Archives de catégorie : loi

Base de données, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Piratage, Social engineering

8 entreprises sur 10 canadiennes victimes d’un piratage informatique

Une enquête révèle que 87 pour cent des entreprises canadiennes auraient subi des incidents liés au piratage informatique.

Un sondage intéressant, signé par la société HSB BI&I, auprès de gestionnaires de risques permet de constater que les entreprises sont vulnérables. Près de 90 pour cent des entreprises canadiennes ont subi au moins un incident lié au piratage informatique dans la dernière année, selon une enquête réalisée auprès de gestionnaires de risques d’entreprises, publiée aujourd’hui par La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada (HSB BI&I) faisant partie de la famille Munich Re.

« Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ». Plus de la moitié (60 pour cent) d’entre eux croient que leurs entreprises consacrent suffisamment d’argent, ou de personnel qualifié et expérimenté, pour lutter contre l’évolution des techniques de piratage. Pourtant, 42 pour cent de ces entreprises n’ont pas souscrit une couverture de cyber-assurance.

« Avec la prévalence des cyber-attaques au Canada, il y a une nette divergence entre les perceptions des gestionnaires de risques et le niveau réel d’exposition de leurs entreprises face à une activité de piratage informatique », a déclaré à DataSecurityBreach.fr Derrick Hughes, vice-président chez HSB BI&I. « Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ».

Parmi les gestionnaires de risques interrogés dans l’enquête, 66 pour cent représentaient les grandes entreprises, suivis par 28 pour cent pour les organisations de taille moyenne et de 6 pour cent pour les petites entreprises.

L’enquête a révélé une hausse notable de la sensibilisation et des préoccupations quant aux cyber-risques suite de l’adoption récente de la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Près de 70 pour cent des gestionnaires de risques ont déclaré qu’ils seraient plus enclins à souscrire une couverture de cyber-assurance pour leur entreprise en raison des nouvelles exigences en matière de notification de violation de données.

Les préoccupations concernant le type de renseignements pouvant être violés varient des informations sensibles de l’entreprise (50 pour cent) aux renseignements personnels identifiables (42 pour cent) et aux renseignements financiers (8 pour cent).

Interrogés sur les types de services de gestion des risques envisagés pour lutter contre les cyber-risques, les gestionnaires de risques répondent : la détection d’intrusion et les tests de pénétration (40 pour cent), le cryptage (24 pour cent) et les programmes de formation du personnel (19 pour cent).

HSB BI&I a réalisé la cyber enquête, le 28 septembre 2015, lors du congrès Risk and Insurance Management Society Conference Canada (RIMS Canada) à Québec. Cette enquête est destinée à représenter l’opinion des 102 gestionnaires de risques participants. Pour ce faire, ces derniers ont pris part à l’enquête par le biais d’une entrevue en personne. Les participants représentaient les entreprises de petites (1-99 employés), moyennes (100-999 employés) et grandes tailles (1 000 employés et plus), dans les secteurs d’activités suivants : les services publics et l’énergie; les mines; l’aérospatial, la défense et la sécurité; la fabrication; le secteur public; la technologie; les services financiers, la santé/médical; la vente au détail.

Cybersécurité, Justice, loi

Gratuité et la réutilisation des informations du secteur public

Le Sénat a adopté un projet de loi sur la gratuité et la réutilisation des informations du secteur public.

Lundi 26 octobre le Sénat a examiné le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public. Ce texte a pour objectif de favoriser la réutilisation des données publiques en transposant une directive européenne du 26 juin 2013 qui, selon le Gouvernement, « marque une étape importante dans la politique d’ouverture et de diffusion des données publiques (« open data »)« , et en allant au-delà des exigences de la directive, « dans un souci de simplification ou pour inscrire dans la loi les principes de l’open data, notamment celui de la gratuité« .

Le texte comprend 9 articles qui proposent notamment de supprimer le régime particulier de réutilisation des informations contenues dans les documents produits ou reçus par les établissements ou institutions d’enseignement et de recherche ou culturels (article 1er) ; de limiter à dix ans la possibilité d’accorder un droit d’exclusivité à un tiers pour la réutilisation d’informations publiques, sauf si ce droit a été accordé en contrepartie de la numérisation de ressources culturelles (article 2) et de poser le principe de la gratuité de la réutilisation des informations du secteur public (article 3). Le Gouvernement ayant engagé une procédure accélérée sur ce texte le 31 juillet 2015, il pourrait ne faire l’objet que d’une seule lecture au Parlement avant convocation de la commission mixte paritaire (CMP).

Ce texte a été modifié en commission des lois par l’adoption de 11 amendements et un sous-amendement du rapporteur, ainsi qu’un amendement du Gouvernement, visant à revenir au texte initial, voire à une transposition plus fidèle de la directive.

En séance, les sénateurs ont adopté ce texte. Au cours de l’examen, ils ont notamment souhaité :
· pour un meilleur accès des citoyens aux accords d’exclusivité et à leurs avenants, exiger leur publication électronique des accords d’exclusivité et leurs avenants (amt 22 – art 2) ;
· permettre la révision de la liste informations ou catégories d’informations tous les 5 ans (amt 18 – art 3).

http://www.senat.fr/rap/l15-093/l15-093.html
http://www.senat.fr/dossier-legislatif/pjl15-034.html

Cybersécurité, Entreprise, Justice, loi, Propriété Industrielle

Les polices de caractères : elles aussi menacées par le téléchargement illégal

Alors que le téléchargement illégal est devenu une menace tant pour le 7ème art que pour le secteur de la musique, la préservation des droits d’auteurs est devenu un véritable cheval de bataille. Or il y a d’autres artistes à protéger.

En effet, pour les graphistes, les polices sont aussi importantes que les couleurs pour un peintre. Essentielles à chaque conception, les polices de caractères sont, elles aussi, menacées par ces pratiques malveillantes. Le travail du graphiste repose sur deux notions : les polices comme partie intégrante du processus de création et la nécessité de sauvegarder et de protéger l’œuvre des créateurs de polices sans quoi le devenir de nombreux artistes s’en trouverait menacé.

Entre piratage et législation : l’émergence d’un nouveau paradoxe
À l’ère du tout numérique, les polices de caractères n’ont jamais été aussi convoitées et téléchargées illégalement. Des pirates, souvent peu informés ou scrupuleux sur la législation qui encadre les polices de caractères, ne cessent de les utiliser sans licences. Cependant, tout autant que pour une célèbre œuvre de Claude Monnet ou de Kandinsky, l’utilisation frauduleuse d’une police de caractère peut entraîner de dures représailles. En réalisant ou en utilisant une copie non autorisée de polices de caractères, les utilisateurs ou les entreprises s’exposent à de lourdes amendes et poursuites pénales.

On peut ainsi légitiment se demander pourquoi les utilisateurs de polices ne respectent pas les créateurs : manque de connaissances sur les typographes ? Manque de connaissances de la législation ?… Alors que certains resserrent leurs contrôles, paradoxalement, les téléchargements illégaux de licence de police de caractères ne cessent de s’accroître.

Or, au même titre qu’un logiciel, il est primordial de se doter d’une licence de police de caractère qui fait office de contrat et qui a force de loi. Ainsi, le créateur reçoit des droits d’œuvres d’art sur chaque police utilisée et perçoit le fruit de son travail. Toute la chaîne de production est ainsi respectée.

Une solution clé en main proposée aux entreprises
Cette hausse du téléchargement des polices de caractères peut être expliquée par le fait que les licences de polices et leurs conditions d’utilisation sont propres à chaque fonderie et donc complexes à mettre en oeuvre. Il est donc important de proposer aux entreprises de l’aide dans la mise en place d’un gestionnaire de polices de caractères et d’effectuer un travail de vulgarisation des « process ». Une demande de plus en plus importante et nécessaire, preuve en est, le nombre de société, qui proposent un service répondant à cette problématique ne cesse de s’accroître. L’idée étant de proposer une solution clé en main : lever les freins rencontrés par les clients lors de l’achat et la mise en place, d’optimiser les ordinateurs et les logiciels afin que les polices de caractère fonctionnent le plus rapidement et le mieux possible.

Si aujourd’hui les polices de caractères font partie intégrante de l’image de marque des entreprises, elles constituent également le cœur de l’activité des fonderies et créatifs.

Ainsi, l’ensemble des acteurs de la chaîne de création se mobilise contre ce piratage moderne et entend protéger une toute nouvelle forme de capital. (Jean-Michel Laurent, Représentant France d’Extensis)

Cybersécurité, loi

La commission des lois adopte le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public

Réunie le mercredi 21 octobre 2015, sous la présidence de M. Philippe Bas (Les Républicains – Manche), la commission des lois a examiné le rapport de M. Hugues Portelli (Les Républicains – Val d’Oise) et établi son texte sur le projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public (n° 34, 2015-2016).

Ce projet de loi vise à transposer la directive 2013/36/UE du 26 juin 2013, qui complète et prolonge la directive 2003/98/CE du 17 novembre 2003 relative à la réutilisation des informations du secteur public.

Afin de limiter les « sur-transpositions » qui auraient pour conséquence de placer les organismes publics français en situation défavorable par rapport à leurs homologues d’autres États-membres de l’Union européenne, la commission a adopté onze amendements et sous‑amendement de son rapporteur, ainsi qu’un amendement du Gouvernement, visant à revenir au texte initial du Gouvernement, voire à une transposition plus fidèle de la directive.

Elle a ainsi supprimé l’obligation, introduite par les députés, de mise à disposition des informations publiques sous forme électronique afin de ne pas faire peser sur les administrations une charge qu’elles ne seraient pas toujours en mesure d’assumer. L’obligation de mise à disposition demeure donc, mais sans que soit exigée de l’administration la création de nouveaux documents numériques.

La commission a, par ailleurs, maintenu le régime dérogatoire actuellement en vigueur pour la réutilisation des informations détenues par les organismes de recherche et d’enseignement supérieur tout en le cantonnant aux informations produites dans le cadre de leurs activités de recherche. Sans porter atteinte à la liberté d’accès à ces informations, inchangée par le projet de loi, la commission a en effet estimé indispensable que les organismes de recherche conservent leur faculté de fixation des modalités de réutilisation de ces données de recherche avant publication des résultats, afin de préserver le potentiel scientifique et technique de la nation.

La commission a enfin transposé une disposition de la directive autorisant la perception de redevances permettant de couvrir les coûts de collecte, de production, de mise à disposition et de diffusion de certains documents. Ce projet de loi sera examiné en séance publique le lundi 26 octobre 2015.

Cybersécurité, Justice, loi

La France s’engage dans la transition numérique

La France est pleinement engagée dans la transition numérique. Forte d’une population très largement connectée et portée par une économie numérique en croissance soutenue, la France dispose de talents et d’atouts à la pointe de l’innovation européenne et mondiale. Le numérique est également un espace de compétition et de confrontation. Concurrence déloyale et espionnage, désinformation et propagande, terrorisme et criminalité trouvent dans le cyberespace un nouveau champ d’expression.

Le Premier Ministre, Manuel Valls, a présenté le 16 octobre la feuille de route de la France dans ce monde de plus en plus connecté. « La « République numérique en actes », voulue par le gouvernement, doit promouvoir nos valeurs, notre économie et protéger les citoyens, indique le Premier Ministre, Œuvrer pour la sécurité du numérique, c’est favoriser le développement d’un cyberespace gisement de croissance pérenne et lieu d’opportunités pour les entreprises françaises, c’est affirmer nos valeurs démocratiques, c’est enfin préserver la vie numérique et les données personnelles des Français. Mon ambition dans le domaine est élevée.« 

Pour l’homme politique, la stratégie nationale pour la sécurité du numérique doit s’appuyer en particulier sur la formation et sur la coopération internationale et doit être portée par l’ensemble de la communauté nationale : le gouvernement, les administrations, les collectivités territoriales, les entreprises et plus largement, l’ensemble des Français. « Elle est l’affaire de tous. Répondre aux enjeux de sécurité du monde numérique est un facteur clé de succès collectif » termine Manuel Valls.

Cette feuille de route comprend cinq grands points. D’abord la stratégie nationale pour la sécurité du numérique. La numérisation de la société française s’accélère : la part du numérique dans les services, les produits, les métiers ne cesse de croître. Réussir la transition numérique est devenu un enjeu national. Vecteur d’innovation et de croissance, la numérisation présente aussi des risques pour l’état, les acteurs économiques et les citoyens. Cybercriminalité, espionnage, propagande, sabotage ou exploitation excessive de données personnelles menacent la confiance et la sécurité dans le numérique et appellent une réponse collective et coordonnée selon cinq objectifs stratégiques.

Ensuite, les Intérêts fondamentaux, défense et sécurité des systèmes d’information de l’état et des infrastructures critiques, crise informatique majeure. En développant une pensée stratégique autonome, soutenue par une expertise technique de premier plan, la France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace de demain. Parallèlement, elle continuera à renforcer la sécurité de ses réseaux critiques et sa résilience en cas d’attaque majeure en développant des coopérations tant à l’échelle nationale avec les acteurs privés qu’internationale. La France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace. Elle consolidera la sécurité numérique de ses infrastructures critiques et œuvrera pour celle de ses opérateurs essentiels à l’économie.

En troisiéme point, la confiance numérique, la vie privée, les données personnelles, la cybermalveillance. Afin que le cyberespace reste un espace de confiance pour les entreprises de toutes tailles et les particuliers, des mesures de protection et de réaction seront adoptées. La protection passera par une vigilance accrue des pouvoirs publics sur l’utilisation des données personnelles et par le développement d’une offre de produits de sécurité numérique adaptée au grand public. La réaction s’articulera autour d’un dispositif d’assistance aux victimes de cybermalveillance qui apportera une réponse technique et judiciaire à de tels actes. La France développera un usage du cyberespace conforme à ses valeurs et y protégera la vie numérique de ses citoyens. Elle accroîtra sa lutte contre la cybercriminalité et l’assistance aux victimes d’actes de cybermalveillance. Protéger la vie numérique, la vie privée et les données personnelles des Français. À la faveur du règlement européen en matière d’identité électronique (eIDAS), la France se dotera d’une feuille de route claire en matière d’identité numérique délivrée par l’État. Cette feuille de route sera élaborée avant la fin de l’année 2015. Elle viendra, normalement, prendre en compte la directive européenne sur l’obligation des entreprises à alerter leurs clients en cas de fuite, vol, piratage de données.

A noter que pour informer les Français sur l’utilisation faite des données confiées aux services numériques, une signalétique adaptée et partagée avec les États volontaires et en cohérence avec les travaux européens effectués dans le cadre du règlement européen relatif à la protection des données à caractère personnel sera mise en place courant 2016. Cette signalétique permettra de visualiser les caractéristiques essentielles des conditions d’utilisation des plates-formes et services numériques ou des moyens de paiement utilisés.

Un point important, traitant de la sensibilisation, les formations initiales, les formations continues a été mis en avant. La prise de conscience individuelle des risques liés à la numérisation de la société reste insuffisante. Face à ce constat, la sensibilisation des écoliers et des étudiants sera renforcée. En outre, afin de répondre aux demandes croissantes des entreprises et des administrations en matière de cybersécurité, la formation d’experts dans ce domaine sera développée. La France sensibilisera dès l’école à la sécurité du numérique et aux comportements responsables dans le cyberespace. Les formations initiales supérieures et continues intégreront un volet consacré à la sécurité du numérique adapté à la filière considérée.

backdoor, Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, loi, Piratage, ransomware, Social engineering

Repenser la manière de se prémunir contre les cyber-attaques

Selon le dernier rapport publié par PwC, les cyber-attaques augmentent inexorablement et la France fait partie des premiers pays les plus touchés. Les pertes financières associées sont aujourd’hui estimées à 3,7 millions d’euros par entreprise, soit quasiment l’équivalent des budgets dédiés à la sécurité informatique évalué à 4,8 millions d’euros. Avec une hausse de 51% des incidents de sécurité sur les douze derniers mois, il devient urgent d’adresser les problématiques de sécurité au plus haut niveau de l’entreprise, avant que l’impact sur les résultats de l’entreprise ne soit irrémédiable.

Cette dernière enquête confirme la prise de conscience des entreprises vis-à-vis de la sécurité de leurs données et des conséquences financières et commerciales inévitables qu’une cyber-attaque engendre. Malgré la croissance effrénée des incidents de sécurité, les responsables d’entreprises ou de service IT interrogés dans le cadre de cette enquête semblent pourtant avancer dans la bonne direction.

En effet, l’extension du périmètre à protéger en raison de mauvaises pratiques de sécurité imputées aux employées ou aux prestataires externes, confirme la nécessité d’utiliser une méthode de surveillance globale du réseau et de l’ensemble des interactions avec l’extérieur. Les recommandations de PwC vont d’ailleurs dans ce sens : il n’existe pas de modèle standard de protection, c’est l’utilisation d’un mix de technologies intégrées et holistiques qui rend
le système de protection plus efficace.

Le fait que 59% des répondants préconisent l’analyse de toutes les sources de données de l’entreprise comme principal levier d’amélioration de la sécurité, grâce notamment à une surveillance accrue sur l’ensemble du périmètre à protéger en temps réel, prouve que la perception des entreprises évolue
et que l’idée d’une solution de sécurité unique disparaît peu à peu.

Chaque attaque est unique et les méthodes utilisées par les hackers diffèrent selon l’objectif à atteindre. En prenant en considération le fait que les pirates savent se faire discrets et restent parfois plusieurs mois, voire des années, à attendre le bon moment d’opérer leurs méfaits, les entreprises
peuvent passer à côté de failles importantes sans une surveillance permanente et en temps réel de ce qui se passe sur leur réseau. En cas d’attaque, des outils permettant la détection immédiate d’un comportement anormal sur le réseau sont également indispensables afin de pouvoir y remédier le plus rapidement possible.

Si l’augmentation des investissements des entreprises françaises dans la sécurité est une bonne nouvelle, les entreprises doivent repenser la manière dont protéger leurs données confidentielles en partant du principe que l’ennemi se trouve déjà à l’intérieur et qu’il ne reste qu’à le trouver et l’éliminer. (Par Jean-Pierre Carlin, LogRhythm)

Cybersécurité, Justice, loi

Transfert de données personnelles des états membres de l’Europe vers les Etats-Unis

Un commentaire

Dans un communiqué de Presse du 7 octobre, la CNIL annonçait qu’elle devait se réunir avec ses homologues du groupe de l’article 29 afin de déterminer précisément les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015 sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».

Par un arrêt du 6 octobre 2015 (affaire C-362/14), la Cour de Justice de l’Union Européenne a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui reconnaissait le niveau de protection suffisant des entreprises américaines ayant adhéré au Safe Harbor et consacrait ainsi le principe de libre transfert des données à caractère personnel depuis les pays membres de l’Union Européenne vers les Etats-Unis.

La CJUE a donc déclaré que les Etats Unis n’assuraient plus un niveau de protection suffisant des données à caractère personnel en invalidant le mécanisme du Safe Harbor, ensemble de règles juridiques instaurées par le Département du Commerce des États-Unis, en concertation avec la Commission européenne, afin de permettre aux entreprises et organisations américaines de se conformer à la Directive européenne. Cela remet en cause le principe de liberté de transfert des données personnelles aux Etats-Unis.

Mais cela signifie-t-il que tous les transferts de données à caractère personnel vers les Etats-Unis sont interdits ?

La réponse est certainement négative. Mais, depuis le 6 octobre 2015, les autorités de protection des données doivent examiner la validité des transferts aux Etats-Unis qui leur sont soumis, en tenant compte du fait que la protection des données n’est pas suffisante. Il apparaît désormais nécessaire pour les prochains transferts de données, en B to B, de signer des Clauses Contractuelles Types adoptées par la Commission européenne (de responsable à responsable ou de responsable à sous-traitant) ou encore d’adopter dans les transferts intra-groupe des Règles internes d’entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers. La question est plus délicate pour les transferts déjà réalisés, la signature de clauses contractuelles types pourrait s’avérer nécessaire. (Maitre Julienne de Chavane de Dalmassy Avocat du département Propriété Industrielle et Nouvelles Technologies Cabinet Cornet Vincent Segurel)

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi

Nouvelles lois sur les violations de données pour la Californie

Un commentaire

Le 6 octobre, le gouverneur de Californie a signé trois nouvelles lois qui tentent de clarifier les éléments liées aux violations de données.

Aux USA, dès qu’une entreprise se retrouve face à une fuite de données (piratage, ordinateur volé, clé usb perdue, documents transformés en confettis…), obligation lui est faite d’avertir les autorités, le Département de Justice et, par le biais du DoJ, les clients/utilisateurs potentiellement impactés.

Le 6 Octobre, le gouverneur de Californie, Jerry Brown, a signé trois nouvelles lois qui visent à clarifier les éléments clés des notifications alertant d’une fuite de données. Des lois qui sont censées fournir des conseils aux personnes, aux entreprises et aux organismes étatiques et locales qui stockent des informations personnelles. Des lois qui prendront effet le 1 Janvier 2016.

AB 964
Parmi ces trois lois, l’article AB 964 a fait tendre l’oreille et la souris de la rédaction de DataSecurityBreach.fr car elle vise la question du chiffrement. Les renseignements personnels sont maintenant considérés comme correctement « chiffrés » si elles sont « rendues inutilisables, illisibles ou indéchiffrables à une personne non autorisée à travers une technologie de sécurité ou de méthode généralement reconnue dans le domaine de la sécurité de l’information. » Malin, le législateur ne précise pas de son côté ce qu’est la meilleure méthode pour chiffrer efficacement.

Aujourd’hui, un mot de passe hashé (chiffré) en MD5, se cracke en quelques secondes. Ne parlons pas de l’utilisation de SSL, RC4 et TLS 1.0 (tous maintenant interdits par l’IETF). L’article SB 570 stipule que les alertes doivent être titrée « Avis de violation de données » et présenter des informations de notification pertinentes : ce qui est arrivé; quelle information impliquée; ce que le fuiteur a mis en place pour protéger les données. La dernière loi, la SB 34, élargit la définition du terme « renseignements personnels ».

Cybersécurité, Hacking, loi, Mise à jour, Patch, Rendez-Vous

Un drone film une base de la NSA en Allemagne

Des hacktivistes manifestent contre la cyber surveillance de la NSA en survolant une base de la Nationale Security Agency basée dans le sud de Francfort, en Allemagne.

Le groupe d’hacktivistes Intelexit vient de lancer une manifestation à l’encontre de la surveillance de masse mise en place par les Américains. Leur idée, si la NSA nous surveillance, surveillons la NSA. Avec un drone, ils ont survollé la base militaire américaine Dagger, basée au sud de Francfort (Allemagne).

En plus de filmer, le drone a lâché des brochures exhortant les employés de la NSA à quitter leur emploi et à soutenir la lutte contre la surveillance de masse. Le complexe abriterait l’outil XKeyStore, un système utilisé par la NSA qui permettrait de suivre et de stocker tout ce qu’un utilisateur fait à travers l’Internet. L’outil est connu comme un des piliers de la NSA dans la collecte des informations diffusées en Europe.

Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle

Le coût moyen du cybercrime s’élèverait à 13.4M€ par entreprise

Une enquête annuelle révèle que le coût moyen du cybercrime s’élève à 13.4M€ par entreprise Cette sixième étude annuelle, résultat du partenariat entre HP et le Ponemon Institute, prouve l’intérêt pour les entreprises de réorienter leur stratégie en matière de sécurité

HP dévoile les résultats de la sixième enquête annuelle menée en partenariat avec le Ponemon Institute, qui détaille les impacts économiques des cyberattaques sur les organisations des secteurs public et privé. Les résultats attestent une augmentation du coût du cybercrime pour les entreprises et le changement d’approche qui engage les professionnels de la sécurité IT à réinventer leur façon d’appréhender les risques.

Menée par Ponemon Institute sous l’égide de HP Enterprise Security, l’étude Cost of Cyber Crime Study 2015 chiffre le coût annuel du cybercrime pour des entreprises aux États-Unis, au Royaume Uni, au Japon, en Allemagne, en Australie, au Brésil et dans la fédération de Russie. Sur l’échantillon d’organisations sélectionnées pour l’enquête réalisée aux US, les résultats montrent que le coût annuel moyen du cybercrime par entreprise s’élève à 15 millions d’US$ 1, ce qui représente une croissance proche de 20% par rapport à l’année dernière, et de 82% depuis la première édition de cette étude.

Les résultats montrent également que le délai moyen de résolution d’une cyberattaque – 46 jours – a augmenté d’environ 30% sur les 6 dernières années, et que le coût moyen global de résolution d’une attaque unique dépasse 1,9 million US$. « Une faille de sécurité peut impacter de façon significative la réputation de l’entreprise, ses performances financières, sa stabilité opérationnelle et sa capacité à innover » déclare à datasecuritybreach.fr Sue Barsamian, Sénior Vice-Président et Directeur Général de la division HP Enterprise Security Products. « Cette étude annuelle prouve clairement que les investissements stratégiques dans les solutions de sécurité, les technologies de chiffrement et les bonnes pratiques de gouvernance peuvent faire une différence substantielle dans la manière de protéger ce qui compte le plus pour l’entreprise – les interactions entre utilisateurs, les applications et les données – et lui permettre de garder un cran d’avance sur ses adversaires. »

Pour les entreprises, élargir leur surface digitale veut également dire s’exposer à davantage d’attaques périmétriques de la part des cybercriminels. Bien que les organisations s’efforcent de recourir à de nouvelles technologies pour protéger leur environnement soumis à des attaques toujours plus nombreuses, il devient urgent pour elles de faire évoluer leurs stratégies de sécurité et de contrôle du réseau vers la protection des utilisateurs, des applications et des données. L’étude ‘2015 Cost of Cyber Crime’ confirme ce besoin de changement, démontré par le fait que des organisations dépensent désormais 20% de leur budget de sécurité sur la sécurisation des applications, ce qui représente une croissance de 33 % en seulement deux ans.

Résultats marquants de l’étude 2015 Cost of Cyber Crime aux États-Unis ? Le coût du cybercrime reste très important : le coût annuel moyen du cybercrime pour une entreprise s’élève à 15 millions US$, avec une plage allant de 1,9 million US$ jusqu’à 65 millions US$ par an 1. Sur les 6 années de l’enquête, cela représente une augmentation globale de 82%.

Le coût du cybercrime varie selon la taille de l’organisation ciblée : les résultats montrent une nette corrélation entre le nombre d’ employés de l’entreprise et le coût annuel du cybercrime. Néanmoins, sur la base du nombre d’employés, l’enquête montre que les petites organisations subissent un coût par utilisateur plus important que les entreprises de taille plus importante.

Le temps pour remédier aux cyberattaques continue de croître : le délai moyen pour résoudre une cyberattaque est de 46 jours, avec un coût moyen de 1,9 million US$ durant cette période, selon les éléments fournis par les entreprises ayant répondu à l’enquête. Ceci représente une augmentation de 22% par rapport au montant moyen annuel estimé dans l’enquête de l’année dernière – environ 1,5 million US$ – basé sur une période de résolution évaluée alors à 32 jours.

Les résultats montrent que des attaques provenant d’utilisateurs internes malveillants peuvent prendre en moyenne 63 jours avant d’être circonscrites. Les coûts du cybercrime les plus importants. Les cyberattaques les plus coûteuses restent toujours liées au déni de service, aux utilisateurs internes malveillants et aux codes malicieux. Celles-ci ont représenté plus de 50% de toutes les attaques subies par une organisation pendant un an 1. Le vol d’informations continue de représenter le coût externe le plus important, suivi par les coûts liés à une interruption d’activité. Sur une base annuelle, le vol d’informations représente 42% des coûts externes globaux, alors que les coûts associés à une interruption de service ou à la perte de productivité totalise 36% des coûts externes (soit 4%de plus que la moyenne constatée il y a 6 ans). Les tâches de détection et de récupération constituent les coûts d’activités internes les plus importants, soit 55% des coûts totaux de l’activité annuelle interne. Les dépenses de trésorerie et de main-d’œuvre directe représentent la majorité de ces coûts.

La bonne technologie et les bonnes politiques de sécurité font la différence Les organisations, qui ont investi et utilisent des technologies de collecte d’informations sur la sécurité, ont été plus efficaces dans la détection et le cloisonnement des cyberattaques, réduisant ainsi les coûts qui auraient pu être encourus. ? Le déploiement de solutions SIEM (Security Information and Event Management) a permis aux organisations de réduire leurs dépenses de 3,7 millions US$ par an, par rapport aux entreprises n’ayant pas mis en œuvre de solutions de sécurité similaires. ? Un budget de sécurité suffisant peut faire économiser en moyenne 2,8 millions US$ de coûts induits par les actions mises en places pour y remédier et par la gestion des attaques. ? L’emploi de personnels certifiés et/ou experts de sécurité peut réduire le budget d’une entreprise de 2,1 millions US$ à une entreprise. ? L’embauche d’un responsable sécurité de haut-niveau peut faire économiser 2 millions US$ à l’entreprise.

« Avec des cyberattaques de plus en plus fréquentes et graves de conséquences, la compréhension globale de l’impact financier encouru peut aider les organisations à déterminer la quantité appropriée d’investissement et de ressources nécessaires pour prévenir ou atténuer les conséquences d’une attaque« , a déclaré à DataSecurityBreach.fr le Dr Larry Ponemon, Président et Fondateur du Ponemon Institut. « Comme on le voit dans l’étude de cette année, le retour sur investissement pour les organisations déployant des systèmes de renseignement de sécurité, tels que les SIEM, a permis de réaliser en moyenne des économies annuelles de près de 4 millions US$ et prouve la capacité de minimiser les impacts en détectant et en contenant plus efficacement les cyberattaques.« 

État des lieux de la sécurité dans des agences gouvernementales locales, régionales et nationales Afin de mieux comprendre les enjeux auxquels la sécurité de l’IT et les professionnels de la sécurité IT doivent faire face pour sécuriser les agences gouvernementales, HP a également dévoilé les résultats d’une nouvelle étude menée en partenariat avec le Ponemon Institute. L’étude « 2015 State of Cybersecurity in Local, State & Federal Goverment » fait état de découvertes sur la fréquence des attaques ciblant le secteur public à l’échelle locale, régionale ou nationale, des difficultés rencontrées dans la recherche des bonnes compétences en matière de sécurité, et sur les capitaux informationnels les plus exposés au risque. Des informations détaillées peuvent être consultées sur le site.

Cybersécurité, Justice, loi

« Safe Harbor » : quelles protections pour nos données personnelles ?

La décision de la Cour de Justice de l’Union Européenne est tombée mardi 6 octobre : le « Safe Harbor », accord qui encadre l’utilisation des données des internautes européens par de nombreuses entreprises américaines (dont les géants du web), a été suspendu.

Les juges estiment que la mise à disposition des données personnelles des Européens aux agences de renseignements américaines portait « atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». De plus, les citoyens européens ne disposent à ce jour d’aucun recours pour protester contre l’utilisation de leurs données aux Etats-Unis.

Mais les juges pointent aussi du doigt la Commission, qui a noué cet accord avec les Etats-Unis. Contrairement à ce à quoi elle s’était engagée, elle n’a pas constaté que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union.

L’annulation de cet accord devrait contraindre de grandes entreprises américaines à davantage conserver en Europe les données de leurs utilisateurs européens, et ainsi à limiter leur potentiel d’exploitation de ce nouvel or noir. Mais cela est-il vraiment suffisant ? L’entreprise Pradeo, spécialiste de la cyber-sécurité, tire la sonnette d’alarme sur le risque accentué de collecte de données personnelles via les applications mobiles. En effet, elle constate qu’un grand nombre d’applications récupèrent des données personnelles, sans toujours en informer l’utilisateur (géolocalisation, messages, fichiers…).

A quand la mise en place d’un label « Respect de la vie privée et des données personnelles » imposé aux opérateurs du numérique ? (Pradeo)

Cybersécurité, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle

Les chercheurs en cyber sécurité en danger aux USA ?

Un sénateur remet sur le devant de la table des amendements au projet de loi CISA qui rendrait illicite l’utilisation d’un logiciel d’audit de sécurité informatique et la moindre révélation lors d’une conférence.

L’idée du Sénateur Sheldon Whitehouse est-elle de faire peur à l’ensemble de la communauté des chercheurs américains ? Espérons que le politique ne souhaitait que voir son nom affiché dans la presse afin de montrer aux électeurs qu’il travaille ? Toujours est-il que le sénateurs vient de remettre sur le tapis ses amendements, dont le 2626, qu’il souhaite rajouter dans la CISA, la Cyber Information Sharing Act.

Comme le rappel l’EFF, l’Electronic Frontier Foundation, le sénateur veut faire interdire les outils permettant les audits de sécurité informatique et la moindre révélation traitant d’une faille informatique. Des sociétés comme Salesforce, Apple, Microsoft, IBM, Adobe… ont rejoint le CISA. Pour rappel, la loi CISA doit permettre aux Etats-Unis une surveillance de masse des entreprises technologiques sous l’excuse de regrouper dans une base de données centraliées les menaces numériques afin de les faire corriger plus rapidement.

 

Chiffrement, cryptage, Cybersécurité, Justice, loi

Surveillance internationale des communications : Gérard Larcher demande l’avis du Conseil d’État

Le Conseil constitutionnel a censuré le 23 juillet dernier, dans la loi relative au renseignement, une disposition organisant la surveillance internationale des communications électroniques.

Alors que le Gouvernement avait annoncé son intention de déposer un projet de loi complémentaire sur ce sujet, c’est une proposition de loi de deux députés socialistes qui a été déposée en août à l’Assemblée nationale et qui sera débattue au Parlement en octobre prochain. Cette proposition de loi n’a pas été soumise à l’avis du Conseil d’État.

  1. Philippe Bas, Président de la commission des lois du Sénat, a récemment déposé une proposition de loi ayant un objet identique.
  1. Gérard Larcher, Président du Sénat, a décidé de demander l’avis du Conseil d’État sur la proposition du Président Bas, comme le permet l’article 39 de la Constitution, de façon à ce que le Parlement puisse être éclairé sur les éventuels risques constitutionnels de ce dispositif. Il est essentiel, dans une matière de cette importance, que les impératifs de la sécurité nationale ne portent pas d’atteinte disproportionnée aux libertés publiques.
Cybersécurité, Facebook, Justice, loi, Particuliers

Facebook va combattre les propos racistes

Facebook a décidé de travailler avec les autorités allemandes pour contrer les discours de haine, ainsi que la xénophobie en ligne.

Les médias sociaux sont souvent critiqués face aux nombreux propos haineux, racistes, xénophobes qui peuvent déverser certaines populations du web. Selon des sources internes à Facebook, l’équipe du réseau social a décidé de travailler avec les autorités allemandes pour contrer les discours de haine et la xénophobie en ligne.

Cette décision intervient après un appel du ministre de la justice Allemande, au mois d’août, critiquant Facebook, Twitter et les autres réseaux sociaux. Le politicien considérant que les réseaux sociaux ne luttaient pas assez contre les discours de haine à l’encontre des réfugiés.

Facebook va collaborer avec le ministère allemand de la Justice et les fournisseurs de services Internet pour créer un groupe de travail dédié à cette problématique. (WSJ)

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering

Les écoles autorisées à vendre les données des enfants

Des écoles américaines autorisées par la loi fédérale à vendre des informations de leurs élèves aux commerçants.

Voilà qui ne présage rien de bon pour le futur de nos écoles. Aux USA, la loi fédérale autorise dorénavant les écoles publiques à remplir leur caisse en commercialisant les informations des élèves. Il faut dire aussi qu’à la vue des documents que les parents peuvent remplir à chaque rentrée, et durant l’année, les bases de données des établissements scolaires n’ont rien à envier à big brother.

Les sociétés de marketing louchent sur ces clients prescripteurs. En Europe, les sociétés investissent, sous forme de mécénat et autres rendez-vous scolaires (Junicode, cross de l’école, soirée étudiante, …) mais n’ont pas encore la main mise sur les données. Aux USA, les parents doivent trouver la petite case qui interdit la diffusion des données. Elle est souvent cachée dans le monceau de feuilles à signer. En France, comme ailleurs, n’hésitez pas à ouvrir une adresse mail dédiée uniquement à l’année scolaire en cours [sco2016@votrenomdedomaine.fr, par exemple] et lisez bien les petites lignes, comme celle qui vous informe que votre enfant pourra finir dans la presse locale/territoriale lors d’une sortie de classe, d’une fête d’école, … [WTOP]

Cybersécurité, Justice, Livres, loi

Les 50 décisions clés du droit de l’Internet

L’équipe Legalis.net, site incontournable, vient de publier l’ouvrage « Les 50 décisions clés du droit de l’Internet« , une coédition Legalis et Celog Éditions.

Le droit de l’internet est né avec une décision de justice, l’ordonnance de référé du TGI de Paris rendue le 14 août 1996 dans l’affaire Brel. Legalis.net est également né avec ce texte fondateur. Vingt ans après, l’équipe Legalis.net a souhaité célébrer cet anniversaire en publiant un livre de référence reproduisant les 50 décisions clés du droit de l’internet, qui font encore jurisprudence en 2015. Cette sélection a été effectuée à partir de la base de données de Legalis.net qui comporte plus de 2 300 ordonnances, jugements et arrêts. Les décisions sont publiées en version intégrale, précédées d’une présentation de l’affaire. Les textes sont regroupés en sept grands thèmes du contentieux de l’internet : responsabilité des acteurs, droit d’auteur et bases de données, marques, contenus illicites, vie privée et données personnelles, commerce électronique et droit social. Cet ouvrage sera actualisé chaque année selon l’évolution de la jursiprudence. Actuellement disponible sur Amazon.

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Facebook, ID, Identité numérique, Justice, loi, Particuliers

Reconnaissance du visage, une nouvelle plainte contre Facebook

Une nouvelle plainte contre le système biométrique de Facebook. Cette fois, un collectif de l’Illinois souhaite faire interdire la reconnaissance du visage mis en place par le portail communautaire.

Pour la quatrième fois cette année, Facebook Inc. a été frappé d’une poursuite judiciaire instiguée par un collectif d’internautes mécontents. C’est un résident de l’Illinois qui souhaite faire interdire la reconnaissance faciale de Facebook. Il indique que le logiciel biométrique du portail communautaire viole une loi sur la vie privée de l’état dans lequel vit l’opposant.

Cette 4ème plainte, depuis le début de l’année aux USA, a été déposée lundi 31 août 2015. Elle souligne une bataille qui pourrait se répercuter sur le reste de l’industrie high-tech des États-Unis. Avec près de 1,5 milliard d’utilisateurs actifs, Facebook a amassé ce qui est probablement la plus grande base de données privée au monde de « faceprints ». Des scans numériques de nos visages via des motifs géométriques uniques.

Facebook explique utiliser ces identifiants pour suggérer automatiquement des photos à ses utilisateurs. Lorsque les utilisateurs téléchargent de nouvelles photos sur le site, un algorithme calcule une valeur numérique basée sur les caractéristiques uniques du visage d’une personne. Pour Facebook, un moyen pratique de rester connecté avec ses amis. Les défenseurs de la vie privée et des droits civils indiquent que ces données générées par la technologie de reconnaissance faciale est particulièrement sensible, et exige des garanties supplémentaires.

Cybersécurité, ID, Identité numérique, Justice, loi, Particuliers

Le Dakota du Nord Autorise la police à utiliser des drones armés

La police du Dakota du Nord, aux USA, peut légalement déployer des drones équipés de pistolets paralysants et de gaz lacrymogènes.

« Sarah Conord ? » – La constitution américaine vient de voir une nouveauté intéressante que le législateur risque de débattre lors de la campagne présidentielle américaine. Faut-il utiliser des robots pour sécuriser le gentils citoyens de l’Oncle Sam ? La police du Dakota du Nord s’est posée la question et a trouvé la réponse. Elle vient de recevoir l’accord de déployer des drones équipés de pistolets paralysants et de gaz lacrymogènes. Les juristes ont surfé sur le projet de loi HB 1,328 qui autorise l’armement des drones, et de leur utilisation, contre les citoyens hors-la-loi. Une condition, que les armes en question soient «à létalité atténuée», comprenez, elles ne vont pas tuer.

Cette nouvelle possibilité accélère la nécessité de se poser des questions importantes : quel niveau de militarisation est admissible pour la police ? Est-ce que la police locale a besoin d’armes utilisées par l’armée. La mission première de la police étant de faire l’appliquer la loi. Pour les américains, une évolution qui vise à faire disparaitre le 4ème amendement ? Un amendement qui impose le mandat d’un juge pour agir. (TNA)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Piratage

Nouvelles règles au sujet des fuites de données aux USA

Alors qu’en France et en Europe, le règlement sur la sécurité des données des internautes est toujours dans l’attente d’une résolution définitive, aux USA, le Pentagone vient de diffuser les nouvelles règles sur le sol américain.

La mesure porte sur les données confidentielles militaires technologiques et scientifiques, connus comme « des informations techniques non classés », ainsi que toutes les autres données non classés «protégées», telles que les informations de contrôle des exportations. La protection des informations classifiées est régie par d’autres mesures. En cas de piratage, fuite de données, visant une entreprise travaillant pour le gouvernement américain, mais aussi les entités gouvernementales, une alerte doit être diffusée dans les 72 heures via un site que le Ministère de la Défense a mis en place pour l’occasion.

Cyber-attaque, Cybersécurité, Emploi, Entreprise, Justice, loi, Mise à jour, Patch, Piratage, Propriété Industrielle, santé, Virus

Un appareil médical interdit en raison de vulnérabilités numériques

2 commentaires

La Food and Drug administration vient de faire interdire un appareil médical considéré comme dangereux en raison de trop nombreuses vulnérabilités informatiques. Un pirate pourrait manipuler les transfusions à un patient.

La FDA, la Food and Drug administration, l’Agence américaine des produits alimentaires et médicamenteux vient de tirer la sonnette d’alarme au sujet des matériels médicaux face aux pirates informatiques. Pour ce faire entendre, et faire de manière à ce que les constructeurs écoutent avec leurs deux oreilles, la FDA vient de faire interdire le dispositif médical de la société Hospita.

Le matériel incriminé, une pompe à perfusion, l’Hospira Symbiq Infusion System. La FDA encourage « fortement les établissements de soins de santé à changer de matériel, à utiliser des systèmes de perfusion de rechange, et de cesser l’utilisation de ces pompes [celles d’Hospita]. »

La raison de cette interdiction ? Trop de vulnérabilités pourraient être exploitées par des pirates informatiques, et donc mettre en danger les patients. Des failles qui pourraient permettre à un utilisateur non autorisé de contrôler l’appareil et de modifier la perfusion. Délivrer plus ou moins de médicament par exemple.

Une interdiction qui était prévue chez Hospira. Le constructeur avait annoncé en mai 2013 qu’il mettrait à la « retraite » Symbiq, ainsi que d’autres pompes à perfusion. Une mise à la retraite prévue pour la fin 2015.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, escroquerie, Espionnae, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering, Téléphonie, Vie privée

Fuite de données dans les poubelles de Motel 6

Retrouver des photocopies de permis de conduire, des copies de plaques d’immatriculations, des signatures ou encore des identités à la sortie d’un Hôtel, voilà une fuite de données pas courante… ou presque.

La chaîne américaine d’hôtels, Motel 6, fait face à une fuite de données peu courante. Une cliente a découvert des centaines de dossiers aux pieds des poubelles d’une des structures hôtelière du groupe. En regardant les dossiers, des contenus privés et sensibles allant des photocopies de permis de conduire, des numéros de téléphones, des numéros de plaques d’immatriculation et même des signatures de clients.

A première vue l’Oncle Sam a du mal à faire comprendre à certaines entreprises comment bien détruire les données privées et sensibles qu’elles collectent. Comme ces confettis utilisés pour fêtes les championnes du monde de football qui n’étaient rien d’autre que des dossiers médicaux découpés en petites bandes de papier… pour faire la fête ! (Image KalTv)

Argent, backdoor, Banque, Cyber-attaque, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, loi, Paiement en ligne, Particuliers, Piratage, Vie privée

Arrestations des pirates présumés de la banque JPMorgan Chase

Les services secrets américains semblent avoir mis la main sur les présumés pirates informatiques de la banque JPMorgan Chase. Les polices américaine et isralienne ont arrêtés 4 hommes. Un cinquième est en fuite.

Quatre personnes ont été arrêtées en Israël et en Floride dans le cadre de l’enquête sur le piratage informatique de la banque américaine de la banque JPMorgan Chase. Les réseaux informatiques de la banque avaient été attaqués au mois d’août 2014. 6 millions de foyers, et 7 millions de PME, avaient été visés par ce pirarate. Le porte-parole de la police israélienne, Micky Rosenfeld, a confirmé à l’agence Reuters que trois personnes avaient été arrêtées. Ils ont été présentés devant le juge de Rishon Lezion (région de de Tel Aviv. L’agence Bloomberg indique qu’un cinquième suspect est en fuite. Les 5 présumés pirates sont aussi accusés de l’infiltration de plus de 500.000 PC via l’exploitation du botnet Qbot (aussi appelé Qakbot). 800 000 transactions bancaires en ligne auraient été compromises. 59 % des sessions appartenaient à cinq des plus importantes banques américaines. 52 % des systèmes infectés étaient des systèmes Windows XP ! Des arrestations qui font suite à l’affaire Darkode ?

backdoor, Cyber-attaque, Cybersécurité, DDoS, Justice, Leak, loi, Piratage

13 ans de prison pour un pirate informatique

Un ressortissant vietnamien condamné à 13 ans de prison pour avoir mis en place un groupe international de pirates informatiques. Il s’était spécialisé dans le vol d’identité.

Un ressortissant vietnamien a été condamné, aux USA, à 13 ans de prison pour le piratage de centaines d’ordinateurs d’entreprises américaines. But avoué par le pirate, mettre la main sur un maximum d’informations personnelles, les fameux PII américains. Ses attaques, qu’il orchestrait avec une bande de malveillants 2.0 qu’il avait recruté sur Internet, auraient visé environ 200 millions de citoyens américains. Des actions menées entre 2007 et 2013.

Hieu Minh Ngo, 25 ans, a été condamné par la Cour du district du New Hampshire pour ces agissements. HMN passait par des forums et sites de black market, dont Darkode, pour vendre les millions d’identités qu’il avait volé, les fullz (identités, données bancaires, …). Il a été découvert que le pirate possédait un porte feuille d’un millier de « clients » dispersés à travers le monde. Ngo possédait plusieurs sites Internet dont superget.info et findget.me.

La grande majorité des 200 millions de données volées provenaient du piratage d’une entreprise basée dans le New Jersey. Il aurait gagné sur une période de 6 ans, 2 millions de dollars. 13 673 citoyens américains, dont la PII a été volée et revendue, aurait été touché par des dépôts et des retraits  d’argent frauduleux à hauteur de 65 millions de dollars, dixit l’Internal Revenue Service.

Hieu Minh Ngo a été pourchassé par les Services Secrets, le FBI, et les services informatiques de plusieurs divisions de lutte contre le crime informatique de nombreux pays et de la section de la propriété intellectuelle des États-Unis.

Pendant ce temps…

L’Université de Miami piratée. La rédaction de DataSecurityBreach.fr a pu constater sur un site de diffusion de document, les identifiants de connexion de plusieurs centaines d’enseignants : logins, mots de passe (chiffrés, NDR) et adresses mails. Le pirate, qui semble Russe, a mis en ligne dans la foulée l’accès et les identifiants de connexion au WordPress de l’établissement. Les motifs évoqués par le pirate sont puériles « Depuis de nombreuses années, nous vous regardons. explique le pirate qui signe d’un dragon crachant du feu. Les gens se réveillent. Nous allons vous détruire. » Ce que ne dit pas le pirate est que sa base de données volée n’a pu être revendue dans le blackmarket en raison des mots de passe inutilisables. Bilan, une mise en pâture d’informations privées et personnelles à défaut d’en tirer quelques bitcoins.

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, loi, Piratage

La Chine renforce sa loi dédiée au cyber crime

La Chine vient va promulguer une nouvelle loi dédiée à la cyber sécurité. Pékin veut plus de coopération internationale pour contrer les pirates et renforcer ses moyens de réponse.

Le gouvernement Chinois a décidé de prendre le taureau par les cornes et souhaite arrêter les pirates qui, via son sol, attaqueraient toute la planète. Bref, Pékin en a marre d’être montré du doigt par les Etats-Unis et autres gouvernements du monde qui l’accusent d’orchestrer des attaques numériques. L’Assemblée Populaire Nationale (APN) a adopté cette nouvelle loi cyber défense. Zheng Shuna, vice-présidente de la Commission des affaires législatives de l’APN a indiqué que cette la loi était nécessaire car « la situation de la sécurité nationale de la Chine était de plus en plus difficile« . Cette nouvelle législation indique vouloir « développer la sécurité des informations rentrantes et sortantes du pays ; le renforcement des capacités scientifique de la Chine, ainsi que le renforcement de la coopération internationale« . Un moyen aussi pour la Chine de renforcer le contrôle des logiciels rentrant sur son territoire.

Pendant ce temps…

Les pirates chinois soupçonnés du piratage de milliers de dossiers de fonctionnaires de l’Oncle Sam auraient, aussi, mis la main sur les dossiers personnels d’agents du FBI. Une fuite qui pourrait avoir des implications de sécurité nationale. 35.000 agents fédéraux américains travaillent pour le FBI.

Argent, Banque, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Paiement en ligne, Particuliers

Un pirate informatique arménien condamné à de la prison ferme

Davit Kudugulyan, la tête pensante d’une groupe de pirates informatiques arméniens condamné à de la prison ferme pour piratage de données bancaires.

Davit Kudugulyan était le chef d’une petite bande de pirates informatiques qui aura occasionné plusieurs millions de pertes financières aux banques américaines. L’homme a été accusé, et condamné, pour le vol d’informations financière appartenant à des centaines de personnes aux USA.

Davit a plaidé coupable devant un tribunal du comté de New York, mercredi. En Mars 2015, Kudugulyan et trois autres suspects, Garegin Spartalyan, Hayk Dzhandzhapanyan et Aram Martirosian, étaient arrêtés à New York après avoir utilisé des centaines de clones de cartes bancaires piratées.

Après avoir plaidé coupable, Kudugulyan a été condamné à neuf ans de prison et payer 750.000 dollars d’amende. Lors de son arrestation dans un hôtel de New-York, les policiers vont retrouver 200.000 $ dans la chambre de Kudugulyan. (TH)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, loi, Mise à jour, Patch, santé, Social engineering

Nos données de santé, source de convoitises pour les pirates

2 commentaires

91% des entreprises de santé interrogées ont subi une violation de leurs données au cours de ces 2 dernières années selon l’étude « Privacy and Security of Healthcare Data » du Ponemon Institute et seulement 32% pensent avoir les ressources suffisantes pour parer ces incidents1. La majorité des entreprises de santé sont désarmées et ne sont absolument pas en mesure de répondre à la Réglementation européenne sur la Protection des Données qui devrait être mise en application très prochainement.

L’étude Ponemon montre que, pour la première fois, les attaques criminelles sont la première cause de violations de données de santé. Jusqu’alors, la perte ou le vol d’ordinateurs, de tablettes ou de smartphones par négligence avait conduit à des violations de données. Aujourd’hui, les choses ont évolué. Nous passons des violations de données accidentelles ou opportunistes aux violations de données intentionnelles. Une tendance qui s’affirme. Les cybercriminels ciblent de plus en plus les données médicales. Ils exploitent cette mine de renseignements personnels, financièrement lucratifs. Les centres hospitaliers, laboratoires d’analyses médicales, pharmacies… ne disposent malheureusement pas des ressources, des processus et des technologies pour prévenir et détecter les attaques contre les données sensibles qu’elles manipulent. Leur défaillance, régulièrement pointée du doigt par les médias, se traduit par la fuite des données sensibles de leurs patients. On se souvient par exemple, des centaines de résultats d’analyses médicales provenant d’une soixantaine de laboratoires, accessibles sur Internet à cause d’une faille2 ou de la publication du dossier médical de Michael Schumacher3.

Si l’on observe une légère hausse des investissements des organisations de santé pour protéger les informations médicales, ces efforts restent cependant insuffisants pour contrer les cyber-menaces qui évoluent très rapidement. La moitié des entreprises de santé ont peu confiance – parfois même pas du tout – dans leur capacité à détecter une perte ou un vol de données de leurs patients.

Une faiblesse en décalage avec les obligations légales
En France, les informations relatives à l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi Informatique et Liberté. La Réglementation générale sur la protection des données, en cours d’adoption par le Conseil de l’Union Européenne vient compléter la législation française. Les professionnels et les établissements de santé sont strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel. En pratique, les professionnels de la santé doivent prendre toutes les précautions nécessaires pour empêcher que ces données soient modifiées, effacées (par erreur ou volontairement) et que des tiers non autorisés y aient accès.

L’absence de mise en œuvre de mesures de sécurité est considérée comme une atteinte grave à la protection de la vie privée et peut être pénalement sanctionnée (amende et emprisonnement). Cependant, de nombreux professionnels ont des difficultés à se mettre en conformité avec la réglementation. En milieu hospitalier, par exemple, médecins, infirmiers et personnel administratif n’ont pas toujours été sensibilisés aux règles à respecter en matière de sécurité et de confidentialité des données.

Une réglementation unique pour toute l’Europe
La mise en œuvre de la future Réglementation sur la Protection des Données qui s’effectuera de manière identique dans tous les pays membres contrairement à la Directive actuelle, devrait avoir d’importantes conséquences sur l’organisation de l’entreprise. Comment respecter cette norme qui va engendrer des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données ?

Toute violation des données devra obligatoirement être déclarée. Concrètement, un système actif de surveillance des échanges et des flux de données devient nécessaire. Il convient en premier d’examiner avec attention le rôle et la responsabilité des différents acteurs de l’entreprise manipulant les dossiers médicaux. Il faut engager une sensibilisation forte au respect des bonnes pratiques, puis établir une politique de sécurité et de protection des données. On commence par évaluer les risques pour décider les actions à adopter, en fonction des faiblesses de l’établissement de santé. Le point clé est la visibilité sur la circulation des données au sein du réseau, compte tenu du risque que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l’accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les logs fournissent une vision complète et exacte de ce qui a été consulté. Informer rapidement les organismes de réglementation en cas de violation des données devient alors possible ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces
La communauté des entreprises de santé partage des données vulnérables et offrent une grande surface d’attaque avec de nombreux points d’accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Aussi convient-il de faire appel à des experts pour mettre en place dès à présent ces exigences en matière de sécurité et de conformité. On peut bien sûr penser que rien ne presse, la mise en œuvre effective de la réglementation étant prévue après une période de deux ans. L’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. (par Frédéric Saulet, pour DataSecurityBreach.fr, Directeur Régional Europe du Sud de LogPoint)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

Chiffrement, cryptage, Cybersécurité, Justice, loi

Le Sénat a adopté les conclusions de la commission mixte paritaire sur le projet de loi relatif au renseignement

Un commentaire

Au cours de la séance du 23 juin 2015, le Sénat a adopté les conclusions de la commission mixte paritaire (CMP) sur le projet de loi relatif au renseignement. La CMP avait adopté plusieurs dispositions dans la rédaction issue des travaux du Sénat.

Ainsi, les dispositions du Sénat visant à garantir les libertés publiques ont été maintenues. Il s’agit notamment de la définition du respect de la vie privée qui implique le secret des correspondances, protection des données personnelles et l’inviolabilité du domicile ; la possibilité pour toute personne souhaitant vérifier qu’aucune technique de renseignement n’est mise en oeuvre de manière irrégulière à son encontre de saisir la CNCTR (Commission nationale de contrôle des techniques de renseignement) sans avoir à démontrer un “intérêt direct et personnel” à agir ; – la limitation à deux mois de la durée d’autorisation de mise en oeuvre des techniques particulières de renseignement portant sur les données de connexion ; la possibilité pour le Conseil d’Etat de statuer en référé en premier et dernier ressort dans le cadre de contentieux sur la mise en oeuvre des techniques de renseignement.

En outre, l’administration pénitentiaire ne pourra pas utiliser les techniques de recueil de renseignement et la computation du délai de conservation des renseignements se fera à partir du recueil de la donnée et non de son exploitation. En commission mixte paritaire, sénateurs et députés se sont accordés sur le délai de conservation des données recueillies par les techniques de renseignement, fixé à 30 jours pour les interceptions de correspondances, à 120 jours pour les renseignements collectés dans le cadre de la captation d’images ou de données informatiques, à quatre ans pour les données de connexion et à six ans pour les données cryptées.

En séance, lors de la lecture des conclusions de CMP, le Sénat a adopté l’amendement n° 8 du Gouvernement qui supprime une disposition adoptée par la commission mixte paritaire et qui prévoyait que le Premier ministre pouvait autoriser le recours aux techniques de renseignement sans avis préalable de la CNCTR lorsque leur mise en œuvre ne concerne ni un Français, ni un résident habituel en France.

Ce texte sera adopté définitivement si l’Assemblée nationale adopte les conclusions de la commission mixte paritaire dans les mêmes termes le 24 juin 2015.

Cybersécurité, Leak, loi, Piratage

Le pirate d’un logiciel de simulation d’hélicoptère Apache plaide coupable

Austin Alcala, un diplômé de Fishers High School, vient de plaider coupable pour le piratage informatique de Microsoft, Epic Games, Valve, Activision ou encore Zombie Studios, des éditeurs de jeux vidéo. Il avait mis la main sur un logiciel de simulation d’hélicoptère Apache.

Nous vous révélions, en octobre 2014 dans l’article « De la XBOX one aux secrets de l’armée US, il n’y a qu’un pas » comment un étudiant américain avait mis la main sur les codes des jeux vidéo comme « Call of Duty: Modern Warfare 3 » ou « Gears of War 3« . Lui et plusieurs de ses amis, membres du groupe Xbox Underground (membre d’un groupe international baptisé Groupe XU), avaient été arrêtés en juin 2014 par le FBI pour le piratage de Microsoft. Il avait mis la main sur des informations sensibles concernant la « Durango », la nouvelle console de Microsoft connue aujourd’hui sous le nom de Xbox One.

Dans la liste des autres victimes du Xbox Underground, des éditeurs de jeux vidéo, dont Epic Games, Valve, Activision ou encore Zombie Studios, des éditeurs de jeux vidéo. Ce dernier a attiré les regards des services secrets américains. Zombie Studios propose un simulateur d’hélicoptère de combat (AH-64D Apache Simulator) pour l’armée de l’Oncle Sam. Austin Alcala, la tête pensante du groupe vient de plaider coupable. Les autres suspects, Nathan Leroux, David Pokora, et Sanadodeh Nesheiwat ont également plaidé coupable. Pokora a été condamné à 18 mois de prison fédérale, suivie de trois ans de liberté surveillée.

Leroux et Nesheiwat connaitront leur avenir le 11 Juin prochain. Alcala est accusé d’avoir occasionné pour 100 millions de dollars de dégâts/réparations/préjudices. Il connaitra la sentence, le 29 juillet prochain.

Cybersécurité, DDoS, Justice, loi, Piratage

Un lycéen risque 5 ans de prison pour DDoS

A 17 ans, un lycéen fait face à des accusations qui pourraient l’entrainer en prison. L’adolescent a payé un service pour lancer une attaque DDoS.

S’il fallait faire simple, le DDoS n’a rien d’un acte de piratage informatique. S’il fallait comparer, un pirate informatique va crocheter la serrure de votre porte de maison et réussir à ouvrir cette dernière en exploitant une faille technique et humaine. Le DDoS n’a rien de technique et ne demande pas le moindre « savoir-faire » de pirate informatique. L’utilisateur de DDoS ne sait pas crocheter la porte, bilan, il va recouvrir la porte de déchets, histoire d’empêcher que quelqu’un puisse sortir/entrée dans la maison.

Un adolescent de 17 ans a cru la jouer grand pirate informatique en employant cette méthode. Il va payer un service dédié pour paralyser le West Ada school district, un établissement de l’Idaho (États-Unis). Le jeune homme a été retrouvé et arrêté. Il risque aujourd’hui jusqu’à 5 ans de prison ferme (dont 180 jours dans un établissement pour adolescents, NDR).

Le blocage par ce Déni Distribué de Service a empêché des élèves d’étudier en ligne, d’accéder aux cours. Le corps professoral et le personnel ont eu des problèmes d’accès aux systèmes administratifs. En outre, la famille du lycéen est responsable des actes de l’adolescent. Autant dire que l’amende s’annonce salée. 50 écoles ont été perturbées par ce DDoS.

Aujourd’hui, acheter des attaques DDoS est aussi simple qu’un clic de souris comme l’a démontré, dernièrement, ZATAZ.COM.

Cybersécurité, Justice, loi

Chaque policier Néo-Zélandais formé à la cybersécurité

Voilà une initiative de la police Néo-Zélandaise qui mériterait de traverser mers et océans. Chaque nouveau policier fraichement sorti de l’école recevra une formation sur la cybersécurité.

Intéressante idée que celle proposée par le Ministère de l’Intérieur de Nouvelle Zélande. Chaque nouveau policier recevra une formation sur la cyber sécurité et la cyber délinquance. Une manière de faire rentrer les forces de l’ordre du pays, du « simple » policier aux forces spéciales, dans le monde 2.0 qui nous entoure.