Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, loi, Mise à jour

Règlement 2016/679 : 5 questions sur le Règlement Européen de Protection des Données Personnelles

Le règlement 2016/679 du 27 avril 2016 sur la protection des données personnelles sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, le compte à rebours a commencé. Il convient d’être en mesure de faire face au nouveau cadre juridique européen avant sa date d’application. Qu’est-ce que cela implique pour les entreprises ?

Règlement 2016/679 – Quels sont les règles d’application territoriale ? Ce nouveau règlement européen sera d’application directe dans les 28 pays membres de l’UE. Il n’y aura pas de loi nationale de transposition. Ce Règlement s’appliquera à l’identique en « écrasant » les différentes législations nationales existantes en la matière.

Concrètement, que prévoit ce Règlement ?
Si les personnes dont les données personnelles sont collectées résident sur le territoire de l’UE (quelle que soit la localisation de celui qui collecte) : le Règlement 2016/679 s’appliquera obligatoirement à cette collecte et à tout traitement ultérieur des données ainsi collectées. Si le prestataire qui collecte ou traite des données personnelles est situé sur le territoire de l’UE : le Règlement 2016/679 s’appliquera également obligatoirement, même pour des données collectées hors UE. Cela devrait permettre à des non-résidents de l’UE d’obtenir une protection là ou leur propre pays de résidence n’en propose pas forcément.

Quels sont les droits et obligations des entreprises qui collectent et traitent des donnÉes personnelles sur le territoire de l’UE ? L’idée de fond de cette règlementation est d’imposer une transparence lors de la collecte et de tout autre « traitement » des données personnelles. Chaque  “maitre de fichiers” sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures « effectives » de sécurisation technique des traitements. Un régime nouveau d’information obligatoire sera mis en place pour contrer toute violation des traitements. Le régime des sanctions est substantiellement “boosté” pour envisager des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des récalcitrants.

Existe-t-il un régime particulier applicable aux “sous-traitants” ?
Les prestataires de service en mode SaaS et les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son « sous-traitant » respecte ses directives ainsi que les obligations spécifiques qui s’imposeront aussi à ses sous-traitants. Sous la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018) il suffisait que le prestataire (sous-traitant) s’engage par contrat à ne traiter les données du “maitre du fichier” que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitements auxquels il procédait. A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maitre du fichier” et son prestataire SaaS. L’hypothèse de la sous-sous–traitance, extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS, est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles.

Quels sont les droits des “personnes concernées” ?
Les personnes physiques dont les données sont collectées doivent d’abord pouvoir s’assurer qu’elles ont donné leur consentement à la collecte et au traitement ultérieur de leurs données. Le Règlement 2016/679 définit sans ambiguïté la notion de consentement : « toute manifestation de volonté, libre, spécifique, informée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif explicite, que des données [personnelles] la concernant fassent l’objet d’un traitement ». Déjà, à ce stade, il faut noter que le consentement ne pourra plus être présumé (principe de l’opt-out) mais bien exigé de manière positive et au préalable (principe de l’opt-in).

Le Règlement pose ensuite une série de critères que doivent respecter tous les traitements de données personnelles : les données doivent être traitées de manière « licite, loyale et transparente » pour la personne concernée. Ce critère de transparence est la grande nouveauté de ce texte. Ce texte précise en plus que les données personnelles ne peuvent être collectées et traitées « pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités ».

Pour ce qui est des droits accordés aux personnes dont les données personnelles sont traitées, le nouveau Règlement confirme l’existence du droit d’accès, du droit à la rectification et du droit à s’opposer à un traitement. Sont nouveaux le droit à l’effacement (droit à l’oubli), le droit à la limitation du traitement et le droit à la portabilité des données. Enfin, le Règlement consacre de nouvelles dispositions sur le « profilage » des personnes dont les données sont traitées et encadre à ce titre de manière originale les « décisions individuelles automatisées » comprenant un « profilage ».

Y a-t-il un durcissement des obligations de sécurité ?
Tout à fait ! Et c’est une des grandes nouveautés du Règlement 2016/679.  En parallèle de l’obligation de tenue d’un « registre des activités de traitement » de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent. A ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ces mesures techniques peuvent prendre plusieurs formes :

Ø    la pseudonymisation et le chiffrement des données ;
Ø    des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement ;
Ø    des moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique ;
Ø    une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.

Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données. C’est pourquoi le Règlement impose aux responsables de traitement une obligation d’information des autorités de contrôle en cas d’atteinte à la sécurité du traitement, qui entraîne une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données.

Cette obligation d’information en cas d’atteinte aux conditions normales de stockage et d’accès aux données s’impose à l’identique à tout sous-traitant (on pense aux prestataires de service en mode SaaS ou aux hébergeurs) qui a l’obligation d’informer le responsable du traitement de toute atteinte à la sécurité, à charge pour le responsable d’en informer à son tour son autorité de contrôle. (Marc-Antoine Ledieu avocat et Frans Imbert-Vier, Président Directeur Général d’Ubcom.)

Base de données, Cloud, Cybersécurité, Entreprise, Fuite de données, Justice, loi

Protéger votre organisation en appliquant la nouvelle réglementation sur la protection des données

La bataille de la confidentialité sur les données personnelles a franchi un nouveau cap avec l’accord de l’Union européenne sur la nouvelle réglementation sur la protection des données. Cette loi modifie profondément l’approche des entreprises en matière de protection des données clients.

Non seulement elle donne aux citoyens européens un meilleur contrôle sur le moment où les informations personnelles seront recueillies, mais également sur la manière dont elles seront utilisées. Elle prévoit par ailleurs de lourdes pénalités financières en cas d’échec des entreprises à protéger correctement les données collectées. Ces pénalités pouvant représenter jusqu’à 4 % du chiffre d’affaires annuel d’une entreprise, elles serviront ainsi de piqûres de rappel aux équipes dirigeantes.

Bien qu’elle ne s’applique qu’aux données des citoyens européens, cette réglementation s’adresse à toutes les entreprises qui disposent d’une localisation en Europe, ce qui lui confère un véritable rayonnement à l’international. Cette nouvelle loi entraînera des modifications matérielles par rapport aux nouveaux usages et procédés de stockage des données clients, et surtout sur la façon dont les entreprises prévoient de donner l’accès à ces données à leurs employés, à leurs sous-traitants et à leurs partenaires commerciaux.

Cette nouvelle réglementation impose aux entreprises de signaler toute violation de données de ses comptes clients dans les 72 heures, ce qui les poussera à faire évoluer leur système de sécurité de la simple prévention sur le réseau à la détection des intrusions et leur correction en temps réel.

La mise en œuvre du règlement sur la protection des données se traduit par d’importantes implications pour les programmes de gouvernance des identités des entreprises. C’est l’occasion de mettre de l’ordre dans la gestion des identités avant que l’application des pénalités prévues par cette loi n’entre en vigueur. Par anticipation, les entreprises peuvent prendre des mesures significatives, en se reconcentrant sur les priorités de la gouvernance des identités :

·         En premier lieu, répertorier les différents lieux de stockage au sein de l’entreprise dans lesquels figurent les données clients à protéger selon la réglementation sur la protection des données. Elles peuvent se trouver dans des systèmes structurés, tels que les applications ou les bases de données, ou dans des fichiers situés dans des des portails de collaboration (comme SharePoint) ou même dans des systèmes de stockage dans le cloud (comme Box ou GoogleDrive).

·         Ensuite, il convient d’identifier qui doit avoir accès aux données clients et regrouper avec ceux qui y ont déjà accès. Cette démarche doit faire l’objet d’une interrogation permanente, il ne s’agit pas d’un événement ponctuel. Il est important de s’assurer de bien prendre en compte toutes les applications et les plateformes de stockage de fichiers où sont stockées les données clients.

·         Enfin, prévoir des contrôles de gouvernance des identités pour protéger l’accès aux données en accord avec la réglementation sur la protection des données, à mesure que les utilisateurs rejoignent, changent de fonctions ou quittent l’entreprise.

Il n’est pas impossible de se sentir au début un peu dépassé par les exigences de cette nouvelle réglementation sur la protection des données, en particulier concernant les pénalités financières applicables en cas de non-conformité. Toutefois, le fait de placer la gouvernance des identités au cœur de la stratégie de sécurité, dans l’optique de protéger l’accès aux données clients, peut contribuer de manière significative à atténuer le risque d’une potentielle violation des données et d’éviter les pénalités qui en découleraient. (Par Juliette Rizkallah, chief marketing officer, SailPoint)

Contrefaçon, Cybersécurité, Entreprise, Social engineering

Le PDG du géant du e-commerce Alibaba défend la contrefaçon

Alors que le volume de produits contrefaits ne cesse de croître, Jack Ma, PDG du géant du     e-commerce Alibaba, a affirmé lors d’une réunion avec des investisseurs à Hangzhou le 14 juin dernier que « les faux produits présentent aujourd’hui une meilleure qualité et un meilleur prix que les vrais produits » avant d’ajouter que ces produits sont fabriqués dans les mêmes usines avec les mêmes matériaux que les originaux mais n’utilisent simplement pas le même nom.

Ces propos rapportés par le Wall Street Journal ont évidemment provoqué de vives réactions dans le monde de l’industrie du luxe, un des secteurs les plus atteints par la contrefaçon, et posent à nouveau la question du rôle des plateformes de e-commerce dans la lutte contre la contrefaçon.

Alibaba accusé de faciliter la contrefaçon
Fin janvier, l’administration d’état du commerce et de l’industrie chinoise faisait déjà publiquement état d’une prolifération de faux, de vendeurs non-agréés et de pratiques illégales sur les plateformes de vente d’Alibaba, et principalement sur Taobao. Était notamment concernée la maroquinerie de luxe.
En mai dernier, le groupe de luxe français Kering avait d’ailleurs porté plainte aux États-Unis contre Alibaba, pour la second fois, en considérant que le groupe encourageait la commercialisation de produits contrefaits, notamment par la vente de mots clefs et les suggestions de son moteur de recherche, et en tirait profit en toute connaissance de cause.

L’insuffisante implication d’Alibaba dans la lutte contre la contrefaçon
Les méfiances à l’égard du géant chinois sont tangibles. L’adhésion du géant de l’e-commerce à la coalition anti-contrefaçon (Anti-Counterfeiting Coalition Internationale) avait d’ailleurs été suspendue en raison du retrait de certaines maisons de luxe préoccupées par la vente de produits contrefaits sur ses plateformes. Alors que groupe chinois avait pourtant amorcé une opération de communication assurant qu’il se mobilisait activement pour la lutte contre la contrefaçon sur ses sites, le récent discours tenu par son PDG, qu’il justifie par le nouveau business model inhérent à Internet, suscite des doutes quant à la politique réellement poursuivie par le groupe.

Des propos « consternants »
Guillaume de Seynes, président du Comité Colbert et directeur de la maison Hermès, a alors déclaré qu’il trouvait ces propos « consternants » et qu’ils constituaient une atteinte directe aux droits de propriété intellectuelle. Il avait alors souligné que la lutte contre la contrefaçon était particulièrement difficile à mener dans la mesure où un certain nombre de plateformes digitales ne procèdent à aucun contrôle des produits mis en ligne.

Simples intermédiaires techniques, ces plateformes bénéficient d’un régime de responsabilité allégé. Elles ne sont en aucun cas soumises à une obligation générale de surveillance et ne sont tenues que du retrait des contenus illicites qui leur seraient notifiés. Toutefois, elles pourraient être tenues pour responsables de la mise en ligne de produits contrefaisants dès lors qu’elles jouent un rôle actif si elles fournissent des conseils précis pour chaque vendeur et ont une connaissance effective des annonces. En revanche, la seule mise en place d’un système de filtrage automatisé des contenus ne suffira pas à qualifier la plateforme d’éditeur de contenus et à les priver du régime de responsabilité atténué.

Pour autant, depuis son entrée en Bourse, le groupe Alibaba fait face à une importante crise de crédibilité en allant à l’encontre d’une coopération efficace pour assainir le marché. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM (http://www.acbm-avocats.com)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise

Empreintes biométriques : l’authentification par les veines

Empreintes biométriques – I-TRACING, entreprise française de conseil et d’ingénierie en sécurité des systèmes d’information et sécurité Internet, participe à un important projet de mise au point de la technologie d’identification biométrique basée sur le dessin des veines du poignet. Une vision d’avenir qui permet de supprimer les mots de passe si souvent piratés.

C’est reconnu, le mot de passe, s’il reste aujourd’hui encore le mode d’identification et d’authentification le plus utilisé dans le monde pour accéder aux outils et aux services informatiques, présente d’énormes risques. Les entreprises sont victimes de vols de mots de passe qui permettent aux hackers de s’introduire dans leur système d’information. Pour y remédier, les empreintes biométriques représentent une alternative d’avenir, permettant d’identifier et d’authentifier une personne par ses caractéristiques physiques.

Le dessin des veines, une technologie d’authentification pratique et fiable
BIOWATCH, spécialiste en biométrie a mis au point cette technique de reconnaissance et d’identification. Son concept est basé sur le chemin que font les veines sur le poignet. Le dessin des veines du poignet de chaque individu est unique et l’identification s’opère grâce à un algorithme de reconnaissance embarqué. L’objectif étant de supprimer les mots de passe quotidiennement utilisés pour accéder au système d’information. La solution proposée prend la forme d’un lecteur biométrique placé dans un bracelet montre, authentifiant son porteur par l’analyse du dessin des veines de son poignet.

« La technologie BioWatch prouve que vous êtes celui que vous prétendez être. Notre solution de reconnaissance permet de vérifier l’identité d’une personne par simple détection du dessin – unique – que forment les veines du poignet « Très fiable, la reconnaissance biométrique par les veines s’applique particulièrement bien à l’authentification des personnes », déclare Matthias Vanoni, co-fondateur et CEO de BIOWATCH. La reconnaissance biométrique BIOWATCH est un moyen moderne, rapide, fiable et performant de gestion des accès au système d’information, aux réseaux et aux applications d’entreprise.

« Dans cette phase de R&D de son partenariat avec la start-up suisse BIOWATCH, I-TRACING apporte à travers ses ingénieurs, l’expertise en sécurité applicative, en design d’architecture et en ingénierie de solutions de sécurité » précise Laurent Charvériat, CTO et Directeur Général d’I-TRACING. « L’identification biométrique par les veines représente un marché potentiel important. A ce stade de développement du produit, I-TRACING apporte également la vision du monde des entreprises, un condensé des besoins, souhaits, contraintes techniques et usages des grandes entreprises, clients potentiels de la solution BIOWATCH qui est une solution simple, ergonomique et plus sûre, tout en supprimant les points d’entrée vulnérables que sont les mots de passe », souligne Théodore-Michel Vrangos, cofondateur et Président d’I-TRACING.

Chiffrement, cryptage, Cybersécurité, ransomware

Face aux ransomwares : quels recours pour les entreprises ?

Ces derniers mois ont été le théâtre d’attaques plus ou moins médiatisées de logiciels de rançon ou « ransomwares ». Jusqu’à l’année dernière, ce type d’attaque informatique touchait principalement les particuliers mais 2015 a marqué un tournant en matière de cibles visées. Les entreprises sont de plus en plus victimes de ces attaques que ce soit en raison de leurs ressources financières, ou du type de données qu’elles gèrent comme les bases clientes par exemple. A quoi ressemblent les attaques dont elles font l’objet ? Comment, peuvent-elles s’en prémunir ?

Un logiciel de rançon est un programme informatique rendant inaccessibles les fichiers situés sur l’ordinateur de l’utilisateur mais également sur le réseau de l’entreprise[1]. Il se présente sous la forme d’un add-on dont l’utilisateur a besoin pour lire un fichier (texte, tableur ou vidéo), une fois qu’il est téléchargé, il chiffre les données et supprime les originaux. Un message de rançon est ensuite envoyé à l’utilisateur pour demander un paiement (en argent ou bitcoins) en échange de la clé de chiffrement. Les ransomwares ciblent indistinctement tous les systèmes d’exploitation informatiques (Linux, Windows, Mac OS) et mobiles (Android, iOS). Ceci permet aux groupes malveillants de maximiser leur force de frappe et ce, avec efficacité.

Les attaques de ransomwares subies par les entreprises peuvent être classées en deux grandes catégories. La première regroupe les attaques dont elles sont la cible directe, cela a été le cas de l’hôpital presbytérien de Hollywood en février dernier lorsque la totalité de son système informatique a été paralysé. Face à cela, l’administration n’a pas eu d’autre choix que de transférer une partie de ses patients vers d’autres hôpitaux et payer une rançon de 40 bitcoins (environ 14 400 euros) afin de pouvoir débloquer son système. Au delà des dommages financiers subis par l’hôpital, c’est l’image du centre médical et la confiance des patients quant à la sécurité de leurs données qui ont été endommagées.

La deuxième catégorie d’attaques concerne les attaques visant les clients ou les employés, les entreprises sont alors des victimes collatérales. Prenons l’exemple de Free dont les clients ont été victimes du ransomware Locky. Ici, l’infection se présente sous la forme d’une pièce jointe à un mail d’apparence officielle (facture téléphonique). Une fois que l’utilisateur ouvre la pièce jointe et répare ce fichier « mal codé », le ransomware s’installe et bloque son ordinateur. S’ils n’ont pas d’assistance informatique extérieure, ils n’ont pas d’autre choix que de payer leur rançon pour récupérer l’accès à leur appareil. Seulement, si cette pièce jointe est téléchargée sur leur ordinateur professionnel, ce n’est pas leurs fichiers mais potentiellement tout le réseau de l’entreprise qui est menacé.

Quelle protection pour les entreprises ?

Le ransomware est une menace qui se propage très rapidement sur les réseaux et sa spécificité est le chiffrement. C’est pourquoi l’analyse et la régulation des certificats SSL doivent faire partie de la stratégie sécuritaire de l’entreprise. Aujourd’hui, 25% du trafic internet utilise le protocole SSL et la plupart des entreprises ont confiance en ce protocole de sécurité et préfèrent allouer leurs ressources à l’analyse du trafic non chiffré. Cela équivaut à fermer sa maison avec une porte blindée mais laisser la fenêtre du salon ouverte. Et c’est justement dans cette brèche que s’engouffrent les hackers. De plus en plus, ils utilisent des certificats SSL légitimes pour acheminer leurs ransomwares, Trojans et autres logiciels malveillants au cœur de l’entreprise. Selon les statistiques récupérées par Zscaler, 31% des logiciels malveillants bloqués en entreprises étaient transférés via HTTPS – donc chiffrés avec SSL. Au delà de l’implémentation d’une solution d’inspection du trafic SSL, des mesures telles que la création d’une liste de trafic SSL « certifiée » régulièrement mise à jour contribuent à la sécurisation du réseau de l’entreprise.

Par ailleurs, selon EY[2], 44 % du risque informatique en entreprise provient d’employés négligents ou imprudents. Ce dernier point soulève le problème de la gestion du « Shadow IT ». Par cette expression, il est fait référence aux applications déployées au sein d’une infrastructure sans avoir suivi les processus élaborés pour vérifier leur fonctionnalité, sécurité et capacité à prendre en charge plusieurs utilisateurs. Cela englobe l’usage de solutions telles que Skype, Facebook et dans une certaine mesure le Bring Your Own Device (BYOD). Le rôle du DSI est alors de fournir des applications validées par l’entreprise mais aussi de passer d’une approche « blocage/autorisation » à « gérer et surveiller ». Pour y arriver, le dialogue avec les employés est incontournable, il faut les éduquer aux dangers d’internet tout en surveillant l’émergence des applications qu’ils utilisent afin de ne pas exposer l’entreprise à de nouvelles menaces. Concrètement, cela peut se faire en les impliquant dans le processus de validation des applications autorisées en entreprise ou l’émission de recommandations quant au téléchargement de fichiers à installer autant sur leur ordinateur que leurs terminaux mobiles connectés au réseau de l’entreprise.

Il faut, enfin, s’assurer que la solution de sécurité mise en place en entreprise est capable de détecter les ransomwares et de les éliminer.

Le ransomware est une réalité à laquelle les entreprises ne pourront échapper dans les mois et années à venir. Le principal défi qu’elles devront relever est la surveillance des multiples points d’entrée que le ransomware utilise pour se propager. Pour cela, elles doivent accepter que la menace est réelle et repenser leur sécurité afin qu’elle couvre la totalité de leur réseau. Sans oublier de prendre en compte le facteur humain qui est indissociable de cette menace. (Par Didier Guyomarc’h, Directeur EMEA Sud, Zscaler)

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, santé

Big Data et Santé : les données médicales relèvent d’une législation particulière

Les données de santé occupent une place particulière dans le Big Data. Personnelles, sensibles mais aussi confidentielles, les données médicales relèvent d’une législation particulière. Qu’il s’agisse de la gestion d’un établissement de soin ou de la dématérialisation d’un dossier patient, leur nombre ne cesse d’augmenter. Est-il possible d’assurer la protection des données médicales, tout en permettant aux établissements et professionnels de santé de pouvoir les gérer facilement au quotidien ?

Les données de santé, de par leur confidentialité, sont régies par le Code de la santé publique et plus particulièrement par l’article L. 1110-4. Celui-ci définit les conditions de cette protection juridique en autorisant l’échange de données de santé entre l’équipe de soin du même établissement ou des professionnels de santé d’entités différentes mais prenant en charge le même patient, sous réserve que celui-ci bénéficie du droit d’opposition. Par ailleurs, le patient peut accéder à ses données médicales, les faire rectifier, les mettre à jour ou les supprimer s’il le souhaite.

Outre la protection juridique des données, des exigences techniques ont également été mises en place. Il s’agit ici des obligations de protection physique des données pour les professionnels de santé. Ils sont tenus de protéger les informations en les manipulant mais aussi en les stockant dans un environnement sécurisé. Pour cela, ils peuvent les conserver en interne ou faire appel à un hébergeur agréé pour les stocker.

Hébergeur Agrée de Données de Santé

L’agrément « Hébergeur Agrée de Données de Santé » (HADS), a été créé afin de garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations sensibles que constituent les données médicales. Le respect de nombreuses exigences est ici impliqué comme l’authentification forte, le chiffrement des données, la traçabilité des accès etc.

Un cadre légal strict ne veut pas dire la fin de la collaboration au sein des établissements de santé
Aujourd’hui, l’essentiel des informations liées au patient est dématérialisé. Il peut s’agir d’une prescription médicale, de résultat d’analyse, d’un dossier d’hospitalisation ou de tout autre information dont un professionnel de santé peut avoir connaissance. Par ailleurs, les médecins et les hôpitaux ne sont pas les seuls à manipuler des données de santé et à être soumis à cette législation particulière. Par exemple, toute application mobile qui traiterait des données à caractère médical est aussi obligée de passer par un tiers hébergeur agréé. Ce cadre légal concerne donc un volume immensément important de données, d’autant plus que le marché de l’e-santé est en forte croissance.

Ce cadre légal ne doit pas être un frein pour les établissements et professionnels

S’il doit permettre de sécuriser les informations médicales des patients, ce cadre légal ne doit pas être un frein pour les établissements et professionnels de santé dans leur travail quotidien. En effet, ces données regroupent toutes les informations concernant un individu. Si l’on prend l’exemple d’un hôpital, il est important que l’ensemble de l’équipe soignante puisse accéder facilement et rapidement aux informations d’un patient.

Aussi la loi autorise à ce qu’une application puisse se superposer à la couche d’hébergement agrée dans la mesure où celle-ci est compatible avec les prérequis de l’agrément. Ainsi, l’établissement ou le professionnel de santé peut se doter d’une solution de gestion et de partage de fichiers sécurisée compatible avec un hébergeur agrée, et allier à la fois conformité à la loi et collaboration. (Lydie Balfet, NetExplorer)

Cybersécurité, DDoS, Entreprise, Piratage, ransomware

Les serveurs de Pokemon GO sous les attaques DDoS

Il fallait bien se douter que les pirates informatiques allaient se jeter sur Pokemon GO. Plusieurs attaques DDoS ont tenté de saturer les serveurs de Nintendo.

Ce qui est bien avec les pirates informatiques, du moins ceux en mal de reconnaissance, est qu’ils sont aussi prévisibles qu’un glaçon dans un four. Alors que la France ou encore le Japon se préparent à un assaut de masse sur l’application Pokemon Go [lire l’avertissement sur les dangers des applications non officielles concernant Pokémon GO], les joueurs à l’international s’inquiètent de l’arrivée de nouveaux utilisateurs sur des serveurs déjà largement sous pression. Comme le rappel Kaspersky, les discussions sur les réseaux sociaux concernant le niveau de saturation des serveurs et les bugs à répétition qui en découlent sont légion, obligeant même Niantic à réagir. Mais l’incroyable popularité de l’application n’est pas seule en cause. Les serveurs de Pokemon Go ont été la cible de plusieurs attaques DDoS, revendiquées par différents groupes de pirates.

Du DDoS pour emmerder le monde… et pour de l’argent

Bien qu’un certain nombre de groupes de pirates ait revendiqué des attaques DDoS, il est difficile de vérifier la véracité de leurs affirmations. Et ce n’est pas le cœur du problème. Ce qui compte vraiment pour Nintendo et pour les joueurs de Pokemon Go est de protéger les serveurs et les données des joueurs, de maintenir la continuité de service et de préserver sa réputation et celle des entreprises derrière Pokémon Go. Mais ce n’est pas une tâche aisée, car les attaques DDoS sont perpétrées par plusieurs groupes au motifs variés : nuire à la réputation de l’entreprise, attirer l’attention sur des revendications politiques ou sociales, faire connaitre son outil « stresser » pour vendre du DDoS, ou des protections contre les DDoS, et bien sûr la perspective de possibles gains financiers

Black blocs 2.0

Le volume d’attaques DDoS a augmenté au cours des dernières années car le coût pour réaliser ces attaques a chuté. J’ai pu vous le montrer dans des articles expliquant qu’avec quelques euros il est possible de faire tomber n’importe quel serveur. « En parallèle, les attaques DDoS sont devenues plus sophistiquées et plus difficiles à contrer. Les cybers criminels enquêtent sur leur cible et choisissent les modes d’attaques qui ont le plus de chances de succès, indique David Emm, chercheur en sécurité chez Kaspersky Lab. Ils agissent en temps réel, de façon à pouvoir ajuster leurs tactiques et utiliser des outils différents dans le but de faire le plus de dégâts« .

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Mise à jour

European Cyber Week : J’entends le loup, le renard et le hacker

Du 21 au 25 novembre, la Bretagne va accueillir l’ European Cyber Week. Cinq jours dédiés à la sécurité informatique.

La ville de Rennes, en Bretagne, va accueillir, du 21 au 25 novembre 2016, l’ European Cyber Week. Derrière ce titre, le Pôle d’excellence cyber [Créé en 2014, on y retrouve dans son conseil d’administration le Vice Amiral Arnaud Coustillière et Madame Marie-Noëlle Sclafer représentants le Ministère de la Défense, NDR]. Ce rendez-vous va proposer 7 rendez-vous dédiés à la sécurité informatique. Une première à Rennes.

Au programme de l’ European Cyber Week : état des avancées technologiques en matière de cyberdéfense et de cybersécurité (C&ESAR) ; l’Internet des objets ; le lien entre recherche et entreprises de la cybersécurité ; Peer learning entre régions européennes sur le développement de la cybersécurité en tant qu’activité économique ; un colloque sur l’état de l’art de la recherche en matière de sécurité des réseaux électriques intelligents et un challenge de hacking éthique.

L’ European Cyber Week est financé et épaulé par le Conseil régional de Bretagne, le ministère de la Défense, DGA Maîtrise de l’information, BDI, EIT Digital, Images & Réseaux, Rennes Atalante, INRIA, Université de Rennes 1, Telecom Bretagne, Meito et avec le soutien de l’Union européenne.

La Bretagne dispose d’un peu plus de 120 entreprises spécialisées dans la cybersécurité. En 2014, la Région avait lancé un appel à projets baptisé « solutions nouvelles de cybersécurité« . Une enveloppe de 593 000€ avaient été partagées entre 13 sélectionnés : Prescom, Med E Com, Frogi Secure, Interface Concept, AriadNext, DareBoost, Opale Security, Amossys [présent dans le conseil d’administration du Pôle d’excellence cyber], First Wan Delivery Network, Tevalis, Celtpharm. En juin 2016, 800 000€ étaient proposés dans un nouvel appel à projet. Un appel qui se cloture dans quelques semaines. (7Seizh)

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, ios, Particuliers, Sécurité, Smartphone, Téléphonie, VPN

Wifi gratuit, protégez votre connexion

Alors que la mairie de Paris a annoncé du wifi « haut débit » gratuit sur les Champs-Élysées, cette explosion récente des connexions wifi gratuites et publiques représente une véritable aubaine pour les utilisateurs. Il est tellement pratique de se connecter gratuitement à un réseau Wi-Fi dans un café, dans un parc ou dans un aéroport que cela en devient un réflexe, dès lors que notre appareil nous le suggère. Mais est-ce totalement sûr ? Quels sont les risques ? Comment se connecter à un réseau public en toute sécurité ?

Wifi gratuit ? Votre meilleur ennemi ! En général, les réseaux Wi-Fi que l’on trouve dans les lieux publics ne sont pas bien protégés. Ils se basent souvent sur des protocoles de chiffrement trop simples ou parfois pas chiffrés du tout. Les pirates peuvent ainsi accéder à chacune des informations que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d’identification permettant d’accéder à votre réseau d’entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent accéder à vos systèmes en votre nom, diffuser des programmes malveillants, ou facilement installer des logiciels infectés sur votre ordinateur si le partage de fichiers a été activé.

Quelques bons gestes à respecter face à un Wifi gratuit

D’abord, utilisez un réseau privé virtuel (VPN). Un VPN est indispensable lorsque vous accédez à une connexion non sécurisée, comme un point d’accès wifi. Même si un pirate réussit à se placer en plein milieu de votre connexion, les données qui s’y trouvent seront chiffrées, donc illisibles. Mails, mots de passe, ou simplement ce que vous visitez ne seront pas lisibles. J’utilise moi même plusieurs dizaines de VPN différents. Je peux vous proposer de tester Hide My Ass, ou encore VyprVPN. Un test de VPN disponibles pour votre ordinateur, tablette ou encore smartphone dans cet article. Dernier conseil, même si vous ne vous êtes pas activement connecté à un réseau, le matériel wifi équipant votre ordinateur, votre téléphone portable, votre tablette continuent de transmettre des informations. Bref, désactivez la fonctionnalité wifi si vous ne l’utilisez pas.

Activez l’option « Toujours utiliser HTTPS » sur les sites Web que vous visitez fréquemment ou qui nécessitent de saisir des données d’identification. Les pirates ne savent que trop bien que les utilisateurs utilisent les mêmes identifiants et mots de passe pour les forums, leur banque ou leur réseau d’entreprise.

Pour finir, lorsque vous vous connectez à Internet dans un lieu public, via un Wifi gratuit il est peu probable que vous souhaitiez partager quoi que ce soit. Dans ce cas, vous pouvez désactiver les options de partage dans les préférences système. (Kaspersky)

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Sauvegarde, VPN

Data Loss Prevention

Prévention des pertes de données des collaborateurs mobiles. Quand la mobilité oblige à la Data Loss Prevention.

Data Loss Prevention  – La mobilité est à la fois un besoin et un défi pour les entreprises qui se battent pour créer une force de travail réellement fluide et entièrement digitale. Aujourd’hui, presque tous les collaborateurs travaillent avec un ou plusieurs périphériques mobiles contenant des informations d’entreprise, qu’il s’agisse d’un téléphone mobile, d’un ordinateur portable ou d’une tablette. L’un des premiers défis qui en découlent pour la direction informatique tient au fait que l’accès à distance aux données et aux e-mails se fait, par nature, « hors » du périmètre de l’entreprise, et qu’il est par conséquent très difficile de s’en protéger. La multitude des périphériques utilisés, en elle-même, complique la surveillance et le suivi des données d’entreprise consultées, partagées ou utilisées.

Data Loss Prevention : se concentrer sur les données

L’une des approches, choisie dans certaines entreprises, consiste à intégrer ces périphériques à une stratégie d’environnement de travail en BYOD. Les utilisateurs peuvent choisir le périphérique, le système d’exploitation et la version de leur choix, puisqu’il s’agit de leur propre périphérique. Malheureusement, cette approche peut en réalité créer des problèmes supplémentaires de sécurité et de DLP (prévention des pertes de données). En effet, de nombreux utilisateurs n’apprécient pas (voire interdisent) que leur employeur gère et/ou contrôle leur périphérique, pire encore, d’y installer des logiciels professionnels comme les programmes d’antivirus et de VPN.

Par conséquent, pour réussir, la stratégie de protection des données doit se concentrer sur la sécurisation des données uniquement, quel que soit le périphérique ou le mode d’utilisation. Dans un environnement d’entreprise, une grande majorité des données sensibles transitent dans les e-mails et leurs pièces jointes. Ainsi, une stratégie de protection des données réussie doit chercher à gérer et contrôler la passerelle par laquelle transitent les données, à savoir, ici, le compte d’e-mail d’entreprise.

Autre option : implémenter une suite d’outils de gestion de la sécurité mobile, ce qui permet de placer des mécanismes de sécurité sur la passerelle d’e-mail, et d’autoriser la création de règles de sécurité pour surveiller et contrôler la façon dont les informations d’entreprise sont traitées sur chaque périphérique.

Data Loss Prevention : Stratégie DLP tridimensionnelle

Une stratégie « DLP tridimensionnelle », surveille et contrôle le contenu transféré via un périphérique sur la base de critères précis. Par exemple, on peut limiter l’accès au contenu ou aux fichiers depuis le compte e-mail d’entreprise en fonction du pays, puisque les utilisateurs qui voyagent avec leur périphérique sont susceptibles d’accéder aux données et aux systèmes sur des réseaux Wi-Fi non sécurisés. Il est également possible de contrôler le contenu sur la base des mots clés qui figurent dans les e-mails (comme des numéros de sécurité sociale ou des numéros de contrat), afin d’interdire les pièces jointes ou le contenu incluant ce type d’information sur les périphériques mobiles. Comme les pièces jointes d’e-mail contiennent la majorité des informations sensibles transmises d’un périphérique à un autre, ce point est crucial lorsqu’il s’agit de protéger l’utilisation des périphériques dans l’environnement de travail. La troisième dimension est la surveillance du contexte, qui permet d’identifier et d’interdire le contenu pour des expéditeurs/destinataires spécifiques.

Ce type de considération permet de limiter les risques liés aux pertes de données et aux problèmes de sécurité pour cette partie des activités professionnelles Bien que cette approche ne suffise pas à contrôler et à sécuriser entièrement les banques de données d’une entreprise, la sécurité mobile va jouer un rôle de plus en plus vital pour la réussite des stratégies complètes de protection des données, au fur et à mesure que davantage de périphériques s’intègrent à nos habitudes de travail. (Par Eran Livne, Product Manager LANDESK)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

Vulnérables aux cyberattaques les entreprises ?

Vulnérables aux cyberattaques – RSA, la division sécurité d’EMC, a publié les résultats de sa seconde édition de l’étude Cybersecurity Poverty Index, révélant que les entreprises qui investissent dans les technologies de détection et d’intervention sont plus en mesure de se défendre contre les cyber-incidents contrairement aux solutions basées sur des périmètres spécifiques. Celle-ci a été menée auprès de 878 répondants (deux fois plus que l’année dernière), dans 81 pays et 24 industries.

Vulnérables aux cyberattaques les entreprises ? Le rapport souligne que pour la seconde année consécutive, 75% des entreprises estiment être exposées à des risques conséquents en matière de cybersécurité ; les entreprises qui déclarent rencontrer plus de problèmes de sécurité sont 65% plus susceptibles d’être compétentes en matière de cybersécurité ; le nombre d’entreprises ayant déclaré de meilleures capacités de cyberdéfense a augmenté de plus de la moitié sur l’indice précédent, passant de 4,9 % à 7,4%.

La moitié des personnes interrogées évaluent leurs capacités de réponse aux incidents comme « ad hoc » ou « inexistantes » ; les organisations moins matures continuent d’utiliser par erreur des solutions basées sur des paramètres spécifiques afin d’empêcher de nouveaux incidents ; le Gouvernement et le secteur de l’Energie se classent parmi les derniers en matière de cyberdéfense ; l’Amérique est à nouveau derrière les régions APAC et EMEA en ce qui concerne son niveau de maturité en cybersécurité.

Également, beaucoup d’entreprises reconnaissent avoir tendance à entreprendre des investissements en matière de cybersécurité après avoir rencontré des incidents. Cependant, les résultats de cette étude démontrent que les organisations qui traitent régulièrement d’incidents de sécurité se protègent plus rapidement et de manière plus efficace.

Les entreprises doivent mettre en place des stratégies de prévention et prioriser les actions de détections et d’interventions. Amit Yoran, Président de RSA, souligne : « La seconde édition du Cybersecurity Poverty Index prouve à quel point les organisations de toutes tailles et de tous secteurs à travers le monde se sentent mal préparées face aux menaces actuelles. Nous devons changer la façon dont nous pensons la sécurité et se concentrer sur la prévention. Les entreprises doivent agir de façon proactive en élaborant des stratégies globales en amont des incidents. »

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fraude au président, Fuite de données, Leak, Piratage, Social engineering

Data Security Confidence : Se protéger des pirates ? Les entreprises doutent

Data Security Confidence – Une nouvelle étude révèle que la plupart des entreprises doutent de leur capacité à protéger leurs données en cas de cyberattaque.

Malgré l’augmentation du nombre de cyberattaques et la perte ou le vol de 3,9 milliards de registres de données depuis 2013, de nombreuses entreprises continuent d’avoir confiance dans l’efficacité du périmètre mis en place pour les protéger. Ceci est l’une des nombreuses conclusions mises en exergue par la troisième édition annuelle du Data Security Confidence Index publié par Gemalto.

Sur les 100 décideurs informatiques français interrogés, 39% déclarent que leurs systèmes de défense informatique (pare-feu, IDPS, antivirus, filtres de contenu, détecteurs d’anomalies, etc.) permettraient d’interdire très efficacement l’accès des personnes non autorisées au réseau. Cependant, 72 % disent ne pas être en mesure d’assurer la protection de leurs données si ces systèmes de défense venaient à être compromis. Ils étaient 51% dans ce cas en 2015 et 70% en 2014. En outre, 81% pensent que les utilisateurs non autorisés sont capables d’accéder au réseau, voire, pour 18% des interrogés, de l’infiltrer dans sa totalité.

« Ce rapport montre le fossé existant entre la perception et la réalité en ce qui concerne l’efficacité du périmètre de sécurité », souligne Jason Hart, VP et CTO de Gemalto pour la protection des données. « Même si l’époque de la prévention des cyberattaques est révolue, un grand nombre d’entreprises continuent de placer le périmètre de protection au cœur de leurs stratégies sécuritaires. Les professionnels doivent à présent changer leur façon de penser et ne plus chercher à prévenir les attaques, mais comprendre que ces dernières sont inévitables, et qu’ils doivent avant tout s’assurer de protéger les données ainsi que les utilisateurs qui y ont accès. »

Data Security Confidence

Même si le périmètre de sécurité reste prioritaire, il n’est pas suffisant. Toujours selon cette étude, 87% des décideurs informatiques français déclarent avoir ajusté leur stratégie en matière de sécurité après avoir été victimes d’une cyberattaque sophistiquée, un pourcentage qui était de 82% en 2015 et de 41% en 2014. D’autre part, 83% ont déclaré avoir augmenté le budget alloué à leur périmètre et 87% pensent que l’argent a été investi dans les technologies les plus adaptées.

Malgré les efforts qui continuent à être portés sur le périmètre de sécurité, les résultats de ce Data Security Confidence Index sont révélateurs des défis que les entreprises rencontrent en matière de vol de données. 82% des personnes interrogées en France indiquent que leur entreprise a fait l’objet d’un vol de données au cours des cinq dernières années. Plus d’un quart (32%) disent en avoir fait l’expérience depuis les 12 derniers mois, avec le même nombre de décideurs IT (30%) déclarant la même fréquence en 2015. Cela suggère que les entreprises n’ont pas réussi à limiter le nombre d’attaques, et ce malgré l’investissement réalisé au niveau du périmètre de sécurité.

« Alors que les entreprises pensent utiliser à bon escient leur budget sécurité, il est clair que les protocoles de sécurité employés ne répondent plus aux nouvelles exigences en la matière. Même si s’assurer de la robustesse de leur périmètre reste une priorité, elles doivent à présent adopter une approche multidimensionnelle en cas d’attaque. En ayant recours à des outils tels que le chiffrement de bout en bout et l’authentification à deux facteurs sur leur réseau et dans le cloud, elles seront capables de protéger l’ensemble de leur structure, ainsi que les données, ressources clés de l’entreprise, » conclut Hart.

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise

Les citoyens européens : à qui confient-ils leurs données ?

Hébergement d’informations professionnelles dans le cloud – Une enquête révèle la méfiance des salariés de l’Union européenne vis-à-vis du stockage ou de l’hébergement d’informations professionnelles dans le cloud. La France est le pays où les applications cloud sont les plus populaires au travail : 64%.

Hébergement d’informations professionnelles dans le cloud – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques du monde entier, présente les résultats d’une enquête en ligne, sur l’ hébergement d’informations professionnelles dans le cloud menée auprès de 3 130 professionnels d’une variété de secteurs au Royaume-Uni, en France et en Allemagne. À l’aube du référendum de cette semaine sur le Brexit, l’enquête s’est intéressée au niveau de confiance des professionnels vis-à-vis d’États faisant ou non partie de l’Union européenne pour le stockage ou l’hébergement d’informations professionnelles sur des services cloud tels que Gmail, Dropbox et Box. Les résultats indiquent qu’ils préfèrent confier leurs données à leurs voisins européens plutôt qu’à des pays en dehors de l’UE.

Des citoyens du Royaume-Uni, de France et d’Allemagne ont été interrogés quant aux pays auxquels ils font confiance pour stocker ou héberger des informations professionnelles dans le cloud en toute sécurité. Avec le vote sur le « Brexit » prévu cette semaine et avec l’entrée en vigueur le 25 mai 2018 de la réglementation GDPR (General Data Protection Regulations), la question de l’emplacement de stockage/d’hébergement des données est un sujet brûlant pour les organisations au service du demi-milliard de citoyens résidant actuellement dans l’UE.

L’enquête révèle que 46 % des personnes interrogées seraient disposés à confier leurs données professionnelles à un pays de l’UE. Seuls 18 % accorderaient cette confiance à un pays en dehors de l’UE. En outre, plus d’un tiers des répondants (36 %) ne confieraient le stockage ou l’hébergement de leurs données dans le cloud à aucun pays en particulier. Les principaux enseignements de l’enquête :

La France championne de l’usage des applications cloud
Les résultats montrent que 53 % des salariés britanniques, allemands et français utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

L’utilisation du cloud stimulée par la génération Y
L’utilisation du cloud au travail se fait principalement sous l’impulsion de la génération Y : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus.

Moins de méfiance de la part des jeunes salariés pour l’ hébergement d’informations professionnelles dans le cloud
L’enquête révèle que les salariés les plus jeunes font davantage confiance aux pays de l’Union européenne pour le stockage d’informations dans le cloud, ce qui confirme les résultats d’autres sondages suggérant que les jeunes sont plus enclins à voter pour rester dans l’UE. Les 18-24 ans sont en effet ceux qui font le plus confiance aux États de l’UE (55 %, contre 36 % des individus âgés d’au moins 55 ans). Les employés d’au moins 55 ans se montrent par ailleurs plus méfiants en général : 47 % d’entre eux ne confieraient le stockage de leurs données cloud à aucun pays, contre 24 % des 18-24 ans.

Les Britanniques font davantage confiance aux pays de l’UE
Hébergement d’informations professionnelles dans le cloud – Alors que seuls 22 % des salariés de pays en dehors de l’Union européenne seraient prêts à héberger leurs données dans des pays de l’UE, ce pourcentage est presque deux fois plus important pour les salariés du Royaume-Uni (40 %).

Le pourcentage de Britanniques prêts à faire confiance à un État de l’UE est ainsi plus élevé que celui des citoyens enclins à faire confiance au Royaume-Uni (38 %) pour stocker leurs données dans le cloud.

L’Allemagne représente le pays d’UE préféré de l’ensemble des personnes interrogées avec 26 % de répondants satisfaits du fait que leurs données y résident. S’ensuivent la France avec 21 % des répondants et le Royaume-Uni à 20 %.

De l’autre côté, le pays d’Union européenne suscitant le plus de méfiance est l’Espagne. Seuls 6 % des personnes interrogées sont disposées à y stocker leurs données.

Outre leur propre pays, il apparaît que les répondants britanniques font davantage confiance à l’Allemagne (18 %) et à la Suède (18 %) qu’à n’importe quel autre pays d’Union européenne.

Les Allemands sont les plus méfiants envers les autres pays
Les salariés allemands font davantage confiance à leur pays qu’aux autres (43 %). La Suède apparaît pour eux comme le deuxième le plus sûr (14 % des répondants). En contrepartie, seuls 7 % et 3 % d’entre eux respectivement font confiance au Royaume-Uni et à l’Espagne. Les salariés français préfèrent eux aussi garder leurs données dans leur pays (45 %). Leurs autres choix préférentiels sont l’Allemagne (16 %) et la Suède (14 %).

Une méfiance vis-à-vis des États-Unis
Les résultats de l’enquête révèlent que la majorité des salariés d’Union européenne interrogés ne font pas confiance aux États-Unis pour stocker ou héberger leurs données. Cet élément tend à démontrer que les décisions de la Cour de justice de l’Union européenne invalidant l’accord Safe Harbour bénéficient du soutien des citoyens européens. Seuls 9 % des répondants pourraient stocker ou héberger leurs données aux USA.

Les Britanniques sont plus confiants envers les États-Unis (13 %) que les Français et les Allemands ; ces derniers ne sont que 3 % à ne pas se montrer méfiants envers les clouds américains. En dehors de l’Union européenne, le pays suscitant le plus de méfiance est la Chine (1 % des répondants). L’Afrique du Sud (2 %), la Russie (2 %) et le Brésil (2 %) sont également retenus par une minorité de répondants.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde, Social engineering

Devenir maître dans l’art de protéger sa vie privée sur le net

Vol de ses données personnelles – Plusieurs sources ont révélé récemment la mise en vente sur le web de plus de 117 millions de profils d’utilisateurs LinkedIn dérobés en 2012. Ce type d’actualité rappelle que personne n’est à l’abri d’un vol de ses données personnelles qui risquent d’être utilisées à des fins illicites. Cette question est d’autant plus cruciale à l’heure où le nombre de logiciels malveillants, ransomwares et autres virus explose. Aujourd’hui, 67 % des Français sont soucieux quant à la protection de leurs informations personnelles sur internet et 83 % d’entre eux sont hostiles à la conservation de ces données (Source : Institut CSA).

Vol de ses données personnelles -Malgré cette méfiance, dans un monde où l’utilisation d’Internet est devenue omniprésente, les utilisateurs ont tendance à exposer très facilement leur vie privée et leurs données personnelles – parfois par paresse ou par mégarde, mais souvent par manque d’information. Il existe cependant des moyens simples et efficaces de limiter ces risques.

Michal Salat, Threat Intelligence Manager chez Avast, commente : « Les sphères privées et professionnelles se fondent de plus en plus, poussant fréquemment les utilisateurs à accéder à leurs plateformes de travail depuis des terminaux personnels ou à utiliser leurs appareils professionnels à la maison par exemple. Or, en adoptant ces comportements, les internautes exposent davantage leurs données personnelles.« 

Vol de ses données personnelles

Pour éviter que cela n’arrive, les utilisateurs doivent d’abord se protéger des menaces extérieures à leur appareil en commençant par créer un mot de passe ou un code PIN sur les écrans et les applications mobiles, limitant ainsi l’accès aux données en cas de perte ou de vol. Mais encore faut-il qu’il soit suffisamment compliqué pour ne pas être déchiffré trop facilement. C’est pourquoi il est recommandé d’utiliser des mots de passes complexes – combinant lettres, chiffres, caractères spéciaux et majuscules – et qui ne reprennent pas non plus des informations personnelles facilement accessibles en ligne, telle que la date de naissance ou le prénom de ses enfants. Il est également important de changer ses codes régulièrement.

Il faut garder en tête que les cybercriminels sont à l’affût de la moindre faille à exploiter pour récolter des gains et cherchent très souvent à récupérer des informations bancaires. C’est pourquoi les internautes doivent à tout prix éviter de sauvegarder leurs coordonnées bancaires dans leurs terminaux, quels qu’ils soient. A titre d’exemple, beaucoup d’utilisateurs PayPal ont perdu de grosses sommes d’argent lorsque des hackers ont réussi à se connecter à leurs PC via un compte TeamViewer piraté et se sont servi des identifiants enregistrés pour transférer l’argent depuis les comptes PayPal.

Les utilisateurs doivent redoubler de vigilance face à un email leur demandant des informations sur leur compte bancaire et se souvenir que les établissements dignes de confiance ne feront jamais de telles requêtes par mail. Il est par ailleurs vivement déconseillé d’ouvrir des fichiers inconnus joints dans un email, car le phishing est l’un des moyens les plus largement utilisés par les hackers pour introduire un virus dans un terminal. Une fois celui-ci compromis, ils peuvent accéder aux informations personnelles ou chiffrer ces données et demander une rançon à la victime pour les rendre de nouveau accessibles.

Les pirates parviennent à créer des e-mails d’hameçonnage très sophistiqués notamment grâce à la collecte d’informations personnelles publiques disponibles sur le web – accessibles sur les réseaux sociaux par exemple. Il est alors essentiel pour l’utilisateur de poster le moins d’informations possibles sur Internet ou de s’assurer que celles-ci sont en mode privé. Il est également crucial de supprimer ses comptes s’ils ne sont plus utilisés, car bien qu’abandonnés, ces profils restent en ligne et des personnes malintentionnées pourraient usurper l’identité de l’internaute ou nuire à sa réputation en ligne en utilisant des informations sensibles contre lui.

La protection de la vie privée et des données personnelles (vol de ses données personnelles) implique une modification du comportement des internautes à commencer par de meilleures méthodes de gestion de mots de passe, une vigilance accrue sur leur utilisation d’Internet et des informations personnelles partagées publiquement – comme sur les réseaux sociaux. Au-delà des bonnes pratiques, il existe des solutions qui répondent aux problématiques liées à la vie privée. Cependant face aux menaces, il n’appartient qu’à nous de nous discipliner et de tout mettre en œuvre pour protéger nos données personnelles.

Cybersécurité, Emploi, Entreprise

L’ESIEA invite les 8-16 ans à sa « Nuit du Hack Kids »

Pensé par des élèves ingénieurs de l’ESIEA dans le cadre de la Nuit du Hack, cet événement dédié aux 8-16 ans leur propose des ateliers d’introduction ludique aux nouvelles technologies.

Initiée en 2003 par l’équipe Hackerz Voice et inspirée par la célèbre conférence DEF CON, la « Nuit du Hack » est l’une des manifestations les plus importantes dédiée à la sécurité informatique. Chaque année, son équipe accueille le grand public à Paris pendant 24 heures autour de conférences, d’ateliers et de challenges afin de démystifier les pratiques des hackers. Ce sont ainsi plus de 1 500 professionnels, étudiants, passionnés de sécurité informatique et de technologies du numérique qui se retrouvent lors de la Nuit du Hack, avec, pour la troisième fois cette année, un espace dédié aux plus jeunes, à l’initiative des étudiants de l’ESIEA : la « Nuit du Hack Kids ».

La Nuit du Hack Kids : deux ans de succès auprès du jeune public
La Nuit Du Hack Kids aura lieu le 2 juillet 2016 à Disneyland Paris. L’événement est ouvert aux enfants de 8 à 16 ans passionnés par le web, l’électronique ou le cryptage et gratuit pour tous. Les jeunes participants seront attendus dès 9h30 pour une journée d’ateliers créatifs et ludiques se déroulant de 10h à 18h. (Repas et gouter leur seront offerts et 50 places sont disponibles.)

Quel enfant n’a jamais rêvé de démonter l’ordinateur familial pour en découvrir les composants, créer son propre circuit imprimé grâce à une encre qui conduit l’électricité ou encore souhaité fabriquer son propre robot ? Des étudiants et étudiantes ingénieurs de l’ESIEA rendent ce rêve possible, l’espace d’une journée, à l’occasion de plusieurs ateliers créatifs, organisés pendant la Nuit du Hack et conçus spécifiquement à l’attention des 8-16 ans.

« Les précédentes éditions ont été plébiscitées par le jeune public, avec beaucoup d’inscrits aux ateliers – déclare Océane, étudiante en 2ème année à l’ESIEA – Cette année, nous proposerons entre autres une initiation à la sécurité informatique et au chiffrement. La Nuit du Hack Kids est faite pour éveiller, éduquer et informer les très jeunes sur l’importance des nouvelles technologies qui orchestrent la vie quotidienne. Savoir comment fonctionnent les objets que l’on utilise est utile, rassurant et cela peut aussi être très amusant ! »

L’expertise ESIEA, également au rendez-vous de la Nuit du Hack 2016
Acteur majeur de la cybersécurité, le laboratoire CNS (Confiance Numérique et Sécurité) de l’ESIEA sera également présent lors de l’événement. Chercheurs, enseignants et étudiants y présenteront plusieurs de leurs projets récents parmi lesquels :
CheckMyHTTPS, un logiciel téléchargeable en ligne et gratuit qui permet de tester si les connections WEB chiffrées sont interceptées ou modifiées par un tiers.
CortaSpoof, un logiciel développé dans le cadre d’un projet portant sur la confidentialité de Microsoft Windows 10. Conçu par deux étudiants en 4ème année, Thomas Aubin et Paul Hernault, dans le cadre du dispositif Espoir Recherche de l’ESIEA, il permet de protéger l’utilisateur de la collecte abusive de ses données personnelles et sera présenté, lors d’une conférence, le samedi 2 juillet à 10h45.

Nuit du Hack – 2-3 Juillet 2016 & Nuit du Hack Kids – Samedi 2 juillet 2016 de 10h à 18h – Disneyland Paris – Disney’s Hôtel New York.

Cloud, Cybersécurité, Entreprise

Cloud : 10 recommandations pour maîtriser les risques

Face à l’adoption massive des offres Cloud, le Club des Experts de la Sécurité de l’Information et du Numérique se mobilise et entend diffuser quelques bonnes pratiques avant de « confier les clés ».

Le Cesin a mobilisé 130 de ses membres, soit la moitié de ses adhérents autour de la thématique du Cloud et des bonnes pratiques en matière de sécurité. Face à l’explosion du phénomène d’externalisation des données, il est fondamental pour le Cesin d’adopter une gestion des risques et de sécurité adaptée pour continuer d’assurer une protection efficace et cohérente des données de l’entreprise.

Selon les résultats du baromètre Cesin-OpinionWay 2016, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l’émergence des offres disponibles sur le marché, le Cesin met en garde les dirigeants d’entreprises contre certaines dérives. L’association a confronté ses membres et un panel de spécialistes, dont l’Anssi, la CNIL et des juristes spécialisés, afin d’élaborer 10 recommandations issues de la réflexion et du partage d’expériences.

Longtemps cantonné aux recours ponctuels à des services SaaS, parfois directement par les métiers sans passer par la DSI, les grandes décisions désormais d’actualité en matière d’externalisation massives de données dans le Cloud entrainent une profonde évolution du SI de l’entreprise et des métiers qui le gèrent. Une des grandes tendances constatées ces derniers mois par le Cesin, concerne les projets de migration vers Office 365. En cas de recours à l’option Cloud, cette migration pose des interrogations cruciales puisqu’elle modifie à la fois les usages, une partie de la stratégie de la DSI, les politiques de sécurité des systèmes d’information (PSSI) et leurs modes de contrôle.

Alain Bouillé, Président du Cesin, indique que : « L’arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l’entreprise car les données concernées sont bel et bien des données cœur de métier. »

Les débats ont amené plusieurs pistes de réflexion portant sur la localisation des données, qui se heurte aux réglementations européennes, leur protection liée à une exposition nouvelle dans des clouds publics, le niveau de sécurité proposé par l’éditeur pas toujours à la hauteur des enjeux des plus exigeants, la perte de maitrise en matière de traçabilité des actions, la négociation des contrats avec les géants de cette industrie, qui nécessite une véritable expertise, les difficultés voire l’impossibilité d’auditer les solutions, ou encore les risques d’enfermement et donc l’irréversibilité de certaines solutions. Même si l’effet Snowden s’efface des mémoires avec le temps, il est utile de rappeler les risques pour certaines entreprises liées aux obligations des entreprises américaines vis-à-vis du Patriot Act.

Charles Schulz, membre du bureau de la politique industrielle à l’Anssi évoque les travaux en cours sur le référentiel «secure cloud» qui aboutira à la certification des offreurs libres d’en faire la demande. Quant aux accords commerciaux, il précise : « Si vous êtes dans une société multinationale évitez les contrats locaux et négociez un contrat global groupe, cela donne plus de poids à la négociation ; en outre exigez un contrat rédigé en français et signé dans un pays européen. Les phrases du type « seule la version anglaise fera foi » n’ont pas de valeur légale et doivent être supprimées. »

La version publique du référentiel de l’ANSSI et les recommandations pour maîtriser le Cloud est prévue pour le second trimestre 2016.

Garance Mathias, Avocat à la Cour, ajoute que : « l’externalisation reste un choix stratégique pour les entreprises et les administrations, et qu’il convient d’être accompagné dans la mise en œuvre de ce choix. » En effet, indépendamment de la négociation des contrats, les réglementations sectorielles doivent être intégrées, et les bonnes pratiques juridiques opérationnelles prises en compte dès le début du projet (localisation des données, politique de sous-traitance, quelle protection de la propriété intellectuelle, du patrimoine informationnel ? Quelles sont les mesures de protection des données personnelles ?…). Garance Mathias, précise en outre qu’ « Il est important d’évoquer la sortie du contrat, terme ou résiliation, avec les impacts opérationnels ainsi que le traitement des données personnelles. A la suite de la conclusion du contrat, ce dernier peut, compte tenu de l’évolution des textes ou du secteur d’activité, faire l’objet d’avenant, comme à la suite de l’invalidation du safe harbor. »

In fine, un contrat ne doit pas rester figé, il doit refléter l’accord des parties tout au long de son éxécution, d’autant que sa durée peut être longue, notamment dans le cadre des renouvellements par tacite reconduction.

Les 10 recommandations pour maîtriser ses projets Cloud
Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.
S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la DG le principe de leur externalisation.
Evaluez le niveau de protection de ces données en place avant externalisation.
Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offre en fonction du résultat du point 1.
Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l’utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.
Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.
A la réception des offres analysez les écarts entre les réponses et vos exigences.
Négociez, négociez.
Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.
Faites un audit ou un test d’intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l’offre dans le temps.

Cloud, Cybersécurité, Entreprise, Mise à jour

Votre système d’information est-il protégé des dangers du cloud ?

Plan de la sécurité – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques, a présenté les premiers résultats d’une enquête en ligne menée auprès de 3 130 salariés d’entreprises d’une variété de secteurs en Europe. Cette enquête réalisée par YouGov offre une vision détaillée de la façon dont ceux-ci utilisent actuellement des applications cloud telles que Dropbox, Box, Office 365, Slack, LinkedIn, Facebook et Gmail sur le plan de la sécurité.

plan de la sécurité – Les professionnels européens d’aujourd’hui exposent leur entreprise à des risques de fuite et d’utilisation abusive de données sensibles. Ces risques atteignent désormais des proportions alarmantes pour les organisations. Ainsi, les résultats de l’enquête indiquent que 53 % des personnes interrogées utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

Les entreprises s’appuient de plus en plus sur ces technologies ; pourtant, il est fréquent que les applications cloud utilisées n’aient pas été validées par les services informatiques. C’est ainsi que des données professionnelles sensibles se retrouvent exposées à un risque d’utilisation inappropriée par des employés les partageant ou les stockant (volontairement ou non) ailleurs que sur des applications protégées d’entreprise. L’enquête met en évidence les principaux risques que le cloud représente pour les organisations, notamment celui de se retrouver avec des données échappant à leur contrôle (« shadow data »). En voici les principaux enseignements :

L’utilisation d’applications cloud au travail motivée par une quête de productivité
Le partage de données se fait principalement à des fins collaboratives : 23 % des personnes interrogées utilisent des applications cloud pour transmettre des informations à leurs collègues. En outre, 17 % des répondants se servant d’applications cloud pour travailler à distance et 10 % de ceux en utilisant en déplacement à l’étranger affirment agir dans un souci de productivité. La génération Y fait par ailleurs figure de pionnier en matière de partage de données sur de telles applications : 30 % des 18-24 ans et 25 % des 25-34 ans partagent des informations avec leurs collègues, contre 18 % des 45-54 ans et 21 % des 55 ans et plus.

Les fonctions les plus critiques présentent les risques les plus sérieux pour la sécurité des informations
Les spécialistes de la gestion des systèmes d’information (76 %), des RH (69 %) et des finances (59 %) sont ceux qui utilisent le plus ces applications cloud au travail. Ils exposent ainsi les données d’entreprise les plus sensibles et précieuses aux risques d’une sécurité moins élevée.

Les données clients et de marketing sont les plus vulnérables
Les applications cloud servent régulièrement à échanger des bases de données et du contenu. Les registres de ventes et les bases de données clients, deux éléments ciblés par la future réglementation GDPR (General Data Protection Regulation), sont donc particulièrement exposés. En effet, parmi les individus partageant des informations professionnelles confidentielles à l’aide de telles applications, 29 % partagent des données de marketing ; viennent ensuite les données clients (23 %), informatiques (20 %) et financières (17 %).

Les employés vont même jusqu’à enfreindre la loi
De nombreuses utilisateurs d’applications cloud admettent le faire à des fins non autorisées, comme pour récupérer des données de leur ancienne société, pour dénoncer leur entreprise, voire pour assurer leur protection personnelle. Bien qu’il soit illégal de dérober des données appartenant à une entreprise avant d’en rejoindre une nouvelle, 7 % des répondants admettent se servir d’applications cloud pour se livrer à cette pratique. La dénonciation d’actes répréhensibles commis par une entreprise n’est, elle, pas illégale, et est la motivation derrière 8 % de l’utilisation du cloud pour conserver des données.

C’est dans le domaine des RH que cette pratique est la plus fréquente avec 17 % des professionnels du domaine. Enfin, le souci d’assurer sa propre protection (en récupérant des données d’entreprise afin de protéger des informations personnelles) motive 14 % de l’utilisation d’applications cloud au bureau. Les spécialistes de la gestion des RH (21 %), des systèmes d’information (18 %) et financière (17 %) sont ceux qui en utilisent le plus dans ce contexte. Compte tenu de la sensibilité des données gérées par ces types de professionnels, cette pratique présente donc un risque sérieux pour les entreprises.

L’âge, un facteur majeur dans l’utilisation du cloud
Plus les employés sont jeunes, plus ils utilisent d’applications cloud : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus. Généralement plus à l’aise avec les nouvelles technologies, les jeunes peuvent en revanche se montrer moins respectueux des mesures de sécurité.

« Cette enquête met en lumière les comportements des employés utilisant des applications cloud au bureau, ainsi que les risques auxquels ils exposent leurs employeurs en adoptant de tels comportements », déclare à DataSecurityBreach.fr le Dr Hugh Thompson, directeur technique et vice-président sénior de Blue Coat Systems, Inc. « Il est important de noter que les équipes gérant les données les plus critiques (soit les professionnels de la gestion financière, des systèmes d’information et des RH) sont les plus adeptes de ces applications. Les données sensibles placées sous leur responsabilité sont souvent les cibles privilégiées des pirates. La chasse aux shadow data, ou données « fantômes » car échappant au contrôle des équipes informatiques, restent clairement un défi de taille pour les organisations. Celles-ci doivent adopter une approche proactive afin d’éviter le partage de données sur des applications non approuvées, et pour s’assurer que les employés accèdent aux informations conformément aux paramètres d’utilisation établis pour éviter tout danger. »

N.B. Tous les chiffres, sauf mention contraire, sont fournis par YouGov Plc. Taille totale de l’échantillon : 6 044 adultes, dont 3 130 individus actifs. Le travail sur le terrain a été réalisé du 6 au 12 mai 2016. L’enquête a été réalisée en ligne. Les chiffres ont été pondérés et sont représentatifs de tous les adultes britanniques, français et allemands (âgés de 18 ans et plus).

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un commentaire

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch

Problème de confidentialité pour le site My pension

Le site Belge Mypension.be souffre d’un problème de confidentialité. Un utilisateur pensant être déconnecté… le reste sans le savoir.

problème de confidentialité – Les cookies sont de petits fichiers permettant de rendre « unique » l’utilisation d’un site Internet. Il permet de garder en mémoire une session après l’utilisation d’un identifiant de connexion ; de garder en mémoire les choix que vous avez pu effectuer sur un forum, une boutique… Le cookie peut aussi être un problème, surtout si ce dernier est mal géré.

C’est ce qui vient d’arriver au site Internet du gouvernement Belge, Mypension.be. Cet espace du service public du royaume ne prend pas en compte l’ordre pourtant donné par le bouton « deconnexion ». Bilan, si une personne surfe sur un ordinateur public ou semi public (bureau…) un second internaute, face au clavier, peut se retrouver connecter aux informations privées et sensibles du propriétaire légitime. « Une solution technique est en préparation et sera déployée aussitôt qu’elle aura été validée. La sécurité est en effet essentielle pour nos utilisateurs. » infique le site des pensions belges au journal Le Vif.

Espérons pour ce site qu’aucune faille de type XSS (Cross-Site Scripting) existe. Une XSS permet de dérober, par le biais d’un lien particulièrement formulé, d’intercepter les données d’un cookie, donc dans ce cas, de connexion d’un belge utilisateur de My Pension. Une attaque qui peut faciliter, pour un malveillant, l’accès aux données d’une cible pensant être déconnectée de son administration.

Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, ransomware, Social engineering

Le ransomware : une histoire de business criminel

Le ransomware est un modèle économique criminel, et non un problème de malware.

L’Unité 42 publie sa dernière analyse en date sur les ransomware, qui représentent l’une des cybermenaces les plus sérieuses auxquelles sont aujourd’hui confrontées les entreprises aux quatre coins du monde. Véritable modèle économique, le ransomware, ou rançongiciel, se révèle extrêmement efficace pour enrichir les cybercriminels tout en causant un préjudice opérationnel significatif aux entités touchées. Il ne fait pas de distinction entre ses victimes, sévit partout dans le monde et frappe les principaux marchés verticaux. Petites structures, grandes entreprises, particuliers : tous sont des cibles potentielles.

Si les rançongiciels existent, sous diverses formes, depuis plusieurs décennies, les criminels en ont perfectionné les principaux aspects au cours de ces trois dernières années. Résultat : les nouvelles familles de malware se sont multipliées, rendant cette technique particulièrement redoutable, et de nouveaux acteurs prennent aujourd’hui part à ces procédés très lucratifs.

Pour mener à bien une attaque de ce type, un pirate doit se conformer à la procédure suivante :
1.     Prendre le contrôle d’un système ou d’un équipement.
2.     Empêcher le propriétaire de l’équipement contrôlé d’y avoir accès, en partie ou en totalité.
3.     L’avertir que l’accès à son équipement lui sera restitué, moyennant le versement d’une rançon, et lui préciser les modalités de règlement de celle-ci.
4.     Accepter le paiement effectué par le propriétaire de l’équipement.
5.     Restituer au propriétaire un accès intégral à son équipement une fois le paiement perçu.

Si le pirate néglige l’une de ces étapes, il ne parviendra pas à ses fins. Bien que le concept de ransomware existe depuis plusieurs décennies, la technologie et les techniques requises pour s’acquitter de ces cinq étapes à grande échelle étaient encore inaccessibles il y a quelques années. La déferlante d’attaques imputables à l’exploitation de cette procédure a eu des répercussions sur les entreprises du monde entier qui, pour nombre d’entre elles, n’étaient pas préparées à les esquiver.

Multiplication des plates-formes
Les rançongiciels ont d’ores et déjà migré de Windows à Android, et un cas sous Mac OS X a été recensé. Aucun système n’est à l’abri de ce genre d’attaques, et tout équipement susceptible d’être détourné pour faire l’objet d’une demande de rançon sera une cible à l’avenir. Ce phénomène s’affirmera encore avec l’essor de l’Internet des objets (IoT). Si un pirate est en mesure d’infecter un réfrigérateur connecté à Internet, peut-être est-il plus délicat de monnayer cette intrusion. Pourtant, le modèle économique du ransomware peut s’appliquer à ce cas de figure, et plus largement, à partir du moment où le pirate est en mesure de s’acquitter des cinq étapes citées pour mener à bien ce type d’attaque. Une fois le réfrigérateur infecté, le pirate en question pourrait parfaitement désactiver à distance le circuit de refroidissement et ne le réactiver qu’en contrepartie d’un petit pécule versé par la victime.

Rançons très élevées
Dans le cadre d’attaques mono systèmes de type ransomware, des rançons allant de 200 à 500 $ sont exigées, mais les montants peuvent être nettement plus élevés. Si des pirates réalisent avoir compromis un système stockant de précieuses informations, et que l’entité infectée a les moyens de payer, ils reverront à la hausse le montant de leurs exigences. Nous avons d’ores et déjà constaté ce phénomène avec plusieurs attaques ultra-médiatisées dirigées contre des hôpitaux en 2016 : les rançons acquittées dépassaient largement les 10 000 $.

Attaques ciblées avec demande de rançon
Une intrusion ciblée sur un réseau s’avère intéressante pour un pirate à plus d’un titre. La revente ou l’exploitation d’informations dérobées est une technique usuelle, mais qui nécessite souvent une infrastructure « back-end » supplémentaire et des préparatifs pour pouvoir les monnayer. Les attaques ciblées avec ransomware représentent un réel potentiel pour ces pirates susceptibles de ne pas savoir comment autrement monétiser leur intrusion. Une fois le réseau infiltré, rien ne les empêche d’isoler des fichiers très lucratifs, bases de données et systèmes de sauvegarde, puis de crypter simultanément l’ensemble de ces données. De telles attaques, qui font appel au logiciel malveillant SamSa, ont d’ores et déjà été observées et se sont révélées très rentables pour les adversaires les exécutant.

Base de données, Cybersécurité, Entreprise, Mise à jour, santé

L’Insee et la Drees ouvrent le code source d’Ines

L’Insee et la Drees mettent leurs données à disposition depuis de nombreuses années. Le 14 juin, ils iront encore plus loin et partageront le code source d’un de leurs outils de simulation, le modèle Ines, qui fête ses 20 ans cette année.

Cette ouverture sera précieuse pour tous ceux qui souhaitent utiliser un modèle fiable et éprouvé, afin de mener des évaluations de politiques publiques. Elle le sera également pour l’Insee et la Drees qui pourront améliorer le modèle grâce aux contributions libres.

Mais qu’est Ines ?
Créé en 1996, Ines est l’acronyme d’« Insee-Drees », les deux organismes qui développent conjointement le modèle. Le modèle Ines simule les prélèvements sociaux et fiscaux directs et les prestations sociales à partir de données représentatives de la population française que fournit l’enquête Revenus fiscaux et sociaux. Il est largement mobilisé par l’Insee et la Drees pour éclairer le débat économique et social dans les domaines de la redistribution monétaire, la fiscalité ou la protection sociale.

A partir d’Ines, l’équipe Insee – Drees  publie chaque année un dossier dans France Portrait Social qui décrit l’impact des mesures fiscales et sociales de l’année précédente sur le niveau de vie moyen et les inégalités.   Ines permet également l’estimation des indicateurs avancés du taux de pauvreté monétaire et des inégalités.  Il est aussi utilisé comme outil d’appui à la réflexion, notamment en réponse aux sollicitations des ministères de tutelles, de divers Hauts Conseils, ou d’organismes de contrôle (IGF, Cour des Comptes, Igas).

Pour en savoir plus sur le modèle Ines .

Que pourra-t-on faire à partir du code source d’Ines ?  
Mener des travaux de recherche à partir d’un outil performant et éprouvé. Fort de ses vingt ans d’existence, le modèle Ines est un modèle de référence en matière de simulation des prélèvements obligatoires et des prestations sociales. Le mettre à disposition, c’est permettre aux  équipes de recherche ayant accès aux données sur lesquelles s’appuie le modèle, de mener des travaux pointus et approfondis, notamment à des fins d’évaluation de politiques publiques.  De plus, l’Insee et la Drees joignent au code source une documentation très complète et continuellement alimentée via un wiki, pour permettre à chacun une utilisation autonome du modèle.

Contribuer à l’amélioration du modèle
L’Insee et la Drees se réjouissent de pouvoir bénéficier ainsi des contributions d’experts extérieurs à la conception du modèle Ines. Un dispositif sera mis en place dès le 14 juin pour recueillir les propositions d’amélioration. Les utilisateurs pourront communiquer entre eux et s’adresser à l’équipe qui administre le modèle pour signaler des erreurs dans le code et/ou proposer des améliorations, via un forum dédié. Ces propositions seront étudiées par l’équipe Insee – Drees et pourront être intégrées au modèle.

Arnaque, Cybersécurité, escroquerie, Mise à jour, Particuliers, Social engineering, spam

Football : Euro 2016 et sécurité informatique

Euro 2016 – Les événements sportifs mondiaux ont toujours constitué un terrain de chasse idéal pour les cybercriminels. L’Euro 2016, qui débute le 10 juin prochain, ne devrait pas déroger à la règle.

Euro 2016 – Voici quelques éléments clés à retenir, amateur de football, de l’Euros 2016 ou non. Se méfier du spam et autre fausses « bonnes affaires » (places pour assister aux matchs à des prix défiant toute concurrence, par exemple). Ces mails peuvent contenir une pièce jointe infectée contenant un malware accédant au PC et interceptant les données bancaires des internautes lorsqu’ils font des achats en ligne. Ils peuvent également contenir un ransomware, qui verrouille et chiffre les données contenues dans le PC et invite les victimes à verser une rançon pour les récupérer.

Détecter les tentatives de phishing (vente de tickets à prix cassés voire gratuits, offres attractives de goodies en lien avec l’évènement,…) en vérifiant l’URL des pages auxquelles le mail propose de se connecter et en ne communiquant aucune information confidentielle (logins/mots de passe, identifiants bancaires, etc.) sans avoir préalablement vérifié l’identité de l’expéditeur.

Être prudent vis à vis du Wi-Fi public pour éviter tout risque de fuite de données, par exemple en désactivant l’option de connexion automatique aux réseaux Wi-Fi. Les données stockées sur les smartphones circulent en effet librement sur le routeur ou le point d’accès sans fil (et vice-versa), et sont ainsi facilement accessibles.

Redoubler de vigilance vis-à-vis des mails invitant à télécharger un fichier permettant d’accéder à la retransmission des matchs en temps réel. Il s’agit en réalité de logiciels malveillants qui, une fois exécutés, permettent d’accéder aux données personnelles stockées dans le PC (mots de passe, numéro de CB, etc.) ou utilisent ce dernier pour lancer des procédures automatiques comme l’envoi de mails massifs. (TrendMicro)

Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Logiciels, Wordpress

Panama Papers : le résultat d’une sécurité informatique négligée

Sécurité informatique négligée – Le monde financier, politique et juridique a été bouleversé par les Panama Papers. Mais comment a-t-il été possible de voler 2,6 To de données appartenant à Mossack Fonseca ?

Au delà de l’affaire fiscale, politiciens, industriels et autres personnalités auraient utilisé des entreprises offshore pour réaliser de l’optimisation, Mossack Fonseca est aussi une affaire de sécurité informatique ! Même si nous n’avons encore aucune certitude sur la manière dont la fuite s’est précisément produite, c’est tout de même 2,6 To de données qui ont été volées chez Mossack Fonseca. Le cabinet-conseil juridique a déclaré que les données ont été volées à partir d’un serveur email attaqué, sans donner davantage de détails.

Plusieurs experts se sont penchés sur la question. Regardons quelques dérapages de cette sécurité informatique négligée :
Mossack Fonseca utilise WordPress pour son site internet. Comme nous le savons, il est important de mettre à jour les sites internet WordPress régulièrement à cause des failles qui ressortent très souvent. La version utilisée mi-avril a été mise à jour la dernière fois il y a cinq mois.
Le serveur WordPress utilisait le même serveur que la base de  données contenant tous les fichiers client.
Le site internet de Mossack Fonseca utilise un plug-in WordPress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014. Même sanction pour son application dédiée aux offres d’emploi. Une révélation de ZATAZ.
Les détails d’identification du serveur mail étaient stockés en texte dans un autre plug-in WordPress.
Il y avait un portail où les clients pouvaient s’identifier. Une version de Drupal propice aux fuites était utilisée à ces fins et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.
Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009 et contenait par conséquence beaucoup de failles de sécurité.
Le protocole hasardeux SSL v2 était utilisé pour le portail client.
Le site était vulnérable aux injections SQL.
Les mails n’étaient pas chiffrés.
Différents experts émettent également l’hypothèse qu’un espionnage interne pourrait être à l’origine de la fuite.

Même s’il est difficile de savoir si une ou plusieurs de ces failles ont été utilisées dans l’attaque, il parait évident que la sécurisation des informations du cabinet de conseil était trop faible. Mais le vol de données est un symptôme qui est présent dans tous les secteurs. D’une manière générale, la sécurité de l’information et l’informatique est bien souvent le parent pauvre des entreprises. Les directives de protection des données de la commission européenne qui vont rendre illégales l’attitude laxiste face à la sécurité des informations, ne peut qu’être bénéfiques. Même si l’on peut craindre qu’il n’y ait aucune action des entreprises jusqu’à ce que tombent les premières amendes.

Chiffrement, Cybersécurité, Entreprise, Mise à jour, Propriété Industrielle

Une erreur d’inattention : jusqu’à 15 millions de dollars

Erreur d’inattention – On peut perdre de l’argent à cause des fluctuations du marché ou d’un secteur d’activité. Mais lorsque l’on oublie de renouveler ses certificats SSL, les conséquences financières peuvent être catastrophiques pour l’entreprise – notamment en termes d’image de marque et de fiabilité auprès de vos prospects et clients.

D’après une étude, près des deux tiers des entreprises reconnaissent avoir déjà perdu des clients au cours des deux dernières années parce qu’elles avaient omis de sécuriser leur site Web avec les certificats appropriés. Une erreur d’inattention qui coûte ! Dès qu’un client perd confiance dans votre site Web – et par analogie, dans votre entreprise –, il risque d’aller voir ailleurs par crainte pour la sécurité de ses données. Si un site Web n’est pas sécurisé, l’entreprise expose ses données à des risques de violation dont les conséquences financières peuvent se chiffrer en millions d’euros. Un simple oubli à la date de renouvellement de ses certificats suffit à déclencher une avalanche de frais : interventions en cas d’incident, dommages et intérêts, frais de justice, sanctions financières et relations publiques…

D’après un rapport Ponemon de 2015, l’entreprise « moyenne » a déjà connu plus de deux défaillances système ces deux dernières années à cause de « pannes en rapport avec des certificats ».  Pour une panne non programmée liée aux certificats, le coût moyen avoisine 15 millions de dollars (USD).

Étude de cas Microsoft Azure
En 2013, la plate-forme cloud Azure de Microsoft a connu une panne mondiale à cause d’un certificat SSL expiré. L’incident s’est produit au moment même où l’on signalait des problèmes sur les services Xbox Music et Xbox Video de Microsoft. L’annonce est survenue le jour où Microsoft reconnaissait avoir été victime de la même cyberattaque qu’Apple et Facebook. Comme l’on peut l’imaginer, ses nombreux clients ont dû être informés, son service des relations presse a dû gérer la communication autour de la situation et Microsoft a enregistré un important manque à gagner pendant l’attaque.

Comment s’assurer que son site est protégé ?
Face au risque croissant des cyberattaques, les sociétés d’audit traquent les normes et les réglementations auxquelles les entreprises devront se conformer pour démontrer l’absence de risques pour leurs clients ou leurs données. Pour savoir quelles sont les mesures de mise en conformité à prendre, on peut se rendre sur le site IT Governance pour consulter les pages consacrées aux normes publiées.

Depuis que des sociétés comme Google notent mieux les entreprises dont les sites sont sécurisés, le sujet est d’actualité dans les entreprises et les départements responsables de la sécurité des systèmes d’information.

Faire un audit interne
Commencer par rassembler l’ensemble de ses certificats actuels et de ses clés pour identifier les éventuelles failles.

L’entreprise peut d’ores et déjà utiliser l’outil gratuit mis à disposition par GlobalSign pour vérifier ses serveurs Web. Si l’on est client de GlobalSign, on peut également utiliser l’outil d’inventaire de certificats pour vérifier gratuitement l’emplacement de ses certificats et leur date de renouvellement.

Répertorier les dates d’expiration pour chaque certificat et les consigner dans un endroit facile à mémoriser. Pour se faciliter la tâche, la personne chargée de la sécurité des systèmes d’information peut éventuellement programmer un rappel dans son calendrier avant la date d’expiration de chacun de ses certificats pour effectuer les mises à jour dans les délais et éviter que le site de son entreprise ne se retrouve en situation de vulnérabilité. L’on peut également envisager une solution Managed SSL pour contrôler ses certificats via une plate-forme en ligne et être prévenu lorsqu’un certificat doit être renouvelé.

Faites appliquer les règles en interne
Après avoir pris connaissance des normes ISO, GlobalSign recommande de mettre en place les processus adéquats dans son entreprise et de les documenter pour que chacun soit, dans la mesure du possible, informé des mesures prises, des raisons sous-jacentes et de son rôle.

Des formations doivent également être mises en place à l’échelle de l’entreprise pour expliquer à ses collaborateurs les changements entrepris. Autre objectif de ces formations : éviter que les collaborateurs ne soient victimes d’arnaques de type phishing (hameçonnage) ou qu’ils exposent inutilement des données sensibles avec le risque de compromettre les données de l’entreprise.

Voici un exemple de procédures à mettre en œuvre pour assurer la protection interne et externe d’une entreprise au niveau physique et en ligne :
Carte magnétique/Badge permettant d’accéder aux bâtiments, bureaux et salles avec des niveaux d’autorisation différents en fonction des collaborateurs
Règlement intérieur prévoyant des formations régulières pour les collaborateurs sur les bonnes pratiques et les moyens de détecter et de signaler d’éventuelles menaces et problèmes de sécurité. Authentification à deux facteurs pour l’accès des collaborateurs aux machines, terminaux, réseaux et portails en ligne. Signature numérique des e-mails permettant de garantir l’authenticité de l’auteur des messages, d’éviter toute modification non autorisée des messages et de chiffrer les messages contenant des données et des informations sensibles. (GlobalSign)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, loi

Empreintes biométriques, le FBI veut sa BDD

Le FBI vient d’annoncer qu’elle trouvait judicieux de pouvoir stocker toutes les informations concernant les empreintes biométriques, dans un espace de stockage qui lui serait propre.

Le FBI propose de sauvegarder toutes les empreintes biométriques, dans ses locaux, que les Américains auront pu soumettre à l’administration de l’Oncle Sam. Les Américains, mais pas seulement. Si vous avez fait une demande de visa, par exemple, vos données pourraient être sauvegardées et stockées dans la base de données du FBI.

Connu comme le système d’identification de prochaine génération (NGIS), la base de données contiendra les enregistrements des passeports, des contrôles de sécurité, et les informations des traitements judiciaires, comme ceux enregistrés lors d’une arrestation. Il n’y aura pas que les empreintes digitales de vos doigts. NGIS prévoit de sauvegarder les scans d’iris, du visage, palmaires, et toute autre information corporelles qui peuvent être recueillies dans le cadre d’une interaction avec l’agence gouvernementale.

Le FBI explique que sa base de données doit être considérée comme sensible, donc exemptée du contrôle effectué par la Loi sur la protection des renseignements personnels. Bilan, personne ne pourra lui demander le moindre compte. Le FBI a ajouté que l’agence pourrait utiliser les données pour arrêter de futurs criminels. On ne sait pas combien de personnes sont dans cette base de données. L’Electronic Frontier Foundation a déclaré en 2014 que le FBI prévoyait d’avoir plus de 52 millions de photos dans cette « BDD » d’ici la fin de l’année 2015. Le législateur à jusqu’au 6 juin pour freiner les hardeurs du FBI. (Zdnet)

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Piratage

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Cybersécurité, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers, Sauvegarde

Droit à l’oubli : Google interjette appel de sa condamnation par la CNIL

Cnil contre Google : Le combat du droit à l’oubli continue après l’appel de sa condamnation par la CNIL ce 19 mai.

Google est bousculé par les autorités européennes et nationales depuis 2 ans concernant le référencement des personnes physiques au sein du moteur de recherches.

Tout a commencé avec l’affaire dite ‘’Google Spain’’ en 2014, au terme de laquelle la Cour de justice de l’Union Européenne a condamné le géant mondial de l’internet à retirer les résultats « inadéquats, pas ou plus pertinents ou excessifs » référençant le nom de personnes qui ne le souhaitaient pas ou plus et en ont formulé la demande.

Suite à cette décision, le moteur de recherche a reçu des dizaines de milliers de requêtes de la part de citoyens français. On dit qu’ils cherchent à exercer leur « droit à l’oubli », bien que celui-ci n’existe pas actuellement de manière explicite dans la législation ou jurisprudence européenne et française.

Les tentatives de Google pour échapper au droit à l’oubli
Suite à la décision de la Cour de Strasbourg, la société Google a accédé en demi-teinte aux demandes des internautes. Après avoir créée un formulaire à cet effet, elle a procédé au déréférencement de certains résultats mais seulement sur les extensions européennes du moteur de recherches comme google.fr ou google.uk. A contrario, elle refuse catégoriquement de faire jouer le droit à l’oubli des personnes sur le portail google.com. Or, tout le monde peut utiliser cette extension, ce qui revient à rendre illusoire le déférencement.

En mai 2015, face à ce manque de volonté, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a publiquement mis en demeure le moteur de recherche mondial n°1 d’accéder aux demandes de déréférencement sur tous les noms de domaine de la société. Un recours gracieux a été formé fin juillet 2015 par Google faisant valoir que l’injonction entraverait le droit à l’information de ses internautes tout en instaurant une forme de censure. Selon la société, il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Après le rejet de ce recours gracieux, la CNIL a engagé une procédure de sanction à l’encontre de Google qui s’est soldée par sa condamnation à 100 000 euros d’amende pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble de ses extensions géographiques.

Google interjette appel de sa condamnation par la CNIL
Ce jeudi 19 mai 2016, Google a fait appel de cette condamnation peu sévère au regard du chiffre d’affaire astronomique de cette société de droit américain, qui était de 66 milliard de dollars en 2014, soit 19% de plus qu’en 2013. On en déduit que Google en fait une affaire personnelle, une affaire de principe : La société ne veut pas se laisser dicter sa conduite par la Cour de justice de l’Union européenne et certainement pas par une autorité administrative française.

A l’image de David contre Goliath, le combat de la CNIL contre Google est extrêmement déséquilibré. Nous ne pouvons que saluer la persévérance de la CNIL dans sa confrontation avec Google pour faire respecter les droits des particuliers français partout dans le monde. Le projet de loi pour une République numérique conforte la position de la CNIL en consacrant un droit à l’oubli pour les mineurs. De plus, toute personne pourra dorénavant organiser les conditions de conservation et de communication des données à caractère personnel la concernant après son décès, ce qu’on peut rattacher au droit à l’oubli. Entre neutralité du net et droit à l’oubli, des choix vont devoir être pris et il faudra les imposer à Google, ce qui présage encore une longue vie à la saga judiciaire sur le déréférencement. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Entreprise, hackathon

Hackathon HUBeau, le 1er juin, sur les données de l’eau

Hackathon – Vous voulez développer une application qui permet de connaitre les poissons disponibles dans une rivière ? Vous souhaitez communiquer à vos lecteurs une carte de la qualité des nappes cours d’eau en France ? Vous voulez pouvoir indiquer à vos clients à quelle profondeur on trouve de l’eau dans le sol ? Vous avez besoin de données de qualité des rivières pour définir l’usage qui pourra en être fait ?

Le SIE (système d’information sur l’eau) donne accès à ces données en open data (data.eaufrance.fr) pour répondre à ces besoins. Mais, la réutilisation de ces données est compliquée pour les utilisateurs qui ont du mal à s’en servir.

Hackathon HUBeau

Le projet HUBeau vise à faciliter l’accès aux données de l’eau, sur l’Internet, pour les ré-utilisateurs (entreprises, scientifiques, associations, administrations, développeurs, journalistes de données). Il fournit ainsi un service innovant d’open-data, au travers d’un accès simplifié et fonctionnel grâce à une nouvelle API (application programming interface). Cette API offre des formats adaptés aux réutilisations et permet un accès direct à des données dénormalisées, intégrant dans les données les éléments de référentiels distants, et propose l’accès dans des formats plus facilement manipulables (json, géojson, csv, Gml, …).Cette plateforme peut être utilisée pour des besoins variés d’utilisateurs privés, par exemple les bureaux d’études ou les développeurs de services, comme pour les utilisateurs publics par exemple les collectivités ou gestionnaires de SAGE.

Trois exemples de cas d’utilisation peuvent actuellement être testé : l’état piscicole des rivières ; la qualité des rivières ; le niveau des aquifères ; les indicateurs des services d’eau et d’assainissement.

L’hackathon sur les données sur l’eau le 1er juin, Palais des Congrés (Issy-Les-Moulineaux).

hackathon

Hackathon, les 25 et 26 juin 2016 à Rouen

Le Groupe Matmut organise son premier hackathon, les 25 et 26 juin 2016 à Rouen.

Partenaire du NWX Summer festival, organisé du 23 au 26 juin à Rouen par Normandie Web Xperts (NWX), le Groupe Matmut lance du 25 au 26 juin son premier hackathon. A cette occasion, des développeurs informatiques, web designers, marketeurs, communicants et autres passionnés auront 24 heures pour développer, par équipes de 5 personnes, un projet numérique innovant, sur une thématique donnée. Celle-ci, en lien avec le cœur de métier du Groupe d’assurance, sera dévoilée le jour-même.Au terme de ces 24 heures studieuses et festives à la fois, les équipes soutiendront leur projet devant un jury qui élira et récompensera les gagnants.