Archives de catégorie : Sauvegarde

Mon terminal mobile sur le lieu de travail

Les salariés qui utilisent leur propre terminal mobile au bureau sont inquiets à l’idée que leur employeur puisse accéder à leurs informations personnelles. C’est ce qu’a pu constater Data Security Breach dans le rapport reçu d’Aruba Networks, leader de l’accès réseau pour l’entreprise mobile. En France, cette méfiance se traduit en faits concrets. DataSecurityBreach.fr a pu constater que 24% des salariés français déclarent que leur employeur ne sait pas qu’ils utilisent un terminal personnel au travail ; 57% d’entre eux ne déclareraient pas à leur employeur le nouveau terminal qu’ils envisagent d’utiliser au travail ; 65% déclarent que leur employeur n’installe pas de logiciel de sécurité supplémentaire sur leur terminal ; 48%  ne signaleraient pas immédiatement une fuite de données professionnelles.

Le rapport de l’étude « Employees tell the truth about your company’s data », menée auprès de plus de 3 000 salariés dans le monde, révèle que près de la moitié des salariés européens (45 %) redoutent la perte de données personnelles, une crainte que partagent 40 % des personnes interrogées au Moyen-Orient et 66 % aux Etats-Unis. Par ailleurs, ils sont 34 % en Europe, 35 % au Moyen-Orient et 51 % aux Etats-Unis à déclarer que leur service informatique ne prend aucune mesure pour assurer la protection des dossiers et applications professionnels se trouvant sur leurs terminaux personnels.

Ces inquiétudes font que de nombreux salariés rechignent à mettre leur terminal personnel entre les mains du service informatique, mettant ainsi en danger les données de leur entreprise. Près d’un salarié européen sur six (soit 15 %) déclare n’avoir même pas prévenu son employeur qu’il utilise un terminal personnel au travail. Ils sont 17 % dans ce cas au Moyen-Orient et en Amérique.

Encore plus inquiétant pour les entreprises : 13 % des salariés européens, 26 % au Moyen-Orient et 11 % aux Etats-Unis avouent qu’ils n’informeraient pas leur employeur si leur terminal était corrompu, même si cela entraînait une fuite de données professionnelles. Ils sont par ailleurs 40 % en Europe, 41 % au Moyen-Orient et 36 % en Asie à affirmer qu’ils ne signaleraient pas immédiatement une fuite de données.

Cette réticence s’explique par la perception négative que les salariés ont du service informatique de leur entreprise. Ils s’inquiètent plus particulièrement de ce que le personnel informatique pourrait faire de leur terminal et des données qu’il contient. 25 % des salariés européens interrogés, 31 % au Moyen-Orient et 45 % aux Etats-Unis sont inquiets à l’idée que le personnel informatique accède à leurs données personnelles, et ils sont 18 % en Europe et 26 % au Moyen-Orient à craindre que leur service informatique ne fouille dans leurs données privées s’ils lui confiaient leur terminal.

Lorsqu’on leur demande comment elles réagiraient si le personnel informatique de l’entreprise accédait à leurs données personnelles, près de la moitié des personnes interrogées en Europe et au Moyen-Orient répondent qu’elles seraient en colère, tandis qu’elles seraient 41 % en Europe, 47 % au Moyen-Orient et 46 % aux Etats-Unis à percevoir cela comme une violation.

Ben Gibson, directeur marketing chez Aruba Networks, a déclaré à datasecuritybreach.fr : « L’étude menée des deux côtés de l’Atlantique montre que les employés et les services informatiques jouent avec la sécurité des données, mais cela n’est pas uniquement le fait du hasard. Pour résumer : autant les salariés acceptent mal le pouvoir que les employeurs exercent aujourd’hui sur leurs données personnelles, autant ils sont indifférents à la sécurité des données de l’entreprise. »

« L’utilisation de terminaux électroniques personnels pour un usage professionnel (BYOD) est devenue aujourd’hui une réalité face à laquelle les entreprises doivent adopter des solutions pour, d’un côté, garantir le caractère privé des données des employés et, de l’autre, exercer un contrôle plus étroit sur le réseau afin de s’assurer qu’aucune information sensible ne puisse être divulguée, le tout sans perturber l’expérience de l’utilisateur », a-t-il conclu à Data Security Breach.

Il existe clairement un fossé entre ce que les employés veulent et ce dont les services informatiques des entreprises ont besoin. Créer une véritable séparation entre données personnelles et données de l’entreprise contribuerait fortement à résoudre ces problèmes et à tranquilliser les salariés.

A noter que l’éditeur de solutions de sécurité informatique AVG a mis en ligne, dans le Google Play, un outil qui permet de désinstaller, efficacement, toutes les applications que l’on souhaite détruire.

Trois français sur 10 ont perdu des données stockées dans le cloud en 2012

Aujourd’hui, de nombreuses entreprises migrent vers des plates-formes de cloud computing pour bénéficier des avantages concurrentiels inhérents aux gains qui en découlent en matière de vitesse, d’agilité et de flexibilité. Selon l’enquête Avoiding the Hidden Costs of the Cloud – 2013 publiée en janvier 2013 par Symantec, Datasecuritybreach.fr vous en parlait à l’époque, 86 % des entreprises françaises en sont au moins à discuter de cloud computing, 79 % pour les PME.

Une mauvaise utilisation du cloud computing peut en revanche se révéler désastreuse pour les entreprises qui peuvent voir leurs coûts augmenter ou observer des pertes d’informations ou de données. En France, 33 % des entreprises ont perdu des données stockées dans des clouds et 70 % ont été confrontées à des échecs de restauration. C’est du moins ce qu’indique ce rapport. 70 % des entreprises françaises ont expérimenté des déploiements non-autorisés et non-gérés d’applications de cloud computing ; parmi elles, 40 % ont été confrontées à des problèmes de divulgation d’informations confidentielles et plus d’un quart à des problèmes de prise de contrôle de comptes, de dégradation de ressources Web ou de vols de produits ou de services.

Pour que les e-soldes d’été riment avec e-sécurité

Pour que les e-soldes d’été riment avec e-sécurité Pour que les bonnes affaires le restent, 6 conseils de Data Security Breach pour succomber à la tentation des bonnes affaires estivales sans tomber dans les pièges qui peuvent être tendus sur internet. 26 juin, c’est officiellement le coup d’envoi des soldes d’été. C’est l’occasion de se faire plaisir en réalisant des économies d’autant que le mauvais temps de ces dernières semaines présage d’un important stock à écouler. Malgré la crise, 80% des français ont l’intention de faire les soldes cette année selon l’étude Ifop pour Spartoo avec un panier moyen prévu de 201 euros.

De plus en plus de français font leur achat sur des sites d’e-commerce. Cependant, même si ces sites sont mieux protégés qu’auparavant, le risque de se faire arnaquer sur Internet persiste. Alors que 52% des victimes de fraude déclarent que la fraude subie « a été effectué dans un commerce en ligne », 27% des acheteurs continuent d’utiliser leur carte de crédit avec désinvolture pour effectuer des achats en ligne selon une étude Harris Interactive pour Kaspersky Lab. Les montants volés constatés sont en moyenne de 250 euros mais si 20% de ces débits sont supérieurs à 1 000 euros.

Voici une liste de 6 conseils prodigués par Kaspersky Lab pour ne pas tomber dans les mailles du filet des cybercriminels pendant cette période d’achats :

1.     Etre vigilant face aux offres trop alléchantes – Les internautes ont pour habitude de recevoir des promotions de différentes marques soit via e-mail ou sur les réseaux sociaux tels que Facebook et Twitter. Cependant, certains cybercriminels abusent de cette méthode de distribution en envoyant de faux e-mails déguisés en messages légitimes de marques (phishing). Après avoir cliqué sur le lien, l’utilisateur est alors redirigé vers un site malveillant au lieu de celui du distributeur. Les pirates pourront récupérer toutes les informations bancaires stockées sur l’ordinateur; 1/3 des internautes conservent ce type d’information sur leur ordinateur domestique.

2.     Vérifier l’authenticité et la sécurité du site – Si une bonne affaire se profile, il suffit de se rendre sur le site officiel de la marque pour confirmer qu’il s’agit bien d’une offre légitime et que le site n’est pas un faux. Le témoignage de clients, la présence de conditions générales et la réactivité du service client constituent d’autres indices prouvant la véracité du site. Le paiement en ligne doit également être sécurisé car même si 44% des acheteurs sur Internet ne sont pas particulièrement inquiets lorsqu’ils utilisent leurs cartes de crédit en ligne1, il est important de vérifier l’existence du cadenas et de la mention https dans la barre d’adresse.

3.     Privilégier les réseaux 3G/4G au Wi-Fi – Les smartphones et les tablettes peuvent aider à suivre les bonnes affaires même au sein des centres commerciaux physiques. Cependant, les cybercriminels savent que les consommateurs ont tendance à se rendre sur des sites dotés d’identifiants ou d’informations bancaires pendant ces événements particuliers. Ils peuvent facilement surveiller les informations envoyées sur les réseaux Wi-Fi publics, telles que le numéro de compte ou de carte bancaire.

4.    Favoriser des moyens de paiements fiables – Il est important de privilégier les moyens de paiement qui permettent un recours comme les systèmes de paiement sécurisés par carte bancaire et d’éviter au maximum les services de transfert d’argent, notamment à l’étranger.

5.     Eviter de renseigner les sites avec trop de données personnelles – Certains sites d’e-commerce sont très intrusifs et demandent de fournir beaucoup de données personnelles. Il faut donc éviter de laisser trop d’informations sur soi.

6.     Choisir un mot de passe sécurisé – Un bon mot de passe est la condition indispensable pour une protection optimale de ses données. Le mot de passe idéal doit combiner plusieurs combinaisons de caractères mais ne doit pas être réutilisé à l’infini. Plusieurs mots de passe sont nécessaires pour éviter de se faire pirater ses comptes.

Les responsables informatiques aveugles face aux failles de sécurité des réseaux d’entreprise ?

Dimension Data, le fournisseur mondial de services et de solutions informatiques, a déclaré à Data Security Breach que le nombre de périphériques vulnérables sur les réseaux informatiques d’entreprise a chuté entre 2011 et 2012, passant de 75 % à 67 %. Même s’il s’agit du chiffre le plus bas en deux ans, cette tendance met en évidence l’approche laxiste en matière de sécurité actuellement adoptée par les gestionnaires de réseau.

Telle est l’une des conclusions tirées dans le Baromètre des réseaux 2013 publié aujourd’hui par Dimension Data. Depuis son lancement en 2009, le Baromètre des réseaux informe de l’état des réseaux à l’échelle mondiale, en compilant des données en provenance des entreprises et les résultats des audits Technology Lifecycle Management (TLM) réalisés par Dimension Data dans le monde au cours de l’année écoulée. Ce rapport analyse la capacité opérationnelle des réseaux en évaluant la présence de failles de sécurité, le statut en fin de vie et le respect des bonnes pratiques de configuration des périphériques réseau. Aujourd’hui, Dimension Data affiche au compteur plus de 1 200 audits réalisés ces cinq dernières années, grâce à la solution Technology Lifecycle Management (TLM), auprès d’entreprises de toutes tailles et opérant dans tous les secteurs d’activités.

Comme l’explique à datasecuritybreach.fr Raoul Tecala, directeur du développement commercial de l’activité Intégration réseau chez Dimension Data : « Certaines failles de sécurité présentes depuis des années n’ont toujours pas été corrigées — et ce, malgré la proactivité dont font preuve certains fournisseurs comme Cisco Systems avec l’envoi d’alertes en cas de correctifs et les constantes mises à niveaux de leurs logiciels et systèmes. (…) « L’élimination de toutes les failles de sécurité peut constituer un défi de taille dans le cas d’environnements complexes d’envergure. Il convient toutefois de mettre en balance les perturbations subies et les efforts nécessaires, d’une part, avec les répercussions potentielles et les mesures qui s’avèrent indispensables. Bien que les réseaux semblent actuellement moins en proie aux failles de sécurité, la proportion importante de périphériques vulnérables se maintiendra jusqu’à l’application d’un correctif logiciel ou à la mise à niveau vers une nouvelle version plus sécurisée du code. »

Data security breach conseille aux entreprises de concentrer leurs efforts sur les failles de sécurité qui représentent le plus grand danger. « Plus le périphérique est proche d’Internet, plus le risque est important. Par conséquent, les entreprises doivent se montrer vigilantes et nous leur recommandons de mettre en place un système visant à évaluer, à hiérarchiser et à corriger en permanence les failles de sécurité des réseaux. termine Raoul Tecala, Même si les réseaux informatiques paraissent aujourd’hui moins vulnérables, bon nombre des failles de sécurité restantes sont difficiles à supprimer complètement et on en identifie de nouvelles chaque année. Il serait donc malvenu de se reposer sur ses lauriers ».

Les Chefs d’Etat du G8 signent une Charte pour l’Ouverture des Données Publiques

Le Président de la République, François Hollande, et les Chefs d’Etat du G8 réunis les 17 et 18 juin 2013 au Sommet de Lough Erne, en Irelande du Nord, ont signé aujourd’hui une Charte du G8 pour l’Ouverture des Données Publiques. Cette Charte Open Data du G8 marque l’ambition collective des Etats Membres de promouvoir une gouvernance plus ouverte et plus transparente : en établissant un principe d’ouverture par défaut des données publiques, en affirmant le principe de gratuité de leur réutilisation et en privilégiant les formats ouverts et non-propriétaires, elle encourage l’accès de tous à l’information et promeut l’innovation entrepreneuriale, citoyenne et sociale.

Chaque Etat membre du G8 développera un plan d’action d’ici fin 2013, visant à respecter les principes de la Charte en mettant en oeuvre les meilleures pratiques et les engagements collectifs détaillés dans son annexe technique d’ici fin 2015. La France a par ailleurs contribué à dresser la cartographie des métadonnées du G8, consultable sur GitHub. Elle présente un index collectif des métadonnées des plateformes Open Data de chaque Etat Membre du G8, ainsi qu’une cartographie analytique de ces métadonnées.

Le Communiqué des Chefs d’Etat (paragraphes 46 à 50) affirme que « cette Charte contribuera à accroître la quantité de données publiques ouvertes dans les secteurs essentiels de l’action publique, comme la santé, l’environnement ou les transports ; à soutenir le débat démocratique ; et à faire en sorte de faciliter la réutilisation des données publiées ». Pour les Etats Membres du G8, « l’ouverture des données publiques est une ressource essentielle à l’âge de l’information. »

Charte du G8 pour l’Ouverture des Données Publiques (Français)

Annexe de la Charte du G8 pour l’Ouverture des Données Publiques (Français)

Vers la fin du pare-feu ?

Par Jean-Philippe Sanchez, pour DataSecurityBreach.fr, Consultant chez NetIQ France – Chaque professionnel de l’informatique consacre beaucoup de temps et d’argent à s’équiper de pare-feux dernier-cri pour protéger ses informations contre toutes sortes d’agressions extérieures. C’est une situation pour le moins ironique car dans le même temps, les entreprises migrent leurs applications vers le Cloud, casse-tête auquel il faut ajouter la vague d’employés qui utilisent leurs propres appareils au bureau (BYOD – Bring your own device)…

Traditionnellement, les pare-feux constituent la pierre angulaire des stratégies pour protéger leurs actifs numériques. Il y aura toujours des pare-feux, les attaques par déni de service justifiant à elles seules leur existence. Mais l’argument selon lequel le pare-feu est le « meilleur moyen de défense » perd chaque jour de sa crédibilité. C’est pourquoi il est temps de revoir le rôle qu’il joue dans un contexte où les applications et les informations résident dans de multiples sources d’hébergement et prolifèrent sur de nombreux types de périphériques.

L’exercice est simple, datasecuritybreach.fr l’a testé pour vous : sur une feuille, indiquez l’emplacement actuel de vos actifs numériques, et d’ici trois ans. Ensuite, procédez de même pour les besoins d’accès. Vous serez étonné par l’afflux de périphériques personnels appartenant à des employés et d’autres personnes qui comptent les utiliser dans l’environnement professionnel.

De toute façon, si vous leur dites « non », ils trouveront le moyen de vous contourner et d’emporter quand même des données professionnelles ! En mettant ces renseignements à plat, vous allez rapidement vous rendre compte qu’il ne sera pas si simple de tracer un nouveau périmètre et des définir les limites à ne pas franchir. Est-ce un point de routage spécifique, un proxy ou un serveur ?

En réalité, même avant l’apparition du BYOD et des logiciels SaaS, les directions informatiques étaient probablement déjà trop dépendantes des pare-feux. Une étude récente montre que la source la plus courante de fuites de données réside à l’intérieur de l’entreprise. Les fuites de données proviennent habituellement d’utilisateurs lambda, peu qualifiés, et non de pirates sophistiqués.

Pourtant, malgré cette tendance, de nombreux services informatiques continuent de renforcer leur périmètre tout en généralisant les règles de contrôle d’accès applicables aux utilisateurs internes.

Venant s’ajouter aux variables habituelles que sont les périphériques et les lieux, la base des utilisateurs gagne elle aussi en diversité. Les exigences professionnelles obligent de plus en plus les services informatiques à ouvrir leurs pare-feux et à laisser entrer davantage d’utilisateurs ; après tout, le but est de permettre aux utilisateurs de faire leur travail. Et bien que BYOD et le Cloud fassent tout pour réduire le rôle des pare-feux, la nécessité de partager des quantités d’informations de plus en plus importantes avec des sous-traitants, des consultants et même des partenaires distants implique une protection plus robuste et un contrôle granulaire au sein de l’intranet. Et votre pare-feu ne peut certainement pas répondre facilement à cette exigence, voire pas du tout.

Ainsi, l’ère « post-pare-feu » se dessine. Bien sûr, il y aura toujours un certain type de protection, mais la nouvelle norme en matière de contrôle d’accès sera incarnée par l’utilisation à grande échelle de passerelles au niveau des applications et des informations, et non plus par votre pare-feu.

Une nouvelle application nuisible pour Android toutes les 22 secondes

Android a pris l’ascendant dans le secteur du mobile. Selon l’institut Gartner, environ 75 % de tous les smartphones achetés dans le monde au cours du premier trimestre 2013 sont équipés d’Android. Rien d’étonnant alors que les cybercriminels se focalisent sur cette plateforme. Durant le seul mois de mai, Datasecuritybreach.fr a appris que le G Data Security Labs a dénombré environ 124.000 nouvelles applications malveillantes ciblant le système d’exploitation de Google, soit en moyenne une application toutes les 22 secondes. Leurs auteurs visent principalement à voler des données personnelles, envoyer des SMS ou réaliser des appels surtaxés.

« Les codes malveillants sur mobile ont rapidement évolué en une entreprise lucrative pour les cybercriminels. Les auteurs utilisent principalement des chevaux de Troie pour agir, car ils peuvent être déployés de multiples façons. Ces codes nuisibles permettent non seulement le vol de données personnelles, mais aussi la fraude en utilisant de coûteux services surtaxés », explique à Data Security Breach Eddy Willems, Security Evangelist chez G Data.

État de la menace
Durant le seul mois de mai, 124 255 applications malveillantes. 51 698 ont été référencées comme étant des applications indésirables (PUP ou Potentially Unwanted Program), autrement dit des programmes non spécifiquement dangereux mais qui installent des publicités ou perturbent la navigation Internet de l‘utilisateur. 72,527 applications ont quant à elles été identifiées et classées en tant qu’applications infectées. Autrement dit des programmes dangereux dont le but est de voler des données ou de prendre le contrôle de l’appareil. En moyenne, toute catégorie confondue, un danger touchant la plateforme Android est apparu toutes les 22 secondes durant le mois de mai.

48% des entreprises n’utilisent pas d’outils de gestion centralisée de leur sécurité informatique

DataSecurityBreach.fr a appris que 48% des entreprises n’utilisent pas d’outils de gestion centralisée de leur sécurité informatique. Bien que ces outils facilitent grandement la gestion des paramètres de sécurité informatique,  près de la moitié des entreprises interrogées n’y ont pas recours selon une enquête européenne réalisée par Kaspersky Lab en collaboration avec B2B International en novembre 2012.

Les entreprises en général – et particulièrement les plus petites organisations – trouvent souvent que le déploiement et le contrôle des postes de travail et la protection des appareils mobiles n’est pas une tâche aisée. Des outils de gestion centralisés ont été mis en place pour faire face à cette problématique, cependant à peine la moitié des entreprises sont conscientes de leur potentiel. Selon les résultats de l’enquête, seulement 52% des entreprises dans le monde utilisent des solutions permettant une gestion centralisée de leur infrastructure informatique.

Une entreprise qui souhaite mettre en place une sécurité minimale doit configurer un large éventail d’outils de sécurité spécifiques à l’infrastructure informatique d’une entreprise, tels que les postes de travail et les appareils mobiles. En outre, chacune de ces interfaces doit être configurée pour répondre aux besoins spécifiques de l’entreprise, notamment aux politiques de sécurité interne. Les outils de gestion centralisés peuvent avoir un rôle prépondérant pour aider à réaliser cela. Mais, selon B2B International, ces outils sont utilisés par seulement la moitié des entreprises interrogées dans le monde entier. Alors que seulement 30% des entreprises ont pleinement mis en œuvre des outils de gestion clients, 29% des personnes interrogées se limitent à l’installation partielle d’une console de gestion centralisée.

Or, ces solutions augmentent le niveau de sécurité de l’infrastructure, tout en réduisant considérablement la charge de travail informatique de l’entreprise, en éliminant la nécessité de configuration de la protection informatique et de surveillance l’état de chaque poste de travail individuellement.

Se protéger de la cyber surveillance

Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.

Chiffrez vos informations

Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).

Vos « surfs »

les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.

Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).

Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !

Vers sur les réseaux sociaux

Une résurgence des vers sur les réseaux sociaux et une augmentation spectaculaire du spam. Les attaques ciblées continuent d’augmenter; retour des spams “Pump and Dump” qui surfent sur les hausses boursières record aux USA. McAfee Labs a communiqué à Datasecuritybreach.fr son rapport trimestriel sur le paysage des menaces au premier trimestre 2013, « McAfee Threats Report: First Quarter 2013 ».

Ce rapport met en lumière une hausse importante du ver Koobface sur les réseaux sociaux et une augmentation spectaculaire du volume de spam. Egalement constaté une augmentation continue de la complexité et du nombre de menaces ciblées, y compris les chevaux de Troie de collecte d’informations et les menaces ciblant les secteurs d’amorçage maître (Master Boot Record – MBR). Trois fois plus d’échantillons de Koobface que lors du précédent trimestre. Ce ver vise en particulier Facebook, Twitter et les utilisateurs de réseaux sociaux. Le cheval de Troie Koobface, un ver découvert en 2008 dont l’évolution avait été relativement stable depuis l’an dernier mais qui a triplée au cours du premier trimestre 2013 et qui a atteint des niveaux jamais vus auparavant. Sa résurgence démontre que la communauté des cybercriminels estime que les utilisateurs des réseaux sociaux représentent un environnement ciblé très riche en termes de victimes potentielles

Après trois ans de stagnation, le volume de spam a augmenté de façon impressionnante. Un élément significatif de cette croissance en Amérique du Nord a été le retour des campagnes de spam « Pump and Dump » qui visent les investisseurs néophytes espérant capitaliser sur la hausse du marché boursier. Le rapport met également en évidence une augmentation continue des logiciels malveillants Android, des URL malveillantes, ainsi que sur l’ensemble des échantillons de logiciels malveillants. Datasecuritybreach.fr a pu constater dans ce rapport la première augmentation du volume de courriers non sollicités dans le monde depuis plus de trois ans. En plus des escroqueries populaires de « Pump and Dump », une flambée d’offres d’hormones de croissance et une escalade des campagnes de spam sur les marchés émergents caractérisent principalement cette flambée. Un détail que Data Security Breach Magazine vous relatait déjà, le mois dernier via un autre rapport.

L’augmentation de la sophistication et du nombre des menaces persistantes avancées ciblées (Advanced Persistant Threats – APT) a représenté l’évolution la plus notable du paysage des menaces du fait que, dorénavant, l’information est devenue aussi précieuse que l’argent dans le paysage de la cybercriminalité. Le cheval de Troie Citadel a prouvé que les cybercriminels ont recyclé cette menace pour dérober les informations personnelles à des victimes étroitement ciblées au-delà des institutions financières. L’industrie doit s’attendre à voir de plus en plus de cas de logiciels malveillants bancaires utilisés pour des opérations de cyber espionnage au sein d’entreprises non financières et gouvernementales. · Les attaques MBR. L’augmentation de 30 % des menaces ciblant le MBR au premier trimestre est liée, par exemple, aux logiciels malveillants StealthMBR, TDSS, Cidox et Shamoon. Clé pour lancer les opérations de démarrage, le MBR offre aux attaquants une grande variété de contrôle du système, de persistance et de fonctionnalités de pénétration profonde. Cette catégorie a enregistré des niveaux record ces deux derniers trimestres.

Datasecuritybreach.fr a aussi constaté dans ce rapport une augmentation de 30 % des logiciels malveillants ciblant les zones d’amorçage, ainsi que de nouvelles variantes de chevaux de Troie voleurs de mot de passe, repensés pour dérober des informations personnelles de personnes et d’entreprises proches de l’industrie des services financiers. « Les cybercriminels ont appris à considérer les informations personnelles et organisationnelles sensibles comme monnaie de leur économie pirate », déclare à datasecuritybreach.fr François Paget, chercheur McAfee Labs. « La résurrection de Koobface nous rappelle que les réseaux sociaux continuent de représenter une opportunité importante pour l’interception des renseignements personnels. Dans l’entreprise, nous constatons que les chevaux de Troie voleurs de mot de passe deviennent des outils de collecte d’informations pour les attaques de cyber-espionnage. Qu’elles visent soit les identifiants de connexion ou de propriété intellectuelle, ou soit les secrets commerciaux, les attaques très ciblées atteignent de nouveaux niveaux de sophistication ».

Le nombre d’URL suspectes a augmenté de 12 % du fait que les cybercriminels n’ont de cesse d’intensifier leurs attaques commises à partir de botnets comme moyen de distribution principal de leurs logiciels malveillants. Les sites web malveillants de « drive-by downloads » (attaque consistant à installer secrètement un logiciel sur l’appareil d’un utilisateur à son insu, ou sans son consentement) ont l’avantage notable d’être plus agiles et moins susceptibles d’être inquiétés par des interventions des autorités. DataSecurityBreach.fr vous relate, dans cet article, comme décoder les urls réduits, vecteurs d’attaques.

Internet : le consentement explicite

Quand vous naviguez sur Internet, pouvez-vous dire qui collecte des informations à votre sujet, quelle est la nature de ces informations et qui peut y avoir accès ? Pouvez-vous contrôler qui peut savoir quoi de vous ? La Commission européenne a proposé de vous en donner le pouvoir, mais le Parlement européen, sous la pression des lobbies de l’industrie, risque de voter autrement.

Avec le développement du commerce des données, le contrôle des citoyens sur leurs données personnelles a progressivement diminué, alors même que leur droit fondamental à la vie privée ne peut être défendu s’ils n’ont pas eux-mêmes les moyens de le protéger. Mais la protection de notre vie privée n’est pas le seul enjeu lié à cette question : ce manque de contrôle entraîne un manque de confiance aux conséquences négatives tant pour la liberté d’expression [1] que pour le développement économique des services en ligne [2].

Pour faire face à cette situation critique, la Commission européenne propose de donner aux citoyens un véritable contrôle sur leurs données personnelles en établissant un principe clair : que les utilisateurs aient à donner un consentement explicite pour toute collecte, traitement ou échange d’informations les concernant.

L’enjeu

Pour mieux comprendre le sens de la proposition de la Commission européenne, il faut revenir à l’actuelle législation européenne – la directive de 1995 obsolète – qui n’exige pas que le consentement soit donné « explicitement » mais « indubitablement » [3]. Qu’est-ce qu’un consentement « indubitablement donné » ? Le sens d’une notion si vague « est souvent mal interprété ou simplement ignoré », comme le déplore le groupe de travail « Article 29 » [4] – l’organe européen réunissant l’ensemble des autorités nationales européennes de protection des données personnelles.

Un consentement peut être considéré comme « indubitablement donné » lorsqu’une personne informée du traitement de ses données ne s’y oppose pas. Cependant, la législation actuelle n’obligeant pas les entreprises à s’assurer que ces personnes soient effectivement informées, la plupart de ces entreprises ne sont pas vraiment enclines à exposer de façon claire, pratique et visible la nature ou le but des traitements de données qu’elles réalisent.

Par conséquent, les citoyens ignorent la plupart des traitements que leurs données subissent : en pratique, ils ne pourraient pas s’y opposer s’ils le désireraient.

Prenons l’exemple d’Amazon. Lorsque vous consultez un article sur ce site, votre navigation est enregistrée pour vous suggérer des produits similaires. Bien que la formule « inspirés par votre historique de navigation » vous indique que certaines de vos données personnelles sont traitées, elle n’indique pas qu’Amazon collecte en réalité bien plus de données que la simple liste d’articles que vous avez consultés et, ce même s’il s’agit de votre première visite et que vous n’êtes pas inscrit sur ce site. Ces informations ne sont accessibles qu’à la toute fin des pages du site Internet. Google, quant à lui, ne prend même pas la peine d’indiquer qu’il collecte, stocke et traite l’ensemble des informations liées à toutes vos requêtes et visites de site Internet. Le seul moyen de le savoir est de rechercher puis de lire ses règles de confidentialité.

La proposition de la Commission La proposition élaborée par la Commission européenne changerait radicalement cette situation en posant le principe d’un consentement explicite de l’utilisateur. Le consentement des utilisateurs devraient alors être exprimé « par une déclaration ou par un acte positif univoque » [5], et ce pour chacune des finalités pour lesquelles une entreprise souhaiterait collecter leurs données. Le « silence informé » ne serait plus considéré comme un consentement valide.

Les entreprises devraient alors activement rechercher le consentement de leurs utilisateurs, assurant ainsi qu’aucune donnée personnelle ne puisse plus être traitée sans que les utilisateurs n’en aient été véritablement et directement informés. Adoptée, cette proposition assurerait que rien ne se passe hors de vue ou de contrôle des utilisateurs. À cet égard, de bonnes pratiques existent déjà et constituent des exemples concrets de ce que serait un consentement explicitement donné sur Internet. Des navigateurs tels que Firefox et Chrome requièrent déjà votre consentement explicite avant d’envoyer des informations concernant votre géolocalisation à un site Internet.

Ceci permet de garantir que, pour tout traitement, vous êtes réellement informé de la nature des données collectées et, ainsi, que vous puissiez véritablement y consentir. Ensuite, si vous le souhaitez, vous pouvez aussi simplement choisir de « toujours accepter » que le site que vous visitez puisse collecter votre position géographique sans avoir à chaque fois à obtenir votre consentement. Même si le concept de cette « boîte de requête » est largement perfectible – en ce qu’elle n’indique pas comment vos données seront traitées ni qui pourra y accéder – cela nous montre, au moins, le type de contrôle que nous pourrions exercer si l’exigence d’un consentement explicite était adoptée.

Les recommandations des géants de l’Internet

Le contrôle des utilisateurs semble être problématique pour les géants de l’Internet, Datasecuritybreach.fr vous en parle souvent, dont les bénéfices reposent largement sur la quantité de données personnelles qu’ils collectent. Ils redoutent qu’un plus grand contrôle donné aux utilisateurs amoindrisse les quantités de données qu’ils traitent. Ceci nous montre bien comment notre vie privée est considérée par ces entreprises : si leurs activités respectaient véritablement notre vie privée, pourquoi craindraient-elles que nous n’y consentions pas ? Exiger un consentement explicite ne porterait atteinte qu’aux entreprises qui ne respectent pas notre vie privée. Les autres, en revanche, ne pourraient que bénéficier du gain de confiance résultant du véritable contrôle donné aux utilisateurs.

Google, Facebook, Microsoft, Amazon et eBay ont unanimement demandé aux députés européens de retirer du règlement le consentement explicite [6]. Leur principal argument est que les utilisateurs « veulent des services Internet qui soient rapides, simples d’accès et efficaces [et que rechercher systématiquement leur consentement explicite] les conduirait à le donner automatiquement, par habitude », « étant surchargés de demandes de consentement » (traduits par nos soins).

Dès lors que rechercher le consentement explicite des utilisateurs est le seul moyen de garantir qu’ils seront veritablement avertis de chacun des traitements réalisés sur leurs données personnelles, ces demandes ne peuvent pas représenter une « surcharge ». Quiconque choisirait de consentir « automatiquement, par habitude », serait tout de même averti de ces traitements, alors que nous ne le sommes que rarement aujourd’hui.

De plus, une fois qu’ils auraient accepté qu’une entreprise puisse traiter certaines de leurs données pour une finalité claire et spécifique, les utilisateurs n’auraient pas à consentir aux nouveaux traitements qui poursuivraient exactement cette même finalité [7]. Ainsi, déclarer qu’ils seraient « surchargés de demandes de consentement » est simplement faux. En pratique, les utilisateurs n’auraient généralement à consentir, tout au plus, qu’une seule fois : en visitant un site Internet pour la première fois ou en utilisant pour la première fois une nouvelle fonctionnalité de ce site.

Les propositions des députés européens Les commissions « consommateurs » (IMCO) et « industrie » (ITRE) ont suivi les recommandations des géants de l’Internet et ont voté contre l’exigence d’un consentement explicite. IMCO a proposé de subordonner cette exigence au « contexte », ce qui est aussi vague et dangereux que d’exiger un consentement « indubitablement donné » [8] ; alors que la commission ITRE a suggéré que le consentement ait simplement à être donné « sans équivoque », d’une façon similaire à ce que prévoit déjà la directive de 1995 [9]. Ces deux avis semblent avoir véritablement influencé le débat, de sorte que sept amendements ont été déposés dans la commission « libertés civiles » (LIBE), par dix-sept députés européens, proposant de retirer l’exigence d’un consentement explicite du règlement [10]. Ce qui démontre que ces membres de LIBE, principalement libéraux et conservateurs, ne souhaitent pas conférer aux utilisateurs le contrôle sur leurs données.

Aujourd’hui, il apparaît que la plupart des députés européens sont opposés au principe d’un consentement explicite, dupés par des centaines de lobbyistes, et ne changeront pas de position si nous ne nous mobilisons pas et n’agissons pas dès maintenant.

Ce que vous pouvez faire

Tout d’abord, Datasecuritybreach.fr vous conseille de n’utiliser que des logiciels et des services dans lesquels vous pouvez avoir confiance. Préférez des logiciels libres et hébergez vos propres services autant que possible. De nombreux outils, tels que Tor [11] [12], DuckDuckGo [13] [14] ou des extensions de navigateurs, tels que NoScript [15] ou HTTPS Everywhere [16], vous permettent de remplacer, contourner ou bloquer certains services Internet essayant de collecter vos données personnelles.

Malheureusement, ces solutions ne suffiront jamais à protéger pleinement votre vie privée en ce qu’elles ne sont pas installées par défaut, demandent un certain effort et sont parfois perçues comme complexes à utiliser. Ainsi, nous devons agir afin de nous assurer que le futur règlement protégera véritablement la vie privée des citoyens européens : appelez ou écrivez [17] à vos représentants dès maintenant – les inquiétudes de leurs électeurs et la défense des libertés fondamentales devraient toujours primer sur les intérêts économiques des géants de l’Internet –, partagez cette analyse, écrivez-en afin de donner votre opinion sur le sujet, parlez-en autour de vous ou inventez quelque chose à base d’image, de vidéo, de son, etc. C’est maintenant que nous devons agir !

Les membres de LIBE [18] des différents groupes politiques ont déjà commencé à chercher des compromis sur ce sujet précis : nous devons les contacter avant qu’ils ne tombent d’accord sur les pires amendements.

Références

1. L’UNESCO a publié en 2012 une étude mondiale sur le respect de la vie privée sur l’internet et la liberté d’expression [en], qui commence ainsi : « Le droit au respect de la vie privée sous-tend d’autres droits et libertés, dont la liberté d’expression, la liberté d’association et la liberté de conviction. L’aptitude à communiquer anonymement sans que les gouvernements connaissent notre identité, par exemple, a joué historiquement un grand rôle dans la sauvegarde de la libre expression et le renforcement de la responsabilisation politique, les individus étant plus enclins à s’exprimer sur les questions d’intérêt public s’ils peuvent le faire sans crainte de représailles. » Ce qui a toujours été vrai pour la surveillance gouvernementale se vérifie probablement aujourd’hui pour la surveillance privée. Pouvons-nous vraiment nous exprimer librement si toute entreprise, ou même toute personne, peut connaître notre identité et quantité d’autres informations sensibles à notre sujet ?

2. Une étude [en] du Boston Consulting Group montre que « la valeur créée par l’identité digitale peut en effet s’avérer considérable : un milliard d’euro en Europe d’ici 2020 [mais] deux tiers de la valeur totale liée à l’identité numérique ne se réalisera pas si les acteurs n’arrivent pas à établir un climat de confiance pour la circulation des données personnelles » (traduit par nos soins).

3. Directive de 1995 : Article 2 – Définitions Aux fins de la présente directive, on entend par: h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. Article 7 Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si: a) la personne concernée a indubitablement donné son consentement

4. Opinion of the Article 29 Data Protection Working Party on the Definition of Consent [en] : « Cet avis est en partie rendu en réponse à une requête de la Commission dans le cadre de la révision en cours de la directive concernant la protection des données personnelles. Elle contient donc des recommandations à prendre en compte dans cette révision. Ces recommandations comprennent : (i) clarifier la définition de consentement « indubitablement donné » et expliquer que seul un consentement basé sur des actions ou déclarations faites pour signifier un accord constitue un consentement valable ; (ii) exiger que les responsables de traitement mettent en place des mécanismes pour démontrer le consentement (dans le cadre d’une obligation générale de responsabilité) ; (iii) ajouter une exigence explicite concernant l’accessibilité et la qualité de l’information sur laquelle se fonde le consentement, et (iv) un certain nombre de suggestions concernant les mineurs et autres personnes dépourvues de leur capacité juridique. »

« La notion de consentement « indubitablement donné » est utile pour mettre en place un système qui, sans être trop rigide, permet une protection forte. Alors qu’il pourrait potentiellement conduire à un système raisonnable, malheureusement, son sens est souvent mal interprété ou simplement ignoré. »

« La clarification doit se concentrer sur le fait qu’un consentement « indubitablement donné » requiert l’utilisation de mécanismes qui ne laissent aucun doute sur l’intention de la personne concernée de donner son consentement. Cependant, il doit être clair que l’utilisation de paramétrage par défaut exigeant que la personne concernée les modifient afin de signifier son désaccord (un consentement fondé sur le silence) ne peut constituer en soi un consentement « indubitablement donné ». Ceci est particulièrement vrai dans l’environnement en ligne. »

« La position commune 10 du Conseil de 1995 a introduit la définition (actuelle) du consentement. Il a été défini comme « toute indication donnée de façon spécifique, libre et informée de ses souhaits par laquelle la personne concernée signifie son accord au traitement de données personnelles le concernant ». La principale modification apportée à la position de la Commission de 1992 ayant été d’effacer le mot « expresse » qui qualifiait le mot « indication ». En même temps, le terme « indubitablement » a été rajouté à l’article 7(a) qui devenait ainsi : « la personne concernée a indubitablement donné son consentement ». » (traduit par nos soins)

5. Proposition de Règlement pour la protection des données Article 4 – Définitions Aux fins du présent règlement, on entend par: 8. «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

6. Lire les recommandations contre le consentement explicite envoyées aux députés européens par les géants de l’Internet [en] sur le wiki de la Quadrature. Vous pouvez également lire bien d’autres documents envoyés par les lobbies [en] aux députés européens, sur d’autres sujets concernant la protection des données personnelles.

7. La Quadrature du Net publiera bientôt une analyse de Privacy Alert abordant précisément ce point.

8. Voir la réaction de La Quadrature du Net au vote de IMCO du 23 janvier. Avis de IMCO : amendement 63 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté libre, ++qui doit être++ spécifique, informée et ++aussi++ explicite ++que possible selon le contexte,++ par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque ++, et de manière explicite lorsque les données visées à l’article 9, paragraphe 1, doivent être traitées,++ que des données à caractère personnel la concernant fassent l’objet d’un traitement; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

9. Voir la réaction de La Quadrature du Net au vote de ITRE du 21 février. Avis de ITRE : amendement 82 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté, libre, spécifique, informée et –explicite– ++sans équivoque++ par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. ++Le silence ou l’inaction n’équivalent pas en soi à un consentement++; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

10. Amendements 757, 758, 760, 762, 764, 765 et 766, déposés en LIBE par : Lidia Joanna Geringer de Oedenberg (S&D – Pologne) Adina-Ioana Valean (ALDE – Roumanie) Jens Rohde (ALDE – Danemark) Louis Michel (ALDE – Belgique) Sarah Ludford (ALDE – Royaume-Uni) Charles Tannock (ECR – Royaume-Uni) Timothy Kirkhope (ECR – Royaume-Uni) Axel Voss (EPP – Allemagne) Seán Kelly (EPP – Irlande) Wim van de Camp (EPP – Pays-Bas) Hubert Pirker (EPP – Autriche) Monika Hohlmeier (EPP – Allemagne) Georgios Papanikolaou (EPP – Grèce) Véronique Mathieu Houillon (EPP – France) Anna Maria Corazza Bildt (EPP – Suède) Agustín Díaz de Mera García Consuegra (EPP – Espagne) Teresa Jiménez-Becerril Barrio (EPP – Espagne)

11. https://www.torproject.org/

12. Tor est un logiciel libre et un réseau ouvert qui vous aide à vous protéger d’une forme de surveillance du réseau, telle que l’analyse du trafic réalisée par certains gouvernements, menaçant nos libertés individuelles et notre vie privée.

13. https://duckduckgo.com/html/

14. DuckDuckGo est un moteur de recherche utilisant des informations récoltées sur des sites web participatifs, tel que Wikipédia, afin de répondre à vos requêtes. Le  moteur de recherche déclare protéger votre vie privée et ne pas enregistrer d’information vous concernant. https://duckduckgo.com/html/

15. https://fr.wikipedia.org/wiki/NoScript

16. https://www.eff.org/https-everywhere

17. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

18. https://memopol.lqdn.fr/search/?q=committees%3ALIBE%20is_active%3A1

Big Data

Le Big data, c’est aussi une question de sécurité ! Christophe Auberger, Responsable Technique chez Fortinet pour DataSecurityBreach.fr

Sécuriser le Big Data dans les Entreprises Nécessite la Mise en Application de Politiques Intelligentes ainsi que des Outils Analytiques Complets et Performants. Aborder la question de sécurité lorsque l’on parle de Big Data suscite souvent deux courants de pensées divergents de la part des professionnels de l’IT – le refus catégorique que le Big Data devrait être traité différemment de l’infrastructure réseau existante, et une réponse inverse se tournant vers une sur-ingénierie de la solution à adopter compte tenu de la valeur actuelle (ou perçue) des données impliquées.

Le Big Data, selon la définition de Gartner, représente des données informatives de gros volumes, d’une vélocité élevée et/ou d’une grande variété qui nécessitent de nouvelles formes de traitement pour permettre une meilleure prise de décision, conception d’idées et optimisation des processus. Le Big Data augmente les défis de sécurité dans les réseaux de données existants.

Voici les quatre aspects du Big Data, définis par IDC, qui suscitent des défis mais aussi des opportunités:

·        Le Volume: Le volume des données est passé de téraoctets à zettaoctets (1 zettaoctet représente 1021 octets ou 1 000 000 000  téraoctets) et au-delà

·        La Vélocité: La vitesse des données (entrée et sortie) passant d’ensembles de données statiques, créées une seule fois, à des flux de données en continu

·        La Diversité: La gamme de types et sources de données – structurées, non/semi-structurées ou brutes

·        La Valeur: L’importance des données dans leur contexte

Alors que le Big Data présente de nouveaux défis de sécurité, le point initial pour les résoudre est le même que pour toute autre stratégie de protection de données: celui qui consiste à déterminer les niveaux de confidentialité des données, à identifier et classifier les données les plus sensibles, à décider où les données critiques devraient être localisées, et à établir des modèles d’accès sécurisés tant pour les données que pour les analyses.

Planifier autour du cycle de vie du Big Data Protéger correctement le Big Data exige la définition de besoins spécifiques de sécurité autour du cycle de vie du Big Data. Généralement, cela commence par la sécurisation de la collecte des données suivi par celle de l’accès aux données. Comme la plupart des politiques de sécurité, une bonne évaluation des menaces du Big Data de l’organisation doit se faire en continu et viser à garantir l’intégrité des données stockées et sous analyse.

La performance est un élément clé lorsqu’on sécurise les données collectées et les réseaux. Les pare-feux et autres dispositifs de sécurité réseau, tels que ceux pour l’encryption, doivent être ultra performants pour pouvoir supporter de plus en plus de débit, de connexions et d’applications. Dans un environnement Big Data, la création et la mise en application des politiques de sécurité sont essentielles du fait de l’importance du volume de données et du nombre de personnes qui auront besoin d’y accéder.

La quantité de données accroit également la nécessité de prévenir les fuites de données. Les technologies de Prévention des Pertes de Données devraient être utilisées pour s’assurer que l’information n’est pas divulguée à des tiers non autorisés. Les systèmes d’intégrité des données et de détection d’intrusions internes doivent être utilisés pour détecter les attaques ciblées avancées qui contournent les mécanismes de protection traditionnels, par exemple, la détection d’anomalies dans les couches d’agrégation et de collectes. Tous les paquets de données, tous les flux de données, toutes les sessions et transactions devraient être inspectés de près.

Parce que le Big Data couvre des informations qui se trouvent dans une zone étendue provenant de sources multiples, les organisations doivent aussi pouvoir protéger les données  là où elles se trouvent. A cet égard, les systèmes de sécurité virtualisés fournissant une gamme complète de fonctionnalités de sécurité doivent être positionnées aux endroits stratégiques des architectures cloud hybrides, privées et publiques, fréquemment trouvées dans les environnements Big Data. Les ressources doivent être connectées de manière sécurisées et les données transportées depuis les sources de stockage du Big Data doivent également être sécurisées, typiquement via un tunnel IPSec.

Le Big Data, oui, mais avec les Bons Outils ! Alors que le Big Data présente des défis, il offre également des opportunités. Avec les bons outils, d’importantes quantités d’informations pourront être analysées, ce qui permettra à une organisation de comprendre et de comparer les activités dites normales. Si cette organisation peut alors surveiller les utilisateurs qui s’écartent de cette norme, cela permettra de devancer de manière proactive les potentielles fuites de données et systèmes.

Cet effort doit être soutenu par un personnel IT compétent et le déploiement efficace d’outils de sécurité appropriés. Ces outils sont des appliances dédiées de collecte de logs, d’analyse et de reporting qui peuvent en toute sécurité rassembler les données provenant des  dispositifs de sécurité et autres systèmes compatibles syslog. Ces appliances vont également analyser, rapporter et archiver les événements de sécurité, le trafic réseau, le contenu Web, et les données de messagerie. Ceci permet de facilement mesurer le respect des politiques et de produire des rapports personnalisés.

La difficulté à saisir, gérer et traiter les informations rapidement dans les environnements Big Data va continuer à rendre la sécurité un élément de second plan pour de nombreuses entreprises. Alors que la bande passante et le stockage continuent de croitre, la mobilité de ces gros ensembles de données augmente également, provoquant des brèches et la divulgation d’ensembles de données sensibles. Les menaces viendront probablement d’intrus manipulant le Big Data de manière à ce que les outils de business analytics et de business intelligence génèrent des résultats erronés et conduisent à des décisions de gestion qui pourraient être profitables aux intrus.

Même de petits changements dans le Big Data peuvent avoir un impact important sur les résultats. Les organisations ne doivent donc pas ignorer la nécessité de protéger les actifs du Big Data – pour des raisons de sécurité, de business intelligence ou autre. Elles doivent répondre aux principaux besoins du Big Data en termes d’authentification, d’autorisation, de contrôle d’accès basé sur les rôles, d’audit, de contrôle, de sauvegarde et de récupération. A plus long terme, l’analytique du Big Data impliquant l’évaluation et la surveillance comportementale deviendra également de plus en plus capitale pour répondre à la nouvelle génération de défis de sécurité IT.

BOX STORY 1: le SIEM, un Problème pour le Big Data Pour améliorer leur sécurité, certaines organisations ont des solutions SIEM (Security Information and Event Management ou de Gestion des événements et informations de sécurité) pour les aider à collecter et analyser les alertes de sécurité et les systèmes de logging. Cela peut, par inadvertance, toutefois, créer un problème pour le Big Data – dans le cas où chaque log et alerte sont collectés.

Pour éviter ce problème, les organisations devraient arrêter de considérer la sécurité comme un système purement défensif et plutôt penser à ajouter une couche d’abstraction au-dessus de toutes les données pertinentes de l’entreprise. Elles doivent se demander quelles sont les données pertinentes dans un contexte de sécurité. Evidemment, les logs au niveau du réseau (c’est-à-dire le pare-feu, IPS, etc.) et les logs d’accès utilisateurs restent nécessaires. Cependant, les logs de sécurité des terminaux, les logs liés au proxy et même les données d’inspection approfondie des paquets risquent de ne plus être pertinents.

BOX STORY 2

– Exemples de Big Data

·        Logs Web

·        Données RFID

·        Réseaux de capteurs

·        Données des réseaux sociaux

·        Documents  et textes Internet

·        Indexation des recherches Internet

·        Archivage des détails d’appels

·        Dossiers médicaux

·        Archives de photos

Comment rester conforme lorsque tout change ?

Par Thierry Karsenti, Directeur Technique Europe Check Point pour DatasecurityBreach.fr.

Nous voulons tous croire que nos réseaux sont entièrement protégés, que nos procédures et politiques sont totalement conformes avec les législations qui gouvernent nos secteurs. Malheureusement, croire en quelque chose ne signifie pas toujours que c’est réel. En réalité, le paysage de la sécurité évolue trop rapidement pour que les entreprises puissent rester protégées en permanence contre toutes les menaces. Nous avons réalisé en 2012 des audits de sécurité approfondis auprès de 900 entreprises à travers le monde, et avons constaté que 63% d’entre-elles étaient infectées à leur insu par des bots. Ces bots communiquent avec leurs centres de contrôle externes au moins une fois toutes les 2 heures et siphonnent activement les données des entreprises infectées.

Toutes ces entreprises sont équipées de multiples technologies de protection, telles que pare-feux, antivirus, etc., mais sont pourtant infectées, parce que leurs solutions de sécurité ne sont pas mises à jour régulièrement, ou bien parce que des changements intervenus dans leur réseau ont introduit des vulnérabilités. Dans de nombreux cas, ces infections sont la conséquence de messages de phishing ou de pièces jointes infectées ciblant les employés.

Les mails ne sont pas tous vos amis De plus, les problèmes de sécurité ne sont pas uniquement limités aux réseaux. 54% des entreprises ont subi des pertes de données suite à l’envoi d’emails à des destinataires externes par erreur ou à la publication d’informations en ligne par erreur. Il n’est donc pas surprenant qu’en mars dernier, l’Agence européenne pour la sécurité informatique et la sécurité des réseaux (ENISA) ait appelé à des actions urgentes pour lutter contre les nouvelles tendances des cyberattaques. L’ENISA est également allée plus loin en recommandant aux gouvernements et aux entreprises d’étudier des alternatives au courrier électronique, offrant une meilleure protection aux utilisateurs, ce qui confirme bien que la tâche de protéger la messagerie d’entreprise et la maintenir conforme devient insurmontable pour de nombreuses entreprises.

Ajoutez à cela la récente législation édictée par la Commission européenne sur la cybersécurité, qui élargit considérablement l’obligation de signaler les fuites de données. En conséquence, les entreprises sont confrontées à des défis croissants en matière de sécurité et de conformité.

Tout change Le défi de conformité est double. Comme nous l’avons évoqué plus tôt, la gestion courante d’un réseau introduit des changements quotidiens au niveau des équipements et des topologies. Chaque changement effectué, peu importe son ampleur, peut affecter la conformité de l’entreprise. Pour les entreprises possédant plusieurs sites en particulier, il peut être difficile pour les équipes informatiques de savoir précisément ce qui se passe sur chaque site.

Deuxièmement, la conformité n’est pas uniquement une question informatique. Il s’agit également des actions et des comportements humains, qui sont enclin à changer aussi souvent que le réseau, même si les employés reçoivent régulièrement des formations sur l’utilisation appropriée des ressources. Comme les entreprises ont de plus en plus besoin de se conformer à plusieurs réglementations (des études montrent que les entreprises de la liste Fortune 1000 doivent obéir à plus de 30 réglementations différentes), la mise en œuvre des contrôles et des politiques de sécurité pour répondre à ces exigences est devenue un sérieux défi.

Ce n’est cependant que la première étape. Les systèmes doivent également être supervisés et contrôlés régulièrement pour assurer leur conformité permanente, et il est nécessaire de présenter une analyse de la conformité en vue de rapports et d’audits. Comment les équipes informatiques des entreprises peuvent-elles répondre à ces demandes complexes et changeantes, lorsqu’elles n’ont ni les ressources ni la main-d’œuvre pour éplucher continuellement les journaux d’événements système ?

L’automatisation est la solution Pour suivre le rythme de ces demandes, il est nécessaire de pouvoir superviser automatiquement et en temps réel le réseau, les règles de sécurité et la configuration des produits de sécurité, et pouvoir mesurer l’impact des changements sur la sécurité et la conformité de l’entreprise. Une visibilité sur l’état du réseau via un tableau de bord unifié permet aux équipes informatiques de traquer et identifier les problèmes potentiels de connectivité et de trafic, et mettre en évidence les zones à risque en matière de sécurité – telles que la manière dont les différents pare-feux du réseau sont configurés, et quelles règles de sécurité sont actives sur ces équipements.

L’automatisation peut apporter aux équipes informatiques la visibilité et la réactivité dont elles ont besoin pour traiter rapidement les problèmes réseau avant qu’ils ne se transforment en risques graves. Comment les équipes informatiques peuvent-elles exactement connaître l’état de leur conformité à tout moment, au niveau des réglementations qui touchent leur secteur ? C’est à ce niveau que des outils de conformité appropriés peuvent faire une réelle différence.

En plus de permettre un management avancé du réseau et de la sécurité, un outil efficace de conformité doit être en mesure de comparer l’état de conformité des passerelles et autres équipements de sécurité avec une vaste bibliothèque de bonnes pratiques, de réglementations et de directives de sécurité. La solution doit alors superviser automatiquement les changements apportés aux règles et aux configurations, alerter les équipes informatiques de l’impact de ces changements, et suggérer des corrections pour maintenir le niveau de sécurité et de conformité. Il est également presque aussi important de pouvoir repérer et résoudre les problèmes, et documenter l’état de la sécurité de l’entreprise – pour démontrer la conformité à la direction et à des auditeurs externes.

L’automatisation aide les entreprises à regagner le contrôle de leur conformité. La solution appropriée doit aider les équipes informatiques à traquer les problèmes potentiels, à mettre en évidence les zones à risque, à comparer l’état actuel de la conformité avec les meilleures pratiques et les réglementations en vigueur, et faire des recommandations adéquates pour maintenir le niveau de sécurité et de conformité. Même si des changements sont inévitables, leur impact sur la conformité et la sécurité d’une entreprise peut être minimisés.

Chiffrer sa vie privée sur le web

DataSecurityBreach.fr vous le conseille très souvent : sur Internet, les informations que nous diffusons douvent être, un maximum, chiffrées, protégées, … des regards instigateurs. Les sources de fuites et de regards sont nombreux, très nombreux (Etats, entreprises, marketing, Google, …). Il est possible de se cacher. Non pas que nous soyons de dangereux terroristes à la solde d’un groupuscule venus de l’espace. Non, nous souhaitons juste avoir la possibilité de protéger ce qui nous appartient, notre vie privée.

Sur la toile, donc, difficile d’être « secret », mais les outils existent pour se protéger. Commençons par les envies de causer, en paix. De plus en plus de personnes exploitent le « tchat » de Facebook. Sauf que ce dernier, en plus de ne pas être parfaitement sécurisé, laisse de nombreuses traces dans les serveurs du géant américain. Un exemple que datasecuritybreach.fr vous propose d’effectuer. Vous avez un smartphone et un pc. Dans les deux cas, vous êtes connectés à Facebook. Votre smartphone a l’application Facebook activée, cela vous permet de recevoir, par exemple, des notifications de messages, de pokes, … Sur votre PC, vous causez, et causez encore ! Vous prenez soin, à chaque fin de « bla bla » d’effacer la conversation. Vous vérifiez, et effectivement, Facebook a détruit le contenu. Sauf que si vous vous rendez dans l’application de votre smartphone, miracle, les messages effacés ne le sont plus. Il vous faudra, donc, effacer de nouveau le contenu. Attention, n’utilisez pas l’application pour informer votre contact… au risque de revoir les messages réapparaitre dans le Facebook de votre ordinateur.

Bref, tchater, ok, mais tchater sécurisé, c’est mieux. Pour les utilisateurs de Firefox/Chrome, l’outil Crypto chat (Crypto Cat) est fait pour vous. L’addon s’installe dans votre navigateur. Il suffira, ensuite, de fournir un identifiant de connexion à vos interlocuteurs. Les conversations seront sécurisées par un chiffrement. Autres possibilités Threat Model ; intra messenger ou encore anonpaste.me. Il existe des possibilités de messagerie instantanée et visio-conférences avec Jitsi et Frama Soft.

 Après le tchat, vous allez avoir envie de communiquer fichiers, textes. Dans les possibilités ZeroBin, One Time Secret, Just Beam It, PrivNote. Pour finir, n’oubliez pas de chiffrer vos courriels. Pour les plus techniciens, le logiciel GPG est indispensable. Il réclame un peu de temps d’apprentissage et que vos correspondants utilisent aussi GPG (ou pgp). Mais son efficacité n’est plus à démontrer. Attention, des solutions gratuites comme PrivacyBox, ne sont plus exploitable pour des raisons internes aux créateurs. Pour le cas, de privacy box, une sombre affaire de possibilité d’espionnage.

A noter qu’il existe aussi des solutions de sécurisation des courriers et fichiers via l’autodestruction comme Privnote ; SebSauvage, One time secret ou encore Just bea mit ou encore AnonBox.tk. Pour le téléphone, zatazweb.tv, présente dans son émission du mois de mai une application qui permet de chiffrer les conversations téléphoniques.

Une sécurisation qui peut être accentuée en utilisant, par exemple, des clés USB chiffrées comme celle proposée par la société Integral (La crypto Dual – AES 256 bit) ou encore la clé USB biométrique de chez BEFS.  En vacances, en déplacement professionnel, ou tout simplement au bureau. Ce support de sauvegarde ne fonctionne qu’ave la présentation d’un doigt préenregistré.

Les gens prennent soin de protéger leurs données mais négligent certaines mesures élémentaires

Une étude que datasecuritybreach.fr a pu consulter, réalisée par Varonis, leader des logiciels complets de gouvernance des données, indique que la grande majorité des gens comptent que les entreprises protègent leurs données, malgré le nombre élevé de brèches de sécurité signalées. L’étude montre que la plupart des personnes interrogées ont généralement de bonnes pratiques de sécurité, mais ont néanmoins des comportements à risque qui pourraient permettre à des pirates d’accéder à leurs données.

La recherche révèle qu’une majorité écrasante de 91 % des personnes interrogées supposent que les entreprises protègent leurs données personnelles et leurs identités en ligne, et cela en dépit du fait que 93 % des grandes entreprises et 87 % des petites entreprises ont connu en 2013 des failles de sécurité des données. D’une façon générale, l’étude montre que la sécurité des données a une grande valeur : 97 % des répondants préfèrent faire affaire avec une entreprise qui protège leurs données et 54 % se déclarent prêts à payer plus cher s’ils pensent qu’une entreprise protège efficacement leurs données.

Les participants à l’enquête ont fait état de plusieurs habitudes de sécurité en ligne qui seraient mises en évidence dans n’importe quel rapport de sécurité. L’étude a établi que 71 % regardent les dispositions en petits caractères des accords de licence d’utilisation et autres conditions générales.

La sécurité mobile est également prioritaire : plus des trois quarts (77 %) protègent leur téléphone par un mot de passe, et près de la moitié (47 %) utilisent une authentification à deux facteurs pour protéger leur email personnel et leurs services en ligne.

Malheureusement, Varonis a aussi découvert quelques mauvaises habitudes troublantes. Si les participants protègent avec soin leur téléphone par un mot de passe, 61 % utilisent toujours ou fréquemment le même mot de passe sur des sites web ou des applications différents, mettant ainsi leurs informations personnelles en danger. Les deux tiers des participants (67 %) reconnaissent ou soupçonnent qu’ils ont envoyé par email des informations personnelles non cryptées à une entreprise.

« Il est encourageant de constater que les gens recherchent les entreprises qui parviennent mieux à sécuriser leurs données », explique David Gibson à Data Security Breach, vice-président de Varonis. « Cependant, le grand nombre de piratages qui se produisent presque tous les jours indique que les entreprises, comme les individus, ont encore du mal à mettre en oeuvre les bases nécessaires à la sécurisation de leurs données. »

Les personnes doivent se concentrer sur l’élimination de mauvaises habitudes numériques et prendre davantage le contrôle de leur sécurité. Les entreprises ont leur part à jouer pour s’assurer que les départements informatiques mettent en œuvre les bonnes pratiques élémentaires de sécurité.

Quelques recommandations de DataSecrityBreach.fr

.    Sachez où se trouvent vos informations, qui peut y accéder, et comprenez ce que les fournisseurs de service peuvent faire de vos données sans votre consentement explicite

.    N’envoyez jamais par email de données personnelles ou autres données sensibles non cryptées, spécialement les numéros de compte, de carte de crédit et de sécurité sociale, ainsi que les informations ayant trait à la santé 3.    Choisissez des mots de passe forts — mélangeant majuscules et minuscules, chiffres et symboles spéciaux — et utilisez un mot de passe unique pour chaque site. Les gestionnaires de mots de passe sont d’un grand secours dans ce but.

·      Authentification : vérifiez que toute personne accédant à un compte soit vraiment qui elle prétend être ; l’utilisation de plusieurs facteurs est préférable

·      Autorisation : assurez-vous que les employés ont exclusivement accès aux données dont ils ont besoin

·      Audit : surveillez tous les accès

·      Alerte : analysez l’activité à la recherche d’abus potentiels

.     Assurez-vous que les employés utilisent des plateformes sécurisées et autorisées

.     Concentrez-vous sur l’équilibre entre productivité et sécurité : les employés ont besoin d’une expérience de travail moderne qui ne fasse pas courir de risques aux données de l’entreprise.

L’occasion pour les particuliers de faire de même. Voici 6 conseils pratiques pour mettre en ordre son ordinateur et faire le grand ménage de printemps.

.            Sauvegarde des fichiers. Les utilisateurs ont tendance à conserver des fichiers importants et en grande quantité sur leur système sans jamais les stocker. Or, si le système « crash », toutes ces données seront perdues.  La solution la plus simple et efficace est alors de stocker les données les plus sensibles sur un disque dur externe.

.            Nettoyage du registre du système. Le système accumule de nombreux fichiers temporaires au cours de sa vie, surtout en surfant sur Internet.

Pour qu’il fonctionne plus rapidement, la suppression de ces fichiers est alors indispensable. Il existe plusieurs outils pour supprimer les anciennes entrées de registre (sur les PC) comme le fait de vider sa corbeille régulièrement, de supprimer les fichiers temporaires Internet et les cookies, ainsi que son historique de navigation. CCleaner est un outil connu gratuit qui peut effectuer ces tâches, néanmoins une plateforme de sécurité complète telle que Kaspersky PURE 3.0 contient des outils pour nettoyer son PC qui pourront réaliser la même opération tout en protégeant également le système.

.            Défragmentation du disque dur. Il s’agit d’une option sur les systèmes Windows qui augmente la vitesse et l’efficacité du système. Sur Windows 8, cette fonctionnalité se trouve dans « Fichiers » en cherchant « défragmenteur », sur une ancienne version de Windows dans « Programme », «Accessoires », et ensuite « Outils système ». L’utilisation du défragmenteur de disque prend un certain temps et oblige de laisser son PC « au repos ». Il est donc préférable de lancer la défragmentation quand l’utilisateur est absent de chez lui ou lorsque qu’il effectue d’autres activités.

.            Suppression des programmes inconnus.  Il y a de grandes chances pour qu’au fil du temps, les programmes inutilisés s’accumulent sur le système. Mais ces programmes occupent de l’espace sur le disque et ralentissent tout le système. Sur Windows, l’opération à suivre est la suivante : cliquer dans le panneau de configuration, puis sélectionner « Ajouter/supprimer des programmes ». Examiner la liste – sélectionner les programmes inutilisés cette année pour les supprimer. Sur Mac, ouvrir le LaunchPad, et déplacer les icônes des applications inutilisées dans la corbeille.

.            Changement des  mots de passe. Il s’agit d’une étape importante à effectuer régulièrement qui peut-être couplée à la mise à jour du système. Le mot de passe idéal doit être long et compliqué : le mélange des lettres et symboles non-alphanumériques permet de complexifier les mots de passe. Le classique « 123456 » est à éviter ! L’accumulation de mots de passe différents et complexes rend difficile leur mémorisation, l’utilisation d’un gestionnaire de mots de passe facilite grandement cette tâche.

.            Installation des mises à jour des programmes. Il est nécessaire de réaliser régulièrement les mises à jour car celles-ci contiennent les derniers patchs de sécurité. Les versions plus anciennes ont plus de risque d’être exploitées par des pirates informatiques qui trouvent des faiblesses dans les programmes dépassés. Sur Windows, cliquer sur le bouton « démarrer » puis se rendre dans le panneau de configuration, cliquer sur « tous les programmes » et ensuite sur « Windows Update ». C’est ici que se trouvent l’ensemble des mises à jour pour l’ordinateur. La dernière étape est de cliquer sur « rechercher des mises à jour » afin de savoir si l’ordinateur est bien à jour.

Piratage de la gestion du bâtiment de Google

Des experts en sécurité informatique de la société américaine Cylance viennent de remettre au goût du jour le piratage des systèmes de gestion des bâtiments. Eaux usées, climatisation, électricité, téléphone, … l’attaque de ce genre d’infrastructure se transforme très vite en un énorme problème pour l’entreprise attaquée. Imaginez, un pirate informatique souhaite mettre en « carafe », en panne, un serveur installé au sein d’une société qu’il décide d’attaquer. Faire déborder les égouts ou éteindre la climatisation pourrait être fatale pour la cible et ses données. Les chercheurs de Cylance ont expliqué que des centaines de sièges d’entreprises, d’administration et de secteurs sensibles comme les hôpitaux, banques basés en Australie sont ouverts à qui sait se faufiler. Parmi les cibles de cette grande chasse au trésor, l’immeuble qui loge Google Australie.

Fuites de données : 263 millions d’euros perdus en France

Les cyber-attaques sur les infrastructures de confiance exposent les entreprises françaises à des pertes de l’ordre de 263 millions d’euros, selon une étude de Ponemon et Venafi. La mauvaise gestion de millions de clés cryptographiques et de certificats numériques menace la sécurité et les opérations des entreprises françaises. Continuer la lecture de Fuites de données : 263 millions d’euros perdus en France

L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés

Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach,  les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.

La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.

Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.

L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.

La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.

La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.

Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.

La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.

La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.

L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances  représentatives du personnel devront être consultées.

Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)

Sauvegarde de données : ça coinçe encore

D’après une récente étude auprès de ses clients, Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, a découvert que même si 60 % des personnes interrogées avaient une solution de sauvegarde en place au moment de la perte de données, la sauvegarde n’était pas à jour ou ne fonctionnait pas correctement. À l’approche de la journée mondiale de la sauvegarde, le 31 mars 2013, ces résultats, ainsi que DataSecurityBreach.fr, rappellent qu’il est important de vérifier qu’une sauvegarde fonctionne correctement et capture un ensemble de données actuel et précis. De plus, les résultats de l’étude indiquent que le disque dur externe reste le mode de  sauvegarde le plus utilisé pour les données personnelles et professionnelles. En fait, 60 % des personnes interrogées ont eu recours à une solution de disque dur externe, 15 % au cloud computing et 15 % à la sauvegarde sur bande. Quelle que soit la solution, plusieurs scénarios courants peuvent donner lieu à des pertes de données :

·         un disque externe connecté de manière occasionnelle et une sauvegarde non automatisée et effectuée à la demande ;

·         un ordinateur éteint au moment d’une sauvegarde programmée et non configuré pour l’effectuer à un autre moment ;

·         la défaillance d’un logiciel de sauvegarde ;

·         une sauvegarde dont l’espace de destination est plein ;

·         un profil de sauvegarde ne couvrant pas l’intégralité du périphérique à sauvegarder ;

·         un fichier perdu avant la sauvegarde programmée.

« L’utilisation d’une solution de sauvegarde est essentielle pour tout professionnel ou particulier qui veut se protéger contre la perte de données », estime à Data Security Breach Magazine Paul Dujancourt, directeur général de Kroll Ontrack France. « Cependant, comme les résultats de notre récente étude mondiale le démontrent, même une solution de type disque externe ou cloud computing réputée ne donne pas toujours les résultats escomptés. Une solution de sauvegarde n’est efficace que si l’utilisateur ou l’administrateur informatique s’assure que la solution fonctionne comme prévu et que la sauvegarde est complète. »

Sur 600 clients interrogés, dont un tiers ont subi une perte de données personnelles et deux tiers ont perdu des données professionnelles. Après avoir subi une perte de données, 87 % des personnes interrogées ont indiqué qu’il était extrêmement probable ou assez probable qu’elles recherchent une solution de sauvegarde. Parmi elles, près de 60 % recherchent une solution de type disque dur externe et environ un quart envisage le cloud computing pour protéger leurs données. Les 13 % restants qui ne prévoient pas de rechercher une solution de sauvegarde ont cité le temps et les dépenses associés à la recherche et à l’administration comme principal obstacle à sa prise en compte.

DataSecuritybreach.fr vous propose les conseils pour une sauvegarde réussie

·         Prenez le temps d’investir dans une solution de sauvegarde et d’établir un calendrier de sauvegarde.

·         Vérifiez que les sauvegardes s’exécutent régulièrement, conformément au calendrier établi.

·         Consultez les rapports de sauvegarde pour identifier les erreurs ou les échecs.

·         Testez régulièrement les sauvegardes pour vous assurer que les données ont été correctement capturées et que les fichiers sont intacts.