 352 % en un an. En 2014, la police avait reçu 94 plaintes de particuliers et entreprises. En 2015, le chiffre est passé à 425. Pour 2016, semble-t-il, un chiffre encore plus élevé. Depuis mois de mai 2016, déjà 272 dossiers ont été enregistrés par les autorités. A noter que de nombreuses complaintes concernent aussi des drones appartenant à la police.

Des chiffres collectés par le journal The Independent. 21 postes de police du Royaume-Uni, sur 45, ont répondu. Autant dire que le chiffre global de 352% est très certainement en dessous de la réalité. Les chiffres comprennent également des drones ayant mis en danger des avions commerciaux, des transports de drogue vers des cellules de prison. 257 rapports ont été répertoriés comme étant une préoccupation sérieuse pour la sécurité publique… sept faisaient état de drones appartenant à de jeunes enfants.